OSSERVATORIO PRIVACY

La nuova Privacy tra Europa e legge nazionale: quale diritto applicabile?

08/03/2017 10:54


Avv. Cristiano Cominotto – Avv. Anna Minichiello – Dott. Francesco Curtarelli
AssistenzaLegalePremium.it


Entrando a far parte dell'Unione Europea, lo Stato italiano ha rinunciato ad una parte della propria sovranità cedendola all'UE.

Il sistema delle fonti di diritto interno, di conseguenza, si è adeguato a tale situazione istituzionale, riconoscendo agli atti legislativi europei un valore differente a seconda della loro tipologia. I Regolamenti europei hanno la caratteristica di essere direttamente applicabili e obbligatori in tutti i loro elementi nei confronti di tutti gli Stati membri e di tutti i cittadini dell'Unione. Si collocano quindi, nel sistema di fonti normative interne, immediatamente al di sotto della carta costituzionale, prevalendo sia sul diritto interno già vigente che su quello successivo.

In base al dettato dell'art. 99 del GDPR, il Regolamento Europeo 679/2016 sulla Data Protection (GDPR) si applicherà a decorrere dal 25 maggio 2018 e sarà obbligatorio in tutti i suoi elementi nonché direttamente applicabile in ciascuno degli Stati membri. Dalla stessa data sarà abrogata la Direttiva 95/46/CE che attualmente disciplina a livello comunitario il trattamento dei dati.

Sempre in ambito di data protection, è attualmente vigente nel nostro Paese il Codice della Privacy (D.lgs 196/2003) con cui il legislatore italiano ha voluto raccogliere in un testo unico la maggior parte delle disposizioni inerenti alla privacy e al trattamento dei dati, recependo in tal modo la direttiva di cui sopra e quella sull'e-privacy (dir. 58/2002/CE).

Nonostante il Regolamento prevalga sulla legge nazionale interna, tuttavia la sola esistenza ed applicazione del GDPR non comporta, provenendo questo da un ordinamento (quello europeo) diverso da quello nazionale, l'abrogazione automatica della legge statale regolante la medesima materia.

Sebbene formalmente ancora vigenti, tutte quelle disposizioni della legge interna in contrasto con le nuove previsioni normative europee dovranno essere in ogni caso disapplicate, in favore della nuova disciplina.

A tali conclusioni si giunge anche tenendo in considerazione che il legislatore europeo, se avesse voluto abrogare tutte le legislazioni interne degli Stati membri in materia di protezione dati, avrebbe avuto il potere di farlo, prevedendo in modo espresso la sostituzione in toto delle discipline normative nazionali.

Così però non è stato e, al contrario, nel considerando 10 del GDPR, viene sancito che "per quanto riguarda il trattamento dei dati personali per l'adempimento di un obbligo legale, per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento, gli Stati membri dovrebbero rimanere liberi di mantenere o introdurre norme nazionali al fine di specificare ulteriormente l'applicazione delle norme del presente regolamento". E ancora "…il presente regolamento prevede anche un margine di manovra degli Stati membri per precisarne le norme, anche con riguardo al trattamento di categorie particolari di dati personali".

Il D.lgs. 196/2003 non subisce dunque alcuna abrogazione diretta e, al contrario, mantiene la sua forza normativa, subendo tuttavia una sorta di "rilettura in chiave GDPR". In base a tale "rilettura"


a) Dove non vi è compatibilità tra quanto disposto dal Codice della Privacy e quanto previsto dal Regolamento 679/2016, il CdP lascia il passo alle nuove disposizioni europee: la legge statale deve essere disapplicata in favore del GDPR;

b) Laddove vi sia compatibilità tra le due norme, il d.lgs. 196/2003 rimane applicabile continuando a dettare legge, anche in maniera più specifica rispetto al GDPR.

Laddove il Codice della Privacy disciplini in maniera più dettagliata aspetti e ambiti che il Regolamento non approfondisce, occorre chiedersi se l'esistente normativa interna è in linea con gli scopi del nuovo Regolamento.

A tal proposito prenda ad esempio il caso delle misure di sicurezza. Queste sono disciplinate in maniera molto approfondita dal Codice della Privacy, al punto che l'allegato B del codice prevede un elenco di misure minime di sicurezza.

Il Regolamento europeo non parla invece di misure minime, ma si esprime solamente in termini di adeguatezza: l'art. 32 GDPR recita infatti che "Tenendo conto dello stato dell'arte e dei costi di attuazione, nonché della natura, dell'oggetto, del contesto e delle finalità del trattamento, come anche del rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche, il titolare del trattamento e il responsabile del trattamento mettono in atto misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio, che comprendono, tra le altre, se del caso:

a) la pseudonimizzazione e la cifratura dei dati personali;

b) la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;

c) la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati personali in caso di incidente fisico o tecnico;

d) una procedura per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento".

Nonostante sia presente un elenco esemplificativo e non esaustivo di misure tecniche e organizzative di sicurezza, il Regolamento non effettua una tipizzazione puntuale come quella dell'allegato B del CdP: tale scelta è in linea con il principio dell'accountability su cui si basa l'intero GDPR. Titolare e responsabile del trattamento devono responsabilizzarsi e mettere in atto misure di sicurezza adeguate alla loro realtà aziendale.

Proprio da qui sorge il dubbio: cosa ne sarà delle misure minime di sicurezza previste dall'allegato B al d.lgs. 196/2003?

Se da un lato si può sostenere la loro sopravvivenza in quanto non sono manifestamente incompatibili con il GDPR, ponendosi nei suoi confronti come elemento di specificazione, dall'altro lato proprio tale specificazione tramite elencazione di misure minime mal si concilia con lo spirito rivoluzionario del Regolamento stesso rappresentato dal principio di accountability.

È auspicabile, per fare chiarezza sui rapporti definitivi tra Codice Privacy e GDPR, un intervento chiarificatore da parte del legislatore e dell'autorità Garante, sciogliendo in tal modo tutti gli ulteriori dubbi a riguardo.


Degli stessi autori:
Il trasferimento dei dati personali in Paesi extra UE

Vetrina