In questo articolo vorrei esaminare (ovviamente non in maniera esaustiva) le problematiche connesse alla integrazione tra l’attuale normativa in materia di protezione di dati personali (ossia il D.Lgs. n.196/2003) e il Regolamento U.E. n.679/2016, meglio noto sotto il nome di “GDPR”.

Cominciamo dalla fine: con la Legge, 25/10/2017 n° 163, G.U. 06/11/2017 (http://bit.ly/2mRLwXM) si è dato mandato al Governo di emanare apposite norme che coordinino – appunto – il D.Lgs. n.196/2003 ed il GDPR.

Questo in quanto occorre ricordare che il GDRP, essendo un Regolamento Europeo, è immediatamente efficace ed attivo nei rapporti tra i soggetti di un determinato Stato, senza alcuna necessità di essere recepito da una legge nazionale, come invece accade alle Direttive Europee.

Ora, chi abbia seriamente letto il GDPR, si dovrebbe essere accorto che “semplicemente” che il medesimo, nel capo IX, articoli da 94 a 99, abroga solamente le precedenti direttive europee nella medesima materia, ma nulla dice circa le normative nazionali.

Direi che è una cosa abbastanza ovvia, in quanto è noto che i Regolamenti Europei sono norme di rango superiore rispetto alle normative nazionali, e di conseguenza qualunque normativa nazionale che sia in contrasto con un regolamento si deve intendere come tacitamente ma necessariamente abrogata.

Però poi, per essere sicuri di non tralasciare alcunché, occorre poi che l’interprete [1] analizzi tutte le norme sia del D.Lgs. n.196/2003 sia del GDPR per poter “controllare” quali norme del D.Lgs. n.196/2003 siano state effettivamente abrogate per effetto della sovrapposizione del GDRP, e quali norme siano – al contrario – rimaste in vigore, anche se in via sussidiaria.

Un esempio per tutti: nel GDPR non vi è cenno dei c.d. “Amministratori di sistema”, oggetto di specifico provvedimento del Garante [2], così come praticamente non vi è cenno a quali debbano essere le c.d. “misure di sicurezza”, oggetto di normazione nel D.Lgs. n.196/2003, sia sotto l’aspetto della responsabilità penale sia sotto l’aspetto della responsabilità civile [3] .

Di conseguenza in questi casi le norme dovranno essere coordinate; ed è proprio per facilitare il compito di chi sia chiamato ad applicare tali norme, che è stata emanata la delega sopra citata.

Intendiamoci, a mio sommesso parere il GDPR ha solamente messo in chiaro alcuni aspetti che nel D.Lgs. n.196/2003 erano in pratica sottintesi, ha strutturato l’impegno di protezione dei dati in maniera diversa da come tale aspetto era strutturato nel D.Lgs. n.196/2003, lasciando molto più libertà nel definire le varie forme di controllo e di protezione.

Ma probabilmente è stata proprio questa – apparente – maggiore libertà che, comportando sicuramente anche una maggiore responsabilità, che ha “spaventato” chi non sia propriamente del “mestiere”.

Anche il riferimento espresso operato dal GDRP alle certificazioni I.S.O. devono essere lette correttamente; infatti – come peraltro scrissi davvero molto tempo fa – seguire, per esempio, la certificazione I.S.O. 27001 (se non erro l’ultima “vigente” dovrebbe essere la 2014) può sicuramente costituire una ottima base di partenza per procedere correttamente, ma purtroppo non tutti si rendono conto che di base tutte le certificazioni I.S.O. hanno una specie di “peccato originale”.

Mi spiego meglio: esse nascono prevalentemente in ambiente giuridico di “common law” laddove la nostra normativa è di “civil law” e comunque NON prendono in considerazione (a meno che non siano state “tradotte” in norme UNI, ma anche in questo caso occorre essere molto attenti) le normative di carattere giuridico; infatti spesso sono considerate come “norme cogenti”, ma non lo sono affatto.

Sono standard direi soprattutto organizzativi ai quali un determinato soggetto SCEGLIE di aderire per potersi confrontare con altri soggetti che abbiano la medesima “certificazione”; e necessariamente devono avere un ruolo subalterno e subordinato rispetto alle norme giuridiche (ovviamente).

Quindi, in conclusione: collaborazione e conoscenza da parte di chi sia chiamato ad applicare le norme (giuridiche e non) anche dell’altra «metà del cielo», senza preconcetti ma avendo ben chiara la gerarchia delle fonti (vedi grafico sotto riportato).

[1] E’ il termine utilizzato giuridicamente per definire unitariamente chiunque proceda professionalmente ad interpretare una norma di legge

[2] http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1626595

[3] In realtà nel GDPR si fa espresso riferimento al risarcimento del danno per illecito trattamento, ma non nella medesima accezione strutturale del D.Lgs. n.196/2003.

A cura di: Avv. Luca-M. de Grazia

Presidente dell’Associazione Iusit.net
Laureato in giurisprudenza con tesi in diritto commerciale concernente “La società tra professionisti intellettuali” nel 1978, svolge sin da tale data attività libero professionale nello studio di famiglia.
Già componente del Circolo dei Giuristi Telematici (www.giuristitelematici.it) e componente dell’A.N.O.R.C. (Associazione Nazionale Operatori e Responsabili della Conservazione sostitutiva) (www.anorc.it)
Ha pubblicato circa un centinaio di articoli sul Web (Interlex, Zaleuco, atti del Convegno 1997 di Cassino su “Informatica e Pianeta giustizia”, atti del Convegno Nazionale 2-5 dicembre 1988 a Firenze su “Informatica e Giustizia”) oltre a numerose pubblicazioni giuridiche in qualità di coautore.
Ha partecipato come relatore a vari convegni sui seguenti argomenti:“Sicurezza Informatica”, “L’applicazione della 675/96 in azienda”,“Interazioni e convergenze tra la 675/96 ed il DPR 513/97”,“Outsourcing delle Telecomunicazioni, legge 675/96 e documento informatico”, “Le responsabilita’ da prodotti: il danno da software di largo consumo”, “Il documento informatico”, “Archiviazione ottica: come utilizzarla in azienda”,“Le novita’ del diritto in internet”, “La sicurezza delle rete aperte”, “La responsabilita’ degli Amministratori in relazione al rischio anno 2000”, “Il documento elettronico, aspetti giuridici della marcatura temporale”, etc.
E’ stato responsabile della parte legale del primo progetto italiano di formazione del c.d. “security manager“.
Svolge abitualmente attività di formazione nel settore della sicurezza informatica.
Download PDF
Condividi sui Social Network:

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.