CODICE DELLA PRIVACY, dal 25 maggio 2018 abrogato il D.Lgs. 196/03
Comunicato stampa del Consiglio dei Ministri n. 75 – 21 marzo 2018
Sul codice della privacy disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati) (decreto legislativo – esame preliminare)
Il Consiglio dei Ministri, su proposta del Presidente Paolo Gentiloni e del Ministro della giustizia Andrea Orlando, ha approvato, in esame preliminare, un decreto legislativo che, in attuazione dell’art. 13 della legge di delegazione europea 2016-2017 (legge 25 ottobre 2017, n. 163), introduce disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento europeo relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
A far data dal 25 maggio 2018, data in cui le disposizioni di diritto europeo acquisteranno efficacia, il vigente Codice in materia di protezione dei dai personali, di cui al decreto legislativo 30 giugno 2003, n. 196, sarà abrogato e la nuova disciplina in materia sarà rappresentata principalmente dalle disposizioni del suddetto Regolamento immediatamente applicabili e da quelle recate dallo schema di decreto volte ad armonizzare l’ordinamento interno al nuovo quadro normativo dell’Unione Europea in tema di tutela della privacy
Vai al comunicato:
Tale azione del Governo è legata alla legge delega n. 163 del 25 ottobre 2017, entrata in vigore il 21/11/2017, che, all’articolo 13, cita:
- Il Governo è delegato ad adottare, entro sei mesi dalla data di entrata in vigore della presente legge, con le procedure di cui all’articolo 31 della legge 24 dicembre 2012, n. 234, acquisiti i pareri delle competenti Commissioni parlamentari e del Garante per la protezione dei dati personali, uno o più decreti legislativi al fine di adeguare il quadro normativo nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE.
- […]
- Nell’esercizio della delega di cui al comma 1 il Governo è tenuto a seguire, oltre ai principi e criteri direttivi generali di cui all’articolo 32 della legge 24 dicembre 2012, n. 234, anche i seguenti principi e criteri direttivi specifici:
- a) abrogare espressamente le disposizioni del codice in materia di trattamento dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, incompatibili con le disposizioni contenute nel regolamento (UE) 2016/679;
- b) modificare il codice di cui al decreto legislativo 30 giugno 2003, n. 196, limitatamente a quanto necessario per dare attuazione alle disposizioni non direttamente applicabili contenute nel regolamento (UE) 2016/679; c) coordinare le disposizioni vigenti in materia di protezione dei dati personali con le disposizioni recate dal regolamento (UE) 2016/679;
- d) prevedere, ove opportuno, il ricorso a specifici provvedimenti attuativi e integrativi adottati dal Garante per la protezione dei dati personali nell’ambito e per le finalità previsti dal regolamento (UE) 2016/679;
- e) adeguare, nell’ambito delle modifiche al codice di cui al decreto legislativo 30 giugno 2003, n. 196, il sistema sanzionatorio penale e amministrativo vigente alle disposizioni del regolamento (UE) 2016/679 con previsione di sanzioni penali e amministrative efficaci, dissuasive e proporzionate alla gravità della violazione delle disposizioni stesse.
4. […]
Cosa possiamo aspettarci?
Al momento non ci è dato sapere molto sul nuovo decreto, di cui sul sito del Governo è riportato solo il titolo
Norme di adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE ESAME PRELIMINARE
Riteniamo in ogni caso chiare le linee guida dettate dalla legge delega, che richiama espressamente gli obblighi imposti dal Reg. UE 2016/679 come indicativi di cosa DEVE essere rispettato.
Cosa devono fare quindi le aziende?
Sicuramente adeguare quanto già sviluppato ai sensi del D.Lgs. 196/03 ai requisiti del Reg. UE 2016/679, in modo da poter dare evidenza dell’impegno nel rispetto della norma, conformemente al principio cardine della responsabilizzazione (accountability) del titolare del trattamento che, ricordiamo, ha il compito di “determinare i mezzi e le finalità del trattamento dei dati personali”, rispettare i principi applicabili al trattamento dei dati personali e dimostrare l’adeguatezza del sistema di gestione per i dati personali adottato alla normativa vigente e alla propria organizzazione (art. 5, comma 2 del reg. UE 2016/679).