Uno dei profili che ha suscitato maggiore clamore mediatico nelle reazioni che hanno accompagnato la pubblicazione dello schema di decreto legislativo GDPR per l’adeguamento della disciplina nazionale al nuovo Regolamento Generale sulla Protezione dei Dati Personali (di seguito, “GDPR” o anche Regolamento”) riguarda l’eliminazione della fattispecie relativa al trattamento illecito di dati personali prevista dall’art. 167 del d.lgs. 196/2003 (Codice della privacy, o “Codice”).
Valutata superficialmente, la scelta – della nostra Commissione ministeriale per l’adeguamento della normativa italiana al GDPR (di cui gli autori di quest’articolo fanno parte, Ndr.) – può apparire avventata, specialmente nel clima rovente scaturito dallo scandalo “Cambridge Analytica” (tuttora incompreso nella sua effettiva e reale portata), che ha visto istituzioni a ogni livello (governi, regolatori, legislatori), talvolta forse inopinatamente, profondere in severi moniti, promettendo sanzioni e maggiori controlli.
Se però l’analisi provasse ad andare oltre una prima lettura superficiale, la valutazione circa la scelta di una tendenziale depenalizzazione potrebbe apparire tutt’altro che avventata.
Almeno per tre ordini di ragioni.
Perché depenalizzare il trattamento illecito dei dati personali
Innanzitutto perché non si tratta di una depenalizzazione di carattere assoluto. La reazione di matrice penalistica da parte dell’ordinamento sopravvive in alcuni casi e potrebbe riemergere in altri che, come si dirà in conclusione, sembrano essere perfettamente in grado di intercettare questioni e disvalori emergenti dal caso, prima richiamato, “Cambridge Analytica”.
In secondo luogo, bisogna riflettere sulla ragione che ha indotto alla previsione dell’art. 167 nella disciplina attualmente in vigore.
Il Codice della privacy, come è noto, ha compiuto una scelta precisa, quella di criminalizzare alcune delle violazioni più rilevanti che possono essere in atto dai titolari del trattamento. Una scelta del tutto legittima in considerazione dell’importanza degli interessi tutelati, sebbene forse non immune, almeno in minima parte, da un certo carico simbolico. Coerente con questa impostazione, del resto, è il dibattito che ha visto avvicinare più volte, pur invano, l’inclusione di alcune fattispecie di reato connesse alla violazione di dati personali al catalogo dei reati presupposto della responsabilità amministrativa da reato dell’ente.
A fianco delle sanzioni penali figurano naturalmente anche sanzioni amministrative, regolate dagli artt. 161 e ss., che paiono maggiormente aderenti – è bene precisarlo sin d’ora – alla particolare natura della disciplina del trattamento di dati personali.
Ebbene, vale la pena ricordare come il ricorso all’art. 167 del Codice si sia rivelato assai limitato nel corso del periodo di vigenza di questa norma: la giurisprudenza formatasi sull’uso di questa norma pare assai poco significativa, segno probabilmente di una scelta non del tutto in armonia con il principio che esige l’intervento del diritto penale quale extrema ratio. Come ricordava la presidente della commissione prof.ssa Finocchiaro in un suo recente articolo, l’istituto ha conosciuto scarsa applicazione da parte della Corte di Cassazione, a parte un caso di risonanza mondiale: Google vs. Vividown. Si fa riferimento alla condanna, in primo grado, di Google nel processo Google vs Vivi Down. Bisogna anche ricordare che la costruzione del giudice di prime cure, con riguardo alla possibile applicazione del 167 del Codice, era stata poi però demolita tanto dalla Corte di Appello di Milano quanto dalla Corte di Cassazione.
Da questo punto di vista, una buona ragione a conforto dell’eliminazione dell’art. 167 (e delle pene ivi contemplate) dal novero dello strumentario sanzionatorio deve dunque ricondursi all’ambito della politica del diritto. Tale opzione sarebbe così perfettamente giustificata anche a prescindere dall’impatto del GDPR sull’ordinamento italiano, a patto di non lasciare ovviamente sguarnite di copertura sanzionatoria le violazioni per le quali l’art. 167 aveva scomodato l’uso del diritto penale.
A fortiori, però, ed è la terza ragione per considerare non solo non avventata ma assai ponderata e convincente la scelta compiuta dalla Commissione relativa alla depenalizzazione della fattispecie prevista dall’attuale art. 167, tale scelta è stata determinata proprio dall’applicazione del nuovo Regolamento, quindi merita dare spazio anche alle motivazioni di ordine più strettamente giuridico che vi sono a fondamento.
Il GDPR, infatti, dedica ampio spazio al tema delle sanzioni (amministrative) pecuniarie all’art. 83, ove ne definisce le condizioni generali per l’irrogazione. Il successivo art. 84 costituisce una norma di carattere residuale, che facoltizza la possibilità per gli Stati membri di introdurre altre sanzioni per le violazioni del Regolamento, che devono essere “effettive, proporzionate e dissuasive”. Ma che, soprattutto, si applicano “in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie a norma dell’articolo 83”. Il messaggio del GDPR appare chiaro: gli Stati membri conservano piena e impregiudicata discrezionalità nella scelta di ricorrere a sanzioni di altro tipo, come quelle penali: non possono, tuttavia, sottoporre a sanzioni diverse violazioni che siano già soggette a sanzioni amministrative.
È dunque evidente l’obiettivo del GDPR: evitare che sul medesimo presupposto si applichino sia una sanzione amministrativa sia una sanzione penale. La ragione di tale preoccupazione si ritrova nel considerando 149 del Regolamento, ove si legge che “l’imposizione di sanzioni penali per violazioni di tali norme nazionali, e di sanzioni amministrative, non dovrebbe essere in contrasto con il principio del ne bis in idem quale interpretato dalla Corte di giustizia”.
Particolarmente forti sono, infatti, le preoccupazioni (e le attenzioni) che le istituzioni europee (compresa la Corte europea dei diritti dell’uomo) manifestano verso questo pericolo, che alimenta non solo il rischio (forse eccessivo) di una sovraesposizione sanzionatoria ma soprattutto quello di una differente valutazione in merito all’esistenza di una violazione.
Lo spettro del ne bis in idem
Occorre registrare, in proposito, che la giurisprudenza delle corti europee, e segnatamente della Corte di giustizia e della Corte europea dei diritti dell’uomo, non esclude rigidamente la compatibilità con il ne bis in idem del doppio binario sanzionatorio. Al contrario, entrambe le corti hanno individuato una serie di parametri cui ancorare l’apprezzamento circa la sussistenza di un rapporto di integrazione ovvero di mera duplicazione tra i due procedimenti. Tra questi parametri, possono essere menzionati: la complementarietà dei due “binari”; la prevedibilità dell’esistenza di un duplice accertamento; il grado di coordinamento tra i due procedimenti, specialmente in fase istruttoria; l’esistenza di meccanismi di compensazione volti a contenere eventuali cumuli sanzionatori. In ogni caso, il sacrificio imposto alle garanzie dell’interessato deve essere valutato alla luce del principio di proporzionalità, che impone il rispetto di un canone di necessità nell’ambito della tutela di un obiettivo di interesse generale.
Stante l’incertezza dei confini del ne bis in idem e la relativa flessibilità dimostrata dalle corti nell’interpretare questo principio (da ultimo nella sentenza Menci della Corte di giustizia, depositata lo scorso 20 marzo), la scelta di escludere la previsione di sanzioni penali appare ispirata a cautela e lungimiranza. Infatti, a una prima analisi, non pare che il confronto con i criteri sopra ricordati restituisca indicazioni univoche e inequivoche circa il rispetto, da parte della normativa italiana in materia, del divieto di ne bis in idem. La Commissione, in particolare, ha valutato che non sussistano né sufficienti meccanismi di raccordo tra i due procedimenti né un’intrinseca eterogeneità tra gli oggetti dei medesimi, che invece sembrerebbero destinati a colpire i medesimi aspetti delle violazioni sanzionate. Tantomeno appare carente qualsiasi espediente che in proposito permetta di differenziare gli ambiti di intervento dei due distinti procedimenti destinati a incardinarsi in relazione alla stessa violazione (il che sarebbe possibile, per esempio, facendo scattare l’intervento penale soltanto in corrispondenza di un certo disvalore della condotta).
È bene puntualizzare, in base a questi presupposti, che le fattispecie per le quali l’art. 167 del Codice prevede l’applicazione di sanzioni penali saranno integralmente coperte, ai sensi dell’art. 83 del GDPR, da sanzioni amministrative (con la sola eccezione del reato di false comunicazioni al Garante). Quale occasione migliore, dunque, poteva porsi al nostro paese per unire le considerazioni di politica del diritto e quelle di stretta interpretazione giuridica?
Gdpr, perché abrogare il Codice Privacy è la scelta migliore e che cosa comporta
Eccesso di delega?
In conclusione, un rilievo a parte merita di essere svolto con riferimento al denunziato eccesso di delega che colpirebbe lo schema di decreto legislativo in riferimento all’abrogazione dell’art. 167, e alla conseguente eliminazione delle sanzioni penali.
Vale la pena ricordare quanto previsto all’art. 13, comma 3, lett. e) della l. 163/2017, laddove si specifica che il governo è delegato ad “adeguare […] il sistema sanzionatorio penale e amministrativo vigente alle disposizioni del regolamento (UE) 2016/679 con previsione di sanzioni penali e amministrative efficaci, dissuasive e proporzionate alla gravità della violazione delle disposizioni stesse”.
Ora, tale previsione, ben lungi dall’imporre un obbligo di criminalizzazione, codifica il potere del governo, in sede di adozione del decreto legislativo, di adottare sanzioni penali e amministrative rispondenti ai criteri di efficacia, dissuasività e proporzionalità. Tale potere va, del resto, coordinato con quanto previsto dal GDPR, che facoltizza il ricorso a sanzioni penali per dare invece certa copertura sanzionatoria (quantomeno a livello amministrativo) a determinate violazioni, elencate all’art. 83. Nemmeno occorre trascurare “lo spirito” di una delega assai ampia: la “missione” affidata al governo è quella, come si evince alla lett. c) della delega, di realizzare un coordinamento tra il GDPR e la disciplina nazionale.
Del resto, si deve tenere in conto l’atteggiamento della Corte costituzionale rispetto alle ipotesi di eccesso di delega. Secondo un principio consolidato nella giurisprudenza della Consulta, infatti, quanto più i principi e i criteri direttivi impartiti dal legislatore delegante sono analitici e dettagliati, tanto più ridotti risultano i margini di discrezionalità lasciati al legislatore delegato. In questa sede, non pare però sussistere un grado di analiticità tale da vincolare il legislatore a un obbligo di risultato corrispondente alla necessaria criminalizzazione.
In conclusione, non sembra superfluo ricordare, perché purtroppo sembra essere stato dimenticato da tanti, che la Commissione non ha esaurito i suoi lavori, che sono stati prorogati fino alla seconda approvazione (quella finale) del decreto legislativo. Tutto ciò in modo da tener conto degli orientamenti e suggerimenti dei vari interlocutori di livello non solo ministeriale ma, evidentemente, anche parlamentare. In questo scenario, potrebbe essere ragionevole riflettere, e lo si sta facendo, sulla possibile previsione di una fattispecie di reato che riadegui lo spirito del 167 al mutato contesto tecnologico e alla nuova stagione del dato personale quale strumento di manipolazione e inquinamento dell’opinione pubblica.
Schema di decreto privacy, rafforzare il diritto al risarcimento del danno
