Il Governo, dopo aver acquisito il parere del Garante della Privacy (Provv. n. 312 del 22 maggio 2018), ha depositato lo schema di Decreto Legislativo, del 10 maggio 2018, che ha come oggetto il coordinamento delle disposizioni tra la precedente normativa sulla Privacy (D.Lgs. n. 196/2003) ed il nuovo Regolamento Europeo n. 2016/679 (GDPR), in vigore dal 25 maggio 2018.
L’obiettivo del Governo (delegato dal Parlamento tramite l’art. 13 della Legge n. 163 del 25 ottobre 2017) è quello, appunto, di coordinare le nuove regole con la vecchia normativa, considerando:
a) l’abrogazione di quelle norme della “vecchia” disciplina (D.Lgs. n. 196/2003) in contrasto con il GDPR;
b) la modifica ed il coordinamento delle norme della “vecchia” disciplina per permettere di attuare il GDPR;
c) l’adeguamento del sistema SANZIONATORIO amministrativo e penale, sia per fatti ante entrata in vigore del GDPR che post.
In altri termini, si devono capire quali disposizioni della “vecchia” Privacy sono compatibili con il Nuovo Regolamento Europeo (GDPR), specialmente in campo sanzionatorio.
*****
Orbene, il GDPR prevede due tipologie di SANZIONI:
-
Amministrative;
-
Penali.
Analizziamole considerando lo Schema Decreto Legislativo del Governo.
1. Sanzioni Amministrative
***
Violazioni Amministrative avvenute DOPO l’entrata in vigore del GDPR
Orbene, per tali sanzioni il GDPR ha previsto solamente la misura massima:
-
“fino a 10.000,00 euro o per le imprese, fino a 2% del fatturato mensile” (art. 83, comma 4, GDPR);
-
“fino a 20.000,00 euro o per le imprese, fino a 4% del fatturato mensile” (art. 83, comma 5, GDPR): – per le violazioni più gravi.
Quindi, l’intervento del Governo con tale Decreto Legislativo serve anche per definire il minimo di tali sanzioni amministrative.
Inoltre, tale Decreto Legislativo deve anche coordinare le violazioni amministrative avvenute prima dell’entrata in vigore del GDPR (25 maggio 2018).
***
Violazioni Amministrative avvenute PRIMA dell’entrata in vigore del GDPR
Nell’art. 18 dello Schema del Decreto Legislativo vi sono indicate due importanti disposizioni:
-
comma 1: per gli illeciti amministrativi avvenuti prima del 25 maggio 2018 (nello Schema del Decreto è indicato “21 marzo 2018”, ma nel Parere del Garante, già vi è indicato di cambiare la data con il “25 maggio 2018”) vi è una specie di CONDONO: con il pagamento dei 2/5 del minimo della sanzione amministrativa si estingue l’illecito. Il pagamento dovrà essere effettuato entro 90 giorni dal 25 maggio 2018;
-
comma 5: l’entrata in vigore del Decreto Legislativo del Governo interrompe tutti i termini di prescrizione, che per le sanzioni amministrative è di 5 anni.
2. Sanzioni Penali
***
Violazioni Penale avvenute DOPO l’entrata in vigore del GDPR
Il Decreto Legislativo del Governo introduce diversi reati, alcuni anche nuovi (abbiamo contato 8, principali, tipologie di reati relativi alla Privacy, si veda l’art. 15 dello Schema del Decreto Legislativo):
-
Trattamento illecito dei dati:
1). rischia la reclusione da 6 mesi ad, 1 anno e 6 mesi, chiunque arrechi semplice nocumento (sofferenza) al fine di recare profitto (art. 167, comma 1, del futuro Decreto Legislativo del Governo);
2). rischia da 1 anno a 3 anni chiunque tratti i dati personali in violazioni della norma sulla privacy, creando nocumento al fine di recare profitto (art. 167, comma 2, del futuro Decreto Legislativo del Governo);
3). rischia la reclusione da 1 anno a 3 anni chiunque trasferisca i dati personali in violazioni della norma sulla privacy, creando nocumento al fine di recare profitto (art. 167, comma 3, del futuro Decreto Legislativo del Governo);
-
Comunicazione e diffusione illecita dei dati a un numero rilevante di persone
4) rischia la reclusione da 1 anno a 6 anni il TITOLARE od il RESPONSABILE del trattamento che comunica o diffonde a un numero rilevante di persone, in violazioni della norma sulla privacy, i dati personali al fine di recare profitto (art. 167- bis, comma 1, del futuro Decreto Legislativo del Governo);
5) rischia la reclusione da 1 anno a 6 anni il TITOLARE od il RESPONSABILE del trattamento che comunica o diffonde SENZA CONSENSO ad un numero rilevante di persone, i dati personali al fine di recare profitto (art. 167-bis, comma 2, del futuro Decreto Legislativo del Governo);
-
Acquisizione fraudolenta di dati personali
6) rischia la reclusione da 1 anno a 4 anni chiunque acquista, con mezzi fraudolenti (con frode) i dati personali di un numero rilevante di persone al fine di recare profitto (art. 167-ter, comma 1, del futuro Decreto Legislativo del Governo);
-
False dichiarazioni al Garante ed interruzione dei suoi poteri
7) rischia la reclusione da 6 mesi a 3 anni chiunque, in un procedimento del Garante, dichiari o attesti falsità o produce atti o documenti falsi (art. 168, comma 1, del futuro Decreto Legislativo del Governo);
8) rischia la reclusione sino ad 1 anno chiunque, cagioni interruzione o turbativa al regolare procedimento del Garante (art. 168, comma 2, del futuro Decreto Legislativo del Governo).
***
Violazioni Penale avvenute PRIMA l’entrata in vigore del GDPR
Per gli illeciti penali commessi prima del 25 maggio 2018 si applicherà una specie di “depenalizazione” di tali illeciti.
Il Decreto Legislativo del Governo introduce gli artt. 24 e 25 che, trasformano tali reati compiuti fino al 25 maggio 2018 in illeciti amministrativi.
Inoltre, l’entità della pena di tali illeciti amministrativi sarà calcolata seguendo le disposizioni dell’art. 135 c.p.. Tale norma penale prevede il pagamento di €250,00 al giorno come criterio di ragguaglio alla pena detentiva penale.
Infine, l’art. 25, comma 5, del Decreto Legislativo del Governo prevede che la somma calcolata, secondo i parametri dell’art. 135 c.p., sarà corrisposta nella misura della metà.
***
Infine, si precisa che, non essendo stati recepiti gli obbligatori pareri delle Commissioni parlamentari speciali, il Decreto Legislativo del Governo, che doveva essere adottato entro il 21 maggio 2018, entrerà in vigore il 21 agosto 2018.
Precisamente la delega conferito dal Parlamento al Governo per coordinare le diverse normative sulla Privacy, come sopra visto, è stata posticipata al 21 agosto 2018.