Dopo essere stato approvato in Agosto, accompagnato da aspettative disattese su un presunto rinvio nell’applicazione del GDPR, il 4 Settembre è stato pubblicato nella Gazzetta Ufficiale del 10 agosto il Decreto Legislativo 101/2018 contenente le disposizioni per l’adeguamento della normativa nazionale ai principi del Regolamento europeo 2016/679. In questo testo abbozziamo le prime riflessioni e considerazioni.

1. Le sanzioni amministrative
   Il Decreto dovrebbe coordinare le previgenti norme in materia di protezione dei dati personali di cui al D.Lgs. 196/2003, con il nuovo regolamento entrato in vigore nel Maggio 2016 e al quale ogni destinatario avrebbe dovuto adeguarsi entro lo scorso 25 Maggio, data da cui già trova piena applicazione. Il nostro legislatore non è stato certo tempestivo; le norme di coordinamento avrebbero dovuto essere emanate quantomeno contestualmente all’entrata in vigore della normativa europea per evitare sovrapposizioni e problemi interpretativi. Appare pertanto logica, anche se non certo in linea con il dettato europeo, la “raccomandazione” al Garante di essere flessibile e “clemente” nell’erogazione di sanzioni perlomeno fino ad aprile 2019, anche al fine di consentire ai destinatari non solo di adeguarsi completamente alla nuova disciplina, ma anche comprendere che cosa sopravviva di quella precedente e come si coordinino. Coerente in questo senso è anche la possibilità concessa all’interessato di ridurre a 2/5 del minimo edittale stabilito dal D.lgs. 196/2003 le sanzioni per le violazioni antecedenti al 25 maggio 2018, per cercare di abbattere il contenzioso in essere.
   
   
2. Diritto a procedere
   Peraltro, a fronte di alcune disposizioni opportune, altre pongono fondati dubbi sulla loro ragionevolezza, ad iniziare dall’art. 13 g) che, innovando l’art. 144 del D.lgs. 196/2003, prevede che "chiunque può rivolgere una segnalazione che il Garante può valutare anche ai fini dell’emanazione dei provvedimenti di cui all’articolo 58 del Regolamento” mentre, in precedenza, solo l’interessato poteva procedere. Evidente come si espongano così al rischio di essere prese di mira da associazioni di categoria anche estremistiche nei loro scopi e modi di agire (anche a fronte di infrazioni minime o comunque gestibili) sia le aziende che gli enti pubblici. 
   
   

3. Abrogazioni
   Il D.lgs 101 prevede numerose abrogazioni di fatto perfettamente inutili in quanto, già con l’entrata in vigore del Regolamento 2016/679, secondo il principio della gerarchia delle fonti, quelle norme dovevano semplicemente essere disapplicate. Sono salvi i codici di condotta (ora rinominati “Regole deontologiche”), contenuti nell’Allegato A del “vecchio” Codice Privacy, ma che dovranno essere riveduti e corretti alla luce delle norme europee e riproposti all’esame del Garante.

4. Sanzioni penali
   Cambiamenti anche per quanto riguarda le sanzioni penali, che vedono una nuova disciplina decisamente più afflittiva nei confronti di coloro che violino la nuova normativa. I previgenti articoli 167 e 168 vengono sostituiti inserendo, tra l’altro, figure di reato precedentemente non previste quali la “Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala” (Art. 167 bis) e la “Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala” Art. 167 ter) dovuto probabilmente alla crescente preoccupazione per i cyber attacchi a strutture che trattano grandi quantità di dati personali. Si ritiene opportuno riportare integralmente nella sua nuova formulazione il nuovo art. 167 ai sensi del quale il Pubblico Ministero oltre ad esercitare l’azione penale, deve coordinarsi con il Garante, e nel quale si prevede che le eventuali sanzioni emesse in sede amministrativa vadano ad incidere anche su quelle penali, pur non fornendo alcun elemento, neppure indicativo, sulle quantificazioni.