Oggi, 25 maggio 2018, entra in attuazione in tutta l’Unione Europea il Regolamento generale per la tutela dei dati personali (Gdpr). Vediamo che succede e che succederà in merito alle norme nazionali, in attesa dell’approvazione del decreto sul Gdpr.
L’impatto del GDPR sulle norme italiane
Da oggi le leggi nazionali di protezione dei dati personali, e dunque per l’Italia il dlg.vo n. 196 del 2003 (Codice privacy) non è più applicabile. Certamente non lo è più per le parti in cui la legge nazionale perde ogni sovranità, non lo è nemmeno per la parte in cui la leggi nazionale potrebbe disciplinare in virtù di quanto previsto dal GDPR Capo IX, e altre norme, quali l’art. 8 e l’art. 9.
Infatti, se è vero che lo Stato nazionale mantiene, grazie (e unicamente) alle specifiche previsioni normative del GDPR, il potere di adottare norme nazionali in alcune materie, è assai dubbio (e comunque molto difficile da definire in concreto) in che misura la disciplina precedente alla piena attuazione della normativa europea possa continuare ad essere applicata, ovviamente solo nelle parti che pure restano riservate allo Stato.
Competenza delle normative nazionali
Per questo sarebbe stato molto importante, e utile, che il Governo avesse potuto esercitare la delega ad esso assegnata con la l. 25 ottobre 2017 n. 163 art. 13.
La delega prevedeva infatti che il Governo adottasse entro sei mesi dalla pubblicazione della legge di delega, un decreto legislativo di adeguamento della normativa italiana al GDPR, con riguardo unicamente alle materie in cui lo stesso GDPR prevede la competenza delle normative nazionali.
Purtroppo, come ormai è evidente, la delega non è stata esercitata nei termini previsti.
Una proroga di tre mesi per la delega al governo
Tuttavia l’art. 13 comma 3, prevede che il Governo eserciti la delega secondo le procedure previste dall’art. 32 della l. 24 dicembre 2012, n. 234. Questa norma, a sua volta, specifica che quando gli schemi dei decreti delegati vengano inviati alle Commissioni parlamentari per il previsto parere quando manchino meno di 30 giorni alla scadenza della delega, tale scadenza è automaticamente prorogata per la durata di tre mesi.
In virtù di tale richiamo all’art.32 delle l. n. 234 del 2012, previsto, come si è detto, dallo stesso art. 13 della l. n. 163 del 2017, il termine e prorogato di ulteriori tre mesi.
Due, dunque, sono le cose che devono essere estremamente chiare.
La prima, che la delega al governo è prorogata di tre mesi, e dunque scadrà al 22 agosto.
Codice Privacy inapplicabile dal 25 maggio
La seconda, che in mancanza del decreto di adeguamento, la soluzione più lineare da seguire (e la sola compatibile con il sistema delle fonti italiano ed europeo) è che l’intero Codice privacy, per la parte in contrasto col GDPR, non può più essere applicato dopo il 25 maggio.
Dunque, il primo punto che deve essere estremamente chiaro a tutti è che, dal 25 maggio 2018, il GDPR deve essere pienamente e integralmente attuato, anche se non è ancora stato adottato il decreto delegato di adeguamento.
Deve essere altrettanto chiaro che il Codice privacy, in virtù del rapporto che esiste tra Regolamento UE e legge italiana secondo il sistema delle fonti ampliato al rapporto tra ordinamento italiano e ordinamento europeo, comporta la disapplicazione ex lege del Codice privacy in vigore fino al 24 maggio.
Proprio il rapporto Regolamento europeo e legislazione italiana rende inoltre del tutto pretestuosa e “sbagliata” la virulenza della polemica che alcuni hanno sollevato in ordine alle decisioni assunte sia dalla Commissione Finocchiaro che dal Governo. Colpisce in particolare che in questa polemica sia più volte intervenuto anche chi, in virtù delle sue competenze relativamente ai dati personali trattati dalle istituzioni, uffici e agenzie dell’Unione, dovrebbe, per regola deontologica, astenersi dall’interferire nel dibattito interno agli Stati membri circa le scelte legislative da compiere.
Non può esservi comunque dubbio alcuno che proprio il rapporto tra Regolamento europeo e legislazione nazionale comporta la disapplicazione della legislazione nazionale in contrasto con il Regolamento europeo.
Dunque, quale che sia il contenuto dell’art. 13 della l. n. 163 del 2017 (legge di delega relativa al decreto di adeguamento) con la entrata in piena attuazione del GDPR il Codice di protezione dei dati personali, almeno per la parte con questo in contrasto, non può più essere applicato.
Cosa può fare il Governo sulla normativa privacy
Proprio per questo non ha senso chiedersi se vi sia o meno eccesso di delega in un decreto di attuazione che eventualmente prevedesse da un lato l’abrogazione del Codice privacy e dall’altro il nuovo decreto delegato di adeguamento della legislazione nazionale al GDPR nelle materie riservate agli Stati membri, così come aveva proposto la Commissione Finocchiaro.
Infatti, quale che sia la terminologia usata nell’art. 13 della l. n. 163 del 2017 (legge di delega) e quale che sia la interpretazione che si voglia dare alle specificazioni contenute nelle lettere da a) a e) del comma 3 dell’art. 13 della legge citata, è chiaro che la delega conferisce comunque al Governo il potere di dettare la normativa italiana di adeguamento del nostro ordinamento al GDPR. E’ pacifico dunque che il Governo può intervenire unicamente a disciplinare nelle materie che il GDPR stesso lascia alla legislazione italiana.
Limite questo che è stato comunque rispettato dal Governo rispetto all’adozione dello schema di decreto approvato il 21 marzo.
Il Consiglio dei ministri infatti, si è differenziato dalle indicazione della Commissione Finocchiaro che, anche per rendere più facile la comprensione del nuovo sistema, aveva proposto la abrogazione esplicita del Codice privacy e la sua sostituzione col nuovo decreto. Tuttavia, pur preferendo abrogare le norme del Codice privacy chiaramente incompatibili col GDPR (una abrogazione sostanzialmente puramente ricognitiva), si è rigorosamente limitato ad adottare una nuova normativa, più coerente col nuovo sistema complessivo, unicamente nelle parti in cui sussiste la competenza del legislatore nazionale connesso all’adozione del GDPR (vedi schema di decreto).
Il rinvio dell’adozione del decreto legislativo comporta che si debba attendere ancora qualche settimana prima di conoscere in via definitiva il contenuto della nuova normativa italiana nelle materie rimesse alla legislazione nazionale.
La legge italiana di protezione dei dati personali è il GDPR
Quello che è certo, comunque, è che dal 25 maggio 2018 anche in Italia come in ogni altro Paese dell’Unione, deve trovare piena e integrale attuazione il GDPR e dunque il Codice privacy, come ogni altra legislazione nazionale in contrasto col GDPR anche negli altri Paesi dell’Unione deve essere disapplicata (e dunque cessa di essere in vigore).
E’ molto importante che questo sia chiaro a tutti. Dal 25 maggio 2018, la legge italiana di protezione dei dati personali è il GDPR.
Se e quando il Governo adotterà il decreto delegato della l. n. 163 del 2017 (in ogni caso ovviamente non oltre il 21 agosto del 2018), il GDPR sarà esplicitamente e chiaramente integrato anche dalla normativa nazionale nelle materie che la regolazione europea consente agli Stati di regolare.
Il parere del Garante Privacy
In questo quadro va apprezzato molto il fatto che, mentre le Commissioni speciali di Senato e Camera hanno appena iniziato l’esame dello schema di decreto delegato adottato dal Governo il 21 marzo, il Garante italiano abbia già espresso in data 22 maggio 2018 il suo parere.
Spiace peraltro constatare che proprio su un parere così importante il Collegio del Garante abbia adottato il parere non all’unanimità ma a maggioranza.
Questo non modifica certo il grande apprezzamento per il lavoro svolto in questi anni da tutto il Collegio, e in primo luogo dal Presidente Soro, ma sorge il dubbio che forse anche una inutile e eccessiva drammatizzazione del dibattito intorno allo schema di decreto adottato dal Governo possa aver reso meno facile il compito del Collegio. Ancora una volta, dunque, è doveroso sottolineare che sarebbe bene che ognuno, nel discutere tematiche così complesse e delicate, ricordasse sempre il dovere di essere misurato e prudente nelle posizioni e soprattutto rispettoso del ruolo di ciascuno.
