Una fonte che dovrebbe essere bene informata mi avverte che la bozza
pubblicata l'altro ieri su InterLex non è il testo di modifica del Codice
privacy che sta per passare alle Camere. Anzi, "è una grossolana bufala".
Vediamo...
Questa è la email del collega: «Manlio il testo che hai pubblicato sulla privacy è una grossolana bufala, del tutto difforme dal testo che è stato bollinato proprio ieri dalla Ragioneria dello Stato e che entro due o tre giorni sarà pubblico perché verrà inviato alla commissione parlamentare bicamerale sugli atti del
governo» eccetera.
Il fatto è che lo stesso documento, o uno molto simile, è circolato il 3
maggio scorso. Tanto che il giorno dopo su Il Sole 24 ore è uscito un
commento intitolato "Privacy,
decreto ancora in alto mare", con osservazioni che si attagliano
perfettamente al testo pubblicato su InterLex.
Ma il problema non è se il documento in questione sia o no "una
grossolana bufala". Per le numerose correzioni in evidenza e per le tracce
di ripensamenti, è evidente che si tratta di una bozza intermedia, una delle
tante, e che ci sarà una versione definitiva, si spera ripulita delle
incongruenze di questa versione.
Il punto da affrontare è l'inaccettabile segretezza che copre troppo spesso
atti che dovrebbero, per la loro natura, essere conoscibili da ogni cittadino.
Della bozza precedente,
quella che abbiamo pubblicato il 24 marzo, sul sito del Governo si trovano la notizia dell'approvazione, il comunicato stampa e l'analisi
tecnico-normativa (che non si preoccupa di verificare la compatibilità del
testo con la legge-delega). Il provvedimento approvato non c'è. Alla faccia
della tanto proclamata "trasparenza"!
Per semplici provvedimenti amministrativi si prevede una consultazione
pubblica di almeno sessanta giorni (vedi appunto, nel testo in questione, il
secondo comma dell'art. 2-quater), ma uno schema di decreto legislativo, cioè
di una legge dello Stato, deve restare segreto?
Non è solo una questione di trasparenza. Pubblicare un progetto legislativo
serve anche a suscitare la discussione e, se del caso, a migliorare il testo. La "rivelazione" del primo
schema da parte di InterLex, il 24 marzo, ha provocato un putiferio di critiche, costringendo la Commissione del
Ministero della Giustizia a una sostanziale riscrittura. La seconda versione che
abbiamo pubblicato – certo non definitiva –
presenta ancora punti critici, ma appare più rispettosa della delega
parlamentare, allontanando i sospetti, per non dire le certezze, di incostituzionalità.
Ora sembra che nei prossimi giorni le Commissioni del Senato e della Camera
potranno esaminare il testo finale, approvandolo in tempi strettissimi, perché
la delega scade il prossimo 21 maggio, a soli quattro giorni dalla piena
applicabilità del GDPR.
C'è qualcosa di surreale in questa situazione. Le "autorità competenti", cioè il Parlamento, il Governo e il
Garante per la protezione dei dati personali, potevano e dovevano provvedere
all'emanazione delle norme di loro competenza a partire dal 25 maggio 2016,
quando il GDPR è entrato in vigore (ma il testo era noto da mesi e ufficialmente
dall' approvazione finale, avvenuta il 27 aprile 2016).
Il Governo per due anni non ha fatto nulla. Non ha svolto il suo compito di
adeguare la normativa, non solo entro il termine imposto dal Regolamento UE, ma
con un anticipo sufficiente a consentire senza i traumi dell'ultimo minuto la
non semplice applicazione delle nuove regole da parte dei titolari di
trattamenti di dati personali.
Il Parlamento è intervenuto ben venti mesi dopo l'entrata in vigore del
GDPR, con la legge-delega 25
ottobre 2017, n. 163. E il Garante, a oggi, non ha provveduto ad alcun
aggiornamento delle disposizioni di sua competenza. Ha promosso convegni e
seminari, ha "avviato consultazioni", ha pubblicato pagine
informative (comunque utili), si è profuso in quasi quotidiane
"dichiarazioni" del tutto ininfluenti sul piano sostanziale. Insomma,
l'orchestra che suona mentre il Titanic affonda.
Ora non è il caso di analizzare a fondo un testo evidentemente non
definitivo. Si nota che è molto diverso dal primo e appare finalmente rispettoso della delega parlamentare.
Infatti non c'è più l'abrogazione in toto del decreto legislativo 196/2003 (il cosiddetto
"Codice privacy"), ma una sua profonda revisione.
Ritornano anche le sanzioni penali, la cui eliminazione era stata bollata dal
Garante europeo Giovanni Buttarelli come un "infortunio giuridico".
Ma restano diverse questioni irrisolte. Per esempio, quella – delicatissima
– del riuso dei dati sanitari
e genetici, sollevata dall'improvvida introduzione dell'art. 110-bis del Codice,
operata dalla legge 167/17, pendente la revisione del Codice stesso, delegata con
la precedente legge 163/2017 (si veda Riuso dei dati sanitari e
ricerca scientifica. Il vero problema dell’articolo 110bis di Andrea
Monti)1.
Il nuovo schema tratta la materia in due punti: l'art. 2-septies (destinato a
sopravvivere, in quanto non modificativo del Codice privacy) e l'art. 8, che,
fra l'altro, riscrive gli articoli 110 e 110-bis. In questo modo, con la
prossima versione del Codice, la stessa materia sarà regolata da due diversi
testi, l'emanando decreto legislativo e lo stesso Codice, con i problemi interpretativi
che è troppo facile prevedere.
E' solo un esempio. Ma basta per intuire i problemi che devono essere
affrontati all'ultimo minuto. Anzi, ben oltre l'ultimo minuto, se si considerano
i tempi necessari per applicare le norme in via di approvazione.
E all'applicazione del GDPR mancano solo diciassette giorni.
1. Dell'argomento si parlerà anche il
prossimo 9 maggio, in un convegno
all'Università di Roma 3 dal titolo "La genetica ai tempi del GDPR –
Privacy e data protection tra ricerca scientifica e accertamento penale".
|