Dlgs 101/2018, le "autorizzazioni generali" al vaglio del Garante della Privacy
Sulla tavola della protezione dei dati personali sono state molte le primizie da assaporare negli ultimi tempi: gli strumenti della riforma Ue, comprensiva del regolamento generale e della direttiva 680 per finalità di polizia e di giustizia penale - con i suoi cinque anni di gestazione - le norme nazionali di recepimento della direttiva citata – per l'Italia, il decreto 51/2018– le norme di adeguamento dovute al Gdpr.
“Recepimento” ed “adeguamento” sono termini lessicali che marcano la distinzione tra i due tipi normativi della riforma: la direttiva, che impone agli Stati l'adozione di norme interne di recepimento dei principi in essa contenuti, ed il regolamento, che ha efficacia diretta verso gli Stati e i singoli. Chi entra in un ambiente senza dover chiedere permesso inevitabilmente altera l'ordine precedente, rendendo necessario un successivo intervento di sistemazione: il Gdpr, che si è fatto spazio tra le norme del codice privacy previgente, ne ha rese molte superate e ha imposto la modifica per altre.
Il decreto 101/2018 pubblicato sulla Gazzetta ufficiale di ieri e per l'appunto denominato “decreto di adeguamento”, in controtendenza rispetto all'impostazione dei lavori preparatori, ha operato la scelta tecnica di intervenire nel corpo del codice privacy, rimasto in piedi, con la contestuale abrogazione delle norme incompatibili con il Gdpr, l'adeguamento di quelle compatibili e l'introduzione di nuove disposizioni in quegli ambiti in cui il regolamento lascia flessibilità di intervento agli Stati membri. Pur con i suoi pregi, questa opzione causa una maggiore difficoltà interpretativa perché richiede agli operatori di riferirsi in via combinata a tre norme: il Gdpr, il codice privacy emendato e, infine, il decreto di adeguamento per quelle regole in esso contenute e non inserite nel codice.
Proprio riguardo a quest'ultimo ambito, il tema principale affrontato dal decreto è la sorte giuridica di quanto realizzato sinora: provvedimenti dell'autorità, autorizzazioni generali, codici deontologici, procedimenti sanzionatori e ricorsi non ancora conclusi (si vedano le grafiche a lato). Un armamentario complesso che impone un significativo gravame operativo sia in capo al Garante sia anche a carico degli operatori - come nel caso dei codici deontologici sui Sic e sulle informazioni commerciali – per l’individuazione in tempi ristretti delle nuove norme compatibili con il Gdpr e con il decreto, in sostituzione di quelle previgenti.
Di converso, spetterà al Garante, entro una finestra temporale molto ristretta, definire la compatibilità delle regole degli altri cinque codici deontologici previa sottoposizione a consultazione pubblica dei nuovi testi.
Per i procedimenti sanzionatori non ancora definiti, il trasgressore ha la possibilità di avvalersi di una sorta di condono, intervenendo in breve lasso di tempo con la corresponsione di una somma pari a 2/5 del minimo edittale, così come sinora previsto dall'articolo 164-bis, comma 1, del codice per le violazioni di minore gravità.
I provvedimenti e le autorizzazioni individuali continueranno ad avere efficacia se compatibili con Gdpr e decreto, con valutazione rimessa a carico degli operatori coinvolti. Un distinguo va fatto per le autorizzazioni generali (ad esempio quelle per la legittimità d'uso dei dati sensibili e giudiziari): se l'oggetto rientra tra le deleghe concesse agli Stati membri, esse sono assoggettate ad una speciale procedura di verifica che potrebbe richiedere un lasso temporale di circa sette mesi (articolo 21 del decreto); diversamente, cessano di produrre effetti dal 19 settembre 2018.
Fonte Il Sole 24 Ore del 6 settembre 2018 - Articolo di Rosario Imperiali
