di Antonio Ciccia Messina
Si applicheranno il Regolamento Ue 2016/679 (o Gdpr), il Codice della privacy, che sopravvive, anche se bucherellato e con numerosi innesti e sostituzioni, il decreto legislativo di armonizzazione dell’ordinamento italiano al Regolamento Ue e altre norme di dettaglio
La privacy diventa un ginepraio. Dal 25 maggio 2018 si applicano il Regolamento Ue 2016/679 (operativo dal 25 maggio 2018), il Codice della privacy (dlgs 196/2003), che sopravvive, anche se bucherellato e con numerosi innesti e sostituzioni, il decreto legislativo di armonizzazione dell’ordinamento italiano al Regolamento Ue (approvato preliminarmente dal consiglio dei ministri del 21 marzo 2018 e da adottare definitivamente entro il 21 maggio 2018), altre leggi che, con disposizioni a macchie di leopardo, riguardano particolari aspetti, autorizzazioni generali e provvedimenti del garante pregressi al 25 maggio 2018, purché compatibili; e si potranno aggiungere anche codici etici e linee guida dei garanti europei e del garante italiano.
Nonostante questa congestione di norme, le imprese non pensino di avere i dettagli dei singoli adempimenti che devono mettere in atto. Questo per effetto della cosiddetta «accountability» o responsabilizzazione: ciascuna impresa deve scegliere se osservare o non osservare un certo adempimento.
Così ogni impresa deve rispondere da se stessa a quesiti cruciali: se deve o no nominare un Responsabile della protezione dei dati; se deve o no scrivere una valutazione di impatto privacy; se può o no trattare senza chiedere il consenso dell’interessato (legittimo interesse) e così via.
In ogni caso ci sono ancora altri quesiti insoluti, non essendo ancora chiaro se: per il marketing diretto ci vuole il consenso; quando si possono trattare i dati sensibili resi manifestamente pubblici dall’interessato; quali sono i casi di legittimo interesse (trattamento dati senza consenso); se si può esercitare il diritto di opposizione in caso di trattamento di dati sensibili; se gli studi professionali associati devono nominare un responsabile della protezione dei dati; quale ruolo interno è compatibile con la nomina a Responsabile della protezione dei dati.
Peraltro il regolamento prevede a cura delle autorità garanti alcune indicazioni ufficiali, che ancora non sono arrivate. Ci si riferisce: al contratto tipo tra titolare del trattamento e responsabile esterno del trattamento; all’elenco dei casi in cui si deve scrivere la valutazione di impatto privacy; all’elenco dei casi in cui non si deve scrivere la valutazione di impatto privacy; alle semplificazioni per le piccole e medie imprese, e così via.
I «vecchi» provvedimenti del garante. Il decreto legislativo di armonizzazione dell’ordinamento italiano al Regolamento Ue 2016/679 stabilisce che a decorrere dal 25 maggio 2018, i provvedimenti del Garante per la protezione dei dati personali continuano ad applicarsi, in quanto compatibili con il regolamento e con le disposizioni del decreto di armonizzazione.
La transizione dal Codice della privacy al Regolamento 2016/679 sarà gestita anche verificando la sorte dei provvedimenti adottati dal Garante per la protezione dei dati personali.
A questo proposito il Considerando 41 del Regolamento Ue, afferma che «qualora il presente regolamento faccia riferimento a una base giuridica o a una misura legislativa, ciò non richiede necessariamente l’adozione di un atto legislativo da parte di un parlamento, fatte salve le prescrizioni dell’ordinamento costituzionale dello Stato membro interessato. Tuttavia, tale base giuridica o misura legislativa dovrebbe essere chiara e precisa, e la sua applicazione prevedibile, per le persone che vi sono sottoposte, in conformità della giurisprudenza della Corte di giustizia dell’Unione europea (la «Corte di giustizia») e della Corte europea dei diritti dell’uomo».
La base giuridica del trattamento potrà essere rappresentata da un atto diverso da un atto legislativo, e anche, nel rispetto del principio di gerarchia delle fonti e del principio di competenza, da un provvedimento del Garante per la protezione dei dati personali.
Il decreto legislativo di coordinamento impone di censire i provvedimenti dell’Autorità di controllo italiana al fine di stabilire se gli stessi possano costituire, in tutto o in parte, idonea base giuridica. In tabella si passano al vaglio alcuni provvedimenti in settori cruciali e si propone una linea di lettura sulla possibile compatibilità rispetto al Regolamento Ue, nelle more di indicazioni ufficiali del Garante della privacy.
Fonte: italiaoggi.it