Semplifica Magazine



17 Gennaio 2019

Armonizzazione del Gdpr, tra sanzioni penali, principio di responsabilita’ ed abrogazioni: nuovo framework da utilizare o groviglio inestricabile?

Il Regolamento come norma Europea è direttamente applicabile e non necessitante dell’armonizzazione integrale come nel caso della Direttiva, salvo il quadro sanzionatorio in sede amministrativa e penale, naturalmente demandato alla norma di armonizzazione interna.

Tale contesto giuridico ha imposto al Governo l’osservanza della legge delega Europea 2016-2017 che prescrive l’adeguamento del “sistema sanzionatorio penale e amministrativo vigente, alle disposizioni del GDPR con la previsione di sanzioni (penali e amministrative) che siano efficaci, dissuasive e proporzionate alla gravità della violazione delle sue disposizioni” per cui il legislatore delegato si è trovato di fronte alla necessità di valutare il ruolo da assegnare soprattutto alle sanzioni penali da inserire nell’emanando quadro sanzionatorio.

L’orientamento è per la  depenalizzazione dei reati di cui agli articoli 167 (trattamento illecito di dati) e 169 (misure di sicurezza) del Codice, mentre le sanzioni penali di cui all’articolo 168 (falsità nelle dichiarazioni al Garante) restano in vigore, ma saranno disciplinate da un nuovo decreto di prossima emanazione.

Il dibattito sorto all’indomani di questo approccio ha motivato ancora di più il legislatore domestico a mettere mano al quadro normativo al fine unico quanto essenziale di chiarire il ruolo del sistema penale e dei principi del diritto dell’Unione europea applicabili in questo contesto.

L’Italia, ha deciso per un regime misto fondato sia su sanzioni penali sia su sanzioni amministrative atteso che il GDPR, consente non impone agli Stati membri, di introdurre sanzioni penali in aggiunta a quelle amministrative già fissate dal Regolamento anche se quelli che decidano di imporre ulteriori sanzioni devono garantire che le stesse godano dei requisiti essenziali dell’effettività, proporzionalità e dissuasività. 

Emblematico, per cui degno di nota, è il caso C-617/10 – Åklagaren nella cui decisione la Corte ha chiarito che il principio del ne bis in idem non esclude a priori che uno Stato membro possa imporre per stesse violazioni, sanzioni amministrative e sanzioni penali lasciando implicitamente liberi gli Stati membri di adottare i due tipi di sanzioni alla luce di medesime violazioni del GDPR.

Invero l’emanazione del Regolamento Europeo è stata mossa dall’esigenza di unificazione e parametrazione delle diverse forme di tutela e protezione dei dati personali degli Stati membri all’interno dell’Unione a testimonianza del fatto che il legislatore UE ha inteso normare l’importante materia affidandola a regole concrete di respiro olistico ed applicazione ad ampio raggio al fine di avere, come focus, tutte le possibili forme di tutela dei dati essenzialmente ormai trattati con strumenti digitali.

Lo scenario appena delineato, determinato come detto dall’utilizzo da parte del Legislatore UE dello strumento normativo del Regolamento, lo ha indotto all’introduzione inedita ed inevitabile del principio dell’accountability, vera novità rispetto alla Direttiva (madre), che costituisce il nuovo fondamento teorico-pratico della tutela dei dati personali nell’Unione e nel nostro ordinamento, al precipuo fine di contenere al minimo il novero delle ipotesi degne di essere sanzionate e quindi orientare il titolare del trattamento a non imbattersi nelle predette criticità normative a valle di un trattamento dall’esito infausto.

Il decreto legislativo 10 agosto 2018, n. 101, emanato dal legislatore nazionale per armonizzare il Codice privacy al GDPR, all’art. 27, comma 1, lett. d) ha tagliato corto ed abrogato il “ben noto” allegato B (articoli da 33 a 36 del Codice della Privacy) e tutte le prescrizioni essenziali che il titolare o responsabile del trattamento dovevano adottare per tutelare al meglio i dati personali raccolti.

Quanto detto si traduce nell’elezione implicita del principio di accountability a framework dell’intero GDPR che dovrà essere continuamente presente nell’opera dei titolari del trattamento, in linea con i principi e le regole previste dalla norma comunitaria, colpevoli gli effetti che le nuove tecnologie hanno sul trattamento dei dati; nel contempo la domanda sorge spontanea: di fronte al data breach, vi sarà l’applicazione diretta del GDPR e di sanzioni amministrative, ma per quelle penali? La parola al legislatore interno tuttora al lavoro.

https://www.altalex.com/documents/news/2019/01/10/il-principio-di-accountability-e-abrogazione-allegato-b-codice-della-privacy

file:///C:/Users/user/Downloads/GarantePrivacy-1557184-1.7.pdf

Articolo dell’avv. Franco Delli Paoli