GDPR: Italia in crisi?

Il prossimo 25 maggio 2018, se qualcuno non lo sapesse, entra in vigore il nuovo Regolamento sulla privacy, il General Data Protection Regulation anche conosciuto come GDPR. In rete circolano notizie di ogni genere, per lo più catastrofiche, quasi da fine del mondo. Si tratta invece di un nuovo inizio. Il nuovo Regolamento ha disegnato nuovamente i confini di una normativa poco amata se non odiata) da tutti. Ha finalmente consacrato un principio che nella Direttiva precedente timidamente si intravedeva, ovvero che le misure di sicurezza devono dipendere da un’analisi del rischio e che gli adempimenti da realizzare cambiano da titolare a titolare. Lo urla a gran voce questo principio il GDPR, consacrandolo nel principio «accountability» o responsabilizzazione.

È un Regolamento, direttamente applicabile certo, ma non si possono scordare vent’anni di normativa precedente e di provvedimenti del Garante. Ma quel “vecchio” Codice della Privacy, D.lgs. 196/2003 sta vivendo mesi difficili.

Dopo una prima proposta legislativa alquanto discutibile e sicuramente non apprezzata dagli operatori della materia, in questi giorni la Ragioneria generale ha approvato una seconda versione, differente da quella dello scorso 21 marzo 2018 che propone un Codice della privacy (dlgs 196/2003), rimaneggiato da numerosi innesti e sostituzioni dovute dall’entrata in vigore del Regolamento 2016/679.

Il tempo certo comincia a stringere e per noi addetti ai lavori avrebbe fatto comodo avere qualche margine temporale più comodo, ma alcuni dubbi permangono anche in merito al rispetto del termine del prossimo 21 maggio entro il quale il decreto dovrebbe essere approvato in via definitiva.

Si tratta ancora di una bozza, ma nel testo licenziato in questi giorni ricompare l’articolo penale che erroneamente era stato eliminato nella prima bozza del 21 marzo u.s.

L’art 167 del codice privacy, in versione depenalizzata, sul trattamento illecito dei dati, appare riformulato e integrato da alcuni articoli che introducono fattispecie autonome che però sembrano strutturate come aggravanti della fattispecie prevista dall’art 167.

Si tratta dell’art 167 bis rubricato “Comunicazione e diffusione illecita di dati personali riferibili a un ingente rilevante numero di persone” e l’art 167 ter “Acquisizione fraudolenta di dati personali”.

La depenalizzazione che ne conseguirebbe in realtà si riferirebbe al generale trattamento illecito dei dati, essendo state strutturate le fattispecie ora risultanti come fatti specifici e non più come violazione generale legata ad un trattamento di dati ed a un danno che ne possa derivare.

Del pari l’irrogazione della sanzione amministrativa comporta la diminuzione della pena.

Queste ultime due modifiche ( le fattispecie specifiche e la diminuente di pena) sembrano rispondere da un lato alla critica circa la genericità della fattispecie penale che si sovrapporrebbe alle sanzioni amministrative determinandone un possibile “ne bis in idem” e dall’altro, in virtù della diminuente di pena derivante dalla irrogazione della sanzione amministrativa, sembrano salvare il doppio binario, eliminando anche in questo caso il pericolo del ne bis in idem sostanziale e procedurale.

Resta, infine, il “problema” dei “vecchi” provvedimenti del Garante. Il decreto legislativo di armonizzazione dell'ordinamento italiano al Regolamento Ue 2016/679 stabilisce che a decorrere dal 25 maggio 2018, i provvedimenti del Garante per la protezione dei dati personali continuano ad applicarsi, in quanto compatibili con il regolamento e con le disposizioni del decreto di armonizzazione.

La transizione dal Codice della privacy al Regolamento 2016/679 sarà gestita anche verificando la sorte dei provvedimenti adottati dal Garante per la protezione dei dati personali.

A questo proposito il Considerando 41 del Regolamento Ue, afferma che «qualora il presente regolamento faccia riferimento a una base giuridica o a una misura legislativa, ciò non richiede necessariamente l'adozione di un atto legislativo da parte di un parlamento, fatte salve le prescrizioni dell'ordinamento costituzionale dello Stato membro interessato. Tuttavia, tale base giuridica o misura legislativa dovrebbe essere chiara e precisa, e la sua applicazione prevedibile, per le persone che vi sono sottoposte, in conformità della giurisprudenza della Corte di giustizia dell'Unione europea (la «Corte di giustizia») e della Corte europea dei diritti dell'uomo».

La base giuridica del trattamento potrà essere rappresentata da un atto diverso da un atto legislativo, e anche, nel rispetto del principio di gerarchia delle fonti e del principio di competenza, da un provvedimento del Garante per la protezione dei dati personali.

Il decreto legislativo di coordinamento impone di censire i provvedimenti dell'Autorità di controllo italiana al fine di stabilire se gli stessi possano costituire, in tutto o in parte, idonea base giuridica. In tabella si passano al vaglio alcuni provvedimenti in settori cruciali e si propone una linea di lettura sulla possibile compatibilità rispetto al Regolamento Ue, nelle more di indicazioni ufficiali del Garante della privacy.