3. Apparato sanzionatorio penale
3.1 Trattamento illecito di dati personali ex articolo 167 d.lgs.
L’articolo 167, rubricato «Trattamento illecito di dati personali» è la principale fattispecie delittuosa per la quale maggiormente si è posto il problema della sua abrogazione. Nelle intenzioni della Commissione ministeriale incaricata di aggiornare il Codice avrebbe dovuto essere abolita in toto.
La previsione normativa di che trattasi, nella versione del Codice privacy 2003, statuiva30 che, «chiunque al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali, in
28 Cfr. Capitolo III par. 3.2 29 Cfr. Capitolo III par. 3.3 30 Cfr. Capitolo II par. 2
violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126, 130, ovvero in applicazione dell’articolo 129, è punito se dal fatto deriva nocumento». Il comma 2 puniva «chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli relativi ai dati sensibili e giudiziari, se dal fatto deriva nocumento».
Dalla lettura del precedente dettato normativo, si comprende come, tale norma, non era assolutamente incompatibile con il regolamento, poiché dotata di funzione special-preventiva e vitale per la protezione dei dati personali.
La fattispecie di cui all’articolo 167 è stata profondamente mutata rispetto alla formulazione precedente, ma è di grande importanza che il legislatore abbia deciso di riformulare il delitto in modo da continuare a punire penalmente diverse condotte consistenti nell’arrecare nocumento all’interessato, in violazione di specifiche e limitate disposizioni normative, e abbia escluso l’opzione che conduceva alla sua eliminazione.
Se, da un lato, si è ritenuto di non poter rinunciare alle sanzioni penali previste per il trattamento illecito di dati personali, dall’altro, però, non si potrà prescindere dalla necessità di renderlo conforme al principio del ne bis
in idem, così come raccomandato dal considerandum 149.
Venendo all’attuale formulazione dell’articolo 167, le condotte previste sono quelle in violazione degli articoli sui dati relativi al traffico, dati relativi all’ubicazione, dati sensibili o giudiziari, e sul trasferimento internazionale di dati.
Più nello specifico, l’articolo 167 continua ad essere rubricato «Trattamento illecito di dati» e si articola in una pluralità di commi. I primi tre, delineano le seguenti fattispecie – comma 1–: «Salvo che il fatto costituisca più grave reato, chiunque al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, operando in violazione di quanto disposto dagli articoli 123, 126 e 130 o del provvedimento di cui all’articolo 129 arreca nocumento all’interessato, è punito con la reclusione da sei mesi a un anno e sei mesi»; comma due: «Salvo che il fatto costituisca più grave reato, chiunque, al fine
di trarre per sé o per altri profitto o di arrecare danno all’interessato, procedendo al trattamento dei dati personali di cui agli articoli 931 e 1032 del Regolamento, in violazione delle disposizioni di cui agli articoli 2-sexies e 2-octies, o delle misure di garanzia di cui all’articolo 2-septies ovvero operando in violazione delle misure adottate ai sensi dell’articolo 2-
quinquiesdecies arreca nocumento all’interessato, è punito con la reclusione
da uno a tre anni»; comma 3: «Salvo che il fatto costituisca più grave reato, la pena di cui al comma due si applica altresì a chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, procedendo al trasferimento dei dati personali verso un paese terzo o un’organizzazione internazionale al di fuori dei casi consentiti ai sensi degli articoli 45, 46 o 49 del Regolamento, arreca nocumento all’interessato».
Procedendo con l’esegesi della norma, risulta evidente, prima facie, la clausola posta all’incipit «Salvo che il fatto costituisca più grave reato», comune a tutte e tre le fattispecie.
31 Articolo 9 GDPR: «È vietato trattare dati personali che rivelino l'origine razziale o etnica, le opinioni
politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona. Il paragrafo 1 non si applica se si verifica uno dei seguenti casi: a) l'interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell'Unione o degli Stati membri dispone che l'interessato non possa revocare il divieto di cui al paragrafo 1; b) il trattamento è necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell'Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell'interessato; […] g) il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l'essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato; […]. I dati personali di cui al paragrafo 1 possono essere trattati per le finalità di cui al paragrafo 2, lettera h), se tali dati sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell'Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch'essa soggetta all'obbligo di segretezza conformemente al diritto dell'Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti. Gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute».
32 Articolo 10 GDPR: «Il trattamento dei dati personali relativi alle condanne penali e ai reati o a
connesse misure di sicurezza sulla base dell'articolo 6, paragrafo 1, deve avvenire soltanto sotto il controllo dell'autorità pubblica o se il trattamento è autorizzato dal diritto dell'Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati. Un eventuale registro completo delle condanne penali deve essere tenuto soltanto sotto il controllo dell'autorità pubblica».
Il legislatore ripropone in apertura tale clausola di riserva, come nella vecchia formulazione dell’articolo 167, ma prima ancora nel precedente articolo 35 L. 675/96, la cui ratio si rinviene nel fare salve altre ipotesi delittuose di carattere più generale, che sanzionano fattispecie più gravi.
Ciò denota la natura, ancora oggi, di reato sussidiario della fattispecie de quo, che viene assorbita, in forza del principio di sussidiarietà, qualora il fatto possa essere ugualmente sussunto in altra previsione penale che la contenga e che appaia, rispetto a essa, più grave.
Autorevole dottrina ricorda che «la funzione delle clausole di riserva consiste, in linea generalissima, nell’impedire l’applicazione della norma che la contiene, quando, pur realizzandosi la condotta prevista e disciplinata dalla norma in questione, essa integri anche quelli della disposizione cui la clausola rinvia. Il che equivale ad affermare che le clausole presuppongano, per poter operare, che si realizzi quella particolare situazione giuridica nella quale concorrano gli estremi di entrambe le norme collegate dalla riserva»33.
Per ulteriori approfondimenti si rimanda a quanto già rappresentato in proposito34.
Le fattispecie racchiuse all’interno di tale norma, risultano accomunate non solo dalla clausola posta all’incipit, ma anche dal soggetto attivo del reato, dall’elemento soggettivo che prevede il dolo specifico e dalla condotta, consistente nell’arrecare nocumento all’interessato, seppur con modalità differenti.
Il delitto de quo è un reato comune, viene punito infatti, «chiunque» commetta un illecito trattamento di dati, secondo le modalità indicate nel suddetto articolo.
Soffermandoci sulla condotta di cui al comma 1, il nocumento all’interessato viene arrecato in quanto il soggetto attivo ha agito «operando in violazione di quanto disposto dagli articoli 123, 126 e 130 o dal provvedimento di cui all’articolo 129», e ha ad oggetto la violazione delle norme poste a garanzia
33 DE FRANCESCO G.A., Lex specialis. Specialità e interferenza nel concorso di norme penali, Milano
dell’interessato nei servizi di comunicazione elettronica. L’articolo 12335 si
occupa dei dati relativi al traffico, l’articolo 12636 di quelli relativi
all’ubicazione, l’articolo 13037 delle comunicazioni indesiderate e l’articolo
35 Articolo 123 codice privacy «Dati relativi al traffico»: «I dati relativi al traffico riguardanti abbonati
ed utenti trattati dal fornitore di una rete pubblica di comunicazioni o di un servizio di comunicazione elettronica accessibile al pubblico sono cancellati o resi anonimi quando non sono più necessari ai fini della trasmissione della comunicazione elettronica, fatte salve le disposizioni dei commi 2, 3 e 5. Il trattamento dei dati relativi al traffico strettamente necessari a fini di fatturazione per l'contraente, ovvero di pagamenti in caso di interconnessione, è consentito al fornitore, a fini di documentazione in caso di contestazione della fattura o per la pretesa del pagamento, per un periodo non superiore a sei mesi, salva l'ulteriore specifica conservazione necessaria per effetto di una contestazione anche in sede giudiziale. Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico può trattare i dati di cui al comma 2 nella misura e per la durata necessarie a fini di commercializzazione di servizi di comunicazione elettronica o per la fornitura di servizi a valore aggiunto, solo se l'contraente o l'utente cui i dati si riferiscono hanno manifestato preliminarmente il proprio consenso, che è revocabile in ogni momento. Nel fornire le informazioni di cui agli articoli 13 e 14 del Regolamento il fornitore del servizio informa l'contraente o l'utente sulla natura dei dati relativi al traffico che sono sottoposti a trattamento e sulla durata del medesimo trattamento ai fini di cui ai commi 2 e 3. Il trattamento dei dati personali relativi al traffico è consentito unicamente a persone che, ai sensi dell'articolo 2 quaterdecies, risultano autorizzate al trattamento e che operano sotto la diretta autorità del fornitore del servizio di comunicazione elettronica accessibile al pubblico o, a seconda dei casi, del fornitore della rete pubblica di comunicazioni e che si occupano della fatturazione o della gestione del traffico, di analisi per canto di clienti, dell'accertamento di frodi, o della commercializzazione dei servizi di comunicazione elettronica o della prestazione dei servizi a valore aggiunto. Il trattamento è limitato a quanto è strettamente necessario per lo svolgimento di tali attività e deve assicurare l'identificazione della persona autorizzata che accede ai dati anche mediante un'operazione di interrogazione automatizzata. L'Autorità per le garanzie nelle comunicazioni può ottenere i dati relativi alla fatturazione o al traffico necessari ai fini della risoluzione di controversie attinenti, in particolare, all'interconnessione o alla fatturazione».
36 Articolo 126 codice privacy: «Dati relativi all’ubicazione»: «I dati relativi all'ubicazione diversi dai
dati relativi al traffico, riferiti agli utenti o agli abbonati di reti pubbliche di comunicazione o di servizi di comunicazione elettronica accessibili al pubblico, possono essere trattati solo se anonimi o se l'utente o l'contraente ha manifestato previamente il proprio consenso, revocabile in ogni momento, e nella misura e per la durata necessari per la fornitura del servizio a valore aggiunto richiesto. Il fornitore del servizio, prima di richiedere il consenso, informa gli utenti e gli abbonati sulla natura dei dati relativi all'ubicazione diversi dai dati relativi al traffico che saranno sottoposti al trattamento, sugli scopi e sulla durata di quest'ultimo, nonché sull'eventualità che i dati siano trasmessi ad un terzo per la prestazione del servizio a valore aggiunto. L'utente e l'contraente che manifestano il proprio consenso al trattamento dei dati relativi all'ubicazione, diversi dai dati relativi al traffico, conservano il diritto di richiedere, gratuitamente e mediante una funzione semplice, l'interruzione temporanea del trattamento di tali dati per ciascun collegamento alla rete o per ciascuna trasmissione di comunicazioni. Il trattamento dei dati relativi all'ubicazione diversi dai dati relativi al traffico, ai sensi dei commi 1 , 2 e 3, è consentito unicamente a persone autorizzate al trattamento, ai sensi dell'articolo 2 quaterdecies, che operano, sono la diretta autorità del fornitore del servizio di comunicazione elettronica accessibile al pubblico o, a seconda dei casi, del fornitore della rete pubblica di comunicazioni o del terzo che fornisce il servizio a valore aggiunto. Il trattamento è limitato a quanto è strettamente necessario per la fornitura del servizio a valore aggiunto e deve assicurare l'identificazione della persona autorizzata che accede ai dati anche mediante un'operazione di interrogazione automatizzata».
37 Articolo 130 codice privacy: «Comunicazioni indesiderate»: «Fermo restando quanto stabilito dagli
articoli 8 e 21 del decreto legislativo 9 aprile 2003, n. 70, l'uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l'intervento di un operatore per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso del contraente o utente. Resta in ogni caso fermo quanto previsto dall'articolo 1, comma 14, della legge 11 gennaio 2018, la disposizione di cui al comma 1 si applica anche alle comunicazioni
12938 si occupa del provvedimento del Garante relativo alle modalità di inserimento e successivo utilizzo di dati personali relativi ai contraenti negli elenchi cartacei o elettronici a disposizione del pubblico.
Sfogliando il Regolamento, risulta evidente che, nella sua stesura, offre una definizione più dettagliata del termine “dato personale”39 di quanto faccia il
Decreto legislativo 196/2003, all’articolo 4 per esplicitare le proprie definizioni.
Ma, il Codice italiano, a differenza del Regolamento, si preoccupa di definire in maniera autonoma i dati identificativi, sensibili, giudiziari, anonimi, la comunicazione elettronica, i dati relativi al traffico e all’ubicazione.
elettroniche, effettuate per le finalità ivi indicate, mediante posta elettronica, telefax, messaggi del tipo Mms (Multimedia Messaging Service) o Sms (Short Message Service) o di altro tipo. Fuori dei casi di cui ai commi 1 e 2, ulteriori comunicazioni per le finalità di cui ai medesimi commi effettuate con mezzi diversi da quelli ivi indicati, sono consentite ai sensi degli articoli 6 e 7 del Regolamento nonché ai sensi di quanto previsto dal comma 3-bis. In deroga a quanto previsto dall'articolo 129, il trattamento dei dati di cui al comma 1 del predetto articolo, mediante l'impiego del telefono e della posta cartacea per le finalità di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale, è consentito nei confronti di chi non abbia esercitato il diritto di opposizione, con modalità semplificate e anche in via telematica, mediante l'iscrizione della numerazione della quale è intestatario e degli altri dati personali di cui al comma 1 del predetto articolo, in un registro pubblico delle opposizioni […]. Fatto salvo quanto previsto nel comma 1 , se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall'interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell'interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l'interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. L'interessato, al momento della raccolta e in occasione dell'invio di ogni comunicazione effettuata per le finalità di cui al presente comma, è informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente […]».
38 Articolo 129 codice privacy: «Elenchi dei contraenti»: «Il Garante individua con proprio
provvedimento, in cooperazione con l'Autorità per le garanzie nelle comunicazioni ai sensi dell'articolo 154, comma 4, e in conformità alla normativa dell'Unione europea, le modalità di inserimento e di successivo utilizzo dei dati personali relativi ai contraenti negli elenchi cartacei o elettronici a disposizione del pubblico. Il provvedimento di cui al comma 1 individua idonee modalità per la manifestazione del consenso all'inclusione negli elenchi e, rispettivamente, all'utilizzo dei dati per finalità di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale nonché per le finalità di cui all'articolo 21, paragrafo 2, del Regolamento, in base al principio della massima semplificazione delle modalità di inclusione negli elenchi a fini di mera ricerca del contraente per comunicazioni interpersonali, e del consenso specifico ed espresso qualora il trattamento esuli da tali fini, nonché in tema di verifica, rettifica o cancellazione dei dati senza oneri».
39 Per dato personali si intende qualsiasi informazione riguardante una persona fisica identificata o
identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.
Si comprende allora come la condotta in questione si riferisca alla violazione delle norme in materia di trattamento di dati relativi al traffico riguardanti contraenti ed utenti trattati dal fornitore di una rete pubblica di comunicazioni o di un servizio di comunicazione elettronica accessibile al pubblico (articolo 123), di dati relativi all’ubicazione diversi dai dati relativi al traffico, riferiti agli utenti o ai contraenti di reti pubbliche di comunicazione o di servizi di comunicazione elettronica accessibili al pubblico (articolo 126), di comunicazioni promozionali indesiderate (articolo 130) e di elenchi di contraenti a disposizione del pubblico (si fa riferimento agli ex elenchi di abbonati telefonici ex articolo 129).
Si è deciso di escludere dall’ambito di illiceità penale il trattamento senza consenso dei dati personali comuni in quelle ipotesi di trattamento che il legislatore ha ritenuto (a torto o a ragione) non particolarmente rischiose per i diritti e le libertà dell’individuo40.
L’assenza di tutela per questa violazione pare, però, stupire negativamente l’interprete41.
La previsione di condotte illecite diverse rispetto alla fattispecie del vecchio articolo 167 determina una sorta di abrogatio, seppur parziale, della norma e una successione di leggi nel tempo per continuità normativa solo per una parte della fattispecie, ossia per le condotte di cui sopra (articoli 123, 126, 130), già presenti nel vecchio testo dell’articolo 167.
Al comma 2, con quest’ultimo testo, si punisce con la reclusione da uno a tre anni la condotta di trattamento illecito dei dati personali particolari (sensibili) – articolo 9– o giudiziari –articolo 10– trattati in violazione delle disposizioni nazionali di cui agli articoli 2-sexies (in materia di trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante), 2-octies (in materia di principi relativi al trattamento di dati relativi a condanne penali e reati) o delle misure di garanzia di cui all’articolo 2-septies (in materia di dati genetici, biometrici o relativi alla salute) ovvero
40 BOLOGNINI L.,BISTOLFI C.,PELINO E., Il regolamento privacy europeo: commentario alla nuova
disciplina sulla protezione dei dati personali, Milano, 2016.
operando in violazione delle misure adottate dal Garante ai sensi dell’articolo 2-quinquiesdecies del Codice, in materia di trattamento che presenta rischi elevati per l’esecuzione di un compito di interesse pubblico, articolo 35
GDPR e per i quali il Garante può, sulla base di quanto disposto dall’articolo
36 paragrafo cinque del medesimo regolamento, e con provvedimenti di carattere generale adottati ex officio, prescrivere misure ed accorgimenti a garanzia dell’interessato, che il titolare del trattamento è tenuto ad adottare. Anche in questo caso, sembra non delinearsi il delitto se vi è stata solo una violazione generica dovuta alla mancanza di una base giuridica nel trattamento di dati sensibili/particolari (ex articolo 9 comma due GDPR), se non nei casi riferibili ai trattamenti di dati sensibili per rilevante interesse pubblico e di dati genetici, biometrici o relativi alla salute, oltre a quelli relativi a condanne penali o reati.
Una scelta discutibile che rischia di lasciare impunite condotte anche molto nocive per le vittime42.
Il terzo comma della norma in esame, comporta l’applicazione della medesima pena di cui al comma secondo, appena analizzato, nel caso di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale al di fuori dei casi consentiti agli articoli 45, 46 o 49 GDPR. Resta da analizzare gli elementi comuni a tutte e tre le fattispecie appena analizzate, ossia il fine cui la condotta tende e l’evento che deve realizzarsi perché il reato sussista.
L’elemento soggettivo richiesto affinché si configuri il reato de quo, è il dolo