Le 8 août dernier a été approuvé dans sa version définitive le projet de décret législatif dit « d’harmonisation » du Code de protection de la vie privée (Décret législatif n° 196/03) avec le Règlement européen (UE) 2016/679 sur la protection des données à caractère personnel (RGPD). Plus précisément, le décret stipule que les droits de la personne concernée peuvent être limités ou exclus lorsqu’ils entrent en conflit avec les exigences des lois de l’État, comme dans le cas de la lutte contre le blanchiment d’argent ou le whistleblowing (lancement d’alerte). Ce décret présente aussi certains types de délits qui ne seraient pas absorbés par le principe ne bis in idem et qui resteraient donc prévus et sanctionnés par le droit pénal du système italien. Il s’agit, entre autres : (i) du traitement illicite de données ; (ii) de la communication et de la divulgation illicites de données faisant l’objet d’un traitement à grande échelle ; (iii) de l’acquisition frauduleuse de données à caractère personnel faisant l’objet d’un traitement à grande échelle ; (iv) de la violation des dispositions en matière de contrôles à distance et aux enquêtes sur l’opinion des travailleurs. Le projet prévoit également que les affaires pendantes devant l’Autorité de contrôle et non réglée à la date du 25 mai 2018 pourront se conclure par le paiement des deux cinquièmes du montant minimal prévu pour la sanction administrative pécuniaire, dans un délai de 60 jours à compter de la date d’entrée en vigueur du décret. En revanche, en ce qui concerne les litiges futurs, le contrevenant et la partie solidairement responsable peuvent régler le litige en se conformant aux dispositions de l’Autorité de contrôle (si elles sont données) et en payant une somme correspondant à la moitié de la sanction infligée. En outre, le nouveau projet abaisse à 14 ans l’âge à partir duquel les enfants peuvent donner leur consentement directement, pour des activités sur les réseaux sociaux ou similaires (également et précisément en ce qui concerne le marketing et le profilage). Enfin, il convient de noter qu’aux fins de l’application de sanctions administratives et dans la mesure où cela est compatible avec le RGPD, au cours des huit premiers mois, il est demandé à l’Autorité de contrôle de tenir compte des difficultés de mise en œuvre des premiers mois. La publication au Journal officiel de la République italienne est attendue dans les prochains jours (semaines) : l’entrée en vigueur du décret est prévue le jour même de sa la publication.