x

x

Redazione Comitato scientifico Autori Fotografi Partner
Cerca
ABBONAMENTI LOGIN

Decreto legge 30 dicembre 2008 n. 207: in attesa di conversione delle nuove disposizioni in materia di Privacy

Altri articoli dell'autore

Diritto /

Garante Privacy: nuove misure anti-abuso nel telemarketing

Diritto /

Teleselling: lecito l’uso di dati tratti da elenchi antecedenti al 2005

Importanti cambiamenti si affacciano nel settore della tutela della Privacy.

La necessità di rendere più efficace la tutela del diritto alla riservatezza ha spinto infatti il Governo ad adottare una linea legislativa più rigida che si traduce nell’articolo 44 del decreto legge n. 207, varato il 30 dicembre 2008 (di seguito il “Decreto”), ed oggi in fase di conversione.

Il suddetto Decreto da un lato inasprisce le sanzioni previste dal Codice per la protezione dei dati personali (decreto legislativo 30 giugno 2003 n. 196, di seguito il “Codice”), in caso di violazione delle norme dettate in tema di protezione dei dati personali; dall’altro, trasformando le sanzioni di cui agli articoli 167 e 169 del Codice da penali in amministrative, mira a rendere più rapida e decisa la tutela.

La necessità di migliorare il sistema normativo a tutela della riservatezza dell’individuo ha assunto vero e proprio carattere d’urgenza a fronte delle continue e ripetute violazioni della medesima. Ciò è comprovato, d’altra parte, dai numerosi episodi di cui i media si sono ampiamente occupati negli ultimi mesi. L’illecita acquisizione ed uso di dati personali è diventata un’abitudine di cui i cittadini sono quotidianamente vittima. E non parliamo solo del boom che ha interessato i social network che pur sollevano delicate questioni di riservatezza, ma parliamo soprattutto dell’invadenza del mondo del business nelle case degli Italiani. Ricordiamo per esempio lo scandalo che nei mesi scorsi ha coinvolto importanti società operanti nel mondo della telefonia e della televisione, per aver utilizzato dati acquisiti e trattati illecitamente per attività promozionali e pubblicitarie. Gli esempi citati sono soltanto alcuni dei casi che giornalmente si verificano ai danni dei cittadini e l’elemento che purtroppo accomuna la maggior parte delle situazioni lesive è l’inadeguatezza del sistema legislativo e regolamentare sia dal punto di vista della sostanza delle norme sia (e soprattutto) sul piano dell’applicazione delle stesse. Una grave inadeguatezza che si traduce inevitabilmente nell’incapacità di garantire una tutela efficace, reale ed immediata a favore dei soggetti lesi.

In un’ottica dunque di rinvigorimento della disciplina si pone l’articolo 44 del Decreto qui esaminato.

Siffatto Decreto interviene innanzitutto sull’articolo 161 del Codice, prevedendo che in caso di omessa o inidonea informativa all’interessato (articolo 13 del Codice), debba applicarsi una sanzione amministrativa compresa tra i seimila e i trentaseimila euro e ciò sia che la violazione afferisca a dati sensibili sia che riguardi dati comuni.

La seconda modifica concerne invece l’articolo 162 del Codice, nella parte in cui innalza la sanzione amministrativa in caso di cessione dei dati in violazione di quanto previsto dall’articolo 16, comma 1, lettera b), o di altre disposizioni in materia di disciplina del trattamento dei dati personali contenute nel Codice. In particolare, è previsto il pagamento di una somma da diecimila a sessantamila euro.

Parimenti il Decreto raddoppia la sanzione di cui al secondo comma dell’articolo 162 in caso di violazione dell’obbligo di comunicazione di dati sensibili da parte di medici non appositamente designati (articolo 84, comma 1), fissata ora nella misura tra mille e seimila euro.

Fondamentale è inoltre l’inserimento di due nuovi commi nell’articolo 162, in tema di misure minime di sicurezza (articolo 33 del Codice) e trattamento illecito dei dati (articolo 167 del Codice), nonché in tema di inosservanza dei provvedimenti del Garante (articolo 154, comma 1, lettere c) e d)).

Nello specifico, il comma secondo-bis prevede che, in caso di trattamento di dati personali effettuato in violazione delle misure indicate nell’articolo 33 o delle disposizioni indicate nell’articolo 167 del Codice, sia applicata in sede amministrativa la sanzione del pagamento di una somma da ventimila a centoventimila euro, escludendosi, nei casi di cui all’articolo 33, la possibilità di pagamento in misura ridotta.

Il comma secondo-ter prevede invece che in caso di inosservanza dei provvedimenti di prescrizione di misure necessarie o di divieto di cui, rispettivamente, all’articolo 154, comma 1, lettere c) e d), del Codice sia applicata la sanzione del pagamento di una somma compresa tra trentamila centottantamila euro.

Tali ultime previsioni, inserite in un quadro di irrigidimento della disciplina, sono particolarmente significative in quanto forniscono di sanzione l’abituale inosservanza dei provvedimenti del Garante emanati in caso di violazione di norme particolarmente incisive.

Ulteriori modifiche riguardano l’articolo 163 del Codice, concernente la mancata tempestiva notificazione ai sensi degli articoli 37 e 38, ovvero la notifica incompleta, sono sanzionate con il pagamento di una somma da ventimila a centoventimila euro.

Ancora, il Decreto aumenta le sanzioni di cui all’articolo 164 del Codice per le ipotesi di omissione di informazioni o mancata esibizione di documenti richiesti dal Garante ai sensi degli articoli 150, comma 2, e 157, prevedendo una somma compresa tra diecimila e sessantamila euro.

Interessante è altresì l’introduzione dell’articolo 164-bis, che disciplina aggravanti e casi di minore gravità, relative al complesso delle sanzioni di cui al Codice e contemplate dagli articoli 161, 162, 163 e 164. Nella specie, se una delle suddette violazioni è di minore gravità, avuto altresì riguardo alla natura anche economica o sociale dell’attività svolta, i limiti minimi e massimi stabiliti dai medesimi articoli sono applicati in misura pari a due quinti. L’aggravante invece riguarda più violazioni di un’unica o di più disposizioni (escluse quelle previste dagli articoli 162, comma 2, 162-bis e 164) commesse anche in tempi diversi in relazione a banche di dati di particolare rilevanza o dimensioni. In questo caso si applica la sanzione amministrativa del pagamento di una somma da cinquantamila a trecentomila euro, escludendosi il pagamento in misura ridotta. Siffatta sanzione è inoltre raddoppiata, nei limiti minimo e massimo, in altri casi di maggiore gravità e, in particolare, di maggiore rilevanza del pregiudizio per uno o più interessati, ovvero quando la violazione coinvolge numerosi interessati. Infine l’articolo in esame si conclude con la previsione di un possibile aumento della sanzione fino al quadruplo quando la sanzione originariamente prevista possa risultare inefficace in ragione delle condizioni economiche del contravventore.

Da ultimo il Decreto modifica l’articolo 169 del Codice, concernente l’omessa adozione di misure minime di sicurezza di cui all’articolo 33, eliminando il riferimento al pagamento di un’ammenda e lasciando immutata la previsione dell’arresto sino a due anni. In caso adempimento alle prescrizioni del Garante, l’autore del reato è ammesso dal Garante medesimo a pagare una somma pari al quarto del massimo della sanzione stabilita per la violazione amministrativa.

Conclusivamente si può osservare che senza alcun dubbio, almeno sul piano delle norme, dei passi in avanti sono stati fatti. Tuttavia è pur lecito chiedersi che se tali innovazioni si possano giudicare sufficienti, se siano in grado le nuove sanzioni di intimidire realmente le grandi società, che perseverano impunemente nelle loro condotte illecite. E’ proprio a fronte di tale rischio di impunità che si auspica, accanto alla previsione di norme più severe, anche un atteggiamento più rigido e severo da parte di coloro che tali norme sono tenute ad applicare. Soltanto se il sistema normativo sarà sostenuto da una speculare severità del Garante per la Protezione dei dati Personali e dei Giudici, si potrà assistere ad una svolta “reale” nella tutela della Privacy.

Importanti cambiamenti si affacciano nel settore della tutela della Privacy.

La necessità di rendere più efficace la tutela del diritto alla riservatezza ha spinto infatti il Governo ad adottare una linea legislativa più rigida che si traduce nell’articolo 44 del decreto legge n. 207, varato il 30 dicembre 2008 (di seguito il “Decreto”), ed oggi in fase di conversione.

Il suddetto Decreto da un lato inasprisce le sanzioni previste dal Codice per la protezione dei dati personali (decreto legislativo 30 giugno 2003 n. 196, di seguito il “Codice”), in caso di violazione delle norme dettate in tema di protezione dei dati personali; dall’altro, trasformando le sanzioni di cui agli articoli 167 e 169 del Codice da penali in amministrative, mira a rendere più rapida e decisa la tutela.

La necessità di migliorare il sistema normativo a tutela della riservatezza dell’individuo ha assunto vero e proprio carattere d’urgenza a fronte delle continue e ripetute violazioni della medesima. Ciò è comprovato, d’altra parte, dai numerosi episodi di cui i media si sono ampiamente occupati negli ultimi mesi. L’illecita acquisizione ed uso di dati personali è diventata un’abitudine di cui i cittadini sono quotidianamente vittima. E non parliamo solo del boom che ha interessato i social network che pur sollevano delicate questioni di riservatezza, ma parliamo soprattutto dell’invadenza del mondo del business nelle case degli Italiani. Ricordiamo per esempio lo scandalo che nei mesi scorsi ha coinvolto importanti società operanti nel mondo della telefonia e della televisione, per aver utilizzato dati acquisiti e trattati illecitamente per attività promozionali e pubblicitarie. Gli esempi citati sono soltanto alcuni dei casi che giornalmente si verificano ai danni dei cittadini e l’elemento che purtroppo accomuna la maggior parte delle situazioni lesive è l’inadeguatezza del sistema legislativo e regolamentare sia dal punto di vista della sostanza delle norme sia (e soprattutto) sul piano dell’applicazione delle stesse. Una grave inadeguatezza che si traduce inevitabilmente nell’incapacità di garantire una tutela efficace, reale ed immediata a favore dei soggetti lesi.

In un’ottica dunque di rinvigorimento della disciplina si pone l’articolo 44 del Decreto qui esaminato.

Siffatto Decreto interviene innanzitutto sull’articolo 161 del Codice, prevedendo che in caso di omessa o inidonea informativa all’interessato (articolo 13 del Codice), debba applicarsi una sanzione amministrativa compresa tra i seimila e i trentaseimila euro e ciò sia che la violazione afferisca a dati sensibili sia che riguardi dati comuni.

La seconda modifica concerne invece l’articolo 162 del Codice, nella parte in cui innalza la sanzione amministrativa in caso di cessione dei dati in violazione di quanto previsto dall’articolo 16, comma 1, lettera b), o di altre disposizioni in materia di disciplina del trattamento dei dati personali contenute nel Codice. In particolare, è previsto il pagamento di una somma da diecimila a sessantamila euro.

Parimenti il Decreto raddoppia la sanzione di cui al secondo comma dell’articolo 162 in caso di violazione dell’obbligo di comunicazione di dati sensibili da parte di medici non appositamente designati (articolo 84, comma 1), fissata ora nella misura tra mille e seimila euro.

Fondamentale è inoltre l’inserimento di due nuovi commi nell’articolo 162, in tema di misure minime di sicurezza (articolo 33 del Codice) e trattamento illecito dei dati (articolo 167 del Codice), nonché in tema di inosservanza dei provvedimenti del Garante (articolo 154, comma 1, lettere c) e d)).

Nello specifico, il comma secondo-bis prevede che, in caso di trattamento di dati personali effettuato in violazione delle misure indicate nell’articolo 33 o delle disposizioni indicate nell’articolo 167 del Codice, sia applicata in sede amministrativa la sanzione del pagamento di una somma da ventimila a centoventimila euro, escludendosi, nei casi di cui all’articolo 33, la possibilità di pagamento in misura ridotta.

Il comma secondo-ter prevede invece che in caso di inosservanza dei provvedimenti di prescrizione di misure necessarie o di divieto di cui, rispettivamente, all’articolo 154, comma 1, lettere c) e d), del Codice sia applicata la sanzione del pagamento di una somma compresa tra trentamila centottantamila euro.

Tali ultime previsioni, inserite in un quadro di irrigidimento della disciplina, sono particolarmente significative in quanto forniscono di sanzione l’abituale inosservanza dei provvedimenti del Garante emanati in caso di violazione di norme particolarmente incisive.

Ulteriori modifiche riguardano l’articolo 163 del Codice, concernente la mancata tempestiva notificazione ai sensi degli articoli 37 e 38, ovvero la notifica incompleta, sono sanzionate con il pagamento di una somma da ventimila a centoventimila euro.

Ancora, il Decreto aumenta le sanzioni di cui all’articolo 164 del Codice per le ipotesi di omissione di informazioni o mancata esibizione di documenti richiesti dal Garante ai sensi degli articoli 150, comma 2, e 157, prevedendo una somma compresa tra diecimila e sessantamila euro.

Interessante è altresì l’introduzione dell’articolo 164-bis, che disciplina aggravanti e casi di minore gravità, relative al complesso delle sanzioni di cui al Codice e contemplate dagli articoli 161, 162, 163 e 164. Nella specie, se una delle suddette violazioni è di minore gravità, avuto altresì riguardo alla natura anche economica o sociale dell’attività svolta, i limiti minimi e massimi stabiliti dai medesimi articoli sono applicati in misura pari a due quinti. L’aggravante invece riguarda più violazioni di un’unica o di più disposizioni (escluse quelle previste dagli articoli 162, comma 2, 162-bis e 164) commesse anche in tempi diversi in relazione a banche di dati di particolare rilevanza o dimensioni. In questo caso si applica la sanzione amministrativa del pagamento di una somma da cinquantamila a trecentomila euro, escludendosi il pagamento in misura ridotta. Siffatta sanzione è inoltre raddoppiata, nei limiti minimo e massimo, in altri casi di maggiore gravità e, in particolare, di maggiore rilevanza del pregiudizio per uno o più interessati, ovvero quando la violazione coinvolge numerosi interessati. Infine l’articolo in esame si conclude con la previsione di un possibile aumento della sanzione fino al quadruplo quando la sanzione originariamente prevista possa risultare inefficace in ragione delle condizioni economiche del contravventore.

Da ultimo il Decreto modifica l’articolo 169 del Codice, concernente l’omessa adozione di misure minime di sicurezza di cui all’articolo 33, eliminando il riferimento al pagamento di un’ammenda e lasciando immutata la previsione dell’arresto sino a due anni. In caso adempimento alle prescrizioni del Garante, l’autore del reato è ammesso dal Garante medesimo a pagare una somma pari al quarto del massimo della sanzione stabilita per la violazione amministrativa.

Conclusivamente si può osservare che senza alcun dubbio, almeno sul piano delle norme, dei passi in avanti sono stati fatti. Tuttavia è pur lecito chiedersi che se tali innovazioni si possano giudicare sufficienti, se siano in grado le nuove sanzioni di intimidire realmente le grandi società, che perseverano impunemente nelle loro condotte illecite. E’ proprio a fronte di tale rischio di impunità che si auspica, accanto alla previsione di norme più severe, anche un atteggiamento più rigido e severo da parte di coloro che tali norme sono tenute ad applicare. Soltanto se il sistema normativo sarà sostenuto da una speculare severità del Garante per la Protezione dei dati Personali e dei Giudici, si potrà assistere ad una svolta “reale” nella tutela della Privacy.

Articoli più letti su questo argomento

Diritto /

Nuove norme antiriciclaggio: è davvero venuto meno l’obbligo di tenuta dell’archivio unico informatico (aui) e del registro della clientela?

Diritto /

Il contratto di lavoro e il reato di falsità ideologica ex articolo 483 Codice Penale

Diritto /

Licenziamento per giusta causa per Uso di alcol sul posto di lavoro

Newsletter Abbonamenti