21 marzo 2018 il Consiglio dei Ministri approva schema di Decreto che dispone adeguamento delle norme italiane al regolamento Europeo 679/2016 in materia di Privacy. Cosa fare?
Lo scorso 25 ottobre 2017 è stata approvata la Legge n. 163/2017 (entrata in vigore il 21 novembre 2017) recante “Delega al Governo per il recepimento delle direttive europee e l’attuazione di altri atti dell’Unione europea – Legge di delegazione europea 2016-2017”, in cui viene contemplato il GDPR tra i provvedimenti che lo Stato Italiano è tenuto a recepire.
In tal senso l’art. 13 della Legge suindicata delega il Governo ad adottare, entro sei mesi dalla data di entrata in vigore della legge, uno o più decreti legislativi al fine di adeguare il quadro normativo nazionale alle disposizioni del GDPR.
È indubbio, infatti, che il GDPR sia direttamente applicabile, ma lo stesso regolamento stabilisce che sono destinate a rimanere in vigore tutte le norme non espressamente in contraddizione con il GDPR, quindi senza una pronuncia chiara del Legislatore e del Garante si rischia una grande confusione.
Un punto critico del passaggio tra le due normative è il sistema sanzionatorio.
Il Governo dovrà, quindi, “adeguare il sistema sanzionatorio penale e amministrativo vigente alle disposizioni del regolamento, con previsione di sanzioni penali e amministrative efficaci, dissuasive e proporzionate alla gravità della violazione delle disposizioni stesse”.
Intanto il 21 marzo 2018, il Consiglio dei Ministri, su proposta del Presidente Paolo Gentiloni e del Ministro della giustizia Andrea Orlando, ha approvato, in esame preliminare, un decreto legislativo che, in attuazione dell’art. 13 della legge di delegazione europea 2016-2017 (legge 25 ottobre 2017, n. 163), introduce disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento europeo relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
A far data dal 25 maggio 2018, data in cui le disposizioni di diritto europeo acquisteranno efficacia, il vigente Codice in materia di protezione dei dai personali, di cui al decreto legislativo 30 giugno 2003, n. 196, sarà abrogato e la nuova disciplina in materia sarà rappresentata principalmente dalle disposizioni del suddetto Regolamento immediatamente applicabili e da quelle recate dallo schema di decreto volte ad armonizzare l’ordinamento interno al nuovo quadro normativo dell’Unione Europea in tema di tutela della privacy.
Naturalmente ad oggi quel decreto legislativo approvato in esame preliminare dal Consiglio dei Ministri del 21.03.2018 non è in vigore.
A far data dal 25 maggio 2018, data in cui le disposizioni di diritto europeo acquisteranno efficacia, il vigente Codice in materia di protezione dei dai personali, di cui al decreto legislativo 30 giugno 2003, n. 196, sarà abrogato e la nuova disciplina in materia sarà costituita dalle disposizioni del Regolamento Europeo immediatamente applicabili e da quelle recate dallo schema di decreto volte ad armonizzare l’ordinamento interno al nuovo quadro normativo dell’Unione Europea in tema di tutela della privacy. DECRETO NON ANCORA EMANATO.
Tutto ciò premesso, in conclusione, nel pieno dell’incertezza normativa applicabile il nostro suggerimento è quello di attendere il nuovo provvedimento con i decreti attuativi anche perchè per la tipologia dei dati trattati e le attività svolte dalle varie aziende solo i decreti attuativi potranno esprimere i reali adempimenti da mettere in atto.
Ogni intervento (e spesa) oggi sarebbe o potrebbe essere inadeguato o superfluo.
Attendiamo gli sviluppi normativi.