Privacy

Regolamento Europeo sulla Privacy, ancora in discussione

| 12 dicembre 2014


Nel Semestre europeo l'Italia avrebbe voluto fregiarsi dell'approvazione definitiva del nuovo Regolamento europeo sulla protezione dei dati ma così non è stato. Il Consiglio europeo, presieduto lo scorso 4 dicembre dal nostro ministro della Giustizia, ha esaminato il testo del Regolamento proposto dalla Commissione europea ed emendamento dal Parlamento, ma ha apportato ulteriori modifiche che, anche se di pochi articoli, di fatto ne hanno fatto slittare l'approvazione definitiva a data che, per ora, è impossibile predeterminare.
L'iter di approvazione degli atti dell'UE prevede infatti che la posizione adottata ora dal Consiglio debba essere ritrasmessa al Parlamento per una ulteriore votazione. Quest'ultimo esaminerà la posizione del Consiglio e potrà o approvare l'atto oppure respingerlo, nel qual caso l'atto decadrà e l'intera procedura terminerà, oppure potrà proporre nuovi emendamenti e rinviare la proposta al Consiglio per una seconda lettura.
In itinere, il Regolamento è stato oggetto di analisi da parte del Comitato economico e sociale dell'UE, del Garante europeo, della commissione Giustizia e affari interni del Consiglio nonché tema principale di una infinita serie di articoli, convegni, corsi e seminari di formazione professionale in tutta Europa. Negli ultimi due anni ci si è interrogati sulla comparazione con le attuali norme, su quali conseguenze avrà l'obbligatorietà e diretta applicabilità del Regolamento per tutti gli Stati membri, se resteranno in vigore i provvedimenti delle autorità garanti e se Il Regolamento necessiterà di un testo normativo nazionale per poter dispiegare i suoi effetti.
Formalmente, i regolamenti dell'UE hanno una validità "automatica", conferiscono diritti e impongono obblighi agli Stati membri, ai loro organi ed ai privati, con la stessa forza coercitiva di una legge nazionale, per cui, a seguito della entrata in vigore del Regolamento, il nostro Codice Privacy (D.lgs. 196/2003) sarà da considerare abrogato. Tuttavia, è ciò costituisce un primo nodo da sciogliere, il Codice Privacy contiene anche norme che non decadranno, per esempio, quelle di attuazione della Direttiva 2002/58, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche, o quelle della Direttiva 2009/136, relativa ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica.
I provvedimenti regolamentari ed autorizzativi emessi dal Garante Privacy non potranno invece considerarsi abrogati tout court. Sul punto, l'intento della UE è di salvaguardare i provvedimenti delle autorità garanti nazionali, come espresso nei Considerando del Regolamento. Sulla conformità e sul perdurare della vigenza di tali provvedimenti, si dovrà quindi esprimere direttamente il Garante con una valutazione, specifica e concreta, per ogni singolo provvedimento, che ne confermi la conformità al Regolamento o ne dichiari l'abrogazione.
Un aspetto del Regolamento che lascia perplessi gli addetti ai lavori è senza dubbio in riferimento alla sua "autosufficienza" regolamentare nella materia. Normalmente, i regolamenti europei costituiscono una disciplina giuridica direttamente efficace per gli Stati membri in una determinata materia, senza necessità di trasposizioni nazionali. Al limite, i testi di legge nazionale hanno solo funzione di creare le condizioni affinché il contenuto normativo di un regolamento, già di per sé efficace, sia suscettibile di attuazione concreta. Ma il Regolamento di cui si tratta, sul punto, prevede delle eccezioni significative, derogando di netto a tale principio. Consente, infatti, che gli Stati membri possano introdurre leggi che possono limitare obblighi e diritti dell'Interessato al trattamento (tutti gli articoli del Capo III del Regolamento) che in sostanza è il soggetto principale e destinatario di tutta la tutela di cui si tratta.
Vi sono, infine, degli aspetti sui quali il contenuto del Regolamento, per quanto sufficientemente preciso e dettagliato, non potrà trovare comunque attuazione concreta, per esempio le sanzioni penali, che l'UE non può fissare direttamente per difetto di competenza. Ciò significa che, anche per le sanzioni, non vi sarà concreta uniformità e armonizzazione e si potrà eventualmente valutare a quale giurisdizione sottostare perché più indulgente sulle pene.
Alla luce di quanto detto sinora, negli ultimi due anni si è forse erroneamente pensato che il solo testo del Regolamento sarà sufficiente per riformare tutta la materia. Il nostro Legislatore ed il Garante Privacy si dovranno invece attivare per colmare le non poche lacune applicative che produrrà il Regolamento. Per fortuna, il giorno in cui la sua applicabilità sarà effettiva è ancora molto lontano. Dall'entrata in vigore del Regolamento, cioè dalla sua pubblicazione in Gazzetta Ufficiale dell'UE, alla sua applicabilità, devono trascorrere due anni. A questi occorrerà aggiungere il tempo che sarà necessario per mettere d'accordo Commissione, Parlamento e Consiglio. Un tempo indefinito, due anni e mezzo in tutto ma forse anche tre, e senza considerare l'eventualità in cui il Parlamento cassi completamente il testo che a breve gli giungerà dal Consiglio, annullando tutta la procedura avviata due anni or sono.
Intanto, l'evoluzione tecnologica non si arresta ed i principi del Regolamento, alcuni dei quali già consolidatisi nelle Corti europee (per esempio il diritto all'oblio), potrebbero perdere di attualità sino alla fase applicativa.

Vetrina