GDPR: un primo schema di decreto legislativo per l’adeguamento nazionale
L’8 febbraio 2018 è stato approvato dal Consiglio dei Ministri il decreto legislativo in esame preliminare che, in attuazione dell’art. 13 della L. 25 ottobre 2017, n. 163, introduce disposizioni per l’adeguamento nazionale al GDPR. Dal 25 maggio 2018 il Regolamento UE 2016/679 riguardante il trattamento dei dati personali nonché la libera circolazione di questi, verrà applicato direttamente in tutti gli stati membri dell’UE.
A due mesi dalla data l’Italia compie il primo passo verso l’adeguamento: il futuro decreto abrogherà il vigente Codice in materia di protezione dei dati personali (D.lgs. 30 giugno 2003, n. 196) con effetto dal 25 maggio 2018, rendendo la nuova disciplina in materia rappresentata principalmente dalle disposizioni del GDPR, immediatamente applicabili.
Perché é necessario l’adeguamento nazionale?
Secondo il Consiglio dei Ministri l’attuale Codice della Privacy è incompatibile con il GDPR, regolamento che contiene norme per la maggior parte direttamente applicabili al contesto nazionale e che costituiranno dunque il regime primario interno per la protezione e la libera circolazione dei dati personali delle persone fisiche. Le motivazioni sottese alla volontà di abrogare il vigente codice sono molte. In particolare, la scelta del legislatore italiano di seguire la strada della semplificazione normativa: la quantità di norme odierne da abrogare all’interno del Codice della Privacy sarebbe stata eccessiva e i testi da consultare in futuro sarebbero stati tre. Secondariamente, il Regolamento EU 2016/679 è basato sul concetto di accountability (responsabilizzazione): il titolare del trattamento ha l’obbligo di adottare e dimostrare di aver adottato misure appropriate ed efficaci per proteggere i dati che tratta.
L’approccio in materia di protezione dei dati personali è dunque cambiato in maniera sostanziale ed è ora dominato dal concetto di responsabilizzazione: per questo motivo è stato deciso di integrare il GDPR all’interno del contesto italiano attraverso il già citato decreto legislativo. L’interpretazione delle fattispecie farà capo quindi a due testi normativi, dove il decreto legislativo svolgerà la funzione di completamento e attuazione (comparabile ad un codice o ad un testo unico).
Quali sanzioni sono previste dal decreto?
Il decreto legislativo sostituirà le sanzioni penali con sanzioni amministrative previste dal Regolamento europeo, prevedendone l’applicazione anche a violazioni commesse anteriormente al 25 maggio 2018 nel caso in cui il procedimento penale non sia stato definito con sentenza. In caso di illecito trattamento dei dati personali, il Titolo VI, Parte I, “Mezzi di ricorso, sanzioni ed illeciti penali” chiarisce i diritti dell’interessato davanti all’Autorità Garante per la protezione dei dati personali che, entro 9 mesi, dovrà pronunciarsi in merito al reclamo. Ogni cittadino ha inoltre la possibilità di effettuare una segnalazione al Garante per l’utilizzo illecito dei propri od altrui dati personali. A questa figura viene quindi affidato il ruolo principale sulla materia, abilitata ad adottare provvedimenti correttivi ed a irrogare sanzioni a seguito di procedimento nei confronti di soggetti privati, autorità pubbliche o organismi pubblici.
Due sono gli articoli depenalizzati dal futuro decreto legislativo: l’art. 167 (trattamento illecito di dati) e l’art. 169 (misure di sicurezza). Quest’ultimo, stante le radicali modifiche alle “misure minime” presenti all’art. 33 del Codice Privacy, hanno imposto l’applicazione della sola sanzione amministrativa. Per quanto riguarda un possibile inadempimento di queste ultime, nel decreto si fa riferimento all’esistente art. 388ter del codice penale “Mancata esecuzione di sanzioni pecuniarie”, norma che pare già deterrente sufficiente.