Decreto Legge 93/2013: nuove responsabilità degli enti in caso di illeciti in materia di violazioni dati personali

Il recente D.L.93/2013 ‘Disposizioni urgenti in materia di sicurezza e per il contrasto della violenza di genere, nonche’ in tema di protezione civile e di commissariamento delle province’ ha “movimentato” questa parte finale dell’estate individuando una serie di sanzioni penali e pecuniarie che vanno a incrementare il nostro patrimonio normativo, già peraltro assai nutrito.

La nostra attenzione si è fermata su quelle parti relative alla cd.” Tutela della privacy”, che si rinvengono nell’art. 9 del suddetto D.L. 93/2013. Peraltro l’art. 9 è intitolato “Frode informatica commessa con sostituzione di identità digitale” ed infatti il comma 1) modifica l’art. 640 ter c.p. (Frode informatica) comminando la pena della reclusione da due a sei anni e della multa da E. 600 a E. 3.000 se il fatto è commesso con sostituzione dell’identità digitale in danno di uno o più soggetti.

Al secondo comma tuttavia ecco che troviamo la parte che ci riguarda.

Il legislatore, evidentemente sensibile a tutte le problematiche che scaturiscono dalla informatizzazione a volte selvaggia di cui siamo tutti da anni ormai vittime, si aggancia alla struttura dell’apparato sanzionatorio previsto nel Dlgs 231/2001 e vi inserisce alcune ipotesi già previste e punite da normative vigenti. In particolare i delitti di cui agli artt. 55, comma 9, del Dlgs 21.11.2007 n. 231 e di quelli di cui alla Parte III, Titolo III, Capo II del Dlgs 30.06.2003 n. 196 (appunto il cosiddetto Codice Privacy italiano).

Ricordiamo che il Dlgs n. 231/2001 (Disciplina della responsabilità amministrativa delle persone giuridiche ecc.) pone sanzioni anche pesanti a carico degli amministratori delle società per i comportamenti non corretti che ad esse vengano ascritti come indebiti. L’impianto normativo tende a costringere gli enti a porre in essere tutti quegli accertamenti, tutte quelle procedure che possano impedire il verificarsi dei comportamenti ritenuti illegittimi: tra questi ora sono espressamente previsti i casi di delitti di cui al Codice Privacy proprio in virtù dell’art, 9 del D.L. 93/2013.

Esaminiamo qui di seguito brevemente gli aspetti rilevanti per la normativa in materia di protezione dati personali e privacy

Il capo II, titolo III parte III del Dlgs 196/03, è quello intitolato “Illeciti penali” e prevede l’applicazione anche di pene detentive nelle forme della reclusione (art 167, 168, 170) e dell’arresto (art 169) per i comportamenti ivi descritti.

Senza entrare nello specifico possiamo così sintetizzare:

• l’art 167 (Trattamento illecito dei dati) prevede la punizione di chi esegua il trattamento dei dati al di fuori delle ipotesi previste dalla legge come legittime e lecite.

• l’art. 168 (Falsità delle dichiarazioni e notificazioni al Garante) prevede la punizione di chi dichiara il falso al Garante in alcune procedure necessarie e importanti.

• l’art 169 (Misure di sicurezza) prevede la punizione di chi non adotti le misure di sicurezza previste dalla legge in materia di trattamento dati personali.

• l’art. 170 (Inosservanza dei provvedimenti del Garante) punisce la mancata osservanza di quanto disposto dal Garante relativamente ad alcune fattispecie.

L’intenzione del Legislatore appare quindi evidente: il Codice della Privacy va rispettato e a chi non lo osserva debbono essere comminate sanzioni penali e pecuniarie estremamente gravose sotto molteplici aspetti. Ricordiamo infatti che nello stesso CP erano previste sanzioni pecuniarie e penali gravose e certamente con forte impatto deterrente. L’averle aumentate è indice di una precisa volontà non equivocabile di rafforzare la tutele riguardo il trattamento dei dati personali.

Poiché il testo normativo di riferimento (art 9 del D.L. 93/2013) recita “.. dei delitti..” risulterebbe escluso che la recente normativa possa estendersi anche alle ipotesi di quanto previsto nell’art 169 violazione misure di sicurezza) la cui violazione comporta la pena dell’arresto ed è pertanto una contravvenzione e non un delitto. Questa constatazione è altresì supportata dai commenti della Corte di Cassazione esposti sull’argomento con la sua recentissima Relazione n. III/01/2013, ove è espressamente posta l’attenzione per le fattispecie di trattamento illecito dei dati (art. 167), le falsità nelle dichiarazioni notificazioni al Garante (art. 168) e l’ inosservanza dei provvedimenti del Garante (art. 170).

Per quanto concerne le violazioni di cui all’art 170 in particolare, l’art. 9 del D.L. 93/2013 rende ora ancor più gravi per le aziende gli eventi di falsità in caso di notificazioni riguardo la “violazione dei dati personali” nel settore dei servizi di comunicazioni elettroniche accessibili al pubblico [l’art 170 è stato oggetto di aggiornamento con il Dlgs 69/12, in recepimento della direttiva europea 2009/136/CE, che tra l’altro ha introdotto importanti prescrizioni e sanzioni proprio in materia di violazione dei dati personali, oggetto anche di specifico provvedimento del Garante (“Data Breach” del 4 aprile 2013) ed ora di apposito e recentissimo regolamento EU¹].

Comunque e più in generale questo intervento normativo, come la stessa Corte di Cassazione rileva con il suo commento, risulta “di grande impatto, soprattutto per la configurazione della responsabilità da reato degli enti per l’illecito trattamento dei dati, violazione potenzialmente in grado di interessare l’intera platea delle società commerciali e delle associazioni private soggette alle disposizioni del d.lgs. n. 231/2001.”