Nella giornata di mercoledì 19 settembre, è entrato ufficialmente in vigore il D.lgs. 10 agosto 2018, n. 101, che ha apportato numerose modifiche alla disciplina in materia di protezione dei dati personali, contenuta nel Codice della Privacy, D.lgs n. 196 del 2003.
Il decreto ha rimodulato il quadro delle sanzioni penali contenute nel Capo 2 del Titolo III del Codice della Privacy.
E’ stato, innanzitutto, rivisto l’articolo 167 che punisce la condotta di “trattamento illecito di dati”. Il nuovo testo prevede che chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, effettua operazioni di trattamento dei dati in violazione di specifiche disposizioni di legge (in particolare quelle relative al traffico, all’ubicazione e alle comunicazioni indesiderate) e arreca nocumento all’interessato, è punito con la reclusione da sei mesi a un anno e sei mesi.
Il comma 2 prevede un inasprimento di pena (da uno a tre anni di reclusione) in caso di trattamento illecito di dati appartenenti a categorie particolari (sensibili) o dati relativi a condanne penali e reati. Lo stesso trattamento sanzionatorio è previsto dal comma successivo nell’ipotesi di trasferimento dei dati personali verso un paese terzo al di fuori dei casi consentiti ex. artt. 45, 46, o 49 GDPR.
Il decreto introduce una nuova fattispecie di reato all’articolo 167-bis rubricato: Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala. Ai sensi del citato articolo, chiunque comunica o diffonde, al fine di trarre profitto per sé o altri ovvero al fine di arrecare danno, un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala è punito con la reclusione da uno a sei anni.
La medesima pena si applica nei confronti di chi comunica o diffonde, senza consenso, un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala, quando il consenso dell’interessato è richiesto per le operazioni di comunicazione e di diffusione.
Un’ulteriore fattispecie delittuosa è quella di acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala, introdotta dal nuovo art. 167-ter. Questa norma mira a reprimere la condotta di chiunque, al fine di trarne profitto per sé o altri ovvero di arrecare danno, acquisisce con mezzi fraudolenti un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala. La pena prevista è quella della reclusione da uno a quattro anni. Per il perfezionamento di questa fattispecie è previsto un ulteriore elemento rispetto alla condotta di cui all’art. 167-bis, e cioè l’aver acquisito grandi quantitativi di dati con mezzi fraudolenti.
L’articolo 168, rubricato Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio di poteri del Garante, punisce chiunque, in un procedimento o nel corso di accertamenti dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produca atti o documenti falsi. La pena prevista è quella della reclusione da sei mesi a tre anni.
La novità è rappresentata dall’introduzione del comma 2 che punisce, con la reclusione sino ad un anno, chiunque intenzionalmente cagioni un’interruzione o turbi la regolarità di un procedimento dinanzi al Garante o degli accertamenti dallo stesso svolti. Si tratta di una nuova fattispecie di reato, avente la finalità di tutelare l’Autorità del Garante nello svolgimento delle sue funzioni.
Tra le fattispecie di reato, già presenti nel Codice della privacy ma rivisitate a seguito dell’entrata in vigore del decreto, vi sono quelle di Inosservanza di provvedimenti del Garante e la Violazione delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori, previste rispettivamente dagli articoli 170 e 171 del Codice.
Sono state abrogate, invece, le disposizioni dell’articolo 169 in tema di mancata adozione delle Misure minime di sicurezza, così come tutto l’allegato B).
Per ulteriori informazioni, si invitano i lettori a consultare il testo coordinato del Codice, pubblicato dall’Autorità Garante all’indirizzo:
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9042678
