Privacy, sanzioni penali al via ma c’è la sanatoria

Il quadro della nuova privacy si completa. Ieri il Consiglio dei ministri ha infatti approvato in via definitiva il decreto che coordina la vecchia normativa nazionale sulla protezione dei dati con il regolamento europeo diventato operativo il 25 maggio. Palazzo Chigi ha invece deciso di far slittare a settembre l’approvazione del disegno di legge sulla sicurezza dei professionisti della sanità, con l’inasprimento delle sanzioni nei casi di aggressione al personale.

Per quanto riguarda la privacy, c’era da capire quali parti del codice della riservatezza (il Dlgs 196 del 2003) potevano essere salvate perché compatibili con il nuovo sistema europeo, il cosiddetto Gdpr. Il decreto legislativo approvato ieri effettua questa opera di cesello, introducendo, al tempo stesso, alcune novità rispetto all’impianto del regolamento Ue.

Intanto, le sanzioni penali. Il regolamento ha operato una forte opera di depenalizzazione, con conseguente sensibile inasprimento delle sanzioni amministrative. Il decreto legislativo di coordinamento recupera, invece, alcune fattispecie penali - come il trattamento illecito di dati personali, la comunicazione e diffusione illecita, l’acquisizione fraudolenta, la falsità di dichiarazioni rese al Garante, l’inosservanza di provvedimenti dell’Autorità - prevedendo la reclusione anche fino a sei anni.

In tema di sanzioni, l’altra novità è rappresentata dalla possibilità della definizione agevolata del contenzioso davanti al Garante. Lo spartiacque è il 25 maggio: i procedimenti pendenti a quella data potranno essere chiusi pagando una somma pari a due quinti del minimo edittale. Si tratta di circa 1.200 fascicoli che, considerate le forze del Garante e le nuove incombenze arrivate con il regolamento, sono a forte rischio prescrizione. La “sanatoria” consentirebbe, invece, di incassare circa 5 milioni di euro, con una perdita per lo Stato di oltre 7 milioni (se venisse pagata la sanzione piena).

Previsti, inoltre, otto mesi di tregua nei confronti delle imprese. Le commissioni parlamentari, alle quali il decreto è stato sottoposto per il parere, avevano chiesto di rinunciare per quel periodo alle sanzioni, da sostituire con ammonimenti e prescrizioni. Si è ritenuto di non poter dar seguito integralmente al suggerimento - anche per non creare situazioni di impunità - e si è optato per un invito al Garante a tener conto in sede sanzionatoria, nei primi otto mesi, del fatto che gli operatori sono alle prese con una nuova disciplina. Riguardo alle piccole e medie imprese, l’Autorità dovrà, inoltre, studiare modalità semplificate di applicazione degli adempimenti previsti dal regolamento.

Il lavoro del Garante non finisce qui. Dovrà farsi carico, in tempi stretti, della revisione dei codici deontologici e delle autorizzazioni generali. Nel frattempo continueranno a essere applicati i vecchi atti.

Infine, rispetto al regolamento - che fissa la soglia a 16 anni - il decreto abbassa a 14 anni l’età a partire dalla quale il minore può fornire autonomamente il proprio consenso al trattamento dei dati personali da parte dei social o di altre attività della Rete.