Con la sentenza n. 40140 del 1 ottobre 2019, la Sezione feriale della Corte di Cassazione ha rilevato le modifiche all’impianto sanzionatorio previsto dal Codice della privacy, quali introdotte con il D.Lgs. 101/2018.
In particolare, il Supremo Collegio, ha osservato che l’entrata in vigore del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonchè alla libera circolazione di tali dati (d’ora in avanti: Regolamento), ha profondamente innovato la materia, con disposizioni aventi ovviamente diretta ed immediata applicazione nell’ordinamento interno: interessa qui subito evidenziare che il Regolamento ha tra l’altro introdotto (art. 83) un sistema di sanzioni amministrative pecuniarie sia per le violazioni degli obblighi da parte dei soggetti investiti del dovere di garantire l’efficace tutela dei dati personali, sia le violazioni dei principi base del trattamento dei dati stessi (compresi quelli relativi al consenso e ai diritti degli interessati: cfr. artt. 5 ss. del Regolamento).

Quest’ultimo ha peraltro anche rimesso alla potestà sanzionatoria degli Stati membri (art. 84) la possibilità di introdurre ulteriori sanzioni per la violazione di disposizioni diverse da quelle già sanzionate dal Regolamento stesso, facendo espresso riferimento alla possibilità che tali ulteriori disposizioni sanzionatorie abbiano natura penale, ed afferiscano a violazione di norme nazionali adottate in virtù ed entro i limiti del Regolamento (cfr. il Considerando n. 149).

In tale quadro, è intervenuta la L. n. 163 del 2017 (legge di delegazione Europea 2016-2017), che ha delegato il Governo ad intervenire sul Codice della Privacy, anche al fine di adeguare il sistema sanzionatorio ivi previsto alla normativa di matrice Europea.

Il legislatore delegato, con il D.Lgs. n. 101 del 2018, ha profondamente modificato il predetto Codice, sia abrogando numerosissime disposizioni ormai superate dall’impianto normativo contenuto nel Regolamento, sia intervenendo in termini assai significativi sull’impianto sanzionatorio.

Sono state infatti introdotte, da un lato, una serie di ulteriori ipotesi di illecito amministrativo per la violazione di alcune disposizioni del Codice, dettagliatamente indicate nel novellato art. 166. D’altro lato – ed è quel che specificamente interessa in questa sede – il D.Lgs. n. 101 ha considerevolmente ridotto l’ambito della risposta sanzionatoria penale: il nuovo testo dell’art. 167 – che nei due commi della previgente formulazione sanzionava anche la violazione delle disposizioni, oggi abrogate, di cui agli artt. 18, 19, 23 (comma 1), 17, 20, 21, 22, 26, 27, 45 (comma 2) – ha tenuto ferma la rilevanza penale solo di alcuni specifici comportamenti.

In particolare, continuano ad essere penalmente sanzionate, ai sensi del comma 1 dell’art. 167, solo le violazioni – purchè sorrette dal dolo specifico di trarre per sè o per altri profitto, o di recare all’interessato un danno, e purchè produttive di “nocumento” a quest’ultimo – delle norme relative al trattamento dei dati relativi al traffico, riguardanti contraenti ed utenti trattati dal fornitore di una rete pubblica di comunicazioni o di un servizio di comunicazione elettronica accessibile al pubblico (cd. tabulati, art. 123 del Codice); al trattamento dei dati relativi all’ubicazione, diversi da quelli relativi al traffico, riguardanti i medesimi soggetti (art. 126); alle cd. comunicazioni indesiderate (art. 130); nonchè le violazioni dei provvedimenti del Garante in tema di inserimento ed utilizzo dei dati personali negli elenchi cartacei o elettronici a disposizione del pubblico (art. 129). Il novellato comma 2 dell’art. 167 punisce altresì, più gravemente, la violazione delle disposizioni in tema di trattamento dei dati sensibili e dei dati giudiziari, mentre le nuove disposizioni introdotte al comma 3 dell’art. 167, all’art. 167-bis e all’art. 167-ter prevedono, rispettivamente, sanzioni penali per la violazione delle disposizioni in tema di trasferimento dei dati personali verso un paese terzo o un’organizzazione internazionale, in tema di comunicazione e diffusione illecite, e di acquisizione fraudolenta, di un archivio automatizzato o di una sua parte sostanziale, che contenga dati personali oggetto di trattamento su larga scala.

In considerazione di tale mutato assetto normativo, è stata quindi annullata la sentenza che aveva condannato un soggetto sulla base di quanto previsto negli artt. 23 (per la mancanza di consenso della persona offesa alla comunicazione a terzi dei codici di accesso per l’utilizzo della carta di credito) e art. 25, comma 1 lett. b), del predetto decreto legislativo 196/2003 (in ragione della comunicazione a terzi dei codici per finalità avulse dalla stipula del contratto): tale condotta non essendo più prevista dalla legge come reato.