hronline
     n. 12 anno 2018

Sanzioni Penali e GDPR

di Giovanni Briola

di Giovanni Briola

È stato pubblicato il Decreto Legislativo 18 maggio 2018, n. 51, attuativo della Direttiva comunitaria 2016/680 relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali. Quest'ultima costituisce, assieme al Regolamento Europeo 2016/679 (c.d. GDPR), il nuovo corpus normativo di matrice comunitaria in materia di privacy. Attraverso l'atto di recepimento, il legislatore italiano ha preso posizione sulla tutela penale da accordare al trattamento dei dati personali:questione su cui il GDPR era rimasto necessariamente silente, essendo la previsione delle sanzioni penali materia - almeno per ora - di esclusiva competenza nazionale. Ed invero, l'art. 84 del GDPR attribuisce agli Stati membri il potere di introdurre illeciti penali per le ipotesi di violazione del Regolamento Europeo o di disposizioni interne emanate in conformità alla normativa comunitaria. L'unico limite posto dal Regolamento, al Considerando n. 149, è che l'eventuale previsione di norme incriminatrici non produca violazioni sistematiche del diritto a non essere puniti due volte per il medesimo fatto di reato (c.d. principio del ne bis in idem) sancito dall'art. 50 della Carta dei diritti fondamentali dell'UE e dall'art. 4, Prot. 7 della CEDU. Il legislatore Europeo, istruito dalle vicende processuali verificatesi nel settore del market abuse, è infatti consapevole di aver previsto sanzioni amministrative particolarmente gravi (fino a 10 milioni di euro per le persone fisiche) che la Corte di Strasburgo,sotto la lente dei celebri Engel criteria, potrebbe considerare di natura sostanzialmente penale. Se così fosse, l'applicazione allo stesso soggetto della sanzione "solo formalmente" amministrativa di matrice comunitaria e della sanzione penale di fonte nazionale per il medesimo fatto contrario alla normativa privacy esporrebbe lo Stato a censure della CEDU per violazione del diritto al ne bis in idem. A fronte di questo avvertimento, il Legislatore italiano ha nella sostanza mantenuto l'apparato sanzionatorio penale del d.lgs. 30 giugno 2003, n. 196 (c.d. codice della privacy), salvo l'introduzione della nuova fattispecie di "Inosservanza dei provvedimenti del Garante". Le principali criticità, rispetto al rischio di bis in idem, riguardano i rapporti tra il reato di "trattamento illecito di dati" (art. 43 d.lgs. n. 51/18) e la sanzione amministrativa di cui all'art. 42, comma 1, d.lgs. n. 51/18 per la violazione dell'art. 3 del medesimo decreto, il quale reca i principi applicabili al trattamento dei dati personali. Ad una prima lettura, sembra che lo Stato Italiano abbia deciso di arginare il pericolo di violazioni sistemiche del divieto di doppio giudizio attraverso due modalità: da un lato, ridimensionando fortemente il limite edittale massimo delle sanzioni amministrative rispetto alle indicazioni del Regolamento Europeo; sotto altro profilo, mantenendo all'interno della fattispecie penale elementi, quali il dolo specifico di profitto e di danno e l'evento di nocumento alla persona offesa, che vogliono delimitare l'ambito di applicazione della norma incriminatrice ed evitare sovrapposizioni tra illecito penale e illecito amministrativo. Lo sforzo, per quanto apprezzabile, non scongiura intoto il rischio di violazioni del ne bis in idem, posto che la Corte EDU ed ormai anche la Corte costituzionale hanno in molte occasioni specificato che, ai fini dell'operatività della preclusione del secondo giudizio, è sufficiente che il fatto sia il medesimo sotto il profilonaturalistico, a prescindere del confronto logico-strutturale tra norme. Indispensabile, inoltre, per porre lo Stato al riparo da censure è, secondo le Grande Camera, la previsione di meccanismi di coordinamento tra procedimento penale e amministrativo, nella specie assenti. Per formulare giudizi consapevoli sulla scelta legislativa italiana, non ci resta allora che vedere come il doppio binario sanzionatorio verrà in concreto gestito nelle aule di giustizia.

avv. Giovanni Briola, Avvocato penalista del foro di Milano 

 

  • © 2024 AIDP Via E.Cornalia 26 - 20124 Milano - CF 08230550157 - tel.02/6709558 02/67071293

    Web & Com ®