Privacy: le ultime novità

Il nuovo codice della privacy, in vigore dal 19 settembre 2018, relativamente alle sanzioni penali sembra muoversi su due fronti. Da un lato, opera una depenalizzazione di alcune fattispecie incriminatrici previste dal vecchio codice della privacy con l’obiettivo di scongiurare i rischi di violazione del principio del ne bis in idem tra sanzioni penali ed amministrative. Dall’altro, introduce nuove ipotesi di reato. Tra queste, il reato di comunicazione e di diffusione illecita di dati personali oggetto di trattamento dei dati su larga scala. Quali sono le altre ipotesi di reato?

Il GDPR ha disposto che spetta agli Stati membri stabilire le norme relative alle sanzioni per le violazioni non soggette a sanzioni amministrative pecuniarie purché le stesse siano effettive, proporzionate e dissuasive (art. 84 del Regolamento UE 2016/679).
Stante quanto sopra il nostro Legislatore in un primo momento aveva optato per una generale depenalizzazione ma, come si evince dalla relazione illustrativa, il testo finale del D.Lgs. n. 101/2018, che adegua il Codice Privacy al GDPR, ha optato per una mirata e limitata depenalizzazione delle fattispecie di cui al D.Lgs. n. 196/2003, in modo da scongiurare i rischi di violazione del principio del ne bis in idem tra sanzioni penali ed amministrative ed ha, inoltre, introdotto nuove fattispecie incriminatrici.
Quindi, dal prossimo 19 settembre 2018, data di entrata in vigore del D.Lgs. n. 101/2018, le fattispecie penali previste dal nostro Codice Privacy saranno quelle di seguito analizzate.

Trattamento illecito dei dati

L’articolo del Codice che puniva il trattamento illecito dei dati è stato completamente sostituito e, nella nuova formulazione, punisce, salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all'interessato, arreca nocumento all'interessato in violazione di specifiche disposizioni di legge.
Punito anche chi, al fine di trarre per sè o per altri profitto o di arrecare danno all'interessato procedendo al trasferimento dei dati personali verso un paese terzo o un'organizzazione internazionale al di fuori dei casi consentiti, arreca nocumento all'interessato.
Tuttavia, è stato stabilito che, quando per lo stesso fatto sia stata applicata a norma del Codice Privacy o del GDPR una sanzione amministrativa pecuniaria dal Garante e questa sia stata riscossa, la pena prevista debba essere diminuita.

Dati personali oggetto di trattamento su larga scala

Fattispecie di reato nuova è il reato di comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala che sussiste in caso di comunicazione e diffusione, al fine di trarre profitto per sé o altri ovvero al fine di arrecare danno, di un archivio automatizzato o una parte sostanziale dello stesso contenente dati personali oggetto di trattamento su larga scala anche quando lo si fa senza consenso quando questo è richiesto per le operazioni di comunicazione e di diffusione. In merito a questo reato occorre evidenziare che, al momento, non esiste una definizione precisa di larga scala anche se possono venire in aiuto il considerando n. 91 del Regolamento e le Linee guida sui responsabili della protezione dei dati del Gruppo (art. 29) che forniscono indicazioni in proposito e suggerimenti utili. Sicuramente questo comporterà difficoltà interpretative non indifferenti.

Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala

Il reato di acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala si configura nel caso in cui, al fine di trarne profitto per sé o altri, ovvero di arrecare danno, si acquisiscano con mezzi fraudolenti un archivio automatizzato o una parte sostanziale dello stesso contenente dati personali oggetto di trattamento su larga scala.
Anche per questa nuova fattispecie penale vale quanto detto in precedenza per il concetto di larga scala.

Falsità nelle dichiarazioni al Garante

L’art. 168 del Codice Privacy è stato sostituito anche se non ci sono modifiche significative in quanto punisce chiunque, in un procedimento o nel corso di accertamenti dinanzi al Garante, dichiari o attesti falsamente notizie o circostanze o produce atti o documenti falsi.
Tuttavia, viene adesso ad essere punito anche colui che cagioni intenzionalmente un'interruzione o turbi la regolarità di un procedimento dinanzi al Garante o degli accertamenti da questi svolti.

Inosservanza di provvedimenti del Garante

Anche l’art. 170 del Codice Privacy è stato sostituito per cui è stata confermata la fattispecie dell’inosservanza di provvedimenti del Garante che è sempre punita con la reclusione da tre mesi a due anni.

Controlli a distanza e indagini sulle opinioni dei lavoratori

Infine, è stato confermato il reato per la violazione dell’art. 4, comm1 e dell’art. 8 dello Statuto dei lavoratori che è sempre punito con l’art. 38 della Legge n. 300/1970.
Si rammenta che l’art. 4 dello Statuto dei Lavoratori tratta, in particolare dell’utilizzo da parte dei datori di lavoro degli impianti audiovisivi e degli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell'attività dei lavoratori che possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali o, in mancanza di accordo, previa autorizzazione dell’Ispettorato.
L’art. 8, invece, vieta al datore di lavoro, ai fini dell'assunzione e nel corso dello svolgimento del rapporto di lavoro, di effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell'attitudine professionale del lavoratore.

Reati depenalizzati

Per i reati del Codice Privacy che sono stati depenalizzati è stato, inoltre, previsto che le violazioni commesse anteriormente al 19 settembre 2018 (data di entrata in vigore del D.Lgs. n. 101/2018) si applicano le sanzioni amministrative previste dal Regolamento (UE) 2016/679 sempre che il procedimento penale non sia stato definito con sentenza o con decreto divenuti irrevocabili.
Qualora, invece, i procedimenti penali per i reati depenalizzati dal D.Lgs. n. 101/2018, siano stati definiti, prima della sua entrata in vigore, con sentenza di condanna o decreto irrevocabili, il giudice dell'esecuzione dovrà revocare la sentenza o il decreto, dichiarando che il fatto non è previsto dalla legge come reato e adottando i provvedimenti conseguenti.