RGPD

Privacy e nuove norme Ue: il quadro utile alle aziende (in attesa dell’autunno)

Molte aziende hanno già avviato l’iter di adeguamento al RGDP europeo. Sarà pertanto fondamentale evitare che la legge nazionale di riforma della privacy ed i provvedimenti del Garante Privacy creino situazioni di disallineamento con il RGPD

Pubblicato il 28 Lug 2017

Gabriele Faggioli

CEO Gruppo Digital360, presidente Clusit, Responsabile Scientifico Osservatorio Cybersecurity and Data Protection Politecnico di Milano

digital markets act

Stiamo davvero andando verso un quadro normativo europeo uniforme ed omogeneo in materia di privacy e security? La risposta è, col classico piglio giuridico, formalmente sì, ma sostanzialmente no.

Negli ultimi anni siamo stati travolti da molteplici norme europee che hanno completamente ridefinito il quadro in materia: il RGPD (Regolamento 2016/679, Regolamento Generale sulla Protezione dei Dati), il Regolamento EIDAS (Regolamento Electronic IDentification Authentication and Signature) la Direttiva sul trattamento dei dati da parte delle autorità per il perseguimento dei reati (Direttiva 2016/680), la Direttiva NIS (Direttiva 2016/1148, Direttiva Network and Information Security), la Direttiva PNR (Direttiva 2016/681 sull’uso del codice di prenotazione PNR) ed il Regolamento e-Privacy (regolamento sulla privacy nelle comunicazioni elettroniche, ancora in bozza, ma pronto e definitivo entro maggio del prossimo anno).

I Paesi membri della UE sono obbligati a recepire e applicare ogni norma emanata dalle istituzioni europee, ciò è pacifico. Sappiamo che, in teoria, le direttive hanno contenuto generale e necessitano di una legge nazionale di recepimento, mentre i regolamenti hanno contenuti specifici ben delineati e sono già leggi applicabili così come formulati dalla UE.

Sulle Direttive citate nulla quaestio, dovranno necessariamente essere recepite. I tre regolamenti, invece, per quanto formalmente già validi ed efficaci, non saranno applicati de plano. Al di là del Regolamento EIDAS, che preoccupa meno e comunque tratta una materia molto specifica, gli altri due, RGPD e Regolamento e-Privacy, andranno ad inserirsi e confrontarsi in un complesso contesto normativo composto da ventotto leggi nazionali sulla privacy (una per ognuno dei Paesi della UE) ed un apparato normativo “secondario” costituito da un numero indefinito di provvedimenti delle autorità garanti europee per la privacy.

La questione è complicata anche dal fatto che RGPD e Regolamento e-privacy hanno dato la possibilità, ad ogni singolo Stato membro dell’UE, di legiferare in autonomia al fine di “precisare”, “specificare” e “chiarire” le norme in essi contenute (si vedano in proposito il considerando n. 10 del RGPD ed il n. 7 del Regolamento e-privacy) oltre che mantenere la piena validità dei provvedimenti delle autorità garanti.

In altre parole, RGPD e Regolamento e-privacy, non spazzeranno via tout court la disciplina attualmente in vigore ma andranno a costituire la cornice normativa delle singole leggi nazionali e dei provvedimenti delle autorità garanti. Di fatto, a partire dal 25 maggio 2018 in avanti, avremo norme generali valide per tutta l’UE e norme speciali e secondarie nazionali.

Come già detto anche qui, molti Stati (in primis lo hanno fatto Germania e Austria) si stanno muovendo per effettuare un riassetto delle proprie leggi nazionali al fine di abrogare espressamente le norme non compatibili con il RGPD e/o modificarle per darne attuazione. Ciò accadrà anche con il Regolamento e-privacy quando sarà definitivo e pubblicato.

Anche l’Italia si sta muovendo in tal senso. Lo scorso 19 maggio è stato presentato il DDL n.2834 “Delega al Governo per il recepimento delle direttive europee e l’attuazione di altri atti dell’Unione europea – Legge di delegazione europea 2016-2017”. L’articolo 10 del citato DDL conferisce la delega al Governo per l’attuazione della Direttiva 2016/680 e, inoltre, a seguito di alcuni emendamenti, è stata accolta una proposta di modifica che prevede l’aggiunta dell’art. 12-bis che delega al Governo per l’adeguamento della normativa nazionale alle disposizioni del RGPD. Il testo dell’art. 12-bis specifica chiaramente che il Governo è delegato ad adottare (entro sei mesi dalla data di entrata in vigore della legge oggetto di tale articolo), una volta acquisiti i pareri delle Commissioni parlamentari competenti e del Garante per la protezione dei dati personali, uno o più decreti legislativi.

Al Governo viene quindi chiesto di rispettare alcuni specifici criteri direttivi, tra cui:

  1. abrogare espressamente le disposizioni Codice privacy e successive modificazioni incompatibili con le disposizioni contenute nel RGPD;
  2. modificare il Codice privacy e successive modificazioni limitatamente a quanto necessario per dare attuazione alle disposizioni non direttamente applicabili contenute nel RGPD;
  3. coordinare le disposizioni vigenti in materia di protezione dei dati personali con le disposizioni recate dal RGPD;
  4. prevedere, ove opportuno, il ricorso a specifici provvedimenti attuativi e integrativi adottati dal Garante Privacy nell’ambito e per le finalità previste dal RGPD;
  5. adeguare, nell’ambito delle modifiche al Codice privacy, il sistema sanzionatorio penale e amministrativo vigente alle disposizioni del RGPD con previsione di sanzioni penali e amministrative efficaci, dissuasive e proporzionate alla gravità della violazione delle disposizioni stesse.

A cosa quindi stanno andando incontro le aziende per il prossimo autunno? Devono attendersi leggi e provvedimenti che potranno stravolgere i loro progetti di adeguamento al RGPD già avviati?

Da un punto di vista generale, è fondamentale per le aziende poter preservare processi e procedure già poste in essere sino ad oggi per adeguarsi al RGPD. Sarà fondamentale evitare che la legge nazionale di riforma della privacy ed i provvedimenti del Garante Privacy creino situazioni di disallineamento con il RGPD.

Il Garante dovrebbe senza dubbio avviare immediatamente un’analisi, coinvolgendo anche le principali associazioni di categoria, per verificare quali tra i provvedimenti emanati nel corso del tempo possano essere considerati ancora conformi al RGPD ed applicabili da parte dei titolari del trattamento.

Le aziende si stanno esponendo al rischio che la legge di riforma della privacy e le indicazioni del Garante Privacy giungano in tempi non congrui rispetto al processo implementativo necessario e che l’eventuale giudizio di “compatibilità/incompatibilità” con il RGPD non sia esplicito ma rimesso al titolare del trattamento.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati