ADAPT - Scuola di alta formazione sulle relazioni industriali e di lavoro Per iscriverti al Bollettino ADAPT clicca qui Per entrare nella Scuola di ADAPT e nel progetto Fabbrica dei talenti scrivi a: selezione@adapt.it
Il 4 settembre scorso ha fatto la sua comparsa, nella Gazzetta Ufficiale, il Decreto Legislativo n. 101 del 10 agosto 2018, con il quale l’ordinamento italiano ha proceduto all’attuazione del Regolamento UE 2016/679, noto perlopiù con l’acronimo inglese di GDPR (General Data Protection Regulation), «relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE».
Il tanto atteso decreto ha patito una gestazione piuttosto travagliata, nonostante l’ampio lasso di tempo (oltre due anni) concesso dal legislatore europeo a vantaggio degli stati membri in vista dell’adeguamento alla nuova disciplina prevista dal GDPR (che, emanato in aprile 2016, è entrato in vigore soltanto il 25 maggio 2018). La corrispondente legge delega (Legge di Delegazione Europea 2016/2017, n. 163/2017), infatti, è entrata in vigore il 21 novembre 2017, mentre la Commissione Finocchiaro, nominata a fini coadiuvanti dal Ministro della Giustizia il 14 dicembre, si è insediata solamente il 4 gennaio 2018. A tali ritardi si sono poi aggiunte, a partire da marzo scorso, le (note) turbolenze legate all’investitura del nuovo governo: questi elementi fattuali sono importanti per provare a capire la tecnica legislativa adoperata per la redazione di un atto, quale il decreto 101, quanto mai complesso e articolato che, per di più, si va ad innestare su un terreno normativo piuttosto stratificato e intricato.
Consapevole di tale stratificazione normativa, infatti, la Commissione aveva optato per l’abrogazione e la sostituzione integrale del “vecchio” Codice, combinando così l’obiettivo primario di attuare il Regolamento con l’esigenza di semplificazione e alleggerimento della disciplina.
Il Governo, però, ha preferito percorrere la strada, ritenuta prima facie di più agevole percorrenza, della novellazione, necessariamente iper-invasiva, al Codice, accentuando, di tal guisa, quella carenza di organicità e coerenza sistematica già sofferta dal sistema normativo che circonda tale ambito. Non si dimentichi, infatti, che la materia della protezione dei dati personali è regolamentata, oltre che dal GDPR e dal Codice come riformato dal decreto, anche dalla Direttiva 2016/680 e dal corrispondente decreto attuativo n. 51/2018, che dettano la disciplina in tema di privacy rispetto alle attività di giustizia e polizia.
Complessa e variegata è, inoltre, la tecnica normativa utilizzata dal legislatore nella costruzione del decreto, la quale, come attentamente rilevato dal Professore, nonché ex Presidente dell’Autorità Garante, Pizzetti, varia tre volte nel corso dei sei Capi che compongono l’atto.
I primi due, infatti, si caratterizzano per un’accentuata natura innovativa considerato che, nonostante la snellezza dei Capi (ciascuno composto da un unico ma ingombrante articolo), modificano profondamente e, spesso, sostituiscono il contenuto del titolo, delle premesse e della Parte I del Codice.
Lo stesso avviene con i Capi III e IV che riformano rispettivamente le Parti II e III del Codice, seppur con una strategia leggermente diversa a quella praticata in precedenza: essi, infatti, si compongono di diversi articoli autori di modifiche puntuali e immediate alle disposizioni del Codice.
Diversa ancora la tecnica adoperata nella scrittura del Capo VI il quale, quasi come se fosse un “corpus” autonomo “disinteressato” al Codice, raccoglie articoli nuovi ed eterogenei, che si caratterizzano ora per la natura transitoria, ora per la scrupolosità rispetto agli impegni finanziari o, ancora, per l’indole chiarificante: tra quelle con tale ultima tendenza, meritano di segnalarsi l’art. 23 («Disposizioni di coordinamento») e, soprattutto, l’art. 27 che, nel chiudere il decreto, riporta puntualmente le disposizioni del Codice che siano oggetto di abrogazione.
Una storia a sé ha invece il Capo V, il cui (unico) art. 17 si preoccupa di sostituire integralmente l’art. 10 della legge n. 150/2011, aggiungendo, alla competenza del foro del luogo di residenza del titolare del trattamento, quella del tribunale del posto ove risiede l’interessato.
Dalla complessa articolazione del decreto e dalla sua carenza di organicità discendono una serie di criticità che, anche solo superficialmente, meritano di essere segnalate. Si allude, in particolare, al rischio di violazione del principio del ne bis in idem, dovuto alla presenza di fattispecie suscettibili tanto di sanzione penale alla luce della normativa nazionale, quanto, e al contempo, di sanzione amministrativa in virtù della disciplina europea; al pericolo di incorrere in eccesso di delega posto che, contravvenendo alle raccomandazioni della Commissione, il decreto si spinge fino a normare terreni non di sua competenza, come avviene rispetto al tema delle comunicazioni elettroniche che è oggetto, invece, di un apposito progetto di regolazione europea già in fase di discussione; incombe, infine, il rischio di un notevole aumento del contenzioso, alla luce dell’introduzione di una singolare class action da esperire dinanzi al Garante, seppur per il tramite di un ente del terzo settore soggetto alla disciplina ex d.lgs. n.117/2017, nonché della facoltà per il Garante stesso di ricorrere all’autorità giudiziaria anche d’ufficio.
Né potranno, tali criticità, essere risolte per mezzo della decretazione correttiva che, solitamente, segue la pubblicazione di un decreto legislativo nei suoi primissimi anni di vita: al governo, infatti, non viene riconosciuta la consueta possibilità di apportare modifiche e integrazioni al decreto. Numerose, dunque, le difficoltà con cui gli interpreti saranno chiamati a misurarsi a partire dal prossimo 19 settembre, data in cui il decreto acquista ufficialmente vigenza.
Residua, tuttavia, una certezza di non poco conto per gli operatori, ovvero la centralità del GDPR e del nuovo approccio di cui il medesimo si rende foriero: due le conseguenze, utili per gli interpreti, che discendono da questa considerazione.
Innanzitutto, come ribadito più volte dal testo legislativo, il GDPR costituisce parametro di legittimità per l’applicazione e l’interpretazione di qualunque norma afferente con il mondo della protezione dei dati personali: il che significa che le singole disposizioni troveranno applicazione fintanto siano conformi al GDPR e al suo spirito.
La seconda, significativa, conseguenza, è rappresentata dal nuovo approccio alla materia della privacy di cui si fa espressione il GDPR e con il quale, pertanto, andranno lette, interpretate e applicate le disposizioni nazionali. Si passa, infatti, da un sistema individualistico della protezione, incentrato sulla regola del consenso e fatto proprio dalla versione precedente del Codice, ad un modello maggiormente sensibile a salvaguardare la “funzione sociale” e, con essa, la dimensione collettiva del diritto alla protezione dei dati personali, dovuto alla natura ambivalente dell’informazione personale, frammento dell’identità personale e, al contempo, elemento di mercato; il che si riverbera, naturalmente, sul carattere compromissorio del GDPR, orientato tanto alla tutela dell’individuo quanto alla creazione di un unico mercato digitale europeo, come più volte ribadito nei Considerando. Questo cambio prospettico rende non troppo audace la proposta della scuola brasiliana di assimilare la pretesa alla protezione dei dati personali all’interesse alla tutela dell’ambiente[1].
Queste scarne ma incisive considerazioni rappresentano il punto di partenza dell’interprete chiamato a confrontarsi col disordinato tessuto normativo che ospita la disciplina in tema di privacy e, in primis, col decreto.
In soccorso all’interprete, però, interverrà, sicuramente, l’Autorità Garante della protezione dei dati, figura la cui centralità, nella nuova impostazione, è testimoniata dall’inserimento della rispettiva (e scontata) investitura ad autorità di controllo già in quelle che sono state ribattezzate «Disposizioni generali», ovvero Titolo I della Parte I.
Numerosi e delicati i compiti che l’ordinamento addossa in capo al Garante, forgiato a tal fine di un ampio strumentario di soft law,[2] che consente di adattarsi ai mutamenti tecnologici e sociali evitando il tortuoso quanto incerto iter burocratico cui sono soggetti gli atti aventi forza di legge. L’arduo lavoro che prossimamente spetterà al Garante esige, tra l’altro, solerzia e alacrità, onde evitare la permanenza in vigore di vecchie norme del codice magari incompatibili con la nuova impostazione di cui si fa espressione il GDPR, e di cui dovrà farsi portavoce il Garante stesso, o ancora per colmare eventuali lacune normative provocate dalla perdita di vigore giuridico di alcune preesistenti disposizioni.
Detti strumenti, seppur sprovvisti della vincolatività formale tipica degli atti aventi forza di legge, ne acquisteranno comunque di sostanziale in virtù dell’autorevolezza della fonte, contribuendo, ci si augura, a garantire quel minimo di certezza giuridica imprescindibile per le imprese, nonché il raccordo tra le varie fonti che compongono un mosaico normativo che, allo stato attuale delle arti, solleva più di un dubbio in capo agli interpreti.
Andrea Tundo
ADAPT Junior Fellow
[1] Si vedano, tra i vari esponenti della dottrina brasiliana da sempre sensibile alle istanze di protezione della privacy (si ricorda “La Costituzione dei diritti in Internet”, Lei n. 12.965, del 23 aprile 2014), Zanata, Haverá proteção contra o capitalismo de vigilância?, in Outras Palavras, 2018; Abramovay, Ricardo, Inteligência artificial pode trazer desemprego e fim da privacidade, in Folha de São Paulo, 2017.
[2] Di questo ampio strumentario fanno parte anche le c.d. regole deontologiche, dotate di una forza che trascende i caratteri tipici degli atti di soft law, posto che la violazione delle stesse è causa di illegittimità del trattamento ex art. 2-quater del Codice, introdotto dall’art. 1 del decreto di adeguamento.
Scarica il PDF 
