Dettaglio news
PRIME OSSERVAZIONI SUL D. Lgs. 101 / 2018: l'adeguamento in Italia al GDPR


giovedì 13 settembre 2018
Avv. Gianni Dell’Aiuto





Dopo essere stato approvato in Agosto, accompagnato da aspettative disattese su un presunto rinvio nell’applicazione del GDPR, il 4 Settembre è stato pubblicato nella Gazzetta Ufficiale del 10 agosto il Decreto Legislativo 101/2018 contenente le disposizioni per l’adeguamento della normativa nazionale ai principi del Regolamento europeo 2016/679. In questo testo abbozziamo le prime riflessioni e considerazioni.

      1. Le sanzioni amministrative
        Il Decreto dovrebbe coordinare le previgenti norme in materia di protezione dei dati personali di cui al D.Lgs. 196/2003, con il nuovo regolamento entrato in vigore nel Maggio 2016 e al quale ogni destinatario avrebbe dovuto adeguarsi entro lo scorso 25 Maggio, data da cui già trova piena applicazione. Il nostro legislatore non è stato certo tempestivo; le norme di coordinamento avrebbero dovuto essere emanate quantomeno contestualmente all’entrata in vigore della normativa europea per evitare sovrapposizioni e problemi interpretativi. Appare pertanto logica, anche se non certo in linea con il dettato europeo, la “raccomandazione” al Garante di essere flessibile e “clemente” nell’erogazione di sanzioni perlomeno fino ad aprile 2019, anche al fine di consentire ai destinatari non solo di adeguarsi completamente alla nuova disciplina, ma anche comprendere che cosa sopravviva di quella precedente e come si coordinino. Coerente in questo senso è anche la possibilità concessa all’interessato di ridurre a 2/5 del minimo edittale stabilito dal D.lgs. 196/2003 le sanzioni per le violazioni antecedenti al 25 maggio 2018, per cercare di abbattere il contenzioso in essere.

      2. Diritto a procedere
        Peraltro, a fronte di alcune disposizioni opportune, altre pongono fondati dubbi sulla loro ragionevolezza, ad iniziare dall’art. 13 g) che, innovando l’art. 144 del D.lgs. 196/2003, prevede che "chiunque può rivolgere una segnalazione che il Garante può valutare anche ai fini dell’emanazione dei provvedimenti di cui all’articolo 58 del Regolamento” mentre, in precedenza, solo l’interessato poteva procedere. Evidente come si espongano così al rischio di essere prese di mira da associazioni di categoria anche estremistiche nei loro scopi e modi di agire (anche a fronte di infrazioni minime o comunque gestibili) sia le aziende che gli enti pubblici. 

      3. Abrogazioni
        Il D.lgs 101 prevede numerose abrogazioni di fatto perfettamente inutili in quanto, già con l’entrata in vigore del Regolamento 2016/679, secondo il principio della gerarchia delle fonti, quelle norme dovevano semplicemente essere disapplicate. Sono salvi i codici di condotta (ora rinominati “Regole deontologiche”), contenuti nell’Allegato A del “vecchio” Codice Privacy, ma che dovranno essere riveduti e corretti alla luce delle norme europee e riproposti all’esame del Garante.

      4. Sanzioni penali
        Cambiamenti anche per quanto riguarda le sanzioni penali, che vedono una nuova disciplina decisamente più afflittiva nei confronti di coloro che violino la nuova normativa. I previgenti articoli 167 e 168 vengono sostituiti inserendo, tra l’altro, figure di reato precedentemente non previste quali la “Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala” (Art. 167 bis) e la “Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala” Art. 167 ter) dovuto probabilmente alla crescente preoccupazione per i cyber attacchi a strutture che trattano grandi quantità di dati personali. Si ritiene opportuno riportare integralmente nella sua nuova formulazione il nuovo art. 167 ai sensi del quale il Pubblico Ministero oltre ad esercitare l’azione penale, deve coordinarsi con il Garante, e nel quale si prevede che le eventuali sanzioni emesse in sede amministrativa vadano ad incidere anche su quelle penali, pur non fornendo alcun elemento, neppure indicativo, sulle quantificazioni. 

«Art. 167
(Trattamento illecito
di dati)."
 

1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per se' o per altri profitto ovvero di arrecare danno all'interessato, operando in violazione di quanto disposto dagli articoli 123, 126 e 130 o dal provvedimento di cui all'articolo 129 arreca nocumento all'interessato, è punito con la reclusione da sei mesi a un anno e sei mesi. 

2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per se' o per altri profitto ovvero di arrecare danno all'interessato, procedendo al trattamento dei dati personali di cui agli articoli 9 e 10 del Regolamento in violazione delle disposizioni di cui agli articoli 2-sexies e 2-octies, o delle misure di garanzia di cui all'articolo 2-septies ovvero operando in violazione delle misure adottate ai sensi dell'articolo 2-quinquiesdecies arreca nocumento all'interessato, è punito con la reclusione da uno a tre anni.

3. Salvo che il fatto costituisca più grave reato, la pena di cui al comma 2 si applica altresì a chiunque, al fine di trarre per se' o per altri profitto ovvero di arrecare danno all'interessato, procedendo al trasferimento dei dati personali verso un paese terzo o un'organizzazione internazionale al di fuori dei casi consentiti ai sensi degli articoli 45, 46 o 49 del Regolamento, arreca nocumento all'interessato.

4. Il Pubblico ministero, quando ha notizia dei reati di cui ai commi 1, 2 e 3, ne informa senza ritardo il Garante.

5. Il Garante trasmette al pubblico ministero, con una relazione motivata, la documentazione raccolta nello svolgimento dell’attività di accertamento nel caso in cui emergano elementi che facciano presumere la esistenza di un reato. La trasmissione degli atti al pubblico ministero avviene al più tardi al termine dell’attività di accertamento delle violazioni delle disposizioni di cui al presente decreto.

6. Quando per lo stesso fatto è stata applicata a norma del presente codice o del Regolamento a carico dell'imputato o dell'ente una sanzione amministrativa pecuniaria dal Garante e questa è stata riscossa, la pena è diminuita.»;

 




CONDIVIDI QUESTA PAGINA!