[Ripubblichiamo il contributo già comparso su agendadigitale.eu lo scorso 17 aprile]
Facciamo chiarezza su una scelta che ha suscitato molte polemiche. C’è l’obiettivo di evitare lo spettro del ne bis in idem e di una funzionalità limitata del GDPR. Bisognava evitare che sul medesimo presupposto si applichino sia una sanzione amministrativa sia una sanzione penale
Uno dei profili che ha suscitato maggiore clamore mediatico nelle reazioni che hanno accompagnato la pubblicazione dello schema di decreto legislativo GDPR per l’adeguamento della disciplina nazionale al nuovo Regolamento Generale sulla Protezione dei Dati Personali (di seguito, “GDPR” o anche Regolamento”) riguardal’eliminazione della fattispecie relativa al trattamento illecito di dati personali prevista dall’art. 167 del d.lgs. 196/2003 (Codice della privacy, o “Codice”).
Valutata superficialmente, la scelta – della nostra Commissione ministeriale per l’adeguamento della normativa italiana al GDPR (di cui gli autori di quest’articolo fanno parte, Ndr.) – può apparire avventata, specialmente nel clima rovente scaturito dallo scandalo “Cambridge Analytica” (tuttora incompreso nella sua effettiva e reale portata), che ha visto istituzioni a ogni livello (governi, regolatori, legislatori), talvolta forse inopinatamente, profondere in severi moniti, promettendo sanzioni e maggiori controlli.
Se però l’analisi provasse ad andare oltre una prima lettura superficiale, la valutazione circa la scelta di una tendenziale depenalizzazione potrebbe apparire tutt’altro che avventata.
Almeno per tre ordini di ragioni.
