Privacy: i reati dopo il GDPR

Con il decreto di adeguamento della normativa privacy al Gdpr, il quadro sanzionatorio della normativa a tutela dei dati personali ha subito alcune importanti modifiche. In ambito penale, in particolare, sono state introdotte nuove fattispecie di reato ed depenalizzate delle altre. Le condotte incriminatrici oggetto della riforma sono:

  1. trattamento illecito di dati;
  2. comunicazione e diffusione illecita di dati personali;
  3. acquisizione fraudolenta di dati personali;
  4. interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante;
  5. inosservanza di provvedimenti del Garante;
  6. violazioni in materia di controlli a distanza dei lavoratori.

1. Innanzitutto, l’art. 167 del codice sanziona il trattamento illecito di dati personali. Si tratta di una fattispecie già prevista ma innovata alla luce della disciplina europea. È reato, in particolare, la violazione delle norme privacy più rilevanti, come ad esempio alcune di quelle che disciplinano il trattamento di dati sensibili e il trasferimento internazionale di dati. La pena per tale reato è diminuita se per gli stessi fatti è applicata una sanzione amministrativa.
2. Il nuovo art. 167-bis sanziona, invece, la comunicazione e la diffusione di dati personali oggetto di trattamento su larga scala, quando tali condotte violano determinati requisiti prescritti dalla legge e sono guidati dalla volontà di recare danno a terzi o di trarre profitto per sé o per altri. La comunicazione e la diffusione, poi, devono riguardare un archivio automatizzato di dati personali o una sua parte sostanziale. Anche in questo caso, se per gli stessi fatti è applicata anche una sanzione amministrativa, la pena è diminuita.
3. Un’altra nuova fattispecie di reato è rappresentata dall’acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala, prevista dall’art. 167-ter. L’illecito, punito con la reclusione da 1 a 4 anni, è posto in essere da chi acquisisce con mezzi fraudolenti un archivio automatizzato o una sua parte sostanziale contenente dai personali oggetto di trattamento su larga scala al fine di trarne profitto o di arrecare danno ad altri.
4. Chiunque dichiari o attesti il falso al Garante continua a essere sanzionato penalmente dall’art. 168. A questo è stato aggiunto il 2 comma, il quale prevede una nuova fattispecie di reato: l’interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante.
5. Nonostante lo schema di decreto presentato al Parlamento avesse tentato di eliminarne la rilevanza penale, costituisce ancora reato l’inosservanza di provvedimenti del Garante, sanzionata dall’art. 170 con la reclusione da 3 mesi a 2 anni.
6. Infine, restano reato le violazioni delle disposizioni in materia di controlli a distanza e di indagini sulle opinioni dei lavoratori previste dallo Statuto dei lavoratori.

Tutte le altre fattispecie di illecito previste dal codice della privacy prima dell’entrata in vigore del Gdpr sono state depenalizzate e, pertanto, non configurano più ipotesi di reato. Se si tratta di condotte poste in essere prima del 19.09.2018 – data di entrata in vigore del decreto n. 101/2018 – si applicano le nuove sanzioni amministrative, purché il procedimento penale non sia stato definito con sentenza o con decreto irrevocabili. Se tali provvedimenti sono invece già stati emessi, spetta al giudice dell’esecuzione decidere se revocarli perché il fatto non è più previsto dalla legge come reato.

Chiudi il menu