Tutela penale della privacy
Abstract
Premessi alcuni cenni sull’evoluzione della nozione di privacy e sulla relazione tra privacy e protezione dei dati personali, vengono analizzate le fattispecie incriminatrici previste dal codice della privacy, alla luce delle innovazioni introdotte dal d.lgs. 10.8.2018, n. 101 di adeguamento della normativa italiana al regolamento 2016/679/UE, e dal d.lgs. 18.5.2018, n. 51 di attuazione della direttiva 2016/680/UE, soffermandosi, peraltro, sul concorso tra illeciti penali e amministrativi in materia di trattamento dei dati personali e sui possibili riflessi in tema di responsabilità amministrativa degli enti (d.lgs. 8.6.2001, n. 231).
La privacy nella società digitale
L’incessante evoluzione tecnologica e cibernetica sta determinando una notevole dilatazione dei confini della nozione di privacy rispetto al nucleo originario che Warren e Brandeis, i due giuristi di Boston cui si deve l’origine del termine, in un paper del 1890, avevano individuato nel “right to be let alone”. Se, infatti, in passato l’individuo tendeva a mantenere un certo riserbo sulla propria vita privata, negli ultimi anni è aumentata esponenzialmente la condivisione di contenuti personali, sia per effetto della progressiva digitalizzazione dei servizi pubblici e privati, sia per la diffusione virale di blog, forum e social media. In un mondo digitale in cui la circolazione di informazioni private, in una certa misura inevitabile, è amplificata dalla loro pubblicazione compulsiva, proteggere la privacy non significa più soltanto tutelare la sfera intima dell’individuo da indebite intrusioni, ma, soprattutto, garantire il corretto trattamento dei dati che lo riguardano e la sua pretesa a un’esatta percezione sociale di sé, in un contesto privo di limiti spazio-temporali in cui il confine tra lecito e illecito rischia di sbiadire.
Tutela della privacy e protezione dei dati personali
La nozione di privacy nell’ordinamento italiano viene fatta coincidere ora con la nozione di riservatezza ora con il diritto alla protezione dei dati personali.
Effettivamente, il termine riservatezza, che indica quel «modo di essere negativo della persona che soddisfa l’esigenza di ordine spirituale di isolamento morale e di non comunicazione esterna di quanto attiene a sé» (De Cupis, A., I diritti della personalità, Milano, 1973, 256 ss.), è stato mutuato dalla nozione di privacy coniata nei sistemi di common law (sull’evoluzione del concetto di privacy nell’ordinamento statunitense v. Midiri, F., Il diritto alla protezione dei dati personali: regolazione e tutela, Napoli, 2017, 18 ss.). Riservatezza e privacy, pertanto, possono essere considerati sinonimi.
Il diritto alla protezione dei dati personali, che consiste nel diritto a che il trattamento dei propri dati avvenga in conformità delle norme che lo disciplinano, andrebbe invece più correttamente considerato un importante presupposto della tutela della privacy.
Sebbene, infatti, a livello nazionale, la raccolta delle norme in tema di trattamento dei dati personali abbia preso il nome di “codice della privacy” e, di conseguenza, l’Autorità garante del corretto trattamento dei dati personali si sia autodefinita “Garante della privacy”, suggerendo che tutela della privacy e protezione dei dati personali siano concetti sovrapponibili, la protezione dei dati personali è funzionale alla tutela dei “dati privati”, ma non si esaurisce in essa, estendendosi «a ogni dato riferito o riferibile a una persona identificata o identificabile, quale che ne sia il contenuto o l’oggetto» (Pizzetti, F., Privacy e il diritto europeo alla protezione dei dati personali: dalla Direttiva 95/46 al nuovo Regolamento, Torino, 2016, 45). In altri termini, mentre la privacy, attenendo alla tutela delle informazioni private, ha una portata prettamente individualistica, il diritto alla protezione dei dati personali, riflettendo l’interesse alla correttezza e liceità del trattamento dei dati e finendo quindi per attingere le garanzie di trasparenza e legalità quali presupposti del funzionamento del sistema democratico (Rodotà, S., Tecnologie e diritti, Bologna, 1995, 19 ss., 101 ss.), presenta la duplice natura di diritto fondamentale dell’individuo e interesse della collettività (v. C. giust., 6.10.2015, C-362/14, Maximillian Schrems c. Data Protection Commissioner).
Ciò precisato, la tutela che le norme nazionali e sovranazionali offrono alla privacy passa sostanzialmente attraverso la disciplina del trattamento dei dati personali per almeno due ordini di ragioni. In primo luogo, non potendo interferire nella spontanea pubblicazione e condivisione di contenuti privati, in quanto espressione della libertà di manifestazione, al legislatore non resta, per tutelare la privacy, che prevenire lo scorretto utilizzo di dati altrui da parte di chi, per ragioni istituzionali o professionali, ne venga in possesso. Se infatti la salvaguardia della privacy dipende anche, in parte, dal comportamento online dei singoli, che dovrebbe essere reso sempre più consapevole attraverso politiche di sensibilizzazione ai rischi insiti nella rete, quello che può essere garantito a livello di diritto positivo è una disciplina che enfatizzi l’importanza del corretto trattamento dei dati e sanzioni le violazioni perpetrate in materia. In secondo luogo, in una società sempre più globalizzata e “connessa”, l’evoluzione normativa scaturita dall’esigenza di tutelare la privacy quale prerogativa individuale ha progressivamente coinvolto anche interessi di portata generale attribuendo un ruolo centrale alla protezione dei dati personali, che, in forza del nuovo regolamento 2016/679/UE, ha assunto altresì la connotazione di “diritto pubblico europeo” (Pizzetti, F., La protezione dei dati personali dalla direttiva al nuovo regolamento: una sfida per le Autorità di controllo e una difesa per la libertà dei moderni, in Riv. dir. media, 2018, 1, 10).
L’impiego della sanzione penale
L’introduzione nel nostro ordinamento di una disciplina speciale in materia di trattamento dei dati personali, corredata di un dettagliato impianto sanzionatorio, è stata promossa dall’Unione europea.
La direttiva 1995/46/CE, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, ha sancito il dovere degli Stati membri di stabilire e adottare «misure appropriate per garantire la piena applicazione» delle sue disposizioni e di prevedere «le sanzioni da applicare in caso di violazione delle disposizioni di attuazione» (art. 24). Sulla scorta di tali indicazioni, il nostro legislatore, inizialmente con la l. 31.12.1996, n. 675, poi con il d.lgs. 30.6.2003, n. 196, cd. codice della privacy, ha deciso di sanzionare anche penalmente le violazioni in materia di trattamento dei dati personali prevedendo alcune fattispecie incriminatrici ad hoc.
La direttiva 2016/680/UE, relativa al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, prevedendo che debba essere «punibile chiunque, persona fisica o giuridica, di diritto pubblico o di diritto privato», violi le sue disposizioni, ha imposto agli Stati membri di introdurre «sanzioni effettive, proporzionate e dissuasive» e di adottare «tutte le misure necessarie per la loro applicazione» (considerando 89 e art. 57). Anche in questo caso, con il decreto di attuazione (d.lgs. 18.5.2018, n. 18), il nostro legislatore ha previsto specifiche figure di reato (v. infra, § 5).
Il regolamento 2016/679/UE, che ha abrogato la direttiva 95/46/CE ed è stato emanato al fine di adeguare la disciplina del trattamento dei dati personali ai nuovi rischi emersi con l’evoluzione tecnologica in modo tendenzialmente uniforme negli Stati membri, al considerando 149 sancisce che «gli Stati membri dovrebbero poter stabilire disposizioni relative a sanzioni penali» per la violazione delle sue previsioni e delle «norme nazionali adottate in virtù ed entro i limiti» delle sue previsioni. Tale norma va letta congiuntamente all’art. 84, par. 1, in forza del quale spetta agli Stati membri stabilire «norme relative alle altre sanzioni per le violazioni» del regolamento (altre nel senso di ulteriori rispetto a quelle già previste dalla normativa europea), sanzioni che «devono essere effettive, proporzionate e dissuasive».
Come noto, lo spazio di intervento dell’Unione europea in materia penale è limitato dall’art. 83, par. 2, TFUE a un’attività di indirizzo da esercitarsi mediante lo strumento della direttiva. A ben vedere, le previsioni poc’anzi richiamate non si pongono in contrasto con la ratio di tale limitazione, ossia evitare interferenze con il principio di riserva di legge che attribuisce allo Stato il monopolio delle scelte di incriminazione. Da una parte, infatti, si tratta di un regolamento sui generis quanto agli effetti, poiché, avendo lasciato agli Stati membri un lasso di tempo di due anni dall’entrata in vigore alla piena applicazione per l’adozione di provvedimenti di adeguamento, si configura come regolamento “a effetti diretti differiti” o come “quasi direttiva” (Bolognini, L., Sanzioni penali, in Il Regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, a cura di L. Bolognini, E. Pelino, C. Bistolfi, Milano, 2016, 705). Dall’altra, la natura meramente orientativa delle norme europee in materia penale esclude che le disposizioni del regolamento richiamate vadano interpretate come fonte di un obbligo di incriminazione, dovendosi al contrario ritenere che lascino agli Stati membri la facoltà di introdurre o conservare ipotesi criminose a presidio del corretto trattamento dei dati personali o di limitarsi a garantire che le nuove disposizioni europee siano adeguatamente presidiate da sanzioni amministrative sufficientemente effettive, proporzionate e dissuasive.
I reati del codice della privacy dopo il d.lgs. n. 101/2018
I lavori preparatori
A conferma della discrezionalità lasciata dal legislatore europeo agli Stati membri circa l’opportunità di reprimere penalmente le violazioni in materia di dati personali, all’indomani dell’entrata in vigore del regolamento in Italia è sorta la questione del destino delle fattispecie penali previste dal codice della privacy. Sul punto, il Parlamento, come spesso avviene, non ha preso posizione, conferendo pieni poteri decisionali al Governo attraverso la legge delega 25.10.2017, n. 163, con cui, all’art. 13, lett. e), si è limitato ad attribuire al legislatore delegato il compito di «adeguare, nell’ambito delle modifiche al codice, il sistema sanzionatorio penale e amministrativo vigente alle disposizioni del regolamento con previsione di sanzioni penali e amministrative efficaci, dissuasive e proporzionate alla gravità della violazione delle disposizioni stesse».
In mancanza di criteri orientativi, le bozze del decreto di adeguamento che si sono succedute nell’ambito dei lavori preparatori hanno prospettato soluzioni diametralmente opposte: dall’abrogazione del codice della privacy e quindi delle ipotesi criminose ivi sancite, proposta nella prima bozza, alla revisione e integrazione del quadro delle incriminazioni, previste nella seconda bozza, opzione che ha finito per prevalere. Si è evidentemente ritenuto che la rinuncia allo strumento penale avrebbe determinato, sotto il profilo della prevenzione generale, un depotenziamento della tutela dei dati personali, contravvenendo alle indicazioni del legislatore europeo.
In particolare, il decreto di adeguamento (d.lgs. 10.8.2018, n. 101) ha riformato gli artt. 167, Trattamento illecito di dati, 168, (ora rubricato) Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante (che ora prevede una nuova ipotesi di reato al secondo comma), 170, Inosservanza dei provvedimenti del Garante, 171, (ora rubricato) Violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori, 172, Pene accessorie; aggiunto gli artt. 167 bis, Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala, e 167 ter, Acquisizione illecita di dati personali oggetto di trattamento su larga scala, e abrogato l’art. 169, Misure di sicurezza.
È bene evidenziare come, nel silenzio della legge delega e stanti i limiti imposti in via generale dalla l. 24.12.2012, n. 234, l’introduzione delle nuove figure delittuose di cui agli artt. 167 bis, 167 ter e 168, co. 2, pare eccedere i limiti della delega conferita al Governo ponendosi così in contrasto con l’art. 76 Cost. (v. Cottu, E., L’impatto del Regolamento generale sulla protezione dei dati sul sistema punitivo a livello eurounitario e sovranazionale, in Regolare la tecnologia: il Reg. UE 2016/679 e la protezione dei dati personali. Un dialogo fra Italia e Spagna, a cura di D. Poletti, A. Mantelero, Pisa, 2018, 280; D’Agostino, L., La tutela penale dei dati personali nel riformato quadro normativo: un primo commento al D.Lgs. 10 agosto 2018, n. 101, in Arch. Pen., 2019, 1, 24 ss.).
Il delitto di trattamento illecito di dati personali
Il capo II del titolo III della parte III del codice della privacy, dedicato agli illeciti penali, inizia con l’art. 167.
La norma originariamente prevedeva due fattispecie delittuose. Il primo comma puniva alcune ipotesi di trattamento illecito di dati “comuni” con la reclusione da sei a diciotto mesi, se dal fatto derivava nocumento, e con la reclusione da sei a ventiquattro mesi, se il fatto consisteva nella comunicazione o diffusione di dati. Il secondo comma puniva con la reclusione da uno a tre anni, sempre se dal fatto derivava nocumento, alcune ipotesi di trattamento illecito di dati “sensibili” e giudiziari e il trasferimento illecito di dati al di fuori del territorio dello Stato. Per l’integrazione delle due fattispecie, inoltre, era richiesto il dolo specifico di trarre per sé o per altri profitto o di arrecare ad altri un danno. Nella sua attuale formulazione, la norma, pur con le modifiche che vengono illustrate nel presente paragrafo, continua a punire, al primo comma, con la reclusione da sei mesi a un anno e sei mesi, la violazione di alcune norme in materia di trattamento di dati comuni e, al secondo comma, con la reclusione da uno a tre anni, il trattamento di dati sensibili e giudiziari condotto senza le dovute cautele.
L’art. 167, al pari degli artt. 167 bis, 167 ter e 168, si apre con una clausola di sussidiarietà espressa che risolve il possibile concorso apparente con altre norme incriminatrici. Si pensi, a titolo di esempio, all’abuso d’ufficio di cui all’art. 323 c.p., alla rivelazione e utilizzazione di segreti d’ufficio ex art. 326 c.p., alla rivelazione di comunicazioni informatiche o telematiche di cui al secondo comma dell’art. 617 quater c.p., nonché alla rivelazione del contenuto di documenti segreti di cui all’art. 621 c.p.
Per quanto concerne il soggetto attivo, nell’id quod plerumque accidit si tratterà del titolare del trattamento (secondo la dizione anglosassone Data Controller), ossia la persona fisica o giuridica, l’autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali (art. 4, n. 7, del regolamento); o del responsabile del trattamento (Data Processor), persona fisica o giuridica, autorità pubblica, servizio o altro organismo che tratta dati personali per conto del titolare del trattamento (senza stabilire finalità e mezzi) (art. 4, n. 8, del regolamento); o, al più, dell’incaricato, un soggetto espressamente delegato dal titolare o dal responsabile. Nondimeno, non si può escludere che, nei casi in cui il trattamento non sia effettuato dal soggetto istituzionalmente o normativamente “depositario” dei dati, ma da un soggetto privato, questi possa essere chiamato a rispondere di trattamento illecito di dati (Cass. pen., 17.2.2011, n. 21839). Sul punto, la giurisprudenza di legittimità precisa che costituiscono illecito trattamento di dati personali sia la condotta di utilizzazione di dati che fuoriesca dalla sfera personale e domestica dell’agente, che in quanto tale non può essere ritenuta riconducibile a “fini esclusivamente personali”, sia la condotta che, pur realizzata per fini esclusivamente personali, consista nella diffusione dei dati, ancorché in forma non sistematica (Cass. pen., 19.10.2016, n. 6587). A suffragio di tale impostazione, si noti che l’art. 167 (così come gli artt. 167 bis, 167 ter e 168), a differenza dell’art. 170, non reca, dopo il «chiunque», la specificazione «essendovi tenuto» riferita al compimento delle operazioni di trattamento.
La condotta tipica consiste nel trattamento di dati (come definito nell’art. 4, n. 2, del regolamento) eseguito in violazione delle norme richiamate o dei provvedimenti del Garante. A tal proposito, rispetto alla versione precedente, sono stati aggiornati i rinvii su cui si fonda la compiuta descrizione del fatto tipico. Al primo comma è stato eliminato il riferimento agli artt. 18 (Principi applicabili a tutti i trattamenti effettuati da soggetti pubblici), 19 (Principi applicabili al trattamento di dati diversi da quelli sensibili e giudiziari), 23 (Consenso) del codice, in quanto abrogati. È rimasto invece il riferimento alle disposizioni in tema di trattamento dei dati relativi alle comunicazioni telefoniche e telematiche (art. 123), di localizzazione dell’utente (art. 126), di comunicazioni indesiderate (art. 130) e di trattamento degli elenchi dei contraenti (art. 129). Il secondo comma, come anticipato, continua a perseguire l’illecito trattamento di dati sensibili e giudiziari, ma tutti i riferimenti normativi sono stati sostituiti. La disposizione, nella sua attuale formulazione, rimanda agli artt. 9 e 10 del regolamento e ad alcune norme inserite con la riforma nel codice (artt. 2 sexies, sul trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante; 2 septies, sul trattamento dei dati genetici, biometrici e relativi alla salute; 2 octies, sul trattamento di dati relativi a condanne penali e reati; 2 quinquiesdecies, sul trattamento che presenta rischi elevati per l’esecuzione di un compito di interesse pubblico).
La tecnica legislativa utilizzata, che consiste nel rinvio, ai fini della definizione della condotta penalmente rilevante, ad altre norme del codice o del regolamento, che, spesso, rimandano a loro volta a provvedimenti del Garante, sebbene difficilmente evitabile in una materia complessa come quella del trattamento dei dati personali, porta a esiti poco soddisfacenti sotto il profilo della determinatezza e, nei casi di integrazione del precetto ad opera di fonti secondarie, della riserva di legge (art. 25 Cost.).
Il nocumento, nella prima versione della fattispecie, prevista dall’art. 35 della l. n. 675/1996, costituiva circostanza aggravante. Al fine di superare le frizioni con il principio di offensività cui la fattispecie si esponeva, in quanto reato di pericolo astratto (se non presunto), nella versione successiva in entrambi i commi era stata aggiunta la locuzione «se dal fatto deriva nocumento». Il nocumento, così tipizzato, è divenuto oggetto di diverse interpretazioni: ora condizione obiettiva di punibilità (Cass. pen., 16.7.2013, n. 7504; in dottrina: v. Manna, A., Il quadro sanzionatorio penale e amministrativo del codice sul trattamento dei dati personali, in Dir. inf., 2003, 748), ora elemento del reato (Cass. pen., 23.11.2016, n. 15221; Cass. pen., 5.2.2015, n. 40103). Questa seconda opzione ermeneutica è stata accolta dal legislatore delegato che, trasformando l’ipotesi criminosa da reato di condotta in reato di evento, pur conservando il dolo specifico di profitto o di danno, ha stabilito, nell’ultima formulazione della norma, che, ai fini dell’integrazione del delitto, la condotta debba arrecare nocumento al soggetto cui i dati si riferiscono. Tale modifica è stata apprezzata in dottrina in quanto «la maggiore centralità attribuita al nocumento per l’interessato risulta coerente con una logica di tutela personalistica» (Manes, V.-Mazzacuva, F., GDPR e nuove disposizioni penale del Codice della privacy, in Dir. pen. e processo, 2019, 2, 173).
Contrariamente a quanto prospettato nel corso dei lavori preparatori, è stato conservato il dolo specifico alternativo di profitto e di danno. Eliminando il dolo specifico di danno, in ragione della previsione del nocumento quale evento di fattispecie, sarebbero infatti rimaste escluse dall’ambito applicativo della norma le condotte di illecita diffusione di dati per finalità di carattere non economico (v. D’Agostino, L., op. cit., 34 s.). Così formulata, la fattispecie si presta a due possibili interpretazioni. La prima consiste nell’attribuire alla nozione di “danno” e a quella di “nocumento” lo stesso significato, con la conseguenza (paradossale) che, qualora l’agente persegua la finalità di danno, coincidendo l’oggetto del dolo specifico (il danno) con l’evento (il nocumento), quest’ultimo dovrebbe essere coperto da dolo intenzionale, mentre nei casi in cui si agisca col fine di profitto il dolo generico di nocumento potrebbe atteggiarsi anche nella forma del dolo eventuale. La seconda consiste invece nell’attribuire alla nozione di “nocumento” un significato diverso, più ampio, di quello, già tendenzialmente lato, attribuito alla nozione di “danno”. In tal caso, ferma restando la finalità (dolo intenzionale) solo perseguita e non necessariamente conseguita di procurarsi un profitto o di arrecare un danno, ossia un qualsiasi pregiudizio purché giuridicamente rilevante (Cass. pen., 13.3.2019, n. 20013) al soggetto passivo, l’agente risponderà di illecito trattamento di dati personali solo se ha prodotto allo stesso, con dolo (anche eventuale) un nocumento, ossia una conseguenza negativa qualsiasi, ivi comprese eventuali ripercussioni sgradevoli o disonorevoli (Cass. pen., 7.2.2017, n. 29549) (sul punto v. Manes, V.-Mazzacuva, F., op. cit., 173).
Il bene giuridico tutelato dalla norma è stato tradizionalmente identificato nel diritto alla protezione dei dati personali, che, come anticipato, si declina sia come diritto fondamentale dell’individuo, sancito dall’art. 8 della Carta dei diritti fondamentali dell’Unione europea, dall’art. 16, par. 1, del Trattato sul funzionamento dell’Unione europea e, indirettamente, dalla nostra Costituzione (ad es. dall’art. 2 Cost., in quanto strettamente connesso al diritto all’identità personale, dall’art. 3, co. 1, Cost., per il suo legame con la dignità, e dall’art. 21 Cost., che tutela l’interesse a che la manifestazione esterna della propria personalità non venga travisata), sia come interesse della collettività. Si è infatti osservato che, se oggetto di tutela fosse esclusivamente la privacy o riservatezza, bene giuridico di carattere personale e disponibile, la procedibilità del delitto sarebbe probabilmente a querela di parte. La procedibilità d’ufficio sembra invece suggerire che la vita privata del singolo rappresenti, «in un’ottica di “seriazione” degli interessi da tutelare», il “bene finale”, laddove “bene strumentale” tutelato in via diretta e immediata dalla norma è «l’interesse alla sicurezza dei dati, ovvero all’efficientismo dell’ordinamento settoriale facente capo al Garante» (Manna, A., Prime osservazioni sul Testo Unico in materia di protezione dei dati personali: profili penalistici, in privacy.it, 2003, 1125 ss.).
In tema di successione della legge penale nel tempo (art. 2, co. 4, c.p.), tra le ipotesi precedentemente e attualmente contemplate dai primi due commi dell’art. 167 pare sussistere un rapporto di continenza. A tal proposito, giova richiamare le argomentazioni espresse dai giudici di legittimità con riferimento al rapporto tra la versione del 1996 e quella del 2003. La Corte aveva riconosciuto l’esistenza di un rapporto di continuità normativa tra le due fattispecie non attribuendo rilevanza in senso contrario al fatto che il nocumento alla persona offesa costituisse circostanza aggravante nella norma anteriore e condizione obiettiva di punibilità nella nuova, in quanto quel che rilevava era l’uniformità del fatto in termini di condotta ed elemento psicologico (Cass. pen., 28.9.2011, n. 44940). Alle stesse conclusioni si potrebbe pervenire in merito al rapporto tra la precedente e l’attuale versione, soprattutto valorizzando l’orientamento giurisprudenziale che, anche nella versione ante-riforma, qualificava il nocumento come elemento del reato.
Un discorso a parte meritano le fattispecie del primo comma che si fondavano, rispettivamente, sui rinvii (ora eliminati) ai principi in materia di trattamenti effettuati da soggetti pubblici (che conservano rilevanza penale nei casi previsti dal d.lgs. n. 51/2018) e in materia di consenso, per cui è intervenuta un’abolitio criminis, e l’espunta fattispecie aggravata, che, sempre al primo comma, prevedeva la pena da sei a ventiquattro mesi se il fatto consisteva nella «comunicazione o diffusione dei dati», la quale potrebbe essere raffrontata con il nuovo 167 bis o con il nuovo art. 43, co. 1, d.lgs. n. 51/2018.
Alla norma, infine, sono stati aggiunti tre commi.
Il comma 3 punisce con la reclusione da uno a tre anni, salvo che il fatto costituisca più grave reato e al di fuori dei casi consentiti dal regolamento, la produzione di un nocumento all’interessato mediante il trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato. La fattispecie, che punisce il trasferimento non consentito di dati all’estero, già penalmente rilevante nella precedente versione dell’art. 167 (che, al secondo comma, rinviava all’art. 45 del codice, ora abrogato), rimanda, per l’individuazione della condotta tipica, alle dettagliate norme in materia contenute nel regolamento (artt. 45, 46 e 49).
I commi 4 e 5 prevedono che il pubblico ministero, quando abbia notizia dei predetti reati, ne informi tempestivamente il Garante, e che quest’ultimo, a sua volta, trasmetta al pubblico ministero «con una relazione motivata, la documentazione raccolta nello svolgimento dell’attività di accertamento nel caso in cui emergano elementi che facciano presumere la esistenza di un reato». Il comma 6, infine, prevede una diminuzione della pena per i casi in cui per lo stesso fatto sia stata applicata e riscossa una sanzione amministrativa pecuniaria a norma del regolamento (v. infra, § 4.4).
Le altre fattispecie incriminatrici
Dopo l’art. 167, il d.lgs. n. 101/2018 ha introdotto tre nuove ipotesi delittuose.
L’art. 167 bis punisce con la reclusione da uno a sei anni, salvo che il fatto costituisca più grave reato, la comunicazione e la diffusione, finalizzate a trarre profitto per sé o per altri o ad arrecare danno, di un archivio automatizzato o di una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala, senza adottare le cautele stabilite dagli artt. 2 ter, 2 sexies e 2 octies c. privacy (primo comma), o senza il consenso dell’interessato quando esso è richiesto per la liceità dell’operazione di trattamento (secondo comma). L’art. 167 ter punisce con la reclusione da uno a quattro anni, sempre che il fatto non costituisca più grave reato, l’acquisizione con mezzi fraudolenti di un archivio automatizzato o di una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala. A tutte le fattispecie richiamate si applicano i commi 4, 5 e 6 dell’art. 167 (art. 167 bis, co. 3; art. 167 ter, co. 2).
Si tratta di reati di mera condotta, che il legislatore delegato ha introdotto, sull’onda di alcuni recenti casi di cronaca internazionale (v. caso Facebook-Cambridge Analytica), al fine di stigmatizzare, in forza della sua intrinseca potenzialità lesiva, la diffusione o comunicazione di ingenti masse di dati, senza richiedere la prova del nocumento che ne sia derivato.
Il significato da attribuire ai termini «comunicazione» e «diffusione» è specificato dall’art. 2 ter, co. 4, del c. privacy. Né il codice né il regolamento, tuttavia, forniscono una definizione compiuta di «archivio automatizzato» e di «trattamento su larga scala». In mancanza di altre indicazioni, gli interpreti potranno fare riferimento alla definizione di archivio fornita dall’art. 2, co. 1, lett. f), d.lgs. n. 51/2018 e agli indici elencati nelle linee guida sui responsabili dei dati personali elaborate dal Gruppo di lavoro 29 sulla base dei quali identificare i trattamenti su larga scala: numero di soggetti interessati, volume e/o tipologie dei dati oggetto di trattamento, durata, ovvero persistenza, dell’attività di trattamento, portata geografica di tale attività (Guidelines on Data Protection Officers ‘DPOs’).
Passando alle fattispecie successive, il primo comma dell’art. 168 punisce, salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni, le false dichiarazioni, l’attestazione di notizie o circostanze false, nonché la produzione di atti o documenti falsi in un procedimento o nel corso di accertamenti dinanzi al Garante. Si tratta di un reato di pericolo concreto posto a tutela dell’efficacia dell’azione del Garante. Rispetto alla versione precedente, è venuto meno il riferimento alle falsità nella notificazione preventiva del trattamento, che non è più dovuta. La norma si è poi arricchita di un secondo comma che punisce con la reclusione sino a un anno l’interruzione e il turbamento della regolarità di un procedimento dinanzi al Garante o degli accertamenti dallo stesso svolti. Fattispecie mutuata, sia nella descrizione della condotta tipica, sia a livello sanzionatorio, dal delitto di interruzione di un ufficio o servizio pubblico o di un servizio di pubblica necessità di cui all’art. 340 c.p., rispetto alla quale costituisce una previsione speciale (anche per la punibilità a titolo di dolo intenzionale).
La contravvenzione di cui all’art. 169, che incriminava l’omessa adozione delle misure minime di sicurezza del trattamento previste (prima della riforma) dal codice, è stata abrogata, «in ragione della forte dissuasività esercitata dalle sanzioni amministrative previste» dal regolamento in materia (schema del decreto di adeguamento, 22.5.2018).
Sostanzialmente inalterati, salvo l’aggiornamento dei rinvii per la definizione del fatto tipico, restano l’art. 170, che continua a punire con la reclusione da tre mesi a due anni l’inosservanza di provvedimenti del Garante di autorizzazione al trattamento di dati biometrici, genetici, o sanitari, di limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento, di autorizzazione generale a trattare particolari categorie di dati personali; l’art. 171, che riguarda la violazione delle norme in materia di controlli a distanza e indagine sulle opinioni contenute nello Statuto dei lavatori, cui si rimanda anche per l’ammenda da applicarsi, e l’art. 172 in materia di pubblicazione della sentenza di condanna.
Concorso tra sanzioni penali e amministrative
Il regolamento, al considerando n. 149, precisa che «l’imposizione di sanzioni penali» per la violazione delle «norme nazionali» poste a presidio delle sue previsioni e delle norme di attuazione «non dovrebbe essere in contrasto con il principio del ne bis in idem come interpretato dalla Corte di giustizia». Inoltre, l’art. 84, par. 1, precisa che le altre sanzioni da introdurre dovrebbero riguardare «le violazioni non soggette a sanzioni amministrative pecuniarie a norma dell’articolo 83».
La necessità di evitare la duplicazione dei procedimenti sanzionatori per lo stesso fatto, enfatizzata da tale disposizione, è stata probabilmente una delle ragioni che hanno portato all’iniziale proposta di depenalizzazione delle violazioni in materia di trattamento di dati personali. Alcuni illeciti penali previsti nel codice della privacy reprimevano infatti violazioni per cui l’art. 83 del regolamento prevede sanzioni amministrative pecuniarie direttamente applicabili.
Tuttavia, se in passato nella giurisprudenza delle corti europee prevaleva un atteggiamento nettamente contrario al “doppio binario” sanzionatorio penale-amministrativo (v. C. eur. dir. uomo, 4.3.2014, Grande Stevens c. Italia), ultimamente è emerso un indirizzo più “morbido”, recepito di recente anche dalla nostra Corte costituzionale (C. cost., 24.1.2018, n. 43), in forza del quale la presenza di “sistemi sanzionatori integrati” non contrasterebbe con il principio del ne bis in idem (di cui all’art. 50 della Carta dei diritti fondamentali dell’Unione europea), a determinate condizioni. Anzitutto, la possibilità di cumulo di sanzione penale e amministrativa deve essere legislativamente prevista. In secondo luogo, i due procedimenti, penale e amministrativo, devono essere avvinti da una «connessione sostanziale e temporale sufficientemente stretta» (C. eur. dir. uomo, 15.11.2016, A e B c. Norvegia) e devono riguardare aspetti diversi del fatto illecito e, quindi, perseguire finalità complementari pur nel rispondere congiuntamente a esigenze di ordine generale così importanti da legittimare il ricorso al “doppio binario”. Ancora, è necessaria la massima interazione tra le autorità che, nei due procedimenti, sono deputate alla raccolta e valutazione delle prove. Infine, l’esito sanzionatorio non deve essere sproporzionato alla gravità del fatto (C. giust., 20.3.2018, C-542/15, Menci; C-537/16, Garlsson Real Estate; C-596/16 e 597/16, Di Puma e Consob).
Tale orientamento, che pare traslare la finalità di garanzia sottesa al principio del ne bis in idem nel principio della proporzione sanzionatoria desumibile dall’art. 49, co. 3, della Carta (sul punto v. Recchia, N., Note minime sulle tre recenti sentenze della Corte di giustizia dell’Unione europea in tema di ne bis in idem, in rivista.eurojus.it, 22.3.2018), giustifica, come illustrato nei lavori preparatori (schema del decreto di adeguamento, 22.5.2018), la scelta del legislatore delegato di conservare le incriminazioni in materia di protezione dei dati personali che, anche nella formulazione attuale, puniscono condotte in parte già sanzionate dal regolamento, introducendo, tuttavia, accorgimenti volti a garantire il rispetto dei principi recentemente affermati dalle corti europee e ad evitare una risposta sanzionatoria complessivamente troppo severa. In questa chiave vanno letti gli ultimi tre commi dell’art. 167, il terzo comma dell’art. 167 bis e il secondo comma dell’art. 167 ter.
Tutela penale dei dati e d.lgs. n. 231/2001
Il d.l. 14.8.2013, n. 93, all’art. 9, prevedeva l’introduzione, nel novero dei reati presupposto di cui all’art. 24 bis del d.lgs. 8.6.2001, n. 231, dei delitti contenuti nel codice della privacy (illecito trattamento di dati personali, art. 167; falsità nelle dichiarazioni e notificazioni al Garante, art. 168, e inosservanza di provvedimenti del Garante, art. 170). In sede di conversione del decreto (l. 15.10.2015, n. 119), tuttavia, il riferimento a tali delitti è stato espunto. Probabilmente si è ritenuto che l’inserimento di tali fattispecie nel catalogo dei reati presupposto, in quel momento, avrebbe comportato per le aziende conseguenze immediate e particolarmente onerose sotto il profilo operativo in termini di adozione di misure e procedure volte a garantire la propria compliance in tema di dati personali.
Nondimeno, l’obiettivo di responsabilizzazione degli enti con riferimento al corretto trattamento dei dati personali sotteso al d.l. n. 93/2013 viene perseguito dal nuovo regolamento, che, in attuazione del principio di accountability, perno della nuova disciplina europea, prevede, all’art. 83, ingenti sanzioni amministrative pecuniarie direttamente applicabili alle imprese, in base a un meccanismo apparentemente analogo a quello previsto dal d.lgs. n. 231/2001, vale a dire salvo che non si dimostri di aver adottato misure idonee a prevenire la violazione delle norme in materia di trattamento dei dati personali (sebbene l’efficacia liberatoria di tale prova non sia espressamente menzionata).
L’ammontare massimo delle sanzioni (fino a 20.000.000 di euro o, se superiore, al 4% del fatturato) suggerisce infatti che siano state pensate per essere applicate soprattutto alle persone giuridiche, che non adottino le strategie organizzative necessarie a garantire il rispetto della nuova normativa europea (art. 24) e non adempiano agli obblighi ivi contenuti (es. artt. 25-39).
In tale contesto normativo, l’introduzione dei reati contenuti nel codice della privacy, come revisionati dal d.lgs. n. 101/2018, nel catalogo delle ipotesi criminose che fanno insorgere la responsabilità amministrativa dell’ente, che accrescerebbe ulteriormente la sensibilità del mondo societario rispetto al tema della protezione dei dati personali, richiederebbe tuttavia una previa attività di coordinamento. Alcune delle norme del regolamento dalla cui violazione dipende la responsabilità penale delle persone fisiche ai sensi degli artt. 167 e ss. coincidono, infatti, con le norme del regolamento la cui violazione può determinare l’applicazione delle sanzioni amministrative pecuniarie ai sensi dell’art. 83 (ad es. artt. 9, 45, 46, 49), il che rischierebbe di determinare, in taluni casi, una duplicazione delle sanzioni amministrative a carico dell’ente.
Le fattispecie introdotte con il d.lgs. n. 51/2018
Come anticipato, con il d.lgs. n. 51/2018, adottato in attuazione della direttiva 2016/680/UE, sono state introdotte ulteriori ipotesi delittuose, speciali rispetto a quelle previste dal codice della privacy, in quanto relative ai trattamenti di dati svolti dalle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati, o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica (art. 1, co. 2, d.lgs. n. 51/2018).
Come si è osservato in dottrina, «la scelta di adeguare la legislazione interna alle due fonti europee [regolamento 2016/679/UE e direttiva 2016/680/UE] in maniera diacronica … ha comportato inevitabili ripercussioni sull’organicità e sulla coerenza complessiva della disciplina» (Manes, V.-Mazzacuva, F., op. cit., 178).
La prima fattispecie, prevista dall’art. 43 e rubricata Trattamento illecito di dati, infatti ricalca pedissequamente la struttura della precedente versione dell’art. 167 c. privacy, punendo, al primo comma, salvo che il fatto costituisca più grave reato, il trattamento di dati personali non necessario a fini di prevenzione, indagine, accertamento e perseguimento di reati, o esecuzione di sanzioni penali, se dal fatto deriva nocumento, con la reclusione da sei mesi a un anno e sei mesi, o, se la condotta comporta comunicazione o diffusione dei dati, con la reclusione da sei mesi a due anni. Al secondo comma viene punito, con la reclusione da uno a tre anni, sempre se dal fatto deriva nocumento, il trattamento di dati sensibili condotto per le predette finalità in assenza delle condizioni di necessità, delle doverose cautele o che si traduca nella profilazione finalizzata alla discriminazione (artt. 7 e 8 d.lgs. n. 51/2018).
A dette fattispecie, per la cui integrazione è richiesto il dolo specifico di procurare a sé o ad altri un profitto o di arrecare ad altri un danno, possono essere estese le considerazioni già espresse con riferimento all’art. 167 in merito alla tecnica legislativa utilizzata, alla nozione di nocumento e al bene giuridico tutelato. La locuzione «se dal fatto deriva nocumento», tuttavia, stando alle indicazioni del Garante (parere sullo schema del decreto di attuazione della direttiva, 22.2.2018), deve essere interpretata alla stregua di condizione di punibilità intrinseca, ossia di circostanza che, pur conservando la natura di elemento futuro e incerto, partecipa alla caratterizzazione offensiva del fatto incriminato, e, di conseguenza, in ossequio al principio di colpevolezza, pur non dovendo essere preveduta e voluta, dovrà almeno essere prevedibile (v. C. cost., 30.11.1988, n. 1085).
Venendo alle altre due fattispecie, l’art. 44, in maniera del tutto analoga all’art. 168 c. privacy (versione attuale), punisce con la reclusione da sei mesi a tre anni, salvo che il fatto costituisca più grave reato, le false dichiarazioni o attestazioni di notizie o circostanze e la produzione di atti o documenti falsi, in un procedimento o nel corso di accertamenti dinanzi al Garante riguardanti il trattamento dei dati personali utilizzati per fini di prevenzione, indagine, accertamento e perseguimento di reati, o esecuzione di sanzioni penali. L’art. 45, formulato sulla falsariga dell’art. 170 c. privacy, punisce con la reclusione da tre mesi a due anni, chiunque, essendovi tenuto, in un procedimento riguardante il trattamento dei dati utilizzati per i predetti fini, non osserva il provvedimento con cui il Garante abbia disposto il blocco o vietato le operazioni di trattamento (v. art. 23, co. 1, lett. d), d.lgs. n. 101/2018).
L’art. 46, infine, prevede per i predetti delitti la pena accessoria della pubblicazione della sentenza di condanna sul sito del Ministero della giustizia.
Fonti normative
Artt. 2, 3, co. 1, 21 Cost.; artt. 8 e 50 Carta dei diritti fondamentali dell’Unione europea; art. 16, par. 1, TFUE; considerando 149 e artt. 4, 24, 83, 84 reg. 2016/679/UE; art. 57 dir. 2016/680/UE; art. 24 dir. 95/46/CE; art. 15 d.lgs. 10.8.2018, n. 101; artt. 1, 2, 7, 8, 43-46 d.lgs. 18.5.2018, n. 51; artt. 167-172 d.lgs. 30.6.2003, n. 196 (cd. codice della privacy); schema di decreto legislativo recante disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento 2016/679/UE (22.5.2018); parere del Garante della privacy sullo schema di decreto legislativo recante attuazione della direttiva 2016/680/UE del Parlamento europeo e del Consiglio (22.2.2018).
Bibliografia essenziale
Bolognini, L., Sanzioni penali, in Bolognini, L.-Pelino, E.-Bistolfi, C. (a cura di), Il Regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Milano, 2016; Cottu, E., L’impatto del Regolamento generale sulla protezione dei dati sul sistema punitivo a livello eurounitario e sovranazionale, in Poletti, D.-Mantelero, A., Regolare la tecnologia: il Reg. UE 2016/679 e la protezione dei dati personali. Un dialogo fra Italia e Spagna, Pisa, 2018, 263 ss.; D’Agostino, L., La tutela penale dei dati personali nel riformato quadro normativo: un primo commento al D.Lgs. 10 agosto 2018, n. 101, in Arch. Pen., 2019, 1, 1 ss.; Del Corso, S., Commento all’art. 167, in Bianca, C.M.-Busnelli, F.D. (a cura di), La protezione dei dati personali. Commentario al d.lgs. 30 giugno 2003, n. 196, Padova, 2007; Labianca, D., Il sistema delle tutele nel regolamento europeo n. 679/2016 sulla protezione dei dati personali, in Cadoppi, A. et al. (a cura di), Cybercrime, Milano, 2019, 978 ss.; Luberto, M., Gli obblighi dei fornitori di servizi di comunicazione elettronica in caso di violazione dei dati personali (data breach) ed il delitto dell’art. 168, D.Lgs. n. 196/2003, in Cadoppi, A. et al. (a cura di), op. cit., 942 ss.; Manes, V.-Mazzacuva, F., GDPR e nuove disposizioni penali del Codice privacy, in Dir. pen. e processo, 2019, 2, 171 ss.; Manna, A., Il quadro sanzionatorio penale e amministrativo del codice sul trattamento dei dati personali, in Dir. inf., 2003, 727 ss.; Manna, A., Prime osservazioni sul Testo Unico in materia di protezione dei dati personali: profili penalistici, in privacy.it, 2003, 1125 ss.; Manna, A.-Di Florio, M., Riservatezza e diritto alla privacy: in particolare, la responsabilità per omissionem dell’internet provider, in Cadoppi, A. et al. (a cura di), op. cit., 892 ss.; Midiri, F., Il diritto alla protezione dei dati personali: regolazione e tutela, Napoli, 2017; Pizzetti, F., La protezione dei dati personali dalla direttiva al nuovo regolamento: una sfida per le Autorità di controllo e una difesa per la libertà dei moderni, in Riv. dir. media, 2018, 1; Pizzetti, F., Privacy e il diritto europeo alla protezione dei dati personali: dalla Direttiva 95/46 al nuovo Regolamento, Torino, 2016; Resta, F., I reati in materia di protezione dei dati personali, in Cadoppi, A. et al. (a cura di), op. cit., 1020 ss.; Troncone, P., Il delitto di trattamento illecito dei dati personali, Torino, 2011; Veneziani P., I beni giuridici tutelati dalle norme penali in materia di riservatezza informatica e disciplina dei dati personali, in Ind. pen., 2000, 139 ss.