Decreto legislativo di adeguamento al GDPR, c'è tempo fino al 21 maggio
Se prima era una gara contro il tempo, ora l’adeguamento della normativa sulla privacy italiana a quella europea è diventata una disperata corsa a perdifiato. Del decreto legislativo che avrebbe dovuto chiudere il cerchio, coordinando le disposizioni del nostro codice della riservatezza con il nuovo regolamento europeo, da un mese non si hanno più tracce. Dopo essere stato approvato in via provvisoria e salvo intese dal Consiglio dei ministri del 21 marzo, non se ne è saputo più nulla.
Lo aspettano in Parlamento, dove le commissioni speciali di Camera e Senato (al lavoro in attesa che si formino quelle permanenti) devono esprimere il parere. Lo attende il Garante della privacy, anch’esso chiamato a valutarlo. Un complesso iter stretto tra due scadenze.
La prima e più vincolante è quella del 21 maggio: entro tale data il Governo dovrà esercitare la delega, così come ha previsto la legge di delegazione europea 2017. La seconda è quella del 25 maggio, quando diventerà operativo il regolamento europeo, che l’Unione ha approvato nel 2016, concedendo però due anni a tutti i Paesi perché prendessero le misure.
Dal 25 maggio, dunque, l’intera Ue avrà regole sulla privacy uniformi, mentre finora era stata lasciata ampia discrezionalità ai legislatori nazionali. Questo vuol dire che tutte le normative interne in materia di tutela dei dati personali verranno soppiantate dal regolamento. Andrà, dunque, in pensione la direttiva 95/46 e, almeno per quanto riguarda il nostro Paese, il codice della privacy che ne è un derivato.
Al decreto legislativo “fantasma” è affidato il compito di coordinamento tra i due sistemi. Una sorta di passaggio di testimone che, alla luce del regolamento europeo che dal 25 maggio diventerà la principale fonte legislativa, dica quali parti dell’attuale codice possono continuare a vivere.
In assenza di ciò, si prospetta una situazione di confusione normativa. Rischio che non fa che aumentare la preoccupazione degli interessati (va ricordato che il regolamento si applica al settore pubblico e a quello privato), della quale è un chiaro segnale anche la reazione alla notizia di qualche giorno fa - prontamente smentita dal Garante - di un differimento dell’entrata in vigore della nuova privacy europea. In quel caso c’era stata un’errata interpretazione di un provvedimento dell’Autorità innescato da alcune norme dell’ultima legge di Bilancio. È, però, significativo che ci sia una richiesta se non di proroga - poiché si tratta di una strada non percorribile - almeno di ammorbidimento dell’applicazione del regolamento quanto meno nei primi mesi di efficacia (si veda anche il’articolo sotto). Soluzione percorsa, per esempio, dal Cnil (il Garante francese per la protezione dei dati), che ha accordato un grace period , un periodo di alcuni mesi durante i quali l’Autorità avrà, a determinate condizioni, un occhio di riguardo.
Per il momento il Garante italiano non ha dato alcun segnale in questo senso. Resta il fatto che la situazione diventa sempre più complicata. Il decreto legislativo, sempre che ce la faccia a tagliare il traguardo in tempo, arriverà, nella migliore delle ipotesi, a ridosso del 25 maggio.
Ma si tratta di una prospettiva ottimistica, anche se si intravede il momento della stesura finale del provvedimento. In settimana, infatti, si terrà un’altra riunione tra Palazzo Chigi e gli altri ministeri coinvolti, che tenteranno di trovare finalmente l’intesa che sblocchi la situazione. Sul tavolo, tra l’altro, la questione del depontenziamento delle sanzioni penali e dell’inasprimento di quelle amministrative. Il traguardo finale, però, oltre ai tempi stretti, deve anche tener conto della fluidità dell’attuale situazione politica.
Fonte: Il Sole 24 Ore del 22 aprile 2018