Paolo Ricchiuto - Tra Codice e Regolamento, che cosa "si applica" oggi?

Cookie free: nessun "biscotto" per spiare i lettori

Home Informazioni Contatti

Cerca in InterLex con Google

Gratis, per essere sempre aggiornato

sulle novità di InterLex

Privacy e sicurezza

Identità digitale

Le regole dell'internet

Diritto d'autore

Informazione e comunicazione

Amministrazione digitale

Reti e telecomunicazioni

Varie ed eventuali

Fonti normative e documenti

Numeri precedenti

Sezioni non più attive

Indice storico-sistematico 1995-2011

Tra Codice e Regolamento, che cosa "si applica" oggi?

Privacy e sicurezza - Paolo Ricchiuto* - 25 maggio 2017

Fra le centinaia di dubbi interpretativi sulla "entrata in vigore" del Regolamento 679, si discute di come si debba leggere l’art. 99. Cosa significa che il Regolamento è già in vigore, ma è "applicabile"dal 25 maggio 2018?

E' un tema di eccezionale importanza, sul quale si interrogano gli interpreti più coscienziosi. Ma da parte del legislatore regna un assordante silenzio.
Nella interessantissima intervista al Garante europeo dott. Buttarelli, pubblicata sul N. 553 di questa rivista, troviamo finalmente un insegnamento chiaro e semplice:

D. Un titolare europeo può applicare subito il Regolamento?
R. Il Regolamento è già in vigore.
D. Ma non è "applicabile". Qualcuno dice che in Italia non si può scegliere di applicare il Regolamento fino al 24 maggio 2018.
R. Ma no, una cosa del genere è contra legem. Un regolamento europeo, a differenza di altre norme, distingue tra "pubblicazione", "entrata in vigore" e "integrale applicazione". "Integrale applicazione" significa che se ne può pretendere l'applicazione a partire da una certa data, con un eventuale enforcement, che, prima della data di integrale applicazione, le autorità competenti non possono sanzionare il mancato rispetto delle nuove disposizioni. Ma nulla vieta oggi a un'impresa di anticipare i tempi rispetto al 25 maggio del prossimo anno.

Messo in tasca il principio, proviamo un momento ad applicarlo, facendo un esempio pratico che forse ci aiuta a chiarirci ancora meglio le idee sulle criticità che attraversano questo pericolosissimo momento di passaggio: oggi, 25 maggio 2016, un titolare decide di dare corso ad attività che comportano il trattamento di dati biometrici (per esempio, eroga una soluzione di firma grafometrica). Secondo il Regolamento, che è entrato in vigore, ma non è ancora applicabile, quel titolare non sarà tenuto a dare corso a nessuna comunicazione al Garante, visto che l’istituto della notificazione previsto dall’art. 37 del Codice sarà completamente superato dalle nuove disposizioni europee (vedi il considerando n. 89, che rende esplicita la logica che ha portato al superamento dell'obbligo di notificazione).

Il problema, però, è che almeno fino al 25 maggio 2018, sul tema della notificazione il Codice Privacy non è stato abrogato per niente, né esplicitamente, né implicitamente: anche chi ritiene che il Regolamento abbia già oggi in sé una forza cogente tale da superare le disposizioni nazionali che con lo stesso confliggono (e lo pensano in molti), non troverà infatti nel Regolamento nessuna statuizione immediatamente applicabile, che permetta di affermare, oggi, l' incompatibilità tra il vecchio regime della notificazione, ed il nuovo assetto che emerge dalla mera "entrata in vigore" del Regolamento.

Ecco allora che, in linea teorica (speriamo, solo in linea teorica!) il Garante potrebbe ancora procedere, in caso di mancata notificazione, a contestare la violazione dell’art. 37 comma 1 lett. a) del Codice, con annessa e conseguente sanzione da € 20.000,00 ad € 120.000,00 (art. 163), potenzialmente aumentabile fino al quadruplo sulla base dell’art. 164 bis!

Attenzione, allora, ad avere troppe certezze. Mentre il Garante forse inizia a muoversi (interessante la Guida al Regolamento appena pubblicata, certo molto più avanzata delle inutilissime infografiche alle quali eravamo stati abituati nei mesi precedenti), esistono problemi pratici che, come sempre accade, nascondono nelle loro pieghe conseguenze diaboliche.

Continuiamo allora tutti, in ogni Sede ed in ogni modo, a stimolare la consapevolezza della assoluta necessità di metter mano ad una qualche forma di coordinamento formale tra Codice e Regolamento.

Certo, il Garante ha molto altro da fare. Basti pensare all’ultimo regalino fatto dal Governo nel provvedimento appena approvato in via definitiva ("Disposizioni a tutela dei minori per la prevenzione e il contrasto del fenomeno del cyberbullismo"), che prevede tempi di reazione di 48 ore da parte dell’Autorità rispetto alla segnalazione o reclamo avente ad oggetto un illecito (termini che potremmo definire canzonatori, guardando al tempo che normalmente ci vuole per ottenere una decisione su un reclamo o una segnalazione da parte del Garante).

E certo: anche il nostro legislatore è impegnato su mille altri fronti.
Ma qui c’è una bomba piazzata sotto il sistema. E se qualcuno non si sbriga a disinnescarla, nella deflagrazione si faranno male tutti.

* Avvocato in Roma

Per intervenire su questo argomento clicca qui

Inizio pagina

Indice di questa sezione

Home

Arma di sorveglianza di massa che limita la nostra libertà. Possiamo difenderci?

Un piccolo libro per capire come le tecnologie "smart" invadono la nostra vita privata e influenzano le nostre scelte.

Per saperne di più

Leggi le prime pagine

Le recensioni

Stampato o ebook

Acquistalo su Amazon

Storie italiane di spionaggio

Il colonnello Rey su Facebook

Pubblicazione iscritta nel registro della stampa del Tribunale di Roma con il n. 585/97 - Direttore responsabile Manlio Cammarata - P. IVA 13001341000