Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

GUIDA ALLA NORMATIVA

Privacy e protezione dei dati personali: tutela penale e diritto al risarcimento del danno

Il GDPR ha consentito di rinnovare la materia privacy e protezione dei dati personali, imperniandola sui principi del consenso e della responsabilizzazione dei titolari del trattamento, introducendo al contempo più ampi e rafforzati strumenti di tutela del diritto alla riservatezza del singolo. Facciamo il punto

25 Nov 2019
G
Grazia Galdi

Avvocato - Privacy, compliance & corporate crimes


Con il Regolamento 2016/679/UE (di seguito GDPR), il legislatore europeo al fine di contemperare il diritto alla libera circolazione dei dati personali, strettamente connesso alle esigenze di sviluppo del mercato economico digitale, ed il diritto alla privacy e alla protezione dei dati personali, ha rinnovato la materia del trattamento dei dati personali, imperniandola sui principi del consenso e della responsabilizzazione dei titolari del trattamento.

Al contempo, ha introdotto più ampi e rafforzati strumenti di tutela, in grado di garantire il diritto alla riservatezza del singolo e, allo stesso tempo, l’interesse della collettività al sicuro e corretto trattamento dei dati personali.

Alla luce di ciò è utile analizzare le fattispecie di illecito penale introdotte con il D.lgs. 101/2018 dal legislatore nazionale ai sensi dell’art. 84 del GDPR e, successivamente, le possibili azioni risarcitorie riconosciute per ottenere il ristoro dei danni a lui cagionati dalla violazione delle norme del GDPR, a prescindere che la condotta integri o meno gli estremi di una fatto penalmente rilevante.

Privacy e protezione dei dati personali: fattispecie penali

A fronte della tipizzazione di illeciti amministrativi puniti con sanzioni pecuniarie fortemente dissuasive (art. 83 del GDPR), il legislatore europeo con la previsione dell’art. 84 GDPR ha affidato ai singoli Stati Membri la valutazione sull’opportunità di introdurre altre e diverse sanzioni per le violazioni della norma in tema di protezione dei dati personali, che non siano già soggette alle sanzioni amministrative pecuniarie.

In altri termini, onde evitare di incorrere nella violazione del principio del ne bis in idem, quale interpretato dalla Corte di Giustizia dell’Unione Europea, la normativa europea stabilisce che le violazioni presupposto dei reati, individuate dai legislatori nazionali, siano dotate di una propria caratterizzazione e di un proprio disvalore, che consentano di distinguerle dalle violazioni presupposto degli illeciti amministrativi[1].

Con il Decreto Legislativo n. 101 del 2018, il legislatore italiano ha innovato il sistema sanzionatorio penale previsto dal D.lgs. 196/2003, c.d. Codice della Privacy, con la previsione di tre principali fattispecie delittuose posta indubbiamente a tutela del diritto alla riservatezza del singolo e della correttezza dei dati personali circolanti, in quanto dirette a sanzionare l’illecito trattamento dei dati personali, la loro illecita comunicazione e diffusione, nonché l’acquisizione fraudolenta.

Il trattamento illecito dei dati personali

La fattispecie di illecito trattamento dei dati personali, già prevista nel vecchio Codice della Privacy, ha subito un radicale mutamento rispetto alla formulazione precedente. Per evitare una duplicazione degli illeciti amministrativi di cui all’art. 83 del GDPR, il legislatore, infatti, ha limitato il numero di disposizioni normative, la cui violazione è idonea ad integrare la condotta tipica, con conseguente abrogatio delle precedenti fattispecie penali.

Le condotte idonee ad integrare l’illecito trattamento dei dati personali sono delineate nei primi tre commi dell’art. 167 ed attengono, rispettivamente, alla violazione delle disposizioni in materia di servizi di comunicazione elettronica, alla violazione delle norme dettate per i dati sensibili e giudiziari e, infine, alla violazione della normativa per il trasferimento internazionale dei dati.

In particolare, il primo comma punisce la condotta di chi al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, operando in violazione di quanto disposto dagli articoli 123, 126 e 130 del Codice della Privacy (trattamento dei dati personali relativi al traffico e alla ubicazione trattati dal fornitore di una rete pubblica di comunicazione o di un servizio di comunicazione elettronica accessibile al pubblico) o dal provvedimento di cui all’articolo 129 del citato Codice (inserimento e utilizzo degli elenchi dei contraenti), arreca danno all’interessato.

Il secondo comma, punisce con la pena della reclusione da uno a tre anni il medesimo fatto, commesso procedendo al trattamento dei dati personali giudiziari, sanitari, e, in genere, quelli sensibili, di cui agli articoli 9 e 10 del GDPR, in violazione delle disposizioni di cui agli art. 2-sexies e 2-octies (trattamento di categorie particolari di dati personali necessari per motivi di interesse pubblico rilevante o relativi a condanne penali e reati), o delle misure di garanzia di cui all’articolo 2-septies (misure relative al trattamento dei dati genetici, biometrici e relativi alla salute) ovvero operando in violazione delle misure adottate dal Garante privacy ai sensi dell’articolo 2- quinquiesdecies (misure relative ai trattamenti che presentano rischi elevati per l’esecuzione di un compito di interesse pubblico ai sensi dell’art. 35 del GDPR).

Il terzo comma, infine, punisce con la medesima pena di cui al secondo comma, il trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale al di fuori dei casi consentiti agli articoli 45, 46 o 49 del GDPR.

Le fattispecie sopra analizzate sono tutte accomunate dalla clausola di riserva posta all’incipit di ciascun comma, che, nel fare salva l’applicazione di ipotesi delittuose generali più gravi, fa rientrare le fattispecie di illecito trattamento dei dati personali nella categoria del reato sussidiario.

Analogo è altresì il soggetto attivo ossia “chiunque” commetta un illecito trattamento dei dati secondo le modalità previste dall’art. 167.

Per la configurazione del reato de quo la norma richiede il dolo specifico, ossia, “il fine di trarre per sé o per altri profitto ovvero arrecare danno all’interessato” e che le condotte illecite tipizzate cagionino un’effettiva lesione dei diritti dell’interessato.

In merito all’elemento soggettivo, va rilevato come, a differenza della precedente versione, il danno che il reo intenda cagionare, debba riguardare soltanto il soggetto titolare dei dati, e non terzi individui estranei. Ciò nonostante, la mancata indicazione dell’ingiustizia del danno o del profitto ha di fatto ampliato l’area del penalmente rilevante, venendo oggi ad essere sanzionate anche quelle violazioni compiute per ottenere un mero ritorno in termini di immagine.

Quanto invece alla previsione del nocumento quale evento del reato, va osservato come, essendosi trasformato da reato di pericolo concreto a reato di evento di danno, il delitto di trattamento illecito di dati potrà ritenersi integrato soltanto quando si realizzi un reale pregiudizio agli interessi dell’interessato, con conseguente esclusione dall’area del penalmente rilevante di quelle semplici violazioni formali ed irregolarità procedimentali non idonee a cagionare all’interessato alcun danno apprezzabile né dal punto di vista patrimoniale né dal punto di vista morale.

Il legislatore nazionale, nei successivi commi 4 e 5 dell’art. 167 del Codice della Privacy, ha disciplinato le forme di collaborazione tra il P.M. e il Garante della Privacy in merito all’accertamento di tale delitto, richiamate anche dalle successive fattispecie di cui agli artt. 167bis e 167ter.

Infine, sempre nell’ottica di garantire il rispetto del principio del ne bis in idem, ha stabilito che nel caso in cui a carico dell’imputato o, addirittura, dell’ente sia imposta e riscossa una sanzione pecuniaria per lo stesso fatto, la pena da infliggere per il delitto deve essere diminuita. Anche tale disposizione viene poi richiamata dalle successive disposizioni di cui agli artt. 167bis e 167ter.

Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala

WHITEPAPER
Cybersecurity: come superare efficacemente le vulnerabilità delle tecniche di Intelligenza Artificia
IoT
Sicurezza

Con il nuovo reato di comunicazione e diffusione illecita di dati personali, il legislatore delegato ha inteso colpire l’illecita diffusione di dati personali raccolti da soggetti che, in virtù dei compiti istituzionali affidati, trattano dati riferibili a un vasto numero di soggetti, nonché sanzionare il tanto diffuso quanto pericoloso commercio di database di dati personali, effettuato con modalità non trasparenti e senza il consenso degli interessati.

L’art. 167bis punisce, infatti, con la reclusione da uno a sei anni chiunque al fine di trarre profitto per sé o altri ovvero al fine di arrecare danno, comunica o diffonde un archivio automatizzato o una parte sostanziale di esso contente dati personali oggetto di trattamento su larga scala in violazione degli articoli 2-ter, 2-sexies e 2-octies (violazione delle norme sul trattamento di dati personali effettuato per l’esecuzione di un compito di interesse pubblico, sul trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico, ovvero sul trattamento dei dati giudiziari relativi a condanne penali e reati).

Il secondo comma punisce con la medesima pena la stessa condotta posta, però, in violazione delle disposizioni che richiedono il consenso dell’interessato per le operazioni di comunicazione e diffusione. Tale norma riprende l’abrogato quarto comma dell’art. 167, ma ha una portata meno ampia in considerazione del più limitato oggetto materiale indicato dalla norma ovvero gli archivi di dati personali trattati su larga scala.

L’art. 2-ter del Codice della Privacy fornisce chiarimenti in merito al significato da attribuire alla condotta illecita individuata dal legislatore, per “comunicazione” si intende “il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato, dal rappresentante del titolare nel territorio dell’Unione Europea, dalle persona autorizzate, ai sensi dell’art. 2- quaterdecies, al trattamento dei dati personali sotto l’autorità diretta del titolare o responsabile, in qualunque forma, anche mediante la loro messa a disposizione, consultazione o mediante interconnessione»; per “diffusione” si intende “il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione”.

Sussistono, invece, notevoli dubbi interpretativi sul significato da attribuire agli altri elementi oggettivi su cui ricade la condotta di comunicazione e diffusione, ossia “l’archivio o la parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala”, trattandosi di concetti vaghi e non definiti né dalla normativa nazionale né dal Regolamento europeo.

Infatti, pur volendo ritenere la nozione di archivio delineata dall’art. 4 del GDPR[2], resta indefinito, il concetto di “parte sostanziale” di esso: deve essere interpretato in senso qualitativo, con conseguente valorizzazione delle caratteristiche dei dati personali, o in senso quantitativo, con valorizzazione della mole complessiva dei dati contenuti nell’archivio?

Problematica è anche la definizione del “trattamento su larga scala”, terminologia introdotta dal legislatore europeo per individuare i casi in cui risulti necessaria la nomina, da parte del titolare e del responsabile del trattamento, di un responsabile della protezione dei dati.

Infatti, una definizione oggettiva e quantificata di larga scala ancora non c’è. Il Considerandum 91 del GDPR chiarisce solamente che cosa è ricompreso nel trattamento su larga scala, ossia, “una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato”.

Dall’altro canto, le linee guida del WP Art. 29, si limitano ad elencare solo una serie di fattori che l’interprete può prendere in considerazione per valutare la sussistenza o meno di un trattamento di larga scala quali il territorio geografico (quanto ampio è il territorio all’interno del quale è effettuato il trattamento), il volume e la tipologia dei dati trattati, la percentuale di interessati sul totale di una popolazione di riferimento, la durata del trattamento.

Come il delitto di trattamento illecito dei dati, anche questa fattispecie delittuosa rientra nella categoria del reato sussidiario, data la previsione della clausola di riserva del reato più grave, e del reato comune, sebbene la fattispecie possa essere integrata soltanto da chi eserciti di fatto un trattamento su larga scala. Il delitto di illecita comunicazione e diffusione dei dati personali richiede, altresì, il dolo specifico di profitto o di danno, danno che a differenza della fattispecie di cui all’art. 167, può riguardare anche soggetti differenti dall’interessato.

Non è richiesta, invece, la causazione del nocumento al titolare dei dati personali quale evento del reato, essendo la fattispecie de quo configurata come reato di pericolo, la cui condotta, dunque, è stata ritenuta nociva in re ipsa.

Il massimo edittale stabilito in 6 anni di reclusione comporta, sul piano processuale, che possano essere disposte intercettazioni e che sia consentito l’arresto facoltativo in flagranza ex art 381 c.p.p.

Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala

La seconda delle nuove fattispecie introdotte dal legislatore punisce con la reclusione da uno a quattro anni chi “al fine di trarre profitto per sé o per altri ovvero di arrecare danno, acquisisce con mezzi fraudolenti un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala”.

La volontà del legislatore è quella di includere nel penalmente rilevante qualsiasi attività con cui il reo riesca a procurarsi la disponibilità di un archivio automatizzato o una parte sostanziale di esso.

La struttura dell’illecito è analoga a quella del reato precedentemente esaminato ex art 167bis, alle cui considerazioni si rimanda. Innovativo è solo il richiamo al concetto di mezzi fraudolenti, che vanno comunemente intesi come artifici e raggiri, ovvero inganni.

Le residue fattispecie di illecito penale

L’art 168, come modificato dal D.lgs. 101/2018, prevede due fattispecie di illecito penale a tutela dell’azione del Garante della Privacy, le quali puniscono, salvo che il fatto non costituisca reato più grave, chi dichiara o attesta il falso nel corso di un procedimento dinanzi all’Autorità Garante ovvero chi intenzionalmente cagioni un’interruzione o turbi la regolarità di un accertamento o di un procedimento svolto davanti al Garante.

L’articolo 170 è norma di chiusura dell’intero sistema delineato dal Codice, in quanto sanziona con la reclusione da tre mesi a due anni chi non osservi i provvedimenti adottati dal Garante, nello specifico, i provvedimenti adottati ai sensi dell’articolo 58 comma 2 lett. f del GDPR (imposizione di una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento), ai sensi dell’articolo 2-septies del Codice (relativi a dati genetici, biometrici o relativi alla salute) o i provvedimenti generali di cui all’articolo 21 comma 1 del decreto di attuazione dell’articolo 13 della legge 163/2017.

L’articolo 171, invece, richiama le regole poste dagli artt. 4 e 8 dello Statuto dei lavoratori, relative al controllo a distanza dei lavoratori e al divieto di indagine sulle opinioni religiose, politiche o sociali dei lavoratori, ovvero su atti non rilevanti ai fini della valutazione dell’attitudine professionale di questi ultimi, ribadendo che la loro violazione è punita con le sanzioni di cui all’articolo 38 dello Statuto dei Lavoratori.

Profili critici

Desta stupore la scelta del legislatore nazionale di eliminare dalle violazioni presupposto della principale fattispecie penale in materia di protezione dei dati personali di cui all’art. 167, proprio il trattamento dei dati personali effettuato senza il consenso dell’interessato.

Si tratta, infatti, di una condotta notevolmente offensiva del diritto alla riservatezza del singolo, in quanto non consente allo stesso di esercitare alcun potere di controllo sulla circolazione dei propri dati personali.

È pur vero che il successivo art. 167bis punisce chi comunichi o diffondi i dati personali in assenza del consenso necessario dell’interessato, ma tale fattispecie resta circoscritta ai soli dati personali trattati su larga scala.

Per tale motivo, restano escluse dalla tutela penale, quei piccoli, ma gravissimi, trattamenti senza consenso di quantità di dati personali che sebbene rilevanti non consentano l’integrazione di un archivio su larga scala.

Ciò, indubbiamente, rischia di lasciare senza accertamento e, quindi, anche senza punizione moltissime ipotesi meritevoli invece di tutela, che resteranno sanzionate con la sola sanzione amministrativa pecuniaria.

Analogo problema si pone in relazione alla fattispecie di cui all’art. 167ter, la cui formulazione letterale non consente di attribuire rilevanza penale all’ipotesi, forse ancor più grave di quelle tipizzate, di “autoproduzione” illecita di un archivio automatizzato di dati personali, ossia al caso in cui il reo acquisti senza diritto, in violazione della normativa sul trattamento dei dati e sui diritti degli interessati, un rilevante numero di dati personali, e li organizzi in un archivio informatico[3].

Infine, non può non essere denunciata, la pericolosa vaghezza delle nuove fattispecie penali introdotte agli art. 167bis e 167ter del Codice della Privacy, che nel richiamare concetti indefiniti, quali quello di parte sostanziale di un archivio e di larga scala, appaiono in alcun modo rispettose del principio di tassatività della fattispecie penale.

Privacy e protezione dei dati personali: le azioni risarcitorie

Nel caso di un illecito trattamento dei dati personali, che sia esso o meno idoneo ad integrare una delle fattispecie penali sopradescritte, il titolare di dati personali, il cui diritto alla riservatezza e al controllo dei propri dati sia stato leso da un trattamento non conforme alle norme del GDPR alle norme nazionali in materia, ai sensi dell’art. 82 del GDPR, ha il diritto di ottenere dal titolare e dal responsabile del trattamento il risarcimento dei danni patrimoniale e non patrimoniali cagionati dal trattamento non conforme.

L’interessato potrà agire in via giudiziaria promuovendo un’azione risarcitoria ai sensi dell’art. 79 del GDPR dinanzi all’Autorità Giudiziaria dello Stato Membro in cui in cui il titolare del trattamento o il responsabile del trattamento ha uno stabilimento. In alternativa, potrà esercitare l’azione dinanzi alle autorità giurisdizionali dello Stato membro in cui risiede abitualmente, salvo che il titolare del trattamento o il responsabile del trattamento sia un’autorità pubblica di uno Stato membro nell’esercizio dei pubblici poteri.

Dato il regime di responsabilità solidale tra titolare e responsabile del trattamento, introdotto dall’art. 82 del GDPR, l’azione risarcitoria potrà essere esercitata indifferentemente nei confronti del titolare o del responsabile e per l’intero ammontare del danno.

Considerata la ratio legis di offrire all’interessato l’effettivo ristoro del danno subito, sono sorti dubbi circa la validità delle eventuali clausole di limitazione della responsabilità del titolare del trattamento contenute negli accordi stipulati tra questi ed il soggetto interessato.

Ad ogni modo, nel caso in cui manchi un accordo tra le parti o, comunque, venga presa in considerazione la sola posizione del responsabile del trattamento, che non è mai legato da accordi con i soggetti interessati, la responsabilità dei titolari e del responsabile del trattamento sarà piena e di carattere extracontrattuale[4].

Nei rapporti interni tra responsabile e titolare del trattamento la regola è invece quella della responsabilità pro – quota, per cui chi ha risarcito per l’intero potrà agire in regresso nei confronti dell’altro che risponderà in misura proporzionale alla sua responsabilità.

Il titolare ed il responsabile del trattamento, possono, però, non essere ritenuti responsabili dei danni arrecati dall’illecito trattamento allorquando, ai sensi del terzo comma dell’art. 82 del GDPR, siano essi stessi a dimostrare che l’evento dannoso non è in alcun modo a loro imputabile, avendo adottato tutte le misure idonee ad evitare il prodursi del danno ed avendo, il responsabile, correttamente adempiuto agli obblighi e alle istruzioni contrattualmente impartite dal titolare del trattamento.

Privacy e protezione dei dati personali: l’inversione dell’onere della prova

L’inversione dell’onere della prova, già previsto nel vecchio art. 15 del Codice della Privacy, è giustificata, oltre che dalla natura pericolosa dell’attività di trattamento dei dati personali, anche dalle esigenze di tutela del soggetto debole del rapporto. Ciò però non esime il soggetto danneggiato dal dover dimostrare l’esistenza del danno, l’esistenza della condotta attiva o omissiva posta in violazione del GDPR, e la relazione causale tra i primi due elementi.

Come affermato dalla copiosa giurisprudenza di legittimità, infatti, in caso di illecito trattamento dei dati personali, il danno, sia patrimoniale che non patrimoniale, non può essere considerato in re ipsa per il fatto stesso dello svolgimento dell’attività pericolosa, perché anche nel caso di inversione dell’onere probatorio di cui all’art. 2050 c.c., il danno, e in particolare la “perdita”, deve essere sempre allegata e provata da parte dell’interessato (cfr. Cass, sent. n. 207 del 2019; n. 1931 del 2017; n. 10638 del 2016).

Tuttavia, la stessa Corte rileva come la posizione attorea sia agevolata dall’onere della prova più favorevole rispetto alla regola generale del danno aquiliano, e, soprattutto, dalla possibilità di dimostrare il danno anche solo tramite presunzioni semplici, in modo particolare allorquando si verta in tema di lesione di un bene giuridico immateriale quale la riservatezza.

In ultimo, va segnalato un ulteriore rimedio riconosciuto dal GDPR al soggetto i cui diritti siano stati lesi da un trattamento contra legem. In particolare, ai sensi dell’art. 77 del GDPR, l’interessato potrà, fatto salvo ogni ricorso amministrativo o giudiziario, proporre un reclamo dinanzi all’Autorità di controllo nazionale nello Stato membro in cui risiede abitualmente, lavora oppure del luogo ove si è verificata la presunta violazione.

NOTE

  1. Cfr. Considerandum n. 149 del GDPR, la cui finalità è quella di evitare, così come avvenuto per il settore del market abuse, la simultanea sussistenza in relazione all’idem factum di illeciti penali ed illeciti amministrativi avente natura sostanzialmente penale secondo i criteri stabiliti dalla storica sentenza Engel.
  2. L’art. 4 del GDPR definisce l’archivio come qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico che sia trattato in forma elettronica
  3. Luca D’Agostino, La tutela penale dei dati personali nel riformato quadro normativo: un primo commento al D.Lgs. 10 agosto 2018, n. 101, Archivio Penale, Fasc. n. 1/2019
  4. Lamanuzzi M., Diritto penale e trattamento dei dati personali. Codice della privacy, novità introdotte dal regolamento UE 2016/679 e nuove responsabilità per gli enti.
@RIPRODUZIONE RISERVATA

Articolo 1 di 4