Dopo averlo caratterizzato con alcuni numeri, addentriamoci nel nuovo Codice della privacy italiano. Cominciamo ad esaminare il primo dei nuovi articoli introdotti dal legislatore, chiedendo scusa in anticipo al lettore per i necessitati riferimenti a commi, articoli ed all’intreccio di norme.
L’art. 2‑ter (trascureremo il 2‑bis che non introduce nulla di nuovo, indicando il Garante per la Protezione dei Dati Personali quale autorità di controllo) è dedicato a riempire uno spazio lasciato dal GDPR al legislatore del singolo Stato membro.
Infatti, la lettera c), comma 1 dell’art. 6 del GDPR dice che il trattamento è lecito se “è necessario per adempiere un obbligo legale al quale è soggetto il titolare del trattamento”. Andava specificato, quindi, a quali atti concreti associare la locuzione “obbligo legale”. L’art. 2‑ter precisa, quindi, che per obbligo legale si intende “esclusivamente una norma di legge o, nei casi previsti dalla legge, di regolamento”. Questo vuol dire che Stato, Regioni, Comuni se vogliono affidare la base giuridica dei loro trattamenti all’obbligo legale devono normare con legge o con proprio regolamento; sempre che la potestà regolamentare, nella materia specifica che si sta trattando (asili nido, strumenti urbanistici, tributi, ecc.), sia consentita dalla legge.
Il secondo comma dell’art. 2‑ter si infila, invece, nel terzo comma dell’art. 6 del GDPR che consente agli Stati membri di disciplinare la base giuridica dell’”interesse pubblico” (base giuridica diversa dall’obbligo legale). In particolare, il secondo comma dell’art. 2‑ter stabilisce che la comunicazione di dati personali tra soggetti pubblici può avvenire solo se prevista da norma di legge o di regolamento. In mancanza di questi presupposti, due soggetti pubblici che vogliano scambiarsi dati personali devono comunicarlo al Garante ed attendere l’esito dell’istruttoria della durata massima di 45 giorni.
Quindi, siamo in presenza di limiti pubblici, fissati per fornire più garanzie agli interessati.