Privacy, il 25 maggio si cambia. In azienda arriva il data protection officer
Privacy: il 25 maggio in vigore il nuovo Regolamento UE
Il 25 maggio 2018 entrerà in vigore il nuovo Regolamento Europeo in materia di protezione dei dati personali che prevede un nuovo regime sanzionatorio per le imprese. La Fondazione Studi dei Consulenti del Lavoro, con il parere n.1/2018, fornisce alcuni chiarimenti sull’entrata in vigore del nuovo Regolamento.
LE NOVITÀ IN MATERIA DI PRIVACY. PERCHÉ LA SCADENZA DEL 25 MAGGIO NON SLITTERÀ
Ha avuto di recente un certo eco la notizia, ripresa anche da qualche testata giornalistica, che il Regolamento Europeo in materia di protezione dei dati personali sarebbe sostanzialmente inapplicabile, a causa di una pretesa mancata attuazione da parte della legislazione nazionale. In realtà la posizione espressa e – soprattutto – le conseguenze presunte appaiono viziate da un equivoco di fondo; una indebita commistione tra la critica al contenuto dello schema di decreto legislativo, che dovrebbe provvedere all’armonizzazione della normativa interna con quella europea, e gli effetti che ne dovrebbero derivare, sino addirittura alla non operatività del Regolamento. È necessario perciò chiarire alcuni punti oggettivamente indiscutibili.
IL REGOLAMENTO UE 2016/679: IMMEDIATAMENTE APPLICABILE E DIRETTAMENTE VINCOLANTE. CHIARIMENTI SUL PRINCIPIO DI ACCOUNTABILITY
Innanzitutto è da ritenersi pacifico che la norma di riferimento in materia di protezione dei dati personali, a partire dal 25 maggio 2018, sarà il Regolamento UE 2016/679, come da esplicita previsione dell’art. 99 dello stesso. Ciò perché il cambiamento non riguarda soltanto il contenuto delle regole ma anche la tecnica normativa adottata. La Direttiva n. 95/46, recepita con l’attuale Codice della privacy (d.lgs. n. 196/2003), viene espressamente abrogata dal Reg. 2016/679. Ma non solo. Il Regolamento 2016/679, diversamente dalla Direttiva, è applicabile immediatamente ed è direttamente vincolante in ogni sua parte sia per gli Stati membri che per i cittadini, con la conseguenza che l’eventuale inosservanza delle regole poste consente ai giudici nazionali di applicare le disposizioni comunitarie a prescindere da eventuale normativa nazionale contrastante. Non è necessario alcun recepimento da parte della normativa interna per la sua efficacia. Non c’è ragione pertanto di ritenere la necessità di nessun altro passaggio “attuativo” delle norme fissate dal Regolamento 2016/679, che sono immediatamente cogenti nonostante richiedano talvolta ai destinatari una operazione di decodificazione della loro portata, laddove astratta. Tale esigenza pragmatica è però ben diversa da una attuazione normativa interna (non necessaria per quanto premesso), e più semplicemente manifesta l’esigenza della predisposizione di policies concrete destinate a garantire l’operatività dei princìpi fissati dal Regolamento. Ciò quale esemplare traduzione del principio di accountability che costituisce il connotato ontologico fondamentale della nuova normativa in materia di privacy, con la posizione dell’accento sulla verifica della efficacia concreta dei comportamenti assunti e della loro attitudine a garantire i diritti affermati dal Regolamento, prevenendo la possibilità di abusi da parte di chi ricade nella condizione del trattamento dei dati oggetto della tutela.
LA NON SIGNIFICATIVITÀ DEL GIUDIZIO SULLA COMPATIBILITÀ DELLO SCHEMA DI D.LGS. PREVISTO DALLA LEGGE DELEGA N. 163/2017
Per quanto brevemente premesso, non è perciò da ritenere significativo,perlomeno ai fini della verifica della efficacia del Regolamento 2016/679, ilgiudizio sulla compatibilità dello schema di decreto legislativo con la delegaprevista dalla Legge n. 163/2017, che richiede l’adeguamento del quadronormativo nazionale alle disposizioni del regolamento UE in discorso, abrogandole disposizioni incompatibili, modificando il codice vigente e coordinando ognialtra normativa ove necessario al premesso adeguamento (art. 13, L.n.163/2017).A prescindere infatti dalla fondatezza delle critiche mosse al suddetto schema didecreto legislativo, e dal larvato giudizio di incostituzionalità che alcune letturehanno paventato, è l’approccio che deve essere respinto, nel senso di necessitàdi tale attuazione ai fini dell’applicabilità delle nuove norme in materia di privacy.L’adeguamento e coordinamento è da auspicare ed agevolerà verosimilmentel’applicazione pratica del Regolamento 2016/679. In difetto, però, ogni normaincompatibile con le nuove disposizioni sarà inapplicabile dal 25 maggio prossimoed il Regolamento spiegherà pienamente la propria efficacia.Nessun dubbio dunque può essere sollevato sulla immediata applicabilità dellenuove norme a partire dal 25 maggio prossimo. Nessun rinvio può venireinvocato o ritenuto necessario né periodo di wait and see per i destinatari (tutti),imprese innanzitutto, che dovranno trovarsi pronti, alla data premessa,all’applicazione delle nuove regole, pena l’applicazione del regime sanzionatorio.
IL REGIME TRANSITORIO E LA GUIDA DEL GARANTE DELLA PRIVACY
L’art. 94 del Reg. 2016/679 peraltro prevede esplicitamente un regime transitorio per conformare anche i trattamenti già in corso alla nuova normativa. Del resto anche il Garante per la protezione dei dati personali, investito dal legislatore nazionale del compito di assicurare la tutela dei diritti fondamentali e delle libertà dei cittadini (art. 1, co. 1020 ss., L.n. 205/2017), ha predisposto una guida all’applicazione delle nuove norme in materia di protezione dei dati personali contenente, tra l’altro raccomandazioni specifiche e suggerimenti circa le azioni che possono essere intraprese immediatamente perché fondate su disposizioni precise del regolamento, che non lasciano spazi a interventi del legislatore nazionale (http://www.garanteprivacy.it/web/guest/home/docweb/- /docweb-display/docweb/8135449). Pertanto, alla luce di quanto disposto il prossimo 25 maggio 2018 entrerà in vigore la nuova normativa in materia di privacy e il relativo apparato sanzionatorio.