di Antonio Ciccia Messia

Ingresso soft nella privacy europea. Prevista gradualità dell’attività ispettiva sull’adeguamento delle imprese e delle p.a. al Regolamento Ue sulla protezione dei dati 2016/679 (noto come Gdpr), operativo dal 25 maggio 2018. A stabilirlo è lo schema di decreto legislativo di armonizzazione della disciplina della privacy italiana al Regolamento Ue, approvato ieri dal Consiglio dei ministri in via definitiva. Ci dovrebbe essere, secondo il testo in entrata, un periodo, che dovrebbe essere di otto mesi, per l’attuazione a pieno regime dei poteri di indagine affidati al Garante per la protezione dei dati personali. D’altra parte in questa direzione convergevano sia le indicazioni dei pareri delle commissioni parlamentari (si vedano i documenti dell’atto non legislativo n. 22 di Camera e Senato), sia alcuni indirizzi espressi da Antonello Soro, presidente dell’Autorità Garante, nella sua relazione al Parlamento per l’anno 2017. La gradualità dell’attività ispettiva è stata anche indicata come strada da seguire da un provvedimento dello stesso Garante della privacy del 22 febbraio 2018, e ora l’impostazione più ragionevole pare avere trovato l’avallo in sede di legislazione delegata. Il provvedimento, giunto al traguardo, ha avuto una strada piuttosto tormentata. Un primo testo ha previsto la completa abrogazione del Codice della privacy (dlgs 196/2003) e una cancellazione integrale dei reati speciali in materia di privacy. Un secondo testo, completamente diverso, ha invece optato per la modifica, ancorché molto ampia del codice della privacy (che rimane vigente per le parti con modificate o abrogate espressamente). Questo secondo testo ha ricevuto una pletora di osservazioni e richieste di revisione da parte delle commissioni parlamentari, anche sulla base di una nutrita serie di audizioni di esperti. Ma vediamo di tratteggiare alcuni dei punti del decreto legislativo, che attua la delega conferita dall’articolo 13 della legge 163/2017, secondo quanto verosimilmente approvato dal governo (e salvo modifiche dell’ultimo minuto).
Ispezioni. Le commissioni parlamentari hanno chiesto una sorta di moratoria per l’attività ispettiva e la conseguente attività sanzionatoria, sulla scia di impostazioni simili da parte di altri paesi europei (in particolare Francia). Questa impostazione pare essere stata accolta anche dal governo italiano, orientato ad accogliete la richiesta di gradualità nella operatività dei poteri di indagine finalizzati all’accertamento delle infrazioni e nella irrogazioni di sanzioni amministrative, il cui massimo edittale è decisamente pesante (due fasce: fino a 10 e fino a 20 milioni di euro). Spazio dunque a una moratoria di 8 mesi.

Pmi. Già il testo iniziale del decreto prevedeva la possibilità di uno statuto speciale per la privacy europea per le piccole e medie imprese. Ciò, peraltro, era inserito come indirizzo nello stesso Regolamenti Ue. Il testo definitivo è orientato a confermare la possibilità di semplificazioni, la cui individuazione dovrebbe essere affidata a provvedimenti del Garante della privacy.
Dati sanitari. Allo stesso Garante il provvedimento affida l’adozione di disposizioni specifiche per la disciplina dei dati relativi alla salute. Il regolamento Ue prevedeva un rinvio al legislatore italiano, che ha scelto di avvalersi di tale facoltà.
Sanzioni penali. Il decreto legislativo detta alcune fattispecie penali, non assorbite dal principio del «ne bis in idem» (divieto di punire uno stesso fatto con sanzioni penali e amministrative). Si tratta, tra le altre, della comunicazione e diffusione illecita di dati riferibili a un numero rilevante di persone e della acquisizione fraudolenta di dati. Per questi due reati il testo definitivo dovrebbe avere inserito il presupposto della «larga scala» tra gli elementi oggettivi dell’illecito. Gli altri reati riguardano il trattamento illecito e le falsità nelle dichiarazioni al Garante. Nel testo non dovrebbero esserci, invece, interventi sulle sanzioni amministrative (vi erano richieste di inserire minimi edittali), mentre si scrivono le regole del procedimento per l’irrogazione, con rinvio alla legge 689/1981.

Gli altri provvedimenti. Il menu del Cdm convocato in tarda serata prevedeva l’ok definitivo ad altri tre decreti legislativi: Attuazione della direttiva (Ue) 2017/853 del Parlamento europeo e del Consiglio, del 17 maggio 2017, che modifica la direttiva 91/477/CEE del Consiglio, relativa al controllo dell’acquisizione e della detenzione di armi; Norme di adeguamento della normativa nazionale alle disposizioni del regolamento (Ue) n. 596/2014 del Parlamento europeo e del Consiglio, del 16 aprile 2014, relativo agli abusi di mercato e che abroga la direttiva 2003/6/CE del Parlamento europeo e del Consiglio e le direttive 2003/124/CE, 2003/125/CE e 2004/72/CE della Commissione; Attuazione della direttiva (Ue) 2016/2102 del Parlamento europeo e del Consiglio, del 26 ottobre 2016, relativa all’accessibilità dei siti web e delle applicazioni mobili degli enti pubblici. Esame preliminare invece per il dlgs di attuazione della direttiva (Ue) 2016/2370 del Parlamento europeo e del Consiglio, del 14 dicembre 2016, che modifica la direttiva 2012/34/Ue per quanto riguarda l’apertura del mercato dei servizi di trasporto nazionale di passeggeri per ferrovia e la governance dell’infrastruttura ferroviaria, per quello di attuazione della direttiva (Ue) 2016/1164 del 12 luglio 2016 del Consiglio recante norme contro le pratiche di elusione fiscale che incidono direttamente sul funzionamento del mercato interno e della direttiva (Ue) 2017/952 del 29 maggio 2017 del Consiglio recante modifica della direttiva (Ue) 2016/1164 relativamente ai disallineamenti da ibridi, per il decreto di attuazione della direttiva del Consiglio del 27 giugno 2016 n. 2016/1065 recante modifica della direttiva 2006/112/CE per quanto riguarda il trattamento dei buoni, Infine un disegno di legge (inizio esame) con le disposizioni in materia di sicurezza per gli esercenti le professioni sanitarie nell’ambito dell’esercizio delle loro funzioni.
© Riproduzione riservata

Fonte: