Il 25 maggio entra in vigore il regolamento per la protezione dei dati personali (ormai noto con l’acronimo GDPR), da quando lo abbiamo letto, noi professionisti del settore, abbiamo capito che pur essendo il Regolamento pienamente (e automaticamente) efficace, c’erano alcuni interventi per cui l’Autorità di Controllo (il Garante) non poteva bastare, perché serviva un’azione del legislatore (che, ovviamente non può essere scavalcato).
Il legislatore nazionale è chiamato in causa innanzitutto dall’art. 84 del Regolamento:
Articolo 84 – Sanzioni
1. Gli Stati membri stabiliscono le norme relative alle altre sanzioni per le violazioni del presente regolamento in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie a norma dell’articolo 83. Tali sanzioni devono essere effettive, proporzionate e dissuasive.
2. Ogni Stato membro notifica alla Commissione le disposizioni di legge adottate ai sensi del paragrafo 1 al più tardi entro 25 maggio 2018, e comunica senza ritardo ogni successiva modifica.
In altre parole, viene imposto agli stati dell’UE di adottare delle sanzioni penali per le violazioni più gravi del GDPR, esattamente come già prevede il d.lg. 196/2003. Tuttavia, la traslazione dal Codice Privacy al Regolamento non può essere una operazione automatica, infatti queste sono le figure di reati previste ad oggi in tema:
Di queste norme, nessuna viene facilmente trasportata da un regime ad un altro perché, se non altro, cambiano tutti i riferimenti normativi (e quindi bisogna fare un intervento redazionale non automatico), ma in più alcune necessitano di un vero e proprio adattamento.
In concreto (ma in maniera non esaustiva) questo vuol dire che:
Indice
Il trattamento illecito prevede una condotta, che, in linea generale, è in effetti facilmente trasportata salvo la necessità di variare alcuni aspetti e riflettere al fatto che le norme nel 2003 la cui violazione era ritenuta così grave da fare scattare l’illecito penale, nel 2018 non hanno più la gravità invocata, nell’ambito della moderna società dell’informazione.
Decisamente è necessario un intervento di adattamento, perché la notificazione non è più prevista e perché il Garante è oggi una delle Autorità di controllo competenti ad agire per verifiche e controlli.
L’illecito penale riguardante le misure di sicurezza dovrà essere completamente variato, infatti su questo punto il GDPR ha eliminato le “Misure minime di sicurezza” sostituendo la doverosità delle stesse, non già dipendenti da un Allegato Tecnico (oggi l’Allegato B), ma da una Analisi del rischio elaborata dal titolare dei trattamenti.
Se prima era quindi semplice collegare l’esistenza di un illecito penale al mancato rispetto di una norma cogente, oggi è difficile valutare che le misure di sicurezza sono così inefficaci da fare scattare una condotta penalmente rilevante, visto che l’efficacia o meno dipende da un documento elaborato autonomamente dal titolare.
Ancora una volta l’illecito non è penalmente adattabile per via automatica, perché la struttura delle Autorità di controllo e l’emanazione di norme specifiche è profondamente diversa nel passaggio verso il Regolamento.
È questa la norma, forse, più facilmente trasportabile nel nuovo regime perché dipende dallo Statuto del Lavoratori (non modificato dal Regolamento UE) e perché ancora oggi è vietato (e penalmente rilevante) controllare l’attività dei lavoratori a distanza e fare indagini sulle loro opinioni politiche.