Prevista gradualità dell'attività ispettiva sull'adeguamento delle imprese al Regolamento Ue sulla protezione dei dati 2016/679 (noto come Gdpr), operativo dal 25 maggio 2018. A stabilirlo è lo schema di decreto legislativo di armonizzazione della disciplina della privacy italiana al Regolamento Ue, approvato dal Consiglio dei ministri in via definitiva.

Ci dovrebbe essere, secondo il testo in entrata, un periodo, che dovrebbe essere di otto mesi, per l'attuazione a pieno regime dei poteri di indagine affidati al Garante per la protezione dei dati personali.

D'altra parte in questa direzione convergevano sia le indicazioni dei pareri delle commissioni parlamentari (si vedano i documenti dell'atto non legislativo n. 22 di Camera e Senato), sia alcuni indirizzi espressi da Antonello Soro, presidente dell'Autorità Garante, nella sua relazione al Parlamento per l'anno 2017. La gradualità dell'attività ispettiva è stata anche indicata come strada da seguire da un provvedimento dello stesso Garante della privacy del 22 febbraio 2018, e ora l'impostazione più ragionevole pare avere trovato l'avallo in sede di legislazione delegata.

Ecco i punti principali del provvedimento:

Ispezioni. Le commissioni parlamentari hanno chiesto una sorta di moratoria per l'attività ispettiva e la conseguente attività sanzionatoria, sulla scia di impostazioni simili da parte di altri paesi europei (in particolare Francia). Questa impostazione pare essere stata accolta anche dal governo italiano, orientato ad accogliere la richiesta di gradualità nella operatività dei poteri di indagine finalizzati all'accertamento delle infrazioni e nella irrogazioni di sanzioni amministrative, il cui massimo edittale è decisamente pesante (due fasce: fino a 10 e fino a 20 milioni di euro). Spazio dunque a una moratoria di 8 mesi.

Pmi. Già il testo iniziale del decreto prevedeva la possibilità di uno statuto speciale per la privacy europea per le piccole e medie imprese. Ciò, peraltro, era inserito come indirizzo nello stesso Regolamenti Ue. Il testo definitivo è orientato a confermare la possibilità di semplificazioni, la cui individuazione dovrebbe essere affidata a provvedimenti del Garante della privacy.

Dati sanitari. Allo stesso Garante il provvedimento affida l'adozione di disposizioni specifiche per la disciplina dei dati relativi alla salute. Il regolamento Ue prevedeva un rinvio al legislatore italiano, che ha scelto di avvalersi di tale facoltà.

Sanzioni penali. Il decreto legislativo detta alcune fattispecie penali, non assorbite dal principio del «ne bis in idem» (divieto di punire uno stesso fatto con sanzioni penali e amministrative). Si tratta, tra le altre, della comunicazione e diffusione illecita di dati riferibili a un numero rilevante di persone e della acquisizione fraudolenta di dati. Per questi due reati il testo definitivo dovrebbe avere inserito il presupposto della «larga scala» tra gli elementi oggettivi dell'illecito. Gli altri reati riguardano il trattamento illecito e le falsità nelle dichiarazioni al Garante. Nel testo non dovrebbero esserci, invece, interventi sulle sanzioni amministrative (vi erano richieste di inserire minimi edittali), mentre si scrivono le regole del procedimento per l'irrogazione, con rinvio alla legge 689/1981.