Il nuovo Codice Privacy dopo il decreto di adeguamento al GDPR

Dallo scorso 19 settembre è in vigore il Decreto legislativo 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”.

A livello nazionale, la norma di riferimento sul trattamento dei dati personali resta il Codice della Privacy (Decreto legislativo 30 giugno 2003, n. 196), ampiamente rivisitato proprio dal D.Lgs. n. 101/2018, nel tentativo di assicurare continuità e semplificazione nell’applicazione del nuovo Regolamento GDPR.

Sostanziali integrazioni sono state previste nel nuovo Codice Privacy per quanto concerne il quadro sanzionatorio, in linea con quanto disposto dal GDPR: “gli Stati membri stabiliscono le norme relative alle altre sanzioni per le violazioni del presente regolamento in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie a norma dell’articolo 83, e adottano tutti i provvedimenti necessari per assicurarne l’applicazione. Tali sanzioni devono essere effettive, proporzionate e dissuasive.”

Di seguito si riportano tutte le fattispecie di reato (alcune rimaste invariate rispetto al vecchio Codice, altre introdotte dal D.Lgs. n°101/2018) attualmente previste dall’ordinamento nazionale in seguito all’entrata in vigore del decreto di adeguamento al GDPR.

Trattamento illecito dei dati

La nuova formulazione dell’art. 167 del Codice della Privacy continua a punire penalmente chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, violi alcune specifiche disposizioni in materia di trattamento dati (es. violazioni sui requisiti per il trattamento dei dati sensibili o per il trasferimento dati verso paesi terzi o organizzazioni internazionali).

Se, tuttavia, il Garante ha stabilito l’applicazione di una sanzione amministrativa, a norma del Codice Privacy o del Regolamento GDPR, è prevista una diminuzione della pena.

Diffusione illecita di dati oggetto di trattamento su larga scala

L’articolo 167-bis del Codice della Privacy, introdotto dal decreto di adeguamento, definisce una nuova fattispecie di reato, relativa al reato di comunicazione e diffusione illecita di dati personali, attraverso il trasferimento di dati contenuti in un archivio automatizzato o una parte sostanziale dello stesso, in violazione di determinati requisiti normativi. (Es. mancanza del consenso dell’interessato, ove richiesto). Questo reato è punito con la reclusione da uno a sei anni, con diminuzione della pena in caso di applicazione di una sanzione amministrativa.

Acquisizione fraudolenta di dati oggetto di trattamento su larga scala

Il D.Lgs n°101/2018 introduce, con l’articolo 167-ter, anche un’altra fattispecie di reato, con pena da uno a quattro anni di reclusione per chiunque, al fine di trarne profitto per sé o altri o di arrecare danno agli interessati, acquisisca con strumenti fraudolenti un archivio automatizzato o una sua parte sostanziale contenente dati personali oggetto di trattamento su larga scala.

Falsità nelle dichiarazioni al Garante

Il nuovo art. 168 del Codice Privacy conferma come pena la reclusione sino ad un anno per chiunque intenzionalmente cagiona un’interruzione o turba la regolarità di un procedimento dinanzi al Garante o degli accertamenti dallo stesso svolti.”

Inosservanza di provvedimenti del Garante

Con l’entrata in vigore del decreto di adeguamento, è stato previsto il ripristino della pena con reclusione da tre mesi a due anni per coloro che, se tenuti, non osservino un provvedimento adottato dal Garante.

Controlli a distanza e indagini sulle opinioni dei lavoratori

Il nuovo Codice Privacy conferma come reati penalmente punibili la violazione dell’art. 4, c.1 e dell’art. 8 dello Statuto dei lavoratori.

  • L’art. 4 dello Statuto dei Lavoratori è relativo all’utilizzo di strumenti finalizzati al controllo a distanza dei lavoratori (impianti audiovisivi), consentito esclusivamente a scopi organizzativi, produttivi o per la sicurezza del lavoro, previo accordo sindacale o autorizzazione dell’Ispettorato.
  • L’art. 8, invece, vieta le indagini sulle opinioni politiche, religiose o sindacali, oltre che su fatti non rilevanti per la valutazione professionale dei lavoratori.

Reati depenalizzati

Gli altri reati previsti prima dell’entrata in vigore del Codice della Privacy revisionato sono stati depenalizzati. A tal proposito, anche agli illeciti depenalizzati commessi prima del 19 settembre 2018 si applicano le nuove sanzioni amministrative introdotte in attuazione del GDPR, a condizione che il procedimento penale non sia stato già definito con sentenza o con decreto divenuti irrevocabili.

In tali casi, il giudice dovrà revocare la sentenza o il decreto, poichè il fatto non si configura più come reato.

E’ opportuno precisare che, relativamente all’applicazione delle sanzioni, per otto mesi dall’entrata in vigore del. D.Lgs 101/2018 di adeguamento, il Garante della Privacy terrà conto “della prima fase di applicazione”, una misura di ragionevolezza verso le aziende, alle prese con la complessità del nuovo impianto Privacy delineato dal GDPR e dal nuovo Codice.