Il Legislatore italiano non ha ancora provveduto ad emanare un decreto di armonizzazione tale da consentire alla normativa italiana una pacifica convivenza le disposizioni di matrice europea
Fabiola De Giovanni-Peter Lewis Geti-Vincenzo Borrelli
Il 25 maggio 2018 è entrato ufficialmente in vigore il Regolamento UE 679/2016, noto come GDPR (acronimo di "General Data Protection Regulation"), che ha introdotto significative novità in materia di trattamento, protezione e circolazione dei dati personali.
Il GDPR è stato approvato dal Parlamento europeo nel 2016, lasciando agli Stati membri l'ampio termine di due anni per adeguare le proprie legislazioni nazionali. Il lungo termine biennale doveva, inoltre, consentire anche ai soggetti direttamente interessati dalle modifiche (quindi professionisti, imprese…) di predisporre la documentazione aggiornata (informativa sul trattamento) e rinnovare le procedure interne in base al principio di "privacy by default and by design" introdotto dal Regolamento europeo.
Ovviamente, nulla di tutto questo è stato fatto. Lo stesso adeguamento alla novella legislativa in materia di trattamento e protezione dei dati negli studi professionali, imprese ed enti pubblici è stato tutt'altro che agevole e scevro di ostacoli.
A più di un mese dall'ufficiale entrata in vigore del GDPR, il Legislatore italiano non ha ancora provveduto ad emanare un decreto di armonizzazione tale da consentire alla normativa italiana una pacifica convivenza le disposizioni di matrice europea.
Numerosi sono gli interrogativi che sono sorti - e ancora sorgono - in relazione alla contemporanea applicazione di due normative (il D.Lgs. n. 196/2003 e il GDPR) che, almeno apparentemente, presentano profili di incompatibilità o, più correttamente, di difficile conciliazione con le realtà in cui troveranno applicazione.
A titolo esemplificativo, non sono previste ipotesi di semplificazione per le piccole e medie imprese, cui potrebbe essere assimilato il condominio o lo studio di amministrazione condominiale, ovvero in ordine alla videosorveglianza ovvero ancora alle specifiche misure di sicurezza, attualmente indicate dal Disciplinare Tecnico Allegato B al Codice della Privacy e che non trovano conferma né smentita all'interno della normativa europea.
Ad oggi non è stato emanato alcun documento di coordinamento e adeguamento della normativa nazionale italiana, pur essendo scaduto il termine fissato dal Parlamento al Governo per l'emanazione di tale atto.
In virtù di quanto disposto dall'art. 32 della l. 24 dicembre 2012, n. 234,richiamato dalla l. 25 ottobre 2017 n. 163 art. 13 che ha conferito la delega al Governo per l'adozione di un decreto di coordinamento e considerato che lo schema di decreto delegato è stato inviato alle Commissioni parlamentari per il previsto parere quando mancavano meno di 30 giorni alla scadenza della delega stessa, tale scadenza (originariamente fissata per il 21 maggio) è prorogata per la durata di tre mesi.
La delega concessa al Governo perché adotti il decreto di coordinamento scadrà quindi il 21 agosto. Nel frattempo sarà evidentemente complesso, per i titolari di trattamento dei dati, seguire delle direttive che possano considerarsi definitive.
Al fine di contrastare l'inevitabile clima di incertezza, nell'attesa che venga emanato il decreto di coordinamento tra norma italiana ed europea, il miglior consiglio che si possa fornire per adeguare il proprio sistema di gestione della privacy è quello di restare allerta e affidarsi a consulenti esperti che effettuino corrette valutazioni sulle reali esigenze in materia di trattamento dei dati che emergono dall'analisi delle attività di trattamento concretamente effettuate.
Appare inoltre utile predisporre una "documentazione transitoria", che rinvii sia al D.Lgs. 196/03 che al Regolamento UE 679/2016, ciascuno per le proprie specifiche competenze, operando l'opportuno coordinamento tra le disposizioni.
Allo stesso modo, seppur in via transitoria, dovranno essere predisposti gli incarichi al trattamento dei dati dei responsabili e le informative, così da dimostrare - nell'ipotesi di un controllo - di aver adempiuto all'onere di re-ingegnerizzazione delle procedure documentali e di trattamento in linea con il principio della "privacy by default and by design".
Tale consiglio, evidentemente, non è molto gradito a quanti, fino ad oggi, si sono improvvisati sedicenti "esperti" del settore, comunicando con convinta certezza che il passaggio dalla nostra normativa al GDPR sarebbe stato assolutamente lineare e privo di intoppi, risolvendosi con la pura e semplice cancellazione del D.Lgs. 196/2003.
Ed invero, se in un primo momento si parlava di "adeguamento al GDPR" sulla base dell'intenzione di abrogare la normativa italiana a favore di quella europea, la nuova bozza di decreto di armonizzazione delinea uno scenario completamente diverso, che ha lo scopo di far convivere il Codice della privacy con il GDPR, attraverso un'effettiva opera di coordinamento tra i testi.
Si ritiene quindi opportuno, in buona sostanza, attendere l'arrivo di informazioni e istruzioni definitive, che solo dopo il 21 agosto 2018, salvo ulteriori proroghe, potremo avere.
Fino ad allora, il buon consiglio che può essere dato, è quello di avviare le procedure di adeguamento della documentazione alla rinnovata normativa in materia di trattamento e protezione dei dati personali, con l'accortezza di sottoscrivere accordi che prevedano costi chiari e trasparenti anche per l'aggiornamento alla normativa in corso di definizione.