Nei prossimi giorni verrà pubblicato sulla Gazzetta ufficiale il decreto italiano di armonizzazione al Regolamento Europeo sulla privacy (Gdpr), lungamente atteso. Il testo ha avuto una vita difficile. Presentato dal governo Gentiloni come ultimo atto della propria attività il 21 marzo in grande ritardo rispetto all’entrata in vigore del maggio 2016 in vista della piena operatività Fissata a maggio del 2018, il testo ha vissuto diverse vicissitudini. Il 21 marzo il governo Gentiloni approva in prima lettura il decreto di adeguamento.
Il presupposto di base di quel primo testo era l’applicazione integrale del Regolamento così come approvato dall’Unione Europea, facendo operare la supremazia del diritto comunitario rispetto al diritto nazionale, secondo i dettami affermatisi negli ultimi anni nel rapporto tra diritto comunitario e diritto nazionale Il motivo di fondo del primo testo era peraltro condivisibile in linea teorica e si basava sulla semplificazione ed il riordino della disciplina in materia di trattamento dei dati personali, in un contesto basato su una fede cieca nella regolamentazione comunitaria autoapplicantesi.
Il testo avrebbe dovuto sostituire integralmente il codice privacy, eliminando anche alcuni elementi di distonia con il regolamento stesso, ovvero le disposizioni penali a tutela degli interessati, non previsti nella disciplina comunitaria che si preoccupava principalmente del problema del ne bis in idem
I dubbi che erano sorti su quel primo testo era rappresentato dal fatto che la legge delega prevedeva principi diversi rispetto prima di tutto la permanenza in vita del codice per la protezione dei dati personali né si era affrontato nel testo della stessa legge l’abrogazione delle norme penali a presidio della tutela dei dati personali
I fautori della prima bozza per raggiungere l’obiettivo della semplificazione avevano dovuto ricorrere alla prevalenza (o supremazia) del diritto comunitario su quello nazionale, nonché sui principi di recepimento delle norme europee contenute nella cosiddetta legge Moavero del 2012 (dal nome dell’attuale ministro degli Esteri) che avrebbe suggerito in qualche modo l’esigenza di sistematizzare le norme di derivazione comunitaria coordinandole e semplificandole, per annullare di fatto la legge delega facendo prevalere la supremazia del diritto comunitario.
Una legge che non avesse rispettato quei parametri sarebbe stata viziata evidentemente ex ante in quanto in grado di violare il cd parametro interposto ovvero la contrarietà della norma nazionale rispetto a quanto previsto dal regolamento ciò in ragione del disposto dell’articolo 117 della Costituzione a mente del quale “la potestà legislativa è esercitata dallo Stato e dalle Regioni nel rispetto .. dei vincoli derivanti .. dagli obblighi internazionali”.
Passano diversi mesi e a maggio del 2018, nell’imminenza della scadenza del termine gli uffici ministeriali in assenza di un governo che sarebbe stato nominato solo mesi dopo, predispongono uno schema di decreto di adeguamento dallo spirito del tutto opposto, seppur mantenendo per ovvie ragioni di tempo, parte della sistematizzazione dello schema.
Facendo prevalere gli ambiti autonomi concessi dal regolamento comunitario, mantenendosi strettamente nel solco della legge delega e facendo rimanere in vita sia il codice per la protezione dei dati personali, sottoposto ad un minuzioso lavoro di restyling alla luce del regolamento, la bozza del decreto che poi sostanzialmente ha costituito la base di quello varato ha cambiato rotta.
Il presupposto di base questa volta era che pur trattandosi di un regolamento lo stesso desse una ampia libertà ai singoli Stati non già di derogare le norme contenute nel GDPR, ma di integrarle dal punto di vista sostanziale e non solo formale.
Va detto che il legislatore francese ha contato ben 56 ambiti sostanziali e non meramente formali nei quali il legislatore nazionale aveva la possibilità di legiferare in maniera concorrente disciplinando in via autonoma le fattispecie delineate dal regolamento.
Ciò non sarebbe stato possibile se il regolamento fosse un semplice regolamento autoapplicantesi ed infatti la dottrina maggioritaria ha parlato di una direttiva mascherata, non solo per la presenza di una fonte originaria precedente al regolamento sotto forma di direttiva (che aveva portato al recepimento della stessa con il Codice privacy del 2003) ma anche perché lo stesso considerando n. 8 del regolamento concederebbe ampio spazio di manovra ai singoli stati. Ed evidentemente questa è l’interpretazione che ne è stata data dalla maggioranza degli Stati europeo, almeno quelli più in vista.
Dopo diversi dibattiti anche accessi nell’opinione pubblica (che in Italia non ci sono stati) molti Stati hanno optato per la trasfusione del regolamento comunitario all’interno del proprio ordinamento preservando i diritti nazionali: è il caso della Francia che ha mantenuto la monumentale norma del 1978, della Spagna, dell’Austria e anche dalla Gran Bretagna, al cui dibattito parlamentare hanno potuto avere accesso tutti i cittadini e all’interno del quale il governo si è trovato in minoranza per ben quattro volte alla Camera dei Lord.
L’Italia, nella seconda bozza facendo leva su questi ambiti e sulla riserva nazionale delineata dal considerando n. 8, nonché sulla legge delega, ha ipotizzato una via nazionale al Regolamento privacy, conservando prima di tutto in vita il Codice per la protezione dei dati personali. Legge nazionale o applicazione del regolamento insomma, quale sarebbe stata la scelta migliore?
Va detto che i tempi e il contesto comunitario sono molto diversi da quello nel quale è sorto il regolamento privacy, ovvero il 2012, per non parlare di quanto è stato approvato in Italia la riforma del titolo V della Costituzione (nel 2001).
La fede cieca nella normazione comunitaria, sulla prevalenza del diritto comunitario su quello nazionale e sulla giurisprudenza della Corte di Giustizia come fonte diretta di legge comincia dopo un trentennio a vacillare, ne sono un esempio le posizioni della corte Costituzionale nel caso Taricco.
Nonostante se ne fosse parlato più volte per la prima volta a partire dal 2014, la Corte Costituzionale con una pronuncia storica ovvero la sentenza n. 115 2018, depositata il 31 maggio scorso, afferma in maniera chiara l’esistenza di controlimiti nazionali alle norme comunitarie, ovvero alla prevalenza di principi di codificazione nazionale rispetto agli astratti principi comunitari, addirittura in riferimento all’art 325 Tfue, una norma di diretta applicazione nel nostro ordinamento.
Comincia in altre parole ad emergere in maniera chiara come il cd dialogo tra Corti (nella fattispecie la Corte di Giustizia Ue e la Corte Costituzionale) ovvero l’escamotage elegante per affermare che le Corti nazionali e comunitaria dicono cose diverse l’una dall’altra, stia entrando in crisi, o comunque stia incontrando una pausa di riflessione.
Ma ne sono esempio anche sentenze della Corte di Giustizia della Ue come quella del 7 agosto nella causa C-122/17, nella quale la Corte, nonostante il contrario avviso dell’Avvocato generale, ha stabilito che i Giudici nazionali non sono tenuti a disapplicare una norma nazionale contrastante con una direttiva comunitaria proprio in riferimento a quanto previsto dall’art 288 del Tfue, che stabilisce il valore, tra gli altri dei Regolamenti Comunitari. Sentenze impensabili solo fino a qualche anno fa.
L’attività legislativa dell’Unione non fa eccezione a questa tendenza, per rimanere nell’ambito della privacy il Regolamento E-privacy, ovvero la norma di dettaglio nel settore delle comunicazioni elettroniche, la cui presentazione è successiva a quella del regolamento generale sulla privacy e che ancora non è stata approvata, non riesce ad essere calendarizzata e discussa, a causa dei timori delle aziende europee di sfavorire i nascenti mercato dell’intelligenza artificiale e dell’Iot.
Gli Stati membri, dopo l’esempio del Gdpr, non sembrano disposti a varare una norma autoapplicantesi valevole per tutti gli Stati. Un mondo diverso rispetto agli ultimi trent’anni si sta affacciando tra le Corti Comunitarie e le istituzioni della vecchia Europa, si vedrà se si tratta di una crisi passeggera o di un qualcosa di molto più profondo.