Con il decreto attuativo del DGPR approvato lo scorso marzo il governo uscente depenalizza gli illeciti in materia di privacy.
È trapelata, come un vero e proprio leak, qualche informazione e una bozza dello schema del decreto attuativo del GDPR che il Consiglio dei Ministri uscente ha approvato, in via preliminare, lo scorso 21 marzo e che depenalizza gli illeciti in materia di privacy. Una bozza che non è stata confermata (ma nemmeno smentita) dal Governo e che, anche se dovesse esserne accertata la bontà, dovrà comunque passare attraverso le “forche caudine” del parere del Garante della Privacy prima di attraversare il consueto iter parlamentare del passaggio alle due Camere. In ogni caso, il testo definitivo del Decreto è atteso per il 19 maggio, o poco prima, tale termine è infatti inderogabilmente fissato dalla Legge di delegazione europea 2016/2017 del 25 ottobre 2017, n. 163. Data la vicinanza con la scadenza del 25 maggio, data in cui il GDPR diventerà applicabile (ricordiamo, infatti, che contrariamente quanto si pensa, il GDPR è già in vigore da quasi due anni), diventa sempre più probabile l’ipotesi secondo cui il Garante italiano, in analogia con altre Authority europee (ad esempio quella francese) possa annunciare un periodo di tolleranza di qualche mese, in cui non saranno rigorosamente ed “automaticamente” sanzionate le inadempienze ai nuovi obblighi che dovessero essere rilevate a seguito di un’ispezione.
Ma in cosa consistono le principali novità che, se confermate, dovrebbero rappresentare l’ossatura della nuova legge sulla privacy? Vediamole brevemente:
DEPENALIZZAZIONE.
La prima novità che balza all’occhio è l’abolizione delle sanzioni penali: mentre l’attuale Codice della Privacy prevede sanzioni penali fino ad un massimo di tre anni di reclusione, la mancata applicazione del GDPR, in Italia, non sarà più un reato ed esporrà i trasgressori unicamente a sanzioni di natura amministrativa (la cui entità, però, al momento non è ancora stata precisata). Non si tratta di una novità rivoluzionaria: già oggi, in Europa, sono pochissimi i paesi che applicano sanzioni penali per illeciti in materia di privacy. Il GDPR, peraltro, non li contempla, perciò il decreto è pienamente compatibile con il regolamento europeo. Tale aspetto potrebbe essere visto come un depotenziamento della normativa ovvero come la condivisibile volontà di concentrarsi su aspetti sostanziali e sul forte potere deterrente di sanzioni amministrative particolarmente rilevanti.
ABROGAZIONE DEL CODICE.
Il Regolamento 679/2016 comporta l’abrogazione della “vecchia” Direttiva Europea 95/46/CE, di cui l’attuale Codice (D.Lgs 196 03 Privacy) rappresenta un recepimento. Ma l’abrogazione della direttiva non comporta l’automatica abrogazione delle leggi dei singoli Paesi Membri che ne rappresentavano un recepimento. In senso stretto, GDPR e D.Lgs 196 03 Privacy avrebbero potuto continuare a coesistere, definendo però compiutamente l’ambito di applicazione dei due dettati normativi. In realtà, però, il Governo sembrerebbe aver optato, per semplicità, per abrogare completamente il vecchio Codice che, perciò, alla mezzanotte del 24 maggio cesserebbe di avere qualunque efficacia giuridica. Si tratterebbe di una decisione con conseguenze importanti perché comporterebbe anche la completa abrogazione di tutti i provvedimenti emanati dal Garante della Privacy dal 2004 ad oggi. I Provvedimenti del Garante, infatti, hanno valore di “legge” per effetto dell’art. 155 del Codice che, essendo abrogato esso stesso, fa crollare, come un castello di carte, tutti i provvedimenti che da esso dipendono. Il legislatore, peraltro, ne è pienamente consapevole al punto di aver incluso degli ampi “brani” dei provvedimenti più importanti (ad esempio il provvedimento in materia di contrasto allo spam) direttamente nel testo del Decreto salvando nella sostanza i provvedimenti più cruciali.
SEMPLIFICAZIONE.
Sono ammessi i trattamenti di categorie particolari di dati personali, che sono stati identificati chiaramente, laddove tale trattamento fosse necessario per motivi di interesse pubblico rilevante. Tra questi sta suscitando molte polemiche il trattamento di dati sanitari. Anche in questo caso dovremo aspettare il compimento dell’iter legislativo; tuttavia, ci pare che tale approccio possa sburocratizzare e focalizzare l’attenzione su aspetti sostanziali, ovvero che tali trattamenti siano proporzionati alla finalità perseguita; che sia salvaguardata l’essenza del diritto alla protezione dei dati; che siano previste misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato. Che il nostro Paese abbia una particolare predilezione per la burocrazia è noto ma ci chiediamo se sia meglio formalizzare il consenso a un trattamento in accordo a un’informativa ben fatta o sia maggiormente rilevante mantenere un’elevata qualità della assistenza sanitaria prescindendo da un aspetto formale.
Il Decreto de quo si sviluppa poi affrontando il trattamento dei dati in alcune particolari tipologie di trattamenti, tra cui vale la pena ricordare, tra le altre, quelle in ambito giudiziario, assicurativo, dell’istruzione, del giornalismo e dell’accesso civico ai documenti amministrativi. Sono solo alcuni dei casi più intuitivi in cui il diritto alla protezione dei dati deve essere contemperato con altri diritti di pari rilevanza.
Resta da vedere, naturalmente, come sarà il Decreto nella sua forma definitiva, ma già oggi le modifiche previste sembrano destinate a sconvolgere il quadro normativo, in materia di protezione dei dati personali, del nostro Paese. Nel frattempo osserviamo una ridda di commenti, spesso contrari, da parte di tanti che vedono minacciate le proprie opportunità di business oltre che le libertà fondamentali delle persone.
Alla stesura di questo articolo hanno partecipato Roberto Maggi e Paolo Cupola.
