Parere 1/2018 Fondazione Studi: il nuovo regolamento UE sulla Privacy
Il nuovo regolamento UE sulla privacy e la protezione dei dati personali, conosciuto anche come GDPR (General Data Protection Regulation), entrerà in vigore in Italia il prossimo 25 maggio, in applicazione del Regolamento UE 2016/679. Uno degli aspetti fondamentali della nuova normativa, che interessa sia le aziende che gli studi professionali, è un nuovo regime sanzionatorio: anche per questo la Fondazione Studi Consulenti del Lavoro nella persona del collega Pasquale Staropoli, componente del Dipartimento Scientifico, con il Parere 1/2018 ha fornito preziosi chiarimenti circa l’entrata in vigore e le modalità applicative della norma.
Nuovo regolamento UE sulla privacy: l’entrata in vigore
L’entrata in vigore del nuovo Regolamento UE sulla protezione dei dati personali è fissata, in modo inderogabile, al 25 maggio. Anche se è stata recentemente diffusa dalla stampa la notizia che il Regolamento Europeo 2016/679 sia inapplicabile a causa di una pretesa mancata attuazione da parte della legislazione nazionale.
In realtà, in tale posizione c’è un equivoco di fondo: una indebita commistione tra la critica al contenuto dello schema di decreto legislativo, che dovrebbe provvedere all’armonizzazione della normativa interna con quella europea, e gli effetti che ne dovrebbero derivare, sino addirittura alla non operatività del Regolamento.
Regolamento UE 2016/679: il principio di Accountability
La nuova normativa è immediatamente applicabile e direttamente vincolante, dal momento che è da ritenersi pacifico che la norma di riferimento in materia di protezione dei dati personali, a partire dal 25 maggio 2018, sarà lo stesso Regolamento UE 2016/679, come da esplicita previsione dell’art. 99. Ciò perché il cambiamento non riguarda soltanto il contenuto delle regole ma anche la tecnica normativa adottata. La Direttiva n. 95/46, recepita con l’attuale Codice della privacy (D. Lgs. n. 196/2003), viene espressamente abrogata dal Regolamento 2016/679. Ma non solo. Il Regolamento 2016/679, diversamente dalla Direttiva, è applicabile immediatamente ed è direttamente vincolante in ogni sua parte sia per gli Stati membri che per i cittadini, con la conseguenza che l’eventuale inosservanza delle regole poste consente ai giudici nazionali di applicare le disposizioni comunitarie a prescindere da eventuale normativa nazionale contrastante. Non è necessario alcun recepimento da parte della normativa interna per la sua efficacia.
Pertanto non è da ritenersi necessario alcun altro passaggio attuativo delle norme fissate dal Regolamento 2016/679, che sono immediatamente cogenti nonostante richiedano talvolta ai destinatari una operazione di decodificazione della loro portata, laddove astratta. Tale esigenza pragmatica è però ben diversa da una attuazione normativa interna (non necessaria per quanto premesso), e più semplicemente manifesta l’esigenza della predisposizione di policies concrete destinate a garantire l’operatività dei princìpi fissati dal Regolamento.
Ciò esemplifica chiaramente il Principio di Accountability che costituisce il presupposto normativo fondamentale della nuova normativa: tale principio pone l’accento sulla verifica della efficacia concreta dei comportamenti assunti e della loro attitudine a garantire i diritti affermati dal Regolamento, prevenendo la possibilità di abusi da parte di chi ricade nella condizione del trattamento dei dati oggetto della tutela.
Nuovo Regolamento UE sulla Privacy e Legge Delega 163/2017
Poste queste premesse non è da considerare significativo, perlomeno ai fini della verifica della efficacia del Regolamento 2016/679, il giudizio sulla compatibilità dello schema di decreto legislativo con la delega prevista dalla Legge n. 163/2017, che richiede l’adeguamento del quadro normativo nazionale alle disposizioni del regolamento UE in discorso, abrogando le disposizioni incompatibili, modificando il codice vigente e coordinando ogni altra normativa ove necessario al premesso adeguamento (art. 13, L. 163/2017).
A prescindere infatti dalla fondatezza delle critiche mosse al suddetto schema di decreto legislativo, e dal larvato giudizio di incostituzionalità che alcune letture hanno paventato, è l’approccio che deve essere respinto, nel senso di necessità di tale attuazione ai fini dell’applicabilità delle nuove norme in materia di privacy. L’adeguamento e coordinamento è da auspicare ed agevolerà verosimilmente l’applicazione pratica del Regolamento 2016/679. In difetto, però, ogni norma incompatibile con le nuove disposizioni sarà inapplicabile dal 25 maggio prossimo ed il Regolamento spiegherà pienamente la propria efficacia.
Nessun dubbio dunque può essere sollevato sulla immediata applicabilità delle nuove norme a partire dal 25 maggio prossimo. Nessun rinvio può venire invocato o ritenuto necessario né un periodo di wait and see per i destinatari (tutti), imprese innanzitutto, che dovranno trovarsi pronti, alla data premessa, all’applicazione delle nuove regole, pena l’applicazione del regime sanzionatorio.
Il regime sanzionatorio e la guida del Garante della Privacy
L’art. 94 del Regolamento UE 2016/679 prevede esplicitamente un regime transitorio per conformare anche i trattamenti già in corso alla nuova normativa.
Del resto anche il Garante per la protezione dei dati personali, investito dal legislatore nazionale del compito di assicurare la tutela dei diritti fondamentali e delle libertà dei cittadini (c. 1020 ss., art. 1, L. 205/2017), ha predisposto una guida all’applicazione delle nuove norme in materia di protezione dei dati personali contenente, tra l’altro raccomandazioni specifiche e suggerimenti circa le azioni che possono essere intraprese immediatamente perché fondate su disposizioni precise del regolamento, che non lasciano spazi a interventi del legislatore nazionale.
Pertanto, alla luce di quanto disposto, il prossimo 25 maggio 2018 entrerà in vigore la nuova normativa in materia di privacy e il relativo apparato sanzionatorio.