Malissimo la prima, male la seconda: il decreto di adeguamento della privacy italiana, che nella sua iniziale stesura aveva provato a depenalizzare tutti i casi di trattamento illecito dei dati personali e la cui delega scade il 21 maggio, nella sua seconda versione dimostra di non aver imparato la lezione. In sintesi: depenalizza il revenge porn nei casi di poche foto degli adulti, depenalizza la pubblicazione dei dati personali senza profitto e indirettamente nei casi ordinari di diffusione, salva i social network. Niente più reato per il futuro e condono per i casi del passato. Il tempo per modificare ancora il testo è poco: le commissioni parlamentari e il garante della privacy dovranno dare il parere nei prossimi giorni. La delega scade il 21 maggio (ma potrebbe essere prorogata con un escamotage normativo), il termine per adeguarsi al regolamento europeo è il 25 maggio.
I problemi. Si parte dalle sanzioni. Inizialmente era stato completamente depenalizzato il reato di trattamento illecito dei dati personali previsto dall’articolo 167 del Codice Privacy. Nel nuovo testo, vengono introdotte nuove fattispecie di reato, mentre alcuni aspetti non saranno più puniti se non con sanzioni amministrative estese anche ai reati compiuti e giudicati prima della nuova legge. “Sulle sanzioni penali – spiega Stefano Aterno, docente di Diritto penale dell’informatica alla Luiss – c’è continuità con quanto previsto nel vecchio codice solo se la violazione dei dati personali è stata portata avanti con la volontà di trarne un profitto o un vantaggio o altra utilità. Altrimenti non c’è più il reato”. Ad esempio, la diffusione di una foto di nudo senza l’autorizzazione dell’interessato oppure la pubblicazione di una cartella clinica di un paziente non saranno configurabili come reato. I singoli casi di revenge porn, la circolazione di informazioni personali e intime per vendetta, saranno depenalizzati se non si dimostrerà la volontà di trarne un profitto. “Ci saranno le sanzioni del garante privacy, che dovrà istruire il procedimento, ammesso che il fatto sia stato comunicato dalle procure” dice Aterno.
I social network. “Va notato poi che nella delega che ha ricevuto il governo non era prevista alcuna sanatoria per il passato e, ancor peggio, non si è pensato a un periodo graduale per le piccole medie imprese – spiega Fulvio Sarzana, avvocato e docente –. È stata scritta una legge che condona il passato ma non cura il futuro”. E c’è il rischio che salvi i social network in gran parte dei casi in cui sono coinvolti, ovvero “in tutte le fattispecie gratuite che però hanno comunque causato danni. Basti pensare al caso Tiziana Cantone: secondo le norme precedenti, avrebbero potuto essere perseguiti anche per una sola foto, laddove si fosse evidenziato un illecito. Oggi la depenalizzazione delle fattispecie di danno renderebbe inutile perseguire casi nei quali non sussiste profitto”.
Il numero. Una sorta di “norma penale in bianco” sembra riguardare invece gli articoli 167 bis e ter. “La comunicazione, la diffusione e l’acquisizione fraudolenta configurano il reato solo se c’è un trattamento illecito di dati personali riferibili a un numero rilevante di persone – spiega Aterno – ma questa forma lascia una grande incertezza sull’interpretazione. Che significa ‘numero rilevante’? Anche la diffusione dei dati di una sola persona può provocare danni enormi”.
I tempi. Il decreto è stato scritto di corsa e in grande ritardo, la Pubblica amministrazione e le aziende sono indietro nell’adeguamento. Il regime transitorio previsto fa sì che molti casi pendenti, importanti e gravi, che al 31 dicembre abbiano già ricevuto un atto di contestazione da parte del garante privacy finiscano in una sorta di procedura stralcio (una dinamica che in pratica risolve le questioni aperte in un momento di transizione legislativa, ndr) e abbiano così un doppio binario con criteri di decisione incerti. “Il vizio originale – spiega Aterno – è la corsa con il quale è stato redatto e corretto. E il problema persisterà fino al 21 maggio”.