Il Regolamento Europeo 679/2016 parte oggi anche senza la normativa italiana di adeguamento

La nuova privacy poggia su due colonne: mentre la prima - costituita dal Regolamento Europeo 679/2016 (noto come GDPR), oggi 25 maggio, diventa operativa in Italia ed in tutti gli Stati UE, la seconda - costituita dal decreto legislativo italiano di “armonizzazione” chiamato a regolamentare tutti quegli spazi lasciati dal Regolamento UE alle normative nazionali - ha invece subito un netto rallentamento in quanto la delega per l’emanazione del decreto, che scadeva il 21 maggio 2018, è stata prorogata di 3 mesi.

Approvato in esame preliminare dal Consiglio dei Ministri il 21 Marzo 2018, lo schema del Decreto Legislativo comportava l’intera abrogazione del Codice della Privacy italiano; successivamente, in data 10 maggio 2018, il Governo ha inviato al Parlamento un secondo diverso schema di Decreto Legislativo che, ribaltando l’idea di fondo del primo schema di Decreto, ha ritenuto di non abrogare integralmente il codice privacy, ma di operare all’interno di questo, mantenendolo in vigore, attraverso l’abrogazione o la modifica, caso per caso, di singole disposizioni ivi contenute.

Tale secondo Decreto del 10 Maggio 2018 necessitava, con la massima urgenza e tempestività, del parere positivo delle commissioni parlamentari di Camera e Senato, oltre che del Garante della Privacy, al fine di ritornare a Palazzo Chigi per ottenere in tempo il via libero definitivo da parte del Consiglio dei Ministri (sentiti i Ministeri di Giustizia, Affari esteri, Economia, Sviluppo economico e Pa) e venire dunque emanato tuttalpiù al 25 Maggio 2018, in contemporanea con la data di inizio di efficacia del Regolamento Europeo.

Precisamente, alla data del 23/05/2018 (l’altro ieri), la Commissione speciale atti urgenti del Senato aveva inserito all’ordine del giorno la discussione su ”Adeguamento normativa nazionale circa la protezione delle persone fisiche con riguardo al trattamento dei dati personali”, prevedendo poi per il giorno seguente 24/05/2018 il termine per indicare esperti da ascoltare, per proseguire l'istruttoria sullo schema di provvedimento, in senato; durante la mattinata di ieri la riunione della citata Commissione del Senato è stata però “sconvocata”.

La delega per la creazione di uno schema di Decreto Legislativo in materia era stata prevista dalla Legge Delega n° 163 del 2017 e comportava un termine di decadenza fissato al 21 maggio 2018: per effetto dei ritardi accumulatisi, ai sensi dell'articolo 31 della legge 234/2012, la delega è stata dunque prorogata al 21 agosto 2018.

In realtà, anche profittando della proroga della scadenza della delega al 21/08/2018, durante la discussione in Commissione al Senato, pur consapevoli delle criticità derivanti dalla mancata approvazione del Decreto Legislativo, è stato ritenuto prevalente il bisogno di un approfondimento delle questioni e di ulteriori modifiche allo schema di Decreto Delegato. Tale esigenza di approfondimento deriva anche e soprattutto da un cospicuo numero di richieste di modifica svolte dal Garante della privacy, che ha tempestivamente licenziato il suo parere.

Insomma, oramai è troppo tardi, il testo avrebbe dovuto essere approvato oggi e non avremo il necessario adeguamento della nostra normativa al nuovo quadro di riferimento europeo. Il fatto che il nostro Paese Europa non sia l’unico in ritardo nell’approvare il decreto di adeguamento al GDPR non può fungere da scusante; avremmo potuto fare di più anche in considerazione del fatto che il Regolamento Europeo è stato emanato in data 27/04/2016, ben oltre due anni fa! Al momento sembra che soltanto Austria, Germania, Francia, Croazia, Olanda, Svezia e Slovacchia siano pronte per la scadenza di oggi venerdì 25 maggio, mentre i restanti Paesi siano ancora in difficoltà per l’adeguamento della normativa.

D'altra parte, gli operatori devono abituarsi al fatto che ci vorrà ancora tempo per la costruzione del nuovo sistema privacy a tinte europee e lo schema di decreto legislativo rappresenta solo un tassello, anche se importante, ma è comunque indubbio che, a partire dal 25 maggio 2018, il testo principale a cui fare riferimento in materia di protezione dei dati personali delle persone fisiche sarà sempre e comunque il regolamento UE 2016/679, mentre il codice privacy - seppur continuerà ad essere vigente così come modificato dall’approvando decreto legislativo - perderà la sua posizione centrale ed il suo ruolo di testo guida in tale materia.

L’assenza, ad oggi, del decreto legislativo di armonizzazione comporta la mancanza di parametri di riferimento su questioni importanti, come ad esempio quelle relative al comparto sanzionatorio penale. Ci si chiede, infatti, in assenza della legislazione delegata, che fine facciano le disposizioni penali previste dal codice della privacy. Queste disposizioni penali, infatti, sono strutturate nel senso che costituisce reato la violazione di una disposizione del codice stesso; nelle ipotesi, però, che una disposizione del vecchio codice debba considerarsi abrogata, per la sopravvenienza del Regolamento europeo, cesserebbe di esistere il riferimento al precetto sanzionato con la fattispecie penale. Pertanto la mancanza di un decreto legislativo di coordinamento e di raffronto lascerà nelle mani delle procure e del giudice penale la verifica della continuità dell'illecito, anche alla luce del principio del cosiddetto ne bis in idem, in base al quale non possono applicarsi due sanzioni, penale amministrativa, allo stesso illecito. In sostanza si prospetta il fatto che il regolamento diventa efficace senza un decreto legislativo di armonizzazione e, quindi, la nuova privacy parte, ma ci sono più possibilità di interpretazioni contrastanti nella prime prassi applicative.

Tutto ciò detto, si ricorda di porre la massima attenzione al rispetto del Regolamento Europeo  679/2016 perché da oggi 25 Maggio 2018 è immediatamente efficace, e perché sono ad esempio applicabili senza problemi tutte le norme su informazioni, consenso, misure di sicurezza, data breach, responsabile della protezione dei dati. Si consiglia, pertanto, di rivolgersi a professionisti del settore ai fini dell’adeguamento e del rispetto della nuova normativa europea sulla privacy

Per il futuro, in merito agli interventi più rilevanti previsti dallo schema di decreto legislativo, si possono rilevare il riconoscimento di periodo transitori di efficacia dei provvedimenti e delle autorizzazioni del Garante, e dei codici deontologici vigenti, l’eliminazione, in materia penale, del reato connesso alla mancata adozione delle misure minime di sicurezza e delle sanzioni sovrapposte con quelle amministrative del Regolamento europeo, e in fine auspicate modalità semplificate di adempimento agli obblighi in materia di privacy gravanti in capo al titolare del trattamento per le micro, piccole e medie imprese.

 

Avv. Luca Romanella

Studio Leonardo Ambrosi & Partners

 

Allegati:

• Schema di Decreto Legislativo del 10/05/2018
• Dossier Parlamentare

Link:

• Nostro articolo sui primi adempimenti richiesti al 25 Maggio 2018 dal Regolamento europeo 679/2016
• Provvedimento della Commissione Speciale del Senato per l’esame degli atti urgenti (Convocazione plenaria del 24/05/2018 dichiarata “sconvocata”)
• Sito web del Senato, pagina relativa alla Seduta della Commissione Speciale del Senato per l’esame degli atti urgenti (Convocazione plenaria del 23/05/2018 relativa all’approvazione dello schema di  Decreto Legislativo)
• Guida al Regolamento Europeo sulla privacy (sito web del Garante Italiano)