Il Consiglio dei Ministri nella riunione del 21 marzo 2018 ha approvato lo schema del Decreto legislativo recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 (d’ora innanzi anche solo: il “Decreto”).
Il Decreto in questione prevede espressamente (art. 101) l’abrogazione dell’intero Codice Privacy (D.lgs. 196/2003), nonché di parte delle modifiche introdotte in materia privacy dalla recente Legge di Bilancio (commi 1021 e 1024 dell’art. 1 della Legge n. 205/2017).
Proprio l’abrogazione del Codice Privacy appare perlomeno inaspettata in quanto la Legge di delegazione europea 2016-2017 prevedeva espressamente che il Governo avrebbe dovuto:
- abrogare espressamente le disposizioni del codice in materia di trattamento dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, incompatibili con le disposizioni contenute nel regolamento (UE) 2016/679;
- modificare il codice di cui al decreto legislativo 30 giugno 2003, n. 196, limitatamente a quanto necessario per dare attuazione alle disposizioni non direttamente applicabili contenute nel regolamento (UE) 2016/679;
- coordinare le disposizioni vigenti in materia di protezione dei dati personali con le disposizioni recate dal regolamento (UE) 2016/679;
- prevedere, ove opportuno, il ricorso a specifici provvedimenti attuativi e integrativi adottati dal Garante per la protezione dei dati personali nell’ambito e per le finalità previsti dal regolamento (UE) 2016/679;
- adeguare, nell’ambito delle modifiche al codice di cui al decreto legislativo 30 giugno 2003, n. 196, il sistema sanzionatorio penale e amministrativo vigente alle disposizioni del regolamento (UE) 2016/679 con previsione di sanzioni penali e amministrative efficaci, dissuasive e proporzionate alla gravità della violazione delle disposizioni stesse.
Non era, dunque, presumibile aspettarsi che nell’esecuzione della predetta delega il Governo avrebbe optato per l’integrale abrogazione del precedente Codice Privacy, sebbene pochi mesi fa il legislatore italiano avesse giusto apportato talune modifiche a quest’ultimo.
Il Decreto porterà, pertanto, all’armonizzazione dell’ordinamento nazionale al nuovo quadro normativo dell’Unione Europea in tema di tutela della privacy.
Ora, entro il termine di sei mesi previsto nella Legge di delegazione europea, che scadrà il prossimo 21 maggio 2018, il Decreto dovrà acquisire il parere delle Commissioni parlamentari, appena saranno costituite, e del Garante per la protezione dei dati personali prima di tornare al Governo per l’approvazione definitiva.
Detto ciò, non è da escludere che il Garante concederà un “grace period”[1] proprio come già fatto dalla medesima Autorità francese per consentire alle imprese italiane di adeguarsi al nuovo Regolamento (UE) 2016/679.
Infatti, secondo un sondaggio di “Global forensic data analytics 2018”, riportato dal noto quotidiano il “Sole 24 ore”, il nostro Paese è quello più indietro nella compagine europea (insieme alla Francia) per il disegno di specifici piani di azione per adeguarsi alla nuova normativa di protezione dei dati (solo 1 azienda su 2 ci sta lavorando).
CONCLUSIONE
Il nostro Studio ha già approfondito le tematiche soprariportate allo scopo di consentire alla propria clientela di avere una completa comprensione del nuovo Regolamento europeo e prepararsi sin d’ora ad affrontare al meglio i numerosi cambiamenti ed i nuovi adempimenti che troveranno completa attuazione in materia di protezione dei dati personali.
[1] Il CNIL ha previsto che per i primi sei mesi non saranno irrogate sanzioni alle aziende sui nuovi obblighi GDPR.
