Stiamo davvero andando verso un quadro normativo europeo uniforme ed omogeneo in materia di privacy e security? La risposta è, col classico piglio giuridico, formalmente sì, ma sostanzialmente no.
Negli ultimi anni siamo stati travolti da molteplici norme europee che hanno completamente ridefinito il quadro in materia: il RGPD (Regolamento 2016/679, Regolamento Generale sulla Protezione dei Dati), il Regolamento EIDAS (Regolamento Electronic IDentification Authentication and Signature) la Direttiva sul trattamento dei dati da parte delle autorità per il perseguimento dei reati (Direttiva 2016/680), la Direttiva NIS (Direttiva 2016/1148, Direttiva Network and Information Security), la Direttiva PNR (Direttiva 2016/681 sull’uso del codice di prenotazione PNR) ed il Regolamento e-Privacy (regolamento sulla privacy nelle comunicazioni elettroniche, ancora in bozza, ma pronto e definitivo entro maggio del prossimo anno).
I Paesi membri della UE sono obbligati a recepire e applicare ogni norma emanata dalle istituzioni europee, ciò è pacifico. Sappiamo che, in teoria, le direttive hanno contenuto generale e necessitano di una legge nazionale di recepimento, mentre i regolamenti hanno contenuti specifici ben delineati e sono già leggi applicabili così come formulati dalla UE.
Sulle Direttive citate nulla quaestio, dovranno necessariamente essere recepite. I tre regolamenti, invece, per quanto formalmente già validi ed efficaci, non saranno applicati de plano. Al di là del Regolamento EIDAS, che preoccupa meno e comunque tratta una materia molto specifica, gli altri due, RGPD e Regolamento e-Privacy, andranno ad inserirsi e confrontarsi in un complesso contesto normativo composto da ventotto leggi nazionali sulla privacy (una per ognuno dei Paesi della UE) ed un apparato normativo “secondario” costituito da un numero indefinito di provvedimenti delle autorità garanti europee per la privacy.
La questione è complicata anche dal fatto che RGPD e Regolamento e-privacy hanno dato la possibilità, ad ogni singolo Stato membro dell’UE, di legiferare in autonomia al fine di “precisare”, “specificare” e “chiarire” le norme in essi contenute (si vedano in proposito il considerando n. 10 del RGPD ed il n. 7 del Regolamento e-privacy) oltre che mantenere la piena validità dei provvedimenti delle autorità garanti.
In altre parole, RGPD e Regolamento e-privacy, non spazzeranno via tout court la disciplina attualmente in vigore ma andranno a costituire la cornice normativa delle singole leggi nazionali e dei provvedimenti delle autorità garanti. Di fatto, a partire dal 25 maggio 2018 in avanti, avremo norme generali valide per tutta l’UE e norme speciali e secondarie nazionali.
Come già detto anche qui, molti Stati (in primis lo hanno fatto Germania e Austria) si stanno muovendo per effettuare un riassetto delle proprie leggi nazionali al fine di abrogare espressamente le norme non compatibili con il RGPD e/o modificarle per darne attuazione. Ciò accadrà anche con il Regolamento e-privacy quando sarà definitivo e pubblicato.
Anche l’Italia si sta muovendo in tal senso. Lo scorso 19 maggio è stato presentato il DDL n.2834 “Delega al Governo per il recepimento delle direttive europee e l’attuazione di altri atti dell’Unione europea – Legge di delegazione europea 2016-2017”. L’articolo 10 del citato DDL conferisce la delega al Governo per l’attuazione della Direttiva 2016/680 e, inoltre, a seguito di alcuni emendamenti, è stata accolta una proposta di modifica che prevede l’aggiunta dell’art. 12-bis che delega al Governo per l’adeguamento della normativa nazionale alle disposizioni del RGPD. Il testo dell’art. 12-bis specifica chiaramente che il Governo è delegato ad adottare (entro sei mesi dalla data di entrata in vigore della legge oggetto di tale articolo), una volta acquisiti i pareri delle Commissioni parlamentari competenti e del Garante per la protezione dei dati personali, uno o più decreti legislativi.
Al Governo viene quindi chiesto di rispettare alcuni specifici criteri direttivi, tra cui:
- abrogare espressamente le disposizioni Codice privacy e successive modificazioni incompatibili con le disposizioni contenute nel RGPD;
- modificare il Codice privacy e successive modificazioni limitatamente a quanto necessario per dare attuazione alle disposizioni non direttamente applicabili contenute nel RGPD;
- coordinare le disposizioni vigenti in materia di protezione dei dati personali con le disposizioni recate dal RGPD;
- prevedere, ove opportuno, il ricorso a specifici provvedimenti attuativi e integrativi adottati dal Garante Privacy nell’ambito e per le finalità previste dal RGPD;
- adeguare, nell’ambito delle modifiche al Codice privacy, il sistema sanzionatorio penale e amministrativo vigente alle disposizioni del RGPD con previsione di sanzioni penali e amministrative efficaci, dissuasive e proporzionate alla gravità della violazione delle disposizioni stesse.
A cosa quindi stanno andando incontro le aziende per il prossimo autunno? Devono attendersi leggi e provvedimenti che potranno stravolgere i loro progetti di adeguamento al RGPD già avviati?
Da un punto di vista generale, è fondamentale per le aziende poter preservare processi e procedure già poste in essere sino ad oggi per adeguarsi al RGPD. Sarà fondamentale evitare che la legge nazionale di riforma della privacy ed i provvedimenti del Garante Privacy creino situazioni di disallineamento con il RGPD.
Il Garante dovrebbe senza dubbio avviare immediatamente un’analisi, coinvolgendo anche le principali associazioni di categoria, per verificare quali tra i provvedimenti emanati nel corso del tempo possano essere considerati ancora conformi al RGPD ed applicabili da parte dei titolari del trattamento.
Le aziende si stanno esponendo al rischio che la legge di riforma della privacy e le indicazioni del Garante Privacy giungano in tempi non congrui rispetto al processo implementativo necessario e che l’eventuale giudizio di “compatibilità/incompatibilità” con il RGPD non sia esplicito ma rimesso al titolare del trattamento.
