Non solo le organizzazioni stanno affrontando in questo periodo il percorso di adeguamento al Regolamento Europeo n. 2016/679 in materia di protezione dei dati personali (di seguito, “Gdpr”) ma anche il Legislatore Nazionale sta muovendo i primi passi verso l’armonizzazione della normativa.
Infatti, lo scorso 25 ottobre 2017 è stata approvata la Legge n. 163/2017 (entrata in vigore il 21 novembre 2017) recante “Delega al Governo per il recepimento delle direttive europee e l’attuazione di altri atti dell’Unione europea – Legge di delegazione europea 2016-2017”, in cui viene contemplato il Gdpr tra i provvedimenti che lo Stato Italiano è tenuto a recepire.
In tal senso l’art. 13 della Legge suindicata delega il Governo ad adottare, entro sei mesi dalla data di entrata in vigore della legge, uno o più decreti legislativi al fine di adeguare il quadro normativo nazionale alle disposizioni del Gdpr. In particolare, il Governo è tenuto a seguire principi e criteri direttivi specifici: abrogare le disposizioni del Codice in materia di trattamento dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196 (di seguito “Codice Privacy”) che siano incompatibili con le disposizioni di cui al Gdpr; modificare il Codice Privacy limitatamente a quanto necessario per dare attuazione alle disposizioni non direttamente applicabili contenute nel Gdpr; coordinare le disposizioni vigenti del Codice Privacy con le disposizioni di cui al Gdpr; prevedere, ove opportuno, il ricorso a provvedimenti attuativi e integrativi del Garante nell’ambito e per le finalità previste dal Regolamento; adeguare, nell’ambito delle modifiche al Codice Privacy, l’attuale regime sanzionatorio penale e amministrativo, alle disposizioni del Gdpr, prevedendo sanzioni penali e amministrative efficaci, dissuasive e proporzionate alla gravità della violazione delle disposizioni stesse.
Inoltre, risulta opportuno richiamare la Legge n. 167 del 20 novembre 2017 (entrata in vigore il 12 dicembre 2017) recante “Disposizioni per l’adempimento degli obblighi derivanti dall’appartenenza dell’Italia all’Unione Europea” con la quale sono state apportate le prime modifiche al Codice Privacy quali, a titolo esemplificativo: l’adozione di schemi tipo predisposti dal Garante per la nomina del responsabile di cui all’art. 29 o il riutilizzo dei dati, anche sensibili (ad esclusione di quelli genetici) per finalità di ricerca scientifica o per scopi statistici, a condizione che siano adottate forme preventive di minimizzazione e di anonimizzazione dei dati ritenute idonee a tutela degli interessati.
In merito a quest’ultimo intervento normativo, non sono mancate le prime critiche di molti commentatori che ritengono queste modifiche non solo inaspettate ma anche alquanto “frettolose” sia perché la Legge 163/2017 delega il Governo ad armonizzare il Codice Privacy, concedendo però sei mesi di tempo, sia perché le modifiche ad oggi effettuate, ai sensi della Legge 167/2017, risultano poco chiare.
