Il nuovo Regolamento europeo in materia di privacy e il suo coordinamento all’interno dell’ordinamento italiano: una (delicata) corsa contro il tempo.

Fra poco meno di un mese, il 25 maggio 2018, entrerà in vigore il Regolamento UE 2016/679 (in seguito GDPR – General Data Protection Regulation).

Si tratta di un cambiamento epocale in materia di protezione dei dati personali. Per effetto di questa innovazione, infatti, dovranno essere rivisti tutti quei contratti in cui si sia previsto uno scambio di dati personali e tutte le informative e i moduli di raccolta del consenso predisposti nel corso degli anni.

Tra le novità di rilievo vi è, in particolare, la cd. “valutazione d’impatto sulla protezione dei dati” prevista dall’art. 35 del GDPR. Si tratta di un esame preliminare necessario per valutare la conformità di tutte quelle operazioni che coinvolgano dati personali, poste in essere mediante “l’uso di nuove tecnologie, considerati la natura, il campo di applicazione, il contesto e le finalità del trattamento” e ritenute astrattamente idonee a “presentare un rischio elevato per i diritti e le libertà delle persone fisiche“.

Se, all’esito di tale valutazione risultasse “un rischio elevato per i diritti o le libertà delle persone fisiche”, diverrebbe quindi necessario consultare direttamente il Garante della Privacy (art. 36).

Il Regolamento ha inoltre apportato una modifica sostanziale al sistema sanzionatorio.

In particolare l’art. 83 prevede sanzioni amministrative pecuniarie fino a 20.000.000 di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore alla predetta somma.

Alla luce di queste novità, non sorprende che, già da tempo, i numerosi soggetti destinatari del GDPR, tra cui anche le cooperative, si stiano preparando ad affrontarne le novità, poc’anzi solo in parte abbozzate.

Eppure, a meno di un mese dalla dead line del 25 maggio, i dubbi attorno all’effettiva portata del regolamento nell’ordinamento italiano, invece di dipanarsi, sembrano acquisire nuovo vigore.

Tale incertezza è originata da una questione di carattere tecnico-giuridico. Infatti, sebbene lo strumento scelto dall’Unione europea (regolamento e non direttiva) non richieda un recepimento da parte dei Parlamenti nazionali, molti Paesi hanno comunque preferito predisporre delle norme di coordinamento per garantire la coerenza del Regolamento con la normativa interna.

La medesima valutazione, benché con grande ritardo, è stata assunta anche dall’Italia.

Ciò è avvenuto in forza della delega conferita al Governo dall’art. 13 della Legge di delegazione europea 2016-2017 (L. 25.10.2017, n. 163), a seguito della quale è stata nominata, presso il Ministero della giustizia, una Commissione che ha potuto incominciare i lavori solo a gennaio 2018 per concluderli già a metà marzo 2018 (in altri Stati membri operazioni simili erano già iniziate a partire dal 2016). La stessa presidenza della Commissione ha confermato la necessità di un intervento di coordinamento e adeguamento volendo anticipare quell’attività che, diversamente, sarebbe stato compito del Garante per la protezione dei dati personali e, soprattutto, dei Tribunali.

All’esito dei lavori, il 21.03.2018, il Consiglio dei Ministri ha quindi approvato, in esame preliminare, uno schema di decreto legislativo recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento.

In particolare, ai sensi del combinato disposto degli art. 102 e 104 della bozza di decreto, è stata prevista, a far data dal 25 maggio 2018 (quindi in corrispondenza con l’entrata in vigore del GDPR), l’integrale abrogazione del Codice in materia di protezione dei dati personali (il cd. Codice della privacy – D.Lgs. 196/2003).

Ne consegue, quindi, che in Italia, se fosse approvato il nuovo decreto, la disciplina in materia di tutela della privacy sarebbe regolata esclusivamente dalle disposizioni immediatamente applicabili del GDPR e da quelle ricavabili dal nuovo schema di decreto.

Secondo la relazione illustrativa allo schema di decreto, la scelta di abrogare il D.Lgs. 196/2003 sarebbe volta ad “evitare che tutti, e quindi anche l’interprete, dovessero consultare (almeno) tre testi normativi” (il regolamento, il “vecchio” codice privacy e il “nuovo” decreto di adeguamento).

Dovendo prescindere in questa sede da un’analisi dettagliata della proposta del Governo (lo schema di decreto consta di ben 104 articoli), ad un primo esame, occorre evidenziare almeno due aspetti critici.

In primo luogo, la motivazione indicata nella relazione illustrativa non appare convincente. Lo stesso obiettivo di semplificazione, infatti, si sarebbe potuto raggiungere semplicemente novellando – mediante il decreto di adeguamento – il Codice della Privacy esistente.

Ciò vale, a maggior ragione, se si tiene conto del fatto che nella legge delega il Parlamento aveva affidato al Governo il compito di “modificare il D.Lgs. 196/2003 limitatamente a quanto necessario per dare attuazione alle disposizioni non direttamente applicabili contenute nel Regolamento (UE) 2016/679”. Ne consegue che un’abrogazione integrale del D.Lgs. 196/2003 potrebbe rivelarsi incostituzionale per eccesso di delega.

Non sorprende che tale situazione abbia contribuito ad alimentare lo stato di incertezza, tanto che il 5 aprile 2018 le principali associazioni di categoria (ANORC Privacy, ANORC Professioni, ANDIP, Associazione Privacy Italia, Istituto Italiano Privacy, ANGIF, ANDIG e Federprivacy) hanno diramato un comunicato congiunto fortemente critico non solo per il loro mancato coinvolgimento nell’iter di approvazione del decreto, ma soprattutto nei confronti della scelta di abrogare l’intero Codice della privacy, ritenuta “verosimilmente incostituzionale”.

Quel che è certo è che nessun provvedimento, né del Governo né del Garante della privacy, può prorogare l’entrata in vigore del Regolamento europeo che, anche in assenza di una norma di attuazione, sarà autonomamente applicabile a partire dal 25 maggio.

Non resta quindi che aspettare e monitorare con attenzione gli sviluppi normativi (e le note del Garante della Privacy) che, a meno di un mese dalla definitiva efficacia del GDPR, dovranno fare chiarezza sulla normativa applicabile nell’ordinamento italiano.

A questo proposito torna viva l’ipotesi, smentita recentemente dal Garante della Privacy, di prevedere un periodo di sei mesi in cui non sanzionare chi risultasse inadempiente rispetto ai nuovi obblighi, mutuando una decisione recentemente già presa dall’Autorità della privacy francese.

Link all’articolo