Lo schema di decreto legislativo di armonizzazione della disciplina della privacy italiana al Regolamento Ue, approvato in via definitiva dal Consiglio dei ministri dell’8 agosto 2018, prevede gradualità dell’attività ispettiva sull’adeguamento delle imprese e delle pubbliche amministrazioni al GDPR.

Sembra infatti essere previsto un periodo di otto mesi per l’attuazione a pieno regime dei poteri di indagine affidati al Garante per la protezione dei dati personali. D’altra parte in questa direzione convergevano sia le indicazioni dei pareri delle commissioni parlamentari, sia alcuni indirizzi espressi dal presidente dell’Autorità Garante nella sua relazione al Parlamento per l’anno 2017, sia un provvedimento dello stesso Garante della privacy del 22 febbraio 2018.

Il citato decreto legislativo, ormai approvato in via definitiva, ha seguito un percorso piuttosto tormentato. Un primo testo, infatti, prevedeva l’abrogazione del vigente Codice della privacy (d. lgs 196/2003) e la cancellazione integrale dei reati speciali in materia di privacy. Un secondo testo, completamente diverso, ha invece optato per un’ampia modifica del codice della privacy che tuttavia rimane vigente per le parti con espressamente modificate o abrogate.

Gli aspetti che maggiormente possono interessare i lettori delle nostre news riguardano indubbiamente le ispezioni e le sanzioni penali.

Quanto alle ispezioni, il governo italiano ha accolto la richiesta delle commissioni parlamentari di una sorta di moratoria di 8 mesi per l’attività ispettiva e la conseguente attività sanzionatoria, sulla scia del modello francese. Sarà pertanto prevista una gradualità nella operatività dei poteri di indagine finalizzati all’accertamento delle infrazioni e nelle irrogazioni di sanzioni amministrative, il cui massimo edittale è distinto in due fasce: fino a 10 e fino a 20 milioni di euro.

Quanto alle sanzioni penali, il decreto legislativo detta alcune fattispecie penali, tra le quali la comunicazione e diffusione illecita di dati riferibili a un numero rilevante di persone e della acquisizione fraudolenta di dati. Per questi due reati è stato inserito il presupposto della «larga scala» tra gli elementi oggettivi dell’illecito. Gli altri reati riguardano il trattamento illecito e le falsità nelle dichiarazioni al Garante. Nel testo non dovrebbero esserci, invece, interventi sulle sanzioni amministrative.