PRIVACY, DAL 25 MAGGIO 2018 SONO CAMBIATE LE REGOLE

Una data attesa da due anni, da quando il nuovo Regolamento Europeo UE 2016/679 del 27 aprile 2016, è stato promulgato e ha concesso questo periodo alle PMI e alle PA europee per adeguarsi alle nuove regole. Dal 25 maggio di quest’anno il nuovo Regolamento Privacy sarà applicato nel territorio nazionale.
Ci occuperemo dell’argomento con questo articolo e con altri successivi.

È scattata l’ora fatidica!
Tutti i Titolari del trattamento privacy sono stati in fibrillazione per non trovarsi impreparati di fronte all’applicazione, a due anni dell’entrata in vigore, ovvero dalla data del 27 aprile 2016, del nuovo Regolamento sulla privacy, denominato GDPR (General Data Protection Regulation).
Dal 25 maggio in poi, in Italia, il Decreto Legislativo 196/2003 “Codice in materia di protezione dei dati personali” avrebbe dovuto essere abrogato per dare spazio al nuovo Regolamento, che sarà applicato nel territorio dell’Unione Europea. Tuttavia, attualmente in Italia, coesistono due normative privacy, da un lato il nuovo Regolamento sulla privacy, denominato GDPR (General Data Protection Regulation), dall’altro il Codice in materia di privacy (normativa nazionale D.Lgs. 196/2003).
Il Regolamento Europeo è pienamente operativo in tutti gli Stati Europei (perciò anche in Italia) in quanto non necessita di essere recepito con una norma nazionale, proprio per la sua natura giuridica, differente da quello di una mera Direttiva, che ha bisogno di una legge nazionale ad hoc per la sua validità nello Stato Italiano.
Nel frattempo, una Commissione Parlamentare è al lavoro per portare a termine lo schema di decreto di armonizzazione del vecchio codice privacy.
Tale schema si compone di 28 articoli, raggruppati in sei Capi, che abrogano o modificano in maniera rilevante gran parte degli articoli del Codice della privacy di cui al decreto legislativo n. 196 del 2003, quindi la formula adottata dal legislatore non è quella di un Decreto legislativo ex novo, come inizialmente si pensava di fare, ma di un Decreto di Armonizzazione che adegui il vecchio Codice al GDPR.
L’ultimo Parere approvato in merito dal Senato risale al 20 giugno c.a..

Per quanto concerne i Regolamenti Europei, si deve sottolineare, sono regolati dall’art. 288 ss. del Trattato sul Funzionamento dell’Unione Europea (TFUE), che stabilisce che “Il Regolamento ha portata generale ed è obbligatorio in tutti i suoi elementi e direttamente applicabile in ciascuno degli Stati membri”.
L’obiettivo del Regolamento Privacy è tutelare tutti i cittadini dell’U.E. e si applica a tutte le Società e Pubbliche Amministrazioni operanti in Europa.
Bisogna anche dire che il Regolamento, fornendo un’unica regola in Europa, lascia spazio agli Stati membri, nella definizione di alcune regole, infatti, l’art. 10 specifica: “Per quanto riguarda il trattamento dei dati personali per l’adempimento di un obbligo legale, per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento, gli Stati membri dovrebbero rimanere liberi di mantenere o introdurre norme nazionali al fine di specificare ulteriormente l’applicazione delle norme del presente regolamento. In combinato disposto con la legislazione generale e orizzontale in materia di protezione dei dati, che attua la direttiva 95/46/CE gli Stati membri dispongono di varie leggi settoriali in settori che richiedono disposizioni più specifiche. Il presente regolamento prevede anche un margine di manovra degli Stati membri per precisarne le norme, anche con riguardo al trattamento di categorie particolari di dati personali («dati sensibili»). In tal senso, il presente regolamento non esclude che il diritto degli Stati membri stabilisca le condizioni per specifiche situazioni di trattamento, anche determinando con maggiore precisione le condizioni alle quali il trattamento di dati personali è lecito”.

Come sopra detto siamo in attesa di vedere i contenuti il nostro legislatore introdurrà nel nuovo schema di Decreto di adeguamento, anche perché il Regolamento UE parte da presupposti diversi, rispetto alla vecchia Direttiva 25/46/CE che ha dato vita al Codice Privacy. Infatti il nuovo GDPR dà un maggiore accento sulla responsabilizzazione del Titolare e del Responsabile e sulla “valutazione d’impatto” introducendo il principio di accountability, ovvero secondo l’art. 24, par.1 e art. 28 par. 1 del GDPR: “mettere in atto misure tecniche e organizzative adeguate per garantire ed essere in grado di dimostrare che il trattamento è effettuato conformemente al presente Regolamento”.

In un prossimo appuntamento ci soffermeremo sulle prime novità che i Titolari hanno dovuto affrontare.