Logo del Senato della Repubblica Italiana

Legislatura 18ª - Commissione speciale per l'esame degli atti urgenti presentati dal Governo - Resoconto sommario n. 13 del 17/05/2018

IN SEDE CONSULTIVA SU ATTI DEL GOVERNO 

 

Schema di decreto legislativo recante disposizioni per l'adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (n. 22)

(Parere alla Ministra per i rapporti con il Parlamento, ai sensi dell'articolo 13 della legge 25 ottobre 2017, n. 163. Esame e rinvio) 

 

Il relatore PERILLI (M5S) illustra lo schema di decreto legislativo in esame, predisposto sulla base della delega contenuta nell'articolo 13 della legge di delegazione europea 2016-2017. Si tratta di un provvedimento particolarmente complesso dal punto di vista tecnico, che riveste una notevole importanza in quanto volto ad adeguare la normativa nazionale alle disposizioni del regolamento europeo n. 2016/679, finalizzato a rafforzare il livello di protezione delle persone fisiche con riguardo al trattamento dei dati personali, migliorare la libera circolazione di tali dati e le opportunità delle imprese nel mercato unico digitale.

Il regolamento, che entrerà in vigore il prossimo 25 maggio, è basato sul principio della accountability, vale a dire della responsabilizzazione del soggetto titolare del trattamento dei dati in relazione sia all'adozione di misure appropriate ed efficaci per la protezione dei dati, sia alla necessità di dimostrare, su richiesta, che tali misure siano state adottate. Insieme alla direttiva sulla protezione dei dati nel settore della attività di contrasto (direttiva 2016/680/UE), esso costituisce quindi la nuova cornice normativa per la disciplina della protezione dei dati definita a livello europeo. Si tratta di un quadro normativo di grande impatto per una vasta platea di aziende ed utenti ed è quindi essenziale che una legislazione carente non produca problemi interpretativi e costi aggiuntivi, tanto più nell'epoca dell'economia digitale.

Per meglio comprendere l'ambito in cui si trova ad operare la Commissione speciale quale sede consultiva, ritiene opportuno ricordare la scansione temporale degli adempimenti che hanno riguardato e riguarderanno la normativa in esame.

Il regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati). Elaborato dopo un lungo iter, il regolamento reca una disciplina immediatamente esecutiva nell’ordinamento degli Stati membri e per sua espressa previsione sostituisce la disciplina previgente della direttiva madre dal maggio 2018 (considerando 171 e articolo 99 del regolamento 2016/679/UE). Gli Stati membri hanno avuto dunque a disposizione per l’aggiornamento della disciplina interna due anni, un termine ritenuto adeguato per verificare quali discipline interne continuano ad avere efficacia e quali devono essere modificate, nonché per precisare le nuove norme anche con riguardo al trattamento di categorie particolari di dati.

Dal punto di vista legislativo, l'Italia ha scelto di adeguare la propria normativa in materia di dati personali alla parte non immediatamente applicabile del regolamento 679/2016 soltanto con la legge n. 163 del 25 ottobre 2017, vigente dal 21 novembre 2017. Nel dicembre 2017 è stata nominata presso il Ministero della giustizia la commissione di esperti incaricata di elaborare il testo. La Commissione ha iniziato i lavori nel gennaio 2018 e li ha di fatto conclusi a metà marzo 2018. Ai lavori della commissione tecnica ha partecipato personale del Garante per la protezione dei dati personali. Il 21 marzo 2018, il Consiglio dei ministri ha approvato, in esame preliminare, un decreto legislativo in attuazione dell’articolo 13 della legge di delegazione europea. Su tale bozza sono sorte notevoli polemiche, aventi a riguardo la tecnica legislativa adottata e possibili vizi di costituzionalità, con particolare riferimento all'ipotesi di integrale abrogazione del vigente codice privacy. Soltanto il 10 maggio 2018 lo schema è stato trasmesso alle Camere e il 14 maggio è stato assegnato alla Commissione speciale, costituita il 4 aprile.

Il corpus di norme all'esame è notevolmente complesso - si tratta di 28 articoli raggruppati in sei Capi, che intervengono con abrogazioni e modificazioni sulla quasi totalità dei 186 articoli del codice privacy vigente, con oltre 100 pagine di relazioni allegate - e si rivela difforme rispetto alla bozza approvata il 21 marzo dal Consiglio dei ministri. Occorre sottolineare tale circostanza solo in ragione del fatto che in alcune parti le relazioni, in particolare quella tecnica, fanno ancora erroneo riferimento al vecchio testo preliminare e non si procede più all'integrale abrogazione del codice. Il testo si limita, invece, alla sostituzione generalizzata delle sanzioni penali con sanzioni amministrative e mantiene la rilevanza penale dell’articolo 167 del codice sul trattamento illecito dei dati. Si aggiungono, anzi, due fattispecie autonome: la comunicazione e diffusione illecita di dati personali riferibili a un rilevante numero di persone, di cui all'articolo 167-bis, e l'acquisizione fraudolenta di dati personali, di cui all'articolo 167-ter. Inoltre, si rinviene una stabilizzazione dell’aumento dell’organico del Garante a 162 unità, come già gradualmente previsto da norme recenti, e si opera una parificazione delle relative retribuzioni a quelle dell'Autorità per le comunicazioni, con oneri la cui copertura dovrà essere valutata adeguatamente. Si prevede, altresì, la possibilità diuso dei social network per i minori di 16 annicon il consenso prestato da chi esercita la potestà genitoriale.

Osserva, quindi, che il 21 maggio 2018 scade la delega conferita dalle Camere al Governo: il termine è prorogato di tre mesi, ai sensi dell'articolo 31 della legge n. 234 del 2012, ma il 25 maggio 2018 entra comunque in vigore il regolamento UE.

Evidenzia, pertanto, che nell'immediato potrebbero coesistere due fonti in materia di privacy: il codice, come modificato, e il regolamento UE. Considerato lo strumento scelto dal legislatore europeo, il regolamento e non la direttiva, probabilmente non sarebbe stato necessario un intervento del legislatore, sotto il profilo strettamente tecnico-giuridico. Esso è stato, tuttavia, ritenuto utile per raccordare al regolamento la normativa nazionale, anche in considerazione degli ambiti rimessi alla normativa interna, analogamente a quanto accaduto in altri Paesi, dove però i lavori per la ricognizione della normativa su cui intervenire sono stati avviati in anticipo.

Nel suo complesso, lo schema di decreto legislativo reca un ampio intervento sul codice in materia di protezione di dati personali, di cui al decreto legislativo n. 196 del 2003.  La parte più consistente delle modifiche riguarda l'abrogazione delle norme del codice risultate incompatibili o sovrapponibili a quelle del regolamento europeo, che per loro natura sono direttamente applicabili nei singoli Stati e che quindi costituiranno in futuro il regime primario per la protezione dei dati. Altri interventi sono invece finalizzati ad adattare, attraverso novelle legislative, le previsioni del codice alle disposizioni del regolamento europeo non direttamente applicabili, che lasciano spazi di intervento ai legislatori nazionali. Ad esito dell'intervento proposto, quindi, il codice è destinato a svolgere, nella disciplina della protezione dei dati personali, una funzione complementare rispetto al regolamento europeo.

Nella relazione di accompagnamento si evidenziano talune scelte compiute in sede di predisposizione dello schema. In particolare si sottolinea come, per garantire la continuità, siano stati fatti salvi per un periodo transitorio i provvedimenti del Garante e le autorizzazioni, che saranno oggetto di un successivo riordino, nonché i codici deontologici vigenti. Per le piccole e medie imprese, si è previsto che il Garante promuova modalità semplificate di adempimento degli obblighi del titolare del trattamento dei dati personali. Non sono state modificate, infine, le disposizioni concernenti le comunicazioni elettroniche, in attesa che venga emanato l'apposito regolamento europeo. 

Più specificamente, nel Capo I, l'articolo 1 modifica il titolo e le premesse del codice della privacy, mentre il Capo II, costituito dall'articolo 2, introduce innanzitutto modifiche alle disposizioni generali del codice, di cui al Titolo I della Parte I. Si specifica che il trattamento dei dati personali avviene secondo le norme del regolamento (UE) 2016/679 e del codice come novellato e che l'Autorità di controllo resta individuata nel Garante per la protezione dei dati personali.

Sono quindi inseriti i nuovi Titoli I-bis, I-ter e I-quater. Nel primo di essi, relativo ai principi, si specifica - agli articoli da 2-ter a 2-novies - che la base giuridica per il trattamento dei dati personali effettuato per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri è costituita esclusivamente da una norma di legge o, nei casi previsti dalla legge, di regolamento. Vengono dettate norme per l'adozione delle regole deontologiche, si definiscono talune norme per il consenso del minore in relazione ai servizi della società dell'informazione, fissando a sedici anni l'età minima per la prestazione del consenso. Sono introdotte disposizioni per il trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante, misure per il trattamento dei dati genetici, biometrici e relativi alla salute e di quelli relativi a condanne penali e reati. Si stabilisce il principio della inutilizzabilità dei dati trattati in violazione della disciplina sul trattamento dei dati personali.

Il nuovo Titolo I-ter, agli articoli da 2-decies a 2-duodecies, concerne i diritti dell'interessato e le ipotesi di una loro limitazione. In particolare, vengono previste limitazioni dei diritti qualora dal loro esercizio possa derivare un pregiudizio agli interessi tutelati in base alle disposizioni in materia di riciclaggio e di sostegno alle vittime di richieste estorsive, all'attività delle Commissioni parlamentari di inchiesta, alle attività di controllo dei mercati finanziari e monetari, all'esercizio di diritti in sede giudiziaria o allo svolgimento di investigazioni difensive. Con riferimento ai diritti riguardanti persone decedute, si introduce poi un'estensione della possibilità del loro esercizio da parte di chi abbia un interesse proprio o agisca a tutela dell'interessato o per ragioni familiari meritevoli di protezione.

Il nuovo Titolo I-quater, agli articoli da 2-terdecies a 2-quinquiesdecies, reca disposizioni volte a precisare poteri e obblighi in capo al titolare e al responsabile del trattamento dei dati, compresa la possibilità di delegare compiti e funzioni a persone fisiche operanti sotto la loro autorità. L'articolo 27 dispone l'abrogazione degli attuali Titoli II, III, IV, V, VI e VII.

Il Capo III dello schema introduce modifiche alla Parte II del codice, recante disposizioni relative a specifici settori, che viene ora riferita a disposizioni specifiche per i trattamenti necessari per adempiere ad un obbligo legale o per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri.

Nel Titolo I della Parte II del codice, riguardante i trattamenti in ambito giudiziario, sono integrati gli articoli 50 e 52, relativi - rispettivamente - a notizie e immagini riguardanti minori e al trattamento dei dati identificativi contenuti in provvedimenti dell'autorità giudiziaria.

Nella relazione che accompagna lo schema si evidenzia che il Titolo II della Parte II del codice, relativo ai trattamenti da parte delle forze di polizia, è abrogato dal decreto legislativo di attuazione della direttiva 2016/680/UE, in corso di adozione. A finalità di coordinamento con tale decreto legislativo sono rivolte anche le modifiche introdotte dall'articolo 4 dello schema in esame al Titolo III della Parte II del codice, in particolare all'articolo 58, relativo alle disposizioni sul trattamento di dati personali per fini di sicurezza nazionale o difesa.

L'articolo 5 dello schema interviene con talune integrazioni sui primi due Capi del Titolo IV della Parte II del codice, con riferimento alla disciplina sulla protezione dei dati in relazione all'accesso ai documenti amministrativi e a registri pubblici e albi professionali.I Capi III, IV e V del Titolo IV sono abrogati dall'articolo 27 dello schema.

L'articolo 6 dello schema incide sul Titolo V della Parte II del codice, che riguarda il trattamento di dati personali in ambito sanitario. Nella relazione che accompagna il provvedimento, si sottolinea come gli articoli novellati in realtà riproducano sostanzialmente i vigenti articoli del codice: le modifiche sono dettate dalla necessità di aggiornare taluni riferimenti normativi e di espungere ogni riferimento al consenso che, ai sensi del regolamento, non costituisce più l'unico requisito di liceità del trattamento dei dati.  In relazione a questa parte del codice, l'articolo 27 elenca i numerosi articoli abrogati.

L'articolo 7 dello schema incide sul Titolo VI della Parte II del codice, relativo al settore dell'istruzione. In particolare, il campo di applicazione della disciplina sul trattamento dei dati relativi a studenti viene esteso anche al settore delle università pubbliche e private e ad altre istituzioni nel campo della formazione e dell'istruzione. Nella relazione si evidenzia che si intende in tal modo superare la asimmetria della tutela tra istituzioni scolastiche e universitarie.

L'articolo 8 dello schema introduce modifiche non sostanziali al Titolo VII della Parte II del codice, ora riferita a trattamenti a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici.

Con l'articolo 9 dello schema vengono introdotte modifiche al Titolo VIII della Parte II del codice, relativo ai trattamenti nell'ambito del rapporto di lavoro. Si prevede che il Garante promuova l'adozione di regole deontologiche per i soggetti pubblici e privati interessati al trattamento dei dati personali e si esclude la necessità del consenso nei casi di ricezione di curricula spontaneamente inviati ai fini dell'eventuale instaurazione di un rapporto di lavoro. Le norme sulla raccolta di dati e sui controlli a distanza rimangono invariate, con la sola introduzione del rinvio all'articolo 10 del decreto legislativo n. 276 del 2003, che ha esteso il divieto di indagini sulle opinioni anche alle agenzie di lavoro e agli altri soggetti pubblici o privati autorizzati o accreditati.

L'articolo 10 dello schema incide sul Titolo IX della Parte II del codice, che nella formulazione vigente conteneva norme riguardanti il settore bancario, finanziario e assicurativo e che, con l'intervento recato dal provvedimento in esame, rimane riferita al solo settore delle assicurazioni, con la riproposizione delle disposizioni contenute nell'articolo 120, relativo ai sinistri.

L'articolo 11 dello schema riproduce quasi integralmente le norme contenute nel Titolo X della Parte II del codice, relative alle comunicazioni elettroniche. In attesa della nuova disciplina europea sulla materia, si è deciso di limitare gli interventi sugli articoli inclusi in tale Titolo - che peraltro costituiscono la trasposizione nell'ordinamento della normativa europea attualmente vigente - a modifiche di coordinamento, anche in relazione alle disposizioni legislative approvate negli ultimi mesi della scorsa legislatura. In linea con le previsioni del regolamento, sono comunque introdotti gli articoli 132-ter e 132-quater, che impongono ai fornitori di servizi di comunicazione elettronica accessibili al pubblico di adottare misure tecniche organizzative e di sicurezza adeguate al rischio esistente nonché di informare abbonati e utenti, ove possibile, dell'esistenza di un rischio di violazione della sicurezza della rete, indicando i possibili rimedi e i relativi costi presumibili.

Sempre in base all'articolo 27 dello schema, è abrogato il Titolo XI della Parte II del codice, relativo alle libere professioni e all'investigazione privata.

L'articolo 12 dello schema interviene con alcune integrazioni al Titolo XII della Parte II del codice, contenente norme sul giornalismo, la libertà di informazione e trattamento, con riferimento alla promozione dell'adozione di regole deontologiche sul trattamento dei dati.

Il Capo IV dello schema in esame introduce modifiche alla Parte III del codice, dedicata alla tutela degli interessati e alle sanzioni, nonché agli allegati. In particolare, con l'articolo 13 dello schema viene inserito nel Titolo I un nuovo Capo 0.I, che stabilisce il principio della alternatività delle forme di tutela. Il nuovo articolo 140-bis, infatti, prevede che l'interessato, qualora ritenga che i diritti di cui gode sulla base della normativa in materia di protezione dei dati personali siano stati violati, possa proporre reclamo al Garante o ricorso dinanzi all’Autorità giudiziaria. Il reclamo al Garante non può essere proposto se, per il medesimo oggetto e tra le stesse parti, è stata già adita l’autorità giudiziaria.

Le ulteriori modifiche introdotte dall'articolo 13 riguardano gli articoli relativi alla proposizione dei reclami al Garante, le procedure per la decisione da parte di tale organo e la possibilità, riconosciuta a chiunque, di rivolgere una segnalazione sulla eventuale violazione della disciplina sulla protezione dei dati. È conservata all'Autorità giudiziaria ordinaria la competenza su tutte le controversie in materia di protezione dei dati personali oggetto di ricorsi giurisdizionali nonché sul diritto al risarcimento del danno.

In seguito alle novelle introdotte, l'articolo 27 dispone l'abrogazione degli articoli del codice attualmente vigenti sulla tutela alternativa a quella giurisdizionale.

L'articolo 14 dello schema interviene poi sul Titolo II della Parte III, novellandone le disposizioni al fine di adeguare la disciplina dell'Autorità di controllo indipendente alle previsioni del regolamento. Le norme contenute in questo Titolo specificano l'organigramma, la retribuzione e la struttura organizzativa del Garante per la protezione dei dati personali, ne individuano i compiti e i poteri, compreso quello di agire in giudizio, regolano la richiesta di informazioni e le modalità per lo svolgimento di eventuali accertamenti.

L'articolo 15 dello schema interviene sul Titolo III della Parte III del codice, relativo alle sanzioni. Del Capo I di tale Titolo, relativo alle violazioni amministrative, l'unico articolo che permane rispetto alle abrogazioni disposte dall'articolo 27 dello schema è l'articolo 166, che viene novellato per definire i criteri di applicazione delle sanzioni amministrative pecuniarie e il procedimento per l'adozione dei provvedimenti correttivi e sanzionatori. È indicato nel dettaglio a quale violazione delle norme introdotte si applichino le diverse sanzioni previste nel regolamento e si individua nel Garante l'organo competente ad adottare i provvedimenti correttivi previsti nel regolamento nonché a irrogare le sanzioni amministrative. Viene disciplinato il procedimento sanzionatorio, stabilendo che esso possa essere avviato, nei confronti sia di soggetti privati, sia di autorità pubbliche ed organismi pubblici, a seguito di reclamo o di attività istruttoria d'iniziativa del Garante, nell'ambito dell'esercizio dei poteri d'indagine, nonché in relazione ad accessi, ispezioni e verifiche svolte in base a poteri di accertamento autonomi, ovvero delegati dal Garante.

Per quanto riguarda gli illeciti penali, disciplinati nel Capo II del Titolo III del codice, nella relazione che accompagna lo schema si evidenzia come talune delle disposizioni penali vigenti, di cui agli articoli 167 e seguenti del codice della privacy, sanzionino comportamenti che in base al regolamento europeo sono puniti con sanzioni amministrative. Il Governo ha ritenuto opportuno procedere ad una parziale depenalizzazione, seguendo in parte l'indirizzo elaborato dalla commissione tecnica di evitare i rischi di violazione del principio del ne bis in idem tra sanzioni penali e sanzioni amministrative affermato nella giurisprudenza delle corti di giustizia europee, della quale, peraltro, nella relazione si dà ampio conto nonostante nell'ordinamento nazionale e nella giurisprudenza interna esso abbia avuto limitata rilevanza. La formulazione dell'articolo 167 del codice, come novellata dallo schema in esame, continua comunque a contenere sanzioni penali in relazione alla violazione di talune norme del codice in materia di trattamento illecito dei dati personali.

Con i nuovi articoli 167-bis e 167-ter sono introdotte sanzioni penali, rispettivamente, per i casi di comunicazione o diffusione illecita e di acquisizione fraudolenta di dati personali, qualora tali dati siano riferibili ad un numero rilevante di persone. Viene inoltre novellato l'articolo 168, che prevede sanzioni penali per coloro che dichiarino o attestino il falso nei procedimenti davanti al Garante o interrompano o turbino l'esecuzione delle attività del Garante stesso. È riformulato l'articolo 171, che prevede sanzioni penali per la violazione delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori. Risultano infine abrogati gli articoli 169 e 170, con i quali venivano sanzionate penalmente la mancata adozione delle misure di sicurezza per la tutela dei dati e l'inosservanza dei provvedimenti del Garante. 

Il Titolo IV del codice, relativo alle disposizioni transitorie e finali è quasi interamente abrogato dall'articolo 27 dello schema e risultano abrogati anche gli allegati B e C al codice. Con riferimento all'allegato A, l'articolo 16 dello schema ne cambia la denominazione in "regole deontologiche". Il Capo V dello schema di decreto contiene il solo articolo 17, che novella l'articolo 10 del decreto legislativo n. 150 del 2011 in relazione alla procedura per dirimere le controversie in materia di protezione di dati personali.

Il Capo VI, infine, contiene le disposizioni transitorie, finali e finanziarie.

In particolare, l'articolo 18 disciplina la definizione agevolata delle violazioni in materia di protezione di dati personali, prevedendo il pagamento in misura ridotta per i procedimenti che, alla data del 21 marzo 2018, risultino ancora non definiti con l'adozione dell'ordinanza-ingiunzione.

L'articolo 19 introduce una disciplina specifica per la trattazione degli affari pregressi.L'articolo 20 disciplina l'efficacia giuridica dei codici di deontologia e di buona condotta vigenti alla data di entrata in vigore del decreto in esame.L'articolo 21 reca la disciplina transitoria delle autorizzazioni generali del Garante.L'articolo 22 interviene con norme transitorie su una serie eterogenea di profili.L'articolo 23 contiene norme di coordinamento con il decreto adottato in attuazione della delega contenuta all'articolo 11 della legge n. 163 del 2017 per il recepimento della direttiva 2016/680/UE.

L'articolo 24 disciplina l'applicabilità delle sanzioni amministrative alle violazioni commesse anteriormente alla data di entrata in vigore del decreto in esame.L'articolo 25 riguarda, conseguentemente, la trasmissione di atti dall'autorità giudiziaria all'autorità amministrativa.

L'articolo 26 contiene le disposizioni finanziarie, mentre l'articolo 27 elenca le disposizioni del codice abrogate. Infine, l'articolo 28 disciplina l'entrata in vigore del decreto, fissandola al 25 maggio 2018.   

Precisa che la Commissione speciale, in sede consultiva, può esprimersi soltanto sulla rispondenza dello schema alla delega conferita dal Parlamento nel 2017 e quindi, indirettamente, al regolamento 2016/679, peraltro con margini di tempo molto limitati, a causa della tempistica e delle modalità di redazione dell'articolato adottate dal Governo, che ha trasmesso il testo alle Camere a ridosso della sua ipotizzata entrata in vigore.

Formula, quindi, alcune considerazioni critiche, osservando che nello schema di decreto all'esame non è sempre spiegata la ratio sottesa ad alcune disposizioni. Mancano talvolta i riferimenti alle parti del regolamento che hanno indotto gli estensori dello schema ad abrogare o novellare determinati articoli del codice della privacy. Ritiene che questa tecnica redazionale, unitamente alla mancanza di un testo a fronte recante le modifiche apportate al complesso corpus normativo oggetto dell'intervento, non consenta un esame ragionato delle disposizioni introdotte, tanto più in considerazione dei tempi ristretti previsti. Non risulta comunque acquisito il parere del Garante per la privacy.

A suo avviso, occorre valutare con attenzione l'introduzione di un meccanismo di definizione agevolata delle controversie, il sistema sanzionatorio, che non sempre appare armonico con l'ordinamento interno, gli interventi sulla struttura e le retribuzioni dell'Autorità garante, ma anche le singole innovazioni in ambiti e settori specifici.

Con riferimento alle sanzioni, precisa che esse sono previste dal regolamento europeo all'articolo 83. La decisione sull’applicazione delle sanzioni spetta all’Autorità garante per la protezione dei dati personali, che tiene conto della natura, gravità e durata della violazione, del suo carattere doloso o colposo, delle misure adottate per attenuare il danno subito dagli interessati, delle eventuali precedenti violazioni commesse dal titolare del trattamento, del grado di cooperazione con l’Autorità di controllo, degli eventuali altri fattori aggravanti. Sono previste sanzioni pecuniarie che, a seconda dei casi, possono arrivare fino a 10 o 20 milioni di euro o, per le imprese, fino al 2 per cento o al 4 per cento del fatturato annuo mondiale dell’esercizio precedente.

L'articolo 84 dispone che gli Stati membri stabiliscono le norme relative alle altre sanzioni per le violazioni del presente regolamento, in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie, a norma dell’articolo 83, e adottano tutti i provvedimenti necessari per assicurarne l’applicazione. Tali sanzioni devono essere effettive, proporzionate e dissuasive. Lo stesso regolamento, all'articolo 58, consente all‘Autorità di limitare o vietare l‘utilizzo di un trattamento e il considerando 149 del regolamento 679/2016 sulla protezione dei dati consente agli Stati membri di imporre sanzioni penalise in armonia con il principio del ne bis in idem.A fronte di tale quadro nel regolamento, l'articolo 166 del codice privacy - novellato in base all'articolo 15 dello schema di decreto - indica le violazioni soggette alle sanzioni amministrative di cui all'articolo 83, paragrafi 4 e 5 del Regolamento, cioè - rispettivamente - sanzioni amministrative pecuniarie fino a 10 milioni di euro o, per le imprese, fino al 2 per cento del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, nonché sanzioni amministrative pecuniarie fino a 20 milioni di euro o, per le imprese, fino al 4 per cento del fatturato mondiale totale annuo dell’esercizio precedente, se superiore. I proventi delle sanzioni sono assegnati per metà all'erario e per metà al Garante. Risultano abrogati i vigenti articoli 161, 162, 162-bis, 162-ter, 163, 164, 164-bis, 165, 169 e 170, mentre l'introduzione delle fattispecie di cui all’articolo 167-bis e all’articolo 167-ter fa riferimento a ipotesi specifiche.

Nel complesso, l'effetto abrogativo interesserà numerose condotte ed i relativi responsabili. Una disciplina più favorevole sembra peraltro riservata ai fatti commessi antecedentemente alla nuova normativa. In deroga alla disciplina generale, è infatti ammesso il pagamento in misura ridotta, pari a due quinti del minimo, per tutte le violazioni dei vigenti articoli 33 e da 161 a 164-bis non definite con ordinanza-ingiunzione alla data del 21 marzo 2018. Segnala, a tale proposito, che non risulta chiara la ratio dell'individuazione di tale termine temporale.

In base all'articolo 24, si applicano alle violazioni commesse in data antecedente all'entrata in vigore del decreto legislativo in esame le disposizioni che, mediante abrogazione, sostituiscono sanzioni amministrative a quelle penali. Se i procedimenti sono stati definiti in modo irrevocabile, il giudice dovrà revocare la sentenza o il decreto perché il fatto non è più previsto dalla legge come reato. Rileva, in ogni caso, che ai fatti commessi prima dell'entrata in vigore del decreto non può essere applicata una sanzione amministrativa pecuniaria per il massimo della pena originariamente prevista, tenuto conto dell'articolo 135 del codice penale, in cui il criterio di ragguaglio con la pena detentiva è indicato in 250 euro giornaliere.È ammesso il pagamento in misura ridotta di cui all'articolo 16 della legge n. 689 del 1981, in base al quale è ammesso il pagamento di una somma in misura ridotta pari alla terza parte del massimo della sanzione prevista per la violazione commessa, o, se più favorevole e qualora sia stabilito il minimo della sanzione edittale, pari al doppio del relativo importo oltre alle spese del procedimento, entro il termine di sessanta giorni dalla contestazione immediata o, se questa non vi è stata, dalla notificazione degli estremi della violazione.  Non è invece espressamente prevista, per le violazioni future, la possibilità di oblazione amministrativa per mancanza - nel regolamento UE - del parametro dell'entità minima della sanzione.

Con l'auspicio che sia possibile svolgere un approfondito dibattito, si riserva - acquisiti gli opportuni elementi conoscitivi e anche alla luce del dibattito - di formulare una proposta di parere con osservazioni sugli aspetti più rilevanti del provvedimento.

 

Il seguito dell'esame è quindi rinviato.

 

La seduta, sospesa alle ore 11,10, riprende alle ore 11,15.