Il GDPR penale è uno degli aspetti meno tenuti in considerazione nella quotidianità, eppure è ben presente e gestito dal Codice Privacy novellato.
Considerando 152
Il Regolamento prevede al Considerando 152
Se il presente regolamento non armonizza le sanzioni amministrative o se necessario in altri casi, ad esempio in caso di gravi violazioni del regolamento, gli Stati membri dovrebbero attuare un sistema che preveda sanzioni effettive, proporzionate e dissuasive. La natura di tali sanzioni, penali o amministrative, dovrebbe essere determinata dal diritto degli Stati membri.
che gli stati membri decidano in autonomia se limitare al solo ambito civile l’aspetto sanzionatorio o estenderlo anche a quello penale. L’Italia è stata il solo stato ad aver scelto questa soluzione. Significa che in talune circostanze Titolari, Responsabili e DPO possono commettere reati penali.
Gli articoli
Il Codice Privacy novellato dal D.lgs. 101/2018 prevede con gli articoli da 167 a 172 che danno al GDPR penale come lo abbiamo qui definito un aspetto in taluni casi molto pericoloso. Non soltanto titolari e responsabili del trattamento debbono porre l’attenzione necessaria a queste fattispecie di reato, ma dovrebbero farlo anche i Data Protection Officer che spesso operano senza tenere presente i rischi che in talune situazioni essi corrono.
Precisazioni
In tutti gli articoli in questione leggiamo alcune diciture importanti ai fini della comprensione degli stessi. Analizziamole perché hanno una valenza da non sottovalutare.
Innanzitutto molti articoli iniziano con la parola chiunque. Dicendo “Chiunque ponga in essere…”, ora è importante evidenziare come quel chiunque implichi veramente chiunque, non solo titolari o responsabili, ma anche DPO e addetti al trattamento. Se, ad esempio, un dipendente durante un’ispezione della Guardia di Finanza nasconde di proposito delle informazioni è perseguibile penalmente per aver ostacolato il Garante nell’esercizio delle sue funzioni o per aver dichiarato il falso (articolo 168 del Codice Privacy novellato).
In seconda istanza, va messo bene in evidenza che la persona eventualmente offesa dal reato è (come definito all’articolo 4 punto 1) del GDPR) il soggetto interessato, colui del quale trattiamo i dati personali.
Terzo, le condotte punibili ora (rispetto al vecchio Codice Privacy) sono più ampie, è sufficiente che si operi una violazione del GDPR pur senza eseguire alcun trattamento di dati personali, ad esempio non fornire alcuna informativa. Non si sta eseguendo alcun trattamento ancora ma di fatto si è già commesso un illecito penale.
“Salvo che il fatto non costituisca più grave reato” lo troviamo scritto ovunque e significa che il reato minore (nel caso una certa azione implichi commetterne almeno due) verrà assorbito dal maggiore, ma le valutazioni devono essere fatte caso per caso e non in astratto, perché potrebbero essere tali valutazioni fonte di errori.
Veniamo quindi a trattare più nello specifico il GDPR penale, analizzando seppur velocemente i vari articoli proposti dal Codice.
Articolo 167
Trattamento illecito dei dati personali (violazione dell’articolo 5 del GDPR), può verificarsi con dolo di profitto o di danno provocando un nocumento al soggetto interessato e violando gli articoli 123, 126, 129 e 130 del Codice, può comportare una reclusione da 6 a 18 mesi. Se operati in violazione degli articoli 9 e 10 del GDPR, degli articoli 2 septies e octies del Codice la reclusione da 1 a 3 anni. Se in violazione del Capo V del GDPR (il trasferimento estero dei dati personali di cui tanto spesso ci siamo occupati negli ultimi anni) di nuovo è prevista la reclusione da 1 a 3 anni.
La domanda che è lecito farsi è quanti DPO non hanno opportunamente avvisato e messo per iscritto che determinati tipi di trattamento erano in violazione della legge? Esponendo se stessi e il loro cliente anche a questo tipo di rischio.
Articolo 167 bis
Comunicazione e diffusione illecita su larga scala di dati personali. Iniziamo con dire che il concetto di “larga scala” è esattamente quello spiegato dall’allora WP29 nel documento relativo al DPO il White Paper 243. Per questo, chiunque diffonda tutto o parte di un archivio automatizzato può essere condannato a una reclusione da 1 a 6 anni. Non è necessario provocare un nocumento al soggetto interessato, basta porre in essere la condotta per essere penalmente perseguibili. Per innescare il provvedimento penale è necessario violare gli articoli 2 ter, sexies e octies del Codice. E la stessa pena è prevista per la diffusione illecita (comma 2 del medesimo articolo) di dati personali per la quale è previsto il consenso da parte dei soggetti interessati.
Ora, non pensiamo immediatamente agli hackers (sebbene essi siano sicuramente inclusi in questo provvedimento), potremmo tranquillamente pensare a quella pratica odiosa che è il Revenge porn.
Articolo 167 ter
Acquisizione fraudolenta su larga scala di dati personali. Chiunque per dolo di profitto o danno acquisisca un archivio automatizzato o una sua parte (anche senza procurare alcun nocumento ad alcuno) è punibile con una pena da 1 a 4 anni.
Ancora gli hacker? Non necessariamente, pensiamo a un dipendente infedele che procurandosi delle password in modo scorretto (fatto che costituisce un reato penale specifico 615 quater del c.p.) acquisisca un archivio o una sua parte contenente dati personali. Non necessariamente dobbiamo scomodare Anonymous.
Articolo 168
Falsità nelle dichiarazioni al Garante ed interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante. Chiunque in un procedimento o nel corso di accertamenti (da parte della Guardia di Finanza nucleo operativo privacy o del Garante) dichiara il falso o produce documenti falsi è punito con la reclusione da 6 mesi a 3 anni. E chiunque intenzionalmente sia causa dell’interruzione dell’esercizio dei compiti del Garante o turba la loro regolarità rischia fino a 1 anno di reclusione.
Qui chiaramente devono stare attentissimi DPO, Titolari, Responsabili e addetti al trattamento. Ho avuto occasione di collaborare con l’autorità Garante nel corso di un accertamento e posso confermare che la massima collaborazione e onestà pagano nella riduzione delle sanzioni che l’Autorità può irrogare.
Articolo 170
Inosservanza dei provvedimenti del Garante. Chiunque essendovi tenuto non ottemperasse a quanto richiestogli da un provvedimento del Garante è punibile con una pena detentiva da 3 mesi a 2 anni.
Ancora i DPO qui giocano un ruolo importante nel consigliare e guidare i loro clienti.
Articolo 171
Violazione delle disposizioni sui controlli a distanza e sulle opinioni dei lavoratori. Chiaramente questo articolo fa riferimento a una legge precisa lo Statuto dei Lavoratori sancita dalla Legge 300 del 1970 comma 4. Per la commissione di questo reato è prevista la reclusione di 15 giorni più una multa rilevante.
Articolo 172
Pene accessorie. Si tratta della pubblicazione della sentenza laddove previsto.
La collaborazione
La norma prevede che laddove il PM incappi, durante una sua indagine, nella commissione di questi illeciti penalmente rilevanti, ne da immediata informazione all’Autorità Garante per la protezione dei dati personali. Tale collaborazione vale alla rovescia.
In conclusione
Dobbiamo tenere sempre in considerazione il rischio di commissione di tali delitti (eh sì sono delitti nel momento in cui hanno una rilevanza penale) quanto trattiamo dati con leggerezza (e qui penso a talune operazioni di marketing un po’ troppo allegre), quando li pubblichiamo, quando accediamo e copiamo i dati.
Anche per questo la protezione dei dati non è un inutile orpello messo lì a far spendere denari alle aziende, ma con il preciso fine impedire che chi tratta queste informazioni si ponga, spesso per superficialità, nelle condizioni di rischiare un procedimento penale (con possibili risvolti 231 nel caso di accesso o copia illecita di dati personali).
