Regolamento - 27/04/2016 - n. 679 art. 84 - Sanzioni

Reati privacy in Italia dopo l'applicazione del GDPR 

La responsabilità penale è personale, cioè riguarda solo le persone fisiche che hanno commesso o concorso a commettere il reato. La responsabilità amministrativa degli enti, in Italia prevista exd.lgs. n. 231/2001, non costituisce una vera e propria forma penalistica di sanzione del soggetto giuridico, e comunque ad oggi non constano nell'ordinamento italiano reati presupposto exd.lgs. n. 231/2001 per illeciti in materia di protezione dei dati personali. Ciò detto, il legislatore europeo, nel raccomandare (in forma di riserva e “quasi direttiva”) agli Stati membri l'adozione di sanzioni penali contro violazioni del Regolamento, non prevede in alcun modo limitazioni con riferimento ai soggetti sanzionabili penalmente, se non, implicitamente, mediante il richiamo del principio di ne bis in idem: non vi è raccomandazione di prevedere “reati propri” riferiti solo a determinati soggetti (es. il titolare del trattamento o il responsabile del trattamento, o il DPO, ecc.).

Pareva inevitabile che anche lo Stato italiano si trovasse ad adeguare la propria legislazione penale in modo da renderla coerente con il Regolamento – sebbene l'esercizio della riserva e il recepimento della “quasi direttiva” non possa risultare dalla lettura del Regolamento, ad avviso di chi scrive, un obbligo a livello nazionale: uno Stato membro ben potrebbe limitarsi all'applicazione delle sanzioni amministrative pecuniarie ex art. 83 e alla previsione di ulteriori sanzioni amministrative non pecuniarie ex art. 84, senza necessità cogente di adottare anche norme penali in materia di protezione dei dati personali (Bolognini, Pelino, Bistolfi).

Aspetti penali: i nuovi delitti in materia di protezione dei dati personali

Il decreto ha confermato la presenza nel codice privacy di alcune norme penali, le quali sono, in parte, trasformazioni di antiche fattispecie e, in altra parte, previsioni del tutto nuove.

Innanzitutto, va ricordato l'iniziale tentativo – nello schema provvisorio di decreto legislativo valutato in Consiglio dei Ministri del 21 marzo 2018, che fu veicolato da organi di stampa e oggetto di ampio dibattito pubblico – di introdurre una depenalizzazione generale delle condotte di illecito trattamento dei dati personali, tentativo poi fallito e abbandonato, come d'altronde buona parte dell'infelice impianto di quella bozza.

Le motivazioni a favore dell'ipotesi di depenalizzazione privacy potevano essere ricondotte all'obiettivo di evitare il rischio di applicazioni estensive del principio di ne bis in idem tra sanzioni amministrative e penali – alla luce del considerando 149 del Regolamento («[...] l'imposizione di sanzioni penali per violazioni di tali norme nazionali e di sanzioni amministrative non dovrebbe essere in contrasto con il principio del ne bis in idem quale interpretato dalla Corte di giustizia») e, appunto, di una giurisprudenza “oscillante” in materia da parte della Corte di Giustizia della UE e della Corte Europea dei Diritti dell'Uomo – sebbene la Suprema Corte, in Italia, abbia già ripetutamene escluso tale ipotesi (si vedano, tra le altre, la CGUE – Grande Sezione 20 marzo 2018 – C-524/15, Menci, e la Corte EDU l 4 marzo 2014, n. 18640/10 – Grande Stevens e altri c. Italia, e, in senso nettamente contrario al ne bis in idem tra penale ed amministrativo, tra le molte, la sentenza Cass. pen. n. 21271/2018). Sul punto, ad avviso di chi scrive vale anche la pena di ricordare che, nella pratica, i centri d'imputazione giuridica delle responsabilità di un illecito trattamento di dati personali possono essere frequentemente diversi: il Titolare o il Responsabile del trattamento da sanzionare in via amministrativa, ad esempio, sono sovente soggetti giuridici (es. aziende od enti) ai quali non si applica la sanzione penale, esclusivamente personale e riferibile a chiunque.

Questo, senza contare che – a monte – il legislatore delegante con l'art. 13, comma 3, lett. e) l. n. 163/2017 indicava espressamente come principi e criteri direttivi al Governo di «adeguare, nell'ambito delle modifiche al codice di cui al d.lgs. n. 196/2003, il sistema sanzionatorio penale e amministrativo vigente alle disposizioni del Regolamento (UE) 2016/679 con previsione di sanzioni penali e amministrative efficaci, dissuasive e proporzionate alla gravità della violazione delle disposizioni stesse».

Il considerando 149 del Regolamento, pur prudente sul ne bis in idem in linea di principio, precisa chiaramente che gli Stati membri «dovrebbero poter stabilire disposizioni relative a sanzioni penali per violazioni del presente regolamento, comprese violazioni di norme nazionali adottate in virtù ed entro i limiti del presente regolamento. Tali sanzioni penali possono altresì autorizzare la sottrazione dei profitti ottenuti attraverso violazioni del presente regolamento. [...]». Sarebbe in effetti ingenuo pensare che, nell'era del “tutto digitale” e dell'inevitabile esaltazione del ruolo dei dati personali nel contesto sociale, economico, tecnologico e politico, a livello nazionale come globale, nel bene e nel male, gli illeciti in queste materie abbiano perso rilevanza, anziché guadagnarne, e drammaticamente. Si depenalizza quando una materia perde importanza, non quando ne assume all'ennesima potenza (Bolognini, Pelino).

Trattamento illecito di dati

Venendo alle fattispecie ora previste dal nuovo testo del codice, troviamo innanzitutto il vecchio art. 167 (rubricato «Trattamento illecito di dati»), profondamente mutato rispetto a prima. In esso, si prevede al comma 1 che, salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all'interessato, operando in violazione di quanto disposto dagli artt. 123,126 e 130 cod. privacy o dal provvedimento di cui all'art. 129 cod. privacy, arreca nocumento all'interessato, è punito con la reclusione da sei mesi a un anno e sei mesi.

La condotta in questione si riferisce alla violazione delle norme in materia di trattamento di dati relativi al traffico riguardanti contraenti ed utenti trattati dal fornitore di una rete pubblica di comunicazioni o di un servizio di comunicazione elettronica accessibile al pubblico (art. 123 cod. privacy), di dati relativi all'ubicazione diversi dai dati relativi al traffico, riferiti agli utenti o ai contraenti di reti pubbliche di comunicazione o di servizi di comunicazione elettronica accessibili al pubblico (art. 126 cod. privacy), di comunicazioni promozionali indesiderate (art. 130 del cod. privacy) e di elenchi di contraenti a disposizione del pubblico (gli ex elenchi di abbonati telefonici ex art. 129 del cod. privacy). Non rintracciamo più, in questo delitto, la violazione consistente nella mancanza di una valida base giuridica per il trattamento di personali comuni – non particolari/sensibili – e questo stupisce negativamente l'interprete.

Si tratta, comunque, di un delitto a dolo specifico – deve esservi il fine di profitto a favore di chi lo commette o di altri o lo scopo di arrecare danno all'interessato (ma non ad altri diversi dall'interessato, si noti, a differenza della previgente lettera dell'art. 167 che parlava di arrecare danno “ad altri”) – con, in aggiunta, il verificarsi della condizione obiettiva di punibilità del nocumento per l'interessato (anche qui, non di altri), che dovrà essere “apprezzabile”, giusto l'orientamento della Suprema Corte in materia (si veda in tal senso Cass. pen. III, n. 1134/2004; Cass. pen. III, n. 30134/2004).

Il comma 2 dell'art. 167 dispone ora che, salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all'interessato, procedendo al trattamento dei dati personali di cui agli artt. 9 e 10 del Regolamento – cioè dei dati particolari/sensibili e di quelli relativi a condanne penali o reati – in violazione delle disposizioni nazionali di cui agli artt. 2-sexies (in materia di trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante) e 2-octies (in materia di principi relativi al trattamento di dati relativi a condanne penali e reati) o delle misure di garanzia di cui all'art. 2-septies (in materia di dati genetici, biometrici o relativi alla salute) ovvero operando in violazione delle misure adottate dal Garante ai sensi dell'art. 2-quinquiesdecies del codice (in materia di trattamento che presenta rischi elevati per l'esecuzione di un compito di interesse pubblico), arreca nocumento all'interessato, è punito con la reclusione da uno a tre anni. Come nella fattispecie precedente, si tratta di delitto a dolo specifico e con condizione obiettiva di punibilità, elementi identici a quelli del comma 1. Anche in questo caso, sembra non delinearsi il delitto in caso di violazione generica dovuta mancanza di una base giuridica nel trattamento di dati sensibili/particolari (ex art. 9.2 del Regolamento), se non nei casi riferibili ai trattamenti di dati sensibili per rilevante interesse pubblico e di dati genetici, biometrici o relativi alla salute, oltre a quelli relativi a condanne penali o reati. Una scelta legislativa discutibile, che lascerà impunite condotte anche molto nocive per le vittime.

Il comma 3 del medesimo art. 167 stabilisce che, salvo che il fatto costituisca più grave reato, la pena da uno a tre anni di reclusione si applica altresì a chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all'interessato, procedendo al trasferimento dei dati personali verso un paese terzo o un'organizzazione internazionale al di fuori dei casi consentiti ai sensi degli artt. 45, 46 o 49 del Regolamento, arreca nocumento all'interessato. Valgono le considerazioni già espresse sopra quanto a dolo specifico e condizione obiettiva di punibilità.

È inoltre previsto che il Pubblico ministero, quando ha notizia dei reati di cui all'art. 167 del codice, ne informi senza ritardo il Garante. Viceversa, è il Garante a dover trasmettere al Pubblico Ministero, con una relazione motivata, la documentazione raccolta nello svolgimento dell'attività di accertamento nel caso in cui emergano elementi che facciano presumere la esistenza di un reato. La trasmissione degli atti al pubblico ministero avviene al più tardi al termine dell'attività di accertamento delle violazioni delle disposizioni di cui Codice.

All'evidente scopo di tenere in debito conto la raccomandazione sul ne bis in idem di cui al menzionato considerando 149 del Regolamento, il legislatore italiano introduce comunque la previsione per cui, quando per lo stesso fatto sia stata applicata a norma del Codice o del Regolamento, a carico dell'imputato o dell'ente, una sanzione amministrativa pecuniaria dal Garante e questa sia stata riscossa, la pena sia diminuita. Interessante, nel caso di centri d'imputazione giuridica delle sanzioni amministrative e penali che siano diversi (caso palesemente contemplato dal legislatore che menziona anche l'“ente” come soggetto sanzionato, per il quale è impossibile prevedere l'applicabilità aggiuntiva della sanzione penale), la scelta di far valere l'avvenuta riscossione della sanzione amministrativa all'ente come elemento diminuente della sanzione penale a carico della persona fisica imputata (Bolognini, Pelino).

Comunicazione, diffusione illecita e acquisizione fraudolenta di dati personali su larga scala

Dopo l'art. 167, sono introdotti due nuovi delitti agli artt. 167- bis e 167- ter del codice. L'art. 167- bis (rubricato «Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala»), dispone al primo comma che, salvo che il fatto costituisca più grave reato, chiunque comunica o diffonde, al fine di trarre profitto per sé o altri ovvero al fine di arrecare danno, un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala, in violazione degli artt. 2-ter (in materia di base giuridica per il trattamento di dati personali effettuato per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri), 2-sexies (in materia di trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante) e 2-octies (in materia di principi relativi al trattamento di dati relativi a condanne penali e reati), è punito con la reclusione da uno a sei anni.

Si tratta di un reato a dolo specifico, tanto quanto quelli previsti dall'art. 167, ma con la differenza che il danno da arrecarsi non si riferisce, in questo caso, al solo interessato: ben potrà riguardare, tale intenzione di danneggiamento, anche terzi diversi dall'interessato – come era, un tempo, la vecchia formulazione del delitto ex art. 167. Inoltre, questo delitto non prevede la condizione obiettiva di punibilità del nocumento per l'interessato: il legislatore, nel disegnare questa fattispecie criminosa di condotta, presume dunque implicitamente la nocività dell'illecito.

Per meglio comprendere la condotta rilevante, ha senso qui richiamare le definizioni di “comunicazione” e “diffusione” di cui all'art. 2-ter, e cioè:

a) “comunicazione”, il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dell'Unione europea, dal responsabile o dal suo rappresentante nel territorio dell'Unione europea, dalle persone autorizzate, ai sensi dell'art. 2-quaterdecies, al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile, in qualunque forma, anche mediante la loro messa a disposizione, consultazione o mediante interconnessione;

b) “diffusione”, il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.

Per “archivio automatizzato” dovremo intendere qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico, che sia trattato in forma elettronica. Più ostica la definizione di “parte sostanziale” dell'archivio, concetto imprendibile e vago, che contribuisce al rischio di contrasto con il principio di tassatività delle norme penali insito in questo articolo e nel successivo. È sostanziale una parte, pur minima in termini quantitativi, ma riguardante elementi-chiave o particolarmente sensibili dell'archivio? È, questa sostanza, da reperirsi solo, invece, in una dimensione quantitativa dei dati oggetto di trattamento illecito? Se di mera quantità si fosse trattato, sarebbe probabilmente bastato il criterio – pur inadeguato – della larga scala di trattamento, che invece pare riferirsi al trattamento di dati a monte e non, necessariamente, alla parte oggetto di diffusione o comunicazione illecite.

Proprio in merito al concetto di “larga scala” del trattamento, va detto che anch'esso è un requisito oggettivo connotante della condotta; requisito, invero, ben difficile da determinare con precisione e, come tale, massimamente esposto, a sua volta, a possibili critiche d'infrazione del principio di tassatività delle norme penali. Qualche indicazione utile alla definizione di “larga scala” del trattamento dei dati è stata fornita dal Gruppo di Lavoro art. 29 e fatta propria dal Comitato Europeo per la Protezione dei Dati, con le Linee guida sul Responsabile della Protezione dei Dati del 13 dicembre 2016 (versione emendata e adottata il 5 aprile 2017). Per espressa constatazione del Gruppo di Lavoro art. 29, il Regolamento non definisce cosa rappresenti un trattamento “su larga scala”. Il Gruppo di lavoro si limita a raccomandare di tenere conto, in particolare, dei seguenti fattori al fine di stabilire se un trattamento sia effettuato su larga scala: il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento; il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento; la durata, ovvero la persistenza, dell'attività di trattamento; la portata geografica dell'attività di trattamento. Nulla di così preciso da poter superare la critica di eccessiva indefinitezza del reato, in ogni caso, ad avviso di chi scrive. La larga scala del trattamento, ad ogni buon conto e come già accennato sopra, sembra essere incastonata dal legislatore non già come requisito della diffusione o della comunicazione illecite, ma come prerequisito del trattamento di dati contenuti nell'archivio: l'archivio contiene dati personali trattati su larga scala, la comunicazione o la diffusione potrebbero riguardarne una “parte sostanziale” ma, come evidenziato, anche solo sotto il profilo qualitativo e non quantitativo.

Al secondo comma dell'art. 167-bis è previsto che, salvo che il fatto costituisca più grave reato, chiunque, al fine trarne profitto per sé o altri ovvero di arrecare danno, comunica o diffonde, senza consenso, un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala, è punito con la reclusione da uno a sei anni, quando il consenso dell'interessato è richiesto per le operazioni di comunicazione e di diffusione. Questo comma è l'erede dell'ultimo periodo del comma 1 del vecchio art. 167, con evidenti differenze che risentono della condizione del trattamento su larga scala e del più limitato perimetro di violazione (mancanza della base giuridica del consenso). Vale quanto già commentato sopra in ordine ai requisiti oggettivi e alle definizioni connotanti del reato, che lo espongono a possibili censure per insufficiente tassatività.

I sei anni di reclusione nel massimo – previsti nell'art. 167-bis – hanno come conseguenza, a norma dell'art. 266 c.p.c, che si possa operare, nella ricerca della prova per questi delitti, l'intercettazione di conversazioni o comunicazioni telefoniche e di altre forme di telecomunicazione nonché l'intercettazione di comunicazioni tra presenti. Non solo: è ammesso, a norma dell'art. 381 c.p.c., l'arresto facoltativo in flagranza di reato da parte di ufficiali e agenti di polizia giudiziaria.

Al nuovo art. 167- ter del codice, rubricato «Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala», si prevede che, salvo che il fatto costituisca più grave reato, chiunque, al fine trarne profitto per sé o altri ovvero di arrecare danno, acquisisce con mezzi fraudolenti un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala è punito con la reclusione da uno a quattro anni. Gli elementi essenziali del delitto sono i medesimi dell'art. 167-bis, alla cui breve analisi critica, supra, si rimanda. La differenza della condotta ex art. 167-ter sta nel fatto che, mentre il 167-bis sanziona la comunicazione e la diffusione illecite operate a certe condizioni, qui si punisce, invece, non già il semplice ricevente o destinatario di un archivio automatizzato comunicato o diffuso illecitamente (come se vi fosse una responsabilità “riciclante” e incauta del ricevente), bensì solo il soggetto che, attivamente, con artifizi o raggiri, acquisisca l'archivio elettronico di dati personali o una sua parte sostanziale. Come per le fattispecie ex art. 167-bis, è ammesso, a norma dell'art. 381 c.p.c., l'arresto facoltativo in flagranza di reato da parte di ufficiali e agenti di polizia giudiziaria.

Anche per queste fattispecie di reato ex artt. 167-bis e 167-ter si applicano i commi 4, 5 e 6 dell'art. 167, cioè le norme in materia di riduzione della pena in caso di pagamento della sanzione amministrativa pecuniaria e quelle relative allo scambio di informazioni fra Pubblico Ministero e Garante (Bolognini, Pelino).

Falsità nelle dichiarazioni al Garante e interruzione dell'esecuzione dei compiti o dell'esercizio dei poteri del Garante

L'art. 168 è stato sostituito dalla novella. Rubricato «Falsità nelle dichiarazioni al Garante e interruzione dell'esecuzione dei compiti o dell'esercizio dei poteri del Garante», stabilisce che, salvo che il fatto costituisca più grave reato, chiunque, in un procedimento o nel corso di accertamenti dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito con la reclusione da sei mesi a tre anni. Si tratta di una fattispecie insidiosa, perché può colpire, ad esempio, chi abbia rappresentato fatti o informazioni non corrispondenti alla realtà durante un'ispezione o in risposta a richieste del Garante (si pensi a una dichiarazione che contrasta con la documentazione fornita a margine dell'ispezione), anche quando operate dalla Guardia di Finanza come delegata. Il Responsabile della Protezione dei dati (DPO) sarà particolarmente attento a non commettere questo tipo di reato, nel suo fisiologico interloquire, a norma degli artt. 37-38-39 del Regolamento, con l'Autorità di controllo. In ogni caso, dovranno sussistere caratteristiche sostanziali dell'elemento soggettivo, almeno in termini di consapevolezza della falsità delle informazioni o delle documentazioni trasmesse: un DPO o altro incaricato che si limitasse a trasmettere al Garante quanto fornitogli dal Titolare o dal Responsabile, ad avviso di chi scrive, non dovrebbe poter incorrere in tale condotta di reato.

Fuori dei casi di dichiarazioni o attestazioni false di notizie o circostanze o produzioni di atti o documenti falsi, in un procedimento o nel corso di accertamenti dinanzi al Garante, è punito con la reclusione sino ad un anno chiunque intenzionalmente cagiona un'interruzione o turba la regolarità di un procedimento dinanzi al Garante o degli accertamenti dallo stesso svolti. Si tratta di una norma più generale e generica, questa del secondo comma dell'art. 168, perciò suscettibile di critica per insufficiente rispetto del principio di tassatività. Potrà essere considerato “turbamento” della regolarità di un procedimento o di accertamenti una difesa estremamente pressante e puntigliosa, quand'anche non temeraria, da parte di un avvocato o di un consulente nelle fasi chiave del procedimento o dell'accertamento? (Bolognini, Pelino).

Inosservanza di provvedimenti del Garante

L'art. 170 del codice è stato sostituito dal decreto, e prevede ora che chiunque, essendovi tenuto, non osservi il provvedimento adottato dal Garante ai sensi dell'art. 58, par. 2, lett. f) del Regolamento (cioè quando il Garante eserciti il proprio potere di imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento), dell'art. 2-septies, comma 1 (in materia di misure di garanzia per i trattamenti di dati genetici, biometrici o relativi alla salute), nonché i provvedimenti generali con cui il Garante conferma le prescrizioni contenute nelle vecchie Autorizzazioni Generali nei limiti della loro compatibilità con il Regolamento e con il Decreto di adeguamento, è punito con la reclusione da tre mesi a due anni.

Si tratterà di attendere la lettura dei provvedimenti in questione, per valutarne gli elementi essenziali relativi alle condotte prescritte e ponderarne il margine di rispetto del principio di tassatività. Sicuramente, inevitabile notare come – in molti casi – l'effetto combinato fra blocco dei trattamenti, imposto con provvedimento ex art. 58.2.f) del Regolamento dal Garante, e conseguenza penale per sua violazione, potrà costituire un'opzione dissuasiva e repressiva, di fatto, estremamente potente per i suoi impatti sostanziali sui contravventori (Bolognini, Pelino).

Violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori

Anche l'art. 171 del codice è stato sostituito dal decreto, ma si è trattato di un intervento meramente formale che non ha intaccato il merito della fattispecie di reato contravvenzionale. La violazione delle disposizioni in materia di controlli a distanza sui lavoratori e di divieto di indagini sulle opinioni politiche, religiose e sindacali del lavoratore nonché su fatti non rilevanti ai fini della valutazione dell'attitudine professionale del lavoratore, è punita con le sanzioni di cui all'art. 38 dello Statuto dei Lavoratori (l. n. 300/1970), cioè con ammenda da 154 euro a 1.549,37 euro o con l'arresto da 15 giorni a di un anno, ma nei casi più gravi si possono applicare insieme sia ammenda sia arresto. Sul punto, ad avviso di chi scrive, potrebbe a certe condizioni presentarsi un concorso di reati fra fattispecie privacy e fattispecie giuslavoristiche. Concorso formale, in caso di coincidenza dell'unica azione di trattamento operata in contrasto con più norme penali (es. 167, comma 2 codice e artt. 4 e 38 l. n. 300/1970 – Statuto dei Lavoratori) O concorso materiale – se non stemperato da una ricostruzione di reato continuato – in caso di azioni differenti, ciascuna ricadente in una diversa fattispecie: infatti, le azioni rilevanti per la contravvenzione dei controlli a distanza o dell'indagine sulle opinioni (exartt. 4,8,38 dello Statuto dei Lavoratori e art. 171 del codice) ben potrebbero esaurirsi, a monte, nel momento della raccolta a distanza (illecita, appunto) dei dati personali dei lavoratori da parte dei soggetti che impersonano il datore di lavoro, mentre i successivi trattamenti di dati personali potrebbero – per ipotesi – configurare azioni a sé stanti e rilevanti per il distinto delitto ex art. 167 commi 2 e 3.

Il d.lgs. n. 101/2018 ha abrogato il reato in materia di omissione delle misure minime di sicurezza (vecchio art. 169 del codice), peraltro da considerarsi tacitamente abrogato per evidente incompatibilità con il Regolamento degli ormai abrogati art. 33 e Allegato B del Codice, a cui questa contravvenzione si riferiva nella condotta di violazione.

Resta ferma la previsione, ex art. 172, relativa alle pene accessorie: la condanna per uno dei delitti previsti dal Codice importa la pubblicazione della sentenza.

Trattazione degli affari pregressi relativi a violazioni depenalizzate: art. 24 d.lgs. n. 101/2018

L'art. 24 (Applicabilità delle sanzioni amministrative alle violazioni anteriormente commesse) e l'art. 25 del d.lgs. n. 101/2018 (Trasmissione degli atti all'autorità amministrativa) si occupano di risolvere la problematica relativa alle sanzioni e ai procedimenti penali pendenti per questioni ormai depenalizzate.

L'art. 24 chiarisce come le disposizioni del Decreto che, mediante abrogazione, sostituiscono sanzioni penali con le sanzioni amministrative previste dal Regolamento si debbano applicare anche alle violazioni commesse anteriormente alla data di entrata in vigore del Decreto stesso, sempre che il procedimento penale non sia stato definito con sentenza o con decreto divenuti irrevocabili. Se i procedimenti penali per i reati depenalizzati dal Decreto sono stati definiti, prima della sua entrata in vigore, con sentenza di condanna o decreto irrevocabili, il giudice dell'esecuzione revoca la sentenza o il decreto, dichiarando che il fatto non è previsto dalla legge come reato e adotta i provvedimenti conseguenti. Il giudice dell'esecuzione provvede con l'osservanza delle disposizioni dell'art. 667, comma 4 c.p.p.

Ai fatti commessi prima della data di entrata in vigore del Decreto non può essere applicata una sanzione amministrativa pecuniaria per un importo superiore al massimo della pena originariamente prevista o inflitta per il reato, tenuto conto del criterio di ragguaglio di cui all'art. 135 c.p. (quando, per qualsiasi effetto giuridico, si deve eseguire un ragguaglio fra pene pecuniarie e pene detentive, il computo ha luogo calcolando euro 250, o frazione di euro 250, di pena pecuniaria per un giorno di pena detentiva). A tali fatti non si applicano le sanzioni amministrative accessorie introdotte dal Decreto, salvo che le stesse sostituiscano corrispondenti pene accessorie.

Nei casi di sostituzione, ad opera del Decreto e mediante abrogazione, di disposizioni penali con disposizioni di sanzione amministrativa, l'autorità giudiziaria, entro novanta giorni dalla data di entrata in vigore del Decreto (19 settembre 2018), dispone la trasmissione all'autorità amministrativa competente (cioè al Garante per la protezione dei dati personali) degli atti dei procedimenti penali relativi ai reati trasformati in illeciti amministrativi, salvo che il reato risulti prescritto o estinto per altra causa alla medesima data.

Se l'azione penale non è stata ancora esercitata, la trasmissione degli atti è disposta direttamente dal Pubblico Ministero che, in caso di procedimento già iscritto, annota la trasmissione nel registro delle notizie di reato. Se il reato risulta estinto per qualsiasi causa, il pubblico ministero richiede l'archiviazione a norma del codice di procedura penale; la richiesta ed il decreto del giudice che la accoglie possono avere ad oggetto anche elenchi cumulativi di procedimenti.

Se l'azione penale è stata esercitata, il giudice pronuncia, ai sensi dell'art. 129 c.p.p., sentenza inappellabile perché il fatto non è previsto dalla legge come reato, disponendo la trasmissione degli atti al Garante. Quando è stata pronunciata sentenza di condanna, il giudice dell'impugnazione, nel dichiarare che il fatto non è previsto dalla legge come reato, decide sull'impugnazione ai soli effetti delle disposizioni e dei capi della sentenza che concernono gli interessi civili.

Il Garante notifica gli estremi della violazione agli interessati residenti nel territorio della Repubblica Italiana entro il termine di novanta giorni e a quelli residenti all'estero entro il termine di trecentosettanta giorni dalla ricezione degli atti. Entro sessanta giorni dalla notificazione degli estremi della violazione, l'interessato (cioè il contravventore, in questo caso la parola “interessato” palesemente non usata in “gergo privacy”) è ammesso al pagamento in misura ridotta, pari alla metà della sanzione irrogata, oltre alle spese del procedimento. L'art. 25, comma 5 d.lgs. n. 101/2018 precisa che si applicano, in quanto compatibili, le disposizioni di cui all'art. 16 della l. n. 689/1981, sebbene l'interprete segnali il rischio di un faticoso computo di compatibilità sostanziale di queste ultime proprio con il comma in questione dell'art. 25, che fissa già una disposizione speciale per il pagamento in misura ridotta nei sessanta giorni dalla notificazione. Potrebbe esigersi, a seconda dei casi e dell'importo della sanzione originariamente emessa, l'esecuzione di un calcolo variabile di applicabilità dell'ulteriore e diversa riduzione ex art. 16 l. n. 689/1981.

Il pagamento determina l'estinzione del procedimento.