Secondo quanto stabilito dallo schema di decreto legislativo di armonizzazione della disciplina della privacy italiana al Regolamento Ue, approvato ieri dal Consiglio dei ministri in via definitiva, ci dovrebbe essere un periodo di otto mesi per l’attuazione a pieno regime dei poteri di indagine affidati al Garante per la protezione dei dati personali.

Come riporta ItaliaOggi è prevista quindi una certa gradualità dell’attività ispettiva sull’adeguamento delle imprese e delle p.a. al Regolamento Ue sulla protezione dei dati 2016/679 (noto come Gdpr), operativo dal 25 maggio 2018.

Un primo testo ha previsto la completa abrogazione del Codice della privacy e una cancellazione integrale dei reati speciali in materia di privacy. Un secondo testo, completamente diverso, ha invece optato per la modifica, ancorché molto ampia del codice della privacy. Questo secondo testo ha ricevuto diverse osservazioni e richieste di revisione da parte delle commissioni parlamentari.

Di seguito i punti prinicipali del decreto legislativo, che attua la delega conferita dall’articolo 13 della legge 163/2017.

Ispezioni

Le commissioni parlamentari hanno chiesto una sorta di moratoria per l’attività ispettiva e la conseguente attività sanzionatoria, sulla scia di impostazioni simili da parte di altri paesi europei. Questa impostazione pare essere stata accolta anche dal governo italiano, orientato ad accogliete la richiesta di gradualità nella operatività dei poteri di indagine finalizzati all’accertamento delle infrazioni e nella irrogazioni di sanzioni amministrative, il cui massimo edittale è decisamente pesante (due fasce: fino a 10 e fino a 20 milioni di euro). Spazio dunque a una moratoria di 8 mesi.

Pmi

Già il testo iniziale del decreto prevedeva la possibilità di uno statuto speciale per la privacy europea per le piccole e medie imprese. Ciò, peraltro, era inserito come indirizzo nello stesso Regolamenti Ue. Il testo definitivo è orientato a confermare la possibilità di semplificazioni, la cui individuazione dovrebbe essere affidata a provvedimenti del Garante della privacy.

Dati sanitari

Allo stesso Garante il provvedimento affida l’adozione di disposizioni specifiche per la disciplina dei dati relativi alla salute. Il regolamento Ue prevedeva un rinvio al legislatore italiano, che ha scelto di avvalersi di tale facoltà.

Sanzioni penali

Il decreto legislativo detta alcune fattispecie penali, non assorbite dal principio del «ne bis in idem» (divieto di punire uno stesso fatto con sanzioni penali e amministrative). Si tratta, tra le altre, della comunicazione e diffusione illecita di dati riferibili a un numero rilevante di persone e della acquisizione fraudolenta di dati. Per questi due reati il testo definitivo dovrebbe avere inserito il presupposto della «larga scala» tra gli elementi oggettivi dell’illecito. Gli altri reati riguardano il trattamento illecito e le falsità nelle dichiarazioni al Garante. Nel testo non dovrebbero esserci, invece, interventi sulle sanzioni amministrative (vi erano richieste di inserire minimi edittali), mentre si scrivono le regole del procedimento per l’irrogazione, con rinvio alla legge 689/1981.

Commenta su Facebook