Non è stato approvato definitivamente il Decreto legislativo, ancora in fase di proposta, ma dall’esame del testo si rilevano alcuni elementi importanti per comprendere come avverrà il trattamento delle violazioni e il contemperamento delle sanzioni.
L’art. 83 del Regolamento e l’art. 166 del Codice Privacy, così come riformulato dalla bozza di d.lgs. di adeguamento, delineano un quadro sanzionatorio di tipo principalmente amministrativo.
L’articolo 84 del GDPR prevede poi che gli Stati membri stabiliscano “le norme relative alle altre sanzioni per le violazioni del presente Regolamento, in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie e adottano tutti i provvedimenti necessari per assicurarne l’applicazione […]“.
Nonostante gli Stati membri dell’Unione europea detengano un certo margine di discrezionalità nel determinare quali misure siano più appropriate per la tutela dei diritti in materia di protezione dei dati e privacy, il GDPR prevede espressamente che tali sanzioni debbano SEMPRE soddisfare i requisiti dell’effettività e della proporzionalità (articolo 84).
L’impianto sanzionatorio del Regolamento è, dunque, improntato esclusivamente su sanzioni amministrative. Ne deriva che per tutte le fattispecie indicate dall’art. 83 siano sanzionate con le sole pene amministrative (pecuniarie) per le quali l’ordinamento nazionale non può prevedere anche sanzioni penali.
Ciò ha comportato per il legislatore italiano la previsione nello schema di decreto all’art. 27 la necessaria abrogazione degli articoli 169 e 170 del Codice relativi, rispettivamente:
– alla violazione di misure di sicurezza : in base al regolamento la violazione delle norme relative alla sicurezza è sanzionata con il versamento di una somma fino a 10 milioni di euro;
– all’inosservanza di provvedimenti del Garante : il Regolamento prevede in questi casi la sanzione pecuniaria fino a 20 milioni.
Dell’art. 170 del Codice Privacy, il Garante chiede però la non abrogazione ed esprime critiche riguardo il difforme trattamento tra la legge applicativa della direttiva europea 680/2016 e quanto previsto dal decreto attuativo del GDPR.
Con i commi da 4 a 6 dell’art. 167 novellato, lo schema delinea il procedimento di cooperazione tra Garante e autorità giudiziaria e affronta, con previsione applicabile a tutti i successivi illeciti penali, il tema del rapporto tra sanzione amministrativa e sanzione penale.
In particolare,
– i commi 4 e 5 disciplinano la cooperazione tra pubblico ministero e Garante prevedendo che entrambi debbano senza ritardo scambiarsi le informazioni sugli illeciti dei quali vengano a conoscenza;
– il comma 6 prevede che quando per uno stesso fatto sia stata applicata e riscossa una sanzione amministrativa pecuniaria, la pena – all’esito della condanna penale – sia diminuita.
La riforma pone con il comma 6 dell’art. 167 il tema del rispetto del principio del ne bis in idem tra sanzioni penali e sanzioni amministrative, ovvero del principio per il quale nessuno può essere sottoposto a due procedimenti sanzionatori per il medesimo fatto, indipendentemente dall’esito degli stessi .
La riforma, agli articoli 166 e 167, ha infatti individuato per condotte non direttamente contemplate dal regolamento rispettivamente illeciti amministrativi e illeciti penali.
In relazione a queste ipotesi il decreto attuativo risolve il problema del cumulo della sanzione amministrativa pecuniaria e della pena detentiva, prevedendo una riduzione di quest’ultima quando la prima sia stata già riscossa.
L’articolo 15 del progetto di decreto inserisce nel Codice, all’articolo 167-bis, il delitto di comunicazione e diffusione illecita di dati personali riferibili a un rilevante numero di persone. La fattispecie penale punisce con la reclusione da 1 a 6 anni il titolare, il responsabile o la persona designata per il trattamento che, salvo che il fatto costituisca più grave reato, al fine di trarre profitto per sé o altri, comunica o diffonde dati personali riferibili a un rilevante numero di persone:
– in violazione degli articoli 2-ter (comunicazione e diffusione di dati personali da parte di titolari che effettuato il trattamento per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri), 2-sexies (trattamento di categorie particolari di dati necessario per motivi di interesse pubblico rilevante) e 2-octies (trattamento di dati relativi a condanne penali e reati) (comma 1);
– in assenza del consenso degli interessati, quando il consenso è richiesto come condizione di liceità delle operazioni di comunicazione e diffusione (comma 2).
Con l’inserimento nel Codice dell’articolo 167-ter, la riforma punisce con la reclusione da 1 a 4 anni, chiunque, al fine di trarne profitto, acquisisce con mezzi fraudolenti dati personali riferibili a un numero rilevante di persone.
Anche ai delitti di cui agli articoli 167-bis e 167-ter si applicano i commi 4-6 dell’articolo 167, relativi a cooperazione tra Garante e PM e cumulo di sanzioni penali e amministrative.
Con la modifica dell’articolo 168 del Codice, la riforma conferma la pena della reclusione da 6 mesi a tre anni per la falsità nelle dichiarazioni al Garante.
Oltre a tale fattispecie, già prevista dal Codice, viene, però, introdotto un nuovo delitto consistente nell’intenzionale interruzione o nel turbamento di un procedimento davanti al Garante o degli accertamenti da questo disposti: la pena prevista è la reclusione fino a 1 anno.
Il nuovo articolo 171 del Codice conferma che sono punite in via contravvenzionale, con l’ammenda da 154 a 1.549 euro o con l’arresto da 15 giorni ad un anno, le violazioni in materia di controllo a distanza dei lavoratori con impianti audiovisivi e altri strumenti. Tuttavia, con la stessa pena sono ora sanzionate dall’art. 171, anche le violazioni del divieto di indagine, da parte del datore di lavoro, delle opinioni politiche, religiose, sindacali del lavoratore.
Infine, l’articolo 15 dello schema novella l’articolo 172 del Codice, confermando che alla condanna per uno dei sopradescritti reati consegue, come pena accessoria, la pubblicazione della sentenza. A tal fine, la disposizione fa espresso riferimento all’art. 36, secondo e terzo comma, del codice penale, dal quale deriva la pubblicazione della sentenza nel sito internet del Ministero della giustizia, di regola per estratto, a spese del condannato per una durata stabilita dal giudice in misura non superiore a 30 giorni; in mancanza, la durata è di 15 giorni.