Le nuove sanzioni introdotte nel Codice Privacy e le “misure necessarie”. A cura di Luigi Foglia

Le nuove sanzioni introdotte nel Codice Privacy e le “misure necessarie”


di Luigi Foglia, Digital & Law Department- Studio legale Lisi


 


 


 


Abbiamo avuto modo di osservare e commentare[1] come il Governo con il decreto legge 207/2008 (c.d. “milleproroghe“) abbia apportato alcune importanti modifiche in tema di sanzioni a carico di tutti coloro che violano la normativa privacy o comunque trattano dati personali in maniera illecita.


 


Ma questa non è l’unica novità: il decreto, con l’introduzione dell’art 162 co. 2-ter del Codice Privacy, il quale prevede che “In caso di inosservanza dei provvedimenti di prescrizione di misure  necessarie o di divieto di cui, rispettivamente, all’articolo 154,  comma  1,  lettere  c)  e  d),  è  altresì  applicata in sede amministrativa,  in ogni caso, la sanzione del pagamento di una somma da trentamila euro a centottantamila euro“, individua una sanzione del tutto nuova andando a colmare quello che potrebbe essere definito un vero e proprio vuoto normativo.


Viene, in effetti, introdotta una sanzione specifica per il mancato rispetto delle “misure necessarie” o dei divieti prescritti dal Garante ai sensi dell’art. 154, comma 1 lett. c e d [2] del Codice Privacy.


In caso di inosservanza di tali provvedimenti il Garante aveva fatto più volte ricorso alla sanzione generale prevista dall’art. 170, il quale prevede che “Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi degli articoli 26, comma 2, 90, 150, commi 1 e 2, e 143, comma 1, lettera c), è punito con la reclusione da tre mesi a due anni” finendo, però, per suscitare accese critiche da parte di costituzionalisti e penalisti.


 


In effetti, anche a parere di chi scrive, l’utilizzo delle sanzioni previste dall’art. 170 per punire violazioni di provvedimenti differenti da quelli tassativamente previsti dalla norma costituisce violazione dei principi di legalità e tassatività costituzionalmente posti alla base del nostro diritto penale[3].


L’introduzione di questa nuova sanzione va, quindi, a sanare la spaccatura apertasi tra dottrina e “Authority” e fornisce una sanzione specifica per tutte quelle “misure necessarie” emanate negli anni dal Garante[4] di cui un ultimo esempio risulta essere il Provvedimento sugli Amministratori di Sistema[5].


Le misure da adottare ai sensi di tale provvedimento obbligano, quindi, molte imprese ad adottare particolari accorgimenti entro la fine di aprile 2009 o rischiare di vedersi irrogare una sanzione consistente nel pagamento di una somma da 30.000,00 a 180.000,00 euro. Ma non è tutto: ai sensi del nuovo art. 164 bis, infatti, se il titolare del trattamento gestisce banche dati di particolare rilevanza o dimensioni e nel caso di più violazioni di un’unica o di più disposizioni di cui agli artt. 161, 162, 163 e 164, si corre addirittura il rischio di vedersi applicare una sanzione che può variare tra i 50.000,00 e i 300.000,00 euro, senza possibilità di beneficiare del pagamento in misura ridotta. Se poi la condotta del Titolare è di maggiore gravità o è idonea a cagionare un pregiudizio di maggiore rilevanza o coinvolge più interessati, allora in questi casi le relative sanzioni potrebbero essere raddoppiate o addirittura quadruplicate quando, da un esame del Garante, vengano valutate inefficaci in ragione delle condizioni economiche del contravventore.




[1] Vedi anche Avv. Garrisi G., Manovra di fine anno: raddoppiano le sanzioni privacy per i trasgressori, consultabile all’indirizzo http://www.scint.it/news_new.php?id=1004.



[2] L’art. 154 del Codice Privacy  individua alcuni compiti del Garante e tra questi, alla lettera “c”, si rinviene proprio il compito affidato al Garante di  “prescrivere anche d’ufficio ai titolari del trattamento le misure necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti, ai sensi dell’articolo 143″



[3] Sul punto si veda anche: L. Brunetti, Se L’Authority diventa “autoritaria” ovvero riflessioni sull’art. 170 del codice privacy e sulle sanzioni penali per l’inosservanza di provvedimenti del garante, Forum quaderni costituzionali.



[4] A titolo esemplificativo qui di seguito viene riportato un elenco dei più importanti provvedimenti emanati dal Garante ex art. 154 co.1° lett. c :


Provvedimento 3 febbraio 2005: TV interattiva: misure necessarie ed opportune per un trattamento dei dati conforme alle disposizioni
Provvedimento 24 febbraio 2005: ‘Fidelity card’ e garanzie per i consumatori. Le regole del Garante per i programmi di fidelizzazione
Provvedimento 26 luglio 2005: Le regole per tutelare al riservatezza nei servizi Radiotaxi
Provvedimento 26 luglio 2005: Introduzione di un documento di valutazione ed orientamento, denominato «Portfolio (o cartella) delle competenze individuali»
Provvedimento 30 luglio 2005: Trattamento dei dati sensibili nella pubblica amministrazione
Provvedimento 30 novembre 2005: Liceità, correttezza e pertinenza nell’attività di recupero crediti
Provvedimento 16 febbraio 2006: Servizi telefonici non richiesti: maggiori tutele per i cittadini
Provvedimento 18 maggio 2006: Trattamento di dati personali nell’ambito dell’amministrazione condominiale
Provvedimento 5 marzo 2008: Canone Rai: correttezza nei solleciti agli utenti
Provvedimento 18 settembre 2008: Anagrafe tributaria: sicurezza e accessi
Provvedimento 13 ottobre 2008: trattamento dei dati personali nell’ambito delle attività antidoping
Provvedimento 30 ottobre 2008: Informazioni commerciali: si possono trattare solo dati pertinenti



[5] Lisi A. – Garrisi G. , Le nuove prescrizioni privacy per i titolari del trattamento relativamente alle attribuzioni delle funzioni di Amministratore di Sistema, consultabile all’indirizzo http://www.studiolegalelisi.it/news.php?id=109.

Redazione13 Gennaio 2016