giovedì 31 gennaio 2019

FABRIZIO GIULIMONDI: "REGOLAMENTO UE N. 679/2016 ‘GENERAL DATA PROTECTION REGULATION’ "


Risultati immagini per IMMAGINI PRIVACY
L’obiettivo principale del Regolamento UE n. 679/2016 ‘General Data Protection Regulationè armonizzare la regolamentazione in materia di protezione di dati personali all’interno dell’Unione Europea.
 La nuova disciplina pone al centro dell’attenzione anche il valore economico del dato personale, con cui le aziende riescono a raggiungere potenziali clienti e intercettarne le preferenze di acquisto, in modo da poter predisporre offerte adeguate.
 Una delle innovazioni più rilevanti è la configurazione del diritto alla protezione dei dati personali come diritto fondamentale di tutte le persone fisiche che si trovano nell’Unione europea. 
Il lavoro svolto dall’Autorità Garante, nel corso degli anni, è stato importante in quest’ottica di tutela fornendo una lettura dinamica del mutamento, anche a fronte dell'utilizzo delle nuove tecnologie.
Per l’elaborazione di questo testo è stata istituita una commissione di studio con decreto del Ministro del 14 dicembre 2017, che ha potuto incominciare i lavori il 4 gennaio 2018.
Com’è noto, il regolamento europeo è direttamente applicabile dal 25 maggio 2018 (adottato il 27.4.2016, pubblicato in GUUE 4.5.2016)

Le finalità della delega:
1) verificare se e quali disposizioni vigenti e, segnatamente, quelle recate attualmente dal codice in materia di protezione dei dati personali, dovessero essere espressamente abrogate per incompatibilità con il regolamento; 
2) verificare se e quali disposizioni del codice della privacy attualmente in vigore fossero da modificare (ossia intervenire sulle norme che non vengono sostituite direttamente dal Regolamento, ma soltanto indirettamente coinvolte)
3) scelta dello strumento tecnico-normativo più lineare ed efficace per realizzare detti risultati
Le opzioni di lavoro sul tavolo erano due:
1) abrogare tutte le disposizioni del codice sulla privacy incompatibili con il regolamento dell’Unione europea. 
Oppure, l’attribuzione specifica al legislatore delegato del compito di adeguare l’intero quadro normativo interno al regolamento 2016/679 attraverso un’opera di razionalizzazione normativa sia delle disposizioni codicistiche che extracodicistiche.

Tecnica adoperata nel decreto legislativo: sono state abrogate espressamente le norme incompatibili con il regolamento (norme che, a loro volta, sono per la maggior parte direttamente applicabili e costituiranno per il futuro il regime primario interno circa la protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché riguardo alla libera circolazione degli stessi dati). 
E’ stato un complesso lavoro di tecnica legislativa fra norme da abrogare e modificare.
Nonostante questi risultati delle cennate verifiche, e le indubbie difficoltà di natura squisitamente tecnico-redazionale, si è deciso di operare essenzialmente all’interno del Codice vigente, in chiave, quindi, di sua novellazione.
Pur dovendosi ribadire che quest’ultimo testo normativo, come profondamente innovato, ha senz’altro perso la sua centralità. (Corpo normativo centrale non è più il codice della privacy ma il regolamento europeo
Passando dall’illustrazione della tecnica normativa al merito delle scelte effettuate, si è ritenuto, perseguendo l’obiettivo della chiarezza e della semplificazione, di evitare di duplicare alcune disposizioni, molto simili ma non coincidenti, presenti e nel regolamento e nel codice, operando così una scelta chiara.
Conseguentemente dovevano essere abrogate le corrispondenti disposizioni del codice ove la materia fosse già disciplinata da disposizioni del regolamento europeo.
Il Ministero ha dovuto compiere un lavoro di cesello per capire quali norme codicistiche erano ricomprese in quelle del regolamento e quali no, abrogando le prime in quanto sostituite dal regolamento direttamente applicabile.
Ancora, disposizioni apparentemente non dissimili, rispettivamente, della normativa italiana vigente e del regolamento europeo, risultano calate in contesti completamente diversi. 
Infatti, codice e regolamento sono informati a due filosofie diverse. Il Regolamento, come è noto, è basato sulla cosiddetta accountability, termine tradotto in italiano con “responsabilizzazione”.
Questa consiste nell’obbligo per il titolare del trattamento di adottare misure appropriate ed efficaci per attuare i principi di protezione dei dati, nonché nella necessità di dimostrare, su richiesta, che sono state adottate misure appropriate ed efficaci.
Dunque il regolamento non effettua la scelta in molti casi specifici, ma la rimette al titolare del trattamento che è chiamato ad effettuare una valutazione, ad assumere una decisione e a provare di avere adottato misure proporzionate ed efficaci.
Infine, si è voluto dare un segnale del cambiamento intervenuto: del passaggio dalla direttiva 95/46/CE al regolamento (UE) 679/2016. 

Dopo oltre 20 anni, la disciplina della protezione dei dati personali è stata oggetto finalmente di una riformulazione non formale ma sostanziale, essendo cambiato l’approccio stesso alla materia che oggi è dominata dal principio dell’accountability.

Scelte più importanti che sono state effettuate.
Si è scelto di garantire la continuità facendo salvi per un periodo transitorio i provvedimenti del Garante e le autorizzazioni, che saranno oggetto di successivo riesame, nonché i Codici deontologici vigenti.
Essi restano fermi nell’attuale configurazione nelle materie di competenza degli Stati membri, mentre possono essere riassunti e modificati su iniziativa delle categorie interessate quali codici di settore.
Si sono rafforzati il meccanismo delle consultazioni pubbliche e il coinvolgimento delle categorie interessate in molteplici casi.
A fronte di elevatissime sanzioni amministrative dettate dal regolamento, si è ritenuto di non potere mantenere alcune delle sanzioni penali le quali si sarebbero sovrapposte a quelle amministrative violando così il principio del “ne bis in idem”.
In considerazione delle esigenze di semplificazione delle micro, piccole e medie imprese, si è previsto che il Garante promuova modalità semplificate di adempimento degli obblighi del titolare del trattamento.
Le disposizioni concernenti le comunicazioni elettroniche non sono state modificate, in attesa dell’emanando regolamento europeo in materia di e-privacy
Molte disposizioni del previgente codice non sono state espressamente richiamate, perché assorbite dalle norme del regolamento europeo. Fra queste, a mero titolo esemplificativo, quelle che consentono di trattare i dati senza consenso per la finalità dell’esercizio del diritto di difesa.
Il legislatore ha ritenuto opportuno mantenere il profilo penale per le condotte caratterizzate da un maggior disvalore proprio in un momento in cui il diritto alla privacy è maggiormente esposto a rischio (Big Data, Social Network, cyberbullismo)
Ad esempio l’ipotesi di introduzione di una nuova fattispecie penale di “inadempimento fraudolento delle sanzioni amministrative”, declinata sul paradigma dell’articolo 11, decreto legislativo n. 74 del 2000, si deve rilevare come sia già prevista nel codice penale una fattispecie generale orientata a colpire ipotesi di “Mancata esecuzione di sanzioni pecuniarie” (art. 388ter codice penale) ai sensi della quale è punito “Chiunque, per sottrarsi all’esecuzione di una multa o di una ammenda o di una sanzione amministrativa pecuniaria, compie sui propri o sugli altrui beni, atti simulati o fraudolenti, o commette allo stesso scopo altri fatti fraudolenti, è punito, qualora non ottemperi nei termini all’ingiunzione di pagamento contenuta nel precetto, con la reclusione da sei mesi a tre anni”.
Una tale norma pare già idonea a soddisfare l’esigenza di tutela manifestata. 

Fabrizio Giulimondi


Nessun commento:

Posta un commento