La rilevanza e l’incertezza sul concetto di “larga scala” a cui fa riferimento il Regolamento (UE) 2016/679, noto come GDPR, ha generato diversi profili penali e numerose problematiche applicative.
Il GDPR, infatti, prevede interventi e misure che incidono in modo rilevante sull’azione di governance del sistema di protezione e circolazione del dato; prevede la nomina di figure di rappresentanza nonché la previsione di comportamenti di rilievo penale. Aspetti, questi, che scontano un presupposto e denominatore comune proprio nel concetto di “larga scala”.
Questo è un passaggio cruciale – perché da queste maglie passano alcune scelte strategiche – e ricorrente (in alcuni brani si fa ricorso analogamente al concetto di “notevole quantità di dati personali” o anche a quello di “vasto numero di interessati”): tuttavia quello che appare, alla stregua di un concetto prodromico presupposto, necessita di ricevere la corretta interpretazione o comunque una interpretazione dai più riconosciuta e condivisa, altrimenti si corre il rischio dell’incertezza e dell’applicazione casuale delle misure e delle figure previste dal GDPR.
Indice degli argomenti
Concetto di larga scala: riferimenti normativi
Del concetto di “larga scala” è permeato il GDPR, con riferimenti tanto negli articoli quanto nelle considerazioni, e se ne è occupato anche il Working Party 29: gruppo di lavoro che ha redatto, fra l’altro, le Linee Guida sui responsabili della protezione dei dati (RPD) ed ha approfondito il significato delle parole utilizzate dal legislatore europeo.
Il tema è rilevante e la scelta non è priva di conseguenze, anzi, si tratta di opzioni particolarmente significative nell’ambito delle scelte da adottare per essere adeguati al sistema normativo: ad esempio, se prendiamo l’art. 27 GDPR, la conseguenza della scelta presupposta è la nomina (o meno) di un rappresentante, in caso di titolare o responsabile del trattamento non stabilito nell’Unione Europea, ed in questo caso peraltro il concetto di “larga scala” è associato alla voce “categorie particolari di dati personali” (art. 9), nonché alla voce “dati personali relativi alle condanne penali e ai reati” (art. 10).
Un altro esempio lo abbiamo quando occorre scegliere se dotarsi o meno della figura del responsabile della protezione dei dati (DPO), scelta che passa inequivocabilmente dall’esame delle condizioni che rendono obbligatoria la nomina di detta figura: e fra queste condizioni al comma 1 lett. b) e c) si legge il richiamo a <<trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala>>; ed ancora <<trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10>>.
Ma potremmo andare avanti e ricordare che anche la scelta se condurre (o meno) una valutazione di impatto sulla protezione dei dati prima del trattamento (DPIA), è necessariamente collegata a condizioni che contemplano la “larga scala” (<<la valutazione d’impatto sulla protezione dei dati di cui al paragrafo 1 è richiesta in particolare nei casi seguenti: b) il trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, o di dati relativi a condanne penali e a reati di cui all’articolo 10>>).
Come quantificare il concetto di larga scala
Ora che siamo consapevoli, in linea generale, di quali e quante scelte si adottano o meno a seconda della interpretazione del concetto di “larga scala”, dovremmo individuare le fonti cui ancorare l’esegesi: se è vero che il GDPR non dà alcuna definizione di “larga scala”, il Considerando n. 91 indubbiamente aiuta a delineare i contorni del concetto ove recita che <<i trattamenti su larga scala, che mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato>>.
Per un verso non è difficile capire cosa intenda il Legislatore quando scrive di “notevole quantità di dati” e di “vasto numero di interessati”; per altro verso appare ancora oscuro il significato numerico da assegnare alle parole “notevole” e “vasto”, e ciò è rilevante in quanto è proprio questo che occorre chiarire per sapere quando ci troviamo nell’ambito della “larga scala” e quando no ovvero quando dobbiamo fare una scelta in un senso o in quello opposto.
L’European Data Protection Board, o Comitato Europeo per la Protezione dei Dati, è l’organismo che ha sostituito il Gruppo di lavoro articolo 29 (Working Party article 29 o WP29) ed è il gruppo di lavoro comune delle Autorità nazionali di vigilanza e protezione dei dati.
Il 13 dicembre 2016, quando si chiamava ancora WP29, ha promosso il documento “Linee guida sui responsabili della protezione dei dati (WP243)” e, all’art. 2.1.3, ha espresso alcuni riferimenti utili per provare a decodificare il concetto di “larga scala”: detto che è impossibile precisare la quantità di dati oggetto di trattamento o il numero di interessati coinvolti per rispondere a tutte le eventualità, ciò che invece appare possibile ed anche vantaggioso è individuare alcuni standard utili a specificare in termini più precisi o quantitativi il concetto che si sta esaminando.
In questo senso, pertanto, possiamo sicuramente affermare che è meritevole della massima considerazione la verifica dei criteri che seguono:
- Qual è il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento?
- Quale è il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento?
- Qual è la durata, ovvero la persistenza, dell’attività di trattamento?
- Quale la portata geografica dell’attività di trattamento?
L’incrocio delle diverse risposte dovrebbe consentire di pervenire ad un responso accettabile e soprattutto spiegabile, argomentabile in caso di contestazione da parte dell’Autorità Garante.
Indicazioni standard sui trattamenti su larga scala
Proprio sulla scorta di queste indicazioni standard si è finora più o meno concordemente giunti a individuare i seguenti “trattamenti su larga scala”:
- quelli che interessano i dati relativi ai pazienti svolti da un ospedale nell’ambito delle ordinarie attività;
- quelli che interessano i dati relativi agli spostamenti degli utenti di un servizio di trasporto pubblico cittadino (per esempio, il loro tracciamento attraverso titoli di viaggio);
- il trattamento dei dati di geolocalizzazione raccolti in tempo reale per finalità statistiche da un responsabile specializzato nella prestazione di servizi di questo tipo rispetto ai clienti di una catena internazionale di fast food;
- il trattamento dei dati relativi alla clientela da parte di una compagnia assicurativa o di una banca nell’ambito delle ordinarie attività;
- il trattamento dei dati personali da parte di un motore di ricerca per finalità di pubblicità comportamentale o il trattamento di dati (metadati, contenuti, ubicazione) da parte di fornitori di servizi telefonici o telematici.
In senso opposto non sono stati ritenuti “trattamenti su larga scala” quelli dei dati relativi a pazienti, svolto da un singolo professionista sanitario e parimenti il trattamento di dati personali relativi a condanne penali e reati svolto da un singolo avvocato.
Ad oggi si può dire che un passo in avanti è stato compiuto, ma occorre approcciare il tema in modo sempre più preciso e per far ciò occorre augurarsi che tutti gli operatori in futuro facciano la propria parte implementando la casistica e gli standard di riferimento nonché sviluppando le tecniche e le procedure per la corretta interpretazione della “larga scala”.
Concetto di larga scala: profili penali
Questo profilo è importante e non solo perché impone, a seconda dei casi, di nominare o meno una figura e di affrontare o meno una valutazione di impatto, ma perché si riflette anche sul diverso tema dei comportamenti penalmente rilevanti.
Si pensi alle nuove ipotesi delittuose. In seguito alla adozione del GDPR, il nostro legislatore ha deciso di avvalersi delle cosiddette “clausole di apertura” che permettono agli Stati membri di mantenere o introdurre norme specifiche ulteriori per la protezione dei dati personali. In questo senso, il legislatore ha deciso di approfittare di questa possibilità ed ha introdotto due nuovi articoli e due nuove fattispecie.
Il testo finale del decreto, che va a modificare il Codice privacy del 2003 – rimasto, così, in vita in quelle parti non disciplinate (o non in conflitto) con il Regolamento – prevede quindi delle neo fattispecie di reato e ha allargato il quadro precedente con nuove ipotesi più adatte ai tempi tecnologici, al fenomeno dei big data e dei grandi archivi e alla possibilità, in caso di incidente informatico o di violazione delle misure di sicurezza, di arrecare danni ai diritti e alle libertà di un gran numero di individui.
Ma, per come sono state intese e scritte si ritiene – come si analizzerà nel prosieguo – di non poter esser assicurato il pieno esercizio del diritto di difesa – che diversamente risulterebbe menomato a causa dell’indeterminatezza del confine tra ciò che è lecito e ciò che invece è vietato e penalmente sanzionato -, alla stregua di quanto stabilito dal principio di legalità, peraltro con un chiaro riverbero in tema di incostituzionalità della norma.
Con l’articolo 167 bis del Codice della Privacy (illecito penale del Capo VI del D.lgs. 196/03, novellato dal D.lgs. 101/18) è stata, infatti, inserita una nuova fattispecie che punisce “la comunicazione e la diffusione di dati personali oggetto di trattamento su larga scala”, in violazione di certi requisiti normativi, come ad esempio il “consenso dell’interessato” ove previsto.
Il reato, si configura solo quando la comunicazione o la diffusione concerne un “archivio automatizzato” di dati personali ed i dati ivi contenuti siano fatti oggetto di trattamento appunto su “larga scala” (nota: fulcro centrale anche della sanzione penale, che dimostra chiaramente il timore che ha il legislatore per il trattamento di grandi quantitativi di informazioni nell’era del cloud, dei big data e delle reti).
Si tratta, effettivamente, di una “riformulazione” del reato di “comunicazione e diffusione illecita di dati personali riferibili a un rilevante numero di persone”.
Come già correttamente indicato in un altro articolo (cfr. AgendaDigitale.eu, 5 settembre 2018, a firma Avv. L. Tosoni e 19 dicembre 2018 di C. Ponti) tale riformulazione riduce notevolmente la portata applicativa di questa nuova fattispecie incriminatrice e potrebbe altresì comportare alcuni problemi interpretativi.
Si pensi, ad esempio, alla circostanza per cui il delitto si configura allorquando la comunicazione o la diffusione riguardi specificatamente un “archivio automatizzato” di “dati personali” (nota: sebbene non vi sia nel decreto una definizione di “archivio” e, per esso, si debba intendere “qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati.”).
Inoltre, la fattispecie de qua richiede – come visto – che i dati in esso contenuti siano oggetto di “trattamento su larga scala”.
Anche su tale punto né nel decreto di adeguamento, né nel GDPR si dà alcuna definizione, anche se, il considerando 91 del GDPR, fornisce alcune utili indicazioni: i trattamenti su larga scala ricomprendono quelli che “mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato”.
Infine, il reato di cui all’articolo 167 bis è configurabile solo qualora la diffusione o comunicazione dei dati avvenga in violazione di specifiche e limitate disposizioni normative, per lo più applicabili a quei soggetti che trattano dati professionalmente o per obbligo di legge.
Da tutto ciò deriva che questa nuova fattispecie di reato potrà trovare applicazione soltanto in un numero molto limitato di casi.
Concetto di larga scala: problematiche applicative
Ma vi è di più. In primis è condivisibile il pensiero per cui l’attuazione della norma penale in esame potrebbe creare problemi di violazione del principio di tassatività.
Infatti, risultano poco precisi (rectius: sufficientemente precisi) sia la nozione stessa di “archivio automatizzato o una parte sostanziale di esso”, sia la circostanza che i “dati personali” siano – si ripete – oggetto di trattamento su “larga scala”.
Se, come visto, “archivio” non venga definito dal decreto, ma la sua esplicitazione la si può evincere lo stesso, più nebulosa risulta l’espressione “parte sostanziale” dell’archivio: di qui il rischio di contrasto con il principio di tassatività delle norme penali (“la sostanza potrebbe essere intesa come una parte, pur minima in termini quantitativi, ma riguardante elementi chiave o particolarmente sensibili dell’archivio; oppure potrebbe riguardare una dimensione quantitativa dei dati oggetto di trattamento illecito”, cfr. Bolognigi L., Pelino E., codice privacy: tutte le novità del d.lgs. 101/2018, Milano, 2019; nonché istitutoitalianoprivacy.it).
Analizzando nello specifico il concetto di “larga scala” – sempre nella sua potenziale violazione del principio di tassatività -, si è visto che manca una definizione sia dal decreto di adeguamento che dal GDPR: si deve, quindi, ricorrere al considerandum 91 del GDPR il quale sancisce che: «I trattamenti su larga scala ricomprendono tutti quei trattamenti che mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato» (vedasi anche le indicazioni del Gruppo di Lavoro Articolo 2960 fatte proprie dal Comitato Europeo per la protezione dei dati).
Sicuramente la “larga scala” è da intendersi come requisito connesso non alla diffusione o alla comunicazione illecite, ma al trattamento di dati contenuti nell’archivio: la comunicazione o la diffusione potrebbero riguardare anche solo una parte sostanziale (qualitativa e non quantitativa).
In prima facie il riferimento ad un concetto così ampio e poco definito di “banca dati”, per una condotta così grave come quella della diffusone illecita, secondo parte della dottrina, sembrerebbe azzardato, con il rischio di escludere gran parte dei piccoli ma gravissimi trattamenti senza consenso di quantità di dati personali che non arrivano a costituire una banca dati su larga scala” (cfr. “La tutela penale del dato personale”, tesi di M. C. Misaggi, su giurisprudenzapenale.com).
Da non trascurare peraltro l’ulteriore rischio che corre l’autorità giudiziaria di non poter indagare ipotesi di violazioni di piccole ma specifiche banche dati oggetto della violazione ma non oggetto di trattamento su larga scala: sarebbe stato forse più opportuno legare la condotta alla comunicazione e diffusione illecita di dati sensibili e giudiziari, a prescindere dalla presenza di un rilevante numero di soggetti o ad un trattamento su larga scala”.
Degna di nota è la successiva circostanza relativa al caso in cui, qualora un titolare ritenga che i propri trattamenti non siano da considerare su larga scala, è tenuto a motivarlo ed a dimostrare conseguentemente, nel caso in cui si proceda a controlli, che la sua valutazione si sia basata su evidenze oggettive e concrete: un’inversione dell’onere della prova che desta ulteriori perplessità.
Il comma secondo dell’articolo 167 bis va a punire la comunicazione o diffusione di un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala, che avvenga non in violazione di specifiche disposizioni di legge, ma senza consenso, ove questo sia richiesto.
Si tratta di un delitto che viene punito a titolo di dolo specifico (nota: per i non addetti ai lavori, “il dolo specifico consiste nella tipizzazione dell’obiettivo finalistico ulteriore rispetto alla realizzazione del reato, che il soggetto si deve proporre al momento della condotta, ma di cui non è necessaria l’obiettiva realizzazione”) tanto nel primo quanto nel secondo comma.
Accanto al profitto è stato affiancato il dolo di danno, similmente all’articolo 167, ma con la differenza che il danno da arrecarsi in questo caso non si riferisce al solo interessato, ben potendo riguardare anche terzi.
In virtù del rinvio contenuto al terzo comma di detto articolo, all’articolo 167 commi quattro, cinque e sei, il Pubblico Ministero, quando ha notizia di questo reato, ne informa senza ritardo il Garante, il quale trasmetterà allo stesso PM, con una relazione motivata, la documentazione raccolta nello svolgimento dell’attività di accertamento, nel caso in cui emergano elementi che facciano presumere l’esistenza di un reato.
Sarà, quindi, il PM (quando ne ha notizia dei reati) ad avere onere e obbligo di informare il Garante, e sarà invece quest’ultimo a “valutare se emergano elementi che facciano presumere la esistenza degli estremi del reato”.
Non è chi non veda come si vada a minare, in tal guisa, un altro principio cardine del nostro ordinamento, quale quello della obbligatorietà dell’azione penale che, in questo modo, finisce per essere, in un certo senso, subordinata al parere del Garante.
Caso unico, se non raro (nota: analoghe riserve, peraltro, sono state avanzate per la collaborazione della Consob e l’autorità giudiziaria, alla luce dell’art. 187 decies c.3 TUF– cfr. M. Vizzardi, “La manipolazione del mercato: un doppio binario da ripensare?”, in Rivista italiana di diritto e procedura penale, 2006, 731).
Si conviene altresì con quanto a suo tempo proposto – ed accolto – dalla Commissione speciale del Senato (“sullo schema di decreto legislativo recante disposizioni per l’adeguamento della normativa nazionale alle disposizione del Regolamento UE 2016/679 – parere approvato dalla Commissione sull’Atto del Governo nr. 22 del 20 giugno 2018), secondo cui si doveva provvedere ad inserire le fattispecie di danno e di violazioni non lucrative, “per non rischiare, altrimenti, di affievolire la tutela contro fatti incresciosi come il “revenge porn” o lo “slut shaming“, che dovrebbero al contrario essere oggetto di attenta tutela.
A tal fine agli articoli 167, 167 bis e 167 ter, dopo le parole “al fine di trarne profitto per sé o per altri”, si provveda ad aggiungere le parole “ovvero al fine di arrecare danno all’interessato”.
La Commissione aveva ulteriormente indicato <<in relazione alle fattispecie di reato introdotte all’articolo 167 bis del Codice, si valuti di riformulare la disposizione relativa alla previsione del titolare e del responsabile del trattamento, nonché del soggetto designato a norma dell’articolo 2 terdecies, quali unici soggetti attivi del reato, in ragione della mancata considerazione delle persone suscettibili di operare quali autorizzate al trattamento>>.
Ed infine, ulteriore osservazione quanto al <<si valuti, inoltre, l’opportunità di definire il novero dei soggetti attivi – analogamente a quanto disposto per le altre fattispecie, anche in sede di recepimento della direttiva (UE) 2016/680 – con il termine generale “chiunque”, inserendo tale termine in tutte le fattispecie penali previste.
Con riferimento all’articolo 15, comma 1, lettere b) e c) rispetto agli articoli 167 bis e 167 ter, si valuti di sostituire l’espressione “rilevante numero di persone”, con altra espressione che possa tutelare maggiormente il principio di tassatività della norma>> (nota; su questo punto, come già indicato, sussistono ancora dubbi sulla tassatività).
L’articolo 167 bis si riferisce, quanto al potenziale autore del reato, a “chiunque”, trattandosi quindi di un reato “comune” (nota: al contrario è c.d. “proprio”, il reato che può essere commesso soltanto da colui che rivesta una determinata qualifica o posizione – ad es. un pubblico ufficiale).
Ma, come visto nella prima parte di questa disquisizione, non tutti in verità possono effettivamente commetterlo, se non coloro che hanno la possibilità di gestire un “archivio automizzato o parte di esso”, contenente peraltro “dati personali oggetto di trattamento su larga scala”.
Questo per significare che l’autore o gli autori di questa specifica condotta contra legem non possono essere effettivamente “chiunque” ma, contrariamente, specifiche figure in aziende/isitutizioni che appunto gestiscono, per loro finalità professionali, grandi moli di dati personali “oggetto di trattamento su larga scala”.
Un’ultima annotazione a corollario di quanto fin ora evidenziato. L’articolo in esame inizia con la locuzione “salvo che il fatto costituisca più grave reato”: con tale prodromico monito si ritiene – non rinvenendosi ulteriori previsioni attinenti alla norma in esame – trattarsi dei “classici” reati informatici previsti e puniti dagli articoli 615 ter del codice penale (“accesso abusivo a un sistema informativo o telematico”) quantomeno nelle ipotesi aggravate; articolo 615 quater (“detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici”); art. 615 quinques (“diffusione di programmi diretti a danneggiare o interrompere un sistema informatico”) e frode informatica di cui all’art. 640 ter del codice penale.
Una nuova fattispecie di reato
Con l’art. 167 ter, invece, è stata introdotta un’altra specifica fattispecie che punisce, con la reclusione da uno a quattro anni “chiunque, al fine di trarne profitto ovvero di arrecare danno ad altri, acquisisce con mezzi fraudolenti un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala”: in pratica, l’altra faccia della medaglia del reato di cui all’articolo 167 bis, perché qui ad essere punita è l’acquisizione e non la comunicazione dei dati.
Confermando in via prodromica quanto già evidenziato per l’articolo precedente, il primo aspetto che qui suscita maggiori perplessità è “la riduzione sanzionatoria rispetto ai precedenti articoli”.
Lo schema tipico alla base della redazione di fattispecie penalmente rilevanti è, infatti, quella di prevedere reati ordinati secondo un climax ascendente, che parte da quello con una sanzione minore fino ad arrivare a quello con una sanzione maggiore.
Qui la sanzione è inferiore rispetto a quella degli articoli precedenti, dal momento che viene punita “solo” l’acquisizione fraudolenta dei dati, ma non anche l’utilizzo successivo o l’eventuale diffusione” (cfr. “le sanzioni penali previste nel nuovo d. lgs. n. 101/2018” di Giovanni De Bernardo in giurisprudenzqapenale.com).
Si tratta di una fattispecie incriminatrice del tutto nuova che ruota attorno alla «acquisizione fraudolenta». La differenza della condotta ex art.167 ter rispetto a quella di cui all’articolo 167 bis, sta nella differenza per cui, “mentre l’articolo 167 bis si occupa di punire la comunicazione o diffusione avvenuta in maniera illecita e a determinate condizioni (in violazione degli articoli 2 ter, 2 sexies, 2 octies comma uno; o senza il consenso, comma due), la norma in esame punisce non il semplice ricevente di tali informazioni, bensì, soggetto attivo deve necessariamente essere colui che, attivamente, con artifizi o raggiri, acquisisca l’archivio elettronico di dati personali oggetto di trattamento su larga scala o una sua parte sostanziale”.
Conclusioni
Resta da domandarsi cosa si intenda per «acquisizione con mezzi fraudolenti», poiché né il decreto di adeguamento, né il GDPR ne danno un’espressa definizione.
Per mezzi fraudolenti si fa comunemente riferimento a quegli strumenti subdoli per la commissione del crimine, come artifizi o raggiri, bugie, inganni, ma anche reticenza di ciò che si dovrebbe comunicare.
Pertanto, si ritiene si tratti di un’acquisizione avvenuta mediante condotte che presuppongono la malafede o, in termini penalistici, il dolo; che consistano in rappresentazioni artificiose tali da determinare una falsa rappresentazione della realtà.
Analogamente a quanto detto per l’articolo 167 bis, l’articolo 167 ter al comma secondo rinvia ai commi 4, 5 e 6 dell’articolo 167, ossia alle norme in materia di riduzione della pena in caso di pagamento della sanzione amministrativa pecuniaria e quelle relative allo scambio di informazioni fra Pubblico Ministero e Garante.
Per gli stessi motivi di cui al 167 bis, anche l’articolo 167 ter e il suo riferimento a «un’acquisizione fraudolenta di un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala», appare ai limiti del principio di tassatività e rischia di lasciare senza indagine e quindi anche senza punizione moltissime ipotesi meritevoli invece di tutela.
