FTCC | Studio Legale Associato

FTCC

News

paolina

A fine ottobre, la legge di delegazione europea 2016 – 2017 (legge n. 163/2017) ha delegato il governo (art. 13) ad adottare, entro sei mesi dalla sua entrata in vigore, decreti legislativi volti ad adeguare il quadro normativo italiano al GDPR (Regolamento n. 679/2016), provvedendo in particolare all’abrogazione esplicita delle disposizioni del Codice Privacy incompatibili con quelle contenute nel GDPR, alla modifica del Codice Privacy e al coordinamento di quest’ultimo con il GDPR, all’individuazione degli argomenti sui quali sia necessaria l’emanazione di provvedimenti integrativi e attuativi da parte del Garante Privacy, alla determinazione delle sanzioni, in linea con quelle previste dal GDPR (vedi sul punto la nostra ultima Newsletter).

Tutto bene quindi, a parte le incertezze politiche dovute al fatto che la delega cade a cavallo tra la fine della legislatura e l’inizio della prossima.

Senonché meno di un mese dopo, con legge 20 novembre 2017, n. 167 (“legge europea 2017”, art. 28), il Parlamento è intervenuto direttamente sul Codice Privacy, in maniera non del tutto coerente col GDPR. Il primo intervento riguarda l’art. 29 (responsabile del trattamento); viene introdotto un nuovo comma (4-bis), nel quale si dice che il titolare può avvalersi, quali responsabili del trattamento, di “soggetti pubblici o privati” che forniscano idonee garanzie, con i quali devono essere stipulati a tal fine “atti giuridici in forma scritta, che specificano la finalità perseguita, la tipologia dei dati, la durata del trattamento, gli obblighi e i diritti del responsabile del trattamento e le modalità di trattamento”. Questa disposizione non è in linea con quanto prevede l’art. 28 co. 3 GDPR, punti da a) a h), il quale elenca in maniera molto dettagliata il contenuto minimo del contratto di nomina del responsabile, menzionando aspetti dei quali non si ritrova traccia nel comma 4-bis dell’art. 29; così come non si ritrova traccia di altre informazioni che pure l’art. 28 co. 3 GDPR considera obbligatorie (materia disciplinata, natura del trattamento, categorie di interessati, obblighi e diritti del titolare). Che dire? Le modifiche così introdotte nell’art. 29 devono ritenersi operative fin quando non diventerà obbligatorio uniformarsi al GDPR, ossia fino al fatidico 25 maggio 2018? Ma il GDPR è in vigore dal 24 maggio 2016, e la legge nazionale, che è fonte gerarchicamente sotto-ordinata, non avrebbe potuto già da allora dettare disposizioni in contrasto col GDPR. A ciò si aggiunga che il comma 4-bis considera obbligatoria la predisposizione da parte del Garante di schemi-tipo dei contratti di nomina, mentre l’art. 28 GDPR attribuisce alla Commissione la facoltà di predisporre clausole contrattuali tipo. Insomma, un bel pasticcio: all’ingenuo giurista sembra che il legislatore italiano, nella fretta di muoversi, non abbia minimamente considerato l’esistenza del regolamento europea, al quale comunque i soggetti operanti in Italia, così come quelli operanti in tutto il territorio dell’Unione Europea, dovranno adeguarsi a partire dal 25 maggio 2018.

Altra norma di nuova introduzione è l’art. 110-bis, che prevede l’autorizzazione del Garante per il riutilizzo dei dati per finalità di ricerca scientifica o per scopi statistici, “a condizione che siano adottate forme preventive di minimizzazione e di anonimizzazione dei dati ritenute idonee a tutela degli interessati”. Ma se i dati sono anonimi, perché è necessaria un’autorizzazione? L’art. 89 non la prevede. Sul punto si è aperto un acceso dibattito, e nel corso di interviste e interventi pubblicati su alcuni quotidiani nazionali (“La Repubblica”, “Il Messaggero”) il Garante ha fornito spiegazioni che non sembrano, in realtà, del tutto soddisfacenti, almeno in punto di diritto.

Avv. Paolina Testa   


categoria:NewsPrivacy e diritti della personalità