Le sanzioni penali per violazione della Privacy

Le sanzioni penali per violazione della Privacy

Il legislatore italiano, nel recepimento delle novità introdotte dal Reg. UE 2016/679 (GDPR), ha effettuato una revisione delle sanzioni penali previste dal Codice Privacy (D.lgs 196/2003) lavorando sulle fattispecie già sanzionate nel Regolamento ed introducendo alcune novità anche sotto l’aspetto sanzionatorio.

1. Sanzioni penali e fattispecie di reato dopo il D.lgs. 101/2018.

Con l’entrata in vigore del Reg. UE 2016/679 (GDPR) l’ Unione Europea ha inteso incoraggiare lo sviluppo di una normativa in materia di dati personali che fosse omogenea ed armonica per tutti gli Stati membri.

C’è infatti un criterio di omogeneità che permea l’intera disciplina in parola affinché ogni Titolare del trattamento possa avere un’unica normativa di riferimento senza essere assogettato ad ordinamenti e regimi sanzionatori diversi in base all’Autorità nazionale interessata.

In apparete contrasto con quanto appena detto risiede la previsione ex art. 84 del GDPR con la quale viene lasciato un certo margine di discrezionalità agli Stati membri per la determinazione e definizione di un regime sanzionatorio diverso ed ulteriore in materia di violazione della Privacy che vada ad affiancarsi alle sanzioni amministrative specificamente indicate all’interno del Regolamento.

Il fatto che tale normativa, pur individuando alcuni criteri ai quali gli Stati debbano attenersi per la definizione del regime sanzionatorio, abbia lasciato agli stessi un certo margine di discrezionalità nella definizione delle sanzioni di natura diversa e quindi anche penale, è da interpretare come un modo per evitare la violazione del principio del “ne bis in idem”, in virtù del quale una persona non può essere punita più volte per una stessa fattispecie di reato.

In tale contesto il legislatore italiano ha rivisto la disciplina dei reati previsti dal D.lgs 196/2003 agendo su quelle fattispecie originariamente punite come reati penali dalla normativa nazionale ed in riferimento alle quali, invece, il GDPR prevede l’applicazione di una sanzione di natura amministrativa ed ha poi integrato il regime sanzionatorio così disciplinato con fattispecie ulteriori non direttamente annoverate nel Regolamento.

Per questo motivo i lavori di stesura del Decreto legislativo 101/2018 hanno necessitato di una costante collaborazione con l’Autorità Garante affinché fosse possibile operare tale necessario coordinamento tra la precedente disciplina e il recepimento dei suoi aggiornamenti.

2. Trattamento illecito dei dati (Art. 167).

La nuova formulazione dell’art. 167 del D.lgs. 196/2003, aggiornata al D.lgs. 101/2018, disciplina la fattispecie penalmente rilevante del trattamento illecito dei dati. Il trattamento effettuato in violazione dei disposti di cui all’art. 123, 126 e 130, relativi al trattamento dei dati viene punito con la reclusione da sei mesi ad un anno e sei mesi.

Per l’intrinseca delicatezza dei dati in questione ed il loro inscindibile legame con diritti dell’interessato quali il diritto all’identità personale e alla reputazione, pene più severe (reclusione da uno a tre anni) sono previste in riferimento al trattamento dei dati effettuato in violazione degli articoli 9 e 10 del Regolamento e quindi ai trattamenti aventi ad oggetto dati sensibili e dati giudiziari degli interessati.

Il regime sanzionatorio si estende anche a chi, in violazione dei disposti di cui agli articoli 45, 46 e 49 del Regolamento, trasferisce i dati personali verso un paese terzo e/o verso un’organizzazione internazionale.

Andando a leggere la formulazione dell’art. 167 appare evidente che come elemento fondamentale affinché possa delinearsi la fattispecie di reato in parola ci sia il fatto che il reo abbia agito con il preciso intento di trarre per sé o per altri un profitto ovvero per arrecare un danno all’interessato.

3. Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala (Art. 167-bis).

L’Art. 167-bis  dell’attuale Dlgs. 196/2003 disciplina una nuova fattispecie di reato che viene a delinearsi nel momento in cui il reo comunichi ovvero diffonda i dati personali dei soggetti interessati, in violazione di alcuni requisiti richiesti in materia, quali ad esempio il consenso dell’interessato.

Il reato in questione si configura nel momento in cui l’attività illecita posta in essere abbia ad oggetto un elevato numero di dati personali riferibili ad un elevato numero di persone. Il reato è punito con la pena alla reclusione da uno a sei anni.

Occorre però soffermarsi sul fatto che pochi sono gli elementi in virtù dei quali è possibile comprendere cosa si intenda precisamente per “trattamenti su larga scala” definiti nel considerando 91 del GDPR come quelle tipologie di trattamento dati che “mirano al trattamento di una notevole quantià di dati a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato”. Non sono quindi forniti dei parametri oggettivi (es. il numero degli interessati coinvolti) in base ai quali stabilire quando un trattamento sia da considerare “su larga scala”

Alla poca chiarezza degli elementi attraverso i quali riconoscere un trattamento di questo tipo si aggiungono altre perplessità espresse dalla dottrina in riferimento all’utilizzo del termine “archivio automatizzato” che in apparenza potrebbe essere interpretata come una forte limitazione di applicabilità delle sanzioni in questione nel caso in cui la diffusione o comunicazione illecita dei dati avvenga utilizzando informazioni prese da archivi di altra natura.

4. Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala (Art. 167-ter).

Anche questa fattispecie di reato costituisce una novità in materia e si atteggia come l’altra faccia della medaglia di quanto detto a proposito di diffusione e comunicazione illecita di dati.

In questo caso viene punito con la reclusione da uno a quattro anni chiunque, con l’intento di trarre un profitto per sé o per altri ovvero di arrecare un danno a terzi, acquisisca fraudolentemente un archivio automatizzato, o significativa parte di esso, contenente dati personali oggetto di trattamento su larga scala.

Anche in questo caso persistono i dubbi sopra espressi in relazione alla corretta interpretazione dell’articolo analizzato.

5. Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante (Art. 168).

La fattispecie in esame era già presente nella precedente normativa ed attualmente la sanzione prevista è della reclusione da sei mei a tre anni applicabile nei confronti dei soggetti che, nei procedimenti instaurati dinnanzi al Garante della Privacy, dichiarano o attestano il falso anche attraverso la produzione di falsa documentazione.

La disposizione prosegue prevedendo che chiunque cagiona intenzionalmente una interruzione o turba il regolare svolgimento di un procedimento dinnanzi al Garante venga punito con la reclusione fino ad un anno.

La ratio di tale fattispecie discende dalla disciplina dettata in materia di false dichiarazioni e/o attestazioni rese al cospetto dell’Autorità giudiziaria e la sua opportunità risiede, oltre che nella tutela di un’attività di fondamentale importanza quale quella del Garante della Privazy, anche nel fatto che una fattispecie del genere non era stata in alcun modo disciplinata dal GDPR.

6. Inosservanza di provvedimenti del Garante (Art. 170).

Viene punito con la reclusione da tre mesi a due anni colui che, essendovi tenuto, non abbia dato seguito e non abbia osservato un provvedimento adottato dal Garante.

Effettuare una valutazione del caso concreto sarà in questi casi più che mai importante affinché possa essere determinato il grado di inosservanza del provvedimento in questione e conseguentemente definita l’entità della sanzione da applicare.

7. Violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori (Art. 171).

La violazione delle disposizioni di cui all’art. 4 co. 1 e quindi in materia di installazione di impianti audiovisivi sui luoghi di lavoro, e dell’art. 8 in materia di divieto di indagini, da parte del datore di lavoro, sulle opinioni politiche e sindacali del lavoratore, annoverati nella disciplina dettata dalla L. 300/70, sono puniti con le sanzioni previste a norma dell’art. 38 della stessa legge.

Le segnalazioni relative ad un uso improprio degli impianti di videosorveglianza sul luogo di lavoro sono in costante aumento presso l’Autorità Garante ed a tal proposito la Cassazione, con la Sent. 22148/2017, ha anche precisato che l’installazione di un impianto di videosorveglianza in grado di porre in essere un controllo a distanza sull’attività dei lavoratori senza un previo accordo con le rappresentanze sindacali, costituisce sempre un illecito anche se i lavoratori vi abbiano acconsentito.

Significative novità sono state apportate in materia dal D.lgs. 136/2016 cd. “Jobs Act” soprattutto in materia di controlli a distanza dei lavoratori i cui confini di legittimità necessitano sicuramente di ulteriori interventi chiarificatori.

Da quanto brevemente riportato risulta evidente come la normativa in materia di trattamento dei dati personali necessiti ancora di ulteriori interventi volti a definire alcuni concetti la cui univoca e chiara interpretazione è irrinunciabile per una sistematica ed oggettiva applicazione della normativa stessa.

Sarà però altresì necessario attendere che anche l’esperienza faccia il suo corso in modo tale che sia possibile individuare i limiti della normativa nazionale e comunitaria dalla sua concreta applicazione onde poter focalizzare le aree sulle quali è necessario intervenire.

Riferimenti normativi

D.lgs. 196/2003 aggiornato al D.lgs 101/2018

GDPR: Regolamento Generale sulla protezione dei dati : Reg UE 2016/679

L.300/70 “Statuto dei lavoratori”