Dal prossimo 19 settembre il D.Lgs. n.101/2018, emanato in esecuzione della legge delega n.163/2017, entra in vigore e deve essere applicato come legge dell’ordinamento giuridico italiano.
La singolare circostanza emersa all’indomani della pubblicazione nella G.U. dello scorso 4 settembre di questo provvedimento legislativo, che ha il compito puramente formale di “armonizzare” la normativa nazionale in materia di privacy al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, è stato l’auspicio espresso anche da parte di operatori già esperti del settore, della previsione di un periodo di vacatio legis più lungo di quello ordinario di 15 giorni previsto dall’art.73 della Costituzione.
Circostanza singolare considerando la diversa natura dello strumento legislativo utilizzato in questa occasione dal legislatore Europeo: Regolamento, anziché Direttiva, che in questo modo ha inteso intervenire in via diretta, al fine unico quanto essenziale a fronte dello scenario nel frattempo profilatosi, di creare una reale controtendenza di spirito rispetto a quello avuto nei confronti della direttiva madre 95/46.
La differenza è sostanziale a conforto di coloro che ancora sostengono che la direttiva madre 95/46 è stata dimenticata e riposta nel cassetto dal codice della privacy di cui al D.Lgs.n.196/2003, forse ignari del fatto che mentre la direttiva come tale deve essere integralmente adattata nell’ordinamento tramite apposita legge interna in virtù del principio costituzionale di sovranità territoriale, il Regolamento al contrario, è per sua natura direttamente applicabile, salvo in questo caso il puramente formale recepimento (D.Lgs. 101/2018) in virtù del detto principio costituzionale, ed anzi, sovraordinato nella gerarchia delle fonti rispetto alla legge ordinaria.
La differenza di strumento normativo utilizzato, utile a dipanare le incertezze createsi attorno all’intricato panorama, è per questo stata alla base delle relazioni delle sessioni formative avutesi fin dalla nascita del regolamento nel 2016, da SISA & Partners, società del gruppo Omniapart, in linea con standard professionali che considerano la corporate compliance alla stregua di un asset immateriale, come tale suscettibile di autonoma valutazione economica a supporto della patrimonializzazione e del profitto dell’azienda.
Non vi è quindi un arco temporale di applicazione “morbida” della norma, paventato all’indomani della sua pubblicazione; come ha opportunamente rilevato il Prof. Franco Pizzetti, professore ordinario di Diritto Costituzionale della Facoltà di Giurisprudenza dell’Università di Torino, la stessa Relazione governativa all’art.22 del decreto evidenzia che una norma del genere sarebbe stata incompatibile col GDPR, atteso che sia la normativa italiana in materia contenuta nel D.Lgs. n.196/2003 e non abrogata o modificata dal D.Lgs. n.101/2018, sia quella contenuta in questo ultimo nuovo decreto, deve essere interpretata e applicata alla luce del GDPR e in conformità alle sue norme.
Nasce quindi un sistema normativo a due livelli, composto: – dal GDPR, con efficacia e vigenza su tutto il territorio dell’Unione; – dal Codice italiano come novellato dal D.Lgs.n.101, le cui disposizioni trovano applicazione sul territorio italiano, secondo i criteri di cui all’art.3 del GDPR, ma solo in quanto la loro interpretazione e applicazione siano conformi al Regolamento (UE) 2016/679.
(vedi link in calce a questo articolo)
Un’ulteriore nota di interesse, a parere di chi scrive, è legata all’esplicita tutela della riservatezza dell’identità del dipendente che segnala, ai sensi della normativa sul whistleblowing, l’illecito di cui sia venuto a conoscenza in ragione della propria attività; tematica di assoluto interesse ed in continua evoluzione, che riserverà novità di rilievo da comunicare e discutere nel breve periodo.
Articolo a Cura dell’Avv. Franco Delli Paoli, Senior Executive Ethics & Compliance
