Schema di decreto che cancella il Codice Privacy: cosa comporta l’abrogazione
C’è chi dice sia incostituzionale per eccesso di delega da parte del Governo rispetto a quanto stabilito dalla legge di delegazione europea che invece prevedeva l’abrogazione delle sole norme in netto contrasto con il GDPR e la modifica limitata a quanto necessario per dare attuazione alle disposizioni non direttamente applicabili contenute nel regolamento, sta di fatto che è in fase di pubblicazione lo schema di decreto che, a questo punto, possiamo effettivamente dirlo, provvede ad abrogare di netto il DLgs n.196/2003 (Codice Privacy) e invero all’art. 1 dello schema di decreto si legge proprio che il trattamento dei dati personali avviene secondo le norme del Regolamento (UE) 2016/679 (di seguito “Regolamento”) e del presente decreto, nel rispetto della dignità umana, dei diritti e delle libertà fondamentali della persona. Le uniche due norme, dunque, che regoleranno a livello generale il trattamento dei dati personali in Italia, al di là delle altre specifiche normative di settore, saranno il decreto di cui si discorre e il GDPR, affiancate da linee guida che determineranno le misure di garanzia da adottare a seguito di consultazione pubblica, in specifiche categorie di trattamento che verranno emanate dal Garante e da norme di natura deontologica che il decreto espressamente prevede.
Nella relazione illustrativa dello schema di decreto si legge che si è deciso di abrogare definitivamente il Codice, in quanto si è preferito snellire il lavoro dell’interprete che diversamente sarebbe stato chiamato a consultare tre differenti testi normativi, generando così una situazione di incertezza. E si legge inoltre che al legislatore delegato è parso privo di senso novellare le disposizioni di un codice che all’evidenza non è più tale, in quanto tutte le norme del Codice Privacy sono sembrate inconciliabili con le disposizioni del Regolamento, anche se poi da un'attenta lettura della relazione illustrativa si nota come il contenuto di alcune delle disposizioni sia stato comunque ripreso dalla stessa bozza di decreto.
Ad ogni modo, lo schema di decreto salva, ma solo per un periodo transitorio, i provvedimenti del Garante e le autorizzazioni, che saranno oggetto di successivo riesame, nonché i Codici deontologici vigenti che restano fermi nell’attuale configurazione nelle materie di competenza degli Stati membri, mentre potranno essere modificati su iniziativa delle categorie interessate quali codici di settore.
Al Garante spetterà il compito di rispondere alla necessaria semplificazione delle modalità di adeguamento al GDPR in capo alle micro, piccole e medie imprese.
Si è preferito non intervenire nel settore delle comunicazioni elettroniche nell’attesa dell’emanazione del regolamento europeo cosiddetto e-privacy.
Molte disposizioni del Codice Privacy, assorbite dalle norme del regolamento europeo, non sono menzionate dal decreto, come ad esempio, quelle che consentono di trattare i dati senza consenso per la finalità dell’esercizio del diritto di difesa. Il trattamento di questi dati, così come il trattamento dei dati provenienti da registri pubblici, o la comunicazione dei dati infragruppo, si considera trattamento legittimo ai sensi dell’articolo 6 del regolamento e in particolare nell’esercizio del “legittimo interesse” cui il regolamento fa ampio riferimento.
Da un punto di vista del quadro sanzionatorio in materia penale, invece, si è proposto di depenalizzare gli articoli 167 (Trattamento illecito di dati) e 169 (Misure di sicurezza), eliminando l’art. 167; viene diversamente mantenuta la sanzione di cui all’art. 168 del Codice (Falsità nelle dichiarazioni e notificazioni al Garante), con la dovuta eliminazione del riferimento alle notificazioni.