GDPR. Decreto legislativo n. 101/2018 e applicazione immediata e integrale della normativa: considerazioni

Il Decreto legislativo n. 101/2018, di recente emanazione, ha disciplinato l’adeguamento della normativa nazionale in materia di protezione dei dati personali al Regolamento UE n. 679/2016, disponendo la riforma del Codice Privacy (D.lgs. 196/2003).

Il Decreto legislativo n. 101/2018, ha infatti il fine di armonizzare le disposizioni contenute nel Codice Privacy a quanto previsto dalla normativa sovranazionale, direttamente applicabile e vincolante dal 25 maggio 2018.

Ad oggi, dunque, in tema di protezione e tutela dei dati personali, si delinea un quadro normativo estremamente complesso, che comprende il GDPR come fonte primaria, direttamente applicabile anche a scapito delle normative nazionali, e il Codice Privacy, come novellato appunto dal D.lgs. 101/2018.

“Il presente decreto e le disposizioni dell’ordinamento nazionale si interpretano e si applicano alla luce della disciplina dell’Unione europea in materia di protezione dei dati personali e assicurano la libera circolazione dei dati personali tra gli Stati membri ai sensi dell’art. 1, paragrafo 3 del Regolamento (UE) 2016/679” [D.lgs. n. 101/2018, art. 22, comma 1].

Da parte dell’Autorità Garante italiana non è stato concepito alcun periodo di applicazione “soft” della normativa, nessun intervallo transitorio, nonostante le raccomandazioni fatte da Camera e Senato (Relazione illustrativa dell’art.22 del decreto[1]) andassero in senso opposto, suggerendo un periodo di transizione di otto mesi per l’applicazione della normativa in materia di tutela dei dati personali, al fine di garantire l’assorbimento del risultante impianto normativo.

Il dispositivo contenuto nel D.lgs. 101/2018 si limita, invece, a raccomandare un periodo di otto mesi di inquadramento, ma esclusivamente in relazione all’applicazione di eventuali sanzioni. Un lasso di tempo utile unicamente ai fini della definizione dei criteri che l’Autorità Garante deve tener presente nella definizione delle sanzioni pecuniarie da comminare.

Il Garante (al pari dell’Autorità Giudiziaria e di ogni pubblica amministrazione, ente o società di servizi, impresa o struttura di ricerca e di studio) è tenuto a dare piena e integrale applicazione a tutta la nuova normativa.

Una vacatio legis ordinaria, dunque, nonostante il nostro Paese abbia palesemente dimostrato di essere in pericoloso ritardo nel processo di adeguamento alla disciplina prevista dal GDPR. Proprio alla luce del contesto italiano sarebbe stato sicuramente opportuno dar seguito alle Raccomandazioni di Camera e Senato e stabilire un periodo di vacatio legis più lungo, per dare più tempo a cittadini, imprenditori e manager di allinearsi ad una disciplina che, se affrontata senza pianificazione e previsione, rischia di colpire pesantemente aziende ed utenti, com’è già accaduto.

L’intento, condivisibile, è sicuramente quello di evitare ogni possibile controversia o antinomia in sede applicativa, garantendo alle norme dell’ordinamento coerenza e conformità al quadro normativo europeo.

Ma, ribadiamo, una decisione così tranchant sembra essere poco indicata, in considerazione dell’attuale situazione di graduale adeguamento alla disciplina europea all’interno del panorama italiano.

In ultima analisi ed in virtù del canone interpretativo risultante dal sistema delle fonti, il GDPR diviene a tutti gli effetti parametro di legittimità della normativa nazionale: ogni interpretazione e applicazione di questa normativa che sia in contrasto con le disposizioni contenute nel GDPR costituisce vizio di illegittimità.

Occorre, d’ora in poi, tenere presente che l’intera normativa italiana in materia di protezione dati si basa sulla competenza del legislatore italiano derivante dal GDPR e, di conseguenza, deve essere interpretata e applicata alla luce del nuovo Regolamento europeo.

Un principio sicuramente giusto e condivisibile, ma che avrebbe necessitato, a nostro avviso, di un periodo di “gestazione” più esteso.

[1] Relazione Illustrativa al D.lgs. 101/2018 cit. “Il comma 1 reca, innanzitutto, una clausola interpretativa a valenza generale, che impone di interpretare e applicare, appunto, il presente decreto e le restanti norme nazionali alla luce della disciplina europea in materia di protezione dei dati personali. Parallelamente, il comma 6 dispone, con clausola di salvaguardia a valenza generale, che i richiami contenuti, in norme di legge o regolamento, a disposizioni del decreto legislativo n. 196 del 2003, si intendono riferiti alle corrispondenti disposizioni del Regolamento o del presente decreto, in quanto compatibili”.