Falsità nelle dichiarazioni e notificazioni al Garante Articolo 168 del Codice Privacy

L'articolo 168 del Codice della privacy è rubricato “falsità nelle dichiarazioni e notificazioni al Garante181_{” ed è stato modificato}

recentemente dal decreto legge 69/2012182_.

Tale articolo concerne il reato di falsità nelle dichiarazioni, comunicazioni, atti, documenti e notificazioni all'Autorità Garante e contiene il secondo delitto previsto dal Codice come originariamente previsto dall’articolo 37-bis della legge 675/96, introdotto dall’articolo 16 del decreto legislativo 467/2001183_.

Il bene giuridico tutelato dalla norma contenuta nell'articolo 168 è rappresentato dalle funzioni di garanzia e di controllo del Garante. Così come nella fattispecie precedentemente analizzata, anche in questa norma sono presenti richiami alla disciplina extrapenale del Codice.

L'articolo 37 fa riferimento all'obbligo per il titolare del trattamento di notificare al Garante l'attività che intende intraprendere, quando il trattamento riguarda particolari tipi di dati (per esempio dati genetici, biometrici, dati idonei a rivelare lo stato di salute e la vita sessuale ecc.).

L'articolo 32 bis invece, il quale è stato introdotto con il decreto legislativo 69/2012, prevede, al comma 1, la comunicazione senza 181 _{Falsità nelle dichiarazioni e notificazioni al Garante (Art. 168): “chiunque, nelle}

comunicazioni di cui all'articolo 32 bis, commi 1 e 8, nella notificazione di cui all'articolo 37 o in comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni”.

182 _{Decreto concernente modifiche al Codice in materia di comunicazione elettronica,}

che introduce, tra le altre modifiche, l'articolo 32 bis all'interno del Codice Privacy, rubricato “adempimenti conseguenti ad una violazione di dati personali”.

183 _{Decreto recante “Disposizioni integrative e correttive della normativa in materia}

indebito ritardo al Garante da parte del fornitore di servizi di comunicazione elettronica accessibili al pubblico in caso di violazione di dati personali; al comma 8 è invece previsto che se il fornitore di un servizio di comunicazione elettronica accessibile al pubblico affida l'erogazione del predetto servizio ad altri soggetti, tali soggetti devono comunicare, senza indebito ritardo, al fornitore, tutti gli eventi e le informazioni necessarie a consentirgli di effettuare gli adempimenti richiesti dall'articolo medesimo.

È inoltre rilevante ai fini dell'applicazione dell'articolo 168, anche senza alcuno specifico richiamo normativo, qualsiasi comunicazione, atto, documento o dichiarazione reso e esibito in un procedimento davanti al Garante o nel corso di accertamenti. Per quanto attiene alle condotte incriminate, la norma punisce la dichiarazione o l'attestazione di false notizie o circostanze, ovvero la produzione di atti o documenti falsi.

Da ciò si evince che la norma ha inteso ricomprendere al suo interno sia le ipotesi di falso ideologico184 _{che quella di falso}

materiale185_{, assimilandole ai fini dell'applicazione della pena.}

Come per il trattamento illecito di dati, anche in questo caso è prevista la clausola di riserva “salvo che il fatto costituisca più grave reato”, la quale fa salva l'applicazione delle norme che riguardano i casi in cui il soggetto attivo sia un pubblico ufficiale186_,

mentre si pone come norma speciale rispetto all'articolo 483187 _del

Codice penale, in quanto prevede una pena maggiore.

Soggetto attivo del reato è “chiunque”, anche se per taluni autori dovrebbe trattarsi di un reato proprio, poiché, a loro parere, 184 _{Che consiste nel dichiarare o attestare falsamente notizie o circostanze.}

185 _{Consistente nella produzione di atti o documenti falsi.}

186 _{Come nel caso dell'articolo 476 del Codice penale che prevede il reato di falsità}

materiale commessa da un pubblico ufficiale in atti.

potrebbe risponderne il solo titolare del trattamento, il quale è il soggetto obbligato a fare le comunicazioni e le notificazioni188_.

È però da tenere presente che un soggetto terzo può rispondere del delitto, anche a titolo di concorso o semplicemente in qualità di persona diversa dal titolare.

Il reato si consuma quando non vengano effettuati gli adempimenti previsti dai due articoli, o quando vengono rilasciate false dichiarazioni o comunicazioni; per questo possiamo ritenere tale delitto un reato di pericolo astratto, poiché non è necessaria una lesione dell'interesse tutelato dalla norma.

Per l’integrazione dell’elemento soggettivo è sufficiente il dolo generico189_{, ovvero la consapevolezza nel soggetto agente della}

falsità delle notizie e dei documenti.

6 Misure di sicurezza. Articolo 169 del Codice Privacy

L'articolo 169190 _{del Codice della privacy prevede un'ipotesi} contravvenzionale in riferimento all'ipotesi di inosservanza delle misure minime di sicurezza.

188 _{CIRILLO G. P., Il codice sulla protezione dei dati personali, Milano, 2004,}

pagina 578.

189 _{DI RESTA F. (2008), Protezione delle informazioni, Giappichelli.}

190 _{Misure di sicurezza (Art. 169): 1. “Chiunque, essendovi tenuto, omette di}

adottare le misure minime previste dall'articolo 33 è punito con l'arresto sino a due anni”.

2. “All'autore del reato, all'atto dell'accertamento o, nei casi complessi, anche con

successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l'oggettiva difficoltà dell'adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l'adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo della sanzione stabilita per la violazione amministrativa. L'adempimento e il pagamento estinguono il reato. L'organo che impartisce la prescrizione e il pubblico ministero provvedono nei modi di cui agli articoli 21, 22, 23 e 24 del decreto legislativo 19 dicembre 1994, n. 758, e successive modificazioni, in quanto applicabili”.

L'obiettivo della norma è quello di prevenire il verificarsi di pregiudizi nella sfera privata dei singoli, imponendo ai soggetti responsabili una serie di obblighi di protezione per garantire la sicurezza delle informazioni.

La condotta incriminata consiste dunque nella non adozione in via preventiva degli standard minimi previsti dal Codice e indicati nell'allegato B al Codice stesso.

Ci troviamo di fronte ad un reato omissivo di pericolo presunto: non è richiesto alcun nocumento e si conferma ancora una volta l'impostazione del Codice il quale assimila l'attività di trattamento di dati personali alle attività pericolose in forza del rinvio operato dall'articolo 15 del decreto legislativo 196/2003 all'articolo 2050 del Codice civile.

Tale reato omissivo è un reato proprio perché può essere contestato a chi per legge è tenuto ad adottare le misure di sicurezza, ovvero al titolare del trattamento.

Il titolare del trattamento è dunque il destinatario diretto di tutte le prescrizioni richiamate nella contravvenzione in esame, dalle quali nasce una posizione di garanzia in senso formale. Oltre a ciò è da sottolineare che in capo al titolare sussiste anche una responsabilità in eligendo ed in vigilando191 _{nei casi in cui, per l’ampiezza dei suoi} compiti, provveda a delegare ad altri soggetti lo svolgimento di alcune di queste attività. Tali soggetti potranno sempre essere chiamati a titolo di concorso.

L'elemento oggettivo del reato si radica nell'articolo 33192 _del

191 _{La responsabilità in eligendo prevede che il titolare provveda a scegliere}

accuratamente quelle persone dotate di esperienza necessaria, capacità d’ affidabilità che diano una garanzia idonea rispetto le disposizioni vigenti in materia di trattamento, nei confronti delle quali venga eventualmente delegata parte dei propri compiti. La responsabilità in vigilando si riferisce invece ad un generale dovere di sorveglianza da parte del delegante verso le attività del delegato.

192 _{Articolo 33 decreto legislativo 196/2003 : “ Nel quadro dei più generali obblighi}

Codice Privacy, vale a dire nell'obbligo di adozione da parte dei titolari del trattamento, di misure minime di sicurezza.

Dal combinato disposto degli articoli 169, comma primo, e 33, nella parte in cui richiama l'articolo 58, comma terzo, si evince che, in relazione ai trattamenti effettuati dai servizi di informazione e di sicurezza previsti dalla legge n. 801/1977 e da altri soggetti pubblici per finalità di difesa o di sicurezza dello Stato, ovvero coperti dal segreto di Stato, le misure minime, che rappresentano il parametro alla cui stregua valutare la penale rilevanza della condotta in esame, siano redatte dal Governo con apposito decreto del Presidente della Repubblica, ai sensi del citato comma terzo dell'articolo 58, con i conseguenti problemi in tema di norme penali in bianco193_.

L’elemento soggettivo, dal momento che si tratta di una contravvenzione, è dato indifferentemente dal dolo o dalla colpa: inoltre, per lo stesso motivo, non sarà configurabile il tentativo, che è espressamente previsto solo per i delitti.

Il comma 2 dell'articolo 169 prevede infine la possibilità di ricorrere all'istituto dell'oblazione.

trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo o ai sensi dell'articolo 58, comma 3, volte ad assicurare un livello minimo di protezione dei dati personali”.

193 _{MANNA A. Prime osservazioni sul Testo Unico in materia di protezione dei dati}

personali: profili penalistici: Se da una parte è apprezzabile il rinvio ad una norma

secondaria, per la sua natura strettamente tecnica, meno apprezzabile è la provenienza di tale norma dall'esecutivo, andando in tal modo contro il principio di legalità della legge penale.

7 Inosservanza dei provvedimenti del Garante. Articolo 170 del Codice Privacy

L'articolo 170194 _{del Testo Unico in materia di privacy è il terzo ed}

ultimo delitto che troviamo nel Titolo relativo alle sanzioni ed è posto a tutela dell'azione del Garante: il principale bene giuridico tutelato dalla norma consiste funzione di controllo del Garante per la protezione dei dati personali.

La disposizione in esame riprende integralmente il testo della corrispondente fattispecie di cui all'articolo 35 della precedente legge 675/1996, aggiungendovi un ulteriore incriminazione per l'inosservanza dell'autorizzazione adottata dall'Autorità, ai sensi dell'articolo 90 del Codice, il quale fa riferimento al trattamento dei dati genetici, in virtù della “particolare delicatezza della materia disciplinata195_”.

Quanto all’elemento oggettivo, l’articolo richiama l’inosservanza dei provvedimenti del Garante emessi ai sensi dell’art. 26 comma 2 in materia di dati sensibili196_{, l’art. 90 in materia di dati genetici}197_,

194 _{Inosservanza dei provvedimenti del Garante (Art. 170): “Chiunque, essendovi}

tenuto, non osserva il provvedimento adottato dal Garante ai sensi degli articoli 26, comma 2, 90, 150, commi 1 e 2, e 143, comma 1, lettera c), è punito con la reclusione da tre mesi a due anni”.

195 _{Attraverso queste parole è stata motivata, nella Relazione di accompagnamento al}

decreto legislativo 196/2003, l'introduzione di questa disposizione incriminatrice.

196 _{Articolo 26, comma 2: “Il Garante comunica la decisione adottata sulla richiesta}

di autorizzazione entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il provvedimento di autorizzazione, ovvero successivamente, anche sulla base di eventuali verifiche, il Garante può prescrivere misure e accorgimenti a garanzia dell'interessato, che il titolare del trattamento è tenuto ad adottare”.

197 _{Articolo 90: “Il trattamento dei dati genetici da chiunque effettuato è consentito}

nei soli casi previsti da apposita autorizzazione rilasciata dal Garante sentito il Ministro della salute, che acquisisce, a tal fine, il parere del Consiglio superiore di sanità. L'autorizzazione di cui al comma 1 individua anche gli ulteriori elementi da includere nell'informativa ai sensi dell'articolo 13, con particolare riguardo alla specificazione delle finalità perseguite e dei risultati conseguibili anche in relazione alle notizie inattese che possono essere conosciute per effetto del trattamento dei dati e al diritto di opporsi al medesimo trattamento per motivi legittimi. Il donatore di midollo osseo, ai sensi della legge 6 marzo 2001, n. 52, ha il diritto e il dovere di

l’art. 150 commi 1 e 2 in materia di provvedimenti conseguenti alla presentazione del ricorso198_.

Il reato si perfeziona nel momento in cui scade il termine fissato per l’osservanza del provvedimento o, in mancanza di termine, nel momento in cui allo stesso provvedimento segua la condotta vietata, o, ancora, quando l’attività viene posta in essere in mancanza del provvedimento richiesto.

Anche in questo caso, così come per l'articolo precedentemente analizzato, il soggetto attivo è “chiunque, essendovi tenuto”; dunque trattasi di reato proprio.

Più precisamente trattasi di reato omissivo proprio, e per tale ragione è difficilmente configurabile il tentativo.

Per l’integrazione dell’elemento soggettivo del reato è sufficiente il dolo generico, e quindi la rappresentazione e volontà dell’inosservanza del provvedimento del Garante.

8 Altre fattispecie. Articolo 171 del Codice Privacy

L'ultima disposizione penale prevista dal decreto legislativo 196/2003 è contenuta nell'articolo 171199_{, il quale, così come le}

mantenere l'anonimato sia nei confronti del ricevente sia nei confronti di terzi”.

198 _{Articolo 150, comma 1: “Se la particolarità del caso lo richiede, il Garante può}

disporre in via provvisoria il blocco in tutto o in parte di taluno dei dati, ovvero l'immediata sospensione di una o più operazioni del trattamento. Il provvedimento può essere adottato anche prima della comunicazione del ricorso ai sensi dell'articolo 149, comma 1, e cessa di avere ogni effetto se non è adottata nei termini la decisione di cui al comma 2. Il medesimo provvedimento è impugnabile unitamente a tale decisione”.

Articolo 150, comma 2: “Assunte le necessarie informazioni il Garante, se ritiene

fondato il ricorso, ordina al titolare, con decisione motivata, la cessazione del comportamento illegittimo, indicando le misure necessarie a tutela dei diritti dell'interessato e assegnando un termine per la loro adozione. La mancata pronuncia sul ricorso, decorsi sessanta giorni dalla data di presentazione, equivale a rigetto”.

199 _{Altre fattispecie (Art. 171): “La violazione delle disposizioni di cui agli articoli}

113, comma 1, e 114 è punita con le sanzioni di cui all'articolo 38 della legge 20 maggio 1970, n. 300”.

precedenti norme, è costruito come norma penale in bianco: quindi occorre anche in questo caso compiere una ricerca in ordine ai contenuti del precetto e della sanzione200_.

All'interno della disposizione in esame troviamo due fattispecie poste a tutela dei lavoratori dipendenti.

La prima condotta sanzionata è definita dall'articolo 113 del Codice, il quale richiama a sua volta l'articolo 8 dello Statuto dei Lavoratori (Legge n. 300/1970).

Questa norma vieta al datore di lavoro, sia ai fini dell'assunzione che nel corso del rapporto di lavoro, di effettuare controlli sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell'attitudine professionale del lavoratore.

La seconda condotta sanzionata consiste nella violazione dell'articolo 114 del Codice, il quale opera un richiamo all'articolo 4, commi 1 e 2 dello Statuto dei Lavoratori, dove si vieta al datore di lavoro di utilizzare impianti audiovisivi e altre apparecchiature per finalità di controllo a distanza dei lavoratori201_.

200 _{Come abbiamo avuto modo di osservare, analizzando le disposizioni penali}

contenute nel Codice, esse sono costruite come norme in bianco, vale a dire che non è esplicita la condotta punita, ma esclusivamente la sanzione: l'elemento oggettivo del reato lo ricaviamo infatti seguendo i rinvii che la norma opera ad altre disposizioni, le quali a loro volta ne richiamano spesso altre e con questo meccanismo si crea il precetto penale.

201 _{ROSSI V., Divieto di controllo a distanza e telelavoro, in Codice in materia di}

protezione dei dati personali, Vicenza, 2004, pagina 523.

Occorre precisare che è considerato tuttavia doveroso il controllo del traffico telematico aziendale da parte dell’imprenditore. Alcuni casi sono espressamente previsti dalla legge, come quello della necessità per l’azienda di ovviare al rischio di una propria responsabilità in conseguenza di fatti illeciti dei propri dipendenti. Il problema, di conseguenza, si sposta sui limiti del controllo in questione. Se andiamo ad analizzare l'articolo 4 dello Statuto dei Lavoratori, vediamo che esso distingue ipotesi di divieto di controllo assoluto e relativo. Il divieto assoluto, al comma 1, riguarda gli impianti e le altre apparecchiature (intesa come categoria aperta comprendente anche strumenti informatici e telematici) atte a realizzare un controllo a distanza intenzionale del lavoratore. Il divieto relativo, al comma successivo, riguarda il controllo preterintenzionale, effettuato cioè con l’installazione di impianti ed apparecchiature richieste da esigenze organizzative o concernenti la sicurezza del lavoro nei quali la possibilità del controllo a distanza del lavoratore è solo eventuale.

Dopo aver analizzato le disposizioni richiamate dall'articolo 171 del Codice, appare ovvio che siamo di fronte ad un reato proprio, che può essere commesso solo da chi riveste la qualifica di datore di lavoro.

Il bene giuridico tutelato dalla norma è senza dubbio quello della riservatezza, della dignità e della professionalità dei lavoratori, in particolare durante l'attività lavorativa.

Trattandosi di reato contravvenzionale, esso potrà essere commesso indipendentemente con dolo o con colpa e, inoltre, non sarà configurabile il tentativo.

Entrambe le violazioni previste dall'articolo 171 sono sanzionate dall'articolo 38 dello Statuto dei Lavoratori, che prevede la pena dell'ammenda da 500 a 1.500€, o l'arresto da quindici giorni a un anno. Nei casi più gravi, le pene possono essere applicate congiuntamente e, in considerazione delle condizioni economiche del reo, l'Autorità Giudiziaria può aumentare l'ammenda fino al quintuplo del massimo previsto.

È infine prevista la pubblicazione della sentenza penale di condanna, secondo quanto stabilito dall'articolo 36 del Codice penale.

9 Pene accessorie. Articolo 172 del Codice Privacy

Chiude il Capo sugli illeciti penali l'articolo 172 che concerne l'istituto della pubblicazione della sentenza, in caso di condanna per uno dei delitti previsti dal Codice della privacy: più precisamente il trattamento illecito di dati personali (Art. 167), la falsità di dichiarazioni e notificazioni al Garante (Art. 168) e l'inosservanza dei provvedimenti del Garante (Art. 170). Restano dunque escluse

dall'ambito applicativo di tale disposizione le ipotesi contravvenzionali disciplinate dal Codice.

L'istituto è disciplinato dall'articolo 36 del Codice penale e consiste nell'inserzione della condanna per estratto (salvo che il giudice disponga diversamente), sui giornali designati dal giudice, a norma dell'articolo 536 del Codice di procedura penale.

CAPITOLO IV