Il prossimo 25 maggio 2018 entrerà in vigore la nuova normativa in materia di privacy e il relativo apparato sanzionatorio: il parere della Fondazione Studi Consulenti del Lavoro
Novità in vista per la privacy con il nuovo Regolamento UE in materia di protezione dei dati personali che entrerà in vigore il 25 maggio, senza rinvii, e che prevede un nuovo regime sanzionatorio per le imprese. È quanto chiarisce la Fondazione Studi Consulenti del Lavoro nel parere n. 1/2018, per fare chiarezza su alcune notizie erronee diffuse di recente.
Nel parere, si spiega perché il Regolamento UE 2016/679 sarà immediatamente vincolante e direttamente applicabile in ogni sua parte sia per gli Stati membri che per i cittadini. Si chiarisce inoltre che non incide sull’efficacia della nuova normativa il giudizio sulla compatibilità dello schema di decreto legislativo, adottato in base alla Legge delega n. 163/2017 per l’adeguamento del quadro normativo nazionale alle nuove disposizioni.
Una novità che arriva in un momento delicato per il tema della privacy, dopo lo scandalo Datagate Facebook.
LE NOVITÀ IN MATERIA DI PRIVACY
Ha avuto di recente un certo eco la notizia, ripresa anche da qualche testata giornalistica, che il Regolamento Europeo in materia di protezione dei dati personali sarebbe sostanzialmente inapplicabile, a causa di una pretesa mancata attuazione da parte della legislazione nazionale.
In realtà la posizione espressa e – soprattutto – le conseguenze presunte appaiono viziate da un equivoco di fondo; una indebita commistione tra la critica al contenuto dello schema di decreto legislativo, che dovrebbe provvedere all’armonizzazione della normativa interna con quella europea, e gli effetti che ne dovrebbero derivare, sino addirittura alla non operatività del Regolamento. Per la Fondazione Studi Consulenti del Lavoro è necessario perciò chiarire alcuni punti oggettivamente indiscutibili.
IL REGOLAMENTO UE 2016/679: IMMEDIATAMENTE APPLICABILE E DIRETTAMENTE VINCOLANTE
Innanzitutto è da ritenersi pacifico che la norma di riferimento in materia di protezione dei dati personali, a partire dal 25 maggio 2018, sarà il Regolamento UE 2016/679, come da esplicita previsione dell’art. 99 dello stesso. Ciò perché il cambiamento non riguarda soltanto il contenuto delle regole ma anche la tecnica normativa adottata. La Direttiva n. 95/46, recepita con l’attuale Codice della privacy (d.lgs. n. 196/2003), viene espressamente abrogata dal Reg. 2016/679.
Ma non solo. Il Regolamento 2016/679, diversamente dalla Direttiva, è applicabile immediatamente ed è direttamente vincolante in ogni sua parte sia per gli Stati membri che per i cittadini, con la conseguenza che l’eventuale inosservanza delle regole poste consente ai giudici nazionali di applicare le disposizioni comunitarie a prescindere da eventuale normativa nazionale contrastante.
Non è necessario alcun recepimento da parte della normativa interna per la sua efficacia. Non c’è ragione pertanto di ritenere la necessità di nessun altro passaggio “attuativo” delle norme fissate dal Regolamento 2016/679, che sono immediatamente cogenti nonostante richiedano talvolta ai destinatari una operazione di decodificazione della loro portata, laddove astratta.
Tale esigenza pragmatica è però ben diversa da una attuazione normativa interna (non necessaria per quanto premesso), e più semplicemente manifesta l’esigenza della predisposizione di policies concrete destinate a garantire l’operatività dei princìpi fissati dal Regolamento.
Ciò quale esemplare traduzione del principio di accountability che costituisce il connotato ontologico fondamentale della nuova normativa in materia di privacy, con la posizione dell’accento sulla verifica della efficacia concreta dei comportamenti assunti e della loro attitudine a garantire i diritti affermati dal Regolamento, prevenendo la possibilità di abusi da parte di chi ricade nella condizione del trattamento dei dati oggetto della tutela.
LA NON SIGNIFICATIVITÀ DEL GIUDIZIO SULLA COMPATIBILITÀ DELLO SCHEMA DI D.LGS. PREVISTO DALLA LEGGE DELEGA N. 163/2017
Per quanto brevemente premesso, spiega la Fondazione, “non è perciò da ritenere significativo, perlomeno ai fini della verifica della efficacia del Regolamento 2016/679, il giudizio sulla compatibilità dello schema di decreto legislativo con la delega prevista dalla Legge n. 163/2017, che richiede l’adeguamento del quadro normativo nazionale alle disposizioni del regolamento UE in discorso, abrogando le disposizioni incompatibili, modificando il codice vigente e coordinando ogni altra normativa ove necessario al premesso adeguamento (art. 13, L.n. 163/2017)”.
“A prescindere infatti dalla fondatezza delle critiche mosse al suddetto schema di decreto legislativo, e dal larvato giudizio di incostituzionalità che alcune letture hanno paventato, è l’approccio che deve essere respinto, nel senso di necessità di tale attuazione ai fini dell’applicabilità delle nuove norme in materia di privacy. L’adeguamento e coordinamento è da auspicare ed agevolerà verosimilmente l’applicazione pratica del Regolamento 2016/679. In difetto, però, ogni norma incompatibile con le nuove disposizioni sarà inapplicabile dal 25 maggio prossimo ed il Regolamento spiegherà pienamente la propria efficacia” spiega ancora la Fondazione.
Nessun dubbio dunque può essere sollevato sulla immediata applicabilità delle nuove norme a partire dal 25 maggio prossimo. Nessun rinvio può venire invocato o ritenuto necessario né periodo di wait and see per i destinatari (tutti), imprese innanzitutto, che dovranno trovarsi pronti, alla data premessa, all’applicazione delle nuove regole, pena l’applicazione del regime sanzionatorio.
IL REGIME TRANSITORIO E LA GUIDA DEL GARANTE DELLA PRIVACY
L’art. 94 del Reg. 2016/679 peraltro prevede esplicitamente un regime transitorio per conformare anche i trattamenti già in corso alla nuova normativa.
Del resto anche il Garante per la protezione dei dati personali, investito dal legislatore nazionale del compito di assicurare la tutela dei diritti fondamentali e delle libertà dei cittadini (art. 1, co. 1020 ss., L.n. 205/2017), ha predisposto una guida all’applicazione delle nuove norme in materia di protezione dei dati personali contenente, tra l’altro raccomandazioni specifiche e suggerimenti circa le azioni che possono essere intraprese immediatamente perché fondate su disposizioni precise del regolamento, che non lasciano spazi a interventi del legislatore nazionale (http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/8135449).
Pertanto, alla luce di quanto disposto il prossimo 25 maggio 2018 entrerà in vigore la nuova normativa in materia di privacy e il relativo apparato sanzionatorio.