GDPR: la nuova normativa sulla Privacy

Home/Blog/Corsi di Formazione/IT Security/GDPR: la nuova normativa sulla Privacy

GDPR: la nuova normativa sulla Privacy

PUBBLICATO IL: 29/10/2018 DA: Musa Formazione

Rapporti tra il D.Lgs. N.196-2003 ed il R.E. N.679-2016 (c.d. GDPR)

In questo articolo vorrei esaminare (ovviamente non in maniera esaustiva) le problematiche connesse alla integrazione tra l’attuale normativa in materia di protezione di dati personali (ossia il D.Lgs. n.196/2003, al quale nell’agosto 2018, tramite il D.Lgs n.101/2018, sono state apportate le opportune e necessarie modifiche per renderlo compliant con il GDPR) e il Regolamento U.E. n.679/2016, meglio noto sotto il nome di “GDPR”. Cominciamo dalla fine: con la Legge, 25/10/2017 n° 163, G.U. 06/11/2017 si è dato mandato al Governo di emanare apposite norme che coordinino – appunto – il D.Lgs. n.196/2003 ed il GDPR, circostanza che – come appena scritto, è avvenuta nell’agosto del 2018, quindi putroppo qualche mese dopo l’entrata in vigore del GDPR. Questo in quanto occorre ricordare che il GDRP, essendo un Regolamento Europeo, è immediatamente efficace ed attivo nei rapporti tra i soggetti di un determinato Stato, senza alcuna necessità di essere recepito da una legge nazionale, come invece accade alle Direttive Europee. Ora, che abbia seriamente letto il GDPR, si dovrebbe essere accorto “semplicemente” che il medesimo, nel capo IX, articoli da 94 a 99, abroga solamente le precedenti direttive europee nella medesima materia, ma nulla dice circa le normative nazionali. Direi che è una cosa abbastanza ovvia, in quanto è noto che i Regolamenti Europei sono norme di rango superiore rispetto alle normative nazionali, e di conseguenza qualunque normativa nazionale che sia in contrasto con un regolamento si deve intendere come tacitamente ma necessariamente abrogata. Però poi, per essere sicuri di non tralasciare alcunché, occorre poi che l’interprete (termine utilizzato giuridicamente per definire unitariamente chiunque proceda professionalmente ad interpretare una norma di legge) analizzi tutte le norme sia del D.Lgs. n.196/2003 sia del GDPR per poter “controllare” quali norme del D.Lgs. n.196/2003 siano state effettivamente abrogate per effetto della sovrapposizione del GDRP, e quali norme siano – al contrario – rimaste in vigore, anche se in via sussidiaria. Un esempio per tutti: nel GDPR non vi è cenno ai c.d. “Amministratori di sistema”, oggetto di specifico provvedimento del Garante,così come praticamente non vi è cenno a quali debbano essere le c.d. “misure di sicurezza”, oggetto di normazione nel D.Lgs. n.196/2003, sia sotto l’aspetto della responsabilità penale sia sotto l’aspetto della responsabilità civile. In realtà nel GDPR si fa espresso riferimento al risarcimento del danno per illecito trattamento, ma non nella medesima accezione strutturale del D.Lgs. n.196/2003. Di conseguenza in questi casi le norme dovranno essere coordinate; ed è proprio per facilitare il compito di chi sia chiamato ad applicare tali norme, che è stata emanata la delega sopra citata. Per fortuna, nella versione del D.Lgs. n.196/2003 risultante dalle modifiche ed integrazioni portate del D.Lgs.101/2018, molti di questi problemi sono stati superati. Infatti sono state (re) introdotte le norme penali, ossia le violazioni del GDPR che portino a sanzioni di tipo penale (ciò sicuramente porterà a dei problemi di coordinamento per un vuoto legislativo di circa 6 mesi, ossia dal 25 maggio 2018 al 19 settembre 2018), sono state totalmente riscritte (ed ampliate) le norme che riguardano le sanzioni amministrative [le quali nel GDPR erano fissate solamente nella loro entità minima e massima]. Ricordiamo che tutta la materia del risarcimento del danno è ora semplicemente regolata dall’art. 82 del GDPR:

Articolo 82 Diritto al risarcimento e responsabilità	1	Chiunque subisca un danno materiale o immateriale causato da una violazione del presente regolamento ha il diritto di ottenere il risarcimento del danno dal titolare del trattamento o dal responsabile del trattamento.
Articolo 82 Diritto al risarcimento e responsabilità	2	Un titolare del trattamento coinvolto nel trattamento risponde per il danno cagionato dal suo trattamento che violi il presente regolamento. Un responsabile del trattamento risponde per il danno causato dal trattamento solo se non ha adempiuto gli obblighi del presente regolamento specificatamente diretti ai responsabili del trattamento o ha agito in modo difforme o contrario rispetto alle legittime istruzioni del titolare del trattamento.
Articolo 82 Diritto al risarcimento e responsabilità	3	Il titolare del trattamento o il responsabile del trattamento è esonerato dalla responsabilità, a norma del paragrafo 2 se dimostra che l’evento dannoso non gli è in alcun modo imputabile.
Articolo 82 Diritto al risarcimento e responsabilità	4	Qualora più titolari del trattamento o responsabili del trattamento oppure entrambi il titolare del trattamento e il responsabile del trattamento siano coinvolti nello stesso trattamento e siano, ai sensi dei paragrafi 2 e 3, responsabili dell’eventuale danno causato dal trattamento, ogni titolare del trattamento o responsabile del trattamento è responsabile in solido per l’intero ammontare del danno, al fine di garantire il risarcimento effettivo dell’interessato.
Articolo 82 Diritto al risarcimento e responsabilità	5	Qualora un titolare del trattamento o un responsabile del trattamento abbia pagato, conformemente al paragrafo 4, l’intero risarcimento del danno, tale titolare del trattamento o responsabile del trattamento ha il diritto di reclamare dagli altri titolari del trattamento o responsabili del trattamento coinvolti nello stesso trattamento la parte del risarcimento corrispondente alla loro parte di responsabilità per il danno conformemente alle condizioni di cui al paragrafo 2.
Articolo 82 Diritto al risarcimento e responsabilità	6	Le azioni legali per l’esercizio del diritto di ottenere il risarcimento del danno sono promosse dinanzi alle autorità giurisdizionali competenti a norma del diritto dello Stato membro di cui all’articolo 79, paragrafo 2.

Articolo 79 Diritto a un ricorso giurisdizionale effettivo nei confronti del titolare del trattamento o del responsabile del trattamento	1	Fatto salvo ogni altro ricorso amministrativo o extragiudiziale disponibile, compreso il diritto di proporre reclamo a un’autorità di controllo ai sensi dell’articolo 77, ogni interessato ha il diritto di proporre un ricorso giurisdizionale effettivo qualora ritenga che i diritti di cui gode a norma del presente regolamento siano stati violati a seguito di un trattamento.
Articolo 79 Diritto a un ricorso giurisdizionale effettivo nei confronti del titolare del trattamento o del responsabile del trattamento	2	Le azioni nei confronti del titolare del trattamento o del responsabile del trattamento sono promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui il titolare del trattamento o il responsabile del trattamento ha uno stabilimento. In alternativa, tali azioni possono essere promosse dinanzi alle autorità giurisdizionali dello Stato membro in cui l’interessato risiede abitualmente, salvo che il titolare del trattamento o il responsabile del trattamento sia un’autorità pubblica di uno Stato membro nell’esercizio dei pubblici poteri.

Premesso quanto appena scritto, occorre anche precisare che a mio sommesso parere il GDPR ha solamente messo in chiaro alcuni aspetti che nel D.Lgs. n.196/2003 erano in pratica sottintesi, ha strutturato l’impegno di protezione dei dati in maniera diversa da come tale aspetto era strutturato nel D.Lgs. n.196/2003, lasciando molto più libertà nel definire le varie forme di controllo e di protezione. Ma probabilmente è stata proprio questa – apparente – maggiore libertà che, comportando sicuramente anche una maggiore responsabilità, che ha “spaventato” chi non sia propriamente del “mestiere”. Anche il riferimento espresso operato dal GDRP alle certificazioni I.S.O. devono essere lette correttamente; infatti – come peraltro scrissi davvero molto tempo fa – seguire, per esempio, la certificazione I.S.O. 27001 (se non erro l’ultima “vigente” dovrebbe essere la 2014) può sicuramente costituire una ottima base di partenza per procedere correttamente, ma purtroppo non tutti si rendono conto che di base tutte le certificazioni I.S.O. hanno una specie di “peccato originale”. Mi spiego meglio: esse nascono prevalentemente in ambiente giuridico di “common law” laddove la nostra normativa è di “civil law” e comunque NON prendono in considerazione (a meno che non siano state “tradotte” in norme UNI, ma anche in questo caso occorre essere molto attenti) le normative di carattere giuridico; infatti spesso sono considerate come “norme cogenti”, ma non lo sono affatto. Sono standard direi soprattutto organizzativi ai quali un determinato soggetto SCEGLIE di aderire per potersi confrontare con altri soggetti che abbiano la medesima “certificazione”; e necessariamente devono avere un ruolo subalterno e subordinato rispetto alle norme giuridiche (ovviamente). Quindi, in conclusione: collaborazione e conoscenza da parte di chi sia chiamato ad applicare le norme (giuridiche e non) anche dell’altra «metà del cielo», senza preconcetti ma avendo ben chiara la gerarchia delle fonti (vedi grafico sotto riportato). Nei prossimi articoli continueremo la disamina dei rapporti e, soprattutto, cercheremo di mettere in evidenza le problematiche connesse a quelle che chiamo falsi miti e nuove verità in materia. Vuoi approfondire le tematiche di Privacy e diventare un DPO (Data Protection Officer)? Scopri il corso di Privacy Specialist DPO targato Musa Formazione.