Le modifiche al codice della privacy per adeguare la normativa italiana al GDPR introducono nuove ipotesi di reato per chi non è in regola. L’obiettivo è aggiornare la disciplina in materia di trattamento dei dati alle esigenze della digital transformation, all’impiego delle nuove tecnologie, al fenomeno dei big data e dei grandi archivi. Innovativa, tra le altre, è l’ipotesi di reato di “comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala”, che punisce chiunque comunichi o diffonda un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala.

Il decreto legislativo n. 101/2018, pensato per adeguare la normativa nazionale italiana alle disposizioni del GDPR (già in vigore dal 2016, e attuato dal 25 maggio 2018), contiene una parte che va a disciplinare le sanzioni penali che caratterizzeranno la nuova era “digitale” della protezione dei dati.
Nel regime precedente, reati quali l’omessa adozione di misure minime di sicurezza, il trattamento illecito dei dati e le false comunicazioni all’Autorità Garante si erano ritagliati uno spazio importante nel sistema più generale degli adeguamenti e degli obblighi di protezione dei dati.
L’avvento del GDPR aveva, al contempo, generato diversi timori in quanto non si faceva cenno a sanzioni penali o, meglio, si lasciavano i singoli Stati liberi di decidere sul punto.