decreto armonizzazione gdpr

Il 19 settembre entra in vigore il Decreto di armonizzazione al Regolamento GDPR – D.Lvo n. 101.

decreto armonizzazione gdpr
A partire al 19 settembre, data di entrata in vigore del D.Lvo n. 101, l’intera normativa italiana in materia di protezione dati deve essere interpretata e applicata alla luce del GDPR. L’entrata in vigore è immediata e integrale e senza alcun periodo di applicazione “soft”.
Finisce così l’ordinario periodo di vacatio legis previsto dalla Costituzione.
Non è infatti previsto alcun periodo ulteriore ai quindici giorni per l’entrata in vigore della nuova normativa e, soprattutto, non è stabilito alcun periodo di c.d. applicazione “soft” delle disposizioni in essa contenute, né da parte dell’Autorità Garante né da parte di chiunque altro sia tenuto ad applicare e far applicare questo decreto legislativo.
Esso, tra le altre cose all’Art. 22 n. 13 dispone: “per i primi otto mesi dalla data di entrata in vigore del presente decreto, il Garante per la protezione dei dati personali tiene conto, ai fini dell’applicazione delle sanzioni amministrative e nei limiti in cui risulti compatibile con le disposizioni del Regolamento (UE) 2016/679, della fase di prima applicazione delle disposizioni sanzionatorie”.
Di conseguenza, il Garante come l’Autorità Giudiziaria e ogni pubblica amministrazione, ente o società di servizi, impresa o struttura di ricerca e di studio, è tenuto a dare piena e integrale applicazione a tutta la sua normativa.
Come recita l’art. 22, comma 1:
“Il presente decreto e le disposizioni dell’ordinamento nazionale si interpretano e si applicano alla luce della disciplina dell’Unione europea in materia di protezione dei dati personali e assicurano la libera circolazione dei dati personali tra gli Stati membri ai sensi dell’art. 1, paragrafo 3 del Regolamento (UE) 2016/679”.
Ciò significa che deve essere interpretato e applicato in tutte le sue parti, disposizioni e norme in conformità con il GDPR.
In virtù dell’art. 2 del d.lvo.n.101 del 2018, l’art. 1 del Codice novellato recita ora:
“il trattamento dei dati personali avviene secondo le norme del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, di seguito “Regolamento” e del presente Codice, nel rispetto della dignità umana, dei diritti e delle libertà fondamentali della persona”.
Questa disposizione, non a caso contenuta nel nuovo articolo 1 del Codice novellato, ha la finalità e l’effetto giuridico di sottolineare che le norme in esso contenute formano parte integrante di un unico sistema normativo a due livelli, composto:
  • dal GDPR, con efficacia e vigenza su tutto il territorio dell’Unione;
  • dal Codice italiano come novellato dal d.lv. n.101, le cui disposizioni trovano applicazione sul territorio italiano, secondo i criteri di cui all’art. 3 del GDPR, ma solo in quanto la loro interpretazione e applicazione siano conformi al Regolamento (UE) 2016/679.
Naturalmente la normativa italiana e quella europea sono un ordinamento giuridico integrato e complesso, retto dal principio di supremazia della normativa europea su quella nazionale.
Ne consegue che ogni interpretazione e applicazione di questa normativa che sia in contrasto con le disposizioni contenute nel GDPR, o con la interpretazione che di quelle disposizioni sia data dal Gruppo dei Garanti Europei (EDPB), o dalla Commissione o, a maggior ragione, dalla Corte di giustizia, è afflitta dal vizio di illegittimità. Vizio che a seconda delle circostanze può essere potenziale e giustificare la richiesta di un accertamento giurisdizionale, in particolare da parte della Corte di giustizia, ma che in generale, e soprattutto quando è evidente il contrasto, può comportare anche l’inapplicabilità della norma italiana da parte di giudici nazionali.
Tutto questo ha conseguenze importanti per tutti ma in particolare per il Garante e per l’Autorità giudiziaria ordinaria nazionale.
Spetta, infatti, innanzitutto a questi ultimi accertare sempre che le disposizioni del Codice novellato siano conformi al GDPR nel loro contenuto e siano interpretate e applicate secondo un principio di stretta legalità.
Quello che dal 19 settembre 2018 deve essere tenuto sempre presente è che l’intera normativa italiana in materia di protezione dati si basa sulla competenza del legislatore italiano derivante dal GDPR e, di conseguenza, deve essere interpretata e applicata alla luce del nuovo Regolamento europeo.
Una cosa ovvia che però è molto importante ribadire oggi, alla vigilia dell’entrata in vigore del d.lvo n. 101.