Trasferimento dati verso paesi terzi: dalle sanzioni amministrative pecuniarie alla reclusione (in Italia)
La versione aggiornata del Codice in materia di protezione dei dati personali italiano (“Codice”) - come integrata per effetto delle modifiche introdotte dal recente D. Lgs. 10 Agosto 2018, n. 101 - prevede una serie di sanzioni penali, riferite a specifiche violazioni di norme contenute nel Codice stesso o nel Regolamento (UE) 2016/679 (“Regolamento”) e tra queste ultime, in particolare, merita attenzione la fattispecie di trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale.
L’articolo 167 (Trattamento illecito di dati), infatti, che apre il Capo II - dedicato agli Illeciti penali - del Titolo III in tema di Sanzioni, al 3° comma così dispone: “Salvo che il fatto costituisca più grave reato, la pena di cui al comma 2 [i.e.: reclusione da uno a tre anni] si applica altresì a chiunque, al fine di trarre per sé o per altri profitto, ovvero di arrecare danno all’interessato, procedendo al trasferimento dei dati personali verso un paese terzo o un’organizzazione internazionale al di fuori dei casi consentiti ai sensi degli articoli 45, 46 o 49 del Regolamento, arreca nocumento all’interessato”.
Si tratta - come si può notare - di una sanzione penale che si aggiunge alla sanzione amministrativa pecuniaria “fino a 20 000 000 EUR, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente se superiore”, applicata a violazioni di specifiche disposizioni del Regolamento, tra cui “i trasferimenti di dati personali a un destinatario in un paese terzo o un’organizzazione internazionale, a norma degli articoli da 44 a 49”.
Il nuovo impianto del Codice, a seguito dell’adeguamento operato per effetto del D. Lgs. 101/2018, presenta, pertanto, un particolare inasprimento sotto il profilo sanzionatorio, applicando, nello specifico, alla violazione delle disposizioni in tema di trasferimento di dati verso paesi terzi - a causa delle conseguenze che potrebbero derivare dalla perdita di controllo dei dati - l’ulteriore sanzione (penale), consistente nella reclusione da uno a tre anni (anche se tale pena potrebbe essere diminuita - ai sensi del comma 6 dell’articolo 167 del vigente Codice - per effetto dell’applicazione per il medesimo fatto di una sanzione amministrativa pecuniaria).
Va, peraltro, rilevato che la determinazione di sanzioni penali da parte del legislatore italiano rappresenta l’esito di un intenso dibattito svoltosi successivamente alla prima bozza di decreto, con cui si era voluto esprimere un segnale di discontinuità, rispetto all’allora vigente Codice, essendo stata rilevata la scarsa applicazione di fattispecie penali quali, ad esempio, il trattamento illecito di dati e in considerazione altresì delle ingenti sanzioni pecuniarie introdotte dal Regolamento, nonché dei possibili contrasti con il principio del ne bis in idem, previsto dall’articolo 50 della Carta dei Diritti Fondamentali dell’UE.
Questa iniziale impostazione era stata, tuttavia, contrastata dal Garante europeo della protezione dei dati, che aveva criticato lo scarso rilievo attribuito alle sanzioni penali, esprimendosi in termini di “grave infortunio normativo”, data la potenziale gravità dei rischi che sarebbero potuti derivare - soprattutto tenendo conto degli sviluppi dell’economia digitale (in particolare, l’evoluzione delle tecnologie di Intelligenza Artificiale, dell’Internet delle cose, i Big Data etc.) - e del relativo impatto sui “diritti e libertà fondamentali delle persone fisiche” (parametro di centrale rilevanza per il Regolamento).
Con riguardo al tema delle sanzioni penali, il vigente Codice costituisce, pertanto, l’esito di tale dibattito e introduce, conseguentemente, fattispecie penali, affrontando, nella Relazione illustrativa, le problematiche legate alla possibile violazione del principio del ne bis in idem. In particolare, in tale Relazione è riportata un’articolata ricostruzione della giurisprudenza delle Corti europee (Corte di Giustizia UE e Corte Europea dei Diritti dell’Uomo) pronunciatesi in merito all’applicazione del principio in questione e sono contenuti, tra l’altro, richiami ad orientamenti giurisprudenziali meno rigidi, favorevoli a “sistemi sanzionatori integrati” e alla legittimità dei cc.dd. “doppi binari sanzionatori”, da valutarsi alla luce del principio di proporzionalità.
È, comunque, il caso di rilevare che si tratta di un aspetto di particolare criticità, per i possibili contrasti con il principio del ne bis in idem e con la ratio delle disposizioni del Regolamento in tema di sanzioni: lo stesso legislatore UE, infatti, nel prevedere sanzioni amministrative pecuniarie (oltretutto, di rilevante entità), si era preoccupato di prevenire il rischio di eccessi sanzionatori da parte dei singoli Stati, disponendo all’Articolo 84 che “Gli Stati membri stabiliscono le norme relative alle altre sanzioni per le violazioni del presente regolamento in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie...”, e comunque rilevando al considerando 149 che: “l’imposizione di sanzioni penali… non dovrebbe essere in contrasto con il principio del ne bis in idem quale interpretato dalla Corte di Giustizia”.
In sintesi, si può ritenere che con il Regolamento il legislatore UE intendesse evitare che gli Stati membri - pur liberi nella determinazione di un quadro sanzionatorio interno - applicassero per una medesima violazione sia una sanzione pecuniaria amministrativa che una sanzione penale.
