Questo post nasce da una serie di domande più o meno ricorrenti che mi vengono rivolte sul tema in oggetto.
Il GDPR (UE 16/679) in quanto regolamento è immediatamente e direttamente applicabile negli ordinamenti degli Stati membri, ma pur essendo un regolamento per diverse tematiche rimette agli Stati membri il potere normativo (regolazione derogatoria, norme integrative e norme interstiziali). Abroga la direttiva CE 95/46 a decorrere da 25 maggio 2018, ma le decisioni della Commissione e le autorizzazioni delle autorità di controllo basate sulla direttiva 95/46/CE rimarranno in vigore fino a quando non saranno modificate, sostituite o abrogate.
Paesi come Germania, Francia, Olanda e Spagna hanno già messo mano alle proprie leggi nazionali in tema di protezione dati per renderle coerenti con il GDPR e per normare le materie dove il GDPR rimanda agli Stati membri. Al momento l’adeguamento della nostra legge nazionale al GDPR non sembra essere tema prioritario nell’agenda politica italiana.
IL GDPR non abroga il Codice Privacy (Dlgs. 196/2003) che, in assenza di legge nazionale di abrogazione e armonizzazione, resterà in vigore anche dopo il 25 maggio 2018 e questo creerà problemi interpretativi se e quando potrà essere applicato il codice italiano o quando dovrà essere applicato il Regolamento.
Con l’introduzione del Regolamento, che comunque prevale sulle norme nazionali dei singoli Stati membri, non possiamo parlare di abrogazione espressa del Codice Privacy, ma piuttosto di abrogazione implicita.
L’abrogazione implicita di una legge (da parte di un regolamento europeo o anche di una nuova legge di pari rango) richiede di dover dare un’ interpretazione su cosa applicare, cosa è abrogato e cosa invece sopravvive di quella legge e, in assenza di ulteriore giurisprudenza o altri chiarimenti interpretativi, sperare che l’interpretazione data sia quella giusta e che in caso di contenzioso il giudice accolga la nostra interpretazione.
L’abrogazione implicita non insiste su tutta la normativa ma è valutata punto per punto, cioè situazioni uguali trattate in maniera diversa sono abrogate.
Per tutto ciò che non è individuato come fattispecie identica e non è disciplinato in maniera difforme ai principi del regolamento si applica la norma vigente.
In caso di contenzioso, il giudice dovrà individuare per ogni singola fattispecie quale articolo del regolamento si deve applicare e stabilire se quello specifico articolo dice una cosa uguale o diversa da quello che dice la legge. Se la legge dice una cosa diversa si applica il regolamento. Se invece la fattispecie non ricade nel regolamento ma ricade nella legge allora si applica la legge.
Il GDPR ridisciplina la materia, ma in mancanza di una legge nazionale di abrogazione e di raccordo, i molti rimandi del GDPR alla legislazione nazionale, fanno salve tutte le norme nazionali e del Codice Privacy che rientrano tra le materie che il GDPR pone in capo agli Stati membri e che non sono in contrasto con i principi del Regolamento. Per tutte le norme in cui il GDPR rimanda alla legislazione degli Stati membri, ma che sono in contrasto con i principi del GDPR, tali norme sono da ritenersi affette da abrogazione implicita, ma solo per la parte della norma che risulta in contrasto con i principi del Regolamento. Le norme nazionali e del Codice Privacy non trattate nel GDPR e non in contrasto con i principi del Regolamento non sarebbero da considerarsi abrogate.
Quindi per tutte le questioni non disciplinate dal Regolamento e per tutte quelle dove il Regolamento rinvia alla legislazione degli Stati membri si applica ancora il Codice Privacy e la normativa nazionale, fermo restando il rispetto dei principi base del Regolamento stesso.
Sarebbe auspicabile anche per l’Italia l’introduzione quanto prima di una legge di abrogazione e raccordo per l’adeguamento dell’ attuale legge nazionale vigente al GDPR e per disciplinare gli aspetti normativi che il GDPR pone in capo ai singoli Stati membri, tenendo presente che si potrebbe trattare di:
- di regolazione derogatoria dove esempio il Regolamento da agli Stati membri il potere di derogare ai diritti degli interessati previsti nel Regolamento.
- di norme integrative volte a regolamentare questioni che dal Regolamento sono state volutamente non disciplinate;
- di norme interstiziali per le quali il Regolamento consente agli Stati membri di mantenere o introdurre specifiche disposizioni che, relativamente al contesto (es. economico, sociale, culturale) dello Stato membro, introducono requisiti ulteriori o più specifici in chiave attuativa del Regolamento.
(Per approfondimenti su regolazione derogatoria, norme integrative e norme interstiziali segnalo il libro “IL Regolamento europeo 2016/679” Vol. II di Franco Pizzetti.)
Si riportano al solo scopo esemplificativo alcuni rimandi fatti dal GDPR alla legislazione degli Stati membri
- Art. 6 ‘Lawfulness of processing’, paragrafo2 “Member States may maintain or introduce more specific provisions to adapt the application of the rules of this Regulation with regard to …”
- Art. 22 ‘Automated individual decision-making, including profiling’ il divieto generale alla profilazione senza consenso del paragrafo 1 non si applica per il punto b) del paragrafo 2: “is authorised by Union or Member State law to which the controller is subject and which …”
- Tutto il Capo IX “Provisions relating to specific processing situations” dagli articoli 85 al 91.