Privacy, sospese le ispezioni a imprese e P.a. per 8 mesi

Ingresso soft nella privacy europea. Prevista una sospensione di otto mesi dell’attività ispettiva sull’adeguamento delle imprese e delle p.a. al Regolamento Ue sulla protezione dei dati 2016/679 (noto come Gdpr), operativo dal 25 maggio 2018 (Fonte web: Italia Oggi del 09.08.2018)

ngresso soft nella privacy europea. Prevista gradualità dell'attività ispettiva sull'adeguamento delle imprese e delle p.a. al Regolamento Ue sulla protezione dei dati 2016/679 (noto come Gdpr), operativo dal 25 maggio 2018. A stabilirlo è lo schema di decreto legislativo di armonizzazione della disciplina della privacy italiana al Regolamento Ue, approvato ieri dal Consiglio dei ministri in via definitiva. Ci dovrebbe essere, secondo il testo in entrata, un periodo, che dovrebbe essere di otto mesi, per l'attuazione a pieno regime dei poteri di indagine affidati al Garante per la protezione dei dati personali. D'altra parte in questa direzione convergevano sia le indicazioni dei pareri delle commissioni parlamentari (si vedano i documenti dell'atto non legislativo n. 22 di Camera e Senato), sia alcuni indirizzi espressi da Antonello Soro, presidente dell'Autorità Garante, nella sua relazione al Parlamento per l'anno 2017. La gradualità dell'attività ispettiva è stata anche indicata come strada da seguire da un provvedimento dello stesso Garante della privacy del 22 febbraio 2018, e ora l'impostazione più ragionevole pare avere trovato l'avallo in sede di legislazione delegata. Il provvedimento, giunto al traguardo, ha avuto una strada piuttosto tormentata. Un primo testo ha previsto la completa abrogazione del Codice della privacy (dlgs 196/2003) e una cancellazione integrale dei reati speciali in materia di privacy. Un secondo testo, completamente diverso, ha invece optato per la modifica, ancorché molto ampia del codice della privacy (che rimane vigente per le parti con modificate o abrogate espressamente).

Questo secondo testo ha ricevuto una pletora di osservazioni e richieste di revisione da parte delle commissioni parlamentari, anche sulla base di una nutrita serie di audizioni di esperti. Ma vediamo di tratteggiare alcuni dei punti del decreto legislativo, che attua la delega conferita dall'articolo 13 della legge 163/2017, secondo quanto verosimilmente approvato dal governo (e salvo modifiche dell'ultimo minuto).

Ispezioni. Le commissioni parlamentari hanno chiesto una sorta di moratoria per l'attività ispettiva e la conseguente attività sanzionatoria, sulla scia di impostazioni simili da parte di altri paesi europei (in particolare Francia). Questa impostazione pare essere stata accolta anche dal governo italiano, orientato ad accogliete la richiesta di gradualità nella operatività dei poteri di indagine finalizzati all'accertamento delle infrazioni e nella irrogazioni di sanzioni amministrative, il cui massimo edittale è decisamente pesante (due fasce: fino a 10 e fino a 20 milioni di euro). Spazio dunque a una moratoria di 8 mesi.

Pmi. Già il testo iniziale del decreto prevedeva la possibilità di uno statuto speciale per la privacy europea per le piccole e medie imprese. Ciò, peraltro, era inserito come indirizzo nello stesso Regolamenti Ue. Il testo definitivo è orientato a confermare la possibilità di semplificazioni, la cui individuazione dovrebbe essere affidata a provvedimenti del Garante della privacy.

Dati sanitari. Allo stesso Garante il provvedimento affida l'adozione di disposizioni specifiche per la disciplina dei dati relativi alla salute. Il regolamento Ue prevedeva un rinvio al legislatore italiano, che ha scelto di avvalersi di tale facoltà.

Sanzioni penali. Il decreto legislativo detta alcune fattispecie penali, non assorbite dal principio del «ne bis in idem» (divieto di punire uno stesso fatto con sanzioni penali e amministrative). Si tratta, tra le altre, della comunicazione e diffusione illecita di dati riferibili a un numero rilevante di persone e della acquisizione fraudolenta di dati. Per questi due reati il testo definitivo dovrebbe avere inserito il presupposto della «larga scala» tra gli elementi oggettivi dell'illecito. Gli altri reati riguardano il trattamento illecito e le falsità nelle dichiarazioni al Garante. Nel testo non dovrebbero esserci, invece, interventi sulle sanzioni amministrative (vi erano richieste di inserire minimi edittali), mentre si scrivono le regole del procedimento per l'irrogazione, con rinvio alla legge 689/1981.