gdpr

Le fattispecie penali alla luce del novellato Codice Privacy: il quadro

Un’analisi dettagliata della struttura giuridica degli illeciti penali in materia di protezione dei dati personali: le singole sanzioni con i relativi risvolti interpretativi. Vediamo quali

19 Dic 2018
Chiara Ponti

Avvocato, Privacy Specialist


Occorre un’analisi delle singole fattispecie penali come ridisegnate dal legislatore con il decreto di armonizzazione D.Lgs. n. 101 del 2018 che ha modificato ed in parte abrogato il previgente Codice della Privacy (d.lgs. n. 196 del 2003), evidenziando alcuni dei possibili risvolti interpretativi, e talvolta alcune criticità.

I tratti comuni e le novità

Preliminarmente, si ritiene utile delineare i tratti comuni dell’intero impianto sanzionatorio, ridisegnato nel complesso. Anzitutto, la collocazione sistematica. Gli illeciti penali sono disciplinati al Capo II del Titolo III, dagli artt. 167 al 172 del Codice Privacy. Si tratta di delitti che prevedono tutti, salvo   l’art. 170 del citato codice, una clausola di riserva espressa evidente nella locuzione “Salvo che il fatto non costituisca più grave reato…”. Sono reati comuni dal momento che possono essere commessi da “…chiunque…”. La punibilità è a titolo di dolo specifico, sovente nella forma alternativa.

Corre d’obbligo, innanzitutto, precisare che il Regolamento europeo 679/2016 non ha previsto le fattispecie penali e relative sanzioni, limitandosi a consentire che gli Stati membri “…dovrebbero poter stabilire disposizioni relative a sanzioni penali…” come da Considerando 149 -se credono. Le fattispecie incriminatrici oggi previste e punite sono, pertanto, il frutto della produzione legislativa nazionale. È importante puntualizzarlo. Ciò detto, rispetto al previgente D.Lgs. 196 del 2003  l’impianto sanzionatorio è stato in parte modificato, e in parte implementato con l’introduzione di tre fattispecie incriminatrici basate sulla violazione di alcune regole che presiedono al trattamento di dati personali per fini di prevenzione, accertamento, repressione dei reati, nonché di salvaguardia dell’ordine e della sicurezza giustizia penale e polizia. Per ulteriori approfondimenti si rimanda all’eloquente contributo di Federica Resta.

Le singole fattispecie

Art. 167 Trattamento illecito di dati

    1. Salvo che il fatto costituisca piu’ grave reato, chiunque, al fine di trarre per sè o per altri profitto ovvero di arrecare danno all’interessato, operando in violazione di quanto disposto dagli articoli 123, 126 e 130 o dal provvedimento di cui all’articolo 129 arreca nocumento all’interessato, è punito con la reclusione da sei mesi a un anno e sei mesi.
    2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per se’ o per altri profitto ovvero di arrecare danno all’interessato, procedendo al trattamento dei dati personali di cui agli articoli 9 e 10 del Regolamento in violazione delle disposizioni di cui agli articoli 2-sexies e 2-octies, o delle misure di garanzia di cui all’articolo 2-septies ovvero operando in violazione delle misure adottate ai sensi dell’articolo 2- quinquiesdecies arreca nocumento all’interessato, è punito con la reclusione da uno a tre anni.
    3. Salvo che il fatto costituisca più grave reato, la pena di cui al comma 2 si applica altresì a chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, procedendo al trasferimento dei dati personali verso un paese terzo o un’organizzazione internazionale al di fuori dei casi consentiti ai sensi degli articoli 45, 46 o 49 del Regolamento, arreca nocumento all’interessato.
    4. Il Pubblico ministero, quando ha notizia dei reati di cui ai commi 1, 2 e 3, ne informa senza ritardo il Garante.
    5. Il Garante trasmette al pubblico ministero, con una relazione motivata, la documentazione raccolta nello svolgimento dell’attività di accertamento nel caso in cui emergano elementi che facciano presumere la esistenza di un reato. La trasmissione degli atti al pubblico ministero avviene al più tardi al termine dell’attività di accertamento delle violazioni delle disposizioni di cui al presente decreto.
    6. Quando per lo stesso fatto è stata applicata a norma del presente codice o del Regolamento a carico dell’imputato o dell’ente una sanzione amministrativa pecuniaria dal Garante e questa è stata riscossa, la pena è diminuita.

     

    Il novellato art. 167 del Codice – si legge nei lavori preparatori – punisce tuttora diverse condotte consistenti nell’arrecare nocumento all’interessato, in violazione di specifiche previsioni indicate nei primi tre commi dell’articolo. I commi IV e V consentono la cooperazione tra Autorità giudiziaria e Garante, Autorità amministrativa competente per l’erogazione delle sanzioni amministrative eventualmente coincidenti con l’area della rilevanza penale. Il comma VI mutua il contenuto dell’art. 187 – terdecies del D. Lgs n. 58 del 1998. Ancora. La circostanza per cui l’art. 167 non preveda una pena pecuniaria, ma esclusivamente quella della reclusione impedisce che possa mutuarsi la formulazione dell’art. 187 terdecies TUF il quale “limita l’esazione della pena pecuniaria alla parte eccedente quella riscossa dall’autorità amministrativa”.

    Venendo ora all’analisi, al comma I la condotta, in concreto, consiste nell’operare in violazione delle disposizioni (artt. 123, 126, 130, e provvedimenti di cui all’art.129) in materia di comunicazioni elettroniche. Potrebbe definirsi una norma parzialmente in bianco. La condotta consiste nell’arrecare nocumento sorretto dalla volontà di ottenere un profitto arrecando un danno all’interessato. Si tratta di un reato a consumazione anticipata ragione per la quale non si ritiene possibile il tentativo.

    Il comma II prevede un’altra fattispecie punita più gravemente cioè da 1 a 3 anni. Rispetto all’altra ipotesi cambia la modalità della condotta consistente nel trattare dati particolari, e relativi a condanne penali e reati, in violazione di legge, regolamento e delle misure di garanzia[1], al fine di trarre profitto ovvero di arrecare danno, ove per danno si deve ritenere un’ipotesi di danno indubbiamente di natura patrimoniale. Il dolo specifico è previsto nella forma alternativa poiché può arrecare nocumento. Danno e nocumento non solo la stessa cosa, tra i due corre una forte differenza concettuale. Il nocumento è (anche solo) un pregiudizio. Per completezza, circa l’elemento soggettivo, il Garante, come si legge nel Dossier relativo ai lavori parlamentari, suggerisce di considerare, quale oggetto alternativo del dolo specifico, anche il nocumento, in ragione dell’esigenza di presidiare con la sanzione penale condotte connotate da un simile disvalore, anche quando sorrette dal dolo di danno e non solo da quello di profitto. Tale modifica consentirebbe di assicurare una maggiore continuità normativa con la fattispecie vigente e di evitare gli effetti (anche sui processi in corso) dell’abolitio crìminis che si dovesse ravvisare, in parte qua, per effetto della novellazione proposta.

    Al comma III la condotta si sotanzia invece nel trasferimento di dati verso paesi terzi od organizzazioni internazionali in violazione del Regolamento europeo.

    Ancora il comma IV, per completezza, è di carattere processuale e disciplina la procedura con la quale il Pubblico Ministero è tenuto ad informare il Garante allorchè abbia notizia ovvero quando gli giunge un rapporto dalla PG. Non deve attendere di terminare le indagini (un ipotetico 415 bis c.p.p.). Così si può spiegare il “…dare notizia senza ritardo…”. Naturalmente, il PM dovrà verificarne la fondatezza.

    Parimenti, il comma V impone un obbligo di denuncia da parte del Garante verso il  PM; ed infine il comma VI prevede la necessità della sanzione amministrativa pecuniaria irrogata e riscossa dal Garante per ottenere una diminuzione di pena, senza specificarne il quantum di riduzione. Col che in assenza di una maggiore precisazione della legge si deve ritenere che la diminuzione sia al massimo di 1/3. Si badi bene che si tratta di una diminuente e non attenuante, poiché non soggetta né a valutazione né a bilanciamento,  imposta per legge. Su quest’ultimo aspetto/comma potrebbe essere sollevata questione di legittimità costituzionale perchè precetto generico.

Art. 167 bis Comunicazione e diffusione illecita di dati personali

  1.  
    1. Salvo che il fatto costituisca più grave reato, chiunque comunica o diffonde al fine di trarre profitto per sé o altri ovvero al fine di arrecare danno, un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala, in violazione degli articoli 2-ter, 2-sexies e 2-octies, è punito con la reclusione da uno a sei anni.
    2. Salvo che il fatto costituisca più grave reato, chiunque, al fine trarne profitto per se’ o altri ovvero di arrecare danno, comunica o diffonde, senza consenso, un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala, è punito con la reclusione da uno a sei anni, quando il consenso dell’interessato è richiesto per le operazioni di comunicazione e di diffusione.
    3. Per i reati di cui ai commi 1 e 2, si applicano i commi 4, 5 e 6 dell’articolo 167.

     

    Si tratta di un delitto, introdotto dal D.Lgs. 101/2018, punito gravemente da 1 a 6 anni, allorchè chiunque comunichi o diffonda un archivio automatizzato o una parte sostanziale di esso, al fine di trarne profitto o di arrecare un danno. Per “archivio” si intende qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico, come si rinviene nelle definizioni di cui all’art. 4  del Regolamento UE 679/16. “La parte sostanziale di esso” è locuzione più complicata da interpretare,  e ci si deve richiamare alla direttiva 96/9/CE relativa alla “Tutela giuridica delle banche dati”[1]. Perché la condotta sia penalmente rilevante deve trattarsi di “archivio” avente ad oggetto dati trattati su “larga scala” parametro normativamente previsto dall’art. 37 del Regolamento UE con una sua specificazione nelle linee guida elaborate dal WP29 sul Data Protection Officer[2] (DPO), cui si rimanda.

    Il comma II punisce la medesima condotta di cui al comma I, ma si perpetra in assenza di consenso. La previsione di questa nuova e diversa fattispecie penale ha lo scopo di reprimere quei comportamenti che, per vastità di dimensioni, non si esaurirebbero nella mera violazione delle norme sul trattamento. La pena è la stessa, da 1 a 6 anni. Il dolo è specifico. Un esempio potrebbe essere la comunicazione o diffusione di un archivio di malati di tumore di un ospedale ad un centro di laboratorio di scienza medica,  senza il consenso dell’interessato (avente diritto), al fine di trarne profitto.

    Il III ed ultimo comma è di nuovo procedurale ed impone di informare al Garante, con la previsione della diminuente secca, per l’ipotesi di cui si è detto. È possibile, infine, la previsione del delitto nella forma tentata nel caso in cui l’evento non si verifichi o l’azione non venga completata.

Art. 167 ter Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala

  1.  
    1. Salvo che il fatto costituisca più grave reato, chiunque comunica o diffonde al fine di trarre profitto per sé o altri ovvero al fine di arrecare danno, un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala, in violazione degli articoli 2-ter, 2-sexies e 2-octies, è punito con la reclusione da uno a sei anni.
    2. Salvo che il fatto costituisca più grave reato, chiunque, al fine trarne profitto per se’ o altri ovvero di arrecare danno, comunica o diffonde, senza consenso, un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala, è punito con la reclusione da uno a sei anni, quando il consenso dell’interessato è richiesto per le operazioni di comunicazione e di diffusione.
    3. Per i reati di cui ai commi 1 e 2, si applicano i commi 4, 5 e 6 dell’articolo 167.

     

    Si tratta di un delitto, introdotto dal D.Lgs. 101/2018, punito gravemente da 1 a 6 anni, allorchè chiunque comunichi o diffonda un archivio automatizzato o una parte sostanziale di esso, al fine di trarne profitto o di arrecare un danno. Per “archivio” si intende qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico, come si rinviene nelle definizioni di cui all’art. 4  del Regolamento UE 679/16. “La parte sostanziale di esso” è locuzione più complicata da interpretare,  e ci si deve richiamare alla direttiva 96/9/CE relativa alla “Tutela giuridica delle banche dati”[1]. Perché la condotta sia penalmente rilevante deve trattarsi di “archivio” avente ad oggetto dati trattati su “larga scala” parametro normativamente previsto dall’art. 37 del Regolamento UE con una sua specificazione nelle linee guida elaborate dal WP29 sul Data Protection Officer[2] (DPO), cui si rimanda.

    Il comma II punisce la medesima condotta di cui al comma I, ma si perpetra in assenza di consenso. La previsione di questa nuova e diversa fattispecie penale ha lo scopo di reprimere quei comportamenti che, per vastità di dimensioni, non si esaurirebbero nella mera violazione delle norme sul trattamento. La pena è la stessa, da 1 a 6 anni. Il dolo è specifico. Un esempio potrebbe essere la comunicazione o diffusione di un archivio di malati di tumore di un ospedale ad un centro di laboratorio di scienza medica,  senza il consenso dell’interessato (avente diritto), al fine di trarne profitto.

    Il III ed ultimo comma è di nuovo procedurale ed impone di informare al Garante, con la previsione della diminuente secca, per l’ipotesi di cui si è detto. È possibile, infine, la previsione del delitto nella forma tentata nel caso in cui l’evento non si verifichi o l’azione non venga completata.

Art. 168 Falsità nelle dichiarazioni al Garante ed interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante

    1. Salvo che il fatto costituisca più grave reato, chiunque, in un procedimento o nel corso di accertamenti dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito con la reclusione da sei mesi a tre anni.
    2. Fuori dei casi di cui al comma 1, è punito con la reclusione sino ad un anno chiunque intenzionalmente cagiona un’interruzione o turba la regolarità di un procedimento dinanzi al Garante o degli accertamenti dallo stesso svolti.

     

    Si tratta di una fattispecie che, a differenza delle altre finora analizzate, è punita a titolo di dolo generico. La condotta è data dalla dichiarazione o attestazione mendace di notizie o circostanze (parti di notizie?) o dalla produzione di atti o documenti falsi. L’ipotesi di un più grave reato potrebbe ravvisarsi nella calunnia. La disposizione viene poi integrata tramite l’inserimento di un comma II con la previsione della sanzione della reclusione fino ad un anno a carico di chi cagiona intenzionalmente una interruzione o turba la regolarità dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante. Si tratta dunque di un’ipotesi autonoma di reato…comune, laddove la condotta attiva si perfeziona attraverso qualsiasi atteggiamento o manifestazione che potremmo definire non consono, come ad es. espressioni verbali particolarmente virulente che portano ad una interruzione del procedimento o ne turbano la regolarità. In pratica: comportamenti materiali chiassosi.

Art. 169 Misure di sicurezza

Abrogato. Lo si segnala, per completezza, spiegando che, in virtù del principio di accountability (introdotto dal GDPR) tale fattispecie incriminatrice non avrebbe avuto più ragione di esistere.

Art. 170 Inosservanza dei provvedimenti del Garante

Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi degli articoli 58, paragrafo 2, lettera f) del Regolamento, dell’articolo 2-septies, comma 1, nonché i provvedimenti generali di cui all’articolo 21, comma 1, del decreto legislativo di attuazione dell’articolo 13 della legge 25 ottobre 2017, n. 163 è punito con la reclusione da tre mesi a due anni.

 

Tale fattispecie è stata riformulata dal D.Lgs. 101/2018 in ordine alla specificazione del tipo di provvedimenti violati. Rispetto agli illeciti precedentemente descritti, questo è il primo delitto in cui manca la clausola di riserva espressa. Si tratta sempre di un reato comune. La condotta è la mancata osservanza di un provvedimento adottato dal Garante ai sensi dell’art. 58 del Regolamento che impone “…una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento” destinato ad una realtà specifica;  ovvero di una delle misure di garanzie di cui all’art. 2 septies  volte ad individuare “le misure di sicurezza, ivi comprese quelle tecniche di cifratura e di pseudonomizzazione, misure di minimizzazione, specifiche modalità di accesso selettivo ai dati e per rendere le informazioni agli interessati, nonché eventuali altre misure necessarie a garantire i diritti degli interessati”; nonché i provvedimenti generali di cui all’art. 21 comma I del decreto di armonizzazione. Con riferimento a questi ultimi, si pone il problema di come gestire il trattamento di dati autorizzato da provvedimenti ovvero da autorizzazioni generali che sono state abrogate per effetto del D.lgs 101/2018 le quali verranno sostituite da un unico provvedimento che dovrà essere emanato a seguito di una consultazione pubblica della durata di 90 giorni dall’entrata in vigore del predetto decreto (e cioè dal 19 settembre u.s.) e potrà essere adottato solamente trascorsi 60 giorni dal termine del procedimento di consultazione pubblica.[1] Nell’interregno non pochi sono i problemi si pongono in concreto. Secondo alcuni senza soluzione di continuità, per il periodo transitorio, continuano ad essere efficaci i provvedimenti e le autorizzazioni generali del Garante. Secondo altri invece, in forza dell’art. 27 del D.Lgs. 101/2018 – che ha abrogato l’intero Titolo VI (Adempimenti) del Codice della Privacy- sono cadute (con effetto immediato) le autorizzazioni generali del Garante. Secondo quest’ultima interpretazione, tuttavia, si pone un problema di non facile soluzione. Ad esempio, si faccia il caso del trattamento di dati giudiziari. Per tali dati il soggetto chiamato a verificare la possibilità di trattamento dovrà valutare bene se rientra o meno nelle casistiche di cui all’art. 2 octies poiché, ad oggi, non sono coperte tutte le ipotesi previste dall’Autorizzazione Generale n. 7 del 2016. Si raccomanda, pertanto, estrema prudenza prima di iniziare un trattamento di dati giudiziari, salvo l’autorizzazione dell’interessato.

Art. 171 Violazione delle disposizioni in materia di controlli a distanza ed indagini sulle opinioni dei lavoratori

La violazione delle disposizioni di cui agli articoli 4, comma 1, e 8 della legge 20 maggio 1970, n. 300, è punita con le sanzioni di cui all’articolo 38 della medesima legge.

 

Si tratta di una fattispecie riformulata ovvero parzialmente modificata la quale, rispetto alla previgente versione, pur mantenendo l’applicabilità delle sanzioni di cui all’art. 38 Stat. Lav., si limita alle violazioni commesse con riferimento al solo comma I dell’art. 4 Stat. Lav. In definitiva, la fattispecie penale punisce tutte quelle violazioni connesse all’impiego di impianti audiovisivi o altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori per esigenze che non siano organizzative e produttive, legate alla sicurezza sul lavoro o alla tutela del patrimonio aziendale, nonché tutte quelle violazioni legate al mancato rispetto della procedura autorizzativa (sindacale o amministrativa) circa l’installazione degli impianti stessi. Senza più sanzionare, come in precedenza, le violazioni connesse al comma II dell’art. 4 cioè relative agli strumenti di lavoro e a quelli di registrazione degli accessi e delle presenze.

Art. 172 Pene accessorie

La condanna per uno dei delitti previsti dal presente codice importa la pubblicazione della sentenza ai sensi dell’articolo 36, secondo e terzo comma, del codice penale.

Da ultimo e per completezza si riporta la norma conclusiva di questo capo che sancisce le pene accessorie, in caso di condanna, è prevista la pubblicazione della sentenza ex art. 36 commi II e III del codice penale, con la evidente ratio che tutti siano informati di fatti di reato commessi in materia di protezione dei dati personali.

_______________________________________________________________

  1. Si tratta di provvedimenti che devono essere sottoposti a consultazione pubblica per almeno sessanta giorni, con cui il Garante può dettare ulteriori condizioni sulla base delle quali il trattamento è consentito, con specifico riferimento alle misure di sicurezza (comprese quelle tecniche) e le altre misure necessarie a garantire i diritti degli interessati. Tali misure di garanzia sono espressamente previste per i trattamenti in ambito sanitario (art. 75 D.Lgs. n. 196/2003). E’ evidente però che, trattandosi in genere di provvedimenti che riguardano particolari categorie di dati (biometrici, genetici e relativi alla salute) essi potrebbero riguardare vari settori e categorie di trattamenti di dati personali.
  2. Per approfondimenti sul punto, si rinvia al più preciso contenuto nella giurisprudenza della CGUE (cfr. causa C-46/02, tra Fixtures Marketing Ltd 102 contro Oy Veikkaus Ab.).
  3. Al punto 2.1.3. del documento si legge testualmente “…il WP29 raccomanda di tenere conto, in particolare, dei fattori elencati nel prosieguo al fine di stabilire se un trattamento sia effettuato su larga scala- il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;- il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;- la durata, ovvero la persistenza, dell’attività di trattamento;- la portata geografica dell’attività di trattamento.”
  4. 1. Il Garante per la protezione dei dati personali, con provvedimento di carattere generale da porre in consultazione pubblica entro novanta giorni dalla data di entrata in vigore del presente decreto, individua le prescrizioni contenute nelle autorizzazioni generali già adottate, relative alle situazioni di trattamento di cui agli articoli 6, paragrafo 1, lettere c) ed e), 9, paragrafo 2, lettera b) e 4, nonché al Capo IX del regolamento (UE)2016/679, che risultano compatibili con le disposizioni del medesimo regolamento e del presente decreto e, ove occorra, provvede al loro aggiornamento. Il provvedimento di cui al presente comma e’ adottato entro sessanta giorni dall’esito del procedimento di consultazione pubblica.2. Le autorizzazioni generali sottoposte a verifica a norma del comma 1 che sono state ritenute incompatibili con le disposizioni del Regolamento (UE) 2016/679 cessano di produrre effetti dal momento della pubblicazione nella Gazzetta Ufficiale della Repubblica italiana del provvedimento di cui al comma 1.3. Le autorizzazioni generali del Garante per la protezione dei dati personali adottate prima della data di entrata in vigore del presente decreto e relative a trattamenti diversi da quelli indicati al comma 1 cessano di produrre effetti alla predetta data.4. Sino all’adozione delle regole deontologiche e delle misure di garanzia di cui agli articoli 2-quater e 2-septies del Codice in materia di protezione dei dati personali di cui al decreto legislativo 30 giugno 2003, n. 196 producono effetti, per la corrispondente categoria di dati e di trattamenti, le autorizzazioni generali di cui al comma 2 e le pertinenti prescrizioni individuate con il provvedimento di cui al comma 1.5. Salvo che il fatto costituisca reato, le violazioni delle prescrizioni contenute nelle autorizzazioni generali di cui al presente articolo e nel provvedimento generale di cui al comma 1 sono soggette alla sanzione amministrativa di cui all’articolo 83, paragrafo 5, del Regolamento (UE) 2016/679.

@RIPRODUZIONE RISERVATA

Articolo 1 di 2