Privacy protetta da sanzioni penali
È giunto finalmente al termine il percorso di adeguamento della normativa italiana a quella europea in materia di protezione dei dati personali. Il Consiglio dei ministri di mercoledì sera ha infatti approvato il testo definitivo del “decreto legislativo recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento europeo (UE) 2016/679”.
La normativa scritta vent’anni fa è stata riscritta. Il decreto appena approvato ha l’obiettivo di coordinare la normativa italiana con quella europea, dopo avere effettuato una verifica di compatibilità.
Le nuove disposizioni sostanziali sono state dettate dal legislatore europeo: ove il Regolamento detta nuove norme, le previgenti norme italiane sono sostituite. E il decreto dichiara la sostituzione e l’abrogazione. Per esempio, con riguardo alle disposizioni concernenti l’informativa, il consenso, la sicurezza.
Alcune norme italiane sono state modificate, per adeguarle alla nuova disciplina europea. Ad esempio, non essendo più richiesto il consenso per il trattamento dei dati sanitari per finalità di cura, sono state modificate le disposizioni in materia di sanità che lo prevedevano.
Il Regolamento europeo ha riscritto la normativa sulla protezione dei dati personali: ha abrogato la direttiva madre e sostanzialmente anche il Codice per la protezione dei dati personali italiano.
Il legislatore italiano alla fine ha scelto di mantenere la veste esteriore del Codice per la protezione dei dati personali italiano, che molto poco ha ormai dell’organicità che un codice dovrebbe avere. Molte disposizioni sono state abrogate perché sostituite da quelle del Regolamento europeo e molte altre sono state modificate per adeguarle a quelle del Regolamento. La tecnica normativa scelta non aiuta certamente la leggibilità che, di per sé, dovrebbe rappresentare un valore.
Il legislatore italiano ha scelto alla fine di inasprire il quadro sanzionatorio penale, nonostante le severe sanzioni amministrative previste dal Regolamento europeo (fino a 20 milioni di euro o al 4% del fatturato mondiale annuale lordo), di natura sostanzialmente penale.
Molto resta da fare al Garante per la protezione dei dati personali, che dovrà verificare la compatibilità delle autorizzazioni generali già emanate con il Gdpr ed aggiornarle. Dovrà inoltre promuovere l’emanazione delle regole deontologiche concernenti il trattamento dei dati personali in alcuni settori, quali ad esempio, lavoro, giornalismo, statistica e ricerca scientifica, coinvolgendo i soggetti interessati ed effettuando una consultazione pubblica.
Molto resta da fare anche agli operatori che dovranno promuovere l’emanazione di codici di settore in sostituzione del vigente codice di deontologia per i sistemi informativi gestiti da soggetti privati in materia di crediti al consumo e del vigente codice per il trattamento dei dati effettuato a fini commerciali.
Fonte: Il Sole 24 Ore del 10 agosto 2018 - Articolo a cura di Giusella Finocchiaro