GDPR, perché abrogare il Codice Privacy è la scelta peggiore e che cosa comporta
Fonte: Andrea Lisi avvocato e presidente di ANORC Professioni - Sarah Ungaro avvocato, Ufficio Presidenza ANORC Professioni, Digital & Law Department
Manca ormai un mese alla fatidica data del 25 maggio 2018. Ma, un fronte atteso dell'adeguamento della normativa nazionale al Regolamento dell'Unione Europea 2016/679 (GDPR - Regolamento generale sulla protezione dei dati), ecco che la soluzione individuata nel più totale caos informativo e contenuta in uno schema di decreto legislativo Gdpr ( approvato dal Consiglio dei ministri del 21 marzo ), prevede - inaspettatamente - l'abrogazione del Codice in materia di protezione dei dati personali.
Giusto sicuro che sia la scelta giusta?
L'adeguamento al GDPR
Ue 679/2016 [1] , trattati gli effetti propri dello strumento normativo prescelto dall'Unione (ossia un Regolamento) per l'emanazione delle norme del GDPR, sotto il profilo stretto tecnico-giuridico non sarebbe stato necessario un intervento del legislatore.
Tuttavia, viene sottolineato dalla stessa presidenza della Commissione, in ogni caso, occorre al fine di coordinare la normativa nazionale con il regolamento e l'anticipare quella verifica di conformità altrimenti a tutti i tribunali.
Se, dunque, la Commissione si occuperà di un intervento di "adeguamento", l'espressa e totale abrogazione del D.Lgs. 196/2003 (come previsto dall'articolo 101 dello schema di decreto legislativo formulato) appare - innanzitutto - manifestamente in contrasto rispetto a quanto autorevolmente previsto dalla stessa decisione della Commissione in relazione all'obiettivo dell'intervento di modifica .
La ratio dell'abrogazione, dunque, risulta difficile da ravvisarsi, se non all'esportazione di predisporre in tempi stretti (come peraltro ricordato dalla presidente Finocchiaro) uno schema di decreto che rinnovasse - eliminando le disposizioni in contrasto con quanto previsto dal GDPR - la normativa nazionale in materia di protezione dei dati personali.
La tecnica normativa
Sono certo che la perplessità sollevata dalle laboriose e non semper limpide giustificazioni nella relazione illustrativa allo schema di decreto circa la decisione di prevedere la totale abrogazione del Codice, da non poter non ricordare la locuzione latina excusatio non petita, accusatio manifesta
In effetti, sembra francamente arduo non ritenere quanto meno risibile la motivazione addotta nella menzionata relazione illustrativa, sulla scorta della quale si apprende che la scelta di abrogare il D.Lgs. n. 196/2003, con il provvedimento predisposto, sia fondamentalmente volta ad " evitare che tutti e quindi anche l'interprete dovessero consultare (almeno) tre testi normativi ", ovvero il Regolamento 2016/679 / UE, il D.Lgs. 196/2003. Il Regolamento non ha modificato in modo sostanziale i principi fondamentali della materia in materia di protezione dei dati introduzione nel 1995. La grande maggioranza dei titolari del trattamento e dei controlli del trattamento che rispettano già le leggi del trattamento per conformarsi al regolamento " [3] .
La continuità con il Codice Privacy
Da Quanto si apprende nella Relazione allo schema di decreto in commento, non Appare del tutto pertinente Nemmeno ricomprendere nell'asserita Ottica di “continuità con il Codice Privacy” la “ Scelta di piatti Salvi per un Periodo transitorio i Provvedimenti del Garante e le autorizzazioni ” , come una legge nella relazione illustrativa, anche perché una "scelta" in senso diverso imposta per decreto sarebbe stato difficile sul piano istituzionale , in considerazione del fatto che io considero e il segreto del Garante sono - appunto - emanati da un'Autorità amministratore indipendente. In tal senso, all'art. 97 dello schema di decreto sarebbero Stato previste delle Disposizioni Incidenti, non Certo sui Provvedimenti o le autorizzazioni ex sebensì sui effetti negativi, disponendone la cessazione a decorrere già dal novantesimo giorno successivo alla data di entrata in vigore del decreto di cui si discute il testo. Non certo una previsione, quindi, che è immune da un precipitato di incertezza giuridica per i Titolari ei Responsabili del trattamento, qualora - come plausibilmente è ragionevole ritenere - il Garante non ha senso nel termine previsto a procedere al vaglio e all'aggiornamento di tutte le fonti generali già utilizzate.
Sanzioni penali
In relazione al quadro sanzionatorio, dallo schema di decreto Gpdr emerge la depenalizzazione delle fattispecie a rilevanza penale nel presente D. Lgs. N. n. 196/2003 (in riferimento ad altre condotte volte a turbare intenzionalmente un procedimento o un accertamento dell'Autorità), in riferimento non solo all'attuale arte. 169 del Codice, relativo alla mancata adozione delle misure di sicurezza, ma anche all'art. 167 (Trattamento illecito di dati), in base alla giustificazione riportata nella relazione illustrativa, in base alla quale " racconto fattispecie, all'esperienza giurisprudenziale formatasi, ha dimostrato una limitata operatività ed una scarsa aderenza a un'ipotesi di trattamento illecito realmente significativo”.
Tanto non appare corrispondere a quanto invece è anche solo dalle recenti cronache giudiziarie, che hanno riportato, ad esempio, delle diverse sentenze relative al caso dell'associazione Vividown , o la sentenza del Tribunale di Milano, 28 maggio 2010, n. 25194, come noto al Tiger Team di Telecom, difficilmente definibili come "procedimenti bagatellari".
Peraltro, nella stessa Relazione illustrativa si legge che " in forza del doveroso rispetto del ne bis in idem - imposto dal Considerando n. 149 del Regolamento - una storia tutela penale, quand'anche apprezzabile in chiave simbolico-comunicativa, inibirebbe comunque il ricorso alle più significative e "deterrenti" amministrazioni amministrative ". Tuttavia occorre sottolineare Che E LO STESSO GDPR - Che al Considerando 149 fa sì Riferimento al principio del ne bis in idem , venire interpretato Dalla Corte di Giustizia - Che Contempla espressamente la Previsione di sanzioni PENALI da parte degli STATI Membri, addirittura specificando che “ Tali pena penali possono anche autorizzare la sottrazione dei profitti attraverso le violazioni del presente regolamento(Considerando 149) e che " la natura di tali sanzioni, penali o amministrativi ", Considerando 152). Dunque, delle due l'una: o il Considerando n. 149 del Regolamento contempla evidenti contraddittorie, oppure la previsione di sanzioni penali (che autorizzino anche la sottrazione dei profitti eventualmente conseguiti) non è a priori in contrasto con il principio del ne bis in idem . Dunque, si deduce che la scelta di "depenalizzare" le fattispecie a rilevanza penale nell'ambito del D.Lgs. n. 196/2003 e legato all'illecito del trattamento dei dati sia il frutto di una valutazione di tipo politicocontinua - però - Solo in seno alla Commissione, poiché il legislatore della legge delega n. 163/2017 non ha invece contemplato la dequotazione della polizia delle materie prime penalmente rilevanti nel Codice, limitandosi - come innanzi richiamato - a l'aggiustamento del sistema sanzionatorio e vigente alle norme del Regolamento (UE) 2016/679, con previsione di sanzioni penali e amministrative efficaci, dissuasive e proporzionali alla gravità della violazione stesse.
E-privacy
Anche nella Relazione illustrativa allo schema di legge non regolamentata in attesa dell'emanando Regolamento in materia, che sostituisce la Direttiva 2002/58 (cd e-privacy). Dallo schema di decreto, tuttavia, emerge come - ad esempio - le disposizioni dettate per le "Comunicazioni indesiderate", residenti nell'art. 130 del D.Lgs. n. 196/2003, sono stato oggetto di intervento - per quanto limitato - nella proposta di modifica. Tale intervento sull'attuale formulazione, però, non sembra brillare per chiarezza, atteso che per richiamare gli artt. 6 e 7 del GDPR - in sostituzione del richiamo agli artt. 23 e 24 Attuale Codice - si tratta tralasciato uno dei maggiori aspetti innovativi del GDPR, ovvero il "dettaglio" dell'interesse del titolare del trattamento o di terzi (contemplato alla lettera f), par. 1 6 del Regolamento) quale presupposto di liceità del trattamento. In tal senso, dunque,l'operazione di modifica e adeguamento delle istruzioni dedicate alle comunicazioni indesiderate non sembra aver conseguito gli esiti auspicabili , in considerazione del fatto che, un fronte del richiamo agli artt. 6 e 7 del GDPR, si è scelto di lasciare invariate le disposizioni dell'attuale comma 4. 130, relativo alla cd "eccezione del soft spam", senza prevedere - appunto - modifiche al testo che non sono solo da soli un richiamo delle norme sopravvenute, ma si occupano anche di profili sostanziali disciplina.
Consultazioni pubbliche e
Dallo schema di decreto e dalla relazione illustrativa è il meccanismo delle consultazioni pubbliche e il coinvolgimento delle categorie.
Peccato, però, che invece - un fronte di un successo stampato dal Consiglio dei Ministri pubblicato il 21 marzo, i quali sono stati alquanto destabilizzanti - i testi ufficiali dello schema di decreto e della relativa documentazione non sono stati resi disponibili, nonostante l 'imminente scadenza del 25 maggio 2018 .
In argomento, anche, non si possono venire i lavori della Commissione di categoria rappresentativo della materia. Anche su questo è intervenuta l'azione interassociativa di ANORC Privacy e ANORC PROFESSIONI, congiuntamente con ANDIP, ASSOCIAZIONE PRIVACY ITALIA, ISTITUTO ITALIANO PRIVACY, ANGIF, ANDIG e FEDERPRIVACY , volta a sollevare dubbi in merito sia alla metodologia applicata per l'approvazione dello schema di legge, di valutazione dell'identità, verosimilmente incostituzionale.
Senza dubbio, in questo senso, quanto è stato fatto, non è mai stato in linea con il livello maggiore di coinvolgimento della categoria e delle associazioni rappresentative della materia.
Conclusioni
Per concludere, se è vero che i principi di responsabilità, privacy by design e privacy di default sono da considerarsi sicuramente gli elementi chiave del Regolamento UE 2016/679 - e che gli stessi non riguardano solo la parte principale o strettamente organizzativa, ma anche e L'ordine dei ruoli, sulla base della loro documentazione, è già vero in qualche modo nel codice della protezione dei dati personali, ad esempio agli artt . 3 e 31, salvo poi veder prevalere nella prassi un aspetto formale e poco sostanziale nel coraggio seguito agli adempimenti. Ma se per tali risvolti applicativi risulta poco importante chiamare sul banco degli imputati solo l'attuale normativa,
In effetti, in effetti, sulla circostanza che è proprio l'autorevole Codice che si vuole abrogare - un nostro avviso in modo superficiale e poco oculato - un vantare una storia che ha reso i giuristi italiani, più di venti anni fa, pionieri del diritto alla protezione dei dati personali in Europa.
[1] Commissione curiosamente incardinata presso il Ministero della Giustizia e non presso la Presidenza del Consiglio dei ministri come ci sono sarebbe previsto per un adeguamento normativo così delicato e considerato la globalità della materia da trattare e coordinare con il nostro ordinamento nazionale.
[2] Un esempio per tutti, per l'allineamento della normativa nazionale al Regolamento UE n. 910/2014 - eIDAS (per il quale, peraltro, la stessa Commissione della Commissione incaricata di adeguare la normativa italiana in materia di dati personali al Regolamento Il 679/2016 ha garantito proficuamente il periodo di lavoro della Commissione), non è stato scelto di abrogare il Codice dell'amministrazione digitale (D.Lgs. 82/2005), ma solo di modificarlo (con il D.Lgs. 217/2017, che è stato aggiunto alla lunga lista di interventi normativi che hanno prodotto l'attuale versione del CAD).
[3] Si veda la Comunicazione della Commissione al Parlamento europeo al Consiglio - Bruxelles, 24.1.2018 COM (2018) - Maggiore sicurezza, nuove opportunità - Orientamenti della Commissione 25 maggio 2018.