Che la privacy sia un argomento spiacevole e che non tutti abbiano questa dimestichezza è una cosa evidente, ma soprattutto la domanda che ci si pone, o forse no, è: ”ma il decreto legislativo 196/2003 lo devo ancora scrivere oppure no per i trattamenti privacy o ci si deve riferire soltanto al GDPR 679/2016?”
GDPR 679/2016
Per chi non lo sapesse, il GDPR 679/2016 è il Regolamento Europeo sui dati personali nel trattamento privacy che è stata una piccola rivoluzione Europea in termini di adeguamento comunitario sul trattamento dei dati personali, perché, prima del GDPR ogni paese faceva un pochino come gli pareva.
Nel 1995 esce una direttiva dell’allora Comunità Europea, indicata come 95/46/CE, che riguardava il trattamento dei dati personali e venne assorbita da ciascun paese in maniera completamente autonoma con dispositivi discutibili che non dimostreranno in futuro un vero assorbimento/comprensione della direttiva. È vero, però, che negli anni ’90 la decisione di assorbimento della direttiva era una condizione di soli buoni propositi nei confronti della costituente Unione Europea e non aveva nessuna forma obbligatoria.
Il contributo dell’Italia si concretizzerà nell’emanazione della L. 675/96. Un papocchio.
La normativa sulla privacy in Italia: il Decreto legislativo 169/2003
Una serie di aggiustamenti alla L. 675/96 con decreti legislativi, sentenze, leggi speciali, i soliti spaghetti-western, porteranno al concepimento e parto del famoso D.Lgs 196/2003 che passerà alla storia come il legge-privacy.
Il D. Lgs. 169/2003 è sicuramente stato un passo importante che ha aperto un’infinità di argomentazioni, richieste, contestazioni e modifiche – che molte volte non c’entravano nulla con la materia privacy, come la riservatezza. Cose completamente diverse. Ma bisogna dare atto che il decreto legislativo 196/2003 è stato sicuramente la pietra miliare della privacy nel nostro paese.
Una delle cose più importanti introdotte dal decreto legislativo 196/2003 è sicuramente la figura del Garante, nella sua forma istituzionale di garanzia rispetto ai trattamenti dei cittadini, che nessuno aveva ancora realizzato cosa fosse e di quanto avrebbe inciso sulla vita degli elettori.
Sì, perché non bisogna scordare che il Garante, secondo il 196/2003, è su nomina diretta di quattro rappresentanti da parte del parlamento, il che sancisce un ruolo autorevole e centrale nel panorama istituzionale nazionale.
Il Garante Privacy
Per molti anni, il Garante ha navigato a vista in una forma ibrida, anche per capire che ruolo avesse nella società, dividendosi tra continui dispositivi che venivano emanati per mettere una pezza qua e là, decisioni basate su sentenze che aprivano sempre nuovi quesiti sulla privacy e pareri introdotti per regolare settori industriali fondamentalmente sconosciuti.
Tutto questo ha però permesso che il garante privacy italiano, successivamente al D. Lgs. 196/2003, ampliasse sempre di più la sua sfera di influenze per diventare materia sempre più complessa “all’italiana”, in una costellazione infinita di dispositivi e sentenze contraddittorie dove, fondamentalmente, ne tirava le fila solo il famosissimo Avvocato Azzeccagarbugli del Manzoni.
L’arrivo del GDPR 679/2016 è stata una liberazione! Ma, soprattutto, è servito per mettere ordine nel panorama normativo privacy tra le infinite sentenze, norme speciali e dispositivi. Per fortuna non è un testo scritto in Italia.
L. 101/2018
Come purtroppo accade, il GDPR 679/2016 viene assorbito dall’Italia con la L. 101/2018 in tutta fretta.
La domanda che ci si potrebbe porre è: ”ma come mai in tutta fretta visto che ci sono voluti quasi due anni?” Beh! Perché in Italia facciamo sempre le cose all’ultimo minuto.
Una cosa che è apparsa immediatamente chiara al legislatore è che il 196/2003 fosse diventato enorme ed obsoleto, tanto da decidere inizialmente di abrogarne l’80% degli articoli. Solo tra il Capo I e Capo II del 196/2003 nei primi 48 articoli ne vengono abrogati 46.
Questo ha portato a pensare che il 196/2003 fosse abrogato e che non ci fosse più bisogno di tenerlo presente. Ma questo è parzialmente vero: il 196/2003 rimane molto importante per definire quelle forme statutarie dell’istituzione privacy e per meglio identificare la struttura costituente in termini di oggetto, finalità e autorità di controllo. Un po’ come accade nel TULPS con le attribuzioni e definizioni di Autorità di Pubblica Sicurezza.
Il D. Lgs. 196/2003 va indicato oppure no?
Sicuramente il 196/2003 resta molto importante per inquadrare e definire l’autorità di controllo, le finalità del principio di privacy è l’oggetto della gestione amministrativa pubblica e privata della privacy. In sintesi, potremmo dire che il 196/2003 ha un aspetto statutario istituzionale.
A supporto di questa tesi ci sono alcune norme recenti: una è purtroppo il decreto-legge n. 139/2021 passato alla storia come “decreto accessi”, un’altra è la L. 205/2021, che intervengono sulle forme amministrative istituzionali della privacy, nel trattamento da parte delle istituzioni di atti amministrativi con dati personali e il rafforzamento del ruolo del Garante nell’intervento in tematiche privacy di pubblico interesse.
Concludendo, se un’azienda deve far riferimento a un testo privacy per il proprio sito internet è importante, utile e corretto introdurre il 196/2003? No. Perché? Perché sarebbe come citare la Costituzione quando si vuole contestare una multa per divieto di sosta secondo il codice della strada.
Quindi, mentre il D. Lgs. 196/2003 è una legge costituente del Garante e della sua Autorità di controllo, il GDPR 679/2016 e la L. 101/2018 sono i regolamenti di esecuzione a cui far riferimento per il trattamento dei dati da parte dei titolari del trattamento nei confronti degli interessati.
