Il quadro sanzionatorio e repressivo nel Codice privacy

Sul versante della protezione dei dati personali, il quadro repressivo contenuto nel Codice sulla privacy prevede illeciti penali, violazioni amministrative e responsabilità civile per danni252. In particolare, la diffusione di dati personali da

parte di soggetti pubblici effettuato in mancanza di idonei presupposti normativi è sanzionata ai sensi dell’art. 162, comma 2-bis e 167253

del Codice per la protezione dei dati personali.

--- 251 _{Così S. TOSCHEI, Dall’art. 18 d.l. n. 83/2012 all’art. 37 d.lgs. n. 33/2013, un tracciato} normativo verso la trasparenza negli appalti pubblici passando per la legge anticorruzione,

Intervento al Convegno “Anticorruzione e trasparenza: analisi dell’impatto normativo nell’ente

locale” – Frascati, 15 luglio 2013.

252 _{L'impianto sanzionatorio del d.lgs. n. 196/2003 è simile a quello previsto dalla legge n. 675/1996.}

In particolare, il Codice disciplina tre delitti (art. 167 “Trattamento illecito di dati”; art. 168

“Falsità nelle dichiarazioni e notificazioni al garante”; art. 170 “Inosservanza di provvedimenti del Garante”), per i quali è sempre prevista una “clausola di salvezza” (“salvo che il fatto costituisca più grave reato”). Non è permesso, inoltre, l'utilizzo di misure cautelari e di strumenti di

investigazione, come ad es. le intercettazioni telefoniche.

253 _{L’art. 167, che delinea la fattispecie sanzionatoria penale dell'illecito trattamento di dati,}

prescrive che: “1. Salvo che il fatto non costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell'art. 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei mesi a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi. 2. Salvo che il fatto non costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno procede al trattamento di dati personali in violazione di quanto disposto dagli

145

L’art. 167 punisce una fattispecie di reato “propria”, nonostante la norma faccia riferimento, sul piano soggettivo, a “chiunque”.

In secondo luogo, sotto il profilo psicologico, al fine della configurabilità della fattispecie delittuosa, è necessario dimostrare il “dolo specifico”, ossia la finalità di arrecare pregiudizio a qualcuno o di conseguire un vantaggio. Deve essere, inoltre, provato il “nocumento”254, definito dalla giurisprudenza di

legittimità come “pregiudizio economicamente apprezzabile”255.

La normativa di riferimento ai fini del presente lavoro, la cui violazione determina il configurarsi della fattispecie penale dell'illecito trattamento e che viene richiamata espressamente dall'art. 167, è costituita dai seguenti articoli del Codice della privacy: a) l'art 19, comma 3, che statuisce: “La diffusione di dati personali da parte dei soggetti pubblici è ammessa unicamente quando la stessa è prevista da una specifica norma di legge o regolamento”; b) l'art. 22, comma 8, che recita: “I dati idonei a rivelare lo stato di salute non possono essere diffusi”256

; c) l'art. 22, comma 11, dal quale si ricava che la diffusione dei dati sensibili e giudiziari è consentita solo nel caso in cui sia “prevista da espressa disposizione di legge”.

articoli17, 20, 21, 22, commi 8° e 11°, 25, 26, 27 e 45 è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni”.

254 _{Nella legge n. 675/1996 il nocumento costituiva solo un'aggravante, mentre nel Codice le}

condotte richiamate sono rese punibili solo se dal fatto derivi nocumento, il quale perciò da aggravante è stato elevato a elemento della fattispecie di base.

255 _{Corte di cassazione, sez. III pen., sentenza n. 1134/2004.} 256

Nel Codice il divieto di diffusione è previsto solo per i dati idonei a rivelare lo “stato di salute”, non per le informazioni attinenti la “vita sessuale”, la cui diffusione è comunque vietata. Pertanto, in questo secondo caso, è diversa l'articolazione sanzionatoria. Difatti, per applicare la sanzione, basta accertare la “condotta”, senza dover dimostrare l'elemento psicologico: è, quindi, sufficiente valutare se la diffusione dei dati sia o meno compatibile con la finalità perseguita.

146

Come pena accessoria, l'art. 172 del d.lgs. n. 196/2003 prevede che la condanna per i delitti previsti dal Codice determini la pubblicazione della sentenza257.

Nel 2009, visto che le condotte di illecito trattamento non venivano perseguite a causa dei requisiti stringenti richiesti dall'art. 167, creando così un vuoto normativo, è stato inserito all'art. 162 del Codice il comma 2-bis, che così prescrive: “in ogni caso” di violazione delle disposizioni indicate nell'art. 167 è prevista l'applicazione di una sanzione amministrativa, consistente nel “pagamento

di una somma da 10.000 a 120.000 euro”258

. In questo caso, alla luce dell'art. 3 della legge n. 689/1981 (cd. legge sulla depenalizzazione), non è necessario provare il dolo o il nocumento, ma è sufficiente una “condotta cosciente e volontaria, sia

essa dolosa o colposa”.

L'organo competente a ricevere il rapporto e ad irrogare le sanzioni è il Garante, mentre – per quanto riguarda la normativa applicabile – si applicano le disposizioni della legge 24 novembre 1981, n. 689 e ss.mm.ii.

Pertanto, in base alla legge n. 689/1981 ed al Regolamento n. 1/2007, il procedimento sanzionatorio è attivato su segnalazione dell'interessato o su iniziativa dell'Ufficio e si conclude con l'applicazione della sanzione o con provvedimento di archiviazione. Una volta avviato il procedimento, ad una fase di

--- 257 _{La pena accessoria viene applicata in ogni caso di condanna e, quindi, è stata sottratta alla}

discrezionalità dell'autorità giudicante.

258

Il comma è stato aggiunto dall'art. 44, comma 3, lett. c) del d.l. 30 dicembre 2008, n. 207, convertito con modificazioni dalla legge n. 14/2009 e, successivamente, così modificato dall'art. 20-

bis, comma 1, lett. c) n. 1 d.l. 25 settembre 2009, n. 135, convertito con modificazioni dalla legge n.

147

accertamento deve seguire – entro 90 giorni – un atto di contestazione di violazione amministrativa. Se il titolare del trattamento è un soggetto complesso, come una persona giuridica o un organismo pubblico, l'atto di contestazione va notificato all'amministrazione nella persona del rappresentante legale, per esempio il Sindaco nel caso di un Comune.

Un altro elemento previsto nel Codice per consentire un corretto trattamento dei dati personali è costituito dagli obblighi di informativa di cui all'art. 13 del d.lgs. n. 196/2003, in relazione al quale il d.lgs. n. 33/2013 non ha introdotto nuove deroghe. Ai sensi dell'art. 161 del Codice, eventuali violazioni delle disposizioni in tema di informativa sono sanzionate in sede amministrativa con il pagamento di una somma da tremila a diciottomila euro oppure, in caso di trattamento di dati sensibili e giudiziari o nelle ipotesi di maggiore rilevanza, da cinquemila a trentamila euro.

Ai sensi dell'art. 166 del Codice, i proventi derivanti dalle sanzioni, nella misura del 50% del totale annuo, sono assegnati al fondo relativo alle spese di funzionamento del Garante e sono utilizzati per curare la conoscenza della normativa in oggetto tra il pubblico (art. 154, comma 1, lett. h) e per le spese degli accertamenti ispettivi (art. 158).

Inoltre, nel momento del trasferimento dei dati nella sezione “Archivio” con l'obbligo di garantire un accesso “selettivo”, se “chiunque”, essendovi tenuto, omette di adottare le “misure minime di sicurezza” di cui agli artt. 33 e ss. del Codice, è punito con l'arresto sino a due anni (art. 169 del Codice).

E' previsto un procedimento di oblazione, potendosi estinguere il reato se l'autore dello stesso provvede alla regolarizzazione in ottemperanza ad un provvedimento del Garante, entro un termine non superiore a 6 mesi e versando una

148

somma pari ad un quarto del massimo della sanzione stabilita per la violazione amministrativa.

L'art. 164-bis del d.lgs. n. 196/2003 prevede eventuali attenuanti e aggravanti. In particolare, la minore gravità della condotta oppure la rilevanza sociale o economica dell'attività svolta dal titolare del trattamento possono consentire l'applicazione della diminuente di cui al comma 1 dell'art. 164-bis del Codice, ossia i limiti minimi e massimi sono applicati in misura pari a due quinti. Invece, in casi di maggiore gravità o in caso di coinvolgimento di numerosi interessati, la sanzione può essere raddoppiata. Inoltre, le sanzioni potranno essere aumentate fino al quadruplo qualora le stesse non possano essere efficaci in ragione delle condizioni economiche del contravventore. Infine, anche in caso di violazioni amministrative, è prevista – come sanzione accessoria – la pubblicazione dell'ordinanza-ingiunzione del Garante, per intero o per estratto e a cura e spese del contravventore, in uno o più giornali indicati nel provvedimento (art. 165 del Codice).

Sul piano civilistico, l’interessato che ritenga di aver subito un danno, in particolare per effetto della diffusione dei dati personali, può far valere le proprie pretese risarcitorie, ove ne ricorrano i presupposti, davanti all’autorità giudiziaria ordinaria (art. 15 del Codice). Il trattamento di dati è considerato dal punto di vista civilistico un’attività pericolosa (art. 2050 c.c.). In questo tipo di responsabilità è prevista una presunzione speciale di colpa a carico del responsabile del danno. Da ciò consegue che il danneggiato deve solo dimostrare l'esistenza del danno, mentre chi effettua il trattamento – esercitando un’attività pericolosa – risponderà del danno indipendentemente dal dolo o dalla colpa e potrà liberarsi dall’obbligo di risarcimento solo provando di avere adottato tutte le misure idonee ad evitare il

149

danno. Quindi, i danni per cause ignote rimangono a carico di chi esercita l’attività se non ha predisposto i necessari accorgimenti preventivi. Se, invece, chi esercita l’attività ha predisposto le misure idonee, potrà essere ritenuto esente da responsabilità sulla base della modalità di organizzazione dell’attività pericolosa. In ogni caso, chi esercita l’attività pericolosa non dovrà e non potrà accontentarsi dell’adozione delle misure minime di sicurezza previste dall’Allegato B al Codice

Privacy, se si conoscono misure più efficaci. Difatti, l’adempimento delle misure

minime previste dal Codice, implica unicamente l’esonero dalle responsabilità penali previste dall’art. 169 del d.lgs.196/2003 e di cui sopra.

Quanto, infine, all'oggetto del risarcimento, il danno risarcibile comprende sia il danno patrimoniale che quello non patrimoniale. Il comma 2 dell'art. 15 precisa che il danno non patrimoniale è risarcibile anche in caso di violazione dell'art. 11, che enuncia le modalità del trattamento e i requisiti dei dati.

150

CAPITOLO IV

ANALISI DI IPOTESI SPECIFICHE DI PUBBLICAZIONE