GDPR: i rapporti tra il D.Lgs. n.196-2003 ed il Regolamento UE n.679-2016
L’integrazione tra il D.Lgs. n.196/2003 e il GDPR richiede un’attenta analisi normativa per coordinare le leggi nazionali con il Regolamento U.E. n.679/2016. Il GDPR, sebbene superiore alle normative nazionali, non abroga direttamente il D.Lgs. n.196/2003, richiedendo un’interpretazione accurata delle norme rimaste in vigore. Inoltre, il riferimento alle certificazioni ISO, sebbene utile, deve essere contestualizzato all’interno del nostro sistema giuridico di civil law. La collaborazione tra giuristi e tecnici è essenziale per applicare correttamente le normative sulla privacy.
Gli effetti del GDPR sulle normative nazionali
In questo articolo vorrei esaminare (ovviamente non in maniera esaustiva) le problematiche connesse alla integrazione tra l’attuale normativa in materia di protezione di dati personali (ossia il D.Lgs. n.196/2003) e il Regolamento U.E. n.679/2016, meglio noto sotto il nome di “GDPR”.
Cominciamo dalla fine: con la Legge, 25/10/2017 n° 163, G.U. 06/11/2017 (http://bit.ly/2mRLwXM) si è dato mandato al Governo di emanare apposite norme che coordinino – appunto – il D.Lgs. n.196/2003 ed il GDPR.
Questo in quanto occorre ricordare che il GDRP, essendo un Regolamento Europeo, è immediatamente efficace ed attivo nei rapporti tra i soggetti di un determinato Stato, senza alcuna necessità di essere recepito da una legge nazionale, come invece accade alle Direttive Europee.
Ora, chi abbia seriamente letto il GDPR, si dovrebbe essere accorto che “semplicemente” che il medesimo, nel capo IX, articoli da 94 a 99, abroga solamente le precedenti direttive europee nella medesima materia, ma nulla dice circa le normative nazionali.
Direi che è una cosa abbastanza ovvia, in quanto è noto che i Regolamenti Europei sono norme di rango superiore rispetto alle normative nazionali, e di conseguenza qualunque normativa nazionale che sia in contrasto con un regolamento si deve intendere come tacitamente ma necessariamente abrogata.
Però poi, per essere sicuri di non tralasciare alcunché, occorre poi che l’interprete [1] analizzi tutte le norme sia del D.Lgs. n.196/2003 sia del GDPR per poter “controllare” quali norme del D.Lgs. n.196/2003 siano state effettivamente abrogate per effetto della sovrapposizione del GDRP, e quali norme siano – al contrario – rimaste in vigore, anche se in via sussidiaria.
Normative specifiche non menzionate nel GDPR
Un esempio per tutti: nel GDPR non vi è cenno dei c.d. “Amministratori di sistema”, oggetto di specifico provvedimento del Garante [2], così come praticamente non vi è cenno a quali debbano essere le c.d. “misure di sicurezza”, oggetto di normazione nel D.Lgs. n.196/2003, sia sotto l’aspetto della responsabilità penale sia sotto l’aspetto della responsabilità civile [3] .
Di conseguenza in questi casi le norme dovranno essere coordinate; ed è proprio per facilitare il compito di chi sia chiamato ad applicare tali norme, che è stata emanata la delega sopra citata.
Intendiamoci, a mio sommesso parere il GDPR ha solamente messo in chiaro alcuni aspetti che nel D.Lgs. n.196/2003 erano in pratica sottintesi, ha strutturato l’impegno di protezione dei dati in maniera diversa da come tale aspetto era strutturato nel D.Lgs. n.196/2003, lasciando molto più libertà nel definire le varie forme di controllo e di protezione.
Ma probabilmente è stata proprio questa – apparente – maggiore libertà che, comportando sicuramente anche una maggiore responsabilità, che ha “spaventato” chi non sia propriamente del “mestiere”.
Ruolo delle certificazioni ISO nel contesto normativo
Anche il riferimento espresso operato dal GDRP alle certificazioni ISO devono essere lette correttamente; infatti – come peraltro scrissi davvero molto tempo fa – seguire, per esempio, la certificazione ISO 27001 (se non erro l’ultima “vigente” dovrebbe essere la 2014) può sicuramente costituire una ottima base di partenza per procedere correttamente, ma purtroppo non tutti si rendono conto che di base tutte le certificazioni ISO hanno una specie di “peccato originale”.
Mi spiego meglio: esse nascono prevalentemente in ambiente giuridico di “common law” laddove la nostra normativa è di “civil law” e comunque NON prendono in considerazione (a meno che non siano state “tradotte” in norme UNI, ma anche in questo caso occorre essere molto attenti) le normative di carattere giuridico; infatti spesso sono considerate come “norme cogenti”, ma non lo sono affatto.
Sono standard direi soprattutto organizzativi ai quali un determinato soggetto SCEGLIE di aderire per potersi confrontare con altri soggetti che abbiano la medesima “certificazione”; e necessariamente devono avere un ruolo subalterno e subordinato rispetto alle norme giuridiche (ovviamente).
Conclusioni sul coordinamento normativo
Quindi, in conclusione: collaborazione e conoscenza da parte di chi sia chiamato ad applicare le norme (giuridiche e non) anche dell’altra «metà del cielo», senza preconcetti ma avendo ben chiara la gerarchia delle fonti (vedi grafico sotto riportato).
[1] E’ il termine utilizzato giuridicamente per definire unitariamente chiunque proceda professionalmente ad interpretare una norma di legge
[2] http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1626595
[3] In realtà nel GDPR si fa espresso riferimento al risarcimento del danno per illecito trattamento, ma non nella medesima accezione strutturale del D.Lgs. n.196/2003.
A cura di: Avv. Luca-M. de Grazia
Presidente dell’Associazione Iusit.net
Laureato in giurisprudenza con tesi in diritto commerciale concernente “La società tra professionisti intellettuali” nel 1978, svolge sin da tale data attività libero professionale nello studio di famiglia.
Già componente del Circolo dei Giuristi Telematici (www.giuristitelematici.it) e componente dell’A.N.O.R.C. (Associazione Nazionale Operatori e Responsabili della Conservazione sostitutiva) (www.anorc.it)
Ha pubblicato circa un centinaio di articoli sul Web (Interlex, Zaleuco, atti del Convegno 1997 di Cassino su “Informatica e Pianeta giustizia”, atti del Convegno Nazionale 2-5 dicembre 1988 a Firenze su “Informatica e Giustizia”) oltre a numerose pubblicazioni giuridiche in qualità di coautore.
