Considerazioni di carattere generale in materia penale sul Gdpr: problemi di tassatività e pericolo ne bis in idem

Avv. Filippo Antonelli - Il 19 settembre 2018 è stato pubblicato in Gazzetta Ufficiale il D.Lgs. 101/2018 contenente "disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento UE 2016/679 GDPR". Il nostro legislatore si è così visto costretto ad intervenire in un campo effettivamente già regolamentato dal Codice Privacy (D. Lgs. 196/2003). L'ampia discrezionalità lasciata dalla c.d. legge delegazione europea ha da un lato favorito un più libero recepimento nei singoli Paesi Membri, dall'altro tuttavia non ha fornito rilevanti indicazioni su temi di notevole importanza, come di seguito si dirà.

Gdpr: il quadro giuridico

[Torna su]

La prima bozza di decreto (marzo 2018) prevedeva infatti l'abolizione del Codice Privacy in favore di una normativa del tutto nuova che propendeva per una notevole riduzione sanzionatoria con la depenalizzazione delle fattispecie a rilevanza penale ai sensi del principio comunitario del ne bis in idem (Grande Stevens c. Italia). Tuttavia tale tendenza abolizionista mal si conciliava con la necessità di punire gravemente le violazioni in materia di dati personali, oggi tema sempre più centrale e sensibile.

Così nella seconda e definitiva bozza di decreto (maggio 2018) si ribaltava completamente l'orientamento assunto pochi mesi prima: la rivisitazione del Codice Privacy e il suo adeguamento.

Il nuovo quadro giuridico distingue i trattamenti per fini di polizia e giustizia penale (direttiva 2016/680), dagli altri trattamenti ai quali si applica il GDPR.

In seguito, si analizzeranno le caratteristiche principali del nuovo quadro giuridico in ambito penale, alla luce delle più recenti critiche e osservazioni formulate dalla dottrina e da alcuni commentatori.

Gdpr: le sanzioni penali

[Torna su]

All'art. 84 il nuovo codice Privacy dispone che sia compito dei singoli Stati Membri regolamentare la materia criminale, con sanzioni effettive, proporzionate e dissuasive:

Il Legislatore ha in primo luogo effettuato una sostanziale operazione:introduce la previsione del danno come elemento caratterizzante in alternativa allo scopo di profitto. Non si terrà quindi solo conto del profitto economico dell'autore dell'illecito ma anche del danno arrecato agli interessati, compreso il danno d'immagine, reputazionale della vittima (spazio per la previsione del c.d. revenge porn).

Dubbi interpretativi

[Torna su]

Di fatto ciò che il Legislatore non è riuscito a realizzare è stato fugare i dubbi già sollevati dalla giurisprudenza precedente al GDPR.

Si è deciso infatti di demandare al Titolare del Trattamento (tenuto conto dello stato dell'arte, dei costi di attuazione, della natura, dell'oggetto, del contesto e delle finalità del trattamento…un sacco di cose), la valutazione di misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.

[es: FALSE IDENTITÀ VIRTUALI post GDPR: l'identità digitale è protetta ai sensi dell'art. 9 D.L. 93/2013, conv. L. 119/2013, che ha inserito nell'art. 640-ter c.p. l'aggravante del fatto commesso "con furto o indebito utilizzo di identità digitale". Le misure di sicurezza da adottare (ritenute adeguate) ai sensi del GDPR hanno come obiettivo quello di rendere meno attaccabili i data base e di conseguenza di ridurre la possibilità di sostituzioni di persona e accessi abusivi. Nonostante il GDPR (art. 32) preveda che nel valutare l'adeguato livello di sicurezza si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, perdita, modifica, divulgazione non autorizzata o dall'accesso, accidentale o illegale, a dati personali trasmessi, conservati o trattati; GLI ATTACCHI INFORMATICI RENDONO POSSIBILE E ATTUABILE (sempre di più) il reato di sostituzione di persona in concorso con l'accesso abusivo al sistema informatico in tutti i casi in cui il soggetto riesca a forzare le credenziali d'accesso della parte offesa. Si tratta di moderne sostituzioni di persona che non mutano comunque l'evento del reato, variandone le modalità esecutive. Il reato può concretizzarsi anche più semplicemente nel caso in cui l'utente menta sulla propria età. Tra le novità Privacy vi è l'età minima di anni 16 per iscriversi ai social].

Un primo ostacolo/contrasto è rappresentato dal principio di tassatività. Non è sufficientemente dettagliata l'indicazione di quali misure debbano essere adottate al fine di evitare di incorrere in una sanzione penale. La dottrina è pressoché unanime nell'affermare quanto indicato e nel porsi il dubbio di dovere nuovamente intervenire.

Pertanto ci si chiede: ha senso sanzionare penalmente l'invio di comunicazioni indesiderate effettuate con finalità di profitto e conseguente nocumento dell'interessato e invece sanzionare solo in via amministrativa un titolare del trattamento dei dati che permetta che centinaia di dati degli interessati siano diffusi in Rete a causa di una policy precaria in tema di sicurezza informatica?

Il concetto di corpo digitale

[Torna su]

Il GDPR introduce il concetto di corpo digitale, il quale deve ricevere la medesima tutela del corpo fisico. Come sottolineato da numerosi commentatori, vi è una profonda disparità di trattamento nell'attenzione data dal Legislatore a questa novella e, ad esempio, al D.Lgs. 81/2008: la chiave di volta di tale normativa era l'estensione della responsabilità penale dell'Ente (ex D.Lgs. 231/2001) per le fattispecie di omicidio colposo e di lesioni personali colpose gravi o gravissime sul Lavoro. I risultati di questa normativa sono stati fin da subito evidenti e giudicati da più parti come positivi, dovuti senza dubbio alla severità della norma del 2008 in termini di prevenzione, modelli di organizzazione. Tuttavia anche in tema di sicurezza informatica la prevenzione e la programmazione sono sicuramente fondamentali per evitare che un incidente informatico assuma proporzioni gravi.

Per questo la formulazione attuale delle conseguenze penalistiche in tema di protezione dei dati personali (GDPR) lascia troppo spazio all'interpretazione.

Senza dubbio può essere un problema di investimenti, perché certamente l'obiettivo di attuare un discreto livello di sicurezza informatica necessità di medio-alti investimenti.

Alcuni reati previsti dal previgente Codice della Privacy sono stati depenalizzati, come ad esempio l'art. 169 del previgente codice: Misure di Sicurezza.

Anche in questo caso molti commentatori hanno parlato di errore colossale: le nuove misure di sicurezza del GDPR non presentano un livello di dettaglio tale da risultare compatibile con il principio di tassatività. L'opera di depenalizzazione è completata con la considerazione per cui gli illeciti depenalizzati commessi prima dell'entrata in vigore del decreto (19.09.2018) sono punibili con le sanzioni amministrative introdotte in sostituzione.

Trattamento per fini di polizia e giustizia penale

[Torna su]

Si vuole brevemente ricordare che la direttiva 2016/680 del P.E. e del Consiglio deve essere letta a completamento del GDPR, sorta dall'esigenza avvertita nei settori della cooperazione giudiziaria in materia penale e per fini di polizia.

Si è voluto pertanto stabilire norme specifiche sulla protezione delle persone fisiche con riferimento al trattamento dei dati da parte dell'autorità.

Tale decreto va a sostituire quasi completamente la normativa di cui al Codice Privacy del 2003 (parte seconda, titoli primo e secondo). Il testo legislativo va a stabilire modalità e tempi di trattamento e conservazione dei dati personali, elenca i diritti del soggetto interessato ed illustra il procedimento attuabile per esercitarli, con la previsione di sanzioni amministrative e penali.

La funzione del Garante riveste particolare rilevanza anche in ambito penale, con fattispecie punite con la pena della reclusione.

Di particolare rilievo la considerazione per cui è previsto un trattamento dei dati personali differenziato in base alle diverse categorie di interessati:

- indagati;

- imputati;

- indagati o imputati in procedimento connesso o collegato;

- condannati con sentenza definitiva;

- persone offese;

- parti civili;

- persone informate sui fatti;

- testimoni.

Ne bis in idem

[Torna su]

Infine uno dei temi centrali e più dibattuti anche dai commentatori della nuova normativa è rappresentato dalla possibile frizione della stessa con il principio (C. eur. dir. uomo, Seconda Sezione, sent. 4 marzo 2014, Grande Stevens c. Italia: considerazione del fatto storico che presenta lo stesso nesso causale, la stessa condotta, lo stesso evento) del ne bis in idem.

Per evitare il rischio di sovrapposizioni tra il procedimento amministrativo e quello penale, è stato introdotto un meccanismo di coordinamento che prevede che il P.M. informi l'Autorità di controllo (il Garante) senza ritardo, e viceversa.

Un ulteriore meccanismo va a limitare la sanzione penale nel caso in cui per lo stesso fatto sia stata applicata e riscossa una sanzione amministrativa pecuniaria dal Garante. In tale ipotesi la pena per il reato che si dovesse ravvisare è diminuita.

Purtroppo i criteri per la diminuzione sono del tutto indeterminati.

Vi è chi ritiene che questo sia un falso problema e che la violazione sancita nel famoso caso Grande Stevens non sia utilizzabile nel contesto del D.Lgs. 101/2018.

Vi è comunque il rischio, secondo le più recenti osservazioni, che tali frizioni e tali dibattiti tolgano centralità ed enfasi al tema della sicurezza informatica, alle necessità di dare maggiore concretezza alla disciplina penalistica ad essa relativa.


Leggi anche:

- Gdpr: tutto quello che c'è da sapere

- Privacy: tutti i nuovi reati del Gdpr

- Gdpr: dal 20 maggio arrivano le sanzioni


Avv. Filippo Antonelli

Foro di Forlì-Cesena

filippo.antonelli@me.com

LinkedIn: Filippo Antonelli

N.B. I contenuti di questa pagina si riferiscono a fattispecie generali e non possono in alcun modo sostituire il lavoro di un professionista qualificato. Per ottenere un parere legale in ordine alla questione giuridica che interessa è possibile richiedere una consulenza legale oppure fissare un appuntamento per un parere tecnico. L'autore declina ogni responsabilità per errori od omissioni, nonché per un utilizzo improprio o non aggiornato delle informazioni contenute.


Foto: 123rf.com
Altri articoli che potrebbero interessarti:
In evidenza oggi: