GDPR: lo schema di decreto di adeguamento all’esame della Camera

GDPR-Regolamento-tutela-dati-personali

Il decreto legislativo in materia di protezione delle persone fisiche con riguardo al trattamento dei dati personali voluto dall’art. 13 della legge 25 ottobre 2017, n. 163 (legge di delegazione europea) per adeguare le disposizioni dell’ordinamento nazionale al GDPR (Regolamento UE 2016/679), è all’esame della competente Commissione parlamentare.

Da quanto emerge dalla documentazione ufficiale, l’indirizzo del legislatore delegato ha subìto una virata: non più abrogare il Codice (D.Lgs. 30 giugno 2003, n. 196) come emergeva da una prima stesura, bensì intervenire con il bisturi all’interno del medesimo.

La prima opzione – abrogare il Codice e dettare un testo nuovo di zecca – prestava immediatamente il fianco alla censura di eccesso di delega, posto che l’art 13, comma 3, lett. a) della L. 163/2017 ha delegato il governo ad “abrogare espressamente le disposizioni del codice in materia di trattamento di dati personali (…) incompatibli con le disposizioni contenute nel regolamento (UE) 2016/679”.

In ogni caso, si imponeva e si impone una grande cautela nell’intervenire sul Codice, perché anche in base alla successiva lett. b), il legislatore è stato delegato a modificarlo “limitatamente a quanto necessario per dare attuazione alle disposizioni non direttamente applicabili contenute nel regolamento (UE) 2016/679”.

Nella relazione che accompagna il provvedimento si prende atto che “l’attribuzione specifica al legislatore delegato del potere anche di coordinamento di tutte le disposizioni vigenti in materia di protezione dei dati personali [di cui alla lett. c) del citato comma 3 dell’art. 13], ivi comprese perciò quelle extra-codicistiche, con le previsioni regolamentari rivela come la delega consenta di intervenire nel modo tecnicamente più appropriato al raggiungimento del fine principale della stessa delega, che resta quello di adeguare l’intero quadro normativo interno al regolamento 2016/679.”

Il legislatore delegato osserva dunque che la massima parte delle disposizioni del Codice è da abrogare espressamente poiché quelle sono risultate incompatibili con le disposizioni del Regolamento generale sulla protezione dei dati. E infatti è massiccia l’opera di demolizione intra-codicistica.

Sono tra l’altro oggetto di abrogazione quelle disposizioni che costituiscono delle duplicazioni tra Codice e Regolamento, con l’obiettivo di eliminare gli equivoci e fare chiarezza.

Oltre agli interventi di abrogazione, alcune disposizioni sono introdotte ex novo e non poche disposizioni sono riproposte con modifiche.

Inoltre – elemento di rilievo rispetto al complesso delle norme in materia di ‘privacy’ – il legislatore sceglie “di garantire la continuità facendo salvi per un periodo transitorio i provvedimenti del Garante e le autorizzazioni, che saranno oggetto di successivo riesame, nonché i Codici deontologici vigenti. Essi restano fermi nell’attuale configurazione nelle materie di competenza degli Stati membri, mentre possono essere riassunti e modificati su iniziativa delle categorie interessate quali codici di settore”.

In via di estrema sintesi, il legislatore delegato prende atto della circostanza che, grazie a tutte queste innovazioni, il Codice ha perso/perde la sua centralità. Tale perdita è in realtà da ascrivere direttamente alla approvazione di un Regolamento – vigente e tra pochi giorni applicabile in tutti i paesi dell’Unione Europea – che a differenza del suo predecessore, la Direttiva 95/46/CE, interviene in modo diretto e dettagliato a disciplinare le attività di trattamento di dati.

Conclusivamente si elencano in rapida rassegna alcune delle ulteriori novità che emergono dallo schema del decreto legislativo:

  • si stabilisce che la base giuridica per il trattamento di dati personali effettuato per compiti di interesse pubblico o connesso all’esercizio di pubblici poteri è esclusivamente costituita da una norma di legge o – dove previsto/concesso dalla legge – di regolamento;
  • abrogato l’art. 4 (definizioni) del Codice, si recuperano le definizioni delle operazioni di “comunicazione” e “diffusione”, che il Regolamento non contempla;
  • sono definiti i vari motivi di interesse pubblico che rendono necessario il trattamento di particolari categorie di dati di cui all’art. 9 del Regolamento;
  • si prescrive che un provvedimento del Garante, con cadenza biennale, stabilisca misure di garanzia per il trattamento di dati genetici, biometrici e sanitari trattati in presenza di una delle condizioni di cui all’art. 9.2 del Regolamento;
  • sono definite le fattispecie in cui l’esercizio dei diritti degli interessati (artt. 15-22 del GDPR) è soggetto a limitazioni;
  • è introdotta una disciplina concernente l’esercizio dei diritti (ancora artt. 15-22) con riferimento ai dati personali di persone decedute;
  • titolari e responsabili dei trattamenti individuano le modalità più opportune per autorizzare ai trattamenti le persone operanti sotto la loro autorità;
  • sempre in virtù dell’abrogazione dell’art. 4, sono recuperate le definizioni di operazioni/concetti legati ai servizi di comunicazione elettronica (come “comunicazione elettronica”, “chiamata”, “reti di comunicazione elettronica”, ecc.) senza però intervenire sulla disciplina, in attesa del nuovo Regolamento UE in materia di e-privacy;
  • viene cancellato l’art. 169 (misure di sicurezza), in materia penale, a causa della scomparsa della prescrizione delle misure minime di sicurezza;
  • sono riformulati, tra gli altri, gli artt. 167 (trattamento illecito di dati) e 168 (falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante);
  • sono introdotte le nuove fattispecie penali di cui agli artt. 167-bis (comunicazione e diffusione illecita di dati personali riferibili a un rilevante numero di persone) e 167-ter (acquisizione fraudolenta di dati personali).
AGGIORNAMENTO: Il termine per l’esercizio della delega, precedentemente fissato al 21 maggio 2018, è prorogato al 21 agosto, per effetto dello scorrimento dei termini per l’espressione del parere parlamentare previsto dall’art. 31, comma 3, della legge n. 234 del 2012 (“… Qualora il termine per l’espressione del parere parlamentare … scada[no] nei trenta giorni che precedono la scadenza dei termini di delega o successivamente, questi ultimi sono prorogati di tre mesi”).
Questa voce è stata pubblicata in Privacy e contrassegnata con , , , . Contrassegna il permalink.

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione /  Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione /  Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione /  Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione /  Modifica )

Connessione a %s...