Cookie free: nessun "biscotto" per spiare i lettori

Armonizzazione tra Codice privacy e Regolamento europeo: siamo salvi?

- Paolo Ricchiuto* - 23 ottobre 2017

Approvata la legge che delega il Governo ad "adeguare il quadro normativo nazionale alle disposizioni del Regolamento 679". Qualcuno, quindi, in questo Paese ancora ragiona!

Lo scenario che si stava prospettando, infatti, con incredibile giubilo di alcuni, prevedeva che alla armonizzazione del nostro Codice privacy con le nuove disposizioni europee avrebbero dovuto e potuto provvedere i cittadini, le imprese, e magari qualche Solone da convegno con le sue interpretazioni più o meno campate sul nulla.

Ora, grazie alla legge di delegazione europea approvata in via definitiva il 18.10.17 (in attesa di pubblicazione in Gazzetta), il Governo avrà sei mesi di tempo per procedere all’adeguamento, termine che, ove rispettato, ci permetterà di "anticipare" (seppure di pochissimo….) la applicabilità del Regolamento, come noto fissata dall’art. 99 al 25. maggio 2018.

Avremo modo quindi di misurarci con un testo coordinato che potrà fugare le centinaia di dubbi che si sono addensati negli ultimi mesi su ogni singolo istituto (un esempio solo: forse capiremo cosa significherà "consenso "esplicito" - art. 6 Regolamento- in luogo del "consenso scritto" previsto dall’art. 26 del Codice per i dati sensibili.

Si concretizzerà, quindi, uno schema di allineamento paragonabile a quello che ha portato alla modifica del CAD sulla base del Regolamento EIDAS. Come dimostra quella esperienza, chi si dovrà misurare con questo difficilissimo, ma fondamentale compito, ha davanti un lavoro molto delicato, e la speranza è che si abbia l’accortezza e la umiltà di gestire con la dovuta attenzione ogni singolo passaggio, con la chiarezza della scelta sulle definizioni (che come noto nel CAD sono state sic et simpliciter sostituite da quelle del Regolamento Eidas), ed una maggior cura nella declinazione dei principi più delicati (non curati a sufficienza non alcuni punti nodali del CAD, come dimostra il nuovo testo sul valore giuridico delle firme elettroniche).

Nell’esercizio della delega il Governo ha le mani libere: può abrogare le disposizioni incompatibili, modificarle, coordinarle (art. 13 comma 3 lett. a, b e c della legge di delegazione) e può (grazie alla previsione esplicita di questa prerogativa al comma 3 lett. e) "adeguare, il sistema sanzionatorio penale e amministrativo vigente alle disposizioni del regolamento, con previsione di sanzioni penali e amministrative efficaci, dissuasive e proporzionate alla gravità della violazione delle disposizioni stesse" (nell’occasione, potremo quindi toglierci la curiosità anche di sapere se rimarrà viva, nel nuovo impianto, la disposizione dell’art. 166 del Codice, che prevede la riassegnazione al Garante del 50% delle somme versate dai soggetti sanzionati, come sappiamo, a regime, pari in potenza a decine di milioni di euro!).

Le uniche ombre (perché di ombre, ahimé, ce ne sono sempre), sono almeno due.

Innanzitutto, la delega (comma 3 lett. d) consentirà di "prevedere, ove opportuno, il ricorso a specifici provvedimenti attuativi e integrativi adottati dal Garante per la protezione dei dati personali nell’ambito e per le finalità previsti dal regolamento": se lo spirito della legge era ed è quello di arrivare ad una unico corpo di norme aggiornato alle novità del Regolamento, prevedere già in partenza che quel testo possa essere affiancato da ulteriori "provvedimenti attuativi ed integrativi" affidati al Garante, potrebbe tradursi nell’ennesima moltiplicazione di fonti di riferimento, potenziale volano di una ulteriore stratificazione (con attribuzione, peraltro, di un potere di difficile collocazione istituzionale, allo stato sconosciuta all’art. 154 del Codice privacy, che non contempla affatto la possibilità che il Garante "integri" un testo normativo).

Inoltre, resta il problema della mancata adozione, ad oggi, del cosiddetto Regolamento e-privacy, con la conseguente inestensibilità della delega all’armonizzazione con norme europee che di fatto, ad oggi, ancora non esistono, e necessario mantenimento in vita, almeno per ora, degli artt. da 121 a 133 del Codice privacy, introdotti all’epoca con il recepimento di una direttiva (2002/58/CE,) che ha le settimane contate, proprio in virtù dell’ormai prossima approvazione del Regolamento e-privacy. Risultato? Armonizzato il Codice al Regolamento 679, ci dovrà necessariamente essere una nuovo intervento per armonizzare il testo al nuovo Regolamento e-privacy (sempreché, nel frattempo, a Regolamento approvato, non intervenga una qualche altra delega ficcata magari in qualche altro disegno legge, che metta in condizioni il Governo di… lavorare in questi mesi, ed una volta sola, al un vero e stabilizzato "Testo Unico sul trattamento dei dati personali".

Nel frattempo, non resta che attendere, fiduciosi, manifestando tutta la solidarietà del mondo a chi nei prossimi mesi sarà impegnato a risolvere i molti rebus dell’attuazione di un primo regolamento, già di per sé solo, come sappiamo, non chiaro in molti, moltissimi punti.

*  Avvocato in Roma