Il giorno 21 agosto 2018 è definitivamente scaduta la delega contenuta nell’art.13 della legge 25 ottobre 2017 n.16 (legge di delegazione europea 2016-2017) per l’adeguamento della normativa italiana al GDPR.

Entro tale data, dunque, doveva essere emanato con D.P.R. il testo del decreto delegato approvato in via definitiva dal Consiglio dei Ministri dell’8 agosto 2018.

Per la sua entrata in vigore dovremo attendere la pubblicazione in G.U., che dovrebbe avvenire subito dopo l’emanazione, e il necessario periodo di vacatio legis.

Lo schema di decreto ha avuto una vita assai tormentata. Vi evito la sintesi delle vicende che hanno segnato il cammino del decreto  ma vorrei sottolineare gli aspetti, anche contenutistici, che caratterizzano la nuova normativa e le differenze, anche di tecnica legislativa, che ne caratterizzano  le diverse parti.

In sostanza l’intento era dar vita a una regolazione nazionale più agile e coesa; più facilmente interpretabile e applicabile dagli operatori; più coerente col duplice obbiettivo perseguito del GDPR che, come dice l’art. 1, non è solo quello di assicurare un’elevata protezione di un diritto fondamentale dell’Unione ma anche quello di favorire la libera circolazione dei dati in un quadro di sviluppo dell’economia e della società digitale nell’ambito dell’Unione.

Tuttavia, per le vicende ricordate, nella fase preparatoria iniziale, si è avuto soltanto il tempo di sviluppare un’incisiva attività di elaborazione e proposta, fortunatamente estesa a tutta la Prima Parte del precedente Codice. Inoltre è stato possibile anche pervenire a una compiuta “messa in asse” della nuova normativa nazionale con i Capi I e II del GDPR, ivi compresa la attuazione nazionale dell’art. 8 del GDPR (fissazione delle minore età ai fini dei servizi offerti dalla società dell’informazione) e, soprattutto, dell’art. 9, relativo alla definizione delle attività di pubblico interesse e alle scelte nazionali fondamentali nelle materie indicate dal paragrafo 2, lettere g), h), i), j) e dal paragrafo 4 del medesimo articolo.

Un lavoro importante che poi, nel corso delle successive fasi di esame, è stato ulteriormente affinato e migliorato, anche con il concorso delle Commissioni parlamentari.

Allo stesso modo, è stato possibile dare un contributo di forte innovazione, recepito e anche notevolmente migliorato nel testo del decreto delegato, per quanto riguarda i diritti delle persone decedute e, in generale, la parte finale e transitoria della nuova normativa.

Va inoltre dato atto che il testo definitivo recepisce ampiamente, e anzi completa in più parti, i suggerimenti formulati nella fase preparatoria iniziale per quanto riguarda la “costruzione” di un nuovo, e molto più incisivo, ruolo della Autorità di controllo, finalizzato non solo ad adeguare la  normativa al GDPR ma anche a rendere la normativa italiana flessibile e adattabile nel tempo, in un quadro di consultazione e raccordo con gli operatori economici e culturali e con la comunità scientifica operanti nei diversi settori, in particolare in quelli indicati dal Capo IX del GDPR.

Un obiettivo questo, fortemente voluto proprio per mettere in asse, attraverso il ruolo del Garante, la flessibilità del GDPR con quella del nuovo testo italiano.

È importante, inoltre, sottolineare che, pur nella sua complessità, la normativa che regola la fase di transizione non entra mai in contrasto col GDPR, neppure quando invita il Garante ad adottare modalità adeguate per consentire alle piccole e medie imprese di dare piena applicazione al GDPR; o quando gli raccomanda di tener conto, per otto mesi dalla entrata in vigore del decreto, del necessario periodo di adattamento alla nuova normativa, commisurando a tal fine in modo adeguato le sanzioni.

(tratto da articolo di Francesco Pizzetti, professore ordinario di Diritto Costituzionale – Facoltà di Giurisprudenza Università di Torino – Fonte: Agenda Digitale)