Reg. UE 679/2016: perché è stato promulgato e a che punto siamo in Italia
L’introduzione del regolamento UE 679/2016
Il Regolamento UE 2016/679 (General Data Protection Regulation), noto anche come Regolamento Generale sulla Protezione dei Dati (GDPR) entrato in vigore il 25 maggio 2018, è posto a presidio della protezione delle persone fisiche con specifico riguardo al trattamento e alla libera circolazione dei dati personali. La norma, vincolante per tutti gli Stati membri dell’Unione Europea, è frutto di diversi anni di lavoro da parte della Commissione Europea che ha inteso concretizzare due principali obiettivi, considerati di primario interesse: consentire ai cittadini degli Stati membri un controllo più penetrante sui propri dati personali e semplificare il quadro normativo di riferimento per tutte le imprese che gestiscono tali dati.
Il Regolamento pubblicato nel 2016 ha sostituito la vecchia Direttiva UE (n. 45/1996) e, a differenza di quest’ultima, non necessita di una c.d. “legge di recepimento” da parte degli Stati membri dell’UE per diventare esecutivo.
Il legislatore europeo ha, in sintesi, ritenuto che i tempi fossero maturi per uniformare la normativa in materia di privacy in tutti gli Stati membri. Il GDPR vincola infatti tutti gli Stati membri e, pur essendo stato emanato nel 2016, dispiega la sua efficacia a partire dal 25 maggio del 2018, lasciando un periodo di due anni di tempo per adeguarsi alle novità legislative.
Il Regolamento, tuttavia, non va ad intervenire su tutti gli aspetti relativi alla disciplina in materia di privacy: il Legislatore europeo ha infatti ritenuto opportuno lasciare alcuni “spazi” liberi alla competenza dei singoli Stati membri.
Per quel che riguarda l’Italia, basti pensare al fatto che il Codice della Privacy (che era stato adottato per recepire la Direttiva UE n. 45/1996) è rimasto in vigore, pur con alcune rilevanti modifiche introdotte proprio dal GDPR.
Le modifiche al Codice della Privacy
Poiché l’introduzione di un Regolamento europeo comporta l’immediata applicazione delle norme ivi contenute, l’intervento legislativo, in Italia, doveva perseguire una duplice finalità:
- andare ad eliminare le norme di diritto interno incompatibili o contrastanti con quelle del GDPR ;
- disciplinare tutti quegli aspetti che il legislatore europeo ha espressamente riservato alla competenza dei singoli Stati membri.
Il legislatore italiano ha quindi emanato il decreto legislativo n. 101/2018, in vigore dal 19 settembre di quell’anno, con il quale si è scelto di emendare l’esistente Codice della privacy (introdotto con il d.lgs. n. 196/2003), operando consistenti modifiche. Uno degli aspetti centrali di queste modifiche ha riguardato la normativa valida per le pubbliche amministrazioni, anche perché il legislatore europeo aveva riservato ai singoli Stati la competenza relativa ai profili di diritto pubblico e amministrativo.
La sussidiarietà del “nuovo” Codice della privacy rispetto al Regolamento europeo risulta evidente già da una lettura dei primi articoli del decreto legislativo, dove testualmente si afferma che il testo ha ad oggetto “disposizioni per l’adeguamento dell’ordinamento nazionale alle disposizioni del regolamento” (art. 2). Indicazione che, in realtà, non pare del tutto precisa, poiché la nuova normativa introduce anche alcune disposizioni che non sono collegate al GDPR.
Le modifiche più rilevanti hanno riguardato, in particolare:
- il trattamento di dati sensibili (oggi definiti “dati particolari”): dati genetici, dati sulla salute, l’orientamento sessuale, le convinzioni religiose, le opinioni politiche eccetera.
- La disciplina dell’Autorità Garante: ogni Stato membro è infatti tenuto a dotarsi di un organo che garantisca la tutela dei dati personali. Il Legislatore europeo non ha tuttavia imposto un modello “unitario”, lasciando agli Stati la possibilità di scegliere come organizzare e regolare quest’Organo. Per esempio, in Italia era già presente un’Autorità Garante, di nomina parlamentare, alla quale sono state attribuite nuove funzioni.
- La disciplina sanzionatoria: l’Unione Europea non ha competenze in ambito penale, e può irrogare esclusivamente sanzioni amministrative. Il GDPR prevede la possibilità per gli Stati, in casi di particolare gravità, di introdurre sanzioni penali che possano essere irrogate, in materia di privacy, dalla magistratura ordinaria. Anche su questi aspetti, la competenza è riservata ai singoli Stati e le sanzioni penali in materia di privacy sono contenute nel Codice novellato.
Al di là delle consistenti modifiche imposte al Codice della Privacy dall’introduzione del GDPR, rimane invariato per il Legislatore italiano la possibilità di intervenire su alcuni aspetti che della disciplina della privacy. L’intervento legislativo compiuto nel 2018 potrebbe non essere l’ultimo, ed è probabile che l’ordinamento giuridico si troverà a misurarsi con le nuove sfide che certamente investiranno il mondo della privacy, in costante evoluzione e costretto ad adeguarsi alle novità tecnologiche.
Anche per queste ragioni, è fondamentale il sostegno di un professionista che rimanga sempre aggiornato sulle possibili novità legislative, così da non farsi trovare impreparati ed esposti ai rischi di un mancato aggiornamento, o di vere e proprie sanzioni.