Codice per la protezione dei dati personali: un’abrogazione frettolosa (forse incostituzionale) e senz’altro pericolosa
di Andrea Lisi Scarica in PDFHo sfogliato velocemente il testo dello Schema di Decreto Legislativo che introduce disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 (in seguito GDPR – General Data Protection Regulation) in attuazione dell’art. 13 della Legge di delegazione europea 2016-2017 (legge 25 ottobre 2017, n. 163) annunciato da Governo con un Comunicato Stampa del 21 marzo 2018.
Premetto che ho ricevuto giorni fa il testo di questo decreto legislativo, ma per pudore istituzionale (e rispetto verso le fonti che me lo avevano cortesemente inviato), ho evitato di diffonderlo e anche di commentarlo. In pochi attimi, invece, la Rete è stata travolta da opinioni e testi pubblicati, in versione – più o meno – ufficiale.
Questo lungo testo normativo (104 articoli contro i 99 del GDPR che tale decreto vorrebbe frettolosamente integrare nel nostro ordinamento) merita di essere oggetto di un’approfondita lettura. Trovo che sia impossibile commentarne i contenuti di getto, al solo scopo di “arrivare primi”, azzerando il tempo di ragionamento. Conviene peraltro aggiungere un’attenta e puntuale lettura del testo della relazione illustrativa, utilissima per comprenderne lo spirito.
Si legge nell’art. 102 del testo normativo (che ora dovrà seguire l’iter di approvazione presso le Commissioni parlamentari competenti e acquisire il parere del Garante della protezione dei dati) che “a decorrere dall’entrata in vigore del presente decreto, il Codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196 è abrogato. A decorrere da tale data sono altresì abrogati i commi 1021 e 1024 dell’articolo 1 della legge 27 dicembre 2017, n. 205”.
Mi permetto solo tre riflessioni.
1) La sbandierata trasparenza
Si continua a blaterare di trasparenza nelle istituzioni e di partecipazione nella stesura delle leggi e invece normative delicatissime come queste seguitano a svilupparsi in modo segretissimo, magari anticipate da altri provvedimenti di coordinamento europeo, immediatamente messi in discussione (e abrogati) come se nulla fosse. Si arriva così ai Comunicati Stampa del Governo con uno “stupore che stupisce” ogni volta anche gli addetti ai lavori, perché non si sa mai cosa accade, ma soprattutto come e perché. Basti pensare che a seguito del Comunicato Stampa di qualche giorno fa, diversi studiosi chiedevano la cortesia di poter capire quale testo fosse realmente quello approvato dal Governo.
Ovvio che così procedendo si continuino a partorire pasticci e, dalla veloce lettura dello schema di decreto legislativo, si ha la sensazione che si sia proceduto in fretta e furia, credo in considerazione del fatto che il nostro Paese in questa fase di delicato recepimento è in ritardissimo rispetto ad altre realtà europee.
In un Paese che fa del FOIA una (piuttosto contraddittoria) bandiera non potremmo almeno meritarci una pubblicazione on line immediata e ufficiale dei testi normativi approvati e anticipati nei Comunicati Stampa? In un Paese che dice di essere digitalizzato non dovrebbe essere ovvio questo processo di trasparenza?
2) Eccesso di delega del decreto
Condivido le perplessità di Elena Bassoli. La legge delega del Parlamento n. 163 del 25 ottobre 2017 all’art. 13 prevedeva una delega al Governo soltanto per un necessario adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 e, in particolare, secondo il dettato dell’art 13 nell’esercizio della delega il Governo era tenuto a:
– abrogare espressamente (solo e soltanto) le disposizioni del codice in materia di trattamento dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, incompatibili con le disposizioni contenute nel regolamento (UE) 2016/679;
– modificare il codice 196/2003 limitatamente a quanto necessario per dare attuazione alle disposizioni non direttamente applicabili contenute nel Regolamento (UE) 2016/679;
– coordinare le disposizioni vigenti in materia di protezione dei dati personali con le disposizioni recate dal regolamento (UE) 2016/679;
– adeguare, nell’ambito delle modifiche al codice di cui al decreto legislativo 30 giugno 2003, n. 196, il sistema sanzionatorio penale e amministrativo vigente alle disposizioni del regolamento (UE) 2016/679 con previsione di sanzioni penali e amministrative efficaci, dissuasive e proporzionate alla gravità della violazione delle disposizioni stesse.
Da quanto ho letto mi sembra di capire che si sia proceduto diversamente. Solitamente si cerca di seguire (in modo più o meno rigoroso) la delega ricevuta per non incorrere nell’eccesso previsto dall’art. 76 Costituzione. Qui si è andati proprio da un’altra parte, anche alla luce dell’abrogazione delle sanzioni previste dal Codice.
Alla fin fine ritengo che il modus operandi indicato nella legge delega n. 163 sia anche più corretto e rigoroso dal punto di vista del diritto europeo, anche in considerazione di quanto ricordato recentemente dalla Commissione: “il Regolamento non ha modificato in modo sostanziale i concetti e i principi fondamentali della legislazione in materia di protezione dei dati introdotta nel 1995. La grande maggioranza dei titolari del trattamento e dei responsabili del trattamento che rispettano già le attuali disposizioni dell’UE non dovrà quindi introdurre importanti modifiche nelle proprie operazioni di trattamento dei dati per conformarsi al regolamento” (COMUNICAZIONE DELLA COMMISSIONE AL PARLAMENTO EUROPEO E AL CONSIGLIO – Bruxelles, 24.1.2018 COM(2018) – Maggiore protezione, nuove opportunità – Orientamenti della Commissione per l’applicazione diretta del regolamento generale sulla protezione dei dati a partire dal 25 maggio 2018). Questi stessi concetti sono stati ribaditi tante volte in diversi interventi dal nostro Garante Europeo Giovanni Buttarelli.
Soprattutto, non possiamo dimenticare che il nostro Codice ha una sua storia ed è testo autorevole. A mio avviso (e – ribadisco – come indicato dalla legge delega) occorreva solo snellirlo nei punti incompatibili con il GDPR, al fine di poter essere adeguato e coordinato meglio. Comprendo che in pochi mesi sia più comodo buttare tutto all’aria, operare un veloce “copia-incolla” di certi punti e far finta di nulla, ma resto molto perplesso su questo modus operandi.
3) Rimbocchiamoci le maniche perché la strada è lunga e il futuro digitale oscuro e incerto
Ormai siamo arrivati a far coincidere la nostra realtà digitale con quanto paventava tempo fa Stefano Rodotà e cioè siamo diventati tutti uomini di vetro sempre visibili dai detentori del potere politico ed economico, con un rischio evidente per la libertà e la democrazia. Il caso Cambridge Analytica ci ha messi di fronte a tutte le nostre fragilità e nudità di individui nelle mani tentacolari e invadenti delle nuove sorelle del digitale, di cui fa parte Amazon. E proprio Amazon, come sappiamo, ci ha prestato gratuitamente un grande uomo, Diego Piacentini, come Commissario Straordinario per l’Agenda Digitale, con ampi poteri su tutto un settore, quello dell’innovazione digitale della PA, che ovviamente ha grandi impatti sulla protezione dei dati personali. E Amazon proprio in questi anni è diventato leader nelle soluzioni cloud per enti governativi…
Sono solo coincidenze e so bene che denunciare i conflitti di interesse non va di moda nel nostro Paese, ma io non posso evitare di notare certi accadimenti e avvertire un senso di inquietudine. Perché c’è disperato bisogno di rigore metodologico e di certezze giuridiche. E il semplicismo di un’abrogazione non mi sembra che vada in questa direzione.
Il GDPR in ogni caso è e resta l’ultimo baluardo per arginare certi fenomeni che ci riguardano tutti e non posso non riferire pertanto che queste ultime novità non mi rendono tranquillo.
Spero di sbagliarmi.