Il nuovo quadro giuridico distingue i trattamenti per fini di polizia e giustizia penale, che sono regolamentati dalla direttiva 2016/680, dagli altri trattamenti ai quali si applica il GDPR.


Il GDPR dispone (art. 84) che sia compito dei singoli Stati membri regolamentare la materia criminale, con sanzioni che siano “effettive, proporzionate e dissuasive“. In tale prospettiva il legislatore nazionale ha rivisto le fattispecie penali previste dal Codice in materia di protezione dei dati personali, confermandole sostanzialmente, introducendo la previsione del danno come elemento caratterizzante in alternativa allo scopo di profitto. Quindi non si terrà contro del solo profitto economico dell’autore dell’illecito ma anche del danno arrecato agli interessati, compreso il danno d’immagine e reputazionale della vittima, in tal modo coprendo le fattispecie di revenge porn.

Per limitare il rischio di sovrapposizioni tra il procedimento amministrativo e quello penale, è stato introdotto un meccanismo di coordinamento che prevede che il Pubblico Ministero informi l’Autorità di controllo senza ritardo. Allo stesso modo il Garante dovrà trasmettere al Pubblico Ministero la documentazione raccolta in sede amministrativa qualora si presuma sussistente un reato.

Un ulteriore meccanismo va a limitare la sanzione penale nel caso in cui per lo stesso fatto sia stata applicata e riscossa una sanzione amministrativa pecuniaria dal Garante. In tale ipotesi la pena per il reato che si dovesse ravvisare è diminuita. La norma, però, appare del tutto indeterminata con riferimento ai criteri per stabilire la diminuzione.

Le fattispecie di reato previste dalla normativa europea e italiana sono le seguenti:

– Trattamento illecito di dati;
– Comunicazione e diffusione illecita di dati personali;
– Acquisizione fraudolenta di dati personali;
– Interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante;
– Inosservanza di provvedimenti del Garante;
– Violazioni in materia di controlli a distanza dei lavoratori;

Trattamento illecito di dati

L’articolo 167 del Codice in materia di protezione dei dati personali è stato totalmente rivisto.
E’ punito, salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, arreca nocumento all’interessato in violazione di specifiche disposizioni di legge (come quelle che regolamentano il trattamento di dati ex art. 9 e il trasferimento internazionale dei dati personali). L’aggiunta del “danno” consente di ricomprendere tra le fattispecie punibili anche condotte quali il “revenge porn“.

E’ altresì punito chi, al fine di trarre per sè o per altri profitto o di arrecare danno all’interessato procedendo al trasferimento dei dati personali verso un paese terzo o un’organizzazione internazionale al di fuori dei casi consentiti, arreca nocumento all’interessato.

Quando per lo stesso fatto è stata applicata a norma del Codice Privacy o del GDPR una sanzione amministrativa dal Garante e questa sia stata riscossa, la pena viene diminuita.

Comunicazione e diffusione illecita di dati personali

L’articolo 167-bis prevede un reato del tutto nuovo, e punisce la comunicazione e la diffusione di dati personali oggetto di trattamento su larga scala, al fine di trarre profitto per sé o altri ovvero al fine di arrecare danno. La comunicazione o la diffusione devono riguardare un archivio automatizzato di dati personali o una sua parte sostanziale, contenente dati personali oggetto di trattamento su larga scala. Il reato si configura solo se la diffusione o la comunicazione dei dati avviene in violazione di specifiche e limitate disposizioni normative, per lo più applicabili a soggetti che trattano dati professionalmente o per obbligo di legge, cosa che limiterà l’applicabilità della norma.

La nozione di “archivio automatizzato” non è definita, per cui dovrà essere ricavata altrove. In base al GDPR “archivio” è “qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico”.

Questo reato ha come elemento caratterizzate il trattamento su larga scala(vedi DPO), concetto già introdotto dal regolamento e sostanziato dai pareri del Working Party art. 29 (oggi European Data Protection Board). L’attuazione della norma penale potrebbe creare problemi di tassatività essendo il concetto estraneo alla normativa criminale.

La pena è la reclusione da 1 a 6 anni, ma anche qui, se per lo stesso fatto è applicata anche una sanzione amministrativa la pena è diminuita.

Acquisizione fraudolenta di dati personali

L’articolo 167-ter prevede il reato di acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala, e quindi punisce chi acquisisce con mezzi fraudolenti un archivio automatizzato, o una sua parte sostanziale, contenente dati personali oggetto di trattamento su larga scala al fine di trarne profitto o di arrecare danno ad altri. La pena è fino a 4 anni.

Anche qui vi è come elemento caratterizzante il trattamento su larga scala.

False attestazioni al Garante. Interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante

L’articolo 168 del Codice punisce chiunque, in un procedimento o nel corso di accertamenti dinanzi all’Autorità Garante, dichiari o attesti falsamente notizie o circostanze o produca atti o documenti falsi.

Il comma 2 prevede una nuova fattispecie di reato, punendo anche chi cagiona intenzionalmente un’interruzione o turbi la regolarità di un procedimento dinanzi al Garante o degli accertamenti da questi svolti.

Inosservanza di provvedimenti del Garante

L’articolo 170 del Codice punisce l’inosservanza dei provvedimenti del Garante. La pena è la reclusione da tre mesi a due anni.

Ricordiamo che vi è una disposizione analoga che punisce i magistrati e i funzionari di forze di polizia, introdotta dal decreto legislativo attuativo della Direttiva 2016/680.

Violazioni in materia di controlli a distanza dei lavoratori

Sono state confermate le fattispecie previste dallo Statuto dei lavoratori (vedi Privacy e controllo dei lavoratori), all’art. 4, comma 1 e all’art. 8.

L’articolo 4 riguarda l’utilizzo da parte dei datori di lavoro degli impianti audiovisivi e degli altri strumenti dai quali derivi anche la possibilità di controllo a distanza dell’attività dei lavoratori che possono essere impiegati esclusivamente per esigenze organizzative e produttive, per la sicurezza del lavoro e per la tutela del patrimonio aziendale e possono essere installati previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali o, in mancanza di accordo, previa autorizzazione dell’Ispettorato.

L’articolo 8, invece, vieta al datore di lavoro, al fine di assunzioni o nel corso dello svolgimento del rapporto di lavoro, di effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore.