Gdpr: rilievi penalistici e dubbi

Data: 08/05/2019 14:00:00 - Autore: Filippo Antonelli

Avv. Filippo Antonelli - Il 19 settembre 2018 � stato pubblicato in Gazzetta Ufficiale il D.Lgs. 101/2018 contenente "disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento UE 2016/679 GDPR". Il nostro legislatore si � cos� visto costretto ad intervenire in un campo effettivamente gi� regolamentato dal Codice Privacy (D. Lgs. 196/2003). L'ampia discrezionalit� lasciata dalla c.d. legge delegazione europea ha da un lato favorito un pi� libero recepimento nei singoli Paesi Membri, dall'altro tuttavia non ha fornito rilevanti indicazioni su temi di notevole importanza, come di seguito si dir�.

Gdpr: il quadro giuridico
Gdpr: le sanzioni penali
Dubbi interpretativi
Il concetto di corpo digitale
Trattamento per fini di polizia e giustizia penale
Ne bis in idem

Gdpr: il quadro giuridico

[Torna su]

La prima bozza di decreto (marzo 2018) prevedeva infatti l'abolizione del Codice Privacy in favore di una normativa del tutto nuova che propendeva per una notevole riduzione sanzionatoria con la depenalizzazione delle fattispecie a rilevanza penale ai sensi del principio comunitario del ne bis in idem (Grande Stevens c. Italia). Tuttavia tale tendenza abolizionista mal si conciliava con la necessit� di punire gravemente le violazioni in materia di dati personali, oggi tema sempre pi� centrale e sensibile.

Cos� nella seconda e definitiva bozza di decreto (maggio 2018) si ribaltava completamente l'orientamento assunto pochi mesi prima: la rivisitazione del Codice Privacy e il suo adeguamento.

Il nuovo quadro giuridico distingue i trattamenti per fini di polizia e giustizia penale (direttiva 2016/680), dagli altri trattamenti ai quali si applica il GDPR.

In seguito, si analizzeranno le caratteristiche principali del nuovo quadro giuridico in ambito penale, alla luce delle pi� recenti critiche e osservazioni formulate dalla dottrina e da alcuni commentatori.

Gdpr: le sanzioni penali

[Torna su]

All'art. 84 il nuovo codice Privacy dispone che sia compito dei singoli Stati Membri regolamentare la materia criminale, con sanzioni effettive, proporzionate e dissuasive:

Il Legislatore ha in primo luogo effettuato una sostanziale operazione:introduce la previsione del danno come elemento caratterizzante in alternativa allo scopo di profitto. Non si terr� quindi solo conto del profitto economico dell'autore dell'illecito ma anche del danno arrecato agli interessati, compreso il danno d'immagine, reputazionale della vittima (spazio per la previsione del c.d. revenge porn).

Dubbi interpretativi

[Torna su]

Di fatto ci� che il Legislatore non � riuscito a realizzare � stato fugare i dubbi gi� sollevati dalla giurisprudenza precedente al GDPR.

Si � deciso infatti di demandare al Titolare del Trattamento (tenuto conto dello stato dell'arte, dei costi di attuazione, della natura, dell'oggetto, del contesto e delle finalit� del trattamento�un sacco di cose), la valutazione di misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.

[es: FALSE IDENTIT� VIRTUALI post GDPR: l'identit� digitale � protetta ai sensi dell'art. 9 D.L. 93/2013, conv. L. 119/2013, che ha inserito nell'art. 640-ter c.p. l'aggravante del fatto commesso "con furto o indebito utilizzo di identit� digitale". Le misure di sicurezza da adottare (ritenute adeguate) ai sensi del GDPR hanno come obiettivo quello di rendere meno attaccabili i data base e di conseguenza di ridurre la possibilit� di sostituzioni di persona e accessi abusivi. Nonostante il GDPR (art. 32) preveda che nel valutare l'adeguato livello di sicurezza si tiene conto in special modo dei rischi presentati dal trattamento che derivano in particolare dalla distruzione, perdita, modifica, divulgazione non autorizzata o dall'accesso, accidentale o illegale, a dati personali trasmessi, conservati o trattati; GLI ATTACCHI INFORMATICI RENDONO POSSIBILE E ATTUABILE (sempre di pi�) il reato di sostituzione di persona in concorso con l'accesso abusivo al sistema informatico in tutti i casi in cui il soggetto riesca a forzare le credenziali d'accesso della parte offesa. Si tratta di moderne sostituzioni di persona che non mutano comunque l'evento del reato, variandone le modalit� esecutive. Il reato pu� concretizzarsi anche pi� semplicemente nel caso in cui l'utente menta sulla propria et�. Tra le novit� Privacy vi � l'et� minima di anni 16 per iscriversi ai social].

Un primo ostacolo/contrasto � rappresentato dal principio di tassativit�. Non � sufficientemente dettagliata l'indicazione di quali misure debbano essere adottate al fine di evitare di incorrere in una sanzione penale. La dottrina � pressoch� unanime nell'affermare quanto indicato e nel porsi il dubbio di dovere nuovamente intervenire.

Pertanto ci si chiede: ha senso sanzionare penalmente l'invio di comunicazioni indesiderate effettuate con finalit� di profitto e conseguente nocumento dell'interessato e invece sanzionare solo in via amministrativa un titolare del trattamento dei dati che permetta che centinaia di dati degli interessati siano diffusi in Rete a causa di una policy precaria in tema di sicurezza informatica?

Il concetto di corpo digitale

[Torna su]

Il GDPR introduce il concetto di corpo digitale, il quale deve ricevere la medesima tutela del corpo fisico. Come sottolineato da numerosi commentatori, vi � una profonda disparit� di trattamento nell'attenzione data dal Legislatore a questa novella e, ad esempio, al D.Lgs. 81/2008: la chiave di volta di tale normativa era l'estensione della responsabilit� penale dell'Ente (ex D.Lgs. 231/2001) per le fattispecie di omicidio colposo e di lesioni personali colpose gravi o gravissime sul Lavoro. I risultati di questa normativa sono stati fin da subito evidenti e giudicati da pi� parti come positivi, dovuti senza dubbio alla severit� della norma del 2008 in termini di prevenzione, modelli di organizzazione. Tuttavia anche in tema di sicurezza informatica la prevenzione e la programmazione sono sicuramente fondamentali per evitare che un incidente informatico assuma proporzioni gravi.

Per questo la formulazione attuale delle conseguenze penalistiche in tema di protezione dei dati personali (GDPR) lascia troppo spazio all'interpretazione.

Senza dubbio pu� essere un problema di investimenti, perch� certamente l'obiettivo di attuare un discreto livello di sicurezza informatica necessit� di medio-alti investimenti.

Alcuni reati previsti dal previgente Codice della Privacy sono stati depenalizzati, come ad esempio l'art. 169 del previgente codice: Misure di Sicurezza.

Anche in questo caso molti commentatori hanno parlato di errore colossale: le nuove misure di sicurezza del GDPR non presentano un livello di dettaglio tale da risultare compatibile con il principio di tassativit�. L'opera di depenalizzazione � completata con la considerazione per cui gli illeciti depenalizzati commessi prima dell'entrata in vigore del decreto (19.09.2018) sono punibili con le sanzioni amministrative introdotte in sostituzione.

Trattamento per fini di polizia e giustizia penale

[Torna su]

Si vuole brevemente ricordare che la direttiva 2016/680 del P.E. e del Consiglio deve essere letta a completamento del GDPR, sorta dall'esigenza avvertita nei settori della cooperazione giudiziaria in materia penale e per fini di polizia.

Si � voluto pertanto stabilire norme specifiche sulla protezione delle persone fisiche con riferimento al trattamento dei dati da parte dell'autorit�.

Tale decreto va a sostituire quasi completamente la normativa di cui al Codice Privacy del 2003 (parte seconda, titoli primo e secondo). Il testo legislativo va a stabilire modalit� e tempi di trattamento e conservazione dei dati personali, elenca i diritti del soggetto interessato ed illustra il procedimento attuabile per esercitarli, con la previsione di sanzioni amministrative e penali.

La funzione del Garante riveste particolare rilevanza anche in ambito penale, con fattispecie punite con la pena della reclusione.

Di particolare rilievo la considerazione per cui � previsto un trattamento dei dati personali differenziato in base alle diverse categorie di interessati:

- indagati;

- imputati;

- indagati o imputati in procedimento connesso o collegato;

- condannati con sentenza definitiva;

- persone offese;

- parti civili;

- persone informate sui fatti;

- testimoni.

Ne bis in idem

[Torna su]

Infine uno dei temi centrali e pi� dibattuti anche dai commentatori della nuova normativa � rappresentato dalla possibile frizione della stessa con il principio (C. eur. dir. uomo, Seconda Sezione, sent. 4 marzo 2014, Grande Stevens c. Italia: considerazione del fatto storico che presenta lo stesso nesso causale, la stessa condotta, lo stesso evento) del ne bis in idem.

Per evitare il rischio di sovrapposizioni tra il procedimento amministrativo e quello penale, � stato introdotto un meccanismo di coordinamento che prevede che il P.M. informi l'Autorit� di controllo (il Garante) senza ritardo, e viceversa.

Un ulteriore meccanismo va a limitare la sanzione penale nel caso in cui per lo stesso fatto sia stata applicata e riscossa una sanzione amministrativa pecuniaria dal Garante. In tale ipotesi la pena per il reato che si dovesse ravvisare � diminuita.

Purtroppo i criteri per la diminuzione sono del tutto indeterminati.

Vi � chi ritiene che questo sia un falso problema e che la violazione sancita nel famoso caso Grande Stevens non sia utilizzabile nel contesto del D.Lgs. 101/2018.

Vi � comunque il rischio, secondo le pi� recenti osservazioni, che tali frizioni e tali dibattiti tolgano centralit� ed enfasi al tema della sicurezza informatica, alle necessit� di dare maggiore concretezza alla disciplina penalistica ad essa relativa.