Dal 19 settembre pienamente in vigore il decreto legislativo di adeguamento al Regolamento Privacy

Franco Pizzetti su Agenda Digitale: nessun periodo di applicazione “soft”, d’ora in avanti l’intera normativa in materia di dati personali va interpretata e applicata alla luce del Regolamento

Dal 19 settembre entra pienamente in vigore il decreto legislativo n° 101 del 2018, pubblicato lo scorso 4 settembre in Gazzetta Ufficiale, con il quale si adegua il quadro normativo nazionale a quanto disposto dal nuovo Regolamento comunitario in materia di protezione dei dati personali. Sulla banca dati Normattiva è stato pertanto aggiornato il testo del Codice per la protezione dei Dati Personali, tenendo conto di quanto previsto dal decreto legislativo di recente emanazione.

D’ora in avanti, scrive Franco Pizzetti su Agenda Digitale, contrariamente a quanto suggerito da alcuni commenti, si entra in una fase di applicazione “immediata e integrale, senza alcun periodo di applicazione soft”, della nuova normativa italiana in materia di protezione dei dati personali. Ritenendo utile ribadire questo concetto, nel suo approfondimento Pizzetti fa il punto su un quadro normativo “estremamente complesso, che deve essere interpretato e applicato in tutte le sue parti, disposizioni e norme in conformità con il GDPR”.

Non esiste e non può esistere - si legge nel testo - alcun periodo soft di applicazione della nuova normativa, né da parte della Autorità Garante né da parte di tutti coloro ai quali spetta osservarla e farla osservare. Il periodo di otto mesi dall’entrata in vigore del d.lvo n.101 rileva unicamente ai fini dei criteri che l’Autorità Garante deve tener presente nel definire le eventuali sanzioni pecuniarie da applicare per le violazioni alle disposizioni contenute nel decreto, e anche questo, come precisa l’art. 22 comma 13, unicamente “nei limiti in cui risulti compatibile col Regolamento (UE) 2016/679”.

Il d.lvo n. 101 va applicato in tutte le parti in conformità al GDPR

Un secondo punto estremamente importante da sottolineare è che il d.lvo n. 101 deve essere interpretato e applicato in tutte le sue parti, disposizioni e norme in conformità con il GDPR.

Lo dice in modo esplicito, e senza lasciare alcun margine di dubbio né spazio a sofisticate interpretazioni, l’art. 22, comma 1 che recita:

“Il presente decreto e le disposizioni dell’ordinamento nazionale si interpretano e si applicano alla luce della disciplina dell’Unione europea in materia di protezione dei dati personali e assicurano la libera circolazione dei dati personali tra gli Stati membri ai sensi dell’art. 1, paragrafo 3 del Regolamento (UE) 2016/679”.

Ove qualcuno avesse ancora dubbi su cosa questa disposizione significa, può essere utile richiamare anche quanto detto nella Relazione illustrativa al decreto che, nel commentare il contenuto dell’art. 22, chiarisce:

“Il comma 1 reca, innanzitutto, una clausola interpretativa a valenza generale, che impone di interpretare e applicare, appunto, il presente decreto e le restanti norme nazionali alla luce della disciplina europea in materia di protezione dei dati personali”.

Continua inoltre la Relazione: “tale clausola di salvaguardia – che esplicita un canone interpretativo desumibile anche dalla gerarchia delle fonti del diritto – mira ad evitare ogni possibile controversia o antinomia in sede applicativa, garantendo alle norme dell’ordinamento coerenza e conformità al quadro giuridico europeo”.

Dunque un secondo punto fermo, da tenere sempre presente è che tutta la normativa italiana in materia, sia quella contenuta nel d.lvo n. 196 del 2003 e non abrogata o modificata dal d.lvo n. 101 del 2018, sia quella contenuta in questo ultimo, nuovo, decreto, deve essere interpretata e applicata alla luce del GDPR e in conformità alle sue norme.

Questo non solo perché lo dice con estrema chiarezza l’art. 22, comma 1, ma perché, come correttamente sottolinea la Relazione, la norma non fa altro che esplicitare un canone interpretativo desumibile dalla gerarchia delle fonti del diritto.

In altre parole, non è sufficiente limitarsi a sottolineare che il d.lvo n.101 e il d.lvo n. 196 per la parte non abrogata o modificata (e dunque l’intero Codice come novellato dal decreto di adeguamento) sono il complesso normativo italiano che integra il GDPR nell’ambito di competenza degli Stati membri, come si evince con estrema chiarezza dall’art. 1 del d.lvo n. 101 che, proprio a tal fine, modifica titolo e premesse del precedente d.lvo n. 196 del 2003.

Neppure basta aver chiaro che, in virtù dell’art. 2 del d.lvo.n.101 del 2018, l’art. 1 del Codice novellato recita ora:

“il trattamento dei dati personali avviene secondo le norme del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, di seguito “Regolamento” e del presente Codice, nel rispetto della dignità umana, dei diritti e delle libertà fondamentali della persona”.

Questa disposizione, non a caso contenuta nel nuovo articolo 1 del Codice novellato, ha la finalità e l’effetto giuridico di sottolineare che le norme in esso contenute formano parte integrante di un unico sistema normativo a due livelli, composto:

  • dal GDPR, con efficacia e vigenza su tutto il territorio dell’Unione;
  • dal Codice italiano come novellato dal d.lv. n.101, le cui disposizioni trovano applicazione sul territorio italiano, secondo i criteri di cui all’art. 3 del GDPR, ma solo in quanto la loro interpretazione e applicazione siano conformi al Regolamento (UE) 2016/679.

Il principio di supremazia della normativa Ue su quella nazionale

È evidente, dunque, che la normativa italiana e quella europea sono un ordinamento giuridico integrato e complesso, retto dal principio di supremazia della normativa europea su quella nazionale.

Leggi l’articolo integrale su Agenda Digitale

Ampliando e integrando il discorso, Franco Pizzetti ha dedicato un ulteriore approfondimento alla piena entrata in vigore della nuova normativa nazionale in materia di dati personali. Questa volta il focus è sulle attività che il Garante Privacy dovrà mettere in campo per agevolare questo importante passaggio. Nell’abstract dell’articolo, si legge quanto segue:

Un quadro della normativa che disciplina i trattamenti per l’esecuzione di compiti di interesse pubblico o l’esercizio di pubblici poteri tra GDPR, decreto legislativo n.101 del 2018, Codice novellato e normativa transitoria. Ecco il grande lavoro che attende il Garante e perché bisogna fare in fretta.

Leggi l’articolo su Agenda Digitale

Valuta il sito

Non hai trovato quello che cerchi ?

Piè di pagina