La tutela multilivello garantita ai dati personali

Con l’approssimarsi della data stabilita dall’Unione – 25 maggio 2018 – per la piena e diretta applicabilità del nuovo regolamento europeo in materia di protezione di dati personali pubblicato sul giornale ufficiale nel maggio 2016, si è ritenuto opportuno riflettere sulle interazioni dei vari strumenti normativi disponibili nel sistema di protezione multilivello garantito nel territorio europeo. L’entrata in vigore del Trattato di Lisbona nel 2009, sancendo espressamente la vincolatività della Carta, ha provveduto a chiarire definitivamente la base giuridica vincolante per la tutela dei dati personali in qualità di diritto fondamentale. La protezione offerta dal diritto europeo ai diritti fondamentali è stata progressivamente ampliata dalla giurisprudenza europea traendo spunto dalle tradizioni costituzionali comuni degli Stati membri. Inoltre, con l’adozione del GDPR che garantisce l’evoluzione dal diritto alla privacy al diritto di disporre dei propri dati personali, l’Unione ha completato il panorama legislativo, aggiornandolo alla realtà dei social network e dei motori di ricerca, e qualificandolo come uno dei più sofisticati sistemi di protezione nel mondo. Un regolamento era lo strumento normativo necessario per garantire un livello di protezione coerente, per evitare divergenze nella legislazione nazionale e per attuare la libera circolazione nel mercato interno. Infine, solo l’adozione del regolamento garantisce alle persone fisiche in tutti gli Stati membri il medesimo livello di diritti, giuridicamente vincolanti per i soggetti interessati, nonché gli stessi obblighi, responsabilità e sanzioni equivalenti per coloro che processano i dati. Il Garante europeo per la tutela dei dati (EDPS) ha dichiarato che la Commissione sarà vigile nell’evitare tentativi di nuove nazionalizzazioni della privacy.  Anche la mera riproduzione nelle leggi nazionali dello stesso testo di una direttiva comunitaria regolamentare è illegittima, in quanto crea incertezze e confusione. Tuttavia, il regolamento GDPR impone un’attività di adeguamento legislativo a livello nazionale, prevedendo, in determinati settori, anche un margine discrezionale degli Stati Membri per precisare le norme, mediante apposite deleghe. In Italia la Legge Comunitaria 2017, adottata il 18 ottobre 2017, delega il Governo ad adottare entro sei mesi, uno o più decreti legislativi per adeguare il quadro normativo interno al regolamento GDPR nel rispetto dei seguenti principi e criteri: abrogare espressamente le disposizioni del Codice Privacy incompatibili con il regolamento; modificare il Codice Privacy e successive modificazioni, limitatamente a quanto necessario per dare attuazione al regolamento; coordinare le disposizioni vigenti con le disposizioni del regolamento; prevedere il ricorso a specifici provvedimenti attuativi e integrativi adottati dal Garante nell’ambito e per le finalità previste dal regolamento; adeguare, nell’ambito delle modifiche al Codice Privacy, il sistema sanzionatorio penale e amministrativo vigente alle disposizioni del regolamento con previsione di sanzioni penali e amministrative efficaci, dissuasive e proporzionate alla gravità della violazione. Si segnala che la legge di bilancio 2018 ai commi 1020-1025 dell’art.1 ha introdotto ha stabilito che il Garante con proprio provvedimento, entro due mesi dall’entrata in vigore della disposizione normativa, disciplini le modalità attraverso le quali intende monitorare l’applicazione del GDPR e la presenza di adeguate infrastrutture per l’interoperabilità dei formati con cui i dati sono messi a disposizione dei soggetti interessati. Attraverso tale delega il Garante dovrà quindi, in un lasso di tempo estremamente breve con un budget si spesa di due milioni di euro, definire linee guida o buone prassi in materia di trattamento dei dati personali fondato sull’interesse legittimo del titolare e approfondire con istruttoria le notifiche ricevute dai titolari di trattamenti fondati sull’interesse legittimo attraverso l’uso di nuove tecnologie o di strumenti automatizzati. Proprio a dimostrazione della rilevante preoccupazione circa i tempi di implementazione, in gennaio 2018 la commissaria europea alla Giustizia, Vera Jourova, ha presentato al collegio di commissari un documento di indirizzo destinato al settore pubblico e privato con una lista d’indicazioni pratiche per facilitare la conformità alle nuove norme europee... (segue)