Questo sito utilizza cookie per raccogliere informazioni sull'utilizzo. Cliccando su questo banner o navigando il sito, acconsenti all'uso dei cookie. Leggi la nostra cookie policy.OK

protezione dei dati

Decreto GDPR e sanzioni penali, ecco che cambia

In Italia le sanzioni penali continueranno ad avere un ruolo fondamentale per la salvaguardia del diritto alla protezione dei dati personali. Anzi, nel testo dello schema di decreto di adeguamento al GDPR, sono state aggiunte fattispecie di reato ulteriori. Vediamo quali

25 Mag 2018

Luca Tosoni

avvocato e ricercatore presso l’Università di Oslo


Come è noto, le sanzioni penali che erano state eliminate dal Codice della Privacy dalla Commissione ministeriale per l’adeguamento della normativa italiana al GDPR sono state reinserite, almeno in parte, nel testo dello schema di decreto di adeguamento sottoposto all’esame del Parlamento. Vediamo che cambia quindi per le sanzioni GDPR, almeno da quanto si evince dall’attuale schema di decreto.

Garante conferma l’adeguatezza delle sanzioni

Per di più, sono state aggiunte fattispecie di reato ulteriori. Il Garante chiede qualche aggiustamento, ma conferma nella sostanza l’adeguatezza del quadro sanzionatorio disegnato dallo schema di decreto. Pertanto, con tutta probabilità, in Italia le sanzioni penali continueranno ad avere un ruolo fondamentale per la salvaguardia del diritto alla protezione dei dati personali, salvo modifiche dell’ultimo minuto.

Un quadro sanzionatorio più bilanciato

Come già ricordato, il ricorso alle sanzioni penali in materia di privacy presenta di per sé particolari criticità, e ancor più se dette sanzioni si inseriscono in un quadro sanzionatorio caratterizzato da elevatissime sanzioni amministrative, come quello del GDPR. Tuttavia, in questo settore, le sanzioni penali e quelle amministrative possono certamente coesistere, ed in questo senso il quadro sanzionatorio che emerge dallo schema di decreto all’esame delle Commissioni speciali di Camera e Senato appare più bilanciato rispetto a quello inizialmente proposto dalla Commissione ministeriale.

Le fattispecie di reato che resteranno anche dopo il GDPR

Ecco una panoramica delle fattispecie di reato che dovrebbero permanere nel nostro ordinamento anche dopo il definitivo adeguamento della normativa nazionale alle disposizioni del GDPR.

Trattamento illecito di dati

L’articolo 167 del Codice della Privacy, norma che nelle intenzioni della Commissione ministeriale avrebbe dovuto essere abolita in toto, è stato riformulato nello schema di decreto in modo da continuare a punire penalmente condotte consistenti nell’arrecare nocumento all’interessato, in violazione di alcune specifiche e limitate disposizioni normative, come ad esempio quelle sul trasferimento internazionale dei dati di cui agli articoli 45, 46 e 49 del GDPR. In sostanza, si è deciso di mantenere in vita le sanzioni penali previste per le violazioni più gravi richiamate dal preesistente articolo 167. Tuttavia, per garantire maggiore conformità al principio del ne bis in idem, si è ritenuto di stabilire che ove per gli stessi fatti venga applicata una sanzione amministrativa a norma del Codice o del Regolamento, “la pena è diminuita.” A questo proposito sarebbe forse opportuno definire con più precisione secondo quali criteri la pena vada diminuita.

Comunicazione e diffusione illecita di dati personali riferibili a un rilevante numero di persone

Lo schema di decreto introduce all’articolo 167-bis una nuova fattispecie di reato che punisce la comunicazione e la diffusione, al fine di trarne profitto, di dati personali relativi ad un gran numero di persone, in violazione di certi requisiti normativi, quali il consenso dell’interessato. Si tratta di una condotta di particolare disvalore che è punita penalmente anche in altri ordinamenti; ad esempio, in Germania.

Nel proprio parere sullo schema di decreto, il Garante ha proposto di riformulare in parte questa nuova fattispecie, in primo luogo, ampliando la sfera soggettiva dei soggetti attivi del reato tramite l’introduzione del termine generale “chiunque” e, in secondo luogo, prevedendo che sia punibile non solo chi comunica o diffonde dati a scopo di profitto, ma anche chi lo faccia al fine di nuocere ad altri: una precisazione importante che prende in considerazione l’evoluzione dei comportamenti criminogeni in rete.

Acquisizione fraudolenta di dati personali

Anche l’articolo 167-ter dello schema di decreto introduce una nuova fattispecie di reato, la quale punisce chiunque, al fine di trarne profitto, acquisisce con mezzi fraudolenti dati personali riferibili ad un numero rilevante di persone. Si tratta in qualche modo del rovescio della medaglia del reato di cui all’articolo 167-bis, visto che ad essere punita è la ricezione invece della comunicazione dei dati. Anche in questo caso il Garante suggerisce di prevedere un dolo di danno e non solo un dolo di profitto.

Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dei poteri del Garante

Lo schema di decreto mantiene sostanzialmente invariato il contenuto dell’attuale comma 1 dell’articolo 168 del Codice, il quale punisce penalmente chiunque faccia dichiarazioni false o produca documenti falsi al Garante. Al comma 2 dello stesso articolo viene però introdotta una nuova fattispecie la quale punisce con la reclusione sino ad un anno “chiunque intenzionalmente cagiona un’interruzione o turba la regolarità di un procedimento dinanzi al Garante o degli accertamenti svolti.” Si tratta di una fattispecie fortemente ispirata all’articolo 340 del codice penale che sanziona l’interruzione di un ufficio o servizio pubblico o di un servizio di pubblica necessità, dal quale riprende, per coerenza col principio di eguaglianza, il massimo edittale. Vale la pena ricordare che il GDPR non prevede specifiche sanzioni amministrative per condotte di questo tipo, peraltro particolarmente odiose. Pertanto, il ricorso al diritto penale pare qui specialmente giustificato, come peraltro dimostra il fatto che analoghe fattispecie penali sono state introdotte in altri Stati membri. Ad esempio, in Lussemburgo, l’interruzione dei compiti dell’autorità di controllo (Commission nationale pour la protection des données) è punita con la reclusione fino ad un anno.

Violazioni delle disposizioni in materia di controlli a distanza sui lavoratori

Lo schema di decreto conferma i reati previsti dall’articolo 171 del Codice per le violazione delle norme sui controlli a distanza dei lavoratori e sulle indagine delle loro opinioni politiche, religiose o sindacali. Le violazioni connesse al controllo a distanza dei lavoratori sono oggetto di un numero sempre maggiore di segnalazioni inviate dal Garante all’autorità giudiziaria, e i precedenti giurisprudenziali certo non mancano in questo campo. Ad esempio, la Cassazione ha recentemente stabilito che l’installazione di un sistema di videosorveglianza in grado di controllare a distanza l’attività dei lavoratori in mancanza di accordo con le rappresentanze sindacali aziendali integra reato anche se la stessa sia stata preventivamente autorizzata per iscritto da tutti i dipendenti (si veda la sentenza n. 22148/2017). La riformulazione delle norme sul controllo a distanza dei lavoratori da parte del Jobs Act ha però creato non poche difficoltà interpretative (in particolare rispetto all’uso dei moderni sistemi digitali di controllo), al punto da sollevare dubbi di compatibilità col principio di tassatività. A questo proposito, si sarebbe potuto pensare di intervenire ulteriormente sulle norme in questione proprio durante l’adeguamento del nostro ordinamento al GDPR, ma i tempi stretti dettati dall’imminente entrata in vigore del Regolamento hanno sicuramente lasciato poco spazio per riflessioni di più ampio raggio.

Depenalizzazioni

Tutte le altre sanzioni penali previste dal previgente Codice della Privacy sono state depenalizzate. A questo proposito, vale la pena ricordare come non si sia ritenuto di mantenere il reato di cui all’articolo 169 del Codice della Privacy (misure di sicurezza). Come già ricordato, la depenalizzazione del reato in questione è giustificata dal fatto che, con l’entrata in vigore del GDPR, le misure minime di sicurezza previste dal Codice sono abolite, e le nuove misure di sicurezza previste dal GDPR non presentano un livello di dettaglio tale da risultare compatibile con il principio di tassatività.

Inosservanza dei provvedimenti del Garante

Sempre in tema di depenalizzazioni, il Garante ha opportunamente fatto notare come l’abrogazione dell’articolo 170 (recante il delitto di inosservanza dei provvedimenti del Garante) risulti in contrasto con l’introduzione di una fattispecie di reato analoga nel decreto che attua la Direttiva 2016/680 sul trattamento dei dati personali in ambito penale. Qualora l’abrogazione dell’articolo 170 venisse mantenuta, si determinerebbe l’irragionevole conseguenza per cui se a non osservare un provvedimento del Garante fosse un funzionario di polizia o un magistrato si integrerebbero gli estremi di un reato, mentre se a fare lo stesso fosse qualsiasi altro soggetto si applicherebbero esclusivamente sanzioni amministrative. È quindi condivisibile l’opinione del Garante secondo cui tale disparità di trattamento non sarebbe compatibile con il principio di eguaglianza-ragionevolezza.

La versione definitiva del testo del decreto di adeguamento potrebbe riservare alcune soprese, e contenere alcune modifiche in tema di sanzioni penali. Tuttavia, vista l’urgenza con cui il governo è chiamato a concludere il processo di adeguamento, pare abbastanza improbabile che il quadro decritto in questo articolo venga ulteriormente stravolto.