Di Lorenzo Labruna

Il 19.09.2018 è entrato in vigore il D.Lgs. 101/2018, decreto che si occupa di adeguare le disposizioni del regolamento (UE) 2016/679 (il c.d. G.d.p.r.) alle peculiarità dell’ordinamento italiano. Com’è noto, prima dell’introduzione del nuovo regolamento europeo in tema di privacy, la normativa in materia era contenuta nel D.Lgs. n. 196/2003 (il c.d. Codice Privacy). L’introduzione del G.d.p.r. – che, in quanto regolamento, costituisce norma direttamente applicabile in ogni Stato Membro – ha portato alla disapplicazione di tutte le disposizioni del vecchio Codice Privacy con questo incompatibili.

Il nuovo decreto non contiene un nuovo corpo normativo tout court, ma ha introdotto numerose modifiche al vecchio codice della privacy, abrogando alcune disposizioni ed introducendone di nuove in conformità con il G.d.p.r. Il legislatore, ad esempio, ha abbassato a 14 anni la soglia d’età per poter validamente autorizzare il trattamento dei propri dati personali (il G.d.p.r. prevedeva la soglia dei 16 anni con la possibilità per gli Stati Membri di abbassarla sino a 13) ed ha previsto una riserva di legge per l’introduzione di nuovi basi giuridiche – concetto introdotto dall’art. 6n.3 G.d.p.r. – per il trattamento dei dati.

La portata del Decreto, tuttavia, non si esaurisce nella modifica del Codice Privacy. Il documento, infatti, ha introdotto alcune norme transitorie affinché la nuova disciplina entri in vigore in modo graduale: una prima disposizione è quella che concerne i codici di deontologia e di buona condotta di cui all’Allegato A del Codice Privacy, che rimarranno in vigore finché non verranno rivisti e confermati secondo la procedura stabilita dal decreto stesso. Altra disposizione rilevante è quella concernente le autorizzazioni generali del Garante della privacy emesse precedentemente al 19.09.2018, le quali rimarranno in vigore solo qualora vengano ritenute compatibili con la disciplina del G.d.p.r. Infine, all’art. 22c.13, viene introdotto anche un “periodo di tolleranza” di otto mesi nel quale il Garante della privacy, nell’applicazione delle sanzioni amministrative, terrà conto delle difficoltà incontrabili nella fase iniziale di applicazione della nuova disciplina. Attenzione però, questo non significa che chi verrà sottoposto a controlli potrà andare esente da sanzioni.