Decreto di adeguamento al Regolamento privacy: un focus sulle urgenze
Dopo un primo commento successivo all’annuncio del via libero definitivo alla norma, Franco Pizzetti è tornato a commentare il decreto legislativo di adeguamento della normativa italiana al Regolamento europeo sulla privacy, all’indomani della sua pubblicazione in Gazzetta Ufficiale. Il lungo approfondimento, pubblicato su Agenda Digitale, è dedicato alle urgenze cui è chiamato in particolare il Garante Privacy a seguito di queste novità. “Un compito immane lo attende - si legge nell’abstract - il Garante è chiamato a un lavoro di messa in asse del sistema costituito dal GDPR, dal decreto delegato di attuazione e dal vecchio Codice come novellato dal decreto 101 del 10 agosto 2018”. Di seguito l’introduzione dell’articolo:
Il decreto delegato di adeguamento della normativa nazionale alle disposizioni del GDPR è finalmente stato pubblicato in Gazzetta Ufficiale, ma adesso bisogna correre. Sul Garante Privacy la norma pone infatti nuovi grandi poteri e altrettante responsabilità, perché nei prossimi mesi l’Italia possa passare definitivamente dal vecchio al nuovo sistema privacy. Con tutti i vantaggi che ne derivano per il sistema Paese e le aziende.
L’arrivo del testo in Gazzetta
È stata così esercitata, dopo un processo lungo e molto tormentato di preparazione, esame e discussione, che ha attraversato due legislature e due diversi governi, la delega contenuta nell’art. 13 della legge di delega 25 ottobre 2016 n. 17, entrata in vigore il 21 novembre 2018.
Sulle vicende che hanno caratterizzato questo procedimento si è già detto nell’articolo pubblicato su Agenda Digitale del 23 agosto 2018.
In quell’articolo si è sottolineato in particolare il contrasto tra la scelta, compiuta inizialmente dalla Commissione Finocchiaro, di abrogare l’intero Codice privacy previgente per sostituirlo integralmente con un nuovo testo, coordinato e coeso, e quella adottata dal Consiglio dei Ministri del 21 marzo 2018, di procedere invece alla novella del vecchio Codice contenuto nel d.lvo n. 193 del 2003 e successive modificazioni.
Un quadro normativo complesso
La scelta fatta dal Governo comporta necessariamente molte difficoltà per chi debba ora interpretare e applicare un apparato normativo composto dal GDPR, dal nuovo decreto legislativo e dal Codice del 2003 come novellato per effetto delle nuove norme.
Una difficoltà che forse potrà esser attenuata se il Garante vorrà procedere lui stesso a promuovere e pubblicare una versione del vecchio d.lvo n. 193 del 2003 coordinata col nuovo testo normativo. Alcune versioni, promosse più che meritevolmente, da alcuni studi legali, e che certamente si moltiplicheranno ad opera di editori e commentatori nei prossimi mesi, non hanno infatti alcun valore legale anche se possono essere utili ausili compilativi.
Purtroppo non avrà valore legale neppure una attività di coordinamento ad opera del Garante. Il nuovo decreto che pure affida alla Autorità un numero notevolissimo di compiti e poteri, compresa l’adozione di regole deontologiche, provvedimenti a carattere generale, misure di garanzia e provvedimenti sostituitivi o, quando è possibile, anche confermativi o adeguativi delle precedenti autorizzazioni generali, non dà alcun potere al
Garante in merito. Il che non toglie che un testo coordinato edito dall’Autorità sia massimamente auspicabile, anche per la sua autorevolezza.
Va altresì sottolineato che neppure la delega dell’art. 13 della l. n. 163 del 2017 prevede, al contrario di quanto ormai avviene in moltissimi casi, la possibilità per il Governo di adottare uno o più decreti correttivi entro il primo o il secondo anno dall’entrata in vigore di questo decreto.
Dunque, allo stato delle cose, e senza una nuova delega al Governo, non possiamo neppure contare su un nuovo decreto delegato di coordinamento fra il vecchio testo del d.lvo. n.193 del 2003 e il testo del decreto legislativo del 10 agosto 2018, n. 101, pubblicato in Gazzetta Ufficiale il 4 settembre 2018.
Ci troviamo insomma di fronte a una situazione piuttosto complessa e che tale è destinata a restare a lungo.
Siamo costretti a operare nel quadro di un unico contesto normativo, costituito da fonti regolatorie a più livelli. Il pilastro portante della costruzione è costituito ovviamente dal GDPR (e per le attività di polizia e giustizia anche dalla dottrina Direttiva 2016/680). Il contesto nazionale però, pur ruotando tutto intorno al GDPR, è costituito sia dal nuovo decreto delegato che dal vecchio decreto delegato come novellato a seguito della entrata in vigore di quest’ultimo.
Inoltre, tenendo conto della Direttiva 2016/680 (la Direttiva NIS 2016/1148 tocca solo indirettamente la nostra materia), il quadro regolatorio nazionale di adeguamento alla normativa europea in materia di tutela dei trattamenti dei dati personali si completa col decreto legislativo 18 maggio 2018, n. 51.
Come ricorda Federica Resta nel suo contributo pubblicato in questa rubrica, quest’ultimo decreto ha un particolare interesse anche rispetto alla corretta interpretazione e applicazione del nuovo decreto delegato di adeguamento al GDPR.
Infatti, specialmente per la parte penalistica, per quella relativa al rapporto tra Garante e Autorità giudiziaria e per quella attinente alla tecnica della abrogazione ad efficacia differita di alcune norme del vecchio Codice (cfr.art.49 d.lvo n.51/2018) anch’esso ha avuto una forte influenza in sede di adozione del decreto delegato di cui ci stiamo occupando…