Rischi di incostituzionalità per lo schema di decreto che adegua le leggi italiane sulla privacy al Gdpr, il regolamento Ue sul trattamento dati che entra in vigore il 25 maggio. A lanciare l’allarme è l’Istituto Italiano per la Privacy. Per gli esperti si profila un testo ad alto rischio di incostituzionalità per eccesso di delega, contenente “norme esorbitanti e incompatibili con il diritto della Ue”. Lo schema ora deve passare al vaglio del Garante per la Privacy, del Consiglio di Stato e anche delle commissioni parlamentari competenti.
“Le commissioni parlamentari e il Garante fermino il ‘treno aberrante’ dello schema di decreto legislativo di riordino privacy proposto dal Governo – spiega il presidente dell’istituto, Luca Bolognini -. Più leggo e rileggo la legge delega (art. 13 L. 163/2017) e lo schema di decreto legislativo, più resto allibito per l’eccesso (si direbbe lo sfondamento) di delega che sta abbozzando il Governo. Prevalgano il buon senso e il buon diritto. Come giurista e come cittadino, che delusione”.
“La delega prevede espressamente le sanzioni penali, e loro depenalizzano. Abrogano tutto il Codice Privacy, e invece potevano farlo solo parzialmente – argomenta l’esperto -. Eliminano in toto il consenso privacy dalla sanità, riconoscendo a prescindere il rilevante interesse pubblico agli organismi e professionisti sanitari senza specificare le finalità dei relativi trattamenti (licenza di fare qualsiasi cosa coi dati sulla salute se si esercita la professione sanitaria? Un po’ di buon senso, suvvia). Introducono e modificano una grande quantità di articoli e-privacy ex Dir. 2002/58/CE che sono completamente fuori delega e non c’entrano alcunché con il Gdpr. Mantengono il famigerato art. 110-bis (ora in bozza 77) che limita il riuso di dati per ricerca scientifica e fini statistici, in aperto contrasto con il Gdpr mentre potrebbero limitare il riutilizzo di dati solo per la ricerca in ambito sanitario. E potremmo dire molto altro”.
La legge delega 163 del 25 ottobre 2017 all’art. 13 prevedeva una delega al Governo per l’adeguamento della normativa nazionale alle disposizioni del Gdpr. Più nello specifico, secondo il dettato dell’art 13 nell’esercizio della delega il Governo è tenuto ad abrogare espressamente le disposizioni del codice in materia di trattamento dei dati personali ovvero il Codice Privacy del 2003 e coordinare le disposizioni vigenti in materia di protezione dei dati personali con le disposizioni del Gdpr. Infine si punta ad adeguare, nell’ambito delle modifiche al codice Privacy, il sistema sanzionatorio penale e amministrativo vigente alle disposizioni del nuovo regolamento Ue.
Quale scenario si aprirà dunque nel nostro Paese? A partire dal 25 maggio 2018, data in cui le disposizioni di diritto europeo acquisteranno efficacia, il vigente Codice in materia di protezione dei dai personali, di cui al decreto legislativo 30 giugno 2003, n. 196, sarà abrogato e la nuova disciplina in materia sarà rappresentata principalmente dalle disposizioni del suddetto Regolamento immediatamente applicabili e da quelle recate dallo schema di decreto volte ad armonizzare l’ordinamento interno al nuovo quadro normativo dell’Unione Europea in tema di tutela della privacy. Dunque il Codice in materia di protezione dei dati personali sarà abrogato e la nuova disciplina in materia sarà rappresentata principalmente dalle disposizioni del Regolamento Ue immediatamente applicabili.
