Lo scorso maggio, è divenuto direttamente applicabile il regolamento GDPR, il quale ha riformato in maniera profonda l’intera disciplina della privacy e del trattamento dei dati personali.

Da settimane era attesa l’approvazione di un decreto legislativo da parte del Governo, il quale doveva emanare una normativa di coordinamento tra la nuova disciplina UE e la previgente disciplina nazionale, contenuta nel D. Lgs. 196/2003.

Nella giornata di ieri, il Consiglio dei Ministri ha approvato la bozza di decreto, cercando di fare ordine all’interno della materia.

Sanzioni penali

Una delle prime tematiche che il legislatore nazionale ha ritenuto di dover trattare è quella relativa alle sanzioni penali.

Il D. Lgs. 196/2003 prevedeva in materia di privacy e gestione dei dati personali sanzioni penali a fronte di diverse tipologie di violazioni. Al contrario, il regolamento UE entrato in vigore il 25/05/2018 è orientato verso una larga depenalizzazione, bilanciata da un significativo inasprimento delle sanzioni amministrative.

Per trovare un equilibrio tra queste due contrapposte anime, il Governo ha optato per ripristinare alcune fattispecie penali previste dalla previgente disciplina interna, regolando alcune aree non regolamentate dal GDPR.

Sempre in materia di sanzioni, va evidenziata la disposizione che prevede la possibilità di definire in maniera agevolata il contenzioso in corso davanti al Garante. Per tutte le controversie in corso al 25 maggio sarà possibile accedere alla procedura e chiudere la questione pagando una somma pari ai 2/5 del minimo edittale.

Otto mesi di tempo

Nonostante le novità contenute nel regolamento GDPR siano già in vigore da oltre due mesi, coloro che non si fossero ancora attivati per regolarizzare la propria posizione possono dormire sonni tranquilli: il Garante, infatti, ha annunciato una tregua di otto mesi, in cui i controllori terranno conto della situazione e moduleranno di conseguenza l’eventuale irrogazione delle sanzioni, con probabili e significative riduzioni.

Pertanto, le novità normative andranno a pieno regime a partire dall’inizio del 2019: a quel punto però, vista l’ampia finestra temporale concessa per la regolarizzazione delle singole posizioni, pare prevedibile l’arrivo di controlli a pioggia e delle relative sanzioni.

Per piccole e medie imprese, invece, la questione è solo rinviata: anche in sede di approvazione dell’ultimo decreto legislativo, si è evidenziata la necessità di prevedere semplificazioni per consentire un più agile adempimento degli obblighi previsti dalla disciplina UE. Toccherà all’Autorità Garante e al Governo attivarsi in tal senso dopo la pausa estiva.

Novità per i minorenni

Tra le più importanti modifiche contenute nel nuovo decreto legislativo, c’è quella relativa all’età minima per poter fornire l’autonomo consenso al trattamento dei dati personali sulla rete.

Il regolamento GDPR prevede che l’età minima è di 16 anni; la nuova disciplina interna nazionale, invece, abbassa tale soglia, portandola a 14 anni. Una scelta che, sebbene sia chiara la finalità della stessa, finirà per fare discutere.