Il quadro delle sanzioni amministrative e penali per violazioni del codice della privacy è stato completamente riformulato dall’art. 44 dal decreto legge 207/2008 (pubblicato sulla Gazzetta Ufficiale del 31 dicembre 2008).

Vengono sensibilmente ritoccati verso l’alto minimi e massimi degli illeciti amministrativi descritti agli articoli 161 (omessa o inidonea informativa), 162 (illegittimi cessione dati e comunicazione dati sanitari), 162 bis (illegittima conservazione dati del traffico telefonico), 163 (omessa o incompleta notificazione) e 164 (omessa collaborazione con il Garante) del Codice della privacy.
Inoltre vengono introdotte fattispecie nuove: illecito amministrativo consistente in violazione delle misure minime di sicurezza e trattamento illecito dei dati (nuovo articolo 162, comma 2-bis) e illecito amministrativo per inosservanza dei provvedimenti di prescrizione di misure necessarie o di divieto (nuovo articolo 162, comma 2-bis).
Il quadro degli interventi si completa con la definizione di fattispecie punite con una sanzione più elevata (casi di maggiore gravità e casi in cui il livello ordinario della sanzione è sproporzionatamente basso rispetto alle condizioni economiche del contravventore), con una sanzione più lieve peri casi di minore gravità e con una disciplina del concorso di contravvenzioni (nuovo articolo 164bis).
Viene, infine, riscritta la disposizione sulla sanzione accessoria della pubblicazione del provvedimento del garante irrogativo della sanzione (diventa facoltativo in tutte le ipotesi e si precisa che le spese sono a carico del contravventore).
Per quanto riguarda le sanzioni penali si assiste a una riscrittura delle sanzioni per il reato di omessa adozione delle misure minime di sicurezza (articolo 169 del codice): eliminazione della sanzione pecuniaria e incremento della somma da pagarsi a titolo di oblazione per ottenere la derubricazione del reato in illecito amministrativo ed estinguere così la fattispecie penale.
L’innalzamento del carico sanzionatorio per questo reato (e anche per il reato di trattamento illecito dei dati personali, di cui all’articolo 167 del codice) si coglie anche abbinando le modifiche della fattispecie penale alla introduzione della collegata pesante fattispecie di illecito amministrativo (articolo 162, comma 2-bis).
Passando al merito degli interventi sanzionatori, la relazione illustrativa del decreto spende più di un argomento per sottolineare che gli incrementi sanzionatori sono contenuti e che la ratio della modifica è dare al garante della privacy uno strumento per adeguare le sanzioni ai singoli casi: un trattamento più severo per le ipotesi di illeciti in concreto di maggiore lesività del fatto anche per la numerosità dei soggetti interessati lesi oltre che a carico di soggetti economicamente forti e per i quali dalla applicazione della sanzione potrà sortire un’efficacia di prevenzione speciale solo se la stessa è molto elevata nel quantum; un trattamento più leggero per le violazione commesse nel corso degli ordinari trattamenti per finalità amministrative e contabili presso piccole e medie imprese o liberi professionisti.
Le misure draconiane dovrebbero essere riservate, invece, ai soggetti pubblici o privati di grandi dimensioni e disponibilità economiche, ai quali sono, ad esempio, riconducibili gravi fatti criminosi di acquisizione e diffusione illecita di dati personali provenienti, per lo più, da delicate infrastrutture critiche quali le banche dati di grandi dimensioni e di particolare rilevanza, e anche i fenomeni di “dossieraggio”. Peraltro va osservato che un appesantimento della punizione si registra anche a carico dei soggetti meritevoli di una attenzione sanzionatoria minore.
Le sanzioni ridotte si calcolano, infatti, in percentuali su ambiti edittali in genere raddoppiati, cosicché diminuire una sanzione aumentate significa rimanere pressappoco a livello iniziale. In sostanza in queste ipotesi il beneficio consiste nel mancato aumento delle sanzioni, ma non in una diminuzione rispetto al valore originario delle sanzioni originarie, già oggetto di critica per la loro eccessività.
Per constatare l’esatta portata dell’intervento legislativo d’urgenza esaminiamo ora alcune ipotesi.
Per la violazione di omessa o inidonea informativa (articolo 13 del codice) si prevede un unico ambito edittale da seimila euro a trentaseimila euro. La sanzione amministrativa per illegittima cessione dei dati personali al momento della cessazione del trattamento (articolo 16, comma 1, lettera b) del codice) passa da cinquemila euro a trentamila euro alla sanzione da diecimila euro a sessantamila euro.
Per la violazione dell'articolo 84 del codice (comunicazione di dati sanitari a soggetti non legittimati) si passa da cinquecento euro a tremila euro alla nuova misura da mille euro a seimila euro. Viene, poi, aggiunto un comma 2-bis all'articolo 162 che prevede, innanzi tutto, sanzioni amministrative, da ventimila euro a centoventimila euro, – aggiuntive alle sanzioni penali - in caso di violazione delle misure minime di sicurezza (violazione articolo 33 del codice) e in caso di trattamento illecito dei dati (articolo 167 del codice).
Altra sanzione amministrativa di nuova introduzione riguarda l’inosservanza dei provvedimenti di prescrizione di misure necessarie o di divieto di trattamento (articolo 154, comma 1, lettere c) e d): si applica in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila euro a centottantamila euro.
Per la violazione dei divieti di conservazione dei dati del traffico telefonico e delle chiamate senza risposta (articolo 162 bis del Codice della privacy) è invariata la sanzione amministrativa pecuniaria da 10.000 euro a 50.000 euro, ma viene soppressa la possibilità di aumentare sino al triplo in ragione delle condizioni economiche dei responsabili della violazione (aumento assorbito dalla disciplina generale sulle fattispecie, per così dire, aggravate). La sanzione amministrativa per omessa o incompleta notificazione al Garante (articoli 37 e seguenti) passa da diecimila euro a sessantamila euro alla sanzione da ventimila euro a centoventimila euro. La sanzione amministrativa per omessa informazione o esibizione al garante (articolo 164 del codice) passa dalla sanzione da quattromila euro a ventiquattromila euro alla sanzione da diecimila euro a sessantamila euro.
Passando alla disciplina generale delle fattispecie attenuate o aggravate (nuovo articolo 164 bis) si potrà una sanzione pari ai due quinti dei minimi e massimi per le violazioni di minore gravità, avuto riguardo alla natura anche economica o sociale dell’attività svolta dal trasgressore (la fattispecie non si applica all’illecito relativo alla conservazione del traffico telefonico). Aumento alla misura doppia di quella iniziale in altri casi di maggiore gravità e, in particolare, di maggiore rilevanza del pregiudizio per uno o più interessati, o quando la violazione coinvolge numerosi interessati.
Le sanzioni possono essere addirittura quadruplicate in relazione alle condizioni economiche del contravventore. Viene, infine, introdotta una disciplina generale del concorso delle contravvenzioni: si applica invece una sanzione da cinquantamila euro a trecentomila euro (senza possibilità di pagamento in misura ridotta), ad eccezione di violazione obblighi di comunicazione dati sanitari, di obblighi di conservazione del traffico e degli obblighi di esibizione documenti al garante e comunque collaborazione con il garante in sede di accertamento e controllo).
Il decreto legge in esame interviene anche sulle sanzioni penali per la violazione delle misure minime di sicurezza. All'articolo 169 del codice viene eliminata la sanzione pecuniaria alternativa a quella detentiva (la pena della contravvenzione è limitata a quella detentiva dell'arresto fino a due anni). Inoltre per il cosiddetto ravvedimento operoso (con derubricazione del fatto a illecito amministrativo, previa esecuzione delle prescrizioni impartite dal Garante) il trasgressore dovrà pagare non più 12.500 euro, ma 30 mila euro (a ciò si aggiunge la sanzione pecuniaria prevista dall’articolo 162, comma 2 bis del codice).