Sanzioni privacy ad alta tensione
Non sarà facilissimo il coordinamento tra penale e amministrativo quando sarà in vigore la nuova disciplina a tutela della privacy. Almeno quella prevista dal decreto che adegua il nostro ordinamento giuridico al Regolamento europeo n. 679 del 2016, a sua volta in vigore tra 48 ore. Il problema è che la miscela tra i due ingredienti potrebbe rivelarsi indigesta.
Infatti, se è vero che è stato conservato (e accresciuto) un robusto, quanto a sanzioni, presidio penale per le principali violazioni, tuttavia è stato modificato (pur rimanendo reato di danno) l’elemento soggettivo del delitto, che non è più alternativamente la volontà di trarre profitto o di provocare un danno, ma solo la prima. E c’è già chi sostiene che la diffusione di foto “spinte” senza il consenso dell’interessato, ma per vendetta personale, potrebbe uscirne depenalizzata, come pure quella di altri dati critici come quelli sanitari se non sarà provata la volontà di ricavarne un profitto.
E qualche problema di tassatività, anche se la Corte costituzionale si è sempre dimostrata molto tollerante sul punto, potrebbero averlo anche le altre due disposizioni penali di nuovo conio, quelle che fanno riferimento al numero «rilevante» di persone i cui dati possono essere acquisiti o diffusi illegalmente.
Ma i punti di tensione più forti sono quelli dell’intreccio tra versante penale e amministrativo. Le sanzioni previste dal Regolamento sono fissate solo nel limite massimo, che nei casi meno gravi è individuato in 10 milioni di euro e nei più gravi in 20 milioni di euro. Per le imprese il regolamento prevede sanzioni fino al 2 o al 4% del fatturato. Un quadro sanzionatorio potenzialmente molto più severo rispetto all’attuale. La previsione del solo limite massimo della sanzione amministrativa pecuniaria attribuisce poi ampi margini di discrezionalità al Garante, chiamato a infliggere le sanzioni.
Sanzioni quindi assai severe e di natura “parapenale”, tanto da fare ritenere già nelle prime valutazioni opportuno un aggiustamento del procedimento davanti al Garante, in adesione peraltro a quanto sancito negli ultimi anni dalla Corte europea dei diritti dell’uomo quanto a rispetto dei principi del giusto processo. Rispetto che si deve tradurre in una serie di garanzie procedurali anche solo quando il procedimento potrebbe concludersi con sanzioni formalmente amministrative ma di natura assai pesante.
Tutto da valutare poi il peso del ne bis in idem (sollevato anche dal dossier del Servizio studi della Camera che esamina il decreto di adeguamento al Gdpr); anche qui sul piano sostanziale naturalmente, visto che alcune condotte, dal trasferimento all’estero di dati sensibili, al trattamento di dati giudiziari, al telemarketing, potrebbero rivelarsi suscettibili di una potenziale doppia sanzione. Andrà cioè valutato il peso della previsione del «nocumento» nell’ipotesi base di misura penale, se cioè basta la sua previsione per considerare la norma penale come speciale e quindi prevalente in caso di sovrapposizione con quella amministrativa.
In ogni caso, altri scenari si aprono poi sul Garante, di solito il primo a muoversi di fronte a infrazioni: dovrà evitare di applicare la sanzione e inviare gli atti alla Procura? Oppure dovrebbe essere introdotto un meccanismo di “sonno” della misura amministrativa in attesa di definizione del versante penale?
Al via l’operatività del fondo interprofessionale Innova
di Michele Regina
