La nuova disciplina penale sulla riservatezza: i profili procedurali e le sanzioni in tema di dati giudiziari
21 Novembre 2018
Abstract
Il d.lgs. 101/2018 ha previsto anche un momento di coordinamento tra l'attività dall'A.G. e quella del Garante. Coordinamento espressamente previsto non solo per le ipotesi di cui all'art. 167 d.lgs. 196/2003, quanto anche, con un richiamo, per le fattispecie di cui agli artt. 167-bis e 167-ter d.lgs. 196/2003 In questo senso, prevede l'art. 167, ai commi 4 e ss., che «Il Pubblico ministero, quando ha notizia dei reati di cui ai commi 1, 2 e 3, ne informa senza ritardo il Garante». A sua volta il Garante «trasmette al pubblico ministero, con una relazione motivata, la documentazione raccolta nello svolgimento dell'attività di accertamento nel caso in cui emergano elementi che facciano presumere l'esistenza di un reato. La trasmissione degli atti al pubblico ministero avviene al più tardi al termine dell'attività di accertamento delle violazioni delle disposizioni di cui al presente decreto». È singolare la differente scadenza che è stata individuata dal Legislatore. Senza ritardo l'indicazione per il P.M., laddove il Garante può trasmettere sino al termine dell'attività di accertamento. Singolare in quanto non si può escludere che l'attività di accertamento del reato – demandata al P.M. – possa imporre esigenze di “riservatezza” normativamente garantite e funzionali al buon esito dell'accertamento. Il problema non è – ovviamente – l'ufficio del Garante – ma la possibilità che il procedimento avanti al Garante determini – a un certo punto – una discovery degli atti non coordinata con il termine di indagine a disposizione del P.M.; che si verifichi, in sostanza, un deposito (almeno parziale) degli atti del P.M. indiretto prima che quest'ultimo organo abbia a sua volta terminato le indagini, depositando gli atti. Un rischio non di elevato livello statistico ma certamente sussistente. In ordine, infine, alla quantificazione della pena, l'art. 167 d.lgs. 196/2003, al comma 6, stabilisce «Quando per lo stesso fatto è stata applicata a norma del presente codice o del Regolamento a carico dell'imputato o dell'ente una sanzione amministrativa pecuniaria dal Garante e questa è stata riscossa, la pena è diminuita». Il trattamento in sede giudiziaria
È indispensabile almeno un breve cenno su un aspetto tutt'altro che collaterale della normativa sulla riservatezza, ossia la possibilità – certamente frequente- che nell'ambito di un procedimento giudiziario (spesso civile, in sede di separazione o divorzio – quanto a volte anche penale) una delle parti private lamenti una violazione della disposizione dell'art. 167 citato in relazione al deposito di dati e informazioni che si assumono acquisiti e utilizzati in assenza del consenso dell'interessato. Emblematica in tal senso una recente decisione della S.C. che ha escluso la sussistenza del reato de quo ipotizzata a seguito della produzione di un CD contenente foto e filmati ritraenti altre persone nel corso di un giudizio civile (nella specie di separazione personale dei coniugi), in quanto tale condotta non costituirebbe una forma di diffusione, bensì di comunicazione di dati destinata a circolare e a essere conosciuta tra persone determinate (Cass. pen., Sez. III, 11 maggio 2017, n. 35553). La sussistenza della violazione dell'art. 167 nella previgente versione, nelle situazioni descritte, era fondamentalmente collegata alla sola violazione di cui all'art. 23 d.lgs. 196/2003 ossia al caso di trattamento in assenza del consenso espresso del titolare dei dati personali utilizzati in sede giurisdizionale. L'art. 23, ora abrogato, stabiliva che «1. Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell'interessato. 2. Il consenso può riguardare l'intero trattamento ovvero una o più operazioni dello stesso. 3. Il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all'interessato le informazioni di cui all'articolo 13. 4. Il consenso è manifestato in forma scritta quando il trattamento riguarda dati sensibili». Sul tema, erano intervenute le Sezioni unite civili che hanno precisato che «alle disposizioni che regolano il processo deve essere attribuita natura speciale rispetto a quelle contenute nel codice della privacy e nei confronti di esse, quindi, nel caso di divergenza, devono prevalere»: la necessità del consenso del titolare dei dati personali utilizzati in sede giudiziale deve, pertanto, subire «deroghe ed eccezioni quando si tratti di far valere in giudizio il diritto di difesa, le cui modalità di attuazione risultano disciplinate dal codice di rito» (Cass. civ., Sez. unite, 8 febbraio 2011, n. 3034) al fine di non “comprimere” e/o limitare le esigenze defensionali delle parti. Ad analoghe conclusione la S.C. era giunta anche sotto un altro profilo, laddove aveva considerato, per escludere la configurabilità del delitto di cui all'art. 167, comma 1, d.lgs. 196/2003 in caso di trattamento di dati personali effettuato da un privato, sottolineando il fatto che l'art. 5, comma 3, d.lgs. 196/2003 prevede che il trattamento (e quindi la comunicazione) di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all'applicazione delle disposizioni del medesimo decreto «solo se i dati sono destinati a una comunicazione sistematica o alla diffusione. Pertanto, quando si tratta di persona fisica che effettua il trattamento per fini esclusivamente personali, il soggetto è tenuto a rispettare le disposizioni del T.U., ivi comprese quelle in tema di obbligo di consenso espresso dell'interessato per il trattamento, solo quando i dati raccolti e trattati sono destinati alla comunicazione sistematica e alla diffusione» (Cass. pen., 24 marzo 2011, n. 18908); una situazione non riscontrabile nel caso di utilizzo in sede giurisdizionale. Alla luce delle pregresse considerazioni pare necessario escludere la rilevanza penale – ex art. 167 citato – della condotta del soggetto che proceda al trattamento dei dati personali in assenza del consenso del titolare dei dati medesimi, laddove quest'ultimo sia strettamente strumentale alla tutela giurisdizionale di un diritto da parte che effettua il trattamento. Deve essere, pertanto, esclusa non solo la punibilità per il delitto de quo ai sensi dell'art 51 c.p., in presenza dell'esercizio di un diritto (reale o putativo), quanto la stessa possibilità di ravvisare tutti gli elementi costitutivi della fattispecie. La produzione in giudizio di documenti contenenti dati acquisiti in assenza del consenso dell'interessato non integrerebbe la condotta di “diffusione”, tale non potendosi ritenere la conoscenze determinata nella altre parti processuali, se non laddove la produzione stessa non sia stata tale cagionare una conoscenza dei dati da parte di soggetti indeterminati.
Le violazioni in tema di provvedimenti del Garante
La riforma di cui al d.lgs. 101/2018 è intervenuta anche sulle due norma poste direttamente a tutela dell'attività del Garante, ampliando la prospettiva di tutela della medesime delineato. Nel primo caso – art. 168 d.lgs. 196/2003 – l'unica fattispecie già prevista è sostituita da due ipotesi. La prima ricalca in parte il previgente testo, mantenendo la pena della reclusione da sei mesi a tre anni- superando l'elencazione di atti della procedura avanti al Garante che caratterizzava la precedente norma e sanzionando (Salvo che il fatto costituisca più grave reato) la condotta di chi «in un procedimento o nel corso di accertamenti dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi».Resta ferma, pertanto, la descrizione della condotta, mentre massima estensione viene data all'ambito nella quale la stessa può avere rilievo. Il comma secondo, indicato in via subordinata rispetto al primo, sanziona in termini di minore gravità (reclusione sino a un anno) la condotta di chi «intenzionalmente cagiona un'interruzione o turba la regolarità di un procedimento dinanzi al Garante o degli accertamenti dallo stesso svolti». Evidentemente deve essere un'interruzione o un turbamento posti in essere non con dichiarazioni o attestazioni o documenti false, quanto, verosimilmente, con condotte “materiali”, per la verità di non semplicissima configurabilità.
Oggetto della tutela della fattispecie di cui all'art. 170 d.lgs. 196/2003 era la corretta osservanza della prescrizioni formulate dal Garante in tema di trattazione di quelli che erano definiti dati sensibili, attualmente contemplati dall'art. 9 del regolamento 679/2016. Si trattava (e si tratta) di una norma penale in bianco: il precetto previsto dal Garante completa la fattispecie, concretizzando la figura criminosa astratta, precisando e contestualizzando l'obbligo genericamente sanzionato dalla legge. Sotto il profilo soggettivo, trattandosi di delitti e in assenza di un'espressa previsione di responsabilità a titolo di colpa, il reato presuppongono il dolo, e quindi l'intenzionale e consapevole inosservanza di un provvedimento in concreto conosciuto dal titolare e/o responsabile. La pregressa fattispecie sanzionava l'inosservanza dei provvedimenti adottato dal Garante ai sensi degli artt. 26 (Garanzie per i dati sensibili), 90 (Trattamento dei dati genetici e donatori di midollo osseo), 143 (Procedimento per i reclami), 150 (Provvedimenti a seguito del ricorso). L'attuale versione della norma sanziona ( con la medesima pena della reclusione da tre mesi a due anni) l'inosservanza provvedimento adottato dal Garante
Le sanzioni per le violazioni allo statuto dei lavoratori
Si segnala, infine, che è stata mantenuta, sostanzialmente inalterata, sebbene in termini formalmente differenti, la disciplina sanzionatoria relativa a due – fondamentali – disposizioni della l. 300/1970 (c.d. Statuto dei lavoratori). L'art. 171 è stato specificamente rubricato Violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori, mentre nel testo il pregresso richiamo, indiretto, agli artt. 113, comma 1, e 114 d.lgs. 196/2003 della normativa in tema di riservatezza risulta formulato in relazione alle violazione di cui «agli articoli 4, comma 1, e 8» della l. 300/1970. Si tratta delle disposizioni in tema – art. 4 l. 300/1970 – di impianti audiovisivi e di quelle in tema – art. 8 – di divieto di indagini sulle opinioni. Identica anche la sanzione, individuata dall'art. 38 l. 300/1970 di quest'ultima legge, modificato dal comma 2, art. 179, d.lgs. 196/2003, e salvo che il fatto non costituisca più grave reato. Restano ferme anche le ulteriori disposizioni del menzionato art. 38l. 300/1970, per le quali «Nei casi più gravi le pene dell'arresto e dell'ammenda sono applicate congiuntamente» con possibilità per l'autorità giudiziaria di ordina la pubblicazione della sentenza penale di condanna nei modi stabiliti dall'articolo 36 del codice penale; inoltre «Quando per le condizioni economiche del reo, l'ammenda stabilita nel primo comma può presumersi inefficace anche se applicata nel massimo, il giudice ha facoltà di aumentarla fino al quintuplo». Per completezza, si segnala infine che è stata mantenuta la previsione dell'art. 172 d.lgs. 196/2003 (Pene accessorie), per la quale «la condanna per uno dei delitti previsti dal presente codice importa la pubblicazione della sentenza»; formula, che, per precisione, è stato aggiunto – sebbene non strettamente necessario – «ai sensi dell'articolo 36, secondo e terzo comma, del codice penale». Le sanzioni penali in tema di dati giudiziari
Come ricordato in premessa, il d.lgs. 51/2018, ha attuato la direttiva 680-2016, con oggetto la protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali. Un profilo di tutela di estrema delicatezza e di intrinseca specificità, per il quale il legislatore europeo ha dovuto prevedere un'autonoma disciplina; disciplina, nondimeno, modulata sulla falsariga delle disposizioni generali sopra esaminate. Il decreto, il cui oggetto è definito dall'art. 1, comma 2, d.lgs. 51/2018 – si applica «al trattamento interamente o parzialmente automatizzato di dati personali delle persone fisiche e al trattamento non automatizzato di dati personali delle persone fisiche contenuti in un archivio o a esso destinati, svolti dalle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati, o esecuzione di sanzioni penali, incluse la salvaguardia contro e la prevenzione di minacce alla sicurezza pubblica». Il decreto contiene tre norme penali, che prevedono cinque delitti. Per tutte, ai sensi dell'art. 46 d.lgs. 51/2018 (Pene accessorie) la condanna importa la pubblicazione della sentenza, ai sensi dell'articolo 36, commi 2 e 3, c.p. L'art. 43 d.lgs. 51/2018 (Trattamento illecito di dati) delinea due fattispecie, costruite sullo schema dell'art. 167 d.lgs. 196/2003. Il comma prima sanziona con la reclusione da sei mesi a un anno e sei mesi e “Salvo che il fatto costituisca più grave reato” la condotta di chi, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dall'articolo 5, comma 1, d.lgs. 51/2018. La fattispecie deve, pertanto, essere completata, con il testo di quest'ultimo articolo, rubricato Liceità del trattamento, che a sua volta contiene un ulteriore rinvio: «Il trattamento e' lecito se è necessario per l'esecuzione di un compito di un'autorità competente per le finalità di cui all'articolo 1, comma 2, e si basa sul diritto dell'Unione europea o su disposizioni di legge o, nei casi previsti dalla legge, di regolamento che individuano i dati personali e le finalità del trattamento». Una duplice condizione, dunque, non priva di criticità ermeneutiche; se in effetti la riconduzione a un dato normativo di dati personali e finalità del trattamento dovrebbe poter essere individuata per tabulas, la valutazione sulla “necessità” può consentire interpretazioni non univoche. La seconda ipotesi prevista dal primo comma, poi, sanziona in termini di maggiore gravità (reclusione da sei mesi a due anni) il trattamento non conforme al citato art. 5 che si sostanzi in comunicazione o diffusione dei dati , laddove dal fatto derivi un nocumento A sua volta l'art. 43, comma 2, d.lgs. 51/2018 citato sanziona con la reclusione da uno a tre anni Salvo che il fatto costituisca più grave reato la condotta di chi «al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dall'articolo 7 o dall'articolo 8, comma 4 […]. se dal fatto deriva nocumento». Nocumento che, in entrambi i casi menzionati, in sintonia con la modifica generale della d.lgs. 196/2003 e la più recenti decisioni della S.C. , dovrebbe essere considerato elemento costitutivo del reato e non condizione obiettiva di punibilità. L'art. 7 (Trattamento di categorie particolari di dati personali) si riferisce a quelli che, prima della riforma, erano definiti dati sensibili: «Il trattamento di dati di cui all'articolo 9 del regolamento UE è autorizzato solo se strettamente necessario e assistito da garanzie adeguate per i diritti e le libertà dell'interessato e specificamente previsto dal diritto dell'Unione europea o da legge o, nei casi previsti dalla legge, da regolamento, ovvero, ferme le garanzie dei diritti e delle libertà, se necessario per salvaguardare un interesse vitale dell'interessato o di un'altra persona fisica o se ha a oggetto dati resi manifestamente pubblici dall'interessato». L'art. 8, comma 4 (Processo decisionale automatizzato relativo alle persone fisiche), precisa che «Fermo il divieto di cui all'articolo 21 della Carta dei diritti fondamentali dell'Unione europea, è vietata la profilazione finalizzata alla discriminazione di persone fisiche sulla base di categorie particolari di dati personali di cui all'articolo 9 del regolamento UE». Il menzionato art. 21, in tema di non discriminazione, vieta «qualsiasi forma di discriminazione fondata, in particolare, sul sesso, la razza, il colore della pelle o l'origine etnica o sociale, le caratteristiche genetiche, la lingua, la religione o le convinzioni personali, le opinioni politiche o di qualsiasi altra natura, l'appartenenza a una minoranza nazionale, il patrimonio, la nascita, la disabilità, l'età o l'orienta mento sessuale» nonché «nell'ambito d'applicazione dei trattati e fatte salve disposizioni specifiche in essi contenute, qualsiasi discriminazione in base alla nazionalità» Il d.lgs. 51/2018 contiene infine, due norme speculari rispetto agli artt. 168 e 170 del d.lgs. 196/2003; con la prima (art. 44 - Falsita' in atti e dichiarazioni al Garante) è sanzionato con la reclusione da sei mesi a tre anni e Salvo che il fatto costituisca più grave reato alternativamente il comportamento di chi: - in un procedimento dinanzi al Garante riguardante il trattamento dei dati di cui all'articolo 1, comma 2 - nel corso di accertamenti riguardanti i medesimi dati dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi. L'art. 45 (Inosservanza di provvedimenti del Garante), prevede la reclusione da tre mesi a due anni per chi «essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi dell'articolo 143, comma 1, lettera c), del Codice, in un procedimento riguardante il trattamento dei dati di cui all'articolo 1, comma 2». Una disposizione solo apparentemente non problematica: la versione dell'art. 143 citata – in tema di reclami – è stata abrogata dal d.lgs. 101/2018, così che non è più previsto il riferimento al provvedimento del Garante che «c) dispone il blocco o vieta, in tutto o in parte, il trattamento che risulta illecito o non corretto anche per effetto della mancata adozione delle misure necessarie di cui alla lettera b) [ossia “prescrive al titolare le misure opportune o necessarie per rendere il trattamento conforme alle disposizioni vigenti”] oppure quando, in considerazione della natura dei dati o, comunque, delle modalità' del trattamento o degli effetti che esso può determinare, vi è il concreto rischio del verificarsi di un pregiudizio rilevante per uno o piu' interessati». L'attuale versione dell'art. 143 d.lgs. 196/2003 (Decisione del reclamo) lascia intendere che l'inosservanza deve intendersi rispetto ai provvedimenti del Garante attualmente contemplati dall'art. 58 del regolamento 679/2016, norma che riconosce a ogniautorità di controllo numerosi poteri di indagine. In mancanza di un'indicazione espressa e specifica l'interprete può ipotizzare la rilevanza penale per l'inosservanza di tutti i provvedimento oppure ritenere che la norma sia sostanzialmente non applicabile in mancanza di un'indicazione selettiva, quale quella che - con il richiamo alla sola lettera c) della precedente versione- il legislatore pare aver voluto intendere. In conclusione
C. PARODI, La nuova disciplina penale della riservatezza; F. PIZZETTI I consigli per leggere e applicare bene il decreto 101/2018 dal 19 settembre, in agendadigitale.eu; M. REALE, GDPR, un primo commento sul decreto di adeguamento, in altalex.it; F. SARZANA, Privacy: depenalizzare o no? la Cassazione sul trattamento illecito di dati personali, in ilSole24ore; A. SCARCELLA, Trattamento illecito di dati personali: la qualificazione della lesione influisce sulla fattispecie, ipsoa.it; S. SICA, "Danno" e "nocumento" nell'illecito trattamento di dati personali, in Riv. inf. e informatica 2004, 715 ss. |