NEWS

Decreto delegato per il Gdpr, molte luci e qualche ombra

Il 21 agosto 2018 dovrebbe essere definitivamente scaduta la delega contenuta nell’art.13 della legge 25 ottobre 2017 n.16 (legge di delegazione europea 2016-2017) per il GDPR. Entro tale data, dunque, dovrebbe essere stato emanato con D.P.R. il testo del decreto delegato approvato in via definitiva dal Consiglio dei Ministri dell’8 agosto 2018. Per la sua entrata in vigore dovremo comunque attendere la pubblicazione in G.U., che dovrebbe avvenire subito dopo l’emanazione, e il necessario periodo di vacatio legis.

È ragionevole pensare che nell’ultima settimana di agosto e comunque non oltre la prima o seconda settimana di settembre, il decreto delegato sia pubblicato ed entri in vigore.

Un iter molto complesso - La vicenda dell’elaborazione di questo decreto è stata assai complessa nel metodo e nel merito.

Nel metodo, perché, pur essendo la legge di delega entrata in vigore il 21 novembre 2017, solo il 14 dicembre 2017 il Ministro della Giustizia ha ritenuto di nominare, con proprio decreto, una Commissione di studio di supporto e consulenza all’Ufficio Legislativo del Ministero per la redazione di uno schema di decreto di attuazione della delega.

Il decreto ministeriale di nomina ha però dovuto attendere il visto della Corte dei conti e completare le pratiche necessarie per la raccolta dei dati di tutti i suoi componenti. Questo ha richiesto alcuni giorni e, di conseguenza, la Commissione, presieduta dalla Prof.ssa Giusella Finocchiaro, è stata convocata per l’insediamento solo il 4 gennaio del 2018.


Pur avendo tenuto numerose sedute, la prima fase dei lavori della Commissione ha avuto vita breve. Infatti, su richiesta dell’Ufficio legislativo, essa ha dovuto concludere la prima fase della sua attività, relativa alla predisposizione di un primo schema di decreto, già il 13 marzo.

La ragione di tale fretta è stata certamente quella di consentire che il Consiglio dei ministri potesse pervenire, come è avvenuto, all’ approvazione dello schema preliminare del decreto nella seduta del 21 marzo 2018, data ultima perché esso potesse essere adottato da un Governo nel pieno delle sue funzioni. Per il 23 marzo 2018, infatti, erano già state convocate, per la prima seduta della XVIII legislatura, le nuove Camere elette il 4 marzo e di conseguenza, come di prassi, il 24 marzo il Presidente Gentiloni presentò le sue dimissioni al Capo dello Stato, pur restando poi in carica per gli affari correnti fino al 1°giugno.

Anche lo schema di decreto, poi definitivamente adottato l’8 agosto 2018, ha avuto una vita assai tormentata, giacché l’avvio della nuova legislatura è stato piuttosto lento. Di conseguenza, quando finalmente il testo approvato il 21 marzo poté essere mandato alle Commissioni speciali di Camera e Senato per l’esame degli atti di governo, costituite, come sempre all’inizio di una nuova legislatura, in via transitoria per l’esame dei decreti legge e legislativi in scadenza, mancavano ormai meno di trenta giorni al termine della delega. Trovò così attuazione l’art. 31 della l. 24 dicembre 2012, n. 234, esplicitamente richiamato dall’art. 13 della legge n. 163 del 2017, e la delega fu automaticamente prorogata di ulteriori tre mesi.

Questo è il motivo per il quale, pur essendo la legge di delegazione entrata in vigore il 21 novembre 2017, il termine per la scadenza della delega è successivamente slittato fino al 21 agosto 2018.
La breve sintesi delle vicende che hanno segnato il cammino del decreto delegato qui esposta è utile a comprendere molti degli aspetti, anche contenutistici, che caratterizzano la nuova normativa e le differenze, anche di tecnica legislativa, che ne caratterizzano le diverse parti.

Gli aspetti caratterizzanti della norma - Nel merito, infatti, il testo finale del decreto è segnato da una complessità contenutistica legata anche alla compresenza di diverse impostazioni, sia di tecnica che di politica legislativa, tra il primo schema licenziato dalla Commissione Finocchiaro e consegnato all’Ufficio legislativo del Ministero della Giustizia, quello poi trasmesso al Governo e adottato, con modifiche sostanziali, in prima lettura il 21 marzo e quello definitivo adottato, tenendo presenti le raccomandazioni e le osservazioni delle Commissioni di Camera e Senato nonchè il parere del Garante, l’8 agosto.Di tutto questo vi è chiaro riscontro nella prima parte della Relazione illustrativa presentata al Consiglio dei Ministri dell’8 agosto, insieme allo schema definitivo di decreto poi approvato.

Va sottolineato che la maggior parte delle proposte di modifica della parte prima del Codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196, proposte dalla Commissione Finocchiaro, così come quelle relative al ruolo e ai poteri della Autorità di controllo e quelle dedicate a regolare la fase transitoria, sono rimaste, come risulta anche dalla Relazione illustrativa, pressoché immodificate anche nel testo definitivo.

Tuttavia, non vi è dubbio che la brevità del tempo concesso alla Commissione non ha consentito di cogliere l’occasione della delega per procedere non solo all’adeguamento della normativa italiana al GDPR, ma anche un suo più completo e sostanziale ammodernamento.

La Commissione, infatti, aveva consapevolmente fatto la scelta, consentita dal testo della delega, come la Relazione stessa ricorda, di procedere all’ abrogazione del Codice e alla sua integrale sostituzione allo scopo dichiarato di andare oltre il mero adeguamento della normativa italiana al GDPR e pervenire, sia nei singoli settori richiamati dall’art. 9 che in quelli del Capo IX del GDPR, non solo a garantire il pieno rispetto dei vincoli posti dalla regolazione europea ma anche a un suo più incisivo ammodernamento, in quadro di semplificazione e sinteticità del testo più conforme allo spirito della nuova regolazione europea.

In sostanza si voleva dar vita a una regolazione nazionale più agile e coesa; più facilmente interpretabile e applicabile dagli operatori; più coerente col duplice obbiettivo perseguito del GDPR che, come dice l’art. 1, non è solo quello di assicurare un’elevata protezione di un diritto fondamentale dell’Unione ma anche quello di favorire la libera circolazione dei dati in un quadro di sviluppo dell’economia e della società digitale nell’ambito dell’Unione.

Tuttavia, per le vicende ricordate, nella fase preparatoria iniziale, si è avuto soltanto il tempo di sviluppare un’incisiva attività di elaborazione e proposta, fortunatamente estesa a tutta la Prima Parte del precedente Codice. Inoltre è stato possibile anche pervenire a una compiuta “messa in asse” della nuova normativa nazionale con i Capi I e II del GDPR, ivi compresa la attuazione nazionale dell’art. 8 del GDPR (fissazione delle minore età ai fini dei servizi offerti dalla società dell’informazione) e, soprattutto, dell’art. 9, relativo alla definizione delle attività di pubblico interesse e alle scelte nazionali fondamentali nelle materie indicate dal paragrafo 2, lettere g), h), i), j) e dal paragrafo 4 del medesimo articolo.

Un lavoro importante che poi, nel corso delle successive fasi di esame, è stato ulteriormente affinato e migliorato, anche con il concorso delle Commissioni parlamentari.

Allo stesso modo, è stato possibile dare un contributo di forte innovazione, recepito e anche notevolmente migliorato nel testo del decreto delegato, per quanto riguarda i diritti delle persone decedute e, in generale, la parte finale e transitoria della nuova normativa.

Va inoltre dato atto che il testo definitivo recepisce ampiamente, e anzi completa in più parti, i suggerimenti formulati nella fase preparatoria iniziale per quanto riguarda la “costruzione” di un nuovo, e molto più incisivo, ruolo della Autorità di controllo, finalizzato non solo ad adeguare la normativa al GDPR ma anche a rendere la normativa italiana flessibile e adattabile nel tempo, in un quadro di consultazione e raccordo con gli operatori economici e culturali e con la comunità scientifica operanti nei diversi settori, in particolare in quelli indicati dal Capo IX del GDPR.

Un obiettivo questo, fortemente voluto proprio per mettere in asse, attraverso il ruolo del Garante, la flessibilità del GDPR con quella del nuovo testo italiano.

E’ invece mancato il tempo, nella fase preparatoria iniziale, per procedere anche a una organica proposta di revisione delle disposizioni di settore, che consentisse di offrire un quadro normativo più innovativo anche negli ulteriori settori specificamente riservati alla legislazione nazionale.

Questo spiega meglio di ogni altra motivazione, legata a una diversa e pur legittima interpretazione dei criteri e dell’oggetto della delega, perché il C.d.M. del 21 marzo, supportato probabilmente anche dalle posizioni assunte, in sede di esame tecnico collegiale, dagli uffici legislativi della Giustizia, della Presidenza del Consiglio e dei Ministeri maggiormente interessati, abbia preferito seguire la via della novella del Codice previgente piuttosto che quella della sua integrale abrogazione e sostituzione.

Non vi è dubbio, infatti, che, come la stessa Relazione sottolinea, la formulazione dell’art. 13 della legge comunitaria 2016-2017 consentiva sia la via della totale abrogazione e sostituzione del vecchio Codice con la nuova normativa di adeguamento, sia quella, poi scelta dal legislatore delegato, della novellazione, necessariamente amplissima, del Codice precedente.

Le fattispecie penali - A questo si deve aggiungere che, già nella fase di adozione da parte del governo del primo schema di decreto, sono state introdotte fattispecie penali che, nella prima fase preparatoria, erano state consapevolmente e motivatamente escluse, anche per ragioni di possibile contrasto con il quadro regolatorio europeo che, come molte volte precisato dalla Corte di Giustizia, non consente il “ne bis in idem” tra sanzioni amministrative, tutte rigidamente vincolate dalle previsioni del GDPR, e sanzioni penali, che dovrebbero riguardare, in linea generale, solo profili non sanzionabili in via amministrativa.

La scelta governativa di mantenere e ampliare alcune fattispecie di reato con le relative pene è stata peraltro sostenuta anche dalle Commissioni parlamentari, e anche il Garante, pur sempre presente ai lavori della Commissione, ha mostrato di non contestare nel parere reso ai sensi della legge di delega.

Dell’ accesa discussione svoltasi intorno al nodo delle sanzioni penali, la Relazione illustrativa dà ampio conto sia nella parte introduttiva che nelle pagine finali, dove si può leggere una sorta di piccolo manuale di giustizia costituzionale europea.

Vedremo nel tempo quale sarà la reazione del mondo giuridico e economico italiano a questo aggravamento del sistema sanzionatorio che, per più di un aspetto, presenta anche qualche dubbio di costituzionalità di diritto interno.

I trattamenti per finalità di giustizia, sicurezza e polizia - Un altro profilo di questa normativa che merita sottolineare, e che emerge anche dalla Relazione illustrativa, riguarda la sovrabbondanza di norme relative ai trattamenti di dati per finalità di giustizia, sicurezza e polizia. Una parte che contiene, fra l’altro, ampi, e forse non sempre utili, richiami anche alla Direttiva europea 2016/680 e al decreto legislativo 18 maggio 2018, n. 51 di recepimento.

Non è facile sfuggire all’impressione che via sia un qualche eccesso di preoccupazioni “securitarie” nel frequente e ripetuto richiamo a normative specifiche contenute in un altro decreto, peraltro attuativo della medesima delega data al governo con la l. n. 163 del 2017, che riguardava sia l’adeguamento della legislazione italiana al GDPR, sia il recepimento della Direttiva in materia di sicurezza e polizia.

Salute e tutela dei trattamenti relativi ai dati sanitari - Non meno complessa appare la normativa in materia di salute e tutela dei trattamenti relativi ai dati sanitari, compresa quella inerente ai dati biometrici, e genetici.

Anche in questo settore, come per la Parte Prima del Codice, è stata fatta una impressionante opera di abrogazione della normativa in vigore, della quale dà ampio conto la Relazione illustrativa.

Tuttavia, alcune delle nuove disposizioni contenute in questa parte del decreto sembrano limitarsi a un lavoro essenzialmente di drafting normativo rispetto a quelle che intendono novellare. Inoltre, pare di poter dire che in molti casi l’intreccio dei richiami da una disposizione all’altra, già caratteristica non pregevole del precedente Codice, sembra si ripeta con qualche frequenza anche nella nuova normativa, rendendo così difficile la comprensione del testo e molto complessa la sua applicazione.

Solo la lettura del testo pubblicato e le inevitabili e approfondite analisi che esso, per questa parte, richiederà, potranno aiutarci a capire in che misura le scelte fatte siano effettivamente innovative e vadano incontro all’evoluzione delle scienze e delle tecniche relative alla salute e all’avanzamento della conoscenza in questi settori e in che misura, invece, possa aver prevalso una spinta conservatrice dei contenuti, spesso restrittivi, già presenti nel Codice ora novellato.

Per fortuna, grazie anche alle scelte fatte fin dalla fase preparatoria, in queste materie, come in altre non meno strategiche, legate alla ricerca storica e scientifica, si prevedono anche forti poteri, di natura para-regolatoria, in capo all’Autorità Garante. Poteri che, esercitati sempre previa consultazione e dialogo con le categorie degli operatori e degli studiosi di volta in volta interessati, potranno introdurre elementi correttivi e di opportuna flessibilità nella attuazione delle norme e correggere eventuali visioni e applicazioni eccessivamente restrittive.

Normativa transitoria - Infine, va sottolineato che la normativa transitoria, assolutamente apprezzabile nel suo complesso, è, come risulta dalla stessa Relazione illustrativa, molto ampia e articolata.

Essa, da un lato, riguarda i procedimenti relativi a trattamenti precedenti all’applicazione del GDPR e ancora in corso di definizione, dall’altro è finalizzata a consentire che, per un primo, breve, periodo transitorio, anche i vecchi Codici di condotta e le vecchie autorizzazioni del Garante, in larga misura non più compatibili col GDPR, possano continuare ad avere effetto. Contestualmente, si impone al Garante stesso di verificarne il contenuto e di provvedere a sostituirli con le nuove regole deontologiche, nei settori consentiti; con le misure di garanzia, nelle parti in cui sono previste; con i provvedimenti generali in materia di valutazione di impatto nei casi indicati nel decreto.

E’ importante, inoltre, sottolineare che, pur nella sua complessità, la normativa che regola la fase di transizione non entra mai in contrasto col GDPR, neppure quando invita il Garante ad adottare modalità adeguate per consentire alle piccole e medie imprese di dare piena applicazione al GDPR; o quando gli raccomanda di tener conto, per otto mesi dalla entrata in vigore del decreto, del necessario periodo di adattamento alla nuova normativa, commisurando a tal fine in modo adeguato le sanzioni.

Da questo punto di vista, tanto il rafforzamento del ruolo dell’Autorità Garante quanto la complessa normativa transitoria costituiscono un piccolo capolavoro di ingegneria giuridica. Sono, infatti, tutte norme che corrono sul filo del rasoio, evitando sempre però, con grande abilità, di entrare in contrasto col GDPR.

Sarebbe stato augurabile che la stessa attenzione tecnica fosse stata adottata anche in materia penale, recependo meglio i suggerimenti dati anche da esperti di grande competenza. Invece, come si è già detto, si è preferito seguire la strada della moltiplicazione delle fattispecie e sanzioni penali, prevedendole anche in materie coperte da sanzioni amministrative, con la conseguenza che il rischio di contrasto con le regole europee è molto elevato. Alla possibilità che sorgano anche problemi di diritto costituzionale interno si è già accennato e non è ora il caso di ritornarci.

La forza del decreto delegato - Il quadro che emerge da queste rapide considerazioni, basato prevalentemente sulla lettura della Relazione illustrativa, presenta luci ed ombre.

Esso, però, ha i suoi principali punti di forza proprio nelle prime norme che sostituiscono quelle precedentemente contenute nel Titolo I della Parte e che la nuova rubrica definisce ora “Disposizioni generali”.
Pur composto di tre soli articoli, questo Titolo contiene e fissa gli aspetti più innovativi e durevoli del nuovo quadro normativo italiano in materia di tutela dei dati personali.

L’art. 1, nel definire l’“oggetto” della normativa, chiarisce subito che il trattamento dei dati personali avviene ora secondo le norme del GDPR e del Codice italiano come novellato dal decreto di adeguamento, aggiungendo soltanto “nel rispetto della dignità umana e dei diritti fondamentali della persona”.

Una disposizione che, per la sua posizione e sinteticità, costituisce un raccordo con i valori fondanti del nostro ordinamento ma che chiarisce subito anche che il decreto di adeguamento si limita a integrare il GDPR per le parti che è consentito agli Stati di disciplinare.

Il nuovo testo del Codice, dunque, va sempre interpretato e applicato in stretta coerenza con il regolamento europeo e come parte di un medesimo quadro normativo collocato a due livelli di efficacia territoriale: valido su tutto il territorio dell’Unione, il primo; valido, nelle sue specificità per il territorio italiano, ma tenendo conto dei criteri di applicazione territoriale dell’art. 3 del GDPR, il secondo.

Questo stesso concetto di stretta integrazione fra GDPR e Codice italiano novellato è ribadito e ulteriormente rafforzato dall’art. 2.

Questa norma, infatti, nel definire le “finalità”, specifica che il Codice, come novellato dal decreto, contiene ora solo le norme necessarie all’adeguamento dell’ordinamento nazionale alle disposizioni del Regolamento.
Viene così chiarito, fuori da ogni possibile dubbio interpretativo, che il Codice italiano trova applicazione solo nella misura in cui è conforme conforme al GDPR sia sotto il profilo della competenza dello Stato che sotto quello dell’adeguamento della normativa nazionale a quella europea.

A conferma ulteriore merita citare anche l’incipit dell’articolo che contiene le “altre disposizioni transitorie e finali”.

Questa norma, collocata nella parte finale del decreto, e sul contenuto della quale anche la Relazione illustrativa si sofferma, sottolinea al paragrafo 1 che sia il Codice, come novellato dal decreto delegato di adeguamento, che tutte le altre norme dell’ordinamento nazionale in materia, “si interpretano e si applicano” alla luce della disciplina europea relativa alla protezione dei dati personali e “assicurano la libera circolazione dei dati personali tra Stati membri ai sensi dell’art.1 del GDPR”.

Insomma, l’aspetto di maggiore rilievo del nuovo decreto delegato non è solo la sua conformità al GDPR (data per scontata) ma anche la ribadita sottolineatura che non solo le norme in esso contenute ma tutte le norme dell’ordinamento italiano relative alla protezione dei dati personali, o che possono incidere su questa materia, devono essere interpretate alla luce di principi stabiliti del GDPR.

Principi che affondano le loro radici nel legame strettissimo imposto dal GDPR tra la tutela dei dati personali e la garanzia della libera circolazione dei dati all’interno dell’Unione.

Il ruolo del Garante Privacy - Merita, infine, dar conto anche del terzo e ultimo articolo del Titolo primo della Parte Prima del Codice come novellato dal decreto.

L’art. 3, infatti, riguarda la Autorità di controllo e specifica che, ai sensi di quanto previsto dall’art. 51 del GDPR, lo Stato italiano, avvalendosi dei poteri di cui all’art. 54 paragrafo 1, individua tale Autorità nel Garante per la protezione dei dati personali.

Il valore di questa norma sta anche, e forse soprattutto, nella sua collocazione.

Mentre era scontato che si confermasse il Garante per la protezione dei dati personali quale Autorità di controllo, non era così scontato che, in piena difformità rispetto al vecchio Codice, la disposizione ad esso relativa fosse collocata nel Titolo I della Parte Prima, dedicato alle “Disposizioni generali”.

Si tratta di una scelta voluta, legata al notevolissimo aumento dei poteri e delle competenze che il decreto di adeguamento conferisce all’ Autorità Garante.

E’ la conferma di uno degli aspetti più importanti di questo testo, voluto fin dalla prima fase iniziale e successivamente ulteriormente migliorato e rafforzato.

Il Garante italiano, infatti, è chiamato a dare concretezza, anche nelle materie di competenza nazionale, a quegli elementi di flessibilità che il GDPR contiene e che la legislazione italiana, per i settori di sua competenza, esalta ulteriormente.

Anche sulla scia di alcuni strumenti precedenti, quali i Codici deontologici e le autorizzazioni generali, oggi non più compatibili col testo del GDPR ma dal decreto riconvertiti in regole deontologiche e, in alcuni settori, misure ulteriori di garanzie o provvedimenti generali, il Garante può svolgere una funzione importante nel campo della c.d. “soft law. Mettendo a sistema i poteri che esso ha in virtù del GDPR, quali quelli relativi ai codici di condotta, alle certificazioni, alle linee guida, con quelli che il nuovo decreto prevede, un’ Autorità lungimirante e aperta al futuro in dialogo con una società vitale e attiva può efficacemente operare affinché anche le parti del nuovo Codice più legate a un passato, forse eccessivamente chiuso al futuro, possano trovare correttivi adeguati.

Non è possibile per ora formulare giudizi o previsioni compiute. Occorre attendere la pubblicazione del decreto in G.U. e vedere come esso sarà recepito dagli operatori e applicato dal Garante. Occorre capire quale sarà la capacità della società e del mondo economico e scientifico del Paese di cogliere le opportunità che un proficuo dialogo col Garante può offrire. Occorre, infine, capire in che misura gli operatori, gli esperti giuridici e la stessa magistratura italiana sapranno utilizzare in concreto uno strumento così complesso, costituito da una normativa che da un lato è “a doppio livello”, europeo e nazionale, e dall’altro è integrata in un unico corpus normativo, costituito sia dal GDPR che dal Codice novellato.

Un corpus normativo che non solo va letto e applicato in modo unitario nei limiti della competenza territoriale dell’art. 3 del GDPR, ma anche rispettando il vincolo di supremazia del primo sul secondo per ciò che concerne interpretazione e applicazione delle norme.

Pare però di poter dire che, sia pure attraverso un percorso molto tortuoso, si è giunti a un risultato che, pur con qualche ombra, consente di essere ottimisti.

Come Dante con Virgilio possiamo dire che vi sono tutti i migliori auspici che alla fine del complesso viaggio che ci attende per dare una piena attuazione anche al nuovo decreto e al Codice da questo novellato, alla fine sarà possibile, e non troppo difficile, “uscire a riveder le stelle”.

Articolo di Francesco Pizzetti, professore ordinario di Diritto Costituzionale - Facoltà di Giurisprudenza Università di Torino (Fonte: Agenda Digitale)

Note Autore

Federprivacy Federprivacy

Federprivacy è la principale associazione di riferimento in Italia dei professionisti della privacy e della protezione dei dati personali, iscritta presso il Ministero dello Sviluppo Economico ai sensi della Legge 4/2013. Email: [email protected] 

Prev Le grandi imprese tecnologiche continuano a violare la vostra privacy
Next Pubblicato il Decreto Privacy tra restrizioni e semplificazioni. Al via il Dpo per le procure

Privacy Day Forum 2024: intervista a Guido Scorza

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy