Ultime battute per il provvedimento che integra le norme europee in tema di riservatezza, già approvato in via preliminare dal Governo
Si avvicina il 25 maggio, data fatidica non solo per gli addetti ai lavori ma per ogni cittadino dell’Unione europea. Entreranno in vigore in quella data, infatti, le nuove disposizioni comunitarie in materia di tutela dei dati personali (Regolamento Ue 679/2016, noto come GDPR, General Data Protection Regulation), norme che sostituiranno in buona parte il vigente Codice della riservatezza di cui al d.lgs. n. 196/2003.
Accanto a tale previsione, il 22 marzo scorso, il Consiglio dei Ministri aveva dato il via libera alla bozza di decreto necessario per adeguare la normativa nazionale alle disposizioni contenute nel GDPR. L’approvazione finale del testo è ormai questione di giorni. L’ultima versione, più volte cesellata dai tecnici di Palazzo Chigi, è già all’attenzione della Ragioneria generale dello Stato, e rimane in attesa del giudizio delle Commissioni parlamentari (speciali, a meno di colpi di scena nei prossimi giorni), del Garante della privacy e dei cinque dicasteri coinvolti: Giustizia, Esteri, Pubblica amministrazione, Sviluppo Economico ed Economia. Una corsa contro il tempo e il cui epilogo non è affatto scontato.
Dalle prime bozze che LabParlamento ha potuto visionare si evidenziano notevoli differenze tra quanto approvato a fine marzo e quanto, invece, confezionato in questi giorni a Palazzo Chigi. Innanzitutto la scelta di non procedere più ad un’abrogazione totale dell’attuale Codice privacy (come originariamente previsto nello schema approvato), ma di operare una cassazione «selettiva», armonizzando le norme oggi esistenti con le nuove regole di matrice europea, probabilmente per non inciampare nel rischio di un eccesso di delega.
La seconda novità riguarda il dietrofront in materia di sanzioni, in un primo momento previste solo amministrative e, adesso, anche penali.
In tale ambito ricompaiono le sanzioni già esistenti e afferenti al trattamento illecito dei dati personali (con una reclusione da 6 a 18 mesi) o la falsità nelle dichiarazioni e notificazioni al Garante (con una pena detentiva prevista da sei mesi a tre anni). Accanto a quanto già in essere, si affacciano anche fattispecie del tutto nuove: tintinnio di manette per chi comunica e diffonde illecitamente dati riferibili a un rilevante numero di persone («ingente», nella prima bozza), con un reclusione da uno a sei anni, e per chi acquisisce in maniera disonesta informazioni personali per trarne profitto (sanzionata con una pena da uno a quattro anni). Tra le pieghe del nuovo testo, confermato l’aumento dell’organico del Garante privacy a 162 unità e la possibilità di uso dei social network per i minori di 16 anni, a condizione che il consenso sia prestato dai genitori.
Tutto pronto, dunque, per il gran debutto, anche se l’adozione finale rimane una corsa ad ostacoli. A complicare le cose l’approssimarsi di un’altra data, quella del 21 maggio, giorno in cui scadrà la delega concessa dal Parlamento all’esecutivo per l’emanazione delle regole nazionali in tema di riservatezza. E da più parti si pensa che per rispettare tale scadenza si possa buttare via il bambino insieme all’acqua sporca.
Lo temono soprattutto le imprese, adesso più che mai come nave senza nocchiero. Da più parti si è (inutilmente) invocato un «milleproroghe» ad hoc, cosa che avrebbe dato alle aziende maggior tempo per l’adeguamento alle nuove prescrizioni. Cosa impossibile da realizzare quando c’è Bruxelles di mezzo, per il quale chi ha tempo non aspetti tempo. La situazione appare alquanto problematica. Da un’indagine di Ernst & Young risulta che più della metà delle imprese italiane (52%) non ha ancora provveduto ad implementare quanto richiesto dalle nuove norme sulla privacy, contro una media Ue del 40%.
Il rischio più temuto dal tessuto imprenditoriale, stando così le cose, è quello di non avere un unico corpo normativo a cui far riferimento in materia di riservatezza, con l’effetto di una «corsa alla norma», una faticosa ricerca della giusta regola da applicare al caso specifico a dispetto della semplificazione promessa: norme europee, nazionali di armonizzazione, decisioni del Garante e codici etici regoleranno ognuno un pezzo di processo.
Quale sarà l’effetto finale di questo groviglio normativo, però, non è dato ancora sapersi. E non certo per una questione di privacy.
Scarica il testo dello schema di Decreto
[ipt_fsqm_form id=”61″]