GDPR: SUL FILO DI LANA ARRIVA IL DECRETO PER L'ESECUZIONE DI SANZIONI PENALI

Taglia il nastro di partenza la nuova normativa sulla privacy, che da oggi diventa pienamente operativa, nel rispetto della data indicata nel testo del Regolamento Ue 2016/679 (noto altresì con l’acronimo inglese GDPR- General Data Protection Regulation), che ne fissava al 25 maggio l’inizio dell’applicazione. 
Trattandosi di Regolamento, esso è immediatamente efficace nei confronti degli Stati membri - alla stregua delle loro stesse leggi - e, dunque, senza alcuna necessità di ratifica né decreti attuativi. 

Tuttavia esso si accompagna alla direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio del 27 aprile 2016 (relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio (termine di recepimento: 6 maggio 2018), in relazione alla quale la Legge 25 ottobre 2017, n. 163 (pubblicata in GU Serie Generale n. 259 del 6 novembre 2017), ha affidato al Governo la delega ad adottare il decreto legislativo di recepimento ed attuazione, ai fini dell’adeguamento e del coordinamento della normativa nazionale alle disposizioni in essa contenute. 

Il testo del citato decreto legislativo avrebbe dovuto essere approvato dalla Camera e dal Senato nonché da 5 ministeri (dell'Economia e delle finanze, dello Sviluppo Economico, della Pubblica Amministrazione, della Giustizia e degli Affari Esteri) entro il 21 maggio scorso e sembrava essere ormai sfumata la possibilità di una sua emanazione concomitante con l’entrata in vigore del Regolamento, tanto più che era già stato annunciata una proroga del termine d’adempimento della delega al prossimo 21 agosto. 

Uno slittamento dovuto a ragioni di opportunità, legate al bisogno di consentire una più attenta e ponderata valutazione dei contenuti dello schema del detto decreto legislativo, in particolare a seguito nelle numerose modifiche avanzate dal Garante della Privacy alla prima bozza approvata in prima lettura il 21 marzo 2018 dal Consiglio dei Ministri, in particolare in tema di sanzioni. 

Senonché, proprio nella giornata di ieri, alla vigilia dello start day del Regolamento, è giunto anche il decreto di coordinamento: sulla GU Serie Generale n.119 del 24 maggio 2018 è stato difatti pubblicato il D.Lgs. n. 51 del 18 maggio 2018, la cui entrata in vigore è prevista per il prossimo 8 giugno. 

Com’era stato annunciato, a seguito della revisione della prima stesura del decreto, nella quale erano state cancellate le sanzioni penali previste per il trattamento illecito dei dati (disciplinato dall’art. 167 del Codice della Privacy in vigore fino ad oggi), il testo appena pubblicato ripropone una Sezione Penale, prevedendo sanzioni da sei mesi a 18 mesi di reclusione per l’uso illecito di dati personali, da sei mesi a due anni se la condotta comporta comunicazione o diffusione dei dati e, in determinate condizioni, fino a tre anni, nonché la reclusione da sei mesi a tre anni per falsa dichiarazione di fronte al Garante della privacy. 

Il decreto non abroga totalmente il Codice della Privacy (D. Lgs. 196/2003), come prevedeva la prima stesura, ma lo armonizza al contenuto del suddetto Regolamento UE n. 2016/679, prevedendone pertanto solo una abrogazione parziale. 

Replicando le previsioni del Regolamento, il decreto conferma (art. 28) la figura del responsabile della protezione dei dati (“Il titolare del trattamento designa un responsabile della protezione dei dati. Il responsabile della protezione dei dati è designato in funzione delle qualità professionali, in particolare della conoscenza specialistica della normativa e delle prassi in materia di protezione dei dati, e della capacità' di assolvere i compiti di cui all'articolo 30. Può essere designato un unico responsabile della protezione dei dati per più' autorità' competenti, tenuto conto della loro struttura organizzativa e dimensione. Il titolare del trattamento pubblica i dati di contatto del responsabile della protezione dei dati e, salvo quanto previsto dall'articolo 37, comma 6, li comunica al Garante.”) definendone i compiti: Art. 30 “Il titolare del trattamento conferisce al responsabile della protezione dei dati almeno i seguenti compiti: a) informare il titolare del trattamento e i dipendenti che effettuano il trattamento degli obblighi derivanti dal presente decreto nonché' da altre disposizioni dell'Unione europea o dello Stato relative alla protezione dei dati; b) vigilare sull'osservanza del presente decreto e di altre disposizioni dell'Unione europea o dello Stato relative alla protezione dei dati nonché' delle previsioni di programma del titolare del trattamento in materia di protezione dei dati personali, compresi l'attribuzione delle responsabilità', la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo; c) fornire, se richiesto, un parere in merito alla valutazione d'impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell'articolo 23; d) cooperare con il Garante; e) fungere da punto di contatto per il Garante per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all'articolo 24, ed effettuare, ove necessario, consultazioni relativamente a qualunque altra questione.”

Il salvataggio dell’ultim’ora giunto con la pubblicazione del decreto ha impedito quella temuta “asimmetria” che si sarebbe evidenziata rispetto agli effetti che – nel pieno rispetto del termine del 25 maggio – da oggi conseguono all’entrata in vigore del Regolamento UE. 

L’oculato legislatore ha corretto il tiro per tempo, evitando che il difetto di norme di coordinamento comportasse che Pubblica Amministrazione, Autority e Autorità Giudiziaria dovessero di volta in volta trovare da sé il raccordo e il coordinamento con la precedente normativa per la parte non abrogata e, soprattutto, che, nelle prime prassi applicative, le interpretazioni potessero essere contrastanti e ingenerare ulteriore confusione. 

Una conseguenza non certo di poco conto ove si consideri che il maggior cambiamento contenuto nel GDPR riguarda l’accountability, o “responsabilizzazione” di titolari e responsabili, cioè “l’adozione di comportamenti attivi che dimostrino la concreta adozione di misure finalizzate alla corretta applicazione del regolamento privacy”.

Autore: Ester Annetta

 Informati S.r.l. – Riproduzione Riserva