Home / Macroambiente / GDPR e normativa italiana: anche se in ritardo, arriva il decreto?

GDPR e normativa italiana: anche se in ritardo, arriva il decreto?

GDPR e normativa italiana: anche se in ritardo, arriva il decreto?

Il rapporto tra GDPR e normativa italiana è ancora conflittuale: manca ancora il decreto di adeguamento e la bozza predisposta solleva diversi dubbi.

Dal 25 maggio il nuovo Regolamento europeo per la protezione dei dati personali, noto ai più con l’acronimo inglese GDPR, è pienamente produttivo di effetti per i paesi dell’Unione. Cosa accade, però, alla disciplina legislativa interna preesistente e, su tutti, al Codice della Privacy in attesa del Decreto delegato di riordino? Cerchiamo di capire meglio il rapporto tra GDPR e normativa italiana.

GDPR e normativa interna: un pasticciaccio brutto?

Va precisato che, trattandosi per l’appunto di Regolamento e non di Direttiva, l’atto-fonte produce effetti diretti sia nella parte in cui impone obblighi sia in quella in cui riconosce diritti: ciò significa che non occorre, salvo quanto di qui a un momento si dirà, alcun atto interno di recepimento e che tutte le controversie che insorgeranno a far data dal 25 maggio 2018 andranno risolte guardando direttamente al Regolamento europeo e non già alle legislazioni nazionali dei singoli Stati.

La precisazione può sembrare banale, ma assume – al contrario – una grandissima importanza se si considera che, al 14 maggio, solamente 4 Stati (Austria, Germania, Slovacchia e Svezia) avevano provveduto ad adottare le modifiche alle legislazioni interne occorrenti: di conseguenza, allo stato sono formalmente vigenti una serie di discipline nazionali potenzialmente conflittuali con il GDPR. Quel che si è detto potrebbe prima facie apparire una contraddizione in termini, giacché per un verso il Regolamento non richiede atti di recepimento e per altro verso gli Stati sono comunque chiamati a una iniziativa legislativa “di raccordo”. L’apparente anomalia è presto spiegata tenendo conto di due aspetti: anzitutto rispetto ad alcune specifiche questioni (ad esempio le sanzioni penali) il Regolamento rimette ai singoli Stati la decisione in ordine alle misure da intraprendere; in secondo luogo, poi, posto che chiaramente prima dell’entrata in vigore (e dell’acquisto di efficacia) del GDPR gli Stati europei erano comunque dotati di normative interne in materia privacy (peraltro frutto dell’armonizzazione realizzata dalla Dir. 46/95/CE), si pone il problema di comprendere la sorte di tali discipline. Questo per una ovvia ed elementare esigenza: evitare il caos e l’incertezza derivanti da una sovrapposizione incoerente di norme interne e unionistiche.

Per la verità, il problema qui involge una questione di più ampia portata, ovverosia quella del ruolo delle norme UE nel sistema della gerarchia delle fonti. Semplificando al massimo una querelle che, soprattutto per l’Italia è stata particolarmente sofferta fin dagli anni ’80, è possibile affermare che, posta ed incontroversa la primauté della norma dell’Unione su quelle nazionali, due sono i modelli di integrazione possibili: quello basato sulla sovrordinazione (lex superior derogat legi inferiori) e quello basato sulla competenza (lex specialis derogat legi generali).

  • Il primo modello genera meno problemi in un caso come questo: si riconosce alla norma UE un rango superiore a quello delle legislazioni nazionali, così che – di conseguenza – ove le stesse risultino in contrasto con la disciplina introdotta dall’Unione, si andrà incontro a un fenomeno di abrogazione (implicita, per incompatibilità).
  • Il secondo modello, quello – almeno secondo un certo orientamento dottrinale e gli arresti più recenti della Corte Costituzionale – adottato dall’Italia, produce conseguenze più complesse: a fronte di una normativa UE incompatibile con quella interna, si ritiene che la seconda abbia “ecceduto” i limiti della competenza legislativa nazionale, così che il rimedio al contrasto non sarà quello della abrogazione, bensì quello della disapplicazione.

Il problema non è di poco conto nel caso in cui – come in effetti è avvenuto – i singoli stati siano “tardivinell’intervenire autonomamente: secondo il primo modello, infatti, si potrebbe ritenere che le intere normative interne siano abrogate da quella dell’Unione che “ridisegna” la materia; applicando il secondo modello, invece, gli esiti sono molto più incerti. Fermo restando che va garantita la prevalenza della norma unionistica su quella interna, occorrerà che intervenga un giudice per verificare se, norma per norma, siano presenti incompatibilità e contrasto e, quindi, rispetto al rapporto tra GDPR e normativa italiana, per disapplicare le disposizioni del Codice Privacy (D. Lgs. 196/2003) a vantaggio di quelle del Regolamento UE.

Questa è, allora, la situazione – estremamente critica – che si è determinata in Italia a far data dal 25 maggio 2018: esistono nell’ordinamento giuridico due testi normativi che disciplinano la stessa materia (GDPR e Codice Privacy) e per sapere con chiarezza a quale norma gli operatori debbano confermare il proprio agire, occorrerebbe – in teoria – una miriade di pronunce giudiziali che chiariscano, via via, se le norme del Codice Privacy vadano disapplicate (perché regolamentano un profilo disciplinato in maniera difforme dal GDPR e quindi ne “invadono” la sfera di competenza) ovvero applicate. I dubbi, peraltro, derivano dal fatto che – come si è detto – su alcuni profili il GDPR rimette alla discrezionalità dei legislatori dei singoli Stati l’individuazione della disciplina normativa, così che non è affatto possibile ritenere superati sic et simpliciter ed in toto le disposizioni interne (ovverosia, per quanto riguarda l’Italia, il Codice Privacy).

Peraltro, si badi bene, si tratta di un problema estremamente urgente anche per quanto riguarda la tenuta dell’apparato sanzionatorio penale ricavabile dal Codice Privacy: in primo luogo, infatti, non è del tutto pacifico che possano ritenersi ancora in vigore le fattispecie di reato previste dagli artt. 167 e ss. Cod. Privacy, giacché esse dovrebbero comunque armonizzarsi con le (gravosissime) sanzioni amministrative previste dal GDPR (l’art. 84 del Regolamento prevede, infatti, che le “altre” sanzioni applicate dagli Stati debbano essere “effettive, proporzionate e dissuasive”), dunque non sarebbe fuori luogo affermare che in ogni caso per la loro conservazione il GDPR richieda una interpositio legislatoris; in secondo luogo, poi, a fronte dell’obiettiva incertezza circa le norme vigenti, dinanzi a una ipotesi di trattamento illecito dei dati personali (o altra fattispecie di reato già presente nel Codice privacy) il responsabile potrebbe avvalersi degli artt. 5 e 47 c.p., facendo valere un errore scusabile sul precetto (e/o sulle norme che lo integrano) o sul fatto (o, meglio, sulla legge extra-penale che lo qualifica) e andare così esente da responsabilità per carenza dell’elemento soggettivo del reato (o dell’illecito amministrativo, ai sensi dell’art. 3 L. 689/1981).

La bozza di Decreto Legislativo e il parere del Garante privacy

Per porre rimedio alle conseguenze potenzialmente dirompenti che la segnalata incertezza reca con sé, la macchina legislativa italiana sembra da ultimo finalmente essersi messa in moto, anche se con colpevole ritardo considerando come il GDPR avesse attribuito un termine di ben due anni per adeguarsi ed evitare storture normative. In effetti il Parlamento con la cd. Legge europea (L. 23 ottobre 2017, n. 163) aveva delegato il Governo ad adottare «uno o più decreti legislativi al fine di adeguare il quadro normativo nazionale alle disposizioni del regolamento (UE) 2016/679». La delega, per il vero, sarebbe scaduta il 21 maggio 2018 ma, in considerazione del fatto che la bozza di decreto delegato a quella data era già stata trasmessa alle Camere per gli occorrenti pareri delle Commissioni, la scadenza risulta prorogata ex lege di tre mesi (art. 13 co. III L. 234/2012), sicché la scadenza ultima è fissata al 21 agosto 2018. I tempi per l’approvazione, peraltro, si sono dilatati a cagione del fatto che, in virtù del rinnovo delle Camere a seguito delle elezioni del 4 marzo e del travagliatissimo iter per la formazione del nuovo Governo, le Commissioni parlamentari non risultavano operative. In ogni caso, come detto, il Governo (uscente) ha predisposto la bozza di decreto delegato che, in attesa del vaglio da parte delle Commissioni, ha già ottenuto l’occorrente parere del Garante per la protezione dei dati personali.

Prima di analizzarne i profili più significativi, però, occorre sottolineare che se in un primo momento l’orientamento governativo sembrava quello di procedere a una espunzione in toto del Codice privacy giacché – come si legge nella relazione – «è risultato che la massima parte delle disposizioni del Codice sia da abrogare espressamente in quanto incompatibili con quelle recate dal Regolamento che […] costituiranno per il futuro il “regime primario interno” in materia di protezione dei dati personali», la bozza licenziata dal Consiglio dei Ministri ha poi seguito una strada diversa, ovverosia quella della abrogazione o modifica delle singole norme del Codice privacy ritenute incompatibili, con innesto – all’interno del medesimo testo – delle nuove disposizioni che il GDPR richiede di adottare. Si tratta di una scelta che – forse dettata dall’horror vacui – non può che destare molte e serie perplessità: il Codice privacy, come suggerisce la sua stessa denominazione, si pone(va) come testo fondamentale e “di sistema” in materia di protezione dei dati personali; questa funzione, ora, è stata “avocata” dal GDPR, sicché non pare affatto condivisibile procedere a una “cesellatura” del vecchio testo per verificare cosa può sopravvivere, cosa vada espunto e cosa vada modificato, giacché è mutata la stessa ratio dell’atto-fonte in parola. E, infatti, il rischio che si percepisce distintamente esaminando il “novellato” Codice privacy è quello di scorrere un atto normativo “groviera”, mutilato in più parti e che, per questo, restituisce l’idea di una disciplina “a macchia di leopardo”: ciò chiaramente, per usare un forte eufemismo, non giova alla chiarezza e non contribuisce affatto a una piana ricostruzione della disciplina giuridica, soprattutto considerando che si tratta di un testo che – come detto – va ad affiancarsi a quello “primario”, costituito dal GDPR.

Sarebbe stato allora forse più opportuno procedere all’abrogazione del D. Lgs. 196/2003 e alla sua sostituzione con altro Decreto delegato, breve e snello, che cioè – seguendo il sempre valido insegnamento di Beccaria – dettasse poche disposizioni, semplici e chiare: che utilità ha, ad esempio, “sprecare” due articoli del nuovo testo per ribadire (inutilmente) che il trattamento dei dati personali deve avvenire in forza del GDPR e che il D. Lgs. 196/2003 funge da strumento di adeguamento dell’ordinamento nazionale alle disposizioni del Regolamento?

GDPR e normativa italiana rispetto ai minori: tanto rumore per nulla?

Ad ogni modo, tale essendo la scelta che il Legislatore delegato (pare) si appresta a compiere, chiarito che non è ovviamente possibile un esame integrale del testo “di raccordo”, conviene analizzarne alcuni profili di particolare interesse.

Sicuramente di grande importanza è l’art.2-quinquies che costituisce (in-)esercizio della facoltà discrezionale riconosciuta dal GDPR (art. 9 co. II) ai singoli Stati in materia di consenso prestato dai minori d’età: in particolare, il Regolamento UE stabilisce in 16 anni la soglia a partire dalla quale il minore può autonomamente determinarsi in ordine alla fruizione diretta di servizi della società dell’informazione, ma viene previsto che gli Stati membri possano abbassare questa soglia fino ai 13 anni d’età. Ebbene, il Legislatore italiano (diversamente da quanto sembrava ipotizzato nelle prime versioni della bozza di Decreto delegato) sostanzialmente non si avvale di tale facoltà, giacché si limita a ribadire – con una previsione quindi ancora una volta assolutamente sovrabbondante – che, ove il minore sia infra-sedicenne, occorre il consenso di chi esercita la responsabilità genitoriale. Anzi, a ben vedere la disposizione de qua più che inutile risulta dannosa in quanto foriera di possibili ambiguità interpretative: mentre il GDPR infatti precisa che per gli infra-sedicenni il consenso debba essere “prestato o autorizzato” dal titolare della responsabilità genitoriale, il testo approvando non contempla l’autorizzazione e dunque pare restringere (in maniera che risulta prima facie illegittima) l’esternazione del consenso al solo caso di manifestazione diretta da parte dell’esercente la responsabilità genitoriale.

Sul punto piuttosto caustico si appalesa il parere del Garante Privacy, il quale osserva come la scelta governativa «non appare coerente con altre disposizioni dell’ordinamento che individuano, invece, a quattordici anni il limite di età consentito per esercitare determinate azioni giuridiche. Si pensi, fra le tante, alle disposizioni in materia di cyberbullismo che consentono al minore ultraquattordicenne di esercitare i diritti previsti a propria tutela contro atti di cyberbullismo nei suoi confronti (v. art. 2, c. 1, l. n. 71 del 2017). O si pensi al diritto del minore ultraquattordicenne di prestare il proprio consenso all’adozione (art. 7, c. 2, l. n. 184 del 1983). Parrebbe pertanto incoerente ammettere il quattordicenne a prestare il proprio consenso per essere adottato, ma non per iscriversi a un social network».

L’assimilazione proposta dal Garante, peraltro, per quanto suggestiva non può essere sopravvalutata: anzitutto perché il consenso dell’adottando minore d’età è requisito necessario ma non sufficiente (posto che il vaglio dell’interesse del minore resta comunque rimesso al Tribunale per i minorenni), mentre nel caso di specie al minore spetterebbe l’unica e ultima parola sull’accesso al social network ; in secondo luogo perché detta iscrizione ha una indubbia valenza negoziale (ovverosia contrattuale), mentre è chiaro che le vicende afferenti allo status familiae si iscrivono in tutt’altra dimensione.

Nuovo Codice Privacy e tutela dei dati personali di persona deceduta

Una modifica da segnalare attiene poi al trattamento dei dati di persona deceduta. E, infatti, mentre in precedenza l’art. 9 co. III del Codice Privacy legittimava all’esercizio dei diritti spettanti all’interessato «chi ha un interesse proprio o agisce a tutela dell’interessato per ragioni familiari meritevoli di protezione», ora tale diritto è riconosciuto anche al soggetto che agisca in qualità di mandatariodel de cuius. Inoltre, l’esercizio di tali diritti – se relativi ai servizi della società dell’informazione –  è comunque precluso allorquando l’interessato lo ha espressamente vietato per iscritto «con dichiarazione presentata al titolare del trattamento o a questi comunicata» (art. 2-duodecies del decreto novellato).

In tema, infatti, anzitutto va sottolineato che il GDPR espressamente si ritrae dal dettare qualsivoglia norma, precisando (al Considerando 27) che il Regolamento «non si applica ai dati delle persone decedute», ma facendo comunque salva la possibilità per gli Stati membri di dettare previsioni all’uopo. Ciò posto, non possono non destare perplessità le scelte del legislatore, soprattutto perché esse paiono far riferimento al caso – per il vero piuttosto infrequente – che l’interessato, mentre è in vita, detti disposizioni relative al trattamento dei suoi dati personali per il tempo successivo alla sua morte. Non pare, infatti, che le previsioni possano invece applicarsi all’ipotesi “ordinaria”, ovverosia quella in cui le disposizioni de quibus siano dettate dal de cuius con un testamento e ciò perché il testamento non è atto recettizio e, dunque, non potrebbe soddisfare il requisito di dichiarazione «presentata al titolare del trattamento o a quest’ultimo comunicata», salvo ammettere (come forse appare preferibile) che tale comunicazione possa esser fatta anche da soggetto (erede, legatario o esecutore testamentario) all’uopo incaricato dal testatore.

GDPR e normativa italiana: le novità rispetto alle misure sanzionatorie

Altro banco di prova dei rapporti tra GDPR e normativa italiana, poi, sono le prescrizioni dettate in punto di strumentario sanzionatorio, specie a fronte della scelta del GDPR, per certi versi rivoluzionaria, di presidiare il rispetto delle norme in materia di trattamento dei dati personali in via principale attraverso sanzioni amministrative particolarmente gravose: basti pensare che il Codice privacy prevedeva una soglia edittale che, al più, raggiungeva i 300.000 € (ma solo per i casi “aggravati” di cui al 164-bis), mentre il GDPR ora prevede soglie massime di 10 o 20 milioni di euro ovvero, per le imprese, il 4% del fatturato annuo, se superiore.

Ciò posto, il legislatore italiano ritiene comunque di non poter rinunciare al magistero penale e, all’uopo, ridisegna alcune fattispecie incriminatrici già presenti e ne introduce di nuove. Vengono infatti tipizzate le fattispecie delittuose di «comunicazione e diffusione illecita di dati personali riferibili a un rilevante numero di persone» (art. 167-bis) e «acquisizione fraudolenta di dati personali» (art. 167-ter). Trattandosi di norme penali e quindi soggette al principio di tassatività-precisione-determinatezza, non può che destare perplessità il fatto che per descrivere dette fattispecie delittuose si faccia riferimento a un concetto così indeterminato come quello di «dati personali riferibili ad un rilevante numero di persone».

Rispetto al sistema sanzionatorio penale, l’Authority per la protezione dei dati personali, nel suo parere, oltre a suggerire una nutrita congerie di modifiche finalizzata a evitare vuoti di sanzione penale rispetto a condotte che interferiscono o ostacolano l’azione del Garante stesso, precisa che, in relazione alla fattispecie di delitto di trattamento illecito di dati (art. 167), sarebbe opportuno «considerare, quale oggetto alternativo del dolo specifico anche il nocumento, in ragione dell’opportunità di assistere con la sanzione penale condotte connotate da un simile disvalore anche quando sorrette dal dolo di danno e non solo da quello di profitto […]». Questo perché, con scelta niente affatto comprensibile, il legislatore delegato ha ipotizzato di sanzionare penalmente il soggetto che effettua il trattamento in violazione di alcune previsioni del D. Lgs. 196/2003 (e non direttamente del GDPR, peraltro) solo allorquando questi agisce per ottenere un profitto; è ben possibile, però, che l’agente persegua (invece) solo il fine di cagionare ad altri un pregiudizio, sicché risulta evidente che escludere tale ipotesi dall’alveo delle condotte sanzionate appare piuttosto inopportuno.

Sicuramente positiva è invece la previsione dell’ultimo comma del novellato 167 Cod. Privacy che, anche se con una formulazione non proprio eccelsa dal punto di vista logico-sintattico, si premura di evitare fenomeni di ultra-afflizione: si prevede infatti, che quando per una condotta prevista al contempo come reato e come illecito amministrativo sia stata applicata(e riscossa) una sanzione amministrativa pecuniaria, la pena criminale è diminuita. Si tratta quindi di una singolare ipotesi di circostanza attenuante speciale ad efficacia comune (cioè che importa la riduzione fino ad 1/3 della pena edittale) basata, più che sulla condotta del reo (come usualmente avviene), sull’azione sanzionatoria ed esecutiva di un organo pubblico, ovverosia il Garante per la protezione dei dati personali.

© RIPRODUZIONE RISERVATA È vietata la ripubblicazione integrale dei contenuti

Resta aggiornato!

Iscriviti gratuitamente per essere informato su notizie e offerte esclusive su corsi, eventi, libri e strumenti di marketing.

loading
MOSTRA ALTRI