Data protection, palla all'Italia - CorCom

IL NUOVO REGOLAMENTO

Data protection, palla all’Italia

E’ tempo di armonizzare quanto prodotto dall’Europa. Mai come in questo momento storico, il processo di digitalizzazione e di potenziamento della rete non può essere scisso dalla riscrittura delle norme sulla circolazione dei dati e sulla cybersecurity. La rubrica di Rocco Panetta

13 Mag 2016

Rocco Panetta, avvocato esperto di Internet e privacy

Il tanto atteso regolamento europeo sulla libera circolazione e protezione dei dati personali, c.d. GDPR (“General Data Protection Regulation”), è stato alla fine stato pubblicato su Gazzetta Ufficiale dell’Unione Europea il 4 maggio 2016. Per effetto di tale pubblicazione, lo stesso entrerà definitivamente in vigore in tutti i 28 Paesi dell’UE il 25 maggio 2018. Gli Stati membri hanno ora due anni a disposizione per fare ordine nei loro sistemi giuridici ed approntare tutte le misure necessarie per permettere al GDPR di entrare in vigore in armonia con le norme esistenti, anche al fine di minimizzare gli effetti di eventuali traumi ad imprese, cittadini e pubbliche amministrazioni che la nuova disciplina, fortemente voluta per tenere conto degli effetti di Internet sulla circolazione dei dati, potrebbe recare con sè.

Per i neofiti delle istituzioni comunitarie e dei loro vari meccanismi e strumenti regolatori e legislativi, il regolamento è lo strumento principe che meglio dovrebbe interpretare lo spirito unitario dell’UE, in quanto attraverso il suo utilizzo, il legislatore comunitario introduce in tutte e 28 le giurisdizioni dei Paesi membri leggi uniformi inderogabili.

Il futuro dell’Unione passa senza dubbio attraverso la capacità politica e la visione dei suoi leader, attraverso il supporto e la consapevolezza di tutti (o almeno della maggioranza) i cittadini europei, ma anche attraverso la capacità di scrivere ed adottare norme che regolano le stesse materie allo stesso modo in tutti gli Stati nazionali. Lo strumento legislativo finora più utilizzato a Bruxelles è stato invece la direttiva. Essa in verità è più rispettosa delle peculiarità proprie degli Stati nazionali. La direttiva obbliga gli Stati membri alla sua adozione e trasposizione negli ordinamenti nazionali, nel rispetto dei soli principi generali posti dalla stessa, ma lascia ai Parlamenti di Roma, Parigi, Atene e Malta ampia facoltà di “improvement”, ossia di introduzione anche di norme più stringenti, purchè venga rispettato una sorta di minimo comun denominatore. Il regolamento è strumento più potente e uniforme.

Gli Stati membri hanno facoltà di introdurre norme in deroga o aggiuntive rispetto al testo licenziato da Bruxelles, nella misura in cui lo stesso regolamento abbia previsto una riserva in tal senso. Lo scopo del regolamento è l’uniformità del diritto vivente, tanto nei principi, quanto nei dettagli. Lo scopo della direttiva è l’individuazione di criteri e principi uniformi, nel pieno rispetto delle diversità rappresentate negli ordinamenti giuridici dei 28 Paesi. Il GDPR è adesso legge e va “implementato”, non nel senso tradizionale con cui il recepimento delle direttive viene da sempre gestito, ma occorre lavorare su due fronti: quello principale della scrittura delle norme espressamente oggetto di riserva nazionale all’interno del regolamento – ad esempio, la presenza o meno di sanzioni penali a presidio della libera circolazione e protezione dei dati è del tutto rimessa alla volontà degli Stati membri; ma soprattutto, occorre lavorare sul fronte dell’armonizzazione del regolamento con quanto finora prodotto dall’Autorità Garante.

I Garanti nazionali, ma in particolare il nostro Garante privacy, hanno compiuto uno sforzo enorme di interpretazione, garanzia e controllo degli impatti della regolazione su cittadini e imprese. La portata innovativa dei provvedimenti del Garante, unitamente alla grande competenza acquisita negli anni, sono patrimonio inestimabile che deve essere valorizzato per traghettare il sistema dal Codice privacy al GDPR. Ma il Garante non va lasciato, al tempo stesso, da solo. Il Governo ha forza, visione e competenza per poter guidare la transizione, forte della consapevolezza che le norme sulla circolazione dei dati, sono l’altra faccia di quel Giano bifronte rappresentato dall’altra parte dalla rivoluzione introdotta dalla banda ultralarga. Mai come in questo momento storico, il processo di digitalizzazione e di potenziamento della rete non può essere scisso dalla riscrittura delle norme sulla circolazione dei dati e sulla cybersecurity. La palla dunque passa da Bruxelles a Palazzo Chigi in un sol colpo.