Cookie free: nessun "biscotto" per spiare i lettori

Regolamento UE 2016/679. E' passato un anno, inutilmente

Privacy e sicurezza - Manlio Cammarata - 25 maggio 2017

 
Il problema che Paolo Ricchiuto affronta nell'apertura di questo numero Tra Codice e Regolamento, che cosa "si applica" oggi? assilla molti titolari di trattamenti di dati personali.
I termini della questione sono semplici: da una parte c'è la normativa italiana, il Decreto legislativo 30 giugno 2003, n. 196 ( Codice in materia di protezione dei dati personali), dall'altra il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 , che rivoluziona le regole sulla protezione dei dati e deve sostituire il Codice.

Da quando? Il Regolamento, è entrato il vigore il 25 maggio 2016, ma si applica dal 25 maggio 2018, secondo il dettato dell'art. 99. Il Garante europeo Giovanni Buttarelli ha detto con chiarezza che sarebbe contra legem l'obbligo di iniziare oggi un trattamento secondo le regole del Codice italiano (vedi l'intervista pubblicata sul N. 553).
E' difficile trovare una fonte di interpretazione più autorevole, ma le difficoltà pratiche della transizione dal vecchio al nuovo regime rimangono. Non è un caso se il legislatore europeo ha previsto un periodo di due anni tra l'entrata in vigore e l'effettiva applicazione (e quindi sanzionabilità) del Regolamento.

In sostanza, per due anni sono in vigore due diversi sistemi di norme, solo in parte coincidenti e in molti punti incompatibili o addirittura in conflitto.
Per affrontare la situazione le armi abituali dei giuristi sembrano spuntate. In prima battuta si dovrebbe trovare la soluzione nelle "Disposizioni sulla legge in generale", le cosiddette "preleggi" che aprono il codice civile. Il Capo II (Dell'applicazione della legge in generale) recita all'art. 15:

Le leggi non sono abrogate che da leggi posteriori per dichiarazione espressa del legislatore, o per incompatibilità tra le nuove disposizioni e le precedenti o perché la nuova legge regola l'intera materia già regolata dalla legge anteriore.

In parole povere, il legislatore del 1942 prevede tre ipotesi: a) l'abrogazione esplicita; b) l'abrogazione per incompatibilità tra le vecchie e le nuove disposizioni; c) l'abrogazione totale per la nuova regolazione della materia (i nostri avi parlavano di ius superveniens, ovvero di "legge che sopraggiunge").

L'ipotesi a) non sussiste. L'ipotesi c) non è praticabile, perché il Regolamento non disciplina l'intera materia già regolata dalla legge anteriore: il Codice contiene anche riferimenti ad altre norme, mentre il Regolamento prevede l'emanazione di ulteriori disposizioni per la completezza del quadro normativo.

Resta l'ipotesi b): nei casi di incompatibilità tra le disposizioni del Codice privacy e quelle del Regolamento UE, si dovrebbero applicare le nuove regole europee. La soluzione sarebbe compatibile anche con il principio della prevalenza della normativa comunitaria su quella nazionale.

Ma applicare oggi le nuove norme per i nuovi trattamenti può comportare non pochi problemi (si veda ancora l'articolo di Paolo Ricchiuto), anche perché il Regolamento UE prevede diversi interventi dei legislatori nazionali e molte norme italiane non trovano corrispondenze nel testo europeo. D'altra parte, iniziare un trattamento secondo il Codice per cambiare tutto nel giro di un anno – compresa la formazione degli addetti – è assurdo.

La questione sembra sottovalutata dalle "autorità competenti" e da molti osservatori. Tutti sono concentrati sul conto alla rovescia verso la data del 25 maggio 2018, come se il calendario potesse risolvere problemi che richiedono ben altri interventi, soprattutto da parte del legislatore. Il punto critico non è l'anno che manca all'applicabilità del Regolamento, ma quello che è trascorso inutilmente dall'entrata in vigore del testo europeo.

E' vero che, in caso di contestazioni, per le autorità amministrative e i la magistratura le regole comunitarie devono prevalere su quelle nazionali. Ma aspettare la giurisprudenza (con i suoi tempi!) per risolvere questioni che possono essere affrontate in anticipo, è impensabile. 

Anche in pendenza degli adempimenti che spettano al legislatore, il Garante potrebbe emanare delle linee-guida applicative, che risolvano almeno le incertezze più pressanti. Le linee-guida pubblicate pochi giorni fa hanno in mente il 25 maggio 2018, ma per quella data manca ancora un anno. Le questioni aperte sono aperte oggi.

Arrivare all'ultimo momento porterebbe effetti devastanti, anche perché altre regole incombono: soprattutto il regolamento e-privacy, ancora in via di approvazione a Bruxelles, che dovrebbe essere applicabile insieme al regolamento 679, il 25 maggio 2018. E presenta novità molto impegnative per le società di telecomunicazioni e i fornitori di servizi.

Non sono pensabili proroghe comunitarie né nazionali. Si rischia il caos.