Privacy

Con la pubblicazione nella G.U. n. 205 del 4 settembre 2018 del d.lgs. 10 agosto 2018, n. 101, si è concluso il percorso di recepimento nell'ordinamento interno della nuova normativa in tema di protezione dei dati personali, di cui al reg. UE 2016/679. Il decreto di adeguamento, in vigore dal 19 settembre 2018, ha previsto per i successivi otto mesi una certa flessibilità nell'applicazione delle disposizioni sanzionatorie. Questo periodo sta scadendo: è dunque giunto il momento di fare “il punto della situazione” dal momento che deve ritenersi imminente il passaggio dall'adeguamento al G.D.P.R. agli accertamenti ed all'irrogazione delle eventuali sanzioni, anche penali.

Il progetto di riforma della normativa sulla protezione dei dati personali attuato dalla Commissione UE affida ad un sistema sanzionatorio organizzato su due diversi piani di rilevanza, penale e amministrativo, la garanzia della sua applicazione.

Da un lato, il reg. UE 2016/679 definisce in maniera compiuta gli illeciti amministrativi e le relative sanzioni pecuniarie, dall'altro, lascia che siano gli Stati membri ad identificare i comportamenti penalmente rilevanti.

L'art. 13 della legge 163/2017 (legge di delegazione europea 2016-2017) impegnava il Governo ad adeguare il sistema sanzionatorio penale e amministrativo vigente alle disposizioni del regolamento, con la previsione di sanzioni penali e amministrative efficaci, dissuasive e proporzionate alla gravità della violazione delle disposizioni stesse, andando così a modificare il codice privacy

Il legislatore italiano ha esercitato la delega adottando il d.lgs. 101/2018: con esso è stato ridefinito l'apparato sanzionatorio, è stata ampliata la gamma degli illeciti amministrativi e, allo stesso tempo, è stata incrementata l'entità delle relative sanzioni.

Sul versante penale, sono state introdotte nuove figure di reato, altre sono state depenalizzate in quanto punite dal regolamento con sanzioni amministrative.

Pur rimandando a ulteriori approfondimenti circa il rapporto tra violazioni penali e violazioni amministrative e le possibili violazioni del principio del ne bis in idem, si segnala in questa sede che il legislatore sembra avere ammesso la possibilità di concorso tra reati ed illeciti amministrativi: è stata introdotta la circostanza attenuante di cui all'art. 167, comma 6, codice della privacy, relativa ai casi in cui nei confronti dell'imputato sia già stata applicata e riscossa, ai sensi del decreto o del regolamento, una sanzione amministrativa pecuniaria per lo stesso fatto. In tal modo il legislatore delegato ha tentato di garantire la proporzione del trattamento sanzionatorio, non limitandosi a “scomputare” la sanzione amministrativa dalla pena pecuniaria, come in materia di abusi di mercato, ma prevedendo una circostanza attenuante che possa incidere anche sull'entità della pena detentiva, come suggerito nella giurisprudenza delle Corti europee.

Per gli illeciti amministrativi il regolamento ha adottato il principio c.d. dell'equivalenza sanzionatoria: il livello di protezione garantito dalle nuove norme privacy dovrebbe essere coerente in tutti gli Stati membri mediante l'imposizione di sanzioni equivalenti. A tal fine sono le stesse norme europee ad individuare la condotta materiale e la relativa sanzione.

Invece, per ciò che concerne le disposizioni relative a sanzioni penali, queste sono state rimesse alla discrezionalità del legislatore nazionale.

A tal riguardo, il considerando 149 del regolamento dispone che «Gli Stati membri dovrebbero poter stabilire disposizioni relative a sanzioni penali per violazioni del presente regolamento, comprese violazioni di norme nazionali adottate in virtù ed entro i limiti del presente regolamento». La discrezionalità del legislatore nazionale, in ogni caso, non avrebbe potuto spingersi fino al punto di sanzionare penalmente condotte qualificate dal regolamento come illeciti amministrativi.

Ne è derivata l'espressa abrogazione da parte del decreto di adeguamento, dell'art. 169 del codice privacy, che puniva con l'arresto sino a due anni chiunque, essendovi tenuto, ometteva di adottare le c.d. misure minime di sicurezza.

La norma in parola presentava evidenti deficit di determinatezza e offensività cui ha posto rimedio la depenalizzazione.

Si è trattato di un “percorso obbligato” dal momento che il regolamento, in applicazione del principio dell'accountability, rimette alla responsabilità del titolare del trattamento la scelta delle misure tecniche e organizzative adeguate per garantire ed essere in grado di dimostrare che il trattamento è stato effettuato nel rispetto della normativa privacy: scompare dunque il riferimento alle “misure minime”.

Il nostro legislatore, nel decreto di adeguamento, ha ritenuto di fare specifica applicazione del principio del favor rei: è stata estesa l'applicabilità delle sanzioni amministrative previste dal regolamento, che sostituiscono sanzioni penali, anche alle violazioni commesse anteriormente alla data di entrata in vigore del decreto di adeguamento, sempre che il procedimento penale non sia stato definito con sentenza o con decreto divenuti irrevocabili.

Se i procedimenti penali per i reati depenalizzati dalla riforma siano stati definiti, prima dell'entrata in vigore delle nuove norme, con sentenza di condanna o decreto divenuti irrevocabili, il giudice dell'esecuzione revoca la sentenza o il decreto, dichiarando che il fatto non è previsto dalla legge come reato e adotta i provvedimenti conseguenti.

L'art. 24, comma 3, del d.lgs. 101/2018, dispone che in nessun caso potrà essere applicata in relazione a fatti commessi prima della depenalizzazione, una sanzione amministrativa pecuniaria di importo superiore al massimo della pena inflitta per il reato, secondo il criterio di ragguaglio tra pene detentive e pene pecuniarie, previsto dall'art. 135, c.p.

Va però rammentato che le inosservanze già sanzionate dall'art. 169 codice privacy, non sono rimaste prive di conseguenze sanzionatorie, rilevando attualmente quali illeciti amministrativi sulla base di quanto previsto dall'art. 83, par. 4, lett. a), del regolamento.

E ancora, in materia di dati genetici, biometrici e relativi alla salute l'inosservanza di talune “misure di garanzia” è tuttora punita attraverso il rinvio operato dall'art. 167, comma 2, del codice della privacy all'art. 2-septies.

Ad avviso di chi scrive, il decreto 101/2018 rappresenta “un'occasione perduta” per una complessiva razionalizzazione dell'impianto sanzionatorio in materia di tutela della riservatezza.

In particolare, non pare agevole il coordinamento con le ulteriori fattispecie penali introdotte, qualche mese prima, dal d.lgs. 51/2018 in attuazione della dir. UE 2016/680 relativa al trattamento dei dati personali da parte delle autorità giudiziarie.

Per quanto anche la direttiva, come il regolamento, non prevedesse alcun obbligo di tutela penale, limitandosi a richiedere agli Stati l'introduzione di sanzioni effettive, proporzionate e dissuasive (art. 57), l'art. 11 della leggedelega n. 163/2017 aveva stabilito come criterio direttivo “specifico” quello di «prevedere, per le violazioni delle disposizioni adottate a norma della citata direttiva, l'applicazione della pena detentiva non inferiore nel minimo a sei mesi e non superiore nel massimo a cinque anni, ferma restando la disciplina vigente per le fattispecie penali già oggetto di previsione», criterio cui il legislatore delegato si è conformato prevedendo anche in tale corpo normativo specifiche ipotesi di reato.

La scelta di adeguare la legislazione interna alle due fonti europei in maniera diacronica ha comportato inevitabili ripercussioni sull'organicità e sulla coerenza complessiva della disciplina che emergono esaminandole disposizioni penali previste dal d.lgs. 51/2018, le quali infatti replicano sostanzialmente le fattispecie previste dal codice della privacyprima della riforma operata dal d.lgs. 101/2018.

Può affermarsi che si sia così perduta l'occasione per attuare anche in tema di trattamento dei dati personali quel principio della “riserva di codice” nel nostro ordinamento penale introdotto con il d.lgs. 1 marzo 2018, n. 21, pubblicato nella Gazzetta Ufficiale n. 63 del 22 marzo 2018.

Il nuovo criterio-guida per il legislatore penale voluto dal delegante è ora codificato nell'art. 3-bis del codice penale, introdotto dall'art. 1 d.lgs. 21/2018 e rubricato Principio della riserva di codice. Secondo tale norma, «nuove disposizioni che prevedono reati possono essere introdotte nell'ordinamento solo se modificano il codice penale ovvero sono inserite in leggi che disciplinano in modo organico la materia».

Tale scelta è animata, già nelle intenzioni del delegante, dall'esigenza di garantire «una migliore conoscenza dei precetti e delle sanzioni e quindi […] l'effettività della funzione rieducativa della pena». L'obiettivo, dunque, è una razionalizzazione complessiva della normativa penale, all'esito della quale il cittadino possa trovare le fattispecie idonee a configurare una sua responsabilità penale esclusivamente all'interno del codice penale o, in alternativa, all'interno di leggi “di settore” che disciplinino in maniera omogenea ed omnicomprensiva una certa materia (come i c.d. testi unici, quali ad esempio il d.P.R. 309/1990 in materia di stupefacenti o il d.lgs. 286/1998 in materia di immigrazione, che infatti non hanno subito modifiche).

Ora vero è che tanto il d.lgs. 101/2018 tanto il d.lgs. 51/2018 rappresentano leggi “di settore” ma, per quanto si vedrà in seguito, proprio il difetto di coordinamento frustra nella materia della tutela penale della privacy quella finalità di razionalizzazione complessiva della normativa penale che dovrebbe consentire al cittadino di trovare le fattispecie idonee a configurare una sua responsabilità penale.

A tal fine poteva essere opportuna una modifica legislativa che inserisse la tutela penale della privacy nel codice penale, uniformando le fattispecie sanzionatorie.

Ciò non è stato fatto ed allora occorre districarsi tra le diverse fattispecie incriminatrici.

Il d.lgs. 101/2018 ha apportato diverse modifiche alle fattispecie di trattamento illecito di dati personali previste dall'art. 167, commi 1 e 2, codice della privacy, ossia quelle indubbiamente di maggior rilievo in quanto incentrate, almeno prevalentemente, sulla protezione di beni giuridici individuali piuttosto che sulla tutela delle funzioni del Garante.

Una prima direttrice di riforma concerne il novero delle disposizioni richiamate ai fini della definizione delle condotte punibili.

Nello specifico, nella fattispecie di cui al primo comma relativa ai dati comuni, è stato soppresso il riferimento agli artt. 18, 19 e 23 del codice della privacy, risultando ora richiamate esclusivamente le violazioni delle regole relative:

• al trattamento dei dati relativi al traffico riguardanti contraenti ed utenti trattati dal fornitore di una rete pubblica di comunicazioni o di un servizio di comunicazione elettronica accessibile al pubblico, ossia i c.d. “tabulati” (art. 123);
• al trattamento dei dati relativi all'ubicazione diversi dai dati relativi al traffico riguardanti i medesimi soggetti (art. 126);
• all'uso di sistemi automatizzati di chiamata o di comunicazione di chiamata (art. 130);
• le inosservanze dei provvedimenti del Garante previsti dall'art. 129 (concernenti le modalità di inserimento e di successivo utilizzo dei dati personali relativi ai contraenti di fornitori di servizi di comunicazione elettronica accessibile al pubblico negli elenchi cartacei o elettronici a disposizione del pubblico).

Quanto alla fattispecie prevista dal secondo comma dell'art. 167, ossia quella concernente il trattamento dei dati sensibili e giudiziari, il rinvio alle disposizioni la cui violazione costituisce reato è ora limitato a quattro articoli del codice della privacy i quali disciplinano i casi in cui il trattamento è ammesso (art. 2-sexies per i dati sensibili e art. 2-octies per i dati giudiziari), le misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute (art. 2 septies), e le “misure e accorgimenti” dettati con “provvedimenti generali” dal Garante per i trattamenti che possono presentare rischi elevati ai sensi dell'articolo 35 del regolamento (ossia quelli effettuati con l'utilizzo di nuove tecnologie).

La riforma ha inciso sulla struttura di entrambe le fattispecie e, in particolare, sulla natura del nocumento per l'interessato.

Pare opportuno premettere la pregressa elaborazione giurisprudenziale.

Già Cass. pen. Sez. III, (ud. 19 ottobre 2017) 29 dicembre 2017, n. 57928 aveva ritenuto che ben può rientrare nel concetto di nocumento, non patrimoniale, la forte preoccupazione per la propria incolumità e per i propri beni derivante dalla comunicazione di dati personali a soggetti sconosciuti «in un contesto connotato dal rinvenimento, unitamente alle immagini stese, di un dossier comprendente informazioni sulla propria vettura, già in precedenza oggetto di danneggiamento, e della fotografia di casa con contrassegnati i vari punti di accesso».

Poi Cass. pen., Sez. III, (ud. 19 giugno 2018) 20 novembre 2018, n. 52135 ha precisato che il nocumento previsto dal d.lgs. 196 del 2003, art. 167, indipendentemente dalla sua qualificazione in termini di condizione obiettiva di punibilità ovvero di elemento costitutivo del reato, deve essere inteso come un pregiudizio giuridicamente rilevante di qualsiasi natura, patrimoniale o non patrimoniale, subito dalla persona alla quale si riferiscono i dati o le informazioni protetti, ma anche da terzi quale conseguenza dell'illecito trattamento. Alla luce di tale inquadramento, ben può dunque rientrare, nel concetto di nocumento, il danno, che presenta profili parimenti patrimoniali e non patrimoniali, dovuto all'illecita trasmissione di un verbale di assemblea societaria contenente dati falsi, recante l'indicazione di soggetti che hanno assunto delle cariche in virtù delle quali hanno contratto debiti per la società.

Il legislatore del 2018 è venuto a qualificare il “nocumento” quale elemento costitutivo (in particolare, come evento) del reato.

La maggiore centralità attribuita al nocumento per l'interessato risulta coerente con una logica di tutela personalistica.

Proprio la sentenza da ultimo citata, Cass. pen. Sez. III, ud. 19 giugno 2018) 20 novembre 2018, n. 52135, consente significative riflessioni in ordine al rapporto tra il reato di cui all'art. 167 e i reati contro il patrimonio.

Nel caso di specie, i giudici di merito avevano accertato in fatto che gli imputati avevano predisposto un falso verbale di assemblea societaria, facendo figurare una cessione di quote che aveva esautorato l'amministratore unico e socio di maggioranza, e il socio di minoranza di una S.R.L. Con la loro condotta gli imputati avevano cagionato alle persone offese il danno di forniture, che le stesse non avevano ordinato né utilizzato, ma dei cui costi erano state gravate. Ne era derivata la condanna per trattamento illecito dei dati: non si era proceduto per truffa per mancanza di querela. Nel ricorso in Cassazione si sosteneva che i fatti come contestati integravano la truffa per la quale mancava la querela, che, se pure presentata, non avrebbe consentito di perseguire anche il reato ex d.lgs. 196 del 2003: ciò avrebbe determinato un'indebita proliferazione di capi d'imputazione in relazione ad un unico fatto. Gli artifici e i raggiri della truffa costituivano parte inscindibile del reato e non potevano essere contestati autonomamente, nemmeno nell'ipotesi in cui il reato principale non fosse stato procedibile a querela.

Con riferimento al rapporto tra l'art. 640 c.p. e il d.lgs. 196 del 2003, art. 167, la Cassazione ha osservato che si tratta di reati che tutelano beni giuridici diversi e presentano modalità di attuazione solo in parte sovrapponibili. La norma del c. p. è genericamente posta a tutela del patrimonio della persona offesa, mentre la norma del codice privacy è specificamente posta a tutela della riservatezza dei dati dell'individuo. Nella truffa, l'agente con artifizi e raggiri induce altri in errore per procurare a sé o ad altri un ingiusto profitto con altrui nocumento, nel reato del d.lgs. 196 del 2003, art. 167 invece, salvo che il fatto costituisca più grave reato, l'agente per trarre per sé o per altri un profitto o per recare ad altri un danno, procede al trattamento dei dati personali in violazione di norme specificamente indicate e con diverse conseguenze sul piano sanzionatorio. La lettura del d.lgs. 196 del 2003, art. 167 induce la considerazione che la condotta qualificante è l'illecito trattamento dei dati personali, che prescinde dall'uso di artifizi e raggiri, dall'induzione in errore, e dal nesso causale tra il profitto ed il danno, siccome non è richiesta nessuna di queste condizioni, e, per giunta, il profitto è alternativo al nocumento. Nella truffa si ritiene generalmente che il dolo sia generico, nel reato di cui all'art. 167 d.lgs. 196/2003 che il dolo sia specifico. Tali considerazioni valgono a convalidare la conclusione che i due reati possano coesistere, con la conseguenza che la mancata contestazione dell'uno non preclude la contestazione dell'altro.

Cass. pen. Sez. III, (ud. 8 giugno 2018) 4 settembre 2018, n. 39682 ha precisato nel reato in oggetto non è possibile applicare la scriminante della provocazione, in quanto il reato di cui al d.lgs. 196 del 2003, art. 167, comma 1 tutela specificamente un bene costituzionalmente protetto, la riservatezza dei propri dati personali.

Invece, secondo Cass. pen. Sez. III, (ud. 18 luglio 2017) 19 dicembre 2017, n. 56444, non costituisce violazione della disciplina in tema di protezione dei dati personali il loro utilizzo in un giudizio al fine di far valere o difendere un diritto processuale.

Mentre il d.lgs. 101/2018 ha innovato le fattispecie previste dall'art. 167, i reati di trattamento illecito previsti dall'art. 43 del d.lgs. 51/2018 sono strutturati sul modello del previgente art. 167 del codice privacy, cosicché il requisito del nocumento per l'interessato viene introdotto dalla locuzione se dal fatto deriva che ne suggerisce un inquadramento come condizione obiettiva di punibilità.

Appare evidente l'asimmetria di trattamento di fattispecie identiche: da un lato il nocumento è configurato come elemento costitutivo del reato, dall'altro come condizione obiettiva di punibilità. E ciò a fronte di un forte orientamento giurisprudenziale volto a ritenere l'irrilevanza di tale “disputa” dal momento che ciò che rileva è un pregiudizio giuridicamente rilevante.

È poi giusto il caso di sottolineare che le condotte rilevanti, nella loro genericità, sono definite essenzialmente attraverso il rinvio ad altre disposizioni (gli artt. 5, commi 1, 7 e 8, comma 4) e che pertanto, per via degli ulteriori rinvii contenuti in queste ultime disposizioni, emergono significative criticità in termini di determinatezza.

Il d.lgs. 101/2018 ha poi introdotto tre nuove fattispecie aventi ad oggetto ipotesi specifiche di trattamento illecito.

La prima è quella attualmente prevista dal comma 3 dell'art. 167 del codice privacy, secondo cui è punita da uno a sei anni di reclusione la condotta di trasferimento dei dati personali verso un Paese terzo o un'organizzazione internazionale al di fuori dei casi consentiti ai sensi degli artt. 45, 46 o 49 del regolamento.

Anche in questo caso, oltre ad essere richiesto il dolo specifico alternativo di profitto o di danno, è stata esplicitata la natura di elemento costitutivo del nocumento per l'interessato, con un'evidente simmetria rispetto alle fattispecie previste dai commi 1 e 2 della medesima disposizione.

Tale simmetria viene meno, invece, nelle ulteriori due fattispecie specifiche di trattamento illecito stabilite dai nuovi artt. 167-bis e 167-ter, le quali sanzionano rispettivamente la comunicazione e diffusione in violazione degli artt. 2-ter, 2-sexies e 2-octies e l'acquisizione con mezzo fraudolento laddove tali condotte siano relative a un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala.

Il legislatore ha così inteso irrigidire la risposta penale rispetto a quelle che sembrano effettivamente le ipotesi caratterizzate da maggiore diffusività lesiva rispetto alla riservatezza dei titolari dei dati personali, anche se proprio l'assenza di qualsiasi riferimento (come evento o come condizione obiettiva di punibilità) al nocumento per l'interessato non pare coerente con un inquadramento personalistico del bene giuridico tutelato, tradendo una ratio (almeno in parte) pubblicistica delle incriminazioni.

Rimane una certa indeterminatezza delle fattispecie dovuta al criterio quantitativo richiamato nella descrizione del trattamento punito, per quanto si possa apprezzare l'utilizzo di una nozione (“trattamento su larga scala”) richiamata anche da altre disposizioni del regolamento, diversamente da quella del “numero rilevante di persone” che era emersa durante i lavori preparatori.

Il G.D.P.R. evoca il concetto di larga scala ai fini dell'obbligo di nomina del D.P.O. (art. 37) e di svolgimento della valutazione di impatto (art. 35).

Tuttavia tale nozione non è in alcun modo precisata.

Il legislatore comunitario, infatti, fa solo un generico riferimento a trattamenti di notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati (cfr. considerando 91).

Il Gruppo di Lavoro Articolo 29, il quale – nelle linee-guida sui responsabili della protezione dei dati aggiornate al 5 aprile 2017 – ha precisato che al fine di determinare se il trattamento di dati è svolto su larga scala si deve tener conto dei seguenti fattori: il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento; il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento; la durata, ovvero la persistenza, dell'attività di trattamento; la portata geografica dell'attività di trattamento.

Alcuni esempi di trattamento su larga scala sono:

• trattamento di dati relativi a pazienti svolto da un ospedale nell'ambito delle ordinarie attività;
• trattamento di dati relativi agli spostamenti di utenti di un servizio di trasporto pubblico cittadino (per esempio, il loro tracciamento attraverso titoli di viaggio);
• trattamento di dati di geolocalizzazione raccolti in tempo reale per finalità statistiche da un responsabile del trattamento specializzato nella prestazione di servizi di questo tipo rispetto ai clienti di una catena internazionale di fast food;
• trattamento di dati relativi alla clientela da parte di una compagnia assicurativa o di una banca nell'ambito delle ordinarie attività;
• trattamento di dati personali da parte di un motore di ricerca per finalità di pubblicità comportamentale;
• trattamento di dati (metadati, contenuti, ubicazione) da parte di fornitori di servizi telefonici o telematici.

Non devono, invece, ritenersi su larga scala, ad esempio, i trattamenti di dati relativi a pazienti svolti da singoli professionisti sanitari, quelli relativi a condanne penali e reati svolti da singoli avvocati.

Quando un determinato trattamento – tenuto conto dell'uso di nuove tecnologie e della sua natura, del contesto e delle finalità – può presentare un rischio elevato per i diritti e libertà delle persone fisiche, il titolare dovrà effettuare una valutazione d'impatto di tale trattamento sulla protezione dei dati (data privacy impact assessment - DPIA).

La DPIA è richiesta, tra gli altri, nei seguenti casi: trattamento su larga scala di dati sensibili e giudiziari penali; oppure sorveglianza sistematica su larga scala di una zona accessibile al pubblico.

È poi obbligatoria la nomina di un particolare organismo di controllo (data protection officer - DPO), tra gli altri, nel seguente caso: quando vi sia trattamento su larga scala di dati sensibili o giudiziari penali (ad esempio, i dati di pazienti negli ospedali o nelle residenze per anziani -social housing).

Anche le fattispecie di cui agli artt. 168 ss. avrebbero potuto essere oggetto di una più incisiva depenalizzazione, trattandosi di reati che, rispetto a quelli di trattamento illecito dei dati personali, risultano ispirati ad una logica di tutela delle funzioni del Garante.

Esse attribuiscono rilievo penale anche a condotte di mera inosservanza/inottemperanza, come tali non ulteriormente caratterizzate da un apprezzabile grado di prossimità lesiva rispetto al diritto alla riservatezza degli interessati (si pensi, in particolare, a quanto previsto dall'art. 170, ma lo stesso potrebbe dirsi in relazione all'art. 168).

Il legislatore delegato si è limitato a riformulare in termini maggiormente sintetici la fattispecie di cui all'art. 168, comma 1, del codice della privacy, incentrata sulle falsità al Garante.

Nella disposizione è stato introdotto un capoverso recante una nuova fattispecie che punisce con la reclusione sino ad un anno l'interruzione o la turbativa di procedimenti dinanzi al Garante.

Si tratta di un'ipotesi speciale rispetto al reato previsto dall'art. 340 c.p., di cui viene ripresa la descrizione della condotta tipica, salva l'espressa qualificazione del dolo come intenzionale, e la cornice di pena.

Infine, interventi più marginali hanno riguardato l'art. 170 – mediante una ridefinizione dei provvedimenti del Garante la cui violazione ha rilevanza penale, con un riferimento ai provvedimenti generali di cui all'art. 21, comma 1, del d.lgs. 101/2018 – e l'art. 171, nel quale compare ora un rinvio all'art. 8 dello statuto dei lavoratori sulle indagini sui lavoratori (precedentemente richiamato invece attraverso il riferimento all'art. 113 del codice privacy) e viene soppresso il riferimento (effettivamente superfluo) all'art. 4, comma 2 del medesimo statuto.

Il decreto di adeguamento ha poi reinserito nel codice della privacy l'art. 170, che già nel sistema previgente assoggettava a sanzione penale l'inosservanza dei provvedimenti del Garante.

La norma era stata abrogata dallo schema di decreto sottoposto a parere parlamentare, per poi essere reintrodotta nel testo definitivo per ragioni di ordine sistematico posto che la medesima fattispecie è punita dall'art. 45 del d.lgs. 18 maggio 2018, n. 51.

Pertanto, anche nel sistema attualmente vigente, l'inosservanza di provvedimenti del Garante vale ad integrare un reato omissivo proprio punito con la reclusione da tre a due anni.

Come già osservato, le ulteriori fattispecie incriminatrici previste dal d.lgs. 51/2018 si rifanno alla disciplina previgente del codice privacy.

Così, l'art. 44 prevede soltanto il reato di falsità in atti e dichiarazioni al Garante, senza che sia stato qui introdotto un nuovo comma volto a punire l'interruzione o la turbativa della sua attività, mentre l'art. 45 sanziona (esclusivamente) l'inosservanza del provvedimento del Garante adottato ai sensi dell'art. 143 del codice privacy (non più richiamato, invece, dal novellato art. 170).

Non risulta invece replicata una fattispecie penale in tema di inosservanza di misure minime di sicurezza.

Emerge dunque un generale difetto di coordinamento tra le fattispecie penali previste dal d.lgs. n. 51/2018 e quelle attualmente stabilite dal codice privacy dato che in quest'ultimo corpo normativo non viene precisato – a differenza di quanto stabilito dall'art. 166, comma 10, in tema di sanzioni amministrative – che le seconde non si applicano in relazione ai trattamenti svolti in ambito giudiziario.

Ora, se certamente il reato di falsità al Garante di cui all'art. 44 del decreto è norma speciale rispetto a quello previsto dall'art. 168 del codice privacy e se è vero che gli artt. 43 e 45 richiamano la violazione di disposizioni diverse rispetto agli omologhi artt. 167 e 170 del codice della privacy, ciò non pare scongiurare l'eventualità di duplici qualificazioni penali di determinate ipotesi di trattamento illecito dei dati personali.

Dovendosi escludere il concorso formale di reati per evidenti ragioni di rispetto del ne bis in idem sostanziale, la prevalenza dell'una o dell'altra fattispecie pare affidata – più che alla clausola di riserva inserita nelle disposizioni del decreto (“salvo che il fatto costituisca più grave reato”), dato che le comminatorie edittali sono identiche – a delicate valutazioni in termini di specialità reciproca o bilaterale (l'evento del nocumento da un lato, la specifica tipologia dei dati e dei soggetti attivi dall'altro).

La riforma, infine, conferma la punibilità in via contravvenzionale, con l'ammenda da 154 a 1.549 euro o con l'arresto da 15 giorni ad un anno, delle violazioni in materia di controllo a distanza dei lavoratori con impianti audiovisivi e altri strumenti.

Il nuovo art. 171, inoltre, assoggetta alla stessa sanzione le violazioni del divieto di indagine da parte del datore di lavoro, delle opinioni politiche, religiose e sindacali del lavoratore.

L'art. 15, d.lgs. 101/2018, in conformità con il previgente regime, ripropone quale misura accessoria, in caso di condanna per uno dei reati previsti dal nuovo sistema sanzionatorio penale, la pubblicazione della sentenza.

Tuttavia, il nuovo art. 172 fa ora espresso riferimento all'art. 86, comma 2 e 3, del codice penale; di talché la pubblicazione della sentenza deve avvenire nel sito internet del Ministero della Giustizia, di regola per estratto, a spese del condannato, per una durata stabilita dal giudice in misura non superiore a 30 giorni. In mancanza, la durata è di 15 giorni.

Le sanzioni penali sopra richiamate, per ora, non sono state incluse nel catalogo dei reati che fondano la responsabilità amministrativa degli enti ex d.lgs. 231/2001, ma possono essere “catturate” in alcune delle fattispecie generali penali ricomprese tra i “reati 231”.

Tra queste sicuramente rientrano la ricettazione, il riciclaggio e l'autoriciclaggio. Il trattamento illecito di dati personali può infatti procurare un profitto o, almeno, un risparmio di spesa all'ente: tali proventi illeciti potrebbero essere impiegati in attività lecite (art 25-octies d.lgs. 231).

Di recente la Cassazione, s. 25979/2018, ha ritenuto configurabile a carico di un ente l'autoriciclaggio dei proventi di un'estorsione (altro reato non presupposto).

Ancora, vi rientrano i reati informatici (art 24-bis d.lgs. 231).

Allora il sistema di organizzazione, gestione e controllo in tema di privacy rileva in modo importante sulla prevenzione dei reati di profitto e dei reati informatici sopra richiamati.

Sotto questo profilo trattasi di sistema che va opportunamente richiamato nel (e coordinato con il) Modello organizzativo.

Sussistendo fattispecie di “reato 231” che possono sovrapporsi alle fattispecie penali privacy, sarà opportuno che il “modello 231” e il sistema di gestione dei dati aziendale siano coordinati tra loro, anche ai fini della corretta allocazione dei ruoli interni all'impresa.

Si adotta, in altre parole, uno schema molto vicino a quello già utilizzato dal d.lgs. 231/2001 laddove quest'ultimo affida all'ente la responsabilità d'individuare e adottare politiche, procedure, principi di comportamento e di controllo sufficienti a prevenire la commissione di violazioni.

Come nel caso dei “modelli 231”, perciò, il titolare dovrà procedere inizialmente a una mappatura dei trattamenti (quali dati sono trattati, a che fine, da chi sono ricevuti, con chi sono condivisi, a che categoria appartengono, etc.), cui seguirà una fase di verifica dei rischi e delle regole aziendali volte a minimizzarli e, infine, un rafforzamento delle regole di comportamento e di controllo ove appaia una debolezza organizzativa, fisica o logica.

Il tutto dovrà essere completato da un codice disciplinare per sanzionare le violazioni da parte di dipendenti e ausiliari (codice che dovrà rispettare anche le norme giuslavoristiche, evidentemente).

Il Data Protection Officer è interlocutore importante dell'OdV, alla stregua del RSPP e dei Responsabili dei sistemi di gestione aziendale.

Problematico, invece, il suo inserimento nell'OdV alla luce dei compiti che gli spettano: costituisce punto di contatto con il Garante, è direttamente accessibile dagli interessati e, soprattutto, deve monitorare le modalità di trattamento da parte del Titolare e del Responsabile (e, quindi, dovrebbe monitorare anche il trattamento effettuato dall'OdV).

Come già detto, la moratoria sanzionatoria prevista dal decreto di adeguamento al G.D.P.R. sta per scadere.

Sono molte le “sfide” che si pongono in particolare per le realtà societarie: ingenti quantitativi di dati personali vengono messi in gioco nelle ristrutturazioni/riorganizzazioni societarie, nelle procedure di licenziamento collettivo, nella predisposizione e applicazione dei “modelli 231” , nella gestione del contenzioso che riguardi la società e/o esponenti della società.

Si pensi adesso anche alla gestione dei meccanismi di whistleblowing: il d.lgs. d'adeguamento ha opportunamente previsto, all'art. 2 undecies, comma 1, lett. f, che il “segnalato” non possa esercitare i propri diritti privacy (ad es., accesso o rettifica) qualora da ciò possa derivare pregiudizio effettivo e concreto alla riservatezza del “segnalante”.

È evidente infatti che l'identità del segnalante debba a tutti i costi rimanere segreta (salvo che nel contesto di un procedimento penale nel qual caso si applica l'art. 329 c.p.), il che costituisce il perno e il fine ultimo della L. 30 novembre 2017, n. 179 sul whistleblowing.

Il comma 3 dell'art. 2 undecies del d.lgs. d'adeguamento prevede in tali casi che il segnalato riceva una comunicazione motivata e proporzionata che giustifichi la limitazione dei diritti del segnalato e prevede altresì la possibilità che i diritti del segnalato possano essere esercitati “tramite il Garante” (art. 160 codice Privacy), in modo tale da non compromettere la riservatezza sull'identità del segnalante.

Restano aperti alcuni problemi, nondimeno.

Salva la riservatezza del segnalante, gli obblighi d'informativa privacy al segnalato sulla sussistenza stessa di un procedimento interno di verifica e indagine (procedimento che equivale a un trattamento dei dati personali del segnalato) può infatti frustrare le finalità di tale procedimento, mettendo sull'avviso il segnalato e potenzialmente perturbando l'indagine interna. Su questi temi si rimanda a quanto stabilito nel parere 1/2006 adottato il 1° febbraio 2016 dal Gruppo Art. 29.

Quanti hanno adeguato le imprese al G.D.P.R. hanno pensato a tutte queste implicazioni poste da attenta e autorevole dottrina?

Saranno la giurisprudenza, ed il Garante, a dare opportuna risposta al quesito.

A. Fedi, Diritto dell'impresa e protezione dei dati personali, Società, 2018, 10, 1087

V. Manes, F. Mazzacuva, Gdpr e nuove disposizioni penali del codice privacy, Dir. Pen. e Processo, 2019, 2, 167

V. Vallefuoco, Nuova normativa sulla privacy: prima applicazione "flessibile" delle disposizioni sanzionatorie, Fisco, 2018, 42, 4063