Se l’ambizione del legislatore europeo era di dotare l’Unione di uno strumento che regolasse l’intero corpus normativo di protezione dei dati personali, con beneficio della chiarezza del diritto e minori costi di compliance per le aziende crossborder, si può sin da subito tranquillamente affermare che l’obiettivo non è stato perseguito.

Lo conferma anche il d.lgs. 10 agosto 2018 n. 101, che non ha abrogato, bensì modificato il Codice della Privacy, che quindi resta in vigore, sia pure un poco asciugato. Inoltre vanno considerate anche le disposizioni del Codice della Privacy abrogate dal decreto n. 101 delle quali è tuttavia prorogata l’efficacia, gli allegati al Codice e tutta la normativa di cornice in materia di protezione di dati personali. A livello nazionale potranno essere inoltre introdotte misure legislative specifiche e di soft law, ove tale potere è conferito dalle disposizioni del GDPR.
Dunque, a dispetto dell’obiettivo, il GDPR rischia di costituire una cornice normativa, che ogni Stato europeo, se seguirà il nostro modello, potrà riempire anche in misura considerevole con prescrizioni valide solo nel suo territorio nazionale. E i costi di compliance non sono certo destinati a contrarsi per i gruppi multinazionali, e non solo.

Leggi l’articolo integrale qui.