Il presente post è stato pubblicato sul sito www.blogstudiolegalefinocchiaro.it
La scelta europea di introdurre un Regolamento Generale sulla Privacy direttamente applicabile, e non una direttiva, era inevitabilmente destinata a sconvolgere i quadri normativi degli stati membri, fra cui l’Italia.
La legge di delegazione europea prevede l’abrogazione delle disposizioni del Codice incompatibili con il Regolamento europeo, la modifica del Codice, nonché il coordinamento del quadro normativo. Oltre a ciò, fra i principi e i criteri direttivi generali di cui all’articolo 32 della legge 24 dicembre 2012, n. 23, sono indicati quelli del “riassetto e (del)la semplificazione normativi con l’indicazione esplicita delle norme abrogate” .
Dunque: abrogazione espressa, coordinamento del quadro normativo e semplificazione.
La tecnica normativa è rimessa al legislatore delegato, che può abrogare le disposizioni incompatibili e coordinare il quadro normativo, allo scopo di adeguare l’ordinamento italiano semplificando.
Non si poteva che muovere dal Regolamento, fonte sovraordinata rispetto al Codice, verificando la compatibilità delle norme del Codice con quelle del Regolamento.
La parte generale del Codice risulta sostituita in modo naturale dalle disposizioni del Regolamento, che su queste prevalgono e quasi nulla resta della parte generale del Codice.
La parte speciale del Codice è stata invece trasferita, con i necessari adeguamenti imposti dal Regolamento europeo, nello schema di decreto.
L’alternativa, quanto a tecnica normativa, sarebbe stata quelle di avere tre testi normativi: Regolamento, decreto e “Codice”, palesemente non più tale, perché svuotato della maggior parte delle disposizioni.
Avere due testi normativi e non tre risponde alle esigenze di chiarezza e di semplificazione, oltre a garantire una miglior tutela al diritto oggetto delle disposizioni, cioè il diritto alla protezione dei dati personali.
Si è voluto lasciare emergere in modo chiaro che la fonte di riferimento è costituita dal Regolamento e che non vi sono due o più testi normativi, parzialmente sovrapposti, nei quali sarebbe stato necessario cercare le disposizioni e verificarne di volta in volta la compatibilità. La fonte è costituita dal Regolamento europeo, eventualmente integrata dallo schema di decreto.
Il contenuto:
Lo scenario tecnologico, sociale e normativo negli ultimi venti anni è profondamente mutato e il GDPR adotta un nuovo approccio alla protezione dei dati personali, basato sull’accountability invece che su un sistema autorizzatorio.
La “direttiva-madre” n. 46 del 1995 sulla protezione dei dati personali, da cui ha avuto origine il Codice, è abrogata dal Regolamento europeo 679 del 2016.
I cambiamenti sulla disciplina per la protezione dei dati personali, più o meno graditi, entrano nel nostro ordinamento portati direttamente dal Regolamento, che opera una rivoluzione normativa, mentre lo schema di decreto si occupa di raccordare il Regolamento con il quadro normativo italiano.
Il diritto alla protezione dei dati personali è nella Carta dei diritti fondamentali dell’Unione europea. È patrimonio europeo e non solo italiano.
Le scelte principali:
– Continuità
Si è scelto di garantire la continuità facendo salvi per un periodo transitorio i provvedimenti del Garante e le autorizzazioni, che saranno oggetto di successivo riesame, nonché i Codici deontologici vigenti. Essi restano fermi nell’attuale configurazione nelle materie di competenza degli Stati membri, mentre possono essere riassunti e modificati su iniziativa delle categorie interessate quali codici di settore.
– Meccanismo delle consultazioni pubbliche e il coinvolgimento delle categorie interessate
Si è rafforzato il meccanismo delle consultazioni pubbliche e il coinvolgimento delle categorie interessate in molteplici casi.
– Semplificazione delle micro, piccole e medie imprese
Si è previsto che il Garante promuova modalità semplificate di adempimento degli obblighi del titolare del trattamento.
– Norme penali
L’art. 83 del Regolamento impone l’introduzione di sanzioni amministrative ad hoc per le violazioni delle norme a tutela dei dati personali, mentre il successivo art. 84 ammette l’introduzione di ulteriori sanzioni (anche penali), «in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie a norma dell’articolo 83». In proposito, inoltre, il considerando n. 149 precisa che «l’imposizione di sanzioni penali per violazioni di tali norme nazionali, e di sanzioni amministrative, non dovrebbe essere in contrasto con il principio del ne bis in idem quale interpretato dalla Corte di Giustizia».
Quasi tutte le vigenti disposizioni penali (artt. 167 ss. del codice privacy) reprimono comportamenti che, in attuazione dell’art. 83 del Regolamento, dovranno essere puniti con sanzioni amministrative (fa eccezione soltanto il reato di false comunicazioni al Garante). Di conseguenza, è stata evidenziata l’opportunità di adempiere a tale obbligo procedendo direttamente ad una depenalizzazione di tali illeciti penali, in modo da scongiurare i rischi di violazione del principio del ne bis in idem tra sanzioni penali e sanzioni amministrative affermato nella giurisprudenza delle Corti europee.
Oltre a ciò, si deve considerare che l’art. 167 (a parte che nel caso Vividown poi riformato in appello e cassato dalla Suprema Corte) non è stato applicato che in pochissimi procedimenti bagatellari dalle Corti italiane.
– e-Privacy
Al fine di non incorrere nel rischio di eccedere la delega e in attesa dell’emanando Regolamento europeo in materia di e-Privacy, il decreto non modifica le disposizioni concernenti le comunicazioni elettroniche.
La ricchezza dell’esperienza giuridica italiana degli ultimi venti anni e più in materia di protezione dei dati personali rimane salda e non è certo solamente legata a ciò che resta del Codice, sostituito dal Regolamento europeo.