2.2 L'Autorità garante per la protezione dei dat
2.2.2 Gli illeciti penali
L'art. 167 comma 1, sotto la rubrica “trattamento illecito di dati”, apre il capo II, del Titolo III (rubricato “sanzioni”) del 79 Ri. Imperiali, Ro. Imperiali, Codice della Privacy, cit.689.
d.lgs n. 196/2003.
I reati previsti dalle disposizioni in argomento sono procedibili d'ufficio e non a querela, anche se in tale ambito di regola la tutela penale è affidata all'iniziativa della vittima.80
Le norme contenute in tale sezione, anche se riferite a “chiunque” commetta una specifica condotta criminosa, riguardano primariamente il Titolare del trattamento e, quindi, se questi è una persona giuridica, la persona fisica che ne ha i poteri direttivi e la rappresentanza legale.
Il primo articolo trattato dal Capo in questione, tutela il bene giuridico della riservatezza, inteso come diritto individuale alla protezione dei dati personali, punendo il trattamento di dati personali effettuato in violazione degli artt. 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell'art. 129, al fine di trarre profitto per sé o per altri o di recare ad altri un danno, se dal fatto deriva un nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi, salvo che il fatto costituisca più grave reato.81
80 G. Arcudi, V. Poli, Il diritto alla riservatezza, Milano, 2000, cit., 272.
81 M. Condemi, Commento all'art. 12, in AA.VV., Le modifiche alla normativa in materia di
Il reato di trattamento illecito di dati di cui all'art. 167, d.lgs. n. 196/2003 è, secondo l'opinione dominante, un reato di pericolo in concreto,82 in quanto l'elemento del
«nocumento»83 ha la funzione di elemento costitutivo del
reato e non più come semplice aggravante.
L'elemento soggettivo di questo reato è il dolo specifico. È necessario, cioè, che ci sia non solo la coscienza e la volontà, quindi l'intenzionalità, di violare le norme in esso richiamate, ma anche la volontà di perseguire “il fine di trarre per sé o per altri profitto o di recare ad altri un danno”.84
Non è indispensabile che il fine voluto dal soggetto attivo si verifichi, ma è sufficiente che dal fatto derivi nocumento. In altri termini, il verificarsi di un danno, morale o patrimoniale, è necessario affinché possa dirsi integrata 82 Con questa espressione classificatoria si vuole intendere che risulta necessario accertare la ricorrenza del pericolo per il bene giuridico protetto dalla norma penale, contrapponendosi alla nozione di reato di pericolo astratto, con riferimento alla quale il pericolo è, invece, presunto dal Legislatore.
83 Di recente gli Ermellini hanno affermato che Il nocumento può essere non solo economico, ma
anche più immediatamente personale, come, ad esempio, la perdita di tempo nel vagliare mail indesiderate e nelle procedure da seguire per evitare ulteriori invii. (Cass. pen., sez. III, 24
maggio 2012, n. 23798).
84 Come sottolinea la dottrina [Imperiali] si esclude che l'autore del fatto possa essere
condannato per dolo eventuale, per avere cioè trattato dati personali in violazione delle norme-precetto “mettendo nel conto”, ma non specificatamente volendo, che da questa condotta potesse scaturire l'evento lesivo dei diritti o della dignità di persone interessate.
l'ipotesi delittuosa. In assenza del medesimo, mancando una effettiva condizione di punibilità, la sanzione non potrà essere comminata.
La Suprema Corte, già in precedenza, ha precisato che chiunque “quindi anche un soggetto privato in sé considerato, e non solo chi svolga un compito istituzionale di depositario della tenuta dei dati sensibili e delle loro modalità di utilizzazione all’esterno, può essere chiamato a rispondere del reato di cui all’art. 167 d.lgs 30 giugno 2003 n. 196, se e in quanto dia indebita diffusione o comunicazione di un dato sensibile appartenente ad altro soggetto” dato che tutti sono indistintamente “tenuti a rispettare sacralmente la privacy altrui, al fine di assicurare un corretto trattamento di quei dati senza arbitrii o pericolose intrusioni”.85
Le ipotesi di comunicazione o diffusione sono caratterizzate dall'assenza di un danno, perciò i delitti che si estrinsecano in tali comportamenti sono riconducibili alla categoria dei reati di pura condotta.
Posto che ogni sanzione penale si applica ove avvenga accertata la violazione di specifiche disposizioni di legge, occorre, per la soluzione della questione, soffermarsi ad 85 G. Fiandaca , E. Musco, “Diritto penale Parte generale”, Bologna, 2004, pag. 753.
analizzare il contenuto degli articoli del codice la cui violazione determina la fattispecie sanzionata al fine di verificare a quali soggetti essi si rivolgano.
Sebbene alcune di tali disposizioni riguardano in particolare il titolare, altre come ad esempio l'art. 22, comma 8, coinvolgono anche gli incaricati.
L'elemento oggettivo della fattispecie indicata nel secondo comma dell'art. 167 è individuato esclusivamente mediante la categoria del reato di danno, nel senso che prevede e punisce la condotta di chi, violando le norme indicate, procede al trattamento di dati e procura un nocumento. Il trattamento sanzionatorio previsto dal secondo comma risulta più pesante di quello del primo comma, in quanto è punito con la reclusione da 1 a tre anni.
Con riferimento ai soggetti pubblici, il trattamento dagli stessi effettuato sarà sanzionato penalmente (secondo l'art. 326 c.p.) se le finalità sono diverse da quelle connesse allo svolgimento delle funzioni istituzionali, nonché ove lo stesso, se pure finalizzato allo svolgimento di dette funzioni, sia eseguito in violazione di limiti posti dalla legge o da regolamenti.
28 maggio 2012, n. 69, riguarda il reato di falsità nelle dichiarazioni, comunicazioni, atti, documenti e notificazioni all'Autorità Garante.
Unica innovazione rispetto alla precedente formulazione consiste nell'aggiunta delle comunicazioni tra le attività che, ove caratterizzate da falsità, determinano il configurarsi del reato.
Il bene giuridico tutelato dalla norma contenuta nell'art. 168 è rappresentato dalle funzioni di garanzia e di controllo del Garante.
La fattispecie è di tipo commissivo, presupponendo un'azione di modificazione di dati, e si configura in termini di reato doloso,86 speciale rispetto alla fattispecie generale
di falso ideologico in scrittura privata.87
Il reato si consuma quando sono prodotte, esibite e comunicate le notizie false e la sanzione prevista si applica se il fatto non costituisce più grave reato.88
L'art. 169 prevede la sanzione dell'arresto sino a due anni per chi non rispetta le misure minime di sicurezza previste dall'art. 33. L'ipotesi in argomento si configura in termini di 86 Si tratta di dolo generico, dal momento che non viene individuato un fine specifico.
87 M. Condemi, Commento all'art. 16, in AA.VV., Le modifiche alla normativa in materia di
privacy, cit., 141.
reato di pericolo89 in quanto non è richiesto un nocumento.
L'elemento soggettivo, trattandosi di contravvenzione90 può
essere indifferentemente il dolo o la colpa, intendendo che la caratteristica di tali reati consiste nel fatto che per la loro sussistenza non risulta necessaria la valutazione della presenza dell'elemento soggettivo.
Il secondo comma dell'art. 169 prevede poi la possibilità di ricorrere all'istituto dell'oblazione, con la conseguenza che l'adempimento e il pagamento di una sanzione pecuniaria estinguono il reato.
L'art. 170, invece, punisce con la reclusione da tre mesi a due anni, la condotta di chi non osserva dolosamente:
• il provvedimento adottato dal Garante ex art. 26, comma 2, Codice Privacy a garanzia dei dati sensibili;
• il provvedimento concernente l'autorizzazione al trattamento di dati genetici;
• i provvedimenti assunti dal Garante a seguito di ricorso (art. 150, commi 1 e 2, Codice Privacy);
• i provvedimenti assunti dal Garante in seguito alla proposizione di un reclamo circostanziato presentato 89 M. Condemi, Commento all'art. 14, in AA.VV., Le modifiche alla normativa in materia di
privacy, cit., 133.
90 L'omessa adozione di misure di sicurezza è stata derubricata ad opera dell'art. 14 del D.Lgs. n. 467/2001 da delitto in contravvenzione.
dall'interessato (art. 142), oppure di una segnalazione (art. 144).
Infine, l'art. 171 non trova precedenti nella normativa previgente e disciplina due fattispecie poste a tutela dei lavoratori dipendenti.
La prima condotta sanzionata è definita dall'art. 113 del d.lgs. n. 196/2003, e sancisce il divieto per il datore di lavoro, di effettuare indagini sulle opinioni politiche, religiose o sindacali del lavoratore, nonché sui fatti non rilevanti ai fini della valutazione dell'attitudine professionale del lavoratore.
La seconda condotta sanzionata è indicata dall'art. 114 del codice e riguarda chi svolge attività di controllo dei lavoratori attraverso l'utilizzo di impianti audiovisivi o altre apparecchiature, tra le quali meritano di essere citati i sistemi di localizzazione satellitare per i quali il Garante ha dettato il provvedimento 4 ottobre, 2011.91
Entrambe le violazioni sono sanzionate dall'articolo 38 dello Statuto dei lavoratori, che prevede l'ammenda da 150 a 1500 euro, o l'arresto da 15 giorni ad un anno. Nei casi più gravi, le pene possono essere applicate congiuntamente. L'ultima norma del Capo II, l'art. 172 del d.lgs. n. 96/2003, 91 Provv. 4 ottobre, 2011 Sistemi di localizzazione dei veicoli nell'ambito del rapporto di lavoro.
concerne l'istituto della pubblicazione della sentenza, qualora vi sia una condanna per uno dei delitti previsti dal Codice Privacy.