Addio Codice Privacy, il “convivente” del GDPR sarà un nuovo decreto.
Il Governo ha reso noto quale sarà lo strumento normativo deputato a regolamentare su base nazionale gli obblighi in materia di tutela dei dati personali in riferimento agli ambiti “residuali” che il GDPR riserva alla competenza degli Stati membri: anziché “adattare” il Codice Privacy, si procederà con un nuovo decreto. Ora via all’iter di approvazione che si concluderà giusto in prossimità del 25 maggio (quando le pesanti sanzioni previste dal GDPR saranno operative). Per questo le aziende italiane sperano in un periodo di grazia.
Con il Comunicato Stampa del Consiglio dei Ministri n.75 del 21 marzo scorso è stato finalmente chiarito quale sarà il destino del Codice Privacy a far data dal 25 maggio quando entrerà definitivamente in forza il GDPR Regolamento Ue 2016/679.
Non sarà il Codice Privacy ad assumere il ruolo di corpus nazionale attuativo delle disposizioni del GDPR. Il Codice Privacy sarà abrogato e spetterà ad un nuovo decreto il compito di armonizzare l’ordinamento interno alla nuova disciplina europea (che, bene ricordarlo, sarà direttamente applicabile a prescindere dalle norme di diritto interno). Lo schema di decreto – i cui contenuti non sono ancora noti – è stato approvato dal CdM nella seduta del 21 u.s.
L’esito di un percorso ambiguo
Si chiude così un fase nebulosa in cui sono rimaste incerte le modalità con cui il nostro ordinamento si sarebbe allineato al GDPR. Ma facciamo un passo indietro.
La Legge di delegazione europea 2016/2017 del 25 ottobre 2017, n. 163, pubblicata in Gazzetta il successivo 6 novembre, all’articolo 13 delegava al Governo l’adozione, entro sei mesi dalla sua entrata in vigore, di uno o più decreti legislativial fine di adeguare il quadro normativo nazionale alle disposizioni del GDPR per proveddere a:
• abrogare espressamente le disposizioni del codice in materia di trattamento dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, incompatibili con le disposizioni contenute nel regolamento (UE) 2016/679;
• modificare il codice196/2003 limitatamente a quanto necessario per dare attuazione alle disposizioni non direttamente applicabili contenute nel regolamento (UE) 2016/679;
• coordinare le disposizioni vigenti in materia di protezione dei dati personali con le disposizioni recate dal regolamento (UE) 2016/679;
• prevedere, ove opportuno, il ricorso a specifici provvedimenti attuativi e integrativi adottati dal Garante per la protezione dei dati personali nell’ambito e per le finalita’ previsti dal regolamento (UE) 2016/679;
• adeguare, nell’ambito delle modifiche al codice di cui al decreto legislativo 30 giugno 2003, n. 196, il sistema sanzionatorio penale e amministrativo vigente alle disposizioni del regolamento (UE) 2016/679 con previsione di sanzioni penali e amministrative efficaci, dissuasive e proporzionate alla gravita’ della violazione delle disposizioni stesse.
Stando alle formulazioni utilizzate dalla Legge di delegazione europea, non era affatto scontato che le prossime norme italiane sulla data protection fossero contenute in nuovo decreto anziché nel Codice Privacy. Anzi, il wording con cui sono state definite le deleghe sembrava determinare l’esatto contrario: oltre che ad abrogarne le disposizioni incompatibili, era affidato al Governo il compito di “modificare il codice”.
Nemmeno un mese dopo, altri tangibili segnali sembravano acclarare che il D.Lgs. 196/2003 si sarebbe – previa profonda opera di emendamento e revisione – confermato come il riferimento nazionale in materia di tutela dei dati personali. La L. 20 novembre 2017, n. 167 (Disposizioni per l’adempimento degli obblighi derivanti dall’appartenenza dell’Italia all’Unione europea – Legge europea 2017) interveniva infatti sul Codice Privacy introducendo un nuovo articolo (l’art. 110-bis in tema di riutilizzo dei dati per scopi scientifici) ed integrandone un altro (l’art.29 in tema di Responsabile del trattamento) nell’evidente intendimento di incominciare ad adeguare la normativa interna alle previsioni del GDPR.
Benché tali interventi apparissero nel loro complesso di dubbia opportunità e poco organici – sia nella tempistica che nei contenuti – essi sembravano una prima concretizzazione di quanto poco prima disposto nella Legge di delegazione europea: ossia, risultavano come modifiche apportate al Codice Privacy che era stato eletto come naturale contesto di accoglimento ed attualizzazione della “rivoluzione” GDPR.
La summenzionata impressione si andava fondando su un aspetto in particolare. La Legge europea 2017 introduceva all’art. 29 del Codice Privacy i nuovi commi 4-bis e 5 che palesemente si propongono – benché in modo un po’ scoordinato – di allineare il “nostrano” inquadramento del Responsabile (esterno) del trattamento alla figura del data processor per come disciplinata dall’art. 28 GDPR.
Orbene, posto che da tempo in Italia si ricorre alla nomina di Responsabile del trattamento per regolamentare i rapporti con gli outsourcer ad “impatto privacy”, che bisogno c’era di andare a modificare il Codice Privacy giusto pochi mesi prima della piena entrata in forza del GDPR (che avrebbe comunque direttamente disciplinato questi aspetti)? La spiegazione plausibile sembra poter essere una soltanto: il Legislatore aveva inteso “portarsi avanti” adattando, sul tema specifico, la normativa interna che a breve avrebbe dovuto convivere con il GDPR. E la cosa poteva avere un senso.
Ma ora un senso non c’è più. Stando a quanto stabilito nel Consiglio dei Ministri, i recenti interventi sul Codice Privacy sono del tutto inutili perché il testo unico istituito nel 2003 ha ufficialmente i giorni contati.
Poco male, l’importante è che ora la strada è tracciata. Resta da capire se – cosa ben più rilevante – con altrettanta chiarezza il decreto definirà le regole da osservarsi in applicazione e ad integrazione dei principi stabiliti dal GDPR.
L’iter del nuovo decreto
Lo schema di decreto dovrà essere vagliato dalle commissioni parlamentari (ma bisognerà attendere che esse siano costituite). Dopodiché – nonostante alcuni funzionari del Garante abbiano contribuito al tavolo di lavoro che ne ha portato alla stesura – lo schema dovrà essere formalmente sottoposto al parere del Garante stesso.
Terminato questo iter, il testo tornerà al Governo per l’approvazione definitiva. La Legge di delegazione europea – entrata in vigore il 21 novembre 2017 – dava 6 mesi di tempo al Governo per adempiere al mandato. Pertanto, c’è da aspettarsi che il decreto attuativo vedrà la luce pochissimi giorni prima dell’entrata in forza del GDPR.
In arrivo un graceperiod per le nuove sanzioni?
Il GDPR dispiegherà dal 25 maggio prossimo tutti i suoi effetti; in qualità di Regolamento europeo, lo farà direttamente senza bisogni di passaggi a livello nazionale. Inutile, quindi, attendersi proroghe da parte di chicchessia riguardo la sua piena applicazione (lo Stato membro che le disponesse incorrerebbe in una procedura di infrazione).
Tuttavia, tenuto conto che alcuni aspetti fondamentali della disciplina nazionale di privacy saranno regolamentati da un decreto che vedrà la luce nell’imminenza del GDPR (e quindi della applicabilità delle nuove pesanti sanzioni da questo istituite), e considerato il fatto che la maggioranza dei soggetti obbligati (aziende, studi professionali, associazioni, PA, etc.) non hanno ancora un piano di adeguamento al nuovo quadro normativo, non è da escludere in via assoluta che il Garante italiano annunci un (breve) periodo transitorio di tolleranza in cui non saranno rigorosamente ed “automaticamente” sanzionate le inadempienze ai nuovi obblighi che dovessero esser rilevate a seguito di ispezione.
Una simile iniziativa seguirebbe quella già proclamata in Francia dal CNIL che ha già indetto che concederà un graceperiod “per i primi mesi” seguenti al 25 maggio, un lasso di tempo in cui le ispezioni avranno un carattere “flessibile” riguardo gli aspetti più impegnativi introdotti dal GDPR. Il CNIL ha precisato che i titolari del trattamento che dovessero essere ispezionati dovranno, comunque, dimostrare:
di avere avviato un processo di GDPR compliance;
che il ritardo è accumulato in buona fede;
spirito di collaborazione con l’Autorità.
Staremo a vedere se anche agli operatori italiani sarà concessa una qualche forma di temporanea indulgenza.