Il Regolamento (UE) 2016/679 (GDPR) è entrato in vigore il 25 maggio 2018 in tutta l’Unione Europea e quindi anche in Italia. Ad oggi manca però la disciplina nazionale di raccordo per quegli spazi normativi lasciati liberi dal testo comunitario.
Pur ricordando che trattasi di Regolamento e non di Direttiva e che dunque il GDPR ha diretta ed automatica efficacia in tutta l’Unione, senza bisogno di trasposizioni nazionali, la nuova disciplina europea sulla protezione e libera circolazione dei dati personali demanda varie deleghe agli Stati membri.
Tra queste si possono menzionare ad esempio le deleghe per l’adozione di singoli adempimenti (quali i codici di condotta o i modelli-tipo) o restrizioni (quali ad esempio l’età minima per il consenso dei minori al trattamento dei dati personali nell’ambito dei servizi della società dell’informazione secondo l’art. 8 GDPR), per l’esecuzione concreta di taluni principi, per i dettagli sanzionatori (considerato anche il principio di tassatività vigente in Italia sia per gli illeciti amministrativi, che per quelli a copertura penale), per le procedure di reclamo e tutela amministrativa o giudiziale e così via.
Per l’Italia, si è attualmente in attesa del decreto legislativo di abrogazione/modifica/integrazione del Codice Privacy (d.lgs. 196/2003), la cui adozione scadeva il 21 maggio 2018 in forza del termine di 6 mesi statuito dalla Legge delega 163/2017, nonché delle linee guida / schemi / modelli-tipo del Garante che dovevano essere emessi sia in forza del GDPR che delle deleghe commissionate dalla Legge di Bilancio 2018 (Legge 205/2017, commi da 1020 a 1025 dell’art. 1).
Tornando alla Legge 163/2017, l’art. 13 dispone peraltro che il Governo eserciti la delega secondo le procedure previste dalla Legge 234/2012 che, a propria volta, prevede un meccanismo di proroga automatica (della delega) di 3 mesi, che risulta applicabile al caso di specie.
Nelle more ci troviamo quindi in un complesso quadro normativo, tra normativa dell’Unione già in vigore e direttamente applicabile (GDPR) e normativa di raccordo nazionale non ancora disposta.
E nelle pieghe un Codice Privacy che deve intendersi superato dal GDPR, con sua disapplicabilità automatica quantomeno con riferimento alle norme in contrasto con la disciplina comunitaria, che è fonte sovraordinata.
Privacy in Italia: avanti piano.