Dopo il regolamento europeo sulla protezione dei dati personali n. 2016/679 (GDPR), è stato necessario emanare un decreto legislativo e per la precisione il d.lgs. n. 101 del 10 agosto 2018 di adeguamento della normativa nazionale in materia di protezione dei dati personali.
Il Decreto Legislativo, entrato in vigore in data 19 settembre, si pone come strumento di modifica e coordinamento del codice privacy al GDPR abrogando le disposizioni del d.lgs. n. 196/2003 non più compatibili con il GDPR, introducendone nuove, nonché integrando e modificando le disposizioni che rimangono in vita.
Il 4 settembre 2018 è stato pubblicato in Gazzetta Ufficiale il tanto atteso Decreto Legislativo 10 agosto 2018, n. 101, che reca disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali.
Il testo in esame è stato emanato, dopo un lungo e tormentato iter approvativo, nel rispetto di quanto sancito dall’art. 13 della legge n. 163/2017, legge di delegazione europea, entrata in vigore il 21 novembre 2017, contenente una delega al Governo per l’adeguamento della normativa nazionale alle disposizioni del GDPR.
Con l’adozione del Decreto Legislativo 10 agosto 2018, n. 101, il legislatore italiano ha esercitato quella specifica delega che il testo del Regolamento ha conferito mediante il rinvio alla legislazione interna degli Stati Membri.
Il decreto, in particolare, ha introdotto adeguamenti della normativa nazionale, soprattutto in settori dove il trattamento dei dati personali è più complesso e delicato (come ad esempio il trattamento dei dati personali cd. particolari ex art 9.4 GDPR), rispetto al quale il Regolamento prevede un margine di manovra affidato agli Stati Membri.
Altre ipotesi di rinvio espresso al legislatore nazionale sono contenute negli artt. 85-89 GDPR in tema di attività di giornalismo o di espressione accademica, artistica e letteraria (cfr. art. 85); diritto di accesso ai documenti amministrativi e degli obblighi di trasparenza delle PP.AA (cfr. art. 86); attribuzione e utilizzo di un numero di identificazione nazionale (cfr. art. 87); gestione dei rapporti di lavoro (cfr. art. 88); obblighi di archiviazione nel pubblico interesse e delle attività di ricerca scientifica, statistica e storica (cfr. art. 88)
Senza dimenticare che la disciplina delle sanzioni penali è riservata alla sola competenza nazionale propria di ciascun Stato Membro, disponendo in tal senso l’art. 84 che “Gli Stati membri stabiliscono le norme relative alle altre sanzioni per le violazioni del presente regolamento”.
Nello specifico, diversi “Considerando” del GDPR consentono interventi legislativi propri degli Stati Membri, a partire dal considerando n. 8 “Ove il presente regolamento preveda specificazioni o limitazioni delle sue norme ad opera del diritto degli Stati membri, gli Stati membri possono, nella misura necessaria per la coerenza e per rendere le disposizioni nazionali comprensibili alle persone cui si applicano, integrare elementi del presente regolamento nel proprio diritto nazionale” e i successivi considerando n. 10 “Il presente regolamento prevede anche un margine di manovra degli Stati membri per precisarne le norme, anche con riguardo al trattamento di categorie particolari di dati personali («dati sensibili»). In tal senso, il presente regolamento non esclude che il diritto degli Stati membri stabilisca le condizioni per specifiche situazioni di trattamento, anche determinando con maggiore precisione le condizioni alle quali il trattamento di dati personali è lecito.” Nonché il considerando n. 19 “ …gli Stati membri dovrebbero poter mantenere o introdurre disposizioni più specifiche per adattare l’applicazione delle disposizioni del presente regolamento.”
IL PRINCIPIO DI SUPREMAZIA DELLA NORMATIVA EUROPEA SU QUELLA NAZIONALE SANCITO DAL “NUOVO” CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI
Il Dlgs 101/2018 è composto da 27 articoli, molti dei quali abrogano le disposizioni del Codice previgente che, all’esito di un giudizio di compatibilità, sono risultate contrastanti con le disposizioni (“orizzontali”) del Regolamento.
Le numerose abrogazioni dichiarate dall’articolo 27 del Dlgs 101/2018, nonché tutte le modifiche e sostituzioni introdotte dalle altre disposizioni del Dlgs 101/2018 richiederanno agli gli interpreti e agli operatori uno sforzo interpretativo e di adeguamento non trascurabile.
L’attività di interpretazione della normativa italiana dovrà in ogni caso rispettare il principio di supremazia della normativa europea su quella nazionale.
La dipendenza del “nuovo” Codice emerge con evidenza dall’art. 2 comma 1 del Decreto 101/2018 che va a emendare l’articolo 1 (oggetto) nella parte I, titolo I, del decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali).
L’art. 1, nella nuova versione, sancisce infatti che: “Il trattamento dei dati personali avviene secondo le norme del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, di seguito «Regolamento», e del presente codice, nel rispetto della dignità umana, dei diritti e delle libertà fondamentali della persona”.
Da tale principio generale da cui ne discende che le disposizioni interne al nostro ordinamento possono ritenersi legittime nel contesto europeo in quanto e nella misura in cui:
– rientrino nelle materie rimesse dal GDPR al legislatore nazionale (competenza per materia);
– il loro contenuto sia conforme alle disposizioni del GDPR;
– esse siano interpretate e applicate nel rispetto del Regolamento
Vengono quindi meno tutti i principi generali che aprivano il Codice previgente applicabili a tutti i trattamenti.
Il Codice, dopo l’entrata in vigore del decreto di adeguamento, risulta profondamente novellato nelle sue disposizioni ma anche fortemente modificato nella sua ispirazione di fondo e nella sua stessa finalità, perdendo la caratteristica di autonomo e sistematico corpus di norme regolanti la protezione dei dati personali
Tra le abrogazioni più rilevanti, si deve menzionare quella relativa alle norme in tema di misure di sicurezza contenute nel Capo I del Titolo V, parte I, del vecchio codice (Misure di sicurezza), incluso l’Allegato B al Codice – Disciplinare Tecnico).
Tale scelta si conforma all’introduzione del fondamentale principio dell’accountability di cui all’articolo 5 del Regolamento, secondo cui spetta solamente al titolare individuare e applicare le più idonee e pertinenti misure tecniche e operative ai trattamenti da questi effettuati (si confronti sul punto l’art. 32 del Regolamento europeo).
Il concetto di “accountability” costituisce la vera novità che permea tutta la nuova normativa europea e rappresenta il principio di “responsabilizzazione” cui il Titolare deve conformarsi nel trattare i dati personali di cui dispone.
Sul Titolare (e Responsabile) del Trattamento viene imposto un generale obbligo di implementare misure di sicurezza appropriate al fine di comprovare il rispetto del Regolamento nello svolgimento dei diversi Trattamenti.
Titolare (e Responsabile) devono esser sempre “pronti” a dimostrare di aver rispettato e di essersi conformati alle nuove disposizioni introdotte con il GDPR.