Privacy: trattamento dei dati personali e fattispecie penali

Di Francesco Spina -

Decreto legislativo 18 maggio 2018 n. 51, G.U. 24 maggio 2018

In data 24 maggio 2018 è stato pubblicato in Gazzetta Ufficiale il D.Lvo n. 51 del 18 maggio 2018, che ha dato attuazione alla Direttiva (UE) 2016/680 del Parlamento Europeo e del Consiglio del 27 aprile 2016. Il decreto, in vigore dallo scorso 8 giugno, va a completare la disciplina fornita dal G.D.P.R. in materia di trattamento dei dati personali; in particolare, viene modificata la disciplina in tema di protezione delle persone fisiche, con riguardo al trattamento dei dati personali da parte delle autorità competenti ai fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati.
In questa sede preme evidenziare come il Capo VI del Decreto Legislativo, rubricato “illeciti penali”, agli articoli da 43 a 45 abbia introdotto delle fattispecie di reato che, in attesa di ulteriori interventi normativi, in parte sostituiscono e in parte affiancano quelle già contenute nel Codice privacy.

Art. 43 – Trattamento illecito di dati
La norma in parola, suddivisa in due commi, introduce per ciascuno una diversa fattispecie delittuosa.
Sulla falsariga di quanto già disposto dall’art. 167 Codice della Privacy, entrambe le norme in parola ripropongono la clausola di salvaguardia “salvo che il fatto costituisca più grave reato” e richiedono il dolo specifico, consistente nella volontà di trarre dal trattamento illecito un profitto per sé o per altri o di recare ad altri un danno. Identica altresì la condizione di punibilità espressa dalla formula “se dal fatto deriva un nocumento”.
Il primo comma punisce con la reclusione da sei mesi a un anno e sei mesi “chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dall’articolo 5, comma 1”. Vengono dunque puniti, purché agiscano con dolo specifico, coloro che procedono a un trattamento non necessario per l’esecuzione di un compito di un’autorità competente per le finalità di prevenzione, indagine, accertamento e perseguimento di reati, o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica; parimenti, è penalmente sanzionato chi proceda un trattamento non basandosi sul diritto dell’UE o su disposizioni di legge o di regolamento che individuano i dati personali e le finalità del trattamento. La pena è della reclusione da sei mesi a due anni, qualora la condotta comporti comunicazione o diffusione dei dati trattati.
Come detto, il secondo comma dell’articolo in parola introduce una diversa fattispecie di trattamento illecito, punendo con la reclusione da uno a tre anni, chiunque proceda al trattamento di dati personali ove non sia “strettamente necessario e assistito da garanzie adeguate per i diritti e le libertà dell’interessato e specificamente previsto dal diritto dell’Unione europea o da legge o, nei casi previsti dalla legge, da regolamento” o che non sia “necessario per salvaguardare un interesse vitale dell’interessato o di un’altra persona fisica o se ha ad oggetto dati resi manifestamente pubblici dall’interessato”; è altresì punito il trattamento che violi il divieto di profilazione finalizzata alla discriminazione di persone fisiche sulla base di categorie particolari di dati personali (dati sensibili).

Art. 44 – Falsità in atti e dichiarazioni al Garante
La norma in parola stabilisce che, salvo che il fatto costituisca più grave reato, è punito con la reclusione da sei mesi a tre anni “chiunque, in un procedimento dinanzi al Garante riguardante il trattamento dei dati di cui all’articolo 1, comma 2, o nel corso di accertamenti riguardanti i medesimi dati, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi”.
Come si vede, manca il dolo specifico richiesto dall’articolo precedente. Appare il caso di sottolineare come, a differenza di quanto disciplinato dal corrispondente art. 168 del Codice della privacy, non venga sanzionata la falsità nelle notificazioni.

Art. 45 – Inosservanza di provvedimenti del Garante
Anche l’ultima fattispecie introdotta dal D.Lvo 51/2018 si intreccia con l’attuale Codice della Privacy, stabilendo che chiunque, “essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi dell’articolo 143, comma 1, lettera c), del Codice, in un procedimento riguardante il trattamento dei dati di cui all’articolo 1, comma 2, è punito con la reclusione da tre mesi a due anni”. Pertanto, nel caso dei trattamenti disciplinati dal Decreto, vengono sanzionate le condotte di chi non rispetti i provvedimenti con cui il Garante nazionale dispone il blocco o vieta, in tutto o in parte, il trattamento che risulta illecito o non corretto, anche per effetto della mancata adozione delle misure necessarie prescritte dal Garante stesso oppure quando, in considerazione della natura dei dati o, comunque, delle modalità del trattamento o degli effetti che esso può determinare, vi è il concreto rischio del verificarsi di un pregiudizio rilevante per uno o più interessati.

Art. 46 – Pene accessorie
Da ultimo, appare opportuno richiamare brevemente anche le pene accessorie previste dal Decreto in caso di condanna per uno dei delitti sopra richiamati; l’art. 46 dispone difatti la pubblicazione della Sentenza, ai sensi dell’art. 36, commi 2 e 3, c.p. e, pertanto, di regola per estratto, per non più di trenta giorni, sul sito internet del Ministero della Giustizia, a spese del condannato.