Cookie free: nessun "biscotto" per spiare i lettori

Lo schema pubblicato da InterLex è un testo apocrifo?

Privacy e sicurezza - Manlio Cammarata - 7 maggio 2018

Questa è la email del collega: «Manlio il testo che hai pubblicato sulla privacy è una grossolana bufala, del tutto difforme dal testo che è stato bollinato proprio ieri dalla Ragioneria dello Stato e che entro due o tre giorni sarà pubblico perché verrà inviato alla commissione parlamentare bicamerale sugli atti del governo» eccetera.

Il fatto è che lo stesso documento, o uno molto simile, è circolato il 3 maggio scorso. Tanto che il giorno dopo su Il Sole 24 ore è uscito un commento intitolato "Privacy, decreto ancora in alto mare", con osservazioni che si attagliano perfettamente al testo pubblicato su InterLex.

Ma il problema non è se il documento in questione sia o no "una grossolana bufala". Per le numerose correzioni in evidenza e per le tracce di ripensamenti, è evidente che si tratta di una bozza intermedia, una delle tante, e che ci sarà una versione definitiva, si spera ripulita delle incongruenze di questa versione. 

Il punto da affrontare è l'inaccettabile segretezza che copre troppo spesso atti che dovrebbero, per la loro natura, essere conoscibili da ogni cittadino. Della bozza precedente, quella che abbiamo pubblicato il 24 marzo, sul sito del Governo si trovano la notizia dell'approvazione, il comunicato stampa e l'analisi tecnico-normativa (che non si preoccupa di verificare la compatibilità del testo con la legge-delega). Il provvedimento approvato non c'è. Alla faccia della tanto proclamata "trasparenza"!

Per semplici provvedimenti amministrativi si prevede una consultazione pubblica di almeno sessanta giorni (vedi appunto, nel testo in questione, il secondo comma dell'art. 2-quater), ma uno schema di decreto legislativo, cioè di una legge dello Stato, deve restare segreto?

Non è solo una questione di trasparenza. Pubblicare un progetto legislativo serve anche a suscitare la discussione e, se del caso, a migliorare il testo. La "rivelazione" del primo schema da parte di InterLex, il 24 marzo, ha provocato un putiferio di critiche, costringendo la Commissione del Ministero della Giustizia a una sostanziale riscrittura. La seconda versione che abbiamo pubblicato – certo non definitiva – presenta ancora punti critici, ma appare più rispettosa della delega parlamentare, allontanando i sospetti, per non dire le certezze, di incostituzionalità.

Ora sembra che nei prossimi giorni le Commissioni del Senato e della Camera potranno esaminare il testo finale, approvandolo in tempi strettissimi, perché la delega scade il prossimo 21 maggio, a soli quattro giorni dalla piena applicabilità del GDPR.

C'è qualcosa di surreale in questa situazione. Le "autorità competenti", cioè il Parlamento, il Governo e il Garante per la protezione dei dati personali, potevano e dovevano provvedere all'emanazione delle norme di loro competenza a partire dal 25 maggio 2016, quando il GDPR è entrato in vigore (ma il testo era noto da mesi e ufficialmente dall' approvazione finale, avvenuta il 27 aprile 2016).

Il Governo per due anni non ha fatto nulla. Non ha svolto il suo compito di adeguare la normativa, non solo entro il termine imposto dal Regolamento UE, ma con un anticipo sufficiente a consentire senza i traumi dell'ultimo minuto la non semplice applicazione delle nuove regole da parte dei titolari di trattamenti di dati personali.

Il Parlamento è intervenuto ben venti mesi dopo l'entrata in vigore del GDPR, con la legge-delega 25 ottobre 2017, n. 163. E il Garante, a oggi, non ha provveduto ad alcun aggiornamento delle disposizioni di sua competenza. Ha promosso convegni e seminari, ha "avviato consultazioni",  ha pubblicato pagine informative (comunque utili), si è profuso in quasi quotidiane "dichiarazioni" del tutto ininfluenti sul piano sostanziale. Insomma, l'orchestra che suona mentre il Titanic affonda.

Ora non è il caso di analizzare a fondo un testo evidentemente non definitivo. Si nota che è molto diverso dal primo e appare finalmente rispettoso della delega parlamentare. Infatti non c'è più l'abrogazione in toto del decreto legislativo 196/2003 (il cosiddetto "Codice privacy"), ma una sua profonda revisione.
Ritornano anche le sanzioni penali, la cui eliminazione era stata bollata dal Garante europeo Giovanni Buttarelli come un "infortunio giuridico".

Ma restano diverse questioni irrisolte. Per esempio, quella – delicatissima – del riuso dei dati sanitari e genetici, sollevata dall'improvvida introduzione dell'art. 110-bis del Codice, operata dalla legge 167/17, pendente la revisione del Codice stesso, delegata con la precedente legge 163/2017  (si veda Riuso dei dati sanitari e ricerca scientifica. Il vero problema dell’articolo 110bis di Andrea Monti)¹.

Il nuovo schema tratta la materia in due punti: l'art. 2-septies (destinato a sopravvivere, in quanto non modificativo del Codice privacy) e l'art. 8, che, fra l'altro, riscrive gli articoli 110 e 110-bis. In questo modo, con la prossima versione del Codice, la stessa materia sarà regolata da due diversi testi, l'emanando decreto legislativo e lo stesso Codice, con i problemi interpretativi che è troppo facile prevedere.

E' solo un esempio. Ma basta per intuire i problemi che devono essere affrontati all'ultimo minuto. Anzi, ben oltre l'ultimo minuto, se si considerano i tempi necessari per applicare le norme in via di approvazione.
E all'applicazione del GDPR mancano solo diciassette giorni.

1. Dell'argomento si parlerà anche il prossimo 9 maggio, in un convegno all'Università di Roma 3 dal titolo "La genetica ai tempi del GDPR – Privacy e data protection tra ricerca scientifica e accertamento penale".