L’attuazione del GDPR in Senato e il rischio della paralisi applicativa

Il ddl 2834 contiene la “Delega al Governo per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2017, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE)”.

Il testo è sufficientemente breve da essere riportato integralmente:

1. Il Governo è delegato ad adottare, entro sei mesi dalla data di entrata in vigore della presente legge, con le procedure di cui all’articolo 31 della legge 24 dicembre 2012, n. 234, acquisiti i pareri delle competenti Commissioni parlamentari e del Garante per la protezione dei dati personali, uno o più decreti legislativi al fine di adeguare il quadro normativo nazionale alle disposizioni del regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2017, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.
2. I decreti legislativi di cui al comma 1 sono adottati su proposta del Presidente del Consiglio dei ministri e del Ministro della giustizia, di concerto con i Ministri degli affari esteri e della cooperazione internazionale, dell’economia e delle finanze, dello sviluppo economico e per la semplificazione e la pubblica amministrazione.
3.Nell’esercizio della delega di cui al comma 1 il Governo è tenuto a seguire, oltre ai principi e criteri direttivi generali di cui all’articolo 32 della legge 24 dicembre 2012, n. 234, anche i seguenti principi e criteri direttivi:
a) abrogare espressamente le disposizioni del Codice in materia di trattamento dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196 e successive modificazioni incompatibili con le disposizioni contenute nel regolamento (UE) n. 2016/679;
b) modificare il Codice in materia di trattamento dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196 e successive modificazioni limitatamente a quanto necessario per dare attuazione alle disposizioni non direttamente applicabili contenute nel regolamento (UE) n. 2016/679;
c) coordinare le disposizioni vigenti in materia di protezione dei dati personali con le disposizioni recate dal regolamento (UE) n. 2016/679;
d) prevedere, ove opportuno, il ricorso a specifici provvedimenti attuativi e integrativi adottati dal Garante nell’ambito e per le finalità previste dal regolamento (UE) n. 2016/679;
e) adeguare, nell’ambito delle modifiche al Codice in materia di trattamento dei dati personali di cui al decreto legislativo 30 giugno 2003 n. 196, il sistema sanzionatorio penale e amministrativo vigente alle disposizioni del regolamento (UE) n. 2016/679 con previsione di sanzioni penali e amministrative efficaci, dissuasive e proporzionate alla gravità della violazione delle disposizioni stesse.
4. Dall’attuazione del presente articolo non devono derivare nuovi o maggiori oneri a carico della finanza pubblica, dovendosi provvedere con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente.»

Se attuata correttamente, questa delega richiederà al governo uno sforzo titanico, in particolare per quanto riguarda il punto c) – coordinamento delle disposizioni vigenti in materia di trattamento dei dati personali con quanto previsto dal GDPR.

In questo caso, infatti, la delega non può riferirsi alla semplice modifica del Codice dei dati personali (prevista nella precedente lettera b)) ma a quella parte del corpo normativo italiano che, a vario titolo, si occupa di dati personali.

I casi sono due: o l’adeguamento sarà condotto con attenzione certosina, oppure si tradurrà in clausole di stile tipo “fermo restando quanto previsto dal decreto legislativo 196/03”.

Nel primo caso, ci vorranno anni, nel secondo pochi giorni. In ambedue, ci saranno seri problemi di interpretazione e coordinamento.

Possibly Related Posts: