La privacy 4.0 ridisegna il sistema sanzionatorio per punire gli illeciti
Le modifiche al codice della privacy per adeguare la normativa italiana al GDPR introducono nuove ipotesi di reato per chi non è in regola. L’obiettivo è aggiornare la disciplina in materia di trattamento dei dati alle esigenze della digital transformation, all’impiego delle nuove tecnologie, al fenomeno dei big data e dei grandi archivi. Innovativa, tra le altre, è l’ipotesi di reato di “comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala”, che punisce chiunque comunichi o diffonda un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala.
Il decreto legislativo n. 101/2018, pensato per adeguare la normativa nazionale italiana alle disposizioni del GDPR (già in vigore dal 2016, e attuato dal 25 maggio 2018), contiene una parte che va a disciplinare le sanzioni penali che caratterizzeranno la nuova era “digitale” della protezione dei dati.
Nel regime precedente, reati quali l’omessa adozione di misure minime di sicurezza, il trattamento illecito dei dati e le false comunicazioni all’Autorità Garante si erano ritagliati uno spazio importante nel sistema più generale degli adeguamenti e degli obblighi di protezione dei dati.
L’avvento del GDPR aveva, al contempo, generato diversi timori in quanto non si faceva cenno a sanzioni penali o, meglio, si lasciavano i singoli Stati liberi di decidere sul punto.
Nuove sanzioni - Si era diffusa una voce, i primi mesi, circa l’intenzione dello Stato italiano di non prevedere sanzioni penali nell’ambito della protezione dei dati (mutando, così, rotta rispetto alla disciplina precedente e valutando le più ampie sanzioni amministrative presenti nel Regolamento già sufficienti come strumento di repressione dei comportamenti illeciti).
In realtà, il testo finale del decreto, che va a modificare il Codice privacy del 2003 rimasto, così, in vita in quelle parti non disciplinate (o non in conflitto) con il Regolamento, prevede eccome delle fattispecie di reato e ha allargato il quadro precedente con nuove ipotesi più adatte ai tempi tecnologici, al fenomeno dei big data e dei grandi archivi e alla possibilità, in caso di incidente informatico o di violazione delle misure di sicurezza, di arrecare danni ai diritti e alle libertà di un gran numero di individui.
Trattamento illecito di dati - In primis, la vecchia ipotesi del trattamento illecito di dati è rimasta ben salda nell’articolo 167 del Codice Privacy, e apre il Capo II dedicato, appunto, agli “Illeciti penali”.
L’articolo in questione diventa, però, più complesso e si articola in tanti punti ben distinti.
Il primo stabilisce che, salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, effettua operazioni di trattamento dei dati in violazione di specifiche disposizioni di legge (soprattutto quelle relative al traffico, all’ubicazione e alle comunicazioni indesiderate) e arreca nocumento all’interessato, è punito con la reclusione da sei mesi a un anno e sei mesi.
Si tratta, come è facile comprendere, dell’ipotesi più lieve, che va a sanzionare comportamenti connessi ai dati relativi al traffico, alle reti pubbliche di comunicazioni, ai servizi di comunicazione elettronica, alle informazioni sull’ubicazione degli utenti e alle comunicazioni indesiderate, all’invio di materiale pubblicitario o di vendita diretta).
Più grave è l’ipotesi prevista dal secondo punto, dove entra l’ipotesi “classica” (e più generica) di trattamento illecito e secondo la quale chiunque, al fine di trarre per sé o per altri profitto ovvero per arrecare danno all’interessato, procedendo al trattamento di dati personali (anche in violazione di misure di garanzia) arreca nocumento all’interessato, è punito con la reclusione da uno a tre anni. La stessa pena si applica, nota il terzo punto, a chi proceda al trasferimento dei dati personali verso un Paese terzo o un’organizzazione internazionale al di fuori dei casi consentiti. Rispetto alla prima ipotesi, si noti come questa sia ritenuta, dal Legislatore, più grave (anche per la “perdita di controllo” del dato e dei suoi itinerari nella società dell’informazione).
Una novità interessante è contenuta nel quarto punto, dove si dice che il Pubblico Ministero, quando ha notizia dei reati di cui sopra, ne informa senza ritardo il Garante. Il Garante, a sua volta, trasmette al pubblico ministero, con una relazione motivata, la documentazione raccolta nello svolgimento dell’attività di accertamento nel caso in cui emergano elementi che facciano presumere la esistenza di un reato. La trasmissione degli atti al Pubblico Ministero avviene al più tardi al termine dell’attività di accertamento delle violazioni. Sembra, prima facie, una procedura molto macchinosa, e irrituale, che fa entrare l’autorità di controllo nel sistema processualpenalistico con una sorta di obbligo di informazione (in capo al PM) per qualsiasi reato connesso al trattamento dei dati.
Infine, il sesto punto dispone che quando per lo stesso fatto è stata applicata, a norma del codice o del GDPR, a carico dell’imputato o dell’ente una sanzione amministrativa pecuniaria dal Garante e questa è stata riscossa, la pena è diminuita. Non un vero e proprio ne bis in idem, quindi, ma una attenuazione della sanzione penale nel caso la sanzione amministrativa già sia stata comminata e riscossa.
Comunicazione e diffusione illecita di dati personali - Un nuovo articolo, il 167-bis, introduce poi il reato di “comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala”. Si tratta di un’ipotesi innovativa volta a punire chiunque comunichi o diffonda, al fine di trarre profitto per sé o altri ovvero al fine di arrecare danno, un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala.
La pena prevista è la reclusione da uno a sei anni. Lo stesso articolo prevede che venga punito chiunque comunichi o diffonda, senza consenso, un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala, quando il consenso dell’interessato è richiesto per le operazioni di comunicazione e di diffusione. La nozione di larga scala è qui il fulcro centrale anche della sanzione penale, e dimostra chiaramente il timore che ha il Legislatore per il trattamento di grandi quantitativi di informazioni nell’era del cloud, dei big data e delle reti.
Acquisizione fraudolenta di dati - La terza ipotesi, prevista dall’articolo 167-ter, è stata denominata “Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala” e punisce chiunque, al fine di trarne profitto per sé o altri ovvero di arrecare danno, acquisisce con mezzi fraudolenti un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala. La pena prevista è la reclusione da uno a quattro anni. Questo reato ha in comune col precedente l’abuso nell’utilizzo di un archivio di trattamenti su larga scala ma si concentra prettamente sull’acquisizione fraudolenta (una sorta di “furto”, insomma) di grandi quantitativi di dati.
Falsità nelle dichiarazioni al Garante - Infine, l’articolo 168 (“Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio di poteri del Garante”) punisce chiunque, in un procedimento o nel corso di accertamenti dinanzi al Garante, dichiari o attesti falsamente notizie o circostanze o produca atti o documenti falsi. La pena prevista è la reclusione da sei mesi a tre anni. È poi punito con la reclusione sino ad un anno chiunque intenzionalmente cagioni un’interruzione o turbi la regolarità di un procedimento dinanzi al Garante o degli accertamenti dallo stesso svolti. Un’ipotesi nuova, quest’ultima, volta a tutelare l’autorità del Garante nelle operazioni che è chiamato a effettuare.
Inosservanza di provvedimenti del Garante e violazioni in materia di controlli a distanza - Caduti i reati connessi alle misure di sicurezza (visto che non sono più previste le misure minime) rimangono due norme di chiusura che terminano l’attenzione penalistica del Legislatore. Ci si riferisce, in particolare, all’articolo 170 (“Inosservanza di provvedimenti del Garante”, con reclusione da tre mesi a due anni) e all’articolo 171 (“Violazione delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori”) che rimanda alle sanzioni previste dallo Statuto dei Lavoratori.
Fonte: Ipsoa - Articolo di Giovanni Ziccardi, Professore Associato di informatica giuridica presso l’Università degli Studi di Milano
(Giovanni Ziccardi intervistato al CNR di Pisa in occasione della sua docenza al Corso di formazione manageriale per Data Protection Officer di Federprivacy)