La Presidenza del Consiglio dei Ministri ha inviato alla ragioneria generale dello Stato il Decreto di adeguamento al Regolamento Europeo sulla privacy (GDPR), in una bozza molto diversa da quella originariamente presentata.
La Ragioneria generale ne ha vistato la conformità e si attendono ora i necessari passi successivi.
Prima di commentare brevemente le nuove disposizioni una avvertenza: le bozze circolate in queste ore sono incomplete e non tengono conto delle modifiche apportate, soprattutto dal punto di vista economico, all’ultimo, ai fini della bollinatura da parte della Ragioneria dello Stato.
In generale la bozza di decreto appare profondamente rimaneggiata e “sconfessa” di fatto i due principi cardine seguiti in origine dal legislatore.
La prima differenza risiede nella scelta di non abrogare totalmente il decreto legislativo 196 del 2003, altrimenti noto come il codice privacy, che era stato alla base della scelta iniziale del legislatore, ma di armonizzare le norme italiane con il contenuto del GDPR, procedendo ad una abrogazione selettiva.
Appare qui evidente la preoccupazione del Governo Italiano di non collocarsi al di fuori della delega ricevuta per il decreto di adeguamento.
Risultava evidente anche a non tecnici la circostanza che nella delega al Governo non vi fosse in maniera esplicita l’abrogazione del Codice privacy e questo avrebbe dato origine a contestazioni e ricorsi, vanificando l’effetto “rivoluzionario” del GDPR.
La seconda novità riguarda la depenalizzazione generalizzata che sarebbe conseguita alla sostituzione tra sanzioni penali contenute nel codice privacy e le sanzioni amministrative.
Era questa la scelta adottata in prima battuta dal legislatore.
Qui si registra il sovvertimento di quel principio in quanto il legislatore non solo non ha abrogato l’art 167 del codice privacy, che prevede il trattamento illecito dei dati, ma ne ha riformulato le disposizioni aggiungendovi anche alcuni articoli che introducono fattispecie autonome che però sembrano strutturate come aggravanti della fattispecie prevista dall’art 167.
Si tratta dell’art 167 bis rubricato “Comunicazione e diffusione illecita di dati personali riferibili a un ingente rilevante numero di persone” e l’art 167 ter “Acquisizione fraudolenta di dati personali”.
La depenalizzazione che ne conseguirebbe in realtà si riferirebbe al generale trattamento illecito dei dati, essendo state strutturate le fattispecie ora risultanti come fatti specifici e non più come violazione generale legata ad un trattamento di dati ed a un danno che ne possa derivare.
Del pari l’irrogazione della sanzione amministrativa comporta la diminuzione della pena.
Queste ultime due modifiche ( le fattispecie specifiche e la diminuente di pena) sembrano rispondere da un lato alla critica circa la genericità della fattispecie penale che si sovrapporrebbe alle sanzioni amministrative determinandone un possibile “ne bis in idem” e dall’altro, in virtù della diminuente di pena derivante dalla irrogazione della sanzione amministrativa, sembrano salvare il doppio binario, eliminando anche in questo caso il pericolo del ne bis in idem sostanziale e procedurale.
Rimangono invece gravi dubbi sulle disposizioni introdotte in origine dal legislatore, e rimaste invariate anche nella seconda bozza, sulle sanzioni amministrative, per come sono state trasposte nel nostro ordinamento e sulla compatibilità tra queste ultime e la disciplina italiana in materia di sanzioni amministrative che, quantomeno la seconda bozza, diversamente dalla prima, richiama.
