Privacy. Ecco come cambia il diritto penale dopo il GDPR
Un’analisi della normativa nazionale e del Codice in materia di protezione dei dati personali alla luce del nuovo Regolamento Europeo
Una domanda ricorrente è se in materia di diritto penale della privacy sia mutato l’impianto normativo con l’avvento del Regolamento dell’Unione Europea n. 679, entrato in vigore dal 24 maggio 2016, ma applicabile dal 25 maggio 2018 (d’ora in poi, per brevità, GDPR: General Data Protection Regulation). In particolare, quale continuità esiste tra le vecchie norme incriminatrici in materia di illecita comunicazione o diffusione dei dati personali e le nuove? Sebbene formalmente confermato nella sua esistenza normativa, in verità il reato oggi previsto dall’art. 167 T. U. Privacy è solo apparentemente uguale alla fattispecie prevista dalla norma vigente prima dell’entrata in vigore della novella introdotta dal D.Lgs n. 101/2018.
- DALLA DIRETTIVA AL REGOLAMENTO NEL DIRITTO ITALIANO
Prima che i Paesi europei si dotassero di una normativa uniforme ogni Stato membro aveva la propria legge sulla privacy di recepimento della Direttiva n. 95/46 e ciò produceva un effetto disarmonico riguardo all’implementazione degli standard minimi richiesti dalla Direttiva necessaria per rendere effettiva la tutela della riservatezza dei cittadini.
Fin dal 1996 l’Italia si era dotata di una normativa interna avanzata ed efficace e non ha dovuto stravolgere il proprio impianto giuridico a causa dell’entrata in vigore del GDPR. Va detto, comunque, che il Decreto Legislativo del 30 giugno 2003 n. 196 “Codice in materia di protezione dei dati personali”, succeduto alla legge n. 675/1996, non è stato abrogato a seguito dell’entrata in vigore del GDPR, bensì coordinato e integrato attraverso le modifiche introdotte dal Decreto Legislativo del 10 agosto 2018 n. 101 recante disposizioni per l’adeguamento della normativa nazionale alle nuove norme europee.
Ciò che è stata effettivamente abrogata è, ovviamente, la Direttiva comunitaria n. 95/46/CE la quale, dopo aver ispirato e dato l’avvio a tutte le normative interne dei Paesi in tema di privacy, lascia il testimone alle nuove norme europee che ne costituiscono l’idealizzazione giuridica, essendo direttamente applicabili in tutti gli Stati membri, senza necessità di legiferare, ma solo di armonizzare le preesistenti norme interne attraverso l’adozione di disposizioni regolamentari, come è accaduto in Italia.
Al vantaggio dell’uniformità normativa su scala europea fanno da contraltare alcune difficoltà interpretative, acuite dalla necessità di trovare le soluzioni giuridiche agli innumerevoli problemi concreti in tema di bilanciamento tra privacy e interessi contrapposti dovendo applicare contestualmente sia il GDPR sia il nostro redivivo Codice Privacy, aggiornato dal D.Lgs n. 101/18.
- LE NUOVE SANZIONI PENALI DOPO IL GDPR: ERANO NECESSARIE?
Tornando invece al focus delle questioni connesse alle incriminazioni penali scaturenti dalla violazione delle nuove norme europee sulla privacy, va anzitutto detto che il GDPR, in ossequio alla riserva di legge interna in materia penale, nulla prevede sotto tale profilo, lasciando agli Stati membri la possibilità, a seconda del grado di apprezzamento interno del singolo Paese, di integrare e definire il quadro sanzionatorio mediante l’autonoma introduzione di fattispecie penali.
Serve precisare, tuttavia, che l’articolo 84 GDPR, prevedendo che “Gli Stati membri stabiliscono le norme relative alle altre sanzioni per le violazioni del presente regolamento in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie …”, non fa espresso riferimento all’esigenza di introdurre norme penali, ma al contrario, il tenore dell’ultimo periodo del primo comma della norma lascerebbe intendere il non gradimento del legislatore europeo con riguardo alla previsione di reati in materia di privacy, prescrivendo che “Tali sanzioni devono essere effettive, proporzionate e dissuasive”.
Ad avviso di chi scrive, il diritto penale della privacy oggi in vigore prevede numerosi anni di carcere che probabilmente non verranno mai applicati in concreto, come ci insegna l’esperienza pregressa legata al nostro Codice. Quindi, l’attuale impianto non risulterà né dissuasivo né effettivo e certamente non proporzionato. Non è escluso che in futuro l’Italia venga sanzionata a livello europeo per aver introdotto sanzioni penali esorbitanti e ingiustificate in materia di illecito trattamento dei dati personali. Basti pensare che l’articolo 167 bis T. U. Privacy prevede una pena edittale che può arrivare a sei anni di reclusione se i dati oggetto di comunicazione o diffusione riguardano un trattamento automatizzato su larga scala.
Questa sanzione penale, riferendosi a situazioni macroscopiche, seppur pesante sarebbe astrattamente corretta e ponderata se il GDPR non prevedesse già sanzioni amministrative pecuniarie che possono arrivare a milioni di euro e che concorrono alle norme penali interne. Tanto è vero che il sesto comma dell’articolo 167 GDPR – che si applica anche all’articolo 167 bis GDPR – prevede che “Quando per lo stesso fatto è stata applicata a norma del presente codice o del Regolamento a carico dell’imputato o dell’ente una sanzione amministrativa pecuniaria dal Garante e questa è stata riscossa, la pena è diminuita”. Quindi, per uno stesso fatto si verrà condannati in modo severo e con due sanzioni differenti: amministrativa pecuniaria e penale.
Gli aspetti sanzionatori del GDPR, anche se non di tipo penale, sono comunque di una certa rilevanza: l’articolo 58 del Regolamento europeo prevede tutte le possibili sanzioni amministrative non pecuniarie irrogabili direttamente dal Garante della privacy, mentre le sanzioni amministrative pecuniarie (che possono arrivare a importi molto ingenti) sono previste dall’articolo 83 GDPR.
- BILANCIAMENTO TRA PRIVACY E LIBERTA’ DI ESPRESSIONE: PREVALE IL GIORNALISMO?
Un breve approfondimento merita l’articolo 85 GDPR, che riguarda il bilanciamento tra il diritto al trattamento dei dati personali e la libertà di espressione e di informazione che ogni Stato membro ha il dovere di conciliare prevedendo esenzioni e deroghe, come effettivamente è stato fatto nell’ambito del novellato Titolo XII del Codice Privacy italiano vigente.
Ebbene, sembrerebbe che in materia penale la maggiore novità delle nuove norme stia nel fatto che mentre prima, ricorrendone tutte le condizioni, si poteva accusare un giornalista del reato di illecita diffusione dei dati personali, con il nuovo articolo 167 T. U. Privacy tale possibilità sembra essere finalmente venuta meno. “Sembra”, perché la novità ora accennata risulta ben nascosta tra le pieghe della nuova norma come formulata dall’articolo 167 T. U. Privacy.
In estrema sintesi, possiamo dire che il vecchio articolo 167 T. U. italiano Privacy consentiva la possibilità di estendere l’incriminazione alla tipica situazione in cui il giornalista non avesse fatto buon governo del principio di “essenzialità dell’informazione”. La norma richiamava espressamente l’ormai abrogato articolo 23 T. U. Privacy sul consenso espresso dell’interessato che non era (e non è) richiesto in materia di trattamento giornalistico dei dati personali, purché esso sia eseguito in modo essenziale e funzionale alla notizia oggetto dell’articolo giornalistico.
In assenza del presupposto del diritto di cronaca, anche il giornalista poteva commettere il reato di cui all’articolo 167 T. U. italiano Privacy. Inoltre, nella nuova formulazione scompaiono i concetti di comunicazione e diffusione generiche (in cui rientravano quasi tutte le condotte tipiche dei giornalisti), essendo ormai previste dal nuovo articolo 167 T. U. italiano Privacy soltanto situazioni specifiche di trattamento illecito, dove non sembra esserci più spazio per l’attività giornalistica. In particolare, oggi commette il reato chiunque opera in violazione di quanto disposto:
- dall’attuale Codice, con l’articolo 123 (dati relativi al traffico riguardanti contraenti ed utenti trattati dal fornitore di una rete pubblica di comunicazioni o di un servizio di comunicazione elettronica accessibile al pubblico); l’articolo 126 (dati relativi all’ubicazione diversi dai dati relativi al traffico, riferiti agli utenti o ai contraenti di reti pubbliche di comunicazione o di servizi di comunicazione elettronica accessibili al pubblico); l’articolo 130 (sistemi automatizzati di chiamata o di comunicazione di chiamata senza l’intervento di un operatore per l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale), ovvero
- dal GDPR, con gli articoli 45, 46 e 49 (illecito trasferimento dei dati personali verso un paese terzo o un’organizzazione internazionale); l’articolo 9 (dati personali sensibili che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona) e, infine, l’articolo 10 (trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza).
Al di fuori di queste specifiche situazioni non sembra esserci più spazio per le condotte illecite scaturenti dal trattamento tipico effettuato dai giornalisti (che non necessita del consenso dell’interessato): trattasi della generica diffusione di dati personali non sensibili realizzata al di là dei limiti consentiti dal Titolo XII del T. U. Privacy, ovvero facendo un uso non essenziale dei dati, in riferimento alla notizia trattata. Questa nuova zona di impunità per il giornalismo, accolta comunque con soddisfazione da chi ha a cuore la libertà di stampa, deve necessariamente essere stata voluta dal legislatore, non potendosi minimamente immaginare che sia invece il frutto di una svista.
In conclusione, deve aggiungersi che la consumazione del reato di cui all’articolo 167 T. U. Privacy è (ed era) sorretta dal dolo specifico in quanto è richiesto che la volontà del soggetto agente sia connotata dal porsi – alternativamente – lo scopo del profitto o del danno, pur non occorrendo che tale fine venga effettivamente conseguito (cfr. Cass. pen., Sez. III, 13.3.2019, n. 20013). Quindi, se ne dovrebbe dedurre, a fortiori, la non automatica applicabilità del reato base alla funzione giornalistica (che è cosa diversa dal mestiere di giornalista), per sua natura mossa normalmente da motivazioni diverse da quelle del profitto, che riguardano principalmente l’editore, o del danno, che invece riguardano fenomeni patologici più consoni al dossieraggio criminale che non al giornalismo vero e proprio.
Andrea Di Pietro,
Coordinatore Sportello Legale di Ossigeno
Lascia un Commento
Vuoi partecipare alla discussione?Sentitevi liberi di contribuire!