CON L’ADEGUAMENTO DELLA NORMATIVA NAZIONALE AL GDPR NUOVI POTERI AL GARANTE E SANZIONI PENALI IN CASO DI ILLECITI
In Italia si torna a parlare di GDPR (General Data Protection Regulation), il Regolamento europeo sulla protezione dei dati personali pienamente applicabile in tutti i Paesi membri dell’Unione Europea già dal 25 maggio 2018. Il 4 settembre è stato infatti pubblicato in Gazzetta Ufficiale il decreto di adeguamento della normativa nazionale alle disposizioni del Regolamento UE (provvedimento in vigore dal 19 settembre 2018).
Un quadro normativo complesso per la privacy in Italia
Con tale decreto di adeguamento al GDPR il Consiglio dei Ministri ha scelto di rinnovare le norme del vecchio Codice Privacy, contenuto nel decreto legislativo n. 193 del 2003 e successive modificazioni.
Ne consegue quello che in un articolo apparso su Agenda Digitale Franco Pizzetti, professore ordinario di Diritto Costituzionale dell’Università di Torino, considera un quadro normativo complesso poiché composto dal GDPR, dal nuovo decreto di adeguamento e dal Codice Privacy del 2003 che lo stesso decreto va a rinnovare e modificare. Completa il quadro il decreto legislativo n. 51 del 18 maggio 2018, importante ai fini di una corretta interpretazione e applicazione del decreto di adeguamento al GDPR.
È quindi probabile che nei prossimi mesi un sistema normativo così articolato finisca per creare difficoltà dal punto di vista interpretativo e applicativo e dia luogo a ricorsi che, applicando quanto previsto dall’art. 80 del GDPR, sarà possibile presentare sia al Garante Privacy che all’Autorità giudiziaria ordinaria.
Nuovi poteri e compiti del Garante Privacy
L’art. 14 del decreto attuativo, introducendo il nuovo art 154-ter nel vecchio Codice Privacy, legittima il Garante Privacy ad agire in giudizio nei confronti dei titolari o responsabili del trattamento che abbiano violato le disposizioni in materia di dati personali.
Più in generale, nell’attuale quadro normativo i poteri del Garante Privacy risultano rafforzati e si estendono alla possibilità di adottare regole deontologiche, provvedimenti a carattere generale e misure di garanzia. Ciò favorisce la flessibilità e l’adeguamento della normativa a innovazioni tecnologiche che potranno intervenire in futuro.
Spetta quindi al Garante il compito di adottare provvedimenti di carattere generale e misure di garanzia in svariati settori, per trovare un punto di equilibrio tra diritto alla protezione dei dati personali e perseguimento dell’interesse pubblico, tra lo stesso diritto e le ragioni della ricerca scientifica o la necessità di non limitare senza ragione la libera circolazione dei dati sfavorendo lo sviluppo dell’economia digitale.
Nuove sanzioni penali in tema di protezione dei dati personali
Nell’adeguare la normativa nazionale in tema di privacy l’Italia ha deciso di avvalersi della facoltà, concessa dal GDPR, di prevedere sanzioni penali per alcune tipologie di violazione dei dati personali. Sanzioni penali che vanno quindi ad aggiungersi a quelle amministrative già previste dal Regolamento UE.
Così, ad esempio, si è deciso di mantenere le sanzioni penali previste dall’art. 167 del vecchio Codice Privacy per trattamenti illeciti di dati, in violazione di alcune specifiche e limitate disposizioni normative, come quelle riguardanti i requisiti sul trattamento dei dati sensibili e sul trasferimento internazionale di dati. Al testo dell’articolo 167 il decreto di adeguamento aggiunge poi fattispecie di danno e di violazioni non lucrative, che si sommano così a quelle mosse dalla volontà di trarre profitto
Una nuova fattispecie di reato introdotta dal decreto di adeguamento all’art. 167-bis del Codice Privacy punisce la comunicazione e la diffusione di dati personali oggetto di trattamento su larga scala, in violazione di certi requisiti normativi, quali il consenso dell’interessato (là dove richiesto). Il considerando 91 del GDPR indica come “trattamenti su larga scala” quelli che “mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato”.
Resta punibile con la reclusione da 6 mesi a 3 anni chiunque attesti o dichiari il falso nei confronti del Garante Privacy nonché, da tre mesi a due anni, chiunque, essendovi tenuto, non osservi un provvedimento adottato dal Garante Ma a tal riguardo l’articolo 168 del Codice della Privacy viene integrato con una nuova fattispecie di reato, che punisce con la reclusione, fino a un anno, “chiunque intenzionalmente cagiona un’interruzione o turba la regolarità di un procedimento dinanzi al Garante o degli accertamenti dallo stesso svolti”.
19 settembre 2018