La normativa nazionale in materia di protezione dei dati personali è ormai prossima ad essere adeguata alle disposizioni del Regolamento Generale sulla Protezione dei dati Personali (GDPR). Come prevedibile, uno dei temi al centro del dibatto riguarda il quadro sanzionatorio che dovrebbe emergere da questo processo di adattamento, ed il ruolo che all’interno dello stesso occuperanno le sanzioni penali. Ecco alcuni spunti di riflessione per valutare se e quando imporre (o eliminare) le sanzioni penali in materia di privacy.
L’adozione del Regolamento Generale sulla Protezione dei dati Personali (GDPR) ha imposto al legislatore italiano la scelta quasi obbligata di procedere al riassetto della normativa nazionale in materia di protezione dei dati personali. Per espressa previsione del nostro legislatore, uno degli aspetti centrali di questo riassetto normativo riguarda il trattamento sanzionatorio da riservare alle violazioni del Regolamento. La legge di delegazione europea 2016-2017 ha infatti imposto al Governo di provvedere ad un adeguamento del “sistema sanzionatorio penale e amministrativo vigente alle disposizioni [del GDPR] con previsione di sanzioni penali e amministrative efficaci, dissuasive e proporzionate alla gravità della violazione delle disposizioni stesse”. Ciò ha inevitabilmente imposto al legislatore delegato di valutare quale sia il ruolo da riservare alle sanzioni penali nel futuro quadro sanzionatorio.
Decreto Gdpr, “perché abbiamo depenalizzato il trattamento illecito di dati personali”
La versione definitiva dello schema di decreto legislativo Gdpr sulla privacy, ossia che adegua il nostro ordinamento al Gdpr, non è stata ancora pubblicata ufficialmente. Tuttavia, la commissione ministeriale che vi ha lavorato ha già evidenziato la scelta di procedere alla depenalizzazione di alcuni reati oggi previsti dal Codice della Privacy, in particolare quelli previsti agli articoli 167 (trattamento illecito di dati) e 169 (misure di sicurezza) del Codice. Altre sanzioni penali previste dal Codice, come quelle di cui all’articolo 168 (falsità nelle dichiarazioni al Garante) verrebbero invece di fatto mantenute in vigore, ma trasposte in un nuovo decreto. Tale scelta, come prevedibile, ha suscitato numerose polemiche. Per portare un po’ di chiarezza, appare opportuno svolgere alcune considerazioni di carattere generale in ordine al ruolo del diritto penale in materia di privacy ed ai principi dal diritto dell’Unione europea applicabili in questo contesto.
Quale ruolo per il diritto penale in materia di privacy?
Quale sia il ruolo da attribuire al diritto penale per la protezione dei dati personali è una domanda che gli addetti ai lavori si sono posti (e si pongono) fin dagli albori del diritto della privacy. Infatti, già un anno prima dell’adozione della Direttiva sulla Privacy 95/46/CE (oggi sostituita dal GDPR) i partecipanti al XV Congresso Internazionale di Diritto Penale si interrogavano su questo tema, senza però arrivare ad una conclusione definitiva. Anzi, ciò che emerse chiaramente nell’ambito del Congresso fu un forte disaccordo sul ruolo da attribuire al diritto penale per la protezione dei dati personali. Per questo motivo, la raccomandazione espressa nella risoluzione adottata alla fine del Congresso fu quella di dare priorità in questo settore a sanzioni di tipo non penale.
La differenza di visioni su questo tema non si è esaurita con l’adozione della Direttiva sulla Privacy. Infatti, la stessa ha lasciato gli Stati membri liberi di decidere quale tipo di sanzioni applicare in caso di violazioni delle proprie disposizioni. In ragione di ciò, alcuni Stati membri, come il Belgio, hanno deciso di imporre sanzioni penali sostanzialmente per qualsiasi violazione della propria normativa nazionale sulla privacy. Altri, come la Repubblica Ceca, hanno invece optato per un regime sanzionatorio esclusivamente fondato sulle sanzioni amministrative. Altri ancora, come l’Italia, hanno optato per un regime ibrido, in parte fondato sulle sanzioni penali ed in parte su quelle amministrative. Questa diversità in materia di sanzioni è destinata a perdurare con l’entrata in vigore del GDPR, visto che lo stesso consente (ma non impone) agli Stati membri di introdurre sanzioni penali in aggiunta a quelle amministrative già fissate dal Regolamento.
Ma quali sono i motivi di tanta reticenza (almeno in alcuni Stati membri) nell’utilizzare il diritto penale a protezione della privacy? In questa sede non è possibile rispondere in maniera esaustiva a questa domanda. Tuttavia, gli ostacoli principali all’introduzione di sanzioni penali in ambito privacy sono rappresentati da due dei principi fondamentali del diritto penale: quello di sussidiarietà e quello di tassatività.
Il principio di sussidiarietà stabilisce che è legittimo ricorrere alla sanzione penale soltanto allorché gli altri rami dell’ordinamento non offrano adeguata tutela ai beni che s’intendono garantire. Ora, come emerso chiaramente nell’ambito del Congresso sopra menzionato, esistono opinioni fortemente contrastanti riguardo all’adeguatezza della tutela garantita dal diritto civile ed amministrativo in materia di privacy. La cautela dimostrata dal legislatore rispetto all’utilizzo di sanzioni penali è quindi giustificata da questo punto di vista.
Il principio di tassatività prevede invece che le fattispecie sanzionate penalmente debbano essere scritte in modo preciso, in modo da consentire ai cittadini di conoscere esattamente quali sono le condotte vietate e sanzionate penalmente. Questa è una caratteristica che spesso manca alle norme in materia di protezione dei dati personali di derivazione europea. Si pensi ad esempio alle norme in materia di misure di sicurezza contenute nell’articolo 32 del GDPR il quale impone l’adozione di “misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio”, senza però specificare in maniera dettagliata quali siano le misure specifiche da adottare, come invece fanno l’articolo 33 e l’allegato B del vigente Codice della Privacy. La compatibilità con il principio di tassatività delle norme sulle misure di sicurezza contenute nel Codice della Privacy (la cui violazione è attualmente sanzionata penalmente dall’articolo 169 del Codice) è stata recentemente confermata dalla Cassazione (si veda la sentenza n. 1986/2014) proprio in ragione del grado di dettaglio delle stesse. Non è però detto che la Corte avrebbe raggiunto la stessa conclusione se le norme sottoposte al suo scrutinio fossero state più simili a quelle oggi previste dell’articolo 32 del GDPR, vista la loro vaghezza. La proposta di depenalizzare l’articolo 169 una volta che le misure di sicurezza oggi in vigore verranno definitivamente sostituite dalle più generiche misure previste dal GDPR appare quindi giustificabile.
Valutare (in poche righe) l’opportunità di depenalizzare in toto le fattispecie attualmente sanzionate penalmente dall’articolo 167 del Codice risulta più complesso. Difatti, si tratta di una norma eterogenea che sanziona penalmente la violazione di un gran numero di disposizioni attualmente contenute nel Codice della Privacy (ad esempio, le regole in materia di consenso, dati sensibili e trasferimento all’estero di dati personali). Tale opportunità andrebbe valutata separatamente per ciascuna delle norme richiamate dall’attuale articolo 167, così come aggiornate dal GDPR.
In questa sede non è possibile procedere ad un tale esercizio, ma è possibile richiamare i criteri sulla base dei quali tale esercizio andrebbe svolto. In primis, vanno richiamati i criteri orientativi per la scelta tra sanzioni penali e sanzioni amministrative di cui alla Circolare della Presidenza del Consiglio dei Ministri del 19 dicembre 1983. In aggiunta, la risoluzione adottata dal XV Congresso Internazionale di Diritto Penale offre ulteriori importanti criteri orientativi. Pur non potendo procedere ad un’analisi dettagliata della depenalizzazione proposta alla luce dei criteri richiamati, appare tuttavia ragionevole ritenere che, vista l’elevatezza delle sanzioni amministrative applicabili a partire dal 25 maggio 2018 in caso di violazione di sostanzialmente tutte le disposizioni richiamate dall’articolo 167, l’applicazione del richiamato principio di sussidiarietà potrebbe, almeno in astratto, giustificare in parte la depenalizzazione proposta. Si potrebbe (e forse dovrebbe) però considerare di mantenere in vita le sanzioni penali previste per le violazioni più gravi oggi richiamate dall’articolo 167, come la diffusione volontaria di dati sensibili. È bene però precisare che è esclusivamente sulla base dei criteri sopra elencati che va valutata l’opportunità di depenalizzare l’articolo 167, e che la stessa non può essere giustificata, come è stato suggerito, esclusivamente sulla base del principio del ne bis in idem richiamato dal considerando 149 del GDPR. Ciò per le ragioni elencate di seguito.
Quali limiti/obblighi impone il diritto dell’Unione in materia di sanzioni?
Mentre il GDPR fissa quali siano le sanzioni amministrative da applicare in caso di violazioni delle proprie disposizioni, il Regolamento lascia liberi gli Stati membri di prevedere sanzioni ulteriori, anche penali. Lo stesso però impone a quegli Stati membri che decidano di imporre ulteriori sanzioni di assicurarsi che le stesse siano “effettive, proporzionate e dissuasive”. L’opportunità di imporre sanzioni amministrative o penali ulteriori rispetto a quelle fissate dal GDPR va quindi valutata anche sulla base di quella che si ritiene possa essere, quantomeno in astratto, la dissuasività delle sanzioni applicabili alle possibili violazioni della normativa sulla privacy che risulterà applicabile in Italia dopo il 25 maggio 2018 (ossia, il GDPR e l’eventuale decreto di adeguamento).
Oltre a fissare questo limite alla libera scelta delle sanzioni aggiuntive che gli Stati membri possono introdurre, il Regolamento ricorda, al considerando 149, che “l’imposizione di sanzioni penali per violazioni di tali norme nazionali e di sanzioni amministrative non dovrebbe essere in contrasto con il principio del ne bis in idem quale interpretato dalla Corte di giustizia”. È quindi fondamentale ricordare come la Corte ha interpretato tale principio. Esemplificativo al riguardo è il caso C-617/10 – Åklagaren nel quale la Corte ha chiarito che il principio del ne bis in idem non osta a che uno Stato membro imponga, per le medesime violazioni (nel caso in questione si trattava di violazioni di obblighi dichiarativi in materia di IVA), una combinazione di sanzioni amministrative e sanzioni penali. Il caso Åklagaren è stato recentemente richiamato dalla Commissione europea proprio per chiarire che il principio del ne bis in idem richiamato dal considerando 149 non preclude agli Stati membri di imporre una combinazione di sanzioni amministrative e penali per le medesime violazioni del GDPR. Pertanto il principio in questione non è di per sé sufficiente a giustificare l’abrogazione dell’Articolo 167 del Codice della Privacy.
In conclusione, a prescindere da qualsiasi valutazione sull’opportunità di procedere all’abrogazione in toto del Codice della Privacy, la depenalizzazione proposta è giustificabile solo qualora si ritenga che le sanzioni amministrative introdotte dal GDPR per ciascuna delle fattispecie interessate dalla depenalizzazione siano sufficientemente dissuasive, non essendo sufficiente fare riferimento a presunti problemi in punto di ne bis in idem.
