Le sanzioni penali correlate al GDPR
di Alberto Fanelli
Premessa
Nell’arco dell’ultimo biennio il legislatore europeo ha introdotto una rilevante riforma legislativa in materia di privacy, di cui il Regolamento Europeo (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (c.d. General Data Protection Regulation, d’ora innanzi Regolamento o GDPR) costituisce il corpus normativo fondamentale. La finalità precipua della trattazione consiste nell’analisi del c.d. framework giuridico delle sanzioni penali afferenti al GDPR.
Inquadramento generale sulle sanzioni previste nel GDPR
Il regime sanzionatorio trae fondamento dalla Direttiva 95/46/CE, la quale, nondimeno, non forniva alcuna specificazione né della tipologia né dell’entità delle sanzioni previste, attribuendo agli Stati membri ex art. 24, nella loro piena autonomia, il compito di disciplinare le conseguenze delle violazioni, senza precisare se le violazioni dovessero avere carattere penale oppure amministrativo. Diversamente, il GDPR individua gli importi e le circostanze in cui possono essere comminate le sanzioni amministrative, con particolare riferimento alle sanzioni amministrative pecuniarie massime per specifiche violazioni del Regolamento, che vengono elencate in maniera puntuale, e ai nuovi criteri per la ponderazione della sanzione pecuniaria inerenti a tutte le contingenze che attengono alla situazione concreta, tra cui la natura, la gravità, la durata dell’infrazione e le relative conseguenze. È d’uopo, inoltre, precisare che le sanzioni amministrative possono essere inflitte sia alle persone fisiche sia ai soggetti giuridici privati o pubblici, ad esempio i titolari e i responsabili del trattamento, il Data Protection Officer (c.d. DPO) oppure gli organismi di certificazione e di monitoraggio dei codici di condotta. Il Regolamento, invece, non contiene disposizioni volte a disciplinare direttamente la responsabilità penale che deriva dall’illecito trattamento dei dati personali, tuttavia non risulta preclusa ai singoli Stati membri la possibilità di prevedere sanzioni di carattere penale, poiché il Legislatore europeo ha espressamente demandato la scelta del regime relativo alla responsabilità penale agli Stati stessi.
Le sanzioni penali nel GDPR
Le principali disposizioni di riferimento, afferenti al novero delle fonti normative della materia, sono il Considerando n. 149 e l’art. 84 del GDPR, da combinarsi insieme con l’art. 83.2 TFUE. Il Considerando n. 149, infatti, sancisce che i singoli Stati debbano poter stabilire le disposizioni concernenti le sanzioni penali applicabili in caso di violazione del Regolamento e in caso di violazione delle norme nazionali adottate in virtù ed entro i limiti posti dal Regolamento.
È, altresì, ammesso che le sanzioni aventi carattere penale, previste dagli Stati membri, possano implicare la sottrazione dei profitti ricavati mediante la violazione del Regolamento, a condizione che venga rispettato il principio del ne bis in idem, quale interpretato dalla Corte di Giustizia europea. Sull’anzidetto principio, con riguardo all’ambito penalistico, la CGUE si è ampiamente espressa, in particolare nei casi Aklagaren, Gasparini, Van Straaten e Kretzinger.
Il Considerando 149, dunque, pur prevedendo la possibilità di sanzioni penali per la violazione della legislazione europea oppure nazionale, adottata in virtù del GDPR in materia di protezione dei dati, fonda una simile possibilità sull’articolo 50 della Carta UE, che sancisce il diritto di non essere giudicati o puniti due volte per il medesimo reato, e sul Protocollo n. 7 alla Convezione Europea per la salvaguardia dei Diritti dell’Uomo e delle Libertà fondamentali, il quale prevede all’art. 4 lo stesso diritto di cui sopra. Pertanto, con riferimento all’interpretazione del principio del ne bis in idem, elaborata a seguito del celebre caso Aklagaren, nel caso di una violazione del GDPR o della normativa domestica adottata in virtù dello stesso, potranno coesistere sia le sanzioni penali che le sanzioni amministrative, ma non più le sanzioni penali per il medesimo fatto e, in ogni caso, la combinazione tra le sanzioni non dovrebbe comportare un effetto punitivo eccessivo, poiché in tali casi si configurerebbe un contrasto con quanto sancito dall’art. 50 della Carta UE. Ai sensi dell’art. 84.1 GDPR, invece, spetta agli Stati membri stabilire le norme inerenti alle altre sanzioni, non amministrative pecuniarie (cfr. art. 83 GDPR), per le violazioni del GDPR “adottando tutti i provvedimenti necessari per assicurarne l’applicazione”, ossia imponendole mediante norme interne, che dovranno essere in seguito notificate alla Commissione europea entro il 25 maggio 2018 (cfr. art. 84.2 GDPR). Tra le suddette “altre sanzioni” possono rientrare ex Considerando 149, come si è detto, le sanzioni penali.
Per quanto attiene alla legislazione interna, risultano, dunque, compatibili con la nuova normativa europea le previsioni sulla responsabilità penale di cui al Decreto legislativo. n. 196/2003 (cfr. Codice in materia di protezione dei dati personali). Ad oggi, infatti, il Codice della privacy prevede che la responsabilità penale possa derivare da alcune specifiche condotte, le quali, ai sensi dell’articolo 167 Cod. privacy, devono essere volte a trarre profitto, per sé o per altri, oppure ad a cagionare danno e devono aver arrecato nocumento al soggetto danneggiato, sempre salvo il caso in cui il fatto costituisca un più grave reato secondo la legge. Esemplificando, l’art. 167 fa riferimento al trattamento dei dati personali avvenuto in violazione degli artt. 18-19 Cod. privacy, che dettano i principi applicabili ai trattamenti eseguiti da soggetti pubblici, oppure dell’art. 126 Cod. privacy in relazione ai dati sull’ubicazione degli interessati, oppure degli articoli 129 e 130 Cod. privacy in materia di comunicazioni indesiderate ed elenchi di dati contenenti recapiti telefonici. Per le condotte citate, nel caso in cui sussistano i requisiti indicati, la pena prevista è quella della reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi. Le summenzionate condotte sono di per sé soggette a sanzioni amministrative ai sensi delle disposizioni di cui sopra, tuttavia, laddove sia riscontrabile la finalità di ottenere profitto o di cagionare danno e sia possibile provare il nocumento al danneggiato, tali condotte potranno dare luogo ad una responsabilità di natura penale. Una seconda serie di condotte è elencata all’art. 167, comma 2° Codice privacy e, anche in tal caso, si tratta di condotte per le quali è prevista una sanzione amministrativa pecuniaria. Pertanto, salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione delle norme analizzate, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni. Nello specifico, il riferimento è alla violazione delle disposizioni di cui all’art. 17 Cod. privacy sul trattamento che presenta determinati rischi, alla violazione delle disposizioni di cui agli artt. 20-21 Cod. privacy in materia di trattamento dei dati sensibili e giudiziari e all’art. 22, commi 8° e 11°, sulla diffusione e divulgazione di tali dati. È, inoltre, prevista la responsabilità penale nel caso della violazione delle norme di divieto della comunicazione e della diffusione dei dati (cfr. art. 25 Cod. privacy) e nel caso della violazione della previsione di cui all’art. 45 Cod. privacy sui trasferimenti vietati dei dati personali. Sono, peraltro, previste fattispecie di reato per il caso di falsità nelle dichiarazioni rese al Garante in comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, per il caso di falsità nelle notificazioni (cfr. art. 168 Cod. privacy). È anche previsto che la responsabilità penale possa discendere dalla mancata attuazione delle misure minime di sicurezza (cfr. art. 169 Cod. privacy) da parte di coloro che sono tenuti ad adottarle e dalla mancata osservanza/ottemperanza di un provvedimento adottato dal Garante per la protezione dei dati personali. Il Codice della privacy, oltretutto, stabilisce, ai sensi dell’art. 172, come pena accessoria alla condanna per uno dei delitti previsti dal Codice, la pubblicazione della sentenza. In questa sede è opportuno menzionare, altresì, la decisione del caso Grande Stevens ed altri contro Italia (sentenza del 4 marzo 2014), in cui la Corte Europea per i Diritti dell’Uomo ha escluso la cumulabilità della sanzione amministrativa e di quella penale, con riferimento alle sanzioni amministrative che assumano i connotati e che siano assimilabili alle sanzioni penali.
Conclusioni
La responsabilità penale è personale, in quanto concerne soltanto le persone fisiche che abbiano commesso o concorso a commettere il fatto di reato. Al contrario, la responsabilità amministrativa degli enti, che in Italia è disciplinata dal D.lgs. 231/2001, non costituisce una vera e propria forma penalistica di sanzione del soggetto giuridico e, ad ogni modo, allo stato attuale, non constano reati presupposto nell’ordinamento nazionale, ai sensi del decreto legislativo di cui sopra, per gli illeciti in materia di protezione dei dati personali. Il Legislatore europeo raccomanda agli Stati membri l’adozione di sanzioni penali contro le violazioni del GDPR e non prevede limitazioni in merito ai soggetti sanzionabili penalmente, se non, in via implicita, tramite il richiamo del principio del ne bis in idem. È inevitabile che lo Stato italiano si trovi ad adeguare, entro il 25 maggio 2018, la propria legislazione penale di modo che sia resa coerente con il Regolamento e, con riferimento alle norme penali già in vigore e preesistenti al GDPR, per esempio il delitto ex art. 167 Cod. privacy o la contravvenzione ex art. 169 Cod. privacy, le quali richiamano come presupposti altre norme dello stesso Codice, la domanda che ci si può porre è se e in che misura tali norme sanzionatorie penali continuino a restare in vigore e a non essere abrogate. La risposta non può essere data in senso univoco, dal momento che talune disposizioni del Codice della privacy, la cui violazione configurava finora una fattispecie di reato richiamata nella norma penale, potrebbero essere considerate abrogate per incompatibilità rispetto al GDPR, mentre altre potrebbero rimanere perfettamente valide.
Nell’opera di revisione e riordino della disciplina, imprescindibile in vista della piena applicazione del Regolamento, il Legislatore nazionale dovrà procedere, altresì, ad una sorta di “pulizia” e razionalizzazione delle preesistenti sanzioni aventi carattere penale in materia di protezione dei dati personali, senza che sia necessario superare in toto il sistema pregresso, ma conservando solo quanto risulti compatibile, in via diretta o indiretta, con il GDPR e, se del caso, integrando l’impianto sanzionatorio italiano con nuove fattispecie incriminatrici.
Bibliografia:
Finocchiaro G., Il nuovo regolamento europeo sulla privacy e sulla protezione dei dati personali, Zanichelli, 2017;
Pelino E., Bolognini L., Bistolfi C., Il regolamento privacy europeo, Giuffrè, 2016.
Autore:
