Cookie free: nessun "biscotto" per spiare i lettori

InterLex - RIVISTA DI DIRITTO TECNOLOLOGIA INFORMAZIONE

 

Lo schema del "decreto privacy": non solo incostituzionale

Privacy e sicurezza - Manlio Cammarata - 29 marzo 2018

La scomparsa delle sanzioni penali è «un grosso infortunio normativo» per il Garante europeo Giovanni Buttarelli. Ma non è il solo problema di un testo che fa acqua da tutte le parti e tradisce il "principio di responsabilità" del GDPR.

La bozza che InterLex ha svelato il 24 marzo scorso (e che decine di siti hanno ripreso senza citare la fonte) doveva restare segreta. Nascondere i progetti normativi, in barba a tutti i principi di trasparenza e partecipazione, è una pratica assurda e controproducente. La discussione pubblica può contribuire a migliorare il testo e a preparare chi deve applicarlo, soprattutto in casi come questo, con tempi strettissimi per predisporre adempimenti complessi.

Ma veniamo alla sostanza. Già alla prima, rapida lettura, l'articolato solleva due perplessità: la prima è nella struttura di stampo formalistico e burocratico, più vicino a quello della prima normativa introdotta dalla direttiva del 1995 che a quello del GDPR, improntato al principio della responsabilità (accountability) e quindi alla flessibilità.

La seconda perplessità è quasi una certezza: il provvedimento, se fosse emanato così com'è, potrebbe essere incostituzionale. Infatti la legge-delega (L. 25 ottobre 2017 n. 163, art. 13, comma 3) prescrive che il Governo deve:

a) abrogare espressamente le disposizioni del codice in materia di trattamento dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, incompatibili con le disposizioni contenute nel regolamento (UE) 2016/679;
b) modificare il codice di cui al decreto legislativo 30 giugno 2003, n. 196, limitatamente a quanto necessario per dare attuazione alle disposizioni non direttamente applicabili contenute nel regolamento (UE) 2016/679;

Invece lo schema di regolamento prevede l'abrogazione tout court del decreto legislativo del 2003, il "Codice privacy". E' un probabile "eccesso di delega", in violazione dell'art. 76 della Costituzione, che comporta l'incostituzionalità del decreto.
E' difficile che questa anomalia sfugga alle Commissioni parlamentari (a oggi non ancora costituite) che dovranno esaminare il provvedimento e quindi dovranno rispedirlo al mittente. Che dovrà riscriverlo, "di concerto" con i Ministri degli affari esteri e della cooperazione internazionale, dell'economia e delle finanze, dello sviluppo economico e per la semplificazione e la pubblica amministrazione.

Quindi dovrà rimandarlo alle Camere per ottenere il via libera ed emanarlo entro la data ultima prevista dalla delega, il 21 maggio, solo quattro giorni prima della piena applicabilità del GDPR. Farà in tempo? 
E, se ce la farà, faranno in tempo di titolari dei trattamenti ad adeguarsi alle nuove disposizione con soli quattro giorni di anticipo?

L'adeguamento alla nuova normativa è così complesso e l'innovazione così sostanziale che il legislatore europeo aveva previsto due anni di tempo per compiere la trasformazione. I nostri governanti ci lasciano quattro giorni, se tutto va bene.
Le  modifiche al testo necessarie per il rispetto della delega non sono né poche né semplici, ma sarebbe necessaria una revisione profonda, che adegui le norme non solo da un punto di vista formale.

Ha detto il Garante europeo Giovanni Buttarelli, intervenendo due giorni fa in un convegno, che è «preoccupato per l'approccio sul principio di accountability... per il tipo di approccio tecnico, per la sostanza, per le scelte di fondo, che trovo un'occasione perduta».
Ancora più grave la scomparsa delle sanzioni penali previste dal GDPR. «Il segnale che mandiamo con l'abolitio criminis mi sembra un grosso infortunio normativo, nel momento in cui si commettono abusi che hanno una scala planetaria», ha detto Buttarelli.

Questo è lo stato dei fatti, a meno di due mesi dalla scadenza del 25 maggio. Con, in più, le incertezze che derivano dal mancato aggiornamento delle norme europee sulle comunicazioni elettroniche (il Regolamento e-privacy sembra ancora in alto mare): lo schema del decreto legislativo fa riferimento, inevitabilmente, alla direttiva del 2002.

Non è tutto: era logico aspettarsi che per il 25 maggio 2018 il Garante avrebbe provveduto ad aggiornare la materia di sua diretta competenza, come le autorizzazioni generali (non previste dal GDPR) o i codici deontologici. Invece lo schema gli assegna termini che vanno da 90 giorni a sei mesi.
Come dire che non avremo un quadro normativo completo prima della fine dell'anno. Se tutto andrà bene.

Per intervenire su questo argomento clicca qui
Inizio pagina     Indice di questa sezione      Home
InterLex su Facebook
Arma di sorveglianza di massa che limita la nostra libertà. Possiamo difenderci?
Un piccolo libro per capire come le tecnologie "smart" invadono la nostra vita privata e influenzano le nostre scelte.
Per saperne di più
Leggi le prime pagine
Le recensioni
Stampato o ebook
Acquistalo su Amazon
Storie italiane di spionaggio
IL COLONNELLO REY
Il colonnello Rey su Facebook

Pubblicazione iscritta nel registro della stampa del Tribunale di Roma con il n. 585/97 - Direttore responsabile Manlio Cammarata - P. IVA 13001341000

© Manlio Cammarata/InterLex 2018 -  Informazioni sul copyrightPrivacy