La mappa dell’adeguamento al GDPR: lo status quo in Europa

Il regolamento europeo n. 679/16 (GDPR) sarà applicato operativamente dal prossimo 25 maggio 2018.

Ritengo utile comprendere come si approntano gli Stati membri nell’accogliere questa importante novità legislativa in tema di protezione dei dati personali poiché nonostante non sia necessaria una norma interna di recepimento sono molti gli spazi interpretativi nei quali i singoli Stati potranno o dovranno intervenire. Per tale motivo riporto una sorta di mappa dell’adeguamento al GDPR in modo da fornire lo status quo in Europa e di comprendere a che punto siamo.

Molti Stati infatti stanno lavorando all’aggiornamento della normativa interna per adeguarla al GDPR. Altri invece forniscono suggerimenti. Altri tacciono.

Il GDPR in ogni caso è un evento epocale cui nessuno Stato membro potrà sottrarsi.

(Se interessati a questi argomenti vi invito a far parte del gruppo “Data Protection’s corner” in linkedin).

Stato membro UE Status quo sul GDPR
Austria Una proposta legislativa di maggio 2017 (“Datenschutz-Anpassungsgesetz 2018”) propone l’aggiornamento dell’attuale normativa sulla privacy (la c.d. “DSG 2000” o “Bundesgesetz über den Schutz personenbezogener Daten Datenschutzgesetz 2000”) applicabile sia nel settore pubblico che nel privato, anche per allinearla al GDPR. Oltre a questa norma specifica altre due norme di occupano di trattamento dati personali: una in tema di lavoro e l’altra per le telecomunicazioni. Le nuove disposizioni dovrebbero entrare in vigore dal 25 maggio 2018.
Belgio Non appaiono esservi novità legislative rispetto all’attuale norma (legge sulla vita privata) ma la CPVP (Commissione per la protezione della vita privata) ha pubblicato sul proprio sito diverse guide ed informazioni sul GDPR.
Bulgaria Non appaiono esservi novità legislative rispetto all’attuale norma (Law for Protection of Personal Data), corredata da un regolamento in tema di misure minime di sicurezza del 2013.
Croazia Non appaiono esservi novità legislative rispetto all’attuale norma (The Act on Personal Data Protection) del 2003 corredata da un regolamento sulle misure minime di sicurezza. Al momento nessuna indicazione sul GDPR.
Danimarca La normativa attuale è l’atto sulla protezione dei dati personali (Lov om behandling af personoplysninger – APPD) ma vi sono molte normative di settore (es. lavoro, salute, affari finanziari, telecomunicazioni, cookies, ecc.) che regolano il trattamento di dati personali. Il Ministero della Giustizia ha pubblicato di recente un “Libro bianco” per riassumere le normative speciali danesi in tema di protezione dei dati personali in rapporto al GDPR. E’ atteso in autunno 2017 il disegno di legge che integri questo documento.
Estonia La normativa attuale è il Codice di procedura di infrazione. Non appaiono esservi aggiornamenti in merito al GDPR.
Finlandia La normativa attuale (PDA o Personal Data Act (L. 523/1999) o henkilötietolaki) va incastonata insieme a diverse normative locali (quali ad es. il Codice dell’information society) che hanno rango superiore. Un apposito gruppo di lavoro nominato dal Ministro della Giustizia finlandese ha di recente stabilito che la norma vada rinnovata in funzione del GDPR. La nuova proposta di legge verrà presentata probabilmente in autunno 2017.
Francia La normativa storica (L. 6 gennaio 1978) è stata aggiornata con tre nuove norme in tema di privacy nel 2016 ma verrà aggiornata secondo quanto previsto dal Ministero della Giustizia da una nuova proposta di legge per adeguarla al GDPR.
Germania E’ stata approvata una norma volta ad integrare il GDPR per cambiare lo storico atto federale sulla protezione dei dati personali. L’associazione delle 16 autorità di vigilanza sulla privacy tedesche (Düsseldorfer Kreis) ha stilato guide nelle quali si chiarisce che il riferimento alle norme tedesche per quanto riguarda il consenso verrà comunque mantenuto.
Grecia La legge 2472/1997 sul trattamento dei dati personali al momento appare essere immutata. L’autorità Garante (Ελληνική Αρχή Προστασίας Προσωπικών Δεδομένων) negli anni ha emanato circa una quarantina di decisioni in materia di privacy. Non vi sono indicazioni ufficiali alcune in merito al GDPR.
Irlanda Esiste l’atto sulla protezione dei dati personali del 1988 in versione aggiornata nel 2003 ed una proposta di legge che mira ad abolirli per creare una nuova versione normativa aggiornata al GDPR. In maggio 2017 è già stato pubblicato un nuovo programma (General Scheme of data protection bill 2017).
Italia L’Autorità Garante ha diffuso alcuni riassunti on line sulle principali novità del GDPR ma non è stata resa nota alcuna volontà di emanare nuove disposizioni normative in merito al momento. La normativa attuale è il D.Lgs. 196/03.
Lettonia Esiste una norma sulla protezione dei dati personali del 2014 corredata da altri regolamenti monotematici (es. documenti elettronici, campo medicale, biometria, ecc.). Non sono noti aggiornamenti in vista del GDPR.
Lituania La norma sulla protezione dei dati personali del 1996, già più volte aggiornata nel tempo dovrebbe essere cambiata. L’autorità ha emanato diverse linee guida. Esiste un progetto di legge di giugno 2017 per l’adeguamento al GDPR.
Lussemburgo La normativa sulla protezione dei dati personali (del 2002 più volte aggiornata) dovrebbe essere modificata o abrogata in vista di una proposta di legge che la renda conforme al GDPR.
Malta Il “Data Protection Act” (Cap. 440 delle leggi di Malta) corredato da diversi regolamenti al momento non prevede aggiornamenti in vista del GDPR.
Paesi Bassi E’ stata prevista una proposta di legge (Uitvoeringswet Algemene verordening gegevensbescherming) per attuare il GDPR con una stima di aumento del carico di lavoro per casi giurisprudenziali per un valore di 200mila euro annui. Il Garante locale ha messo a disposizione un servizio telefonico per dubbi sull’applicazione del GDPR.

L’attuale norma è ancora quella del 2001 (Wet bescherming persoonsgegevens o Wbp), che dovrebbe essere mantenuta nei contenuti non toccati dal GDPR.

Polonia L’atto di protezione dei dati personali (PDPA) è del 1997 a cui vanno aggiunti regolamenti in date successive. Il Ministro della digitalizzazione sta approntando una proposta normativa per aggiornare la norma al GDPR.
Portogallo E’ stato insediato un gruppo di lavoro per l’adeguamento normativo al GDPR con un’apposita ordinanza. La stessa dovrà essere presentata entro fine 2017. La normativa attuale sulla protezione dei dati personali è la Legge 67/98.
Repubblica Ceca Esiste un’attenzione dell’autorità garante ceca al GDPR. L’attuale norma (Atto 101/2000 sulla protezione dei dati personali) resterà in vigore laddove il GDPR non si esprime.
Regno Unito Nonostante la Brexit il GDPR si applicherà nel Regno Unito secondo le indicazioni governative di dicembre 2016. Inoltre il Governo ha anche emanato una dichiarazione di intenti (statement) nel luglio 2017 in merito alla proposta di modificare le attuali norme per renderle conformi al GDPR (come aveva preannunciato nel proprio discorso anche la Regina d’Inghilterra nel mese di giugno 2017). L’attuale norma era ancora il “Data Protection Act” del 1998. E’ previsto che il disegno di legge venga pubblicato nel mese di settembre 2017.
Romania Diverse norme regolano la privacy in Romania ma è stato dichiarato nel sito dell’Autorità Garante che il Paese adotterà il GDPR a partire dal 25 maggio 2018.
Slovacchia La norma attuale sulla protezione dei dati personali (“Atto n. 122/2013 aggiornato Atto n. 84/2014”) ed è stata previsto un progetto per una nuova legge a protezione dei dati personali (in vista dell’adeguamento al GDPR su suggerimento del Garante).
Slovenia Il Personal Data Protection Act (ZVOP-1) è la legge in vigore. Il Ministero della Giustizia si occuperà presumibilmente (fonte: https://www.ip-rs.si/) dell’adeguamento al GDPR occupandosi di un nuovo progetto di legge (Zakon o varstvu osebnih podatkov).
Spagna La norma attuale è la L.15/99 sulla protezione dei dati personali correlata al Decreto reale 1720/2007, con innumerevoli risoluzioni ed istruzioni. Il Garante ha pubblicato una serie di linee guida per adeguarsi al GDPR. Ci si attende un progetto di legge che riformi il testo normativo adeguandolo al GDPR (secondo quanto annunciato dal Garante).
Svezia La Legge sui dati personali svedese (1998: 204) e l’Ordinanza sui dati personali (1998: 1191) dovrebbero essere abrogate e sostituite da una nuova legge nazionale completa sulla protezione dei dati (secondo quanto previsto dall’apposito gruppo di lavoro voluto dal Governo sul GDPR).
Ungheria La normativa storica è costituita dall’Atto CXII del 2011 sul diritto all’autodeterminazione informativa e alla libertà di informazione che sono corredati da diversi regolamenti settoriali (es. campo medico, banche dati sui cittadini, ecc.).

Esiste un gruppo di lavoro che si occupa del GDPR richiesto dal Garante ungherese al Ministero della Giustizia tra Ungheria e Macedonia avviato ad inizio 2017.

By | 2018-05-17T14:16:42+00:00 settembre 1st, 2017|Diritto e fisco|Commenti disabilitati su La mappa dell’adeguamento al GDPR: lo status quo in Europa

About the Author:

Paola Zambon è Dottore commercialista in Italia, chartered accountant in Inghilterra e Galles, expert comptable in Lussemburgo.