L’obiettivo principale del Regolamento UE n. 679/2016 ‘General Data Protection Regulation’ è
armonizzare la regolamentazione in materia di protezione di dati personali
all’interno dell’Unione Europea.
La nuova disciplina pone al centro
dell’attenzione anche il valore
economico del dato personale, con cui le aziende riescono a raggiungere
potenziali clienti e intercettarne le preferenze di acquisto, in modo da poter
predisporre offerte adeguate.
Una delle innovazioni più rilevanti è
la configurazione del diritto alla protezione dei dati personali come diritto
fondamentale di tutte le persone fisiche che si trovano nell’Unione
europea.
Il lavoro svolto dall’Autorità Garante, nel
corso degli anni, è stato importante in quest’ottica di tutela fornendo una
lettura dinamica del mutamento, anche a fronte dell'utilizzo delle nuove
tecnologie.
Per l’elaborazione di questo
testo è stata istituita una commissione di
studio con decreto del Ministro del 14 dicembre 2017, che ha potuto
incominciare i lavori il 4 gennaio 2018.
Com’è noto, il regolamento europeo è direttamente applicabile dal
25 maggio 2018 (adottato il 27.4.2016, pubblicato in GUUE 4.5.2016).
Le finalità della delega:
1) verificare se e quali
disposizioni vigenti e, segnatamente, quelle recate attualmente dal codice in
materia di protezione dei dati personali, dovessero essere espressamente
abrogate per incompatibilità con il regolamento;
2) verificare se e quali
disposizioni del codice della privacy attualmente in vigore fossero da
modificare (ossia intervenire sulle norme che non vengono sostituite direttamente
dal Regolamento, ma soltanto indirettamente coinvolte)
3) scelta dello
strumento tecnico-normativo più lineare ed efficace per realizzare detti
risultati.
Le opzioni di lavoro sul
tavolo erano due:
1) abrogare tutte
le disposizioni del codice sulla privacy incompatibili con il regolamento
dell’Unione europea.
Oppure, l’attribuzione
specifica al legislatore delegato del compito di adeguare l’intero quadro normativo interno al regolamento 2016/679
attraverso un’opera di razionalizzazione normativa sia delle disposizioni
codicistiche che extracodicistiche.
Tecnica adoperata nel decreto legislativo: sono state abrogate espressamente le norme incompatibili con il regolamento (norme
che, a loro volta, sono per la maggior parte direttamente applicabili e costituiranno per il futuro il regime primario interno circa la protezione delle persone fisiche con
riguardo al trattamento dei dati personali, nonché riguardo alla libera circolazione
degli stessi dati).
E’ stato un complesso lavoro di tecnica legislativa fra norme da abrogare e modificare.
Nonostante questi risultati
delle cennate verifiche, e le indubbie difficoltà
di natura squisitamente tecnico-redazionale, si è deciso di operare essenzialmente all’interno del Codice vigente,
in chiave, quindi, di sua novellazione.
Pur dovendosi ribadire che
quest’ultimo testo normativo, come profondamente innovato, ha senz’altro perso
la sua centralità. (Corpo normativo centrale non è più il codice della
privacy ma il regolamento europeo)
Passando dall’illustrazione
della tecnica normativa al merito delle scelte effettuate, si è ritenuto,
perseguendo l’obiettivo della chiarezza e
della semplificazione, di evitare di duplicare alcune disposizioni,
molto simili ma non coincidenti, presenti e nel regolamento e nel codice,
operando così una scelta chiara.
Conseguentemente
dovevano essere abrogate le corrispondenti disposizioni del codice ove la
materia fosse già disciplinata da disposizioni del regolamento europeo.
Il
Ministero ha dovuto compiere un lavoro di cesello per capire quali norme
codicistiche erano ricomprese in quelle del regolamento e quali no, abrogando
le prime in quanto sostituite dal regolamento direttamente applicabile.
Ancora, disposizioni
apparentemente non dissimili, rispettivamente, della normativa italiana vigente
e del regolamento europeo, risultano calate in contesti completamente
diversi.
Infatti,
codice e regolamento sono informati a due filosofie diverse. Il Regolamento,
come è noto, è basato sulla cosiddetta accountability, termine
tradotto in italiano con “responsabilizzazione”.
Questa
consiste nell’obbligo per il titolare del trattamento di adottare
misure appropriate ed efficaci per attuare i principi di protezione dei dati,
nonché nella necessità di dimostrare, su richiesta, che sono state adottate
misure appropriate ed efficaci.
Dunque il regolamento non effettua la scelta in molti casi
specifici, ma la rimette al titolare del trattamento che è chiamato ad
effettuare una valutazione, ad assumere una decisione e a provare di avere
adottato misure proporzionate ed efficaci.
Infine, si è voluto dare un
segnale del cambiamento intervenuto: del passaggio dalla direttiva 95/46/CE al
regolamento (UE) 679/2016.
Dopo oltre
20 anni, la disciplina della protezione dei dati personali è stata oggetto finalmente
di una riformulazione non formale ma sostanziale, essendo cambiato l’approccio
stesso alla materia che oggi è dominata dal principio dell’accountability.
Scelte più importanti che
sono state effettuate.
Si è scelto di garantire la
continuità facendo salvi per un periodo transitorio i provvedimenti del Garante
e le autorizzazioni, che saranno oggetto di successivo riesame, nonché i Codici
deontologici vigenti.
Essi restano fermi
nell’attuale configurazione nelle materie di competenza degli Stati membri,
mentre possono essere riassunti e modificati su iniziativa delle categorie
interessate quali codici di settore.
Si sono
rafforzati il meccanismo delle consultazioni pubbliche e il coinvolgimento
delle categorie interessate in molteplici casi.
A fronte di elevatissime
sanzioni amministrative dettate dal regolamento, si è ritenuto di non potere mantenere alcune delle sanzioni penali le
quali si sarebbero sovrapposte a quelle amministrative violando così il
principio del “ne bis in idem”.
In considerazione
delle esigenze di semplificazione delle
micro, piccole e medie imprese, si è previsto che il Garante promuova modalità semplificate di
adempimento degli obblighi del titolare del trattamento.
Le disposizioni concernenti
le comunicazioni elettroniche non sono state modificate, in attesa dell’emanando regolamento europeo in
materia di e-privacy.
Molte disposizioni del
previgente codice non sono state espressamente richiamate, perché assorbite
dalle norme del regolamento europeo. Fra queste, a mero titolo esemplificativo,
quelle che consentono di trattare i dati senza consenso per la finalità
dell’esercizio del diritto di difesa.
Il legislatore ha ritenuto opportuno mantenere il profilo penale per le
condotte caratterizzate da un maggior disvalore proprio in un momento in cui il
diritto alla privacy è maggiormente esposto a rischio (Big Data, Social
Network, cyberbullismo)
Ad esempio l’ipotesi di introduzione di una nuova fattispecie
penale di “inadempimento fraudolento delle sanzioni amministrative”, declinata
sul paradigma dell’articolo 11, decreto legislativo n. 74 del 2000, si deve
rilevare come sia già prevista nel codice penale una fattispecie generale
orientata a colpire ipotesi di “Mancata esecuzione di sanzioni pecuniarie”
(art. 388ter codice penale) ai sensi della quale è punito “Chiunque,
per sottrarsi all’esecuzione di una multa o di una ammenda o di una sanzione
amministrativa pecuniaria, compie sui propri o sugli altrui beni, atti simulati
o fraudolenti, o commette allo stesso scopo altri fatti fraudolenti, è punito,
qualora non ottemperi nei termini all’ingiunzione di pagamento contenuta nel
precetto, con la reclusione da sei mesi a tre anni”.
Una tale norma pare già
idonea a soddisfare l’esigenza di tutela manifestata.
Fabrizio Giulimondi
Nessun commento:
Posta un commento