Rapporti di lavoro

Privacy, resta il nodo sanzioni

di Giuseppe Latour

Bene la previsione di una fase transitoria e il percorso di semplificazione immaginato per le Pmi. Mentre restano criticità sul fronte delle sanzioni: l’impatto di quelle amministrative, molto pesanti in base alle previsioni del Regolamento Ue, non viene ammorbidito da un rafforzamento del contraddittorio in caso di controlli. E, allo stesso tempo, il mantenimento dei reati crea rischi di violazione del principio del «ne bis in idem», il divieto di punire due volte la stessa condotta.

Lo schema di decreto legislativo sulla privacy, pensato per coordinare con il sistema italiano le norme europee che andranno in vigore il prossimo 25 maggio, nella sua versione finale, da poco approdata in Parlamento, lascia qualche dubbio alle imprese: emerge chiaramente dall’analisi che Confindustria sta ultimando in queste ore sul Dlgs.

Non mancano gli aspetti positivi. A partire dalle misure di semplificazione per le micro, piccole e medie imprese: il Garante privacy potrà attivarsi in questa direzione, per alleggerire il loro carico di adempimenti. Apprezzabile anche la previsione di una disciplina transitoria, che consentirà, tra le altre cose, all’Autorità di riordinare le sue autorizzazioni generali.

Resta, però, preoccupazione per il capitolo delle sanzioni. Sul fronte amministrativo, infatti, il regolamento Ue ha previsto la possibilità di arrivare fino al 4% del fatturato mondiale totale annuo, ad esempio in caso di inosservanza degli ordini del Garante. In base alla giurisprudenza europea, però, sanzioni amministrative così elevate hanno una valenza afflittiva assimilabile al penale. Le conseguenze sono due.

La prima è che, in linea con quanto già previsto in altri settori in cui le Autorità indipendenti hanno poteri sanzionatori simili, sarebbe opportuno prevedere che i procedimenti di controllo per violazione della normativa privacy rispettino con più forza il contraddittorio e assicurino la piena conoscenza degli atti.

Non solo. A questo tema si collega il fatto che le sanzioni penali, non previste nelle prime bozze, sono state ricomprese nell’ultima versione. Una scelta che comporta diverse conseguenze: soprattutto, il rischio di violare il principio del «ne bis in idem», legato proprio all’irrigidimento della responsabilità amministrativa. Meglio sarebbe stato scegliere l’approccio della depenalizzazione.

Sempre in ambito penale, lo schema di decreto introduce i nuovi reati di «comunicazione e diffusione illecita di dati personali riferibili a un rilevante numero di persone» e di «acquisizione fraudolenta di dati personali»: in entrambi i casi, però, si fa riferimento a un concetto (il «rilevante» numero di persone) troppo generico, che rischia di violare il principio di tassatività.

Infine, altra criticità è legata alla scelta di fissare a 16 anni la soglia minima di età per la validità del consenso espresso dal minore al trattamento dei dati in ambito on-line. Sarebbe stato più coerente abbassare la soglia a 14 anni, per supportare la digitalizzazione e l’accesso ai servizi.

Per saperne di piùRiproduzione riservata ©