Teresella Consonni
Pubblicato il 4 settembre in Gazzetta Ufficiale il Decreto n.101 del 10 agosto 2018 di coordinamento al Regolamento con entrata in vigore il 19 settembre 2018. Previsto un periodo di transizione di 8 mesi di moratoria con una particolare attenzione a microimprese, Pmi e medie organizzazioni.
«Storicamente, la privacy era quasi implicita, perché era difficile trovare e raccogliere informazioni. Ma nel mondo digitale, che si tratti di telecamere o di satelliti o semplicemente di un clic sul computer, abbiamo bisogno di avere norme più esplicite, non solo per i governi, ma anche per le imprese private» afferma Bill Gates: un parere anticipatore e autorevole quasi a corroborare le scelte fatte dai legislatori europei.
Il GDPR – General Data Protection Regulation o Regolamento generale sulla protezione dei dati personali ovvero Regolamento Europeo 2016/679 è legge dal 2016, si applica dal 25 maggio del 2018 e il Decreto n.101 di coordinamento al Regolamento approvato dal Consiglio dei Ministri del 10 agosto, pubblicato il 4 settembre 2018 sulla Gazzetta Ufficiale, non lo modifica in nulla, ma introduce soltanto norme utili per meglio applicarlo e rendere l’ordinamento giuridico italiano ad esso conforme. Il Consiglio dei Ministri ha approvato in via definitiva il decreto legislativo di armonizzazione della disciplina della privacy italiana al Regolamento Ue ma data la complessità dell’iter legislativo e i tempi stretti intercorsi il lavoro va perfezionato da parte dell’Autorità.
Il Decreto mette a punto una normativa di dettaglio tecnica che utilizza quanto gli uffici legislativi di Autorità Garante, Camera, Senato, Ministero della Giustizia e Governo hanno potuto predisporre durante un iter complesso e laborioso. Il vecchio Codice Privacy è abrogato in parte nel decreto e altrove è attualizzato in funzione del GDPR e, trattandosi di normativa di dettaglio, il testo predisposto è complesso e richiede tempo e studio per mettere a fuoco nel dettaglio operativo quanto disposto.
L’ingresso nella privacy con formula europea sembra comunque potere diventare meno problematico per il nostro mercato anche grazie alla gradualità prevista nell’attività ispettiva sull’adeguamento delle organizzazioni e della P.A. al Regolamento Ue sulla protezione dei dati 2016/679 (o GDPR), Regolamento che è operativo a pieno titolo dal 25 maggio 2018. Secondo il Decreto n. 101, il provvedimento entra in vigore il 19 settembre 2018 con un periodo probabile di otto mesi per l’attuazione a pieno regime dei poteri d’indagine affidati al Garante per la protezione dei dati personali. In pratica una moratoria per mettere a punto alcune dinamiche di armonizzazione, tra cui i codici deontologici e possibilmente facilitare l’adeguamento ai dettami del GDPR da parte degli operatori e delle organizzazioni, con una particolare attenzione per microimprese, Pmi e medie organizzazioni. Il Decreto n.101 dispone all’Art. 22.: ”Altre disposizioni transitorie e finali. 1. Il presente decreto e le disposizioni dell’ordinamento nazionale s’interpretano e si applicano alla luce della disciplina della Unione europea in materia di protezione dei dati personali e assicurano la libera circolazione dei dati personali tra Stati membri ai sensi dell’articolo 1, paragrafo 3, del Regolamento (UE) 2016/679” (che è meglio conosciuto come GDPR).
La situazione italiana che si riferisce al GDPR e al rispetto delle nuove norme resta allo stato attuale assai complessa, specie per startup, microimprese, Pmi e medie imprese: la consapevolezza in merito al nuovo Regolamento, entrato in vigore il 25 maggio scorso in contemporanea nei 28 Paesi della Unione europea, è meno sviluppata di quanto sarebbe necessario per evitare sanzioni ma anche e, soprattutto, per proteggere una qualsiasi organizzazione da rischi informatici e di processo nel trattamento del dato personale. Inoltre, la conoscenza del nuovo assetto normativo appare insufficiente a tutti i livelli.
Il Regolamento generale sulla protezione dei dati personali resta risultato di compromessi significativi a livello comunitario ma il legislatore europeo ha voluto dare ai 28 Stati facoltà di interventi in settori circoscritti, proprio in funzione della complessità e della trasversalità della materia. E sono state individuate 11 aree del GDPR in cui ogni Stato avrebbe potuto meglio specificare regole, limiti, estensione di poteri, obbligo e diritti: è il caso di settori strategici come quello dei codici di condotta o della sanità.
La legge italiana di adeguamento al GDPR europeo intende adottare semplificazioni per Pmi e medie imprese e, dopo la decisione presa dal consiglio dei ministri lo scorso 10 agosto, si attende il testo ufficiale del nuovo Codice Privacy e del Regolamento ad hoc da parte del Garante a seguito della pubblicazione sulla Gazzetta Ufficiale del Decreto che coordina la vecchia normativa nazionale sulla protezione dei dati con il Regolamento europeo. Per semplificare l’applicazione del Regolamento europeo si è presa la decisione di novellare il Codice in materia di protezione dei dati personali, garantendo la continuità con la vecchia disciplina attraverso una fase transitoria. Inoltre, l’attività ispettiva sull’adeguamento al GDPR da parte delle imprese e della P.A. è stata pensata come graduale. I poteri d’indagine, affidati al Garante della privacy, andranno a pieno regime dopo un periodo di passaggio, probabilmente esteso per otto mesi. Sulla base di quanto già fatto da altri Paesi della Unione europea, il decreto legislativo ha scelto di rendere più digeribili le pesanti sanzioni amministrative previste per le infrazioni alla nuova normativa in materia di protezione dei dati personali, concedendo una sorta di moratoria che lascia maggiore tempo ai soggetti per adeguarsi pienamente a quanto prescritto dal Regolamento.
La brevità del tempo concesso alla Commissione non ha consentito di procedere non solo all’adeguamento della normativa italiana al GDPR, ma anche a un più completo ammodernamento di quanto disposto in materia. E’ stato possibile dare un contributo innovativo nel testo del decreto per quanto riguarda i diritti delle persone decedute e, in generale, per la parte finale e transitoria della nuova normativa. Nel testo approvato dal Consiglio dei Ministri si prevede, inoltre, l’abbassamento a 14 anni della soglia di età per i minori per esprimere il consenso per il trattamento dati nell’ambito dei servizi della società dell’informazione.
Il lavoro sviluppato per la preparazione del Decreto avrebbe voluto predisporre una regolazione nazionale agile, facilmente interpretabile e applicabile dagli operatori in coerenza all’obbiettivo perseguito dal GDPR che con l’Art. 1 vuole assicurare una protezione elevata di un diritto fondamentale nella Unione europea e insieme favorire la libera circolazione dei dati, in un quadro di sviluppo europeo della economia e della società digitale. Tuttavia nella fase preparatoria, si è avuto solo tempo per sviluppare una attività di elaborazione e proposta, estesa a tutta la prima parte del precedente Codice. Un lavoro ulteriormente migliorato, a parere degli esperti (tra i quali si distingue il professor Franco Pizzetti), anche con il concorso delle Commissioni parlamentari nel corso delle varie fasi di valutazione dello schema di Decreto predisposto.
La scelta del governo ha inteso mantenere e ampliare alcune fattispecie di reato con le relative pene: scelta sostenuta anche dalle Commissioni parlamentari. Si sono così introdotte fattispecie nuove di reato: trattamento illecito dei dati, comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala, acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala, falsità nelle dichiarazioni al Garante, interruzione della esecuzione di compiti e poteri del Garante, inosservanza dei provvedimenti del Garante. Un’approfondita discussione si è sviluppata intorno al nodo delle sanzioni penali di cui la Relazione illustrativa dà ampio rendiconto nella parte introduttiva e nelle pagine finali, dove si può ritrovare una sorta di sintetico manuale di giustizia costituzionale europea.
Il testo definitivo del Decreto recepisce e anche completa i suggerimenti formulati nella fase preparatoria per quanto riguarda la costruzione di un nuovo più incisivo ruolo della Autorità di controllo, non solo per adeguare la normativa al GDPR ma anche per rendere la normativa italiana flessibile e adattabile nel tempo, in consultazione e raccordo con operatori economici, culturali e con la comunità scientifica dei diversi settori.
Il ruolo del Garante Privacy è potenziato. Il terzo e ultimo articolo del Titolo primo della Parte Prima del Codice, come novellato dal Decreto si collega a un aumento di poteri e competenze che il decreto di adeguamento conferisce all’ Autorità Garante. L’Art. 3, infatti, riguarda l’Autorità di controllo e specifica che, ai sensi di quanto previsto dall’Art. 51 del GDPR, lo Stato italiano, avvalendosi dei poteri di cui all’art. 54 paragrafo 1, individua tale Autorità nel Garante per la protezione dei dati personali.
Per quanto riguarda microimprese, Pmi e medie imprese il decreto legislativo prevede la promozione, da parte del Garante, di modalità semplificate per l’adempimento degli obblighi che gravano sul titolare del trattamento, nel rispetto delle esigenze di semplificazione per microimprese e delle piccole e medie imprese. E al Garante è affidato il compito di adottare disposizioni specifiche per la disciplina dei dati relativi alla salute, sentito il Ministero della salute, in funzione della facoltà in tal senso concessa dal GDPR.
Riguardo contestazioni e procedimenti pendenti le disposizioni sono stabilite.
Per violazioni non ancora definite alla data del 25 maggio 2018 è prevista la definizione agevolata, con il pagamento di due quinti della sanzione minima: il termine per provvedervi è di 60 giorni dalla data di entrata in vigore del decreto legislativo.
Per contestazioni future si dà la possibilità al trasgressore e all’obbligato in solido di definire la vicenda osservando le prescrizioni dettate dal Garante e pagando la metà della sanzione erogata.
Per procedimenti pendenti si richiede la conferma dell’interesse a trattare reclami, segnalazioni e richieste di verifiche preliminari entro 60 giorni dalla entrata in vigore del decreto, a pena di improcedibilità.
I ricorsi al Garante, che saranno sostituiti dai reclami, sono invece trattati d’ufficio come tali. Sarà possibile continuare a inviare segnalazioni al Garante per sollecitare provvedimenti correttivi e sanzionatori e resteranno efficaci anche i provvedimenti del Garante che non siano in contrasto con il Regolamento Ue sulla protezione dei dati 2016/679.
Una norma, collocata nella parte finale del decreto sulla quale si sofferma anche la Relazione illustrativa, sottolinea al paragrafo 1 che sia il Codice, come novellato dal Decreto delegato di adeguamento, sia tutte le altre norme dell’ordinamento nazionale in materia, “si interpretano e si applicano” alla luce della disciplina europea relativa alla protezione dei dati personali e “assicurano la libera circolazione dei dati personali tra Stati membri ai sensi dell’art.1 del GDPR”.
L’aspetto di maggiore rilevanza del nuovo Decreto delegato non è solo la conformità al GDPR ma anche la sottolineatura ribadita che non solo le norme in esso contenute ma tutte le norme dell’ordinamento italiano relative alla protezione dei dati personali o che possono incidere su questa materia devono essere interpretate alla luce dei principi stabiliti dal Regolamento Europeo 2016/679. Principi che affondano le loro radici nel legame strettissimo imposto dal GDPR tra la tutela dei dati personali e la garanzia della libera circolazione dei dati all’interno della Unione europea.
Appare chiaro da quanto delineato che è richiesto un concreto impegno a ognuno per aggiornarsi in modo adeguato alle proprie responsabilità lavorative in merito al GDPR-General Data Protection Regulation o Regolamento generale sulla protezione dei dati personali ovvero Regolamento Europeo 2016/679. Comunque si preferisca chiamare la nuova normativa resta il fatto che la legge non ammette ignoranza e per restare competitivi, nel mercato attuale e ancora più nel futuro, necessita una serie di conoscenze tecniche e specialistiche trasversali, tra le quali quelle riguardanti la corretta applicazione del GDPR risultano di particolare evidenza e imprescindibile necessità.
