martedì 23 ottobre 2018

Osservazioni sui reati nel GDPR


di Gianni Dell’Aiuto | Avvocato | Accademia Italiana Privacy 

Il GDPR, il Regolamento Europeo in materia di trattamento dati personali prevede espressamente al n. 149 delle premesse, la possibilità per ogni singolo Stato di stabilire sanzioni penali per le violazioni delle disposizioni in esso contenute, ribadendo così la riserva degli Stati membri in detta materia. Si riporta l’articolo nella sua interezza nella traduzione in italiano sulla quale, peraltro, si avanzano alcune perplessità in quanto il condizionale che si trova nel testo, si ritiene avrebbe dovuto essere inteso, nel senso e nello spirito della norma, come un dovere per ogni Stato e non una mera possibilità.
  • Gli Stati membri dovrebbero poter stabilire disposizioni relative a sanzioni penali per violazioni del presente regolamento, comprese violazioni di norme nazionali adottate in virtù ed entro i limiti del presente regolamento. Tali sanzioni penali possono altresì autorizzare la sottrazione dei profitti ottenuti attraverso violazioni del presente regolamento. Tuttavia, l'imposizione di sanzioni penali per violazioni di tali norme nazionali e di sanzioni amministrative non dovrebbe essere in contrasto con il principio del ne bis in idem quale interpretato dalla Corte di giustizia.
Il legislatore italiano si è comunque avvalso di questa facoltà e, coerentemente con il precedente regime sanzionatorio, ha affiancato alle già pesanti sanzioni amministrative introdotte dal regolamento, una capillare disciplina penale, lasciano alcune norme già previste nel testo originario della L. 196/2003 e introducendone altre.

In primo luogo si nota come l’art. 167 L. 196/2003 (che per comodità e non proprio correttamente continueremo a chiamare Legge Privacy), nell’indicare fattispecie di reato più strutturate rispetto alla sua precedente versione, vale a dire illecito trattamento dati che arrechi nocumento all’interessato e con pene riviste, prevede una diminuzione delle stesse in caso di erogazione di sanzioni amministrative che siano state riscosse. Si tratta di una forma di beneficio che compensa in parte colui che, oltre alla pena, venga condannato al pagamento di somme che sono decisamente elevate.

Sempre lo stesso articolo prevede che il Pubblico Ministero, quando abbia notizia di reati commessi da chi svolge trattamento di dati personali, deve darne notizia al garante. Se da un lato questa norma prevede il coordinamento tra gli organi preposti alla vigilanza sull’applicazione del GDPR e la magistratura, è intuitivo come l’instaurarsi di due provvedimenti paralleli possa creare non pochi problemi laddove si giunga al processo in sede penale prima del termine del procedimento amministrativo il cui esito inciderebbe sulla misura della pena. Le due autorità dovranno lavorare in stretta collaborazione.

Viene poi introdotto nel nostro ordinamento, con l’art. 167 bis, il reato di “Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala.” La norma prevede due configurazioni del reato: la prima è la comunicazione in violazione della disciplina sostanziale della Legge Privacy; al secondo comma si sanziona la diffusione senza il consenso dell’interessato. Peraltro, pur precisando in entrambi i casi che si tratta di diffusione di un “archivio automatizzato”, la norma non ne fornisce una definizione e si ritiene debba trovare applicazione quella di cui al GDPR secondo il quale per “archivio” s’intende “qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico.” 

Inoltre, l’articolo 167-bis richiede che i dati contenuti nell’archivio siano oggetto di trattamento su larga scala. Né nel decreto di adeguamento, né nel GDPR viene data una definizione di trattamento su larga scala. Si deve quindi rimandare al considerata 91 che indica vi ricomprende quei trattamenti che “mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato.”

Peraltro la disciplina dell’art. 167-bis è configurabile solo quando la diffusione o comunicazione dei dati avvenga in violazione di specifiche disposizioni normative applicabili a soggetti che trattano dati professionalmente o per obbligo di legge. Da ciò deriva che questa nuova fattispecie di reato potrà trovare applicazione soltanto in un numero molto limitato di casi. Come nel precedente caso la pena è diminuita ove venga applicata anche una sanzione amministrativa.

L’articolo 167-ter introduce un’altra fattispecie incriminatrice nei confronti di chi, al fine di trarne profitto ovvero di arrecare danno ad altri, acquisisce con mezzi fraudolenti un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala..

Il nuovo articolo 168 del Codice della Privacy, mantiene sostanzialmente invariata la per chi dichiari o attesti il falso al Garante, reato già previsto dal previgente articolo 168. La norma è integrata al secondo comma che punisce la condotta di “chiunque intenzionalmente cagiona un’interruzione o turba la regolarità di un procedimento dinanzi al Garante o degli accertamenti dallo stesso svolti.” Si tratta di una applicazione specifica dell’art. 340, e con la stessa pena edittale del Codice Penale (Interruzione di un ufficio o servizio pubblico). Questa norma non prevede sanzioni amministrative.

A conclusione delle figure di reato connesse al GDPR, l’art. 170 disciplina l’inosservanza dei provvedimenti del Garante, mentre l’art. 171, nel richiamare lo Statuto dei lavoratori, ribadisce la punibilità di chiunque violi le disposizioni in materia di controlli a distanza e indagini sulle loro opinioni. Vengono depenalizzati gli altri reati previsti nella previgente normativa.

Nessun commento:

Posta un commento