Direttiva 95/46/CE vs Decreto legislativo 196/2003

GDPR ecco quale regolamento seguire tra Direttiva 95/46/CE e Decreto legislativo 196/2003

In previsione dell'entrata in vigore del nuovo Regolamento Europeo 2016/679 per il trattamento dei dati, si leggono ovunque informazioni contrastanti che generano il panico nelle imprese, soprattutto quelle piccole e medie che, pur volendo adeguarsi sostenendo nuovi costi, non sanno cosa cambierà realmente.

La Direttiva 95/46/CE del Parlamento Europeo e del Consiglio emanata il 24 Ottobre 1995 si riferisce alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla loro libera circolazione, e possiamo definirla come la prima versione del GDPR. Tutte le direttive europee vengono recepite dagli stati membri, che a loro volta le integrano localmente con delle disposizioni nazionali.
Anche l'Italia, vista la rapidità dell'evoluzione tecnologica e la globalizzazione che hanno portato nuove sfide sulla protezione dei dati personali, ha voluto così emanare il 30 Giugno 2003 un decreto legislativo (d.lgs 196/2003) per regolamentare questo delicato argomento a livello nazionale. Tale decreto raccoglie in un testo unico la maggior parte delle disposizioni della Direttiva 95/46/CE, integrandola con le norme per la privacy contenute nella Direttiva Comunità Europea del 12 luglio 2002, n. 58 (dir. 58/2002/CE).

Il nuovo regolamento europeo GDPR 2016/679 (General Data Protection Regulation) in vigore dal 25 maggio 2018 sostituirà, abrogandola completamente, la Direttiva Europea 95/46/CE che non sarà più di riferimento.

Ma anche il D.lgs 196/2003 sarà abrogato con il GDPR?
Molti consulenti stanno creando confusione, volutamente o meno, affermando che il D.lgs 196/2003 verrà abrogato con l'entrata in vigore del GDPR, ma questo è assolutamente falso.
Nel Considerando 10 del nuovo Regolamento Europeo 2016/679 GDPR si legge infatti "Per quanto riguarda il trattamento dei dati personali per l'adempimento di un obbligo legale, per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il titolare del trattamento, gli Stati membri dovrebbero rimanere liberi di mantenere o introdurre norme nazionali al fine di specificare ulteriormente l'applicazione delle norme del presente regolamento. In combinato disposto con la legislazione generale e orizzontale in materia di protezione dei dati che attua la direttiva 95/46/CE gli Stati membri dispongono di varie leggi settoriali in settori che richiedono disposizioni più specifiche. Il presente regolamento prevede anche un margine di manovra degli Stati membri per precisarne le norme, anche con riguardo al trattamento di categorie particolari di dati personali («dati sensibili»). In tal senso, il presente regolamento non esclude che il diritto degli Stati membri stabilisca le condizioni per specifiche situazioni di trattamento, anche determinando con maggiore precisione le condizioni alle quali il trattamento di dati personali è lecito".

Mentre la Direttiva 95/46/CE viene abrogata in quanto sostituita dal GDPR, il Considerando 10 permette al decreto legislativo 196/2003 di rimanere attivo e di non essere abrogato direttamente poiché, essendo una disposizione interna dello stato membro, resta valido e mantiene la sua forza anche se subordinata al nuovo Regolamento. Questo significa che dove ci sarà compatibilità tra D.lgs 196/2003 e Regolamento 2016/679 sarà il decreto italiano a dettare legge perché affronta l'argomento del trattamento in modo più dettagliato rispetto al Regolamento; nel caso invece in cui ci sia contrasto sarà invece il regolamento GDPR a fare da riferimento.

Aggiornamento dopo il Comunicato Stampa n.75 del Governo Gentiloni del 21 Marzo 2018