Decreto legislativo - 30/06/2003 - n. 196 art. 167 - (Trattamento illecito di dati). 1(Trattamento illecito di dati). 1
1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all'interessato, operando in violazione di quanto disposto dagli articoli 123, 126 e 130 o dal provvedimento di cui all'articolo 129 arreca nocumento all'interessato, è punito con la reclusione da sei mesi a un anno e sei mesi. 2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all'interessato, procedendo al trattamento dei dati personali di cui agli articoli 9 e 10 del Regolamento in violazione delle disposizioni di cui agli articoli 2-sexies e 2-octies, o delle misure di garanzia di cui all'articolo 2-septies [ovvero operando in violazione delle misure adottate ai sensi dell'articolo 2-quinquiesdecies] arreca nocumento all'interessato, è punito con la reclusione da uno a tre anni2. 3. Salvo che il fatto costituisca più grave reato, la pena di cui al comma 2 si applica altresì a chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all'interessato, procedendo al trasferimento dei dati personali verso un paese terzo o un'organizzazione internazionale al di fuori dei casi consentiti ai sensi degli articoli 45, 46 o 49 del Regolamento, arreca nocumento all'interessato. 4. Il Pubblico ministero, quando ha notizia dei reati di cui ai commi 1, 2 e 3, ne informa senza ritardo il Garante 3. 5. Il Garante trasmette al pubblico ministero, con una relazione motivata, la documentazione raccolta nello svolgimento dell'attività di accertamento nel caso in cui emergano elementi che facciano presumere la esistenza di un reato. La trasmissione degli atti al pubblico ministero avviene al più tardi al termine dell'attività di accertamento delle violazioni delle disposizioni di cui al presente decreto. 6. Quando per lo stesso fatto è stata applicata a norma del presente codice o del Regolamento a carico dell'imputato o dell'ente una sanzione amministrativa pecuniaria dal Garante e questa è stata riscossa, la pena è diminuita. [1] Articolo sostituito dall'articolo 15, comma 1, lettera b), del D.Lgs. 10 agosto 2018, n. 101. [2] Comma modificato dall'articolo 9, comma 1, lettera n), del D.L. 8 ottobre 2021 n. 139, convertito con modificazioni dalla Legge 3 dicembre 2021, n. 205. InquadramentoIl d.lgs. n. 101/2018 ha confermato la presenza nel codice privacy di alcune norme penali, le quali sono, in parte, trasformazioni di antiche fattispecie e, in altra parte, previsioni del tutto nuove. Con il d.lgs. n. 101/2018, dopo l'art. 167, sono stati introdotti due nuovi delitti agli artt. 167-bis e 167-ter del Codice. Innanzitutto, va ricordato l'iniziale tentativo – nello schema provvisorio di decreto legislativo valutato in Consiglio dei Ministri del 21 marzo 2018, che fu veicolato da organi di stampa e oggetto di ampio dibattito pubblico – di introdurre una depenalizzazione generale delle condotte di illecito trattamento dei dati personali, tentativo poi fallito e abbandonato, come d'altronde buona parte dell'infelice impianto di quella bozza. Le motivazioni a favore dell'ipotesi di depenalizzazione privacy potevano essere ricondotte all'obiettivo di evitare il rischio di applicazioni estensive del principio di ne bis in idem tra sanzioni amministrative e penali – alla luce del considerando 149 del Regolamento («[...] l'imposizione di sanzioni penali per violazioni di tali norme nazionali e di sanzioni amministrative non dovrebbe essere in contrasto con il principio del ne bis in idem quale interpretato dalla Corte di giustizia») e, appunto, di una giurisprudenza “oscillante” in materia da parte della Corte di Giustizia della UE e della Corte Europea dei Diritti dell'Uomo – sebbene la Suprema Corte, in Italia, abbia già ripetutamene escluso tale ipotesi (si vedano, tra le altre, la CGUE – Grande Sezione 20 marzo 2018 – C-524/15, Menci, e la Corte EDU l 4 marzo 2014, n. 18640/10 – Grande Stevens e altri c. Italia, e, in senso nettamente contrario al ne bis in idem tra penale ed amministrativo, tra le molte, la sentenza Cass. pen. n. 21271/2018). Sul punto, ad avviso di chi scrive vale anche la pena di ricordare che, nella pratica, i centri d'imputazione giuridica delle responsabilità di un illecito trattamento di dati personali possono essere frequentemente diversi: il Titolare o il Responsabile del trattamento da sanzionare in via amministrativa, ad esempio, sono sovente soggetti giuridici (es. aziende od enti) ai quali non si applica la sanzione penale, esclusivamente personale e riferibile a chiunque. Questo, senza contare che – a monte – il legislatore delegante con l'art. 13, comma 3, lett. e) l. n. 163/2017 indicava espressamente come principi e criteri direttivi al Governo di «adeguare, nell'ambito delle modifiche al codice di cui al d.lgs. n. 196/2003, il sistema sanzionatorio penale e amministrativo vigente alle disposizioni del Regolamento (UE) 2016/679 con previsione di sanzioni penali e amministrative efficaci, dissuasive e proporzionate alla gravità della violazione delle disposizioni stesse». Il considerando 149 del Regolamento, pur prudente sul ne bis in idem in linea di principio, precisa chiaramente che gli Stati membri «dovrebbero poter stabilire disposizioni relative a sanzioni penali per violazioni del presente regolamento, comprese violazioni di norme nazionali adottate in virtù ed entro i limiti del presente regolamento. Tali sanzioni penali possono altresì autorizzare la sottrazione dei profitti ottenuti attraverso violazioni del presente regolamento. [...]». Sarebbe in effetti ingenuo pensare che, nell'era del “tutto digitale” e dell'inevitabile esaltazione del ruolo dei dati personali nel contesto sociale, economico, tecnologico e politico, a livello nazionale come globale, nel bene e nel male, gli illeciti in queste materie abbiano perso rilevanza, anziché guadagnarne, e drammaticamente. Si depenalizza quando una materia perde importanza, non quando ne assume all'ennesima potenza (Bolognini, Pelino). Trattamento illecito di datiVenendo alle fattispecie ora previste dal nuovo testo del codice, troviamo innanzitutto il vecchio art. 167 (rubricato «Trattamento illecito di dati»), profondamente mutato rispetto a prima. In esso, si prevede al comma 1 che, salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all'interessato, operando in violazione di quanto disposto dagli artt. 123,126 e 130 del cod. privacy o dal provvedimento di cui all'art. 129 del cod. privacy, arreca nocumento all'interessato, è punito con la reclusione da sei mesi a un anno e sei mesi. La condotta in questione si riferisce alla violazione delle norme in materia di trattamento di dati relativi al traffico riguardanti contraenti ed utenti trattati dal fornitore di una rete pubblica di comunicazioni o di un servizio di comunicazione elettronica accessibile al pubblico (art. 123 del cod. privacy), di dati relativi all'ubicazione diversi dai dati relativi al traffico, riferiti agli utenti o ai contraenti di reti pubbliche di comunicazione o di servizi di comunicazione elettronica accessibili al pubblico (art. 126 del cod. privacy), di comunicazioni promozionali indesiderate (art. 130 del cod. privacy) e di elenchi di contraenti a disposizione del pubblico (gli ex elenchi di abbonati telefonici ex art. 129 del cod. privacy). Non rintracciamo più, in questo delitto, la violazione consistente nella mancanza di una valida base giuridica per il trattamento di personali comuni – non particolari/sensibili – e questo stupisce negativamente l'interprete. o di altri o lo scopo di arrecare danno all'interessato (ma non ad altri diversi dall'interessato, si noti, a differenza della previgente lettera dell'art. 167 che parlava di arrecare danno “ad altri”) – con, in aggiunta, il verificarsi della condizione obiettiva di punibilità del nocumento per l'interessato (anche qui, non di altri), che dovrà essere “apprezzabile”, giusto l'orientamento della Suprema Corte in materia (si veda in tal senso Cass. pen. III, n. 1134/2004; Cass. pen. III, n. 30134/2004). Il secondo comma dell'art. 167 dispone ora che, salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all'interessato, procedendo al trattamento dei dati personali di cui agli artt. 9 e 10 del Regolamento – cioè dei dati particolari/sensibili e di quelli relativi a condanne penali o reati – in violazione delle disposizioni nazionali di cui agli artt. 2-sexies (in materia di trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante) e 2-octies (in materia di principi relativi al trattamento di dati relativi a condanne penali e reati) o delle misure di garanzia di cui all'art. 2-septies (in materia di dati genetici, biometrici o relativi alla salute) ovvero operando in violazione delle misure adottate dal Garante ai sensi dell'art. 2-quinquiesdecies del Codice (in materia di trattamento che presenta rischi elevati per l'esecuzione di un compito di interesse pubblico), arreca nocumento all'interessato, è punito con la reclusione da uno a tre anni. Come nella fattispecie precedente, si tratta di delitto a dolo specifico e con condizione obiettiva di punibilità, elementi identici a quelli del comma 1. Anche in questo caso, sembra non delinearsi il delitto in caso di violazione generica dovuta mancanza di una base giuridica nel trattamento di dati sensibili/particolari (ex art. 9.2 del Regolamento), se non nei casi riferibili ai trattamenti di dati sensibili per rilevante interesse pubblico e di dati genetici, biometrici o relativi alla salute, oltre a quelli relativi a condanne penali o reati. Una scelta legislativa discutibile, che lascerà impunite condotte anche molto nocive per le vittime. Il terzo comma del medesimo art. 167 stabilisce che, salvo che il fatto costituisca più grave reato, la pena da uno a tre anni di reclusione si applica altresì a chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all'interessato, procedendo al trasferimento dei dati personali verso un paese terzo o un'organizzazione internazionale al di fuori dei casi consentiti ai sensi degli artt. 45, 46 o 49 del Regolamento, arreca nocumento all'interessato. Valgono le considerazioni già espresse sopra quanto a dolo specifico e condizione obiettiva di punibilità. È inoltre previsto che il Pubblico ministero, quando ha notizia dei reati di cui all'art. 167 del codice, ne informi senza ritardo il Garante. Viceversa, è il Garante a dover trasmettere al Pubblico Ministero, con una relazione motivata, la documentazione raccolta nello svolgimento dell'attività di accertamento nel caso in cui emergano elementi che facciano presumere la esistenza di un reato. La trasmissione degli atti al pubblico ministero avviene al più tardi al termine dell'attività di accertamento delle violazioni delle disposizioni di cui Codice. All'evidente scopo di tenere in debito conto la raccomandazione sul ne bis in idem di cui al menzionato considerando 149 del Regolamento, il legislatore italiano introduce comunque la previsione per cui, quando per lo stesso fatto sia stata applicata a norma del Codice o del Regolamento, a carico dell'imputato o dell'ente, una sanzione amministrativa pecuniaria dal Garante e questa sia stata riscossa, la pena sia diminuita. Interessante, nel caso di centri d'imputazione giuridica delle sanzioni amministrative e penali che siano diversi (caso palesemente contemplato dal legislatore che menziona anche l'”ente” come soggetto sanzionato, per il quale è impossibile prevedere l'applicabilità aggiuntiva della sanzione penale), la scelta di far valere l'avvenuta riscossione della sanzione amministrativa all'ente come elemento diminuente della sanzione penale a carico della persona fisica imputata (Bolognini, Pelino, Codice privacy). BibliografiaBolognini, Pelino, Codice privacy: tutte le novità del D.lgs. n. 101/2018, Milano, 2018; Bolognini, Pelino, Bistolfi, Il regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Milano, 2016. |
