Vi proponiamo qui l’articolo di Giusella Finocchiaro sullo schema di decreto che armonizza l’integrazione del Regolamento dell’Unione Europea sulla privacy, pubblicato su il Sole 24 Ore in data 1 aprile 2018.
Il GDPR, cioè il Regolamento UE 2016/679 relativo alla protezione dei dati personali nonché alla libera circolazione dei dati, è direttamente applicabile dal 25 maggio.
L’Italia ha ritenuto, con un notevole ritardo, che fosse opportuno adeguare il quadro normativo. Altri Paesi europei hanno intrapreso il lavoro di adeguamento già nel 2016, noi nel gennaio di quest’anno. Il 21 marzo il Consiglio dei Ministri ha approvato uno schema di decreto.
Il GDPR, emanato oltre 20 anni dopo la “direttiva-madre” 95/46, che viene abrogata, rivoluziona l’approccio alla protezione dei dati personali. Si passa da un regime autorizzatorio ad uno di accountability, cioè di responsabilizzazione. L’interesse alla libera circolazione dei dati personali è ora uno dei riferimenti necessari nel bilanciamento che l’applicazione del diritto alla protezione dei dati personali impone. Sulla base giuridica del legittimo interesse del titolare, valutata la specifica finalità, potranno essere trattati, ad esempio, i dati provenienti da pubblici registri, comunicati i dati infragruppo, trattati i dati dei rappresentanti delle persone giuridiche. Ancora, il consenso al trattamento dei dati sanitari per finalità di diagnosi, assistenza o terapia sanitaria non sarà più richiesto.
Il nuovo approccio normativo della UE a venti anni dalla direttiva, si fonda sulla constatazione del mutamento dello scenario tecnologico e sociale (basti pensare ai social network che neppure esistevano).
Ciò premesso, veniamo al metodo e alle scelte principali adottate nello schema di decreto. Visto che il Regolamento europeo non può essere inserito in un testo normativo italiano, si sono integrate le sue disposizioni, ove necessario, nello schema di decreto, seguendo l’ordine del Regolamento. La delega prevedeva l’abrogazione delle disposizioni del Codice privacy incompatibili con il Regolamento, la modifica del Codice e il coordinamento del quadro normativo, in osservanza del principio generale di semplificazione e riassetto normativi.
Dunque, muovendo dal Regolamento, fonte sovraordinata, si sono eliminate le disposizioni del Codice italiano, figlio della direttiva abrogata, non compatibili. Pressoché l’intera parte generale del Codice è risultata abrogata.
Di conseguenza, si è posta la scelta se mantenere un terzo testo normativo (oltre al Regolamento e al decreto) costituito da ciò che restava del Codice, all’evidenza non più tale, o se trasferire le disposizioni del Codice nel decreto, lasciando agli operatori non tre, ma due testi normativi. Questa seconda scelta è parsa la più razionale nell’ottica di riordinamento e di semplificazione.
Si è scelto, inoltre, di mantenere la continuità facendo salvi per un periodo transitorio i provvedimenti del Garante (si pensi, per esempio a quello in materia di biometria) e le autorizzazioni, che saranno oggetto di successivo riesame. Sono stati mantenuti anche i Codici deontologici vigenti (ad esempio, quello dei giornalisti).
Si sono rafforzati il meccanismo delle consultazioni pubbliche e il coinvolgimento delle categorie interessate in molteplici casi. Per le micro, piccole e medie imprese si è previsto che il Garante promuova modalità semplificate di adempimento degli obblighi del titolare del trattamento.
Il Regolamento precisa che l’imposizione di sanzioni penali non deve essere in contrasto con il principio del ne bis in idem quale interpretato dalla Corte di Giustizia Ue, che vieta, come ribadito recentemente, un sistema a doppia sanzione e a doppio processo.Siccome il Regolamento prevede gravi sanzioni amministrative (fino a 20 milioni di euro o fino al 4% del fatturato mondiale annuo dell’esercizio precedente, se superiore), che gli stati membri non possono modificare e per le quali non è consentito introdurre un minimo, si sono eliminate le corrispondenti norme penali.
In attesa dell’emanando Regolamento europeo in materia di e-Privacy, il decreto non modifica le disposizioni concernenti le comunicazioni elettroniche.
Considerato il nuovo approccio europeo alla protezione dei dati personali, lo schema di decreto cerca di semplificare e deburocratizzare, nonché di ridurre i costi dell’incertezza giuridica.
Aggiungi commento