General Data Protection Regulation (GDPR): responsabilità e sistema sanzionatorio

Con l’entrata in vigore del nuovo General Data Protection Regulation (GDPR), il quadro del sistema sanzionatorio privacy sarà più severo, non soltanto per ciò che riguarda l’entità degli importi, ma anche per quanto concerne le ipotesi per cui possono essere comminate le sanzioni.

A delinearne i tratti ed a fornire una valutazione delle nuove norme Diritto Mercato Tecnologia ha chiesto il parere di due tra i maggiori esperti del settore: l’Avv. Claudio Urciuoli, Docente di diritto penale progredito (criminalità economica e responsabilità penale degli enti) presso la Facoltà di Giurisprudenza dell’Università Europea di Roma e l’Avv. Tommaso Politi.

Avvocato Urciuoli e Avvocato Politi, a pochi giorni dalla scadenza del 25 maggio potete tratteggiare un quadro del sistema sanzionatorio previsto dal nuovo GDPR ?

Va premesso che il nuovo GDPR non prevede sanzioni penali ma solo una serie di illeciti amministrativi, puniti con sanzioni pecuniarie che possono arrivare a decine di milioni di euro e anche oltre, in proporzione al fatturato annuo mondiale del soggetto giuridico che violi la nuova disciplina.

Quanto agli illeciti penali, il combinato disposto dell’art. 84 e del Considerando n. 149 del GDPR stabilisce che sia rimesso ai singoli Stati membri la possibilità di prevederli, sia con riferimento alle violazioni del Regolamento e che delle norme nazionali adottate.

Il tutto, però, nel rispetto del c.d. ne bis in idem europeo, un principio ormai consolidato dalla giurisprudenza di Strasburgo e Lussemburgo, secondo cui non si può punire due volte per la stessa violazione, anche se considerata sotto due profili diversi, ad esempio penale e amministrativo.

È sulla base di questo principio che il Governo, in una prima versione dello schema di decreto attuativo, aveva opinato di procedere ad una depenalizzazione a tappeto, ritenendo che tutti i fatti punibili penalmente ai sensi del vecchio art. 167 CdP, fossero ormai sanzionati amministrativamente dal nuovo GDPR. Una scelta, questa, su cui lo stesso Governo è tornato dopo pochi giorni, anche a seguito delle polemiche seguite alla “fuga di notizie” sulla depenalizzazione.

In tutto questo, ad oggi gli schemi di decreto legislativo non sono ancora stati definitivamente adottati e quindi c’è la concreta prospettiva che si arrivi al 25 maggio con l’impianto sanzionatorio penale del “vecchio” codice della privacy ancora in vigore.

Il tutto con un palese difetto di coordinamento rispetto al Regolamento europeo e alla Direttiva “gemella” in materia di trattamento dei dati personali in ambito giudiziario e di pubblica sicurezza. Un bel pasticcio.

Ad una prima bozza di decreto per l’armonizzazione dell’ordinamento interno alle norme europee del GDPR, approvata in esame preliminare dal Consiglio dei Ministri e che abrogava il Codice della privacy, se ne è sostituita una seconda dal contenuto diametralmente opposto, che conserva il Codice Privacy con proposte di nuove ipotesi di reato. Ad esempio, l’articolo 167 del Codice sul trattamento illecito dei dati vede una nuova formulazione con l’aggiunta di due fattispecie.

Effettivamente, come da Lei correttamente rilevato e come abbiamo già prima accennato, una prima bozza di schema di decreto legislativo, circolata –  anche con qualche nota polemica per l’inopportuna diffusione – nelle scorse settimane, prevedeva una sostanziale depenalizzazione dei reati in materia di privacy, in ossequio evidentemente al citato principio oramai consolidato del bis in idem europeo.

Tale decisione, tuttavia, è stata aspramente criticata, seppure praticamente “al buio”, dai primi commentatori che hanno ritenuto potenzialmente criminogena la scelta del legislatore di rinunciare allo strumento penale per punire le violazioni del Regolamento.

Ora, non sappiamo se siano state queste censure a indurre il Governo ad un ripensamento, ciò che sappiamo – perché è notizia pressoché ufficiale – è che è stato trasmesso nei giorni scorsi un nuovo schema di decreto legislativo il quale rappresenta un ritorno all’antico, con la riformulazione del vecchio art. 167 e con l’aggiunta – è questa la novità di maggior rilievo – di ulteriori due fattispecie incriminatrici.

Infatti, accanto al “nuovo” articolo 167, sempre costruito con la tecnica del rinvio a violazioni specifiche del Codice e che punisce tuttora diverse condotte di illecito trattamento che hanno arrecato un nocumento all’interessato, il legislatore ha introdotto gli artt. 167bis e 167ter.

La prima delle due fattispecie di nuovo conio punisce la “comunicazione e diffusione illecita di dati personali riferibili a un rilevante numero di persone”: è costruita sul modello di reato proprio del soggetto tenuto al trattamento professionale dei dati o per obbligo di legge, e al secondo comma punisce altresì la comunicazione di dati senza consenso quando esso è stabilito ai fini della liceità dell’operazione di trattamento.

È stata poi introdotta un’ulteriore fattispecie incriminatrice, quella di cui all’art. 167ter, anch’essa declinata in relazione al numero rilevante delle persone offese, che punisce l’”acquisizione fraudolenta di dati personali”.

Va osservato che per tutti e tre i delitti in parola il legislatore ha mantenuto la punibilità a titolo di dolo specifico – vale a dire che il soggetto deve aver agito con la finalità di trarre per sé o per altri profitto -, mentre rappresenta una novità la previsione specifica di una necessaria cooperazione e coordinamento tra Autorità Giudiziaria e Garante.

Invariata, rispetto al precedente schema di decreto, resta, di contro, la novellata fattispecie di cui all’art. 168, che sancisce al primo comma la punibilità dei soggetti i quali, nei procedimenti davanti al Garante, dichiarano o attestano il falso, e al secondo comma punisce chi cagiona intenzionalmente una interruzione o turba la regolarità dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante medesimo.

 

E qual è la vostra valutazione sulla rete di sanzioni in materia di privacy che si sta delineando?

È chiaro che la previsione delle fattispecie di nuovo conio, non coincidente con l’art. 167, ha lo scopo di reprimere le condotte che per vastità di dimensioni, numero rilevante delle persone offese e, quindi, di dati trattati, non si esaurisce nella mera violazione delle norme sul trattamento. Riteniamo che una tale decisione sia stata dettata dalla necessità di evitare la violazione del richiamato principio del bis in idem europeo.

In questo caso, infatti, i due procedimenti, penale e amministrativo, considererebbero aspetti diversi del fatto illecito.

Si tratterebbe, in buona sostanza, di seguire l’orientamento della sentenza Menci della Corte di Giustizia, che ha ritenuto legittimo il doppio binario previsto in materia tributaria soprattutto sul presupposto che in tale ambito le fattispecie penali considerano violazioni di particolare disvalore. Sembrerebbe, quindi, che anche in materia di privacy si sia voluta percorrere questa strada.

In conclusione, la disciplina che si va profilando ha certamente il pregio di colmare quei “vuoti” di tutela penale che si sarebbero creati se il legislatore avesse perseguito la strada della depenalizzazione tout court.

Rimangono comunque alcuni aspetti critici relativi soprattutto alla scelta di una disciplina multilivello e dunque di un intervento che rischia di apparire, se non caotico, quanto meno disorganico. Inoltre, non convince il solito drafting legislativo con continui rimandi ad altre norme e altre fonti.