Il regolamento europeo n. 679/16 (GDPR) sarà applicato operativamente dal prossimo 25 maggio 2018.
Ritengo utile comprendere come si approntano gli Stati membri nell’accogliere questa importante novità legislativa in tema di protezione dei dati personali poiché nonostante non sia necessaria una norma interna di recepimento sono molti gli spazi interpretativi nei quali i singoli Stati potranno o dovranno intervenire. Per tale motivo riporto una sorta di mappa dell’adeguamento al GDPR in modo da fornire lo status quo in Europa e di comprendere a che punto siamo.
Molti Stati infatti stanno lavorando all’aggiornamento della normativa interna per adeguarla al GDPR. Altri invece forniscono suggerimenti. Altri tacciono.
Il GDPR in ogni caso è un evento epocale cui nessuno Stato membro potrà sottrarsi.
(Se interessati a questi argomenti vi invito a far parte del gruppo “Data Protection’s corner” in linkedin).
| Stato membro UE | Status quo sul GDPR |
| Austria | Una proposta legislativa di maggio 2017 (“Datenschutz-Anpassungsgesetz 2018”) propone l’aggiornamento dell’attuale normativa sulla privacy (la c.d. “DSG 2000” o “Bundesgesetz über den Schutz personenbezogener Daten Datenschutzgesetz 2000”) applicabile sia nel settore pubblico che nel privato, anche per allinearla al GDPR. Oltre a questa norma specifica altre due norme di occupano di trattamento dati personali: una in tema di lavoro e l’altra per le telecomunicazioni. Le nuove disposizioni dovrebbero entrare in vigore dal 25 maggio 2018. |
| Belgio | Non appaiono esservi novità legislative rispetto all’attuale norma (legge sulla vita privata) ma la CPVP (Commissione per la protezione della vita privata) ha pubblicato sul proprio sito diverse guide ed informazioni sul GDPR. |
| Bulgaria | Non appaiono esservi novità legislative rispetto all’attuale norma (Law for Protection of Personal Data), corredata da un regolamento in tema di misure minime di sicurezza del 2013. |
| Croazia | Non appaiono esservi novità legislative rispetto all’attuale norma (The Act on Personal Data Protection) del 2003 corredata da un regolamento sulle misure minime di sicurezza. Al momento nessuna indicazione sul GDPR. |
| Danimarca | La normativa attuale è l’atto sulla protezione dei dati personali (Lov om behandling af personoplysninger – APPD) ma vi sono molte normative di settore (es. lavoro, salute, affari finanziari, telecomunicazioni, cookies, ecc.) che regolano il trattamento di dati personali. Il Ministero della Giustizia ha pubblicato di recente un “Libro bianco” per riassumere le normative speciali danesi in tema di protezione dei dati personali in rapporto al GDPR. E’ atteso in autunno 2017 il disegno di legge che integri questo documento. |
| Estonia | La normativa attuale è il Codice di procedura di infrazione. Non appaiono esservi aggiornamenti in merito al GDPR. |
| Finlandia | La normativa attuale (PDA o Personal Data Act (L. 523/1999) o henkilötietolaki) va incastonata insieme a diverse normative locali (quali ad es. il Codice dell’information society) che hanno rango superiore. Un apposito gruppo di lavoro nominato dal Ministro della Giustizia finlandese ha di recente stabilito che la norma vada rinnovata in funzione del GDPR. La nuova proposta di legge verrà presentata probabilmente in autunno 2017. |
| Francia | La normativa storica (L. 6 gennaio 1978) è stata aggiornata con tre nuove norme in tema di privacy nel 2016 ma verrà aggiornata secondo quanto previsto dal Ministero della Giustizia da una nuova proposta di legge per adeguarla al GDPR. |
| Germania | E’ stata approvata una norma volta ad integrare il GDPR per cambiare lo storico atto federale sulla protezione dei dati personali. L’associazione delle 16 autorità di vigilanza sulla privacy tedesche (Düsseldorfer Kreis) ha stilato guide nelle quali si chiarisce che il riferimento alle norme tedesche per quanto riguarda il consenso verrà comunque mantenuto. |
| Grecia | La legge 2472/1997 sul trattamento dei dati personali al momento appare essere immutata. L’autorità Garante (Ελληνική Αρχή Προστασίας Προσωπικών Δεδομένων) negli anni ha emanato circa una quarantina di decisioni in materia di privacy. Non vi sono indicazioni ufficiali alcune in merito al GDPR. |
| Irlanda | Esiste l’atto sulla protezione dei dati personali del 1988 in versione aggiornata nel 2003 ed una proposta di legge che mira ad abolirli per creare una nuova versione normativa aggiornata al GDPR. In maggio 2017 è già stato pubblicato un nuovo programma (General Scheme of data protection bill 2017). |
| Italia | L’Autorità Garante ha diffuso alcuni riassunti on line sulle principali novità del GDPR ma non è stata resa nota alcuna volontà di emanare nuove disposizioni normative in merito al momento. La normativa attuale è il D.Lgs. 196/03. |
| Lettonia | Esiste una norma sulla protezione dei dati personali del 2014 corredata da altri regolamenti monotematici (es. documenti elettronici, campo medicale, biometria, ecc.). Non sono noti aggiornamenti in vista del GDPR. |
| Lituania | La norma sulla protezione dei dati personali del 1996, già più volte aggiornata nel tempo dovrebbe essere cambiata. L’autorità ha emanato diverse linee guida. Esiste un progetto di legge di giugno 2017 per l’adeguamento al GDPR. |
| Lussemburgo | La normativa sulla protezione dei dati personali (del 2002 più volte aggiornata) dovrebbe essere modificata o abrogata in vista di una proposta di legge che la renda conforme al GDPR. |
| Malta | Il “Data Protection Act” (Cap. 440 delle leggi di Malta) corredato da diversi regolamenti al momento non prevede aggiornamenti in vista del GDPR. |
| Paesi Bassi | E’ stata prevista una proposta di legge (Uitvoeringswet Algemene verordening gegevensbescherming) per attuare il GDPR con una stima di aumento del carico di lavoro per casi giurisprudenziali per un valore di 200mila euro annui. Il Garante locale ha messo a disposizione un servizio telefonico per dubbi sull’applicazione del GDPR.
L’attuale norma è ancora quella del 2001 (Wet bescherming persoonsgegevens o Wbp), che dovrebbe essere mantenuta nei contenuti non toccati dal GDPR. |
| Polonia | L’atto di protezione dei dati personali (PDPA) è del 1997 a cui vanno aggiunti regolamenti in date successive. Il Ministro della digitalizzazione sta approntando una proposta normativa per aggiornare la norma al GDPR. |
| Portogallo | E’ stato insediato un gruppo di lavoro per l’adeguamento normativo al GDPR con un’apposita ordinanza. La stessa dovrà essere presentata entro fine 2017. La normativa attuale sulla protezione dei dati personali è la Legge 67/98. |
| Repubblica Ceca | Esiste un’attenzione dell’autorità garante ceca al GDPR. L’attuale norma (Atto 101/2000 sulla protezione dei dati personali) resterà in vigore laddove il GDPR non si esprime. |
| Regno Unito | Nonostante la Brexit il GDPR si applicherà nel Regno Unito secondo le indicazioni governative di dicembre 2016. Inoltre il Governo ha anche emanato una dichiarazione di intenti (statement) nel luglio 2017 in merito alla proposta di modificare le attuali norme per renderle conformi al GDPR (come aveva preannunciato nel proprio discorso anche la Regina d’Inghilterra nel mese di giugno 2017). L’attuale norma era ancora il “Data Protection Act” del 1998. E’ previsto che il disegno di legge venga pubblicato nel mese di settembre 2017. |
| Romania | Diverse norme regolano la privacy in Romania ma è stato dichiarato nel sito dell’Autorità Garante che il Paese adotterà il GDPR a partire dal 25 maggio 2018. |
| Slovacchia | La norma attuale sulla protezione dei dati personali (“Atto n. 122/2013 aggiornato Atto n. 84/2014”) ed è stata previsto un progetto per una nuova legge a protezione dei dati personali (in vista dell’adeguamento al GDPR su suggerimento del Garante). |
| Slovenia | Il Personal Data Protection Act (ZVOP-1) è la legge in vigore. Il Ministero della Giustizia si occuperà presumibilmente (fonte: https://www.ip-rs.si/) dell’adeguamento al GDPR occupandosi di un nuovo progetto di legge (Zakon o varstvu osebnih podatkov). |
| Spagna | La norma attuale è la L.15/99 sulla protezione dei dati personali correlata al Decreto reale 1720/2007, con innumerevoli risoluzioni ed istruzioni. Il Garante ha pubblicato una serie di linee guida per adeguarsi al GDPR. Ci si attende un progetto di legge che riformi il testo normativo adeguandolo al GDPR (secondo quanto annunciato dal Garante). |
| Svezia | La Legge sui dati personali svedese (1998: 204) e l’Ordinanza sui dati personali (1998: 1191) dovrebbero essere abrogate e sostituite da una nuova legge nazionale completa sulla protezione dei dati (secondo quanto previsto dall’apposito gruppo di lavoro voluto dal Governo sul GDPR). |
| Ungheria | La normativa storica è costituita dall’Atto CXII del 2011 sul diritto all’autodeterminazione informativa e alla libertà di informazione che sono corredati da diversi regolamenti settoriali (es. campo medico, banche dati sui cittadini, ecc.).
Esiste un gruppo di lavoro che si occupa del GDPR richiesto dal Garante ungherese al Ministero della Giustizia tra Ungheria e Macedonia avviato ad inizio 2017. |
