Via Gavinana 6
21052 Busto Arsizio
Tel: 0331/634132
Fax: 0331/679422
C.f. CNDNRC65H21B300S
P.Iva: 01606100129

Pagina Principale
Lo staff
Materie Trattate
Chi siamo
Utilità - Iscrizioni - Area Riservata
Articoli anni 2017-2018

Privacy e cloud: problemi e soluzioni 14, 12 2018
Salta il Jobs act: incostituzionale 11, 12 2018
Privacy: le sanzioni civili e penali 30, 11 2018
Gdpr: il registro di trattamento 19, 11 2018
Appalto – responsabilità da subappalto – indennità da ferie – non spetta 19, 10 2018
La nuova Privacy: un moloch sconosciuto 17, 3 2018
Condominio: morosi e distacco dei servizi 4, 12 2017
Spazi comuni condominiali e loro uso 1, 10 2017
Mantenimento dei figli 29, 9 2017
Antenna - posizionamento su proprietà altrui - limiti 14, 9 2017
Pubblicità porta a porta: no a divieti comunali 25, 7 2017
Divorzio: nuovi criteri per l'assegno 16, 7 2017
Intercettati i colloqui col difensore 19, 5 2017
Distacco dal riscaldamento condominiale 24, 3 2017
Competenza in materia di illeciti via internet 24, 3 2017
Zorro è protetto dal diritto d'autore fino al 2028 1, 1 1970
hanno visto questa sezione:
visitatori dal 1 gennaio 2010
.

Privacy: le sanzioni civili e penali



Il nuovo regime sanzionatorio dal combinato disposto fra il Gdpr ed il novellato Codice Privacy


Il D.Lgs. 10 agosto 2018, n. 101, pubblicato sulla Gazzetta Ufficiale n.205 del 4-9-2018
ha significativamente modificato il 'vecchio' codice della 'privacy' antecedente all'entrata in vigore del Regolamento UE 679/2016 (GDPR).
Con questo articolo trattiamo le modifiche apportate al sistema sanzionatorio, che complica notevolmente il lineare quadro di norme previste nel GDPR.
1 - Le sanzioni amministrative 'Europee'
La norma Europea, di semplice fattura, si limita a prevedere un sistema di - sia pur pesanti - sanzioni di tipo amministrativo.
Il legislatore nazionale ha invece introdotto, o semplicemente confermato, molte sanzioni di tipo ance penale. Il primo dei problemi che l'interprete deve porsi dunque è: come si integrano il GDPR e la normativa nazionale ?
Il Regolamento Europeo ha apportato significative novità, in vigore definitivamente dal 25 maggio 2018.
Le norme sanzionatorie chiave sono rappresentate dall’art. 83 del Regolamento, che prevede due macro-categorie di sanzioni amministrative.
La prima categoria prevede sanzioni pecuniarie fino a € 10.000.000 o, se superiore, fino al 2 % del fatturato mondiale totale annuo dell'esercizio precedente.
La seconda categoria, relativa a violazioni di maggiore gravità, prevede sanzioni fino ad € 20.000.000, se superiore, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente.
Il quadro sanzionatorio del GDPR è sicuramente molto positivo se si guardano gli aspetti pratici che esso risolve.
In primo luogo esso è semplice e chiaro: in una sola norma contiene tutto ciò che occorre.
In secondo luogo, la soglia massima determinabile sulla base del fatturato mondiale è un ottimo deterrente per i cosiddetti 'big players', ossia le grandi aziende della comunicazione, per le quali anche sanzioni milionarie possono essere modeste se raffrontate al loro volume d'affari e, quindi, potenzialmente non idonee a rappresentare un buon deterrente.
In terzo luogo, esse non prevedono un minimo edittale, il che le rende particolarmente elastiche e adattabili anche alle mini e micro imprese le quali, diversamente, potrebbero dover affrontare sanzioni spropositate rispetto al loro volume d'affari.

2 - Le sanzioni amministrative nazionali
A fronte di un quadro semplice ed efficace, almeno potenzialmente, come quello descritto, il legislatore nazionale ha affiancato una congerie di complesse e numerose norme, contenute nella Parte III, Titolo III del 'Codice Privacy', come modificato dal Decreto legislativo 101 del 2018.
Le norme sanzionatorie del Codice sono rappresentate dall' articolo 166 (i criteri di applicazione e procedimenti di adozione delle sanzioni amministrative pecuniarie), nonchè gli articoli 167, 167-bis, 167-ter, 168, 170, 171 e 172, (relativi agli illeciti di natura penale).
Veniamo dunque all'esame delle sanzioni amministrative di cui all’art. 166 novellato del codice.
Anzitutto, l’articolo si suddivide in due macro parti:
- una prima (commi 1 e 2) atta a precisare i due tipi di sanzione previsti dall'articolo 83 del Gdpr, ed in ciò si deve dar merito di una tipizzazione delle sanzioni migliore e più precisa rispetto alle generiche definizioni del GDPR.
- una seconda (commi da 3 a 10) contiene le norme di procedura necessarie per l’adozione dei provvedimenti correttivi e sanzionatori, fra l'altro confermando nel Garante l’autorità competente all'emanazione delle sanzioni. Ed anche questa seconda parte appare utile a meglio regolamentare il processo sanzionatorio.
Esaminiamo dunque la 'tipizzazione' degli illeciti amministrativi fatta dal nostro legislatore.

I - Sanzioni fino a 10 milioni o 2 % del fatturato per la violazione concernenti trattamenti o adempimenti in materia di:
• informativa con linguaggio semplificato rilasciata ai minori di quattordici anni in occasione dell’offerta diretta di servizi della società dell’informazione (art 2 quinques comma 2).
• trattamenti svolti per l’esecuzione di un compito di interesse pubblico che presentano rischi elevati (art 2-quinquiesdecies)
• tenuta e comunicazione di cartelle cliniche e certificati di assistenza al parto (artt. 92, comma 1, 93, comma 1)
• trattamenti posti in essere dai fornitori di reti pubbliche di comunicazioni o di servizi di comunicazione elettronica accessibili al pubblico (artt. 123, comma 4; 128; 129, comma 2; e 132-ter)
• mancata valutazione di impatto in materia di ricerca medica (art 110 comma 1 prima parte).
• attività di ricerca medica, biomedica ed epidemologica eseguita senza preventiva sottoposizione del programma di ricerca al Garante (art 110 comma 1 terzo periodo)

II - Sanzioni fin a 20 milioni o 4 % del fatturato per la violazione concernenti trattamenti o adempimenti di:
• trattamenti svolti per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri in assenza di norma autorizzatrice, (art. 2-ter)
• raccolta del consenso prestato dai minori di quattordici anni in occasione dell’offerta diretta di servizi della società dell’informazione, (art 2-quinquies, comma 1)
• trattamento di particolari categorie di dati per motivi di interesse pubblico rilevante, al di fuori di quanto autorizzato dalle norme di legge (art. 2-sexies)
• procedure di accesso fisico e logico ai dati genetici, biometrici o relativi alla salute, in violazione dell’art 32 del Regolamento (art. 2-septies, comma 7)
• trattamenti illeciti di dati relativi a condanne penali e reati, (art. 2-octies)
• trattamenti che violano i diritti delle persone decedute, (art. 2-terdecies, commi 1, 2, 3 e 4)
• diffusione di provvedimenti giudiziari contenenti dati personali, (art. 52, commi 4 e 5)
• trattamento illecito di dati sanitari, (artt. 75, 78, 79, 80, 82, 92, comma 2, 93, commi 2 e 3)
• diffusione di dati personali degli studenti non conformi ai limiti di legge, (art. 96)
• trattamenti a fini statistici e di ricerca scientifica, (artt. 99; 100, commi 1, 2 e 4; 101; 105 commi 1, 2 e 4; 110-bis, commi 2 e 3)
• trattamenti illeciti nell’ambito di lavoro, (artt. 111; 111-bis; 116, comma 1)
• trasmissione illecita di banche dati concernenti sinistri (in materia assicurativa) (art. 120 comma 2)
• conservazione o trattamento dati senza consensi o illecite nell’ambito dei servizi di comunicazione elettronica, (artt. 122; 123, commi 1, 2, 3 e 5; 124; 125; 126; 130, commi da 1 a 5; 131; 132; 132-bis, comma 2; 132-quater, 157)
• violazione di misure di garanzia (art. 2-septies)
• violazione di regole deontologiche (art. 2-quater)

III - Le norme procedurali
Anzitutto si conferma la titolarità in capo al garante per l'elevazione delle sanzioni.
Il Garante provvede all'istruttoria e all'adozione si sanzioni in base a tre situazioni tipizzate:
a - a seguito di un reclamo proposto ai sensi dell’art. 77 del Regolamento;
b - a seguito di attività istruttoria, posta in essere su autonoma iniziativa del Garante, in base ai poteri d’indagine previsti dall’art. 58 del GDPR;
c - a seguito di accessi, ispezioni e verifiche svolte in virtù dei poteri di accertamento attribuiti dalla legge.

Il Garante, eseguite le verifiche e valutati i fatti, se ritiene ne sussistano i presupposti, notifica al trasgressore le violazioni accertate.
Entro trenta giorni dalla ricezione della notifica, il titolare (o, eventualmente, il responsabile) del trattamento può presentare scritti difensivi o chiedere di essere sentito dagli uffici del Garante.

Una volta che il provvedimento definitivo è stato emesso, il trasgressore, secondo quanto previsto dall’art. 10 D.Lgs. 150/2011, può - se non ritiene di adeguarsi alle prescrizioni del Garante - proporre ricorso avanti la magistratura, con rito del lavoro.
Qualora, invece, il trasgressore opti per il pagamento della sanzione, essa è ridotta della metà.

Sono previste altresì le sanzioni accessorie - eventuali – costituite dalla pubblicazione dell’ordinanza-ingiunzione sul sito internet del Garante (per intero o per estratto).

3 - Le sanzioni di carattere penale
Il Decreto ha profondamente rimodulato le sanzioni di carattere penale.
Esaminiamole partitamente

Art. 167: trattamento illecito di dati personali.
La norma prevede tre situazioni assoggettate a sanzione penale.
a) la violazione delle norme poste a garanzia dell’interessato nei servizi di comunicazione elettronica. Si tratta dell'ipotesi in cui siano stati trattati illecitamente i dati relativi al traffico (art. 123), i dati relativi all’ubicazione (art. 126), nonché dell'ipotesi in cui siano state inviate comunicazioni indesiderate (spam - art. 130), e l'ipotesi di trattamento compiuto in violazione di provvedimenti adottati del Garante in merito alle modalità di inserimento e successivo utilizzo dei dati personali relativi ai contraenti negli elenchi cartacei o elettronici a disposizione del pubblico (art 129). Tali fattispecie, ai sensi del primo comma del citato articolo 167, prevedono la reclusione da sei mesi ad un anno e sei mesi.

b) Il trattamento dati effettuato in essere in violazione dei principi, specifiche e direttive relative ai dati (una volta definiti ‘sensibili’) chiamati dal Regolamento come “particolari e giudiziari”.
Le norme di richiamo, la cui violazione costituisce reato, sono:
- modalità di trattamento di categorie particolari di dati, necessario per motivi di interesse pubblico rilevante (art 2 sexies)
- modalità di trattamento di dati genetici, biometrici e di salute (art. 2 septies)
- modalità di trattamento di dati concernenti condanne penali e reati (art. 2 octies)
- altre categorie di trattamenti individuate dal Garante in conformità all’ art. 2-quinquiesdecies per i trattamenti svolti in esecuzione di un compito di interesse pubblico che possa presentare rischi elevati.
Si tratta – nel loro complesso – delle fattispecie prevedute dal secondo comma dell’art. 167, che prevede altresì la reclusione da uno a tre anni.

c) Il trasferimento di dati personali al di fuori dello Spazio Economico Europeo, in violazione delle modalità previste dal Regolamento (artt. 45, 46 e 49). La punizione è da uno a tre anni, come indicato nel terzo comma dell’art 167.

Le condotte individuate nei tre commi dell’articolo 167, così come peraltro i successivi articoli 167 bis, 167 ter, sono penalmente perseguibili solo in presenza della specifica volontà di “trarre per sé o per altri profitto ovvero di arrecare danno all’interessato”.

Da ultimo, lo stesso articolo 167 prevede una riduzione di pena qualora, per il medesimo fatto, il Garante abbia già elevato una sanzione e detta sanzione sia stata già pagata dall’imputato/indagato.

Art. 167-bis. La norma tratta la comunicazione e diffusione illecita di dati personali, e si riferisce in particolare al trattamento di dati su larga scala. La pena è piuttosto severa (da uno a sei anni) per i seguenti casi:
“chiunque comunica o diffonde al fine di trarre profitto per sé o altri ovvero al fine di arrecare danno, un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala”.
La norma vale sia per i trattamenti illeciti commessi nell’ambito dei pubblici poteri, sia (e verrebbe da dire: soprattutto !) nell’ipotesi di trattamento effettuato illecitamente a fini privati, utilizzando data bases con modalità non trasparenti o non conformi alla raccolta dei dati stessi, ad esempio in assenza del consenso.

Art. 167-ter. Punisce la acquisizione con mezzi fraudolenti di archivi automatizzati. Si prevede la reclusione da uno a quattro anni.

Art. 168. Punisce chiunque dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, nel corso di un procedimento o di accertamenti dinanzi al Garante. E’ la classica norma protettiva degli interessi dello Stato al buon funzionamento dei propri organi di accertamento. Prevede la reclusione da sei mesi fino a tre anni.
La stessa norma, con la stessa finalità, punisce invece sino ad un anno chiunque intenzionalmente provoca una interruzione o turba la regolarità di un procedimento o degli accertamenti del Garante.

Art. 170. Punisce, con la reclusione da tre mesi a due anni, coloro i quali non osservano i provvedimenti adottati dal Garante. Si tratta principalmente dei poteri attribuiti al Garante dall’art 58 comma 2 lettera f) del Regolamento UE (imporre una limitazione provvisoria o definitiva al trattamento), e dall’art. 2 septies del ‘Codice’ in materia di dati genetici, biometrici o relativi alla salute e, infine, dei poteri generali previsti dall’art. 21, comma 1, del decreto legislativo 101/2018.

Art. 171): violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori
La norma prevede un richiamo agli articoli 4 e 8 della Legge n. 300/1970 (il cosidetto “Statuto dei Lavoratori”) ed in particolare alle previsioni di cui all' art. 38, che prevede “l'ammenda da lire 300.000 (90) a lire 3.000.000 (90) o l'arresto da 15 giorni ad un anno. Nei casi più gravi le pene dell'arresto e dell'ammenda sono applicate congiuntamente. Quando, per le condizioni economiche del reo, l'ammenda stabilita nel primo comma può presumersi inefficace anche se applicata nel massimo, il giudice ha facoltà di aumentarla fino al quintuplo.”
Si tratta essenzialmente delle norme poste a limitazione del controllo a distanza dei lavoratori, che necessita per lo più di preventivo accordo sindacale, (art. 4 l. 300/70) nonché relative al divieto di indagine sulle opinioni religiose, politiche o sindacali dei lavoratori, nonchè il divieto di indagini su aspetti del lavoratore non rilevanti ai fini della valutazione della di lui attitudine professionale (art. 8 L- 300/70).

L’art. 172: Pene accessorie.
La norma prevede che, in caso di condanna per i delitti previsti dal Codice Privacy, si debba pubblicare la sentenza nei modi indicati dall'art. 36 del Codice penale, ossia:
a) mediante affissione della sentenza, anche per estratto,
a1) presso il Comune ove è stata pronunciata,
a2) presso il Comune ove l'illecito è stato commesso
a3) presso il Comune ove il condannato aveva l’ultima residenza,
b) mediante pubblicazione sul sito internet del Ministero della Giustizia.


Copyright © - Riproduzione riservata

Avvocato Enrico Candiani


I video pubblicati dallo studio
Articoli 2000-2005
Articoli 2006-2008
Articoli 2009
Articoli 2010
Articoli 2011
Articoli 2012
Articoli 2013
Articoli 2014
Articoli 2015
Articoli 2016
Articoli 2019
Articoli 2020