Codice Privacy – D.Lgs. 196/2003 e GDPR - D.Lgs. 101/2018
Il 21 settembre 2018 presso l’Università Guglielmo Marconi si è tenuto il convegno “Il Decreto Legislativo di adeguamento della normativa italiana al GDPR: Effetti e conseguenze” durante il quale sono intervenuti il Prof. Francesco Pizzetti, già Presidente dell’Autorità Garante per la protezione dei dati, ed il Dott. Giuseppe Busia, attuale Segretario generale dell’Autorità Garante per la protezione dei dati.
Studio Europa ha presenziato all’evento e di seguito ne riporta in sintesi le più significative relazioni ed osservazioni.
Il Prof. Pizzetti ha posto particolare attenzione all’art. 22 del D.Lgs. 101/2018 e nella fattispecie al comma 1 il quale stabilisce che l’intera normativa italiana in materia di protezione dei dati personali deve essere interpretata ed applicata sulla base delle disposizioni del Regolamento (UE) 2016/679 (GDPR) per cui non è possibile ricorrere ad un periodo di applicazione soft in quanto questo risulterebbe incompatibile con l’armonia della norma europea.
Dunque mentre da un lato Camera e Senato avevano previsto una proroga di otto mesi per l’applicazione della normativa in materia di tutela dei dati personali, dall’altro l’art. 22, comma 13, del D.Lgs. 101/2018 prevede unicamente che per i primi otto mesi dalla data di entrata in vigore del decreto il Garante per la protezione dei dati personali tenga conto, ai fini dell'applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del GDPR, della fase di prima applicazione delle disposizioni sanzionatorie.
Nella sostanza, la consapevolezza delle difficoltà entrata a regime attenua solo la severità delle disposizioni inflittive ma non annulla le evidenze di eventuali inadeguatezze dei sistemi di garanzia posti in essere dai Titolari.
Così normato, dallo scorso 19 settembre, il D.Lgs. 101/2018 è entrato in vigore, in ogni sua parte, e deve essere applicato totalmente dal Garante, dall’Autorità Giudiziaria, dalla pubblica amministrazione, dalle imprese e dalle strutture di ricerca e di studio.
In estrema sintesi la materia privacy è oggi regolata dal Codice Privacy – D.Lgs. 196/2003 come aggiornato dal 101/2018 – e dal GDPR al quale il Codice si adegua ed ispira.
In effetti l’articolo 1 del Codice Privacy oggi stabilisce che il trattamento dei dati personali avviene secondo le norme del GDPR e del Codice stesso, nel rispetto della dignità umana, dei diritti e delle libertà fondamentali della persona per la tutela dei dati personali.
I due livelli normativi risultano ovviamente mai alternativi in quanto il GDPR ha efficacia e vigenza sull’intero territorio dell’Unione mentre il Codice Italiano della Privacy trova applicazione sul territorio italiano ma sempre a condizione che interpretazione ed applicazione delle norme nazionali siano conformi al Regolamento GDPR.
Siffatta apparente dualità richiederà la emanazione di normative anche secondarie per alcuni ambiti così come comporterà la revisione delle indicazioni che - negli anni passati - lo stesso Garante Nazionale ha espresso; il tutto per riconsiderare alla luce di una normativa più ampia le norme da applicare e dovendo tener conto della profonda e rapida rivoluzione registrata nel mondo dell’informazione e della fruizione in particolare dei dati personali.
Appare in tutta la sua criticità il gap strutturale di quelle Organizzazioni che solo a ridosso dell’entrata in vigore del GDPR (maggio 2018) si siano poste il problema della compliance.
L’adeguamento al Codice ed al GDPR sarà foriero di sforzi organizzativi non di secondo momento, specie per le aziende che fruiscono massivamente di dati personali nelle fasi commerciali o che abbiano strutture organizzative complesse che impieghino risorse umane a livelli diversi o che - per struttura di business - trattino dati personali ad elevata rilevanza privacy.
La semplificazione richiesta per diversi operatori (dalle piccole aziende agli studi professionali) dovrà attendere i tempi dell’esperienza e della negoziazione con il Garante; quest’ultimo chiamato a rivedere la stessa struttura delle proprie raccomandazioni, in un clima di adeguato contemperamento delle esigenze degli interessati e degli operatori, e secondo un percorso di pubblica consultazione con le parti interessate al profondo processo di crescita delle problematiche sulla riservatezza dei dati.