La normativa in materia di protezione dei dati personali si è caratterizzata, in particolare con il codice in materia di protezione dei dati personali (d.lgs. n. 196 del 2003), per un sistema sanzionatorio alquanto articolato, sia sul versante amministrativo sia su quello penale.
La caratteristica essenziale delle fattispecie di reato previste dal d.lgs. 196 era riferibile alla loro natura stricto sensu sanzionatoria di norme sul trattamento dei dati personali sancite da altre disposizioni dello stesso decreto, secondo la tecnica legislativa, già adottata nella l. 675 del 1996, dei continui rinvii ai precetti extrapenali di settore, in relazione alla quale si è parlato di “vertigine combinatoria” (Corrias Lucente): significativa, in particolare, la struttura dell’art. 167.
Per quanto poi concerne il bene giuridico tutelato, a fronte di alcune fattispecie – quali segnatamente il trattamento illecito di dati personali di cui all’art. 167 – volte a tutelare in via diretta il diritto alla protezione dei dati personali della vittima (e radicate su condotte idonee a ledere o esporre a pericolo, secondo i casi, tale diritto), la maggior parte delle altre si modellava sul paradigma dei reati di inosservanza o comunque su condotte lesive dell’efficace esercizio dei poteri del Garante, assunto quale bene giuridico da tutelare in via mediata rispetto al diritto alla protezione dei dati personali e ad esso funzionale.
Le novità introdotte dal nuovo quadro giuridico Ue
La disciplina prevista dal d.lgs. 196 è fortemente mutata, anche sotto il profilo sanzionatorio, a seguito dell’entrata in vigore del nuovo quadro giuridico europeo (e, quindi, dei relativi decreti legislativi di recepimento e adeguamento), articolato nel Regolamento generale sulla protezione dei dati (UE) 2016/679 (GDPR) e nella direttiva (UE) 2016/680, inerente i trattamenti per fini di polizia e giustizia penale.
Il nuovo quadro giuridico europeo ha dunque, anzitutto, distinto questi ultimi trattamenti (attratti nell’ambito applicativo della direttiva 2016/680) da tutti gli altri (ai quali si applica il Regolamento 2016/679), delineando in tal modo due diversi sotto-sistemi giuridici reciprocamente integrantisi.
Le norme incriminatrici previste dal d.lgs. 196 sono state quindi sostituite e affiancate da quelle previste dal decreto legislativo di adeguamento al Regolamento 2016/679 e da quelle contenute nel decreto legislativo, n. 51 del 2018 (di recepimento della direttiva 680), che in particolare ha introdotto tre fattispecie delittuose fondate sulla violazione di alcune regole che presiedono al trattamento di dati personali per fini di prevenzione, accertamento, repressione dei reati, nonché di salvaguardia dell’ordine e della sicurezza giustizia penale e polizia.
Tali fattispecie devono – come anticipato – essere lette in combinato disposto con le abrogazioni e le nuove figure di reato previste dal decreto legislativo di adeguamento dell’ordinamento italiano al Regolamento (UE) 2016/679, n….
Se, in linea generale, entrambi i sistemi sanzionatori previsti dai due decreti recepiscono la dicotomia – propria del d.lgs. 196 – delitti lesivi della riservatezza individuale/reati d’inosservanza o comunque lesivi dell’efficiente esercizio dei poteri del Garante, tuttavia ciascuna delle due discipline presenta caratteristiche sue proprie che sottendono scelte di politica criminale diverse. Così, se le fattispecie di reato previste dal d.lgs. 51 del 2018 si allineano maggiormente, nel complesso, alla sistematica propria del d.lgs. 196, le norme incriminatrici introdotte dal decreto di adeguamento al Regolamento se ne discostano in alcuni aspetti, nel segno di una più marcata selettività e residualità dell’intervento penale rispetto a quello sanzionatorio amministrativo.
La disciplina degli illeciti amministrativi
Ciò deriva anche dalle scelte compiute dal legislatore nazionale, nell’ambito dei due decreti, in ordine alla disciplina degli illeciti amministrativi.
Se, infatti, in sede di adeguamento al Regolamento si sono mantenute le cornici edittali previste dalla fonte europea senza alcuna variazione neppure sotto il profilo del massimo, il decreto legislativo n. 51 del 2018 – in assenza di indicazioni stringenti da parte della direttiva – ha invece modulato la comminatoria edittale degli illeciti amministrativi sulle (ben più miti) cornici previste in generale dall’ordinamento interno e, in particolare, dalla legge n. 234 del 2012 per le deleghe previste dalla legge di delegazione europea.
Tali diverse scelte hanno, naturalmente, implicazioni importanti anche in ordine alla tutela penale. A fronte di un sistema sanzionatorio amministrativo particolarmente ampio, rigoroso e caratterizzato da una forte dissuasività (tale da configurare sanzioni para-penali, secondo i criteri della sentenza Cedu 8 giugno 1976 Engel e a.c. Paesi Bassi), è infatti ragionevole ridurre la sfera del penalmente rilevante alle sole condotte effettivamente distinte da quelle idonee a integrare illeciti amministrativi, dotate di una propria caratterizzazione e di un proprio disvalore, per non incorrere nel divieto di bis in idem.
Il rischio di asimmetrie legate al contesto
Ne risulta inevitabilmente una qualche asimmetria, dal momento che condotte analoghe sotto il profilo sostanziale (come ad esempio il trattamento illecito o anche l’inosservanza di provvedimenti del Garante) saranno soggette a discipline diverse, in ragione del contesto in cui il trattamento sia svolto (attività di polizia o giustizia penale, ovvero ogni altro settore), con inevitabili implicazioni anche in ordine al diverso disvalore che caratterizza le rispettive violazioni.
Permane, infine, la caratteristica, già rilevata, della struttura sanzionatoria delle fattispecie, costruite mediante rinvio alle norme sul trattamento la cui violazione integra, appunto, gli estremi del delitto. Tale struttura (di norme penali in bianco) solleva- anche sulla scorta della giurisprudenza della Cedu- talune perplessità in ordine al rispetto del principio di tassatività, nella misura in cui priva il precetto della necessaria determinatezza.
L’esigenza di evitare possibili violazioni del divieto di bis in idem ha, peraltro, suggerito al legislatore una formulazione delle fattispecie penali in senso maggiormente selettivo, così da distinguere le condotte penalmente rilevanti da quelle integranti mero illecito amministrativo. Tale sforzo di distinzione dei reciproci confini tra i due tipi di illecito è più accentuato nell’ambito del decreto di adeguamento al Regolamento, in ragione della maggiore estensione e del particolare rigore che caratterizza gli illeciti amministrativi previsti dal Regolamento stesso.
Non sempre i requisiti introdotti nelle fattispecie incriminatrici a fini selettivi appaiono del tutto condivisibili, come nel caso dei delitti di acquisizione fraudolenta, ovvero comunicazione o diffusione illecita di dati personali oggetto di trattamento su larga scala, che si perfezionano unicamente in presenza di siffatto trattamento. Se tale requisito è volto a limitare la sanzione penale alle sole condotte di carattere “massivo”, così distinte dai corrispondenti illeciti amministrativi, esso solleva tuttavia talune perplessità riguardo il rispetto del principio di determinatezza della norma incriminatrice.
Le novità procedurali
Sotto il profilo procedurale, il decreto ha introdotto – rispetto alle fattispecie penali maggiormente sovrapponibili a quelle integranti violazioni amministrative (artt. 167, 167-bis e 167-ter) – un particolare sistema di coordinamento tra procedimento penale e amministrativo, volto ad attenuare il rischio di configurabilità di bis in idem, pur nel rispetto del principio del contraddittorio che impone l’integrale assunzione delle prove in dibattimento e la loro rivalutazione, da parte del giudice penale, secondo regole di giudizio proprie del procedimento penale.
A tal fine si prevede, quindi, che il Pubblico Ministero informi il Garante senza ritardo quando abbia notizia di taluna delle fattispecie suindicate. Per converso, il Garante è tenuto a trasmettere al Pubblico Ministero, con una relazione motivata, al più tardi al termine dell’attività di accertamento, la documentazione raccolta in tale sede, qualora emergano elementi tali da far presumere la sussistenza di un reato.
Infine, si introduce una sorta di correttivo volto a garantire un temperamento necessario a limitare (nell’ottica del ne bis in idem) il carico afflittivo della convergenza tra sanzione penale e amministrativa, prevedendosi che, qualora per lo stesso fatto sia stata applicata e riscossa una sanzione amministrativa pecuniaria dal Garante, la pena per il reato che si dovesse ravvisare sia diminuita.
Si tratta della trasposizione, pur con differenze non irrilevanti, del meccanismo sancito dalla norma di cui all’art. 187-terdecies del d.lgs. n. 58 del 1998, che limita l’esazione della pena pecuniaria “alla parte eccedente quella riscossa dall’Autorità amministrativa”.
La differenza essenziale della fattispecie in esame rispetto a quella del testo unico in materia di intermediazione finanziaria consiste nel fatto che, diversamente da questa, non prevede quale sanzione penale quella pecuniaria, difettando in tal modo quella omogeneità tra sanzione penale e amministrativa pecuniaria che consente un simile ragguaglio (profilo, questo, considerato tanto dal parere del Garante quanto da quello delle Commissioni parlamentari).
Inoltre, proprio in ragione della difformità tra la sanzione penale comminata dall’articolo 167 e la corrispondente sanzione amministrativa, l’apprezzamento previsto dalla norma in sede penale andrà svolto in fase di cognizione (essendo la relativa diminuzione non fissa ma oscillante negli ordinari margini delle diminuenti), non già di esecuzione.
Il condizionamento – previsto dalla norma nei termini anzidetti- della decisione giudiziale, da parte della determinazione del Garante, solleva talune perplessità sotto il profilo del rispetto dei principi di autonomia e indipendenza della giurisdizione e della esclusiva soggezione del giudice alla legge, nella misura in cui appunto consente una rilevante limitazione del libero apprezzamento del giudice in ragione di provvedimenti non giudiziari.
