Dal 19 settembre il d.lvo 101 entra in vigore e deve essere applicato e fatto applicare come una legge dell’ordinamento italiano.
Finisce così il periodo di vacatio legis che, non essendovi alcuna previsione specifica né nella legge di delega 25 ottobre 2017 n.163, né nel decreto legislativo delegato è ovviamente l’ordinario periodo previsto dall’art.73 della Costituzione.
Forse sarebbe stato opportuno prevedere un periodo di vacatio legis più lungo, per dare tempo di capire a fondo una normativa estremamente complessa, ma così non è stato.
Nessun periodo di applicazione “soft” della normativa
Non è previsto dunque alcun periodo ulteriore ai quindici giorni per l’entrata in vigore della nuova normativa e, soprattutto, non è stabilito alcun periodo di c.d. applicazione “soft” delle disposizioni in essa contenute, né da parte della Autorità Garante né da parte di chiunque altro sia tenuto ad applicare e far applicare questo decreto legislativo.
Purtroppo, per un eccesso di “interventismo” da parte di alcuni che, forse, non si sono accorti per tempo che l’art. 22, comma 8 del decreto non ripete affatto le raccomandazioni fatte da Camera e Senato e che consistevano in una previsione di rinvio di otto mesi della applicazione della normativa in materia di tutela dei dati personali da parte dell’Autorità garante, ma si limita invece a raccomandare al Garante, solo ai fini della applicazione di eventuali sanzioni, di tenere conto per otto mesi dalla entrata in vigore del decreto “della fase di prima applicazione delle norme sanzionatorie”, si è diffusa nei primissimi giorni la convinzione che il d.lvo prevede una sorta di periodo soft di applicazione della normativa da parte del Garante.
Entrata in vigore immediata e integrale
Questa convinzione è profondamente errata anche perché, come ricorda la stessa Relazione governativa all’art.22 del decreto, una norma del genere sarebbe stata incompatibile col GDPR. Tuttavia questa erronea convinzione continua a ritornare spesso nei social e nei commenti di molti giornalisti ed esperti che intervengono in questa materia.
Dunque è bene chiarire, ancora una volta, che il 19 settembre il d.lvo n.101 entra in vigore in ogni sua parte. Di conseguenza, il Garante come l’Autorità Giudiziaria e ogni pubblica amministrazione, ente o società di servizi, impresa o struttura di ricerca e di studio, è tenuto a dare piena e integrale applicazione a tutta la sua normativa.
È certamente vero che l’attenzione dovrà concentrarsi prima di tutto, e in modo proattivo, sulle norme che disciplinano la complessa fase transitoria relativa
- alla definizione agevolata delle sanzioni relative a violazioni di norme del vecchio Codice verificatesi prima del 25 maggio 2018, di cui all’art. 18;
- alla trattazione di affari pregressi, di cui all’art. 19;
- alla rivisitazione, da parte del Garante, dei Codici di deontologia e buona condotta vigenti alla entrata in vigore del decreto e delle Autorizzazioni generali di cui agli artt.20 e 21;
- alle disposizioni transitorie finali di cui all’art. 22;
- alle ulteriori disposizioni di coordinamento, di cui agli artt.23, 24 e 25; all’elenco puntuale delle disposizioni del d.lvo n. 196 del 2003, abrogate dal nuovo decreto.
È assolutamente essenziale, tuttavia, che si abbia molto chiaro che anche tutte le altre disposizioni contenute nel d.lvo 101 del 2018 entrano in vigore, senza eccezione alcuna, dalla data del 19 settembre.
Un quadro normativo estremamente complesso
Dunque, è l’intera normativa italiana in materia di tutela dei dati personali che va letta, interpretata e applicata in un quadro estremamente complesso che comprende il GDPR e il Codice oggetto del d.lvo 196 del 2003 come novellato dal d.lvo 101 del 2018.
Non esiste, e non può esistere, alcun periodo soft di applicazione della nuova normativa, né da parte della Autorità Garante né da parte di tutti coloro ai quali spetta osservarla e farla osservare. Il periodo di otto mesi dall’entrata in vigore del d.lvo n.101 rileva unicamente ai fini dei criteri che l’Autorità Garante deve tener presente nel definire le eventuali sanzioni pecuniarie da applicare per le violazioni alle disposizioni contenute nel decreto, e anche questo, come precisa l’art. 22 comma 13, unicamente “nei limiti in cui risulti compatibile col Regolamento (UE) 2016/679”.
Il d.lvo n. 101 va applicato in tutte le parti in conformità al GDPR
Un secondo punto estremamente importante da sottolineare è che il d.lvo n. 101 deve essere interpretato e applicato in tutte le sue parti, disposizioni e norme in conformità con il GDPR.
Lo dice in modo esplicito, e senza lasciare alcun margine di dubbio né spazio a sofisticate interpretazioni, l’art. 22, comma 1 che recita:
“Il presente decreto e le disposizioni dell’ordinamento nazionale si interpretano e si applicano alla luce della disciplina dell’Unione europea in materia di protezione dei dati personali e assicurano la libera circolazione dei dati personali tra gli Stati membri ai sensi dell’art. 1, paragrafo 3 del Regolamento (UE) 2016/679”.
Ove qualcuno avesse ancora dubbi su cosa questa disposizione significa, può essere utile richiamare anche quanto detto nella Relazione illustrativa al decreto che, nel commentare il contenuto dell’art. 22, chiarisce:
“Il comma 1 reca, innanzitutto, una clausola interpretativa a valenza generale, che impone di interpretare e applicare, appunto, il presente decreto e le restanti norme nazionali alla luce della disciplina europea in materia di protezione dei dati personali”.
Continua inoltre la Relazione: “tale clausola di salvaguardia – che esplicita un canone interpretativo desumibile anche dalla gerarchia delle fonti del diritto – mira ad evitare ogni possibile controversia o antinomia in sede applicativa, garantendo alle norme dell’ordinamento coerenza e conformità al quadro giuridico europeo”.
Dunque un secondo punto fermo, da tenere sempre presente è che tutta la normativa italiana in materia, sia quella contenuta nel d.lvo n. 196 del 2003 e non abrogata o modificata dal d.lvo n. 101 del 2018, sia quella contenuta in questo ultimo, nuovo, decreto, deve essere interpretata e applicata alla luce del GDPR e in conformità alle sue norme.
Questo non solo perché lo dice con estrema chiarezza l’art. 22, comma 1, ma perché, come correttamente sottolinea la Relazione, la norma non fa altro che esplicitare un canone interpretativo desumibile dalla gerarchia delle fonti del diritto.
In altre parole, non è sufficiente limitarsi a sottolineare che il d.lvo n.101 e il d.lvo n. 196 per la parte non abrogata o modificata (e dunque l’intero Codice come novellato dal decreto di adeguamento) sono il complesso normativo italiano che integra il GDPR nell’ambito di competenza degli Stati membri, come si evince con estrema chiarezza dall’art. 1 del d.lvo n. 101 che, proprio a tal fine, modifica titolo e premesse del precedente d.lvo n. 196 del 2003.
Neppure basta aver chiaro che, in virtù dell’art. 2 del d.lvo.n.101 del 2018, l’art. 1 del Codice novellato recita ora:
“il trattamento dei dati personali avviene secondo le norme del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, di seguito “Regolamento” e del presente Codice, nel rispetto della dignità umana, dei diritti e delle libertà fondamentali della persona”.
Questa disposizione, non a caso contenuta nel nuovo articolo 1 del Codice novellato, ha la finalità e l’effetto giuridico di sottolineare che le norme in esso contenute formano parte integrante di un unico sistema normativo a due livelli, composto:
- dal GDPR, con efficacia e vigenza su tutto il territorio dell’Unione;
- dal Codice italiano come novellato dal d.lv. n.101, le cui disposizioni trovano applicazione sul territorio italiano, secondo i criteri di cui all’art. 3 del GDPR, ma solo in quanto la loro interpretazione e applicazione siano conformi al Regolamento (UE) 2016/679.
Il principio di supremazia della normativa Ue su quella nazionale
È evidente, dunque, che la normativa italiana e quella europea sono un ordinamento giuridico integrato e complesso, retto dal principio di supremazia della normativa europea su quella nazionale.
Un principio che ha tre aspetti essenziali.
Le disposizioni italiane sono legittime nel contesto europeo in quanto e nella misura in cui:
- rientrino nelle materie rimesse dal GDPR al legislatore nazionale (competenza per materia);
- il loro contenuto sia conforme alle disposizioni del GDPR;
- esse siano interpretate e applicate nel rispetto del Regolamento.
Il GDPR parametro di legittimità della normativa nazionale
In sostanza, come ricorda giustamente anche la Relazione governativa: in virtù del canone interpretativo desumibile dal sistema delle fonti, il GDPR è anche, e prima di tutto, parametro di legittimità della normativa nazionale.
Ne consegue che ogni interpretazione e applicazione di questa normativa che sia in contrasto con le disposizioni contenute nel GDPR, o con la interpretazione che di quelle disposizioni sia data dal Gruppo dei Garanti Europei (EDPB), o dalla Commissione o, a maggior ragione, dalla Corte di giustizia, è afflitta dal vizio di illegittimità. Vizio che a seconda delle circostanze può essere potenziale e giustificare la richiesta di un accertamento giurisdizionale, in particolare da parte della Corte di giustizia, ma che in generale, e soprattutto quando è evidente il contrasto, può comportare anche l’inapplicabilità della norma italiana da parte di giudici nazionali.
Le responsabilità in capo a Garante e Autorità giudiziaria
Ovviamente, tutto questo ha conseguenze importanti per tutti ma in particolare per il Garante e per l’Autorità giudiziaria ordinaria nazionale.
Spetta, infatti, innanzitutto a questi ultimi accertare sempre che le disposizioni del Codice novellato siano conformi al GDPR nel loro contenuto e siano interpretate e applicate secondo un principio di stretta legalità, essendo l’ambito della competenza nazionale definita in modo puntuale dalle norme del GDPR.
Spetta inoltre a tutti, ma in particolare al Garante e all’Autorità giudiziaria nell’esercizio delle loro specifiche competenze, verificare che nei trattamenti di dati personali posti in essere dai titolari o dai responsabili, la normativa italiana sia interpretata e applicata nel rispetto del principio di conformità alla normativa europea. Questa, infatti, come già si è detto, deve essere considerata come parametro di legittimità non solo delle disposizioni del Codice italiano come novellato dal d.lvo n. 101 del 2018, ma anche della loro interpretazione e applicazione.
Le innovazioni rispetto al Codice privacy
Un terzo punto essenziale da tenere presente dal 19 settembre in poi è che il d.lvo n.101 è un testo particolarmente complesso, dotato di una propria autonoma struttura, fortemente innovativa rispetto al precedente decreto legislativo n. 196 2003.
A seguito del nuovo decreto di adeguamento, il vecchio Codice privacy risulta non solo profondamente novellato nelle sue disposizioni ma anche fortemente modificato nella sua ispirazione di fondo, e nella sua stessa finalità.
Questo aspetto è ribadito dal fatto che il d.lvo 101 abroga totalmente l’art. l’articolo 2 del d.vo n. 196 del 2003 e lo sostituisce con un nuovo articolo 2 che specifica: “Il presente Codice reca disposizioni per l’adeguamento dell’ordinamento nazionale alle disposizioni del Regolamento”.
Il contenuto di questa disposizione ripete sostanzialmente il titolo stesso del decreto n.101.
Si tratta di una ripetizione consapevole e voluta, allo scopo di specificare, anche nel quadro del sistema normativo del Codice novellato, che la finalità del Codice stesso è limitata a contenere le disposizioni nazionali di adeguamento al GDPR. Dunque le norme in esso presenti si collocano unicamente nell’ambito specifico della competenza nazionale assegnata agli Stati dal Regolamento.
È ovvio che anche questa è una disposizione sostanzialmente ricognitiva, giacché il perimetro del potere del legislatore italiano, come di quello degli altri Stati membri, è definito dal GDPR.
Il testo dell’art. 2 ha però una portata che va oltre l’aspetto puramente ricognitivo. Esso specifica infatti che non solo il d.lvo n. 101 del 2018 ma l’intero Codice come novellato da questo decreto ha come propria finalità quella di adeguare la normativa italiana al nuovo GDPR.
Questo specifico aspetto che caratterizza il nuovo art. 2 del Codice novellato è molto importante perché, come in una sorta di “eco normativo” tra le norme iniziali e quelle finali del d.lvo 101 del 2018, esso “conferma e trova conferma” nel già citato art. 22, primo comma, che infatti chiarisce in modo esplicito che non solo le norme del nuovo decreto ma tutte le disposizioni dell’ordinamento nazionale in materia di tutela dei dati personali devono essere interpretate e applicate alla luce del GDPR.
Perché è importante ribadire un concetto ovvio
In sostanza, quello che dal 19 settembre 2018 deve essere tenuto sempre presente è che l’intera normativa italiana in materia di protezione dati si basa sulla competenza del legislatore italiano derivante dal GDPR e, di conseguenza, deve essere interpretata e applicata alla luce del nuovo Regolamento europeo.
Può sembrare una cosa ovvia, ed infatti lo è. Ma, come tutti sappiamo per esperienza, nulla rischia di essere più trascurato e posto in seconda linea quanto ciò che è ovvio ed immediatamente evidente.
Inoltre, in un contesto come quello italiano, nel quale per molti anni e soprattutto negli ultimi quindici anni, la normativa nazionale, e in particolare il c.d. Codice privacy, è stata considerata sostanzialmente l’alfa e l’omega della normativa a tutela dei dati personali. La maggior parte dei commentatori e dei commenti è sembrata spesso quasi dimenticare l’esistenza della Direttiva 95/46.
Anche per questo è molto importante oggi, alla vigilia dell’entrata in vigore del d.lvo n. 101, e quindi di un testo normativo che, contenuto formale a parte, va ben oltre la pura novella del vecchio Codice, ribadire anche l’ovvio.
Anzi, soprattutto l’ovvio.
L’articolo Gdpr, Pizzetti: “I consigli per leggere e applicare bene il decreto 101/2018 dal 19 settembre” proviene da Agenda Digitale.