Privacy, Data protection e G.D.P.R.: istruzioni per l’uso

by redazione 0

shutterstock_719700769

di Avv. Alberto Mascia

«Affermare che non si è interessati al diritto alla privacy perché non si ha nulla da nascondere è come dire che non si è interessati alla libertà di parola perché non si ha nulla da dire» (Edward Snowden)


 

THE RIGHT TO BE LET ALONE. Warren e Brandeis, due giovani avvocati di Boston, avevano descritto, nel lontano 1890 – in un articolo per la Harvard Law Review, dal titolo ‘The right to privacy’ – il diritto alla privacy come ‘the right to be let alone’ (il diritto a essere lasciati
soli), riportando una citazione utilizzata un paio di anni prima dal giudice Thomas Cooley. Una riflessione ancorata a un certo modo di vedere la propria vita privata, lontana dagli altrui occhi indiscreti. Una sfera da proteggere e preservare.

Un momento storico, destinato a segnare ogni approccio e riflessione sulla riservatezza di ogni individuo, e non solo. Una pietra miliare, che ha animato e anima tuttora la portata di uno dei più importanti diritti fondamentali della persona. Un punto di partenza per portare la riflessione fino ai giorni nostri, in cui l’utilizzo di tecnologie è diventato, da un lato, quasi una seconda pelle e lo strumento principale di condivisione di profili sempre più significativi della propria sfera personale, e, dall’altro, ponte di accesso preferenziale alla conoscenza, ma anche al mercato. A tal proposito, Stefano Rodotà in modo illuminante aveva sottolineato, parlando proprio dell’accesso alla conoscenza da garantire nella maniera più larga, che ‘le grandi opportunità offerte dalla tecnologia, dalla creazione di quell’immenso spazio pubblico che è
Internet, rappresentano una risorsa grande per la crescita della persona, e in relazione a ciò devono trovare la loro misura’. Un monito importante da seguire e una traccia che, a distanza di anni, si rivela in tutta la sua dirompente attualità.

INDUSTRIA 4.0. Di anni ne sono passati. Siamo giunti a una nuova rivoluzione, dominata da concetti quali IoT (Internet delle Cose),
Smart city (Città intelligente), Smart home (Casa intelligente), AI (Intelligenza Artificiale), VR (Realtà Virtuale), Driverless car (macchine senza conducente). Questi e molti altri termini ancora rappresentano non soltanto dei trend da seguire – che cambieranno, e stanno già cambiando, il futuro di tutti noi -, ma soprattutto dei fenomeni che in un modo o nell’altro si intrecciano con la nostra privacy e la protezione dei nostri dati personali.

DALLA L. 675/1996 AL G.D.P.R. Cambiano i tempi, cambia il concetto di privacy, cambiano le modalità di tutela e protezione dei dati personali. Il cd. Codice privacy (D.lgs. 196/2003) e prima ancora la legge 675/1996 sono stati testi di riferimento non soltanto in Italia, ma altresì a livello europeo. A partire dal 2016, e anzi già prima, l’interesse e l’attenzione si sono gradatamente spostati verso il G.D.P.R. (General Data Protection Regulation, n. 679/2016), già entrato in vigore il 24 maggio 2016, ma direttamente applicabile in ogni Stato membro dell’UE a partire dal 25 maggio 2018.

L’insistenza con cui tale ultima data viene richiamata in ogni articolo, riflessione, convegno, seminario, fa parte di un conto alla rovescia che è ormai partito e che è destinato a scadere a breve. Una corsa all’adeguamento e all’adempimento, in perfetta armonia con la cultura dell’emergenza, da sempre nemica atavica della cultura della prevenzione e della responsabilizzazione (accountability), e con una pianificazione tutt’altro che capillare e attenta di processi organizzativi, decisionali, gestionali in tema di protezione dei dati personali. Una corsa che stride di fronte al lungo periodo di due anni che ogni ente, associazione, azienda, che tratta dati personali (praticamente tutti o quasi) aveva a disposizione per potersi adoperare e attivare veri e propri processi virtuosi, non solo con riferimento alla privacy e alla protezione dei dati personali, ma all’organizzazione stessa della propria struttura. Non una novità, verrebbe da dire, in perfetta linea con un modo di pensare e agire non del tutto allineato all’importanza che la privacy e i dati personali hanno in ogni contesto di riferimento.

Un’importanza quasi sempre sottovalutata e, anzi, trattata come inutile fardello da evitare, ove possibile, ovvero affrontare con superficialità.
In questa sede si vogliono, da un lato, evidenziare in sintesi i vari punti di interesse dal punto di vista contenutistico del G.D.P.R., e, dall’altro, si vuole porre l’attenzione sull’adeguamento delle norme nazionali con le norme contenute nel Regolamento europeo, tema assai rilevante per realizzare l’intento primario del Regolamento europeo sulla privacy, che è quello di armonizzare la tutela dei diritti e delle libertà fondamentali delle persone fisiche rispetto alle attività di trattamento dei dati e assicurare la libera circolazione dei dati personali tra Stati membri, come già previsto dalla direttiva 95/46/CE e richiamato nello stesso G.D.P.R..

Nel corso degli anni ha assunto sempre più rilievo l’attività di tipo interpretativo e applicativo posta in essere dal WP29 (gruppo di garanti europei, oggi nel G.D.P.R. noto come Comitato per la protezione dei dati personali), il cui contributo è stato importante per fornire spunti operativi per tutti coloro che hanno rivestito ruoli primari nel trattamento dei dati personali. Anche relativamente alle disposizioni del G.D.P.R. e alle principali novità in esso contenute, il lavoro del WP29 ha portato alla luce linee guida, pareri, letture e interpretazioni che, lungi dall’essere esaustive, hanno però posto la base per differenti momenti di riflessione congiunta in tema di trattamento dei dati personali, tanto in ambito nazionale, quanto in ambito europeo.

Soffermiamoci ora sui punti salienti del G.D.P.R., che toccano tanto elementi di carattere soggettivo (soggetti interessati e relativi diritti, figure professionali e relativi ruoli), quanto di carattere oggettivo (adempimenti, documentazione, misure, procedure, obblighi).

FIGURE SOGGETTIVE. Per quanto concerne gli elementi soggettivi, ancora più importanza viene riconosciuta alla figura della persona fisica, l’interessato, i cui dati sono oggetto di trattamento (già nel considerando 4 del Regolamento europeo si dice espressamente che ‘Il trattamento dei dati personali dovrebbe essere al servizio dell’uomo’, per poi sottolineare come il diritto alla protezione dei dati personali vada contemperato con altri diritti fondamentali). Tale centralità si rispecchia in tutta una serie di previsioni regolamentari che lo individuano come portatore di diritti da esercitare e proteggere. Diritti già esistenti ovvero di nuova portata.
Una breve parentesi sul titolare e sul responsabile del trattamento. Il titolare (la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali) e il responsabile (chi tratta dati personali per conto del titolare) sono figure già esistenti e sono legate al principio di accountability, responsabilizzazione, uno dei perni centrali dell’intero Regolamento europeo, che determina tutta una serie di azioni, procedure, adempimenti, che devono essere dagli stessi effettuati e comprovati, al fine di garantire la conformità del trattamento dei dati al suddetto Regolamento (anche attraverso l’adesione a Codici di condotta, ex art. 40, e meccanismi di certificazione, ex art. 42) ed evitare la comminazione di sanzioni di vario livello e genere (ex artt. 83-84).

Il Regolamento introduce il concetto di contitolarità del trattamento (ex art. 26, G.D.P.R.), allorquando due o più titolari del trattamento determinano congiuntamente le finalità e i mezzi del trattamento, indicando nell’accordo responsabilità e funzioni di comunicazione delle informazioni da dare all’interessato (le cd. Informative, ex artt. 13 e 14). Con riferimento al responsabile, si prevede la possibilità di avere sub-responsabili, previa autorizzazione scritta, specifica o generale, del titolare del trattamento.

DIRITTI DELL’INTERESSATO. Si parlava di diritti dell’interessato. Di quali diritti si tratta?
 Diritto di accesso (a tutta una serie di informazioni a lui relative, ex. art. 15, G.D.P.R., anche ricevendo una copia dei dati personali in possesso del titolare);
 Diritto di rettifica (rettifica/integrazione dei propri dati, ex art. 16, G.D.P.R.);
 Diritto di limitazione (quando ad esempio viene contestata l’esattezza dei dati, in caso di illiceità del trattamento, e in altri casi di cui all’art. 18, G.D.P.R.);
 Diritto di opposizione (al trattamento dei dati, compresa la profilazione, ex art. 21, G.D.P.R.).

Ma anche diritto all’oblìo (rectius alla cancellazione dei dati, ex art. 17, G.D.P.R.) e diritto alla portabilità dei dati (ex art. 20, G.D.P.R.). Questi ultimi due diritti rappresentano due novità esplicitate nel G.D.P.R. Il diritto all’oblìo è, come si evidenziava poc’anzi, in realtà il diritto alla cancellazione dei propri dati allorquando siano presenti tutta una serie di condizioni, come ad esempio quando non siano più necessari per le finalità per le quali sono stati raccolti o altrimenti trattati, quando l’interessato abbia ritirato il proprio consenso o si sia opposto al trattamento dei dati personali che lo riguardano ovvero quando il trattamento dei suoi dati personali non sia altrimenti conforme al presente regolamento (trattamento illecito). Diritto, questo, che obbliga il titolare del trattamento che ha pubblicato dati personali a informare (altr)i titolari del trattamento che trattano tali dati di cancellare qualsiasi link verso gli stessi o la loro copia o riproduzione.

Il diritto alla portabilità si collega a quello all’oblìo, in quanto, in caso di esercizio del primo, si lascia impregiudicato il secondo. La portabilità conferisce il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che riguardano l’interessato, forniti a un titolare del trattamento, e di trasmettere tali dati a un altro titolare del trattamento, senza impedimenti da parte del titolare del trattamento cui sono stati forniti.

DATA PROTECTION OFFICER (DPO). Sotto il profilo soggettivo, la figura del responsabile per la protezione dei dati (RPD) – Data Protection Officer (DPO) secondo l’acronimo inglese – segue il già citato principio dell’accountability che interessa principalmente le figure del titolare e del responsabile del trattamento dei dati personali. Una figura, il RPD (o DPO), che ha una specifica posizione (ex art. 38 G.D.P.R.), svolge tutta una serie di compiti specifici (ex art. 39 G.D.P.R., tra cui informazione, consulenza al titolare/responsabile, sensibilizzazione e formazione del personale, sorveglianza sull’osservanza del Regolamento, ecc.), ha caratteristiche peculiari (indipendenza, autorevolezza, competenze manageriali), e viene richiesto come obbligatorio in presenza di determinate condizioni (ex art. 37, G.D.P.R.). E’ importante sottolineare che il DPO/RPD è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, nonchè della capacità di assolvere i compiti di cui all’art. 39 G.D.P.R.
Il titolare e il responsabile del trattamento designano (con specifiche caratteristiche dell’atto di nomina) il responsabile del trattamento dei dati (DPO/RPD), il quale li dovrà aiutare nello svolgimento delle varie attività.

INFORMATIVA E CONSENSO. Dal punto di vista oggettivo, l’informativa e il consenso rivestono tuttora un ruolo centrale. Il consenso, in particolare, conserva una sua rilevanza e centralità, pur non essendo l’unica ‘base giuridica’ (in totale ne vengono indicate 6) che rendono lecito un trattamento dei dati personali. La scelta sulla base giuridica adeguata per fondare un trattamento lecito di dati personali spetta al titolare, proprio per il principio dell’accountability di cui innanzi, anche in considerazione delle caratteristiche della situazione di volta in volta presa in esame, della natura del titolare del trattamento, delle tipologie di dati da trattare, del contesto all’interno del quale vengono trattati e di altri elementi che toccano anche profili di analisi del rischio e misure da adottare. Il consenso, dicevamo, deve avere specifiche caratteristiche: libero, specifico, informato, non inequivocabile, granulare. Consenso ‘informato’ è il consenso che viene preceduto da una informativa che contiene tutta una serie di informazioni, come previsto agli artt. 13 e 14 del G.D.P.R. Una informativa che, rispetto a quella prevista dal Codice privacy, ha contenuti più ampi e specifici, e che deve essere accessibile, presentata in modo conciso, trasparente, intellegibile, con un linguaggio semplice e comprensibile. Tra i vari contenuti dell’informativa, richiamati dai due articoli menzionati (che distinguono l’ipotesi in cui la stessa sia stata fornita qualora i dati personali siano stati raccolti o meno presso l’interessato), l’identità e i contatti del titolare, del rappresentante e del responsabile (DPO), ove esistente, le finalità e la ‘base giuridica’ del trattamento, i legittimi interessi del titolare (se costituisce la base giuridica del trattamento), i destinatari o le categorie di destinatari dei dati, il periodo di conservazione (ovvero i criteri per determinarlo), il diritto all’accesso, rettifica, cancellazione, limitazione, opposizione, portabilità, la revoca del consenso, e altri ancora. Allo stesso modo, vengono indicati i casi in cui vi è l’esonero dal fornire l’informativa (ad esempio perché l’interessato dispone già le informazioni o comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato).

PRIVACY BY DESIGN E PRIVACY BY DEFAULT. Altri concetti interessanti da evidenziare all’interno del corpo di disposizioni del G.D.P.R. sono privacy by design e privacy by default. Con il termine privacy by design si vuole fare riferimento a un approccio di tutela dei dati personali fin dalla fase di progettazione di tutti i processi da seguire. A livello normativo, il G.D.P.R. fa riferimento a tutte quelle misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie per soddisfare i requisiti dello stesso Regolamento e tutelare i diritti degli interessati. Con il termine privacy by default si fa riferimento alle misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento, garantendo che, per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica.

REGISTRO DEL TRATTAMENTO. Proseguendo nell’analisi dei profili di carattere oggettivo che interessano la struttura del G.D.P.R., il Registro del trattamento (ex art. 30) rappresenta un’importante previsione. Esso si allinea a tutte quelle altre (tra cui, ad esempio, la
scelta e adozione di misure di sicurezza adeguate, l’organizzazione di tavoli organizzativi e tecnici per il trattamento dei dati personali, la collazione di una modulistica in linea con le prescrizioni del G.D.P.R., ecc.) che consentono al titolare e al responsabile del trattamento di comprovare la conformità, la rispondenza del trattamento dei dati alle disposizioni del Regolamento europeo, ma prima ancora di rendere virtuoso ed efficace il proprio ‘modello’ di trattamento e protezione dei dati (in aderenza al principio dell’accountability). Il Registro è obbligatorio in presenza di specifici presupposti (imprese o organizzazioni con più di 250 dipendenti, ovvero con numero inferiore, qualora il trattamento che esse effettuano possa presentare un rischio per i diritti e le libertà dell’interessato, il trattamento non sia occasionale o includa il trattamento di categorie particolari di dati (cd. dati sensibili), o i dati personali relativi a condanne penali e a reati di cui all’articolo 10 G.D.P.R.). Al di là del carattere o meno obbligatorio di tale Registro, si consiglia sempre la sua adozione (in formato cartaceo ed elettronico), come suggerito dallo stesso Garante della privacy italiano, in quanto è in grado di agevolare, semplificare, organizzare al meglio il lavoro che il titolare e responsabile del trattamento dei dati devono porre in essere, conservando traccia scritta di tutta una serie di elementi, tra cui (identità del titolare/contitolare/i, /responsabile/i del trattamento, finalità del trattamento, categorie di interessati, dati, destinatari, trasferimenti verso paesi terzi, misure tecniche/organizzative, ecc.). Traccia che è fondamentale, anche nel momento di un eventuale controllo dell’Autorità Garante della privacy.

DATA PROTECTION IMPACT ASSESSMENT (DPIA). La valutazione d’impatto sulla protezione dei dati rientra tra quegli strumenti a disposizione del titolare del trattamento che, in caso di utilizzo di nuove tecnologie, in base alla natura, oggetto, contesto, finalità del trattamento, può rilevare la presenza di un rischio elevato per diritti e libertà di persone fisiche, nel qual caso effettua questa valutazione d’impatto, consultandosi, ove presente, anche con il DPO/RPD. Tale valutazione è richiesta in specifiche ipotesi, a mente dell’art. 35 G.D.P.R., ad esempio in presenza di un trattamento su larga scala di dati cd. sensibili (‘categorie particolari di dati personali’ di cui all’art. 9 G.D.P.R.), o dati relativi a condanne penali o reati (ex art. 10 G.D.P.R.), sorveglianza sistematica su larga scala di una zona accessibile al pubblico, valutazione globale/sistematica di aspetti personali legati a persone fisiche, basata su un trattamento automatizzato, compresa la profilazione, e su cui si fondano decisioni che producono effetti giuridici o incidono in modo analogo significativamente su queste persone.
Fare una valutazione significa prendere in esame le tipologie di trattamenti che lo stesso Garante per la privacy indica come soggetti alla stessa valutazione, inserendoli in appositi elenchi, e richiede il rispetto di alcuni contenuti come prescritti dalla norma, e in particolare una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità, una valutazione dei rischi per i diritti e le libertà degli interessati, le misure previste per affrontare i rischi.

MISURE DI SICUREZZA ADEGUATE. Allorquando si parla di sicurezza, si fa riferimento a tutta una serie di profili operativi legati non soltanto alle misure da adottare, ma soprattutto alla cultura, formazione, sensibilizzazione, nonché alla necessità di trasformazione digitale di un’azienda, un’organizzazione, un ente. Il G.D.P.R. dedica diversi considerando alla sicurezza e espressamente l’art. 32 (rubricato ‘Sicurezza del trattamento’). Si parla di ‘misure tecniche/organizzative adeguate’ per la garanzia di ‘un livello di sicurezza adeguato al rischio’.
L’elenco di misure non è esaustivo e anzi suscettibile di essere ampliato, e comprende la pseudonimizzazione e cifratura dei dati, la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento, la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico, nonché una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento. Per dimostrare la conformità ai requisiti di adeguatezza delle misure di sicurezza si può utilizzare l’adesione a un codice di condotta (approvato ex art. 40 G.D.P.R.) o a un meccanismo di certificazione (approvato ex art. 42 G.D.P.R.).
Come rilevato in precedenza, è consigliabile inserire, ove possibile, nel Registro delle attività di trattamento svolte una ‘descrizione generale delle misure di sicurezza tecniche e organizzative’, così come nella valutazione preventiva di impatto il titolare deve descrivere anche le misure previste per affrontare i rischi, comprese le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati e dimostrare la conformità al Regolamento, tenuto conto di diritti e interessi legittimi degli interessati e di altre persone.

DATA BREACH E NOTIFICA AL GARANTE. Con questo termine si fa riferimento alla «violazione di sicurezza che comporta  occidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati». Tale violazione fa scattare, in capo a ogni titolare (senza distinzione alcuna), l’obbligo di notifica al Garante della privacy, nel termine di 72 ore dalla scoperta di tale violazione, ovvero in altro termine (spiegando i motivi del ritardo della notifica). Tale notifica va fatta indicando tutta una serie di contenuti prescritti dall’art. 33 G.D.P.R. (la natura della violazione, le categorie di dati, il numero approssimativo di interessati, il nome e i contatti del DPO/RPD, le probabili conseguenze della violazione, le misure adottate o da adottare per rimediare alla violazione e attenuare gli effetti negativi). La documentazione di tali passaggi è importante, soprattutto per dare prova all’Autorità Garante del rispetto delle prescrizioni del Regolamento. A tale notifica, fa eco la comunicazione all’interessato, senza ingiustificato ritardo e con un linguaggio semplice e chiaro, quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche. Tale comunicazione contiene alcune indicazioni (nome e contatti DPO/RPD, conseguenze probabili della violazione, misure adottate/da adottare per porre rimedio e attenuare effetti negativi). Sono altresì indicati i casi in cui la comunicazione all’interessato non è necessaria (ad esempio, tra le altre, quando il titolare ha posto in essere misure adeguate ai dati oggetto di violazione, tra cui la cifratura, ecc.).

SANZIONI. La previsione di sanzioni nell’impianto del G.D.P.R. rappresenta uno degli elementi maggiormente temuti da molti titolari del trattamento, i quali prendono in esame i massimali delle sanzioni pecuniarie previsti dalle disposizioni del Regolamento europeo, senza considerare tutta una serie di altri elementi che a vario titolo consentiranno di adeguare l’eventuale risposta sanzionatoria dell’Autorità Garante. Anzitutto va rilevato che le sanzioni possono essere di diversi tipi. Si può andare dal semplice ammonimento/avvertimento, alla sanzione amministrativa pecuniaria, all’eventuale sanzione penale (ove prevista dalla normativa nazionale). Rientrano tra le conseguenze di tipo negativo anche il risarcimento danni che può essere richiesto (ex art. 82 G.D.P.R.) in presenza di un danno materiale/immateriale determinato da una violazione del Regolamento europeo, risarcibile dinanzi alle autorità competenti secondo le norme di ogni Stato membro.

Le sanzioni più temute sono proprio quelle amministrative pecuniarie, in quanto determinato massimali piuttosto significativi. Va premesso che le sanzioni amministrative pecuniarie devono essere effettive, proporzionate e dissuasive, e vanno inflitte caso per caso. Con riferimento ai citati massimali, la violazione delle diverse disposizioni di legge determina conseguenze differenti, e nello specifico (si veda l’art. 83, co. 4, G.D.P.R.) fino a 10 milioni di euro o (per le imprese) fino al 2% del fatturato mondiale totale annuo (dell’esercizio precedente), se superiore, ovvero fino a 20 milioni di euro o (per le imprese) fino al 4% del fatturato mondiale totale annuo (dell’esercizio precedente), se superiore (si veda l’art. 83, co. 5, G.D.P.R.). Massimali, appunto, e non minimi edittali che dovranno essere definiti. In generale, con riferimento alle sanzioni occorrerà tenere in considerazione di tutta una serie di elementi, tra cui il principio di equivalenza (il WP29 parla di livello di protezione equivalente in tutti gli Stati membri, di poteri e sanzioni equivalenti per le violazioni negli Stati membri), di appropriatezza e coerenza applicativa.

Con riferimento alla eventuale sanzione penale, è di recente (21/03/2018) stato approvato lo schema di decreto legislativo per l’adeguamento della normativa nazionale al Regolamento europeo 679/2016, il quale non contiene più riferimenti a sanzioni penali, ma la sostituzione delle stesse con sanzioni amministrative pecuniarie. Tale schema di decreto legislativo va anche oltre, abrogando il Codice privacy (e quindi anche l’art. 167 dedicato al trattamento illecito di dati), ma su questo punto saranno fatte alcune considerazioni nel prossimo paragrafo.

ADEGUAMENTO DELLA NORMATIVA NAZIONALE. Ad accompagnare l’atteggiamento ancora non del tutto culturalmente adeguato, vi è un dato ‘normativo’ degno della migliore rappresentazione teatrale dell’inverosimile. Il G.D.P.R., appunto, ma non soltanto. La legge delega europea (la n. 163/2017), che prevedeva una delega al Governo per l’adeguamento della normativa nazionale alle disposizioni del predetto Regolamento europeo, la bozza di decreto legislativo recante le disposizioni per l’adeguamento della normativa nazionale (italiana) al G.D.P.R., la Legge europea 2017 recante disposizioni per l’adempimento degli obblighi derivanti dall’appartenenza dell’Italia all’Unione europea. E il Codice privacy.

Come rilevato in precedenza, lo schema di D.lgs. che mira a definire la rispondenza della normativa italiana alle prescrizioni del Regolamento europeo (G.D.P.R.) ha previsto all’art. 101 l’abrogazione del Codice privacy. Orbene, la legge delega disponeva (all’art. 13) che il Governo seguisse specifici principi e criteri direttivi che non contemplavano affatto l’abrogazione di tutto il Codice privacy, bensì prevedevano l’abrogazione di quelle disposizioni ‘incompatibili con le disposizioni contenute nel regolamento (UE) 2016/679’. Orbene, tale abrogazione mirata, di poche disposizioni ‘incompatibili’ con il nuovo assetto regolamentare europeo, diretta a rendere pratica quella armonizzazione che il G.D.P.R. vuole realizzare in tema di data protection, è senz’altro cosa diversa rispetto a una abrogazione totale, senza distinzioni, di una normativa nazionale (che, tra l’altro, per diversi punti, propone adempimenti e prassi in linea con il testo del Regolamento europeo). Lo conferma anche la previsione di modificare il Codice privacy ‘limitatamente a quanto necessario per dare attuazione alle disposizioni non direttamente applicabili contenute nel regolamento (UE) 2016/679’.

Se viene prevista l’abrogazione delle sole disposizioni incompatibili e viene richiesta la modifica di quelle altre che non possono trovare diretta applicazione, sembra si voglia far salva la normativa nazionale (nel caso nostro il Codice privacy), come sottolineato anche dall’esigenza di coordinare le norme vigenti in materia di data protection (tra cui rientra in primis proprio il Codice privacy) con le norme del G.D.P.R.

Il dibattito sul punto è tuttora aperto, e dovrà essere aggiornato in considerazione delle eventuali modifiche al contenuto che tale schema di decreto legislativo attuativo potrà/dovrà avere, prima del 25 maggio 2018. Orbene, al di là di questioni di carattere puramente interpretativo, che spesso hanno a che fare con letture e orientamenti più teorici che operativi – mancando del confronto necessario con coloro che conoscono a fondo, e in concreto, la materia e andrebbero coinvolti in ogni manovra di tipo legislativo -, resta l’esigenza di rendere effettiva, nei fatti, l’esigenza di armonizzare le norme in tema di protezione dei dati personali, perseguendo, da un lato, una maggiore semplificazione e coerenza di ogni profilo applicativo e garantendo, dall’altro, una uniformità di principi e valori. Proprio con riferimento a questi ultimi, Rodotà ricordava non molti anni fa che ‘I valori devono vivere in spazi liberi e pubblici di confronto’. Che il confronto abbia inizio, allora.