Da qualche giorno circolano alcune bozze del decreto legislativo per l’adeguamento della nostra disciplina sui dati personali al GDPR europeo. Si tratta, va sottolineato, di bozze, dunque di testi non definitivi, da prendere con le pinze anche perché hanno già ricevuto non poche critiche (anche con riferimento alla poca trasparenza dell’operazione).

La cosa che ha colpito subito gli operatori è la prevista abrogazione totale del vigente Codice del 2003 laddove la delega contenuta nella l. 163/2017 imponeva ed impone un più limitato intervento coincidente con l’abrogazione delle sole norme incompatibili con il Regolamento oltre ad altre operazioni di modifica e coordinamento nonché di adeguamento del sistema sanzionatorio amministrativo e penale.

Comprensibile che molti abbiano avanzato dubbi di conformità alla Costituzione, precisamente per eccesso di delega. Pur nell’incertezza della situazione è, però, possibile procedere ad un’analisi delle prime opzioni riguardanti la materia di mia competenza, quella penale.

L’abrogazione totale del Codice comporterebbe senza dubbio l’integrale annullamento delle previsioni penali, dall’art. 167 all’art. 172. In una parola: depenalizzazione. Cosa che ha disorientato parecchi commentatori allarmati soprattutto per la cancellazione del reato di trattamento illecito di dati personali (art. 167).

In realtà, i fatti vanno maggiormente approfonditi, anche ricorrendo alla lettura della preziosissima relazione ministeriale, perché la depenalizzazione sarebbe soltanto parziale in quanto alcune ipotesi cancellate verrebbero riprese dal decreto legislativo.

Due premesse politico-giuridiche. Da tempo è stata esplicitata, in particolare dal Guardasigilli Orlando, una precisa linea di depenalizzazione: si ricordi il d.lgs. 8/2016 con la relativa delega l. 67/2014.

E credo che l’intervento in tema di dati personali vada ricondotto a questa linea, specie considerando che lo stesso GDPR prevede, principalmente, sanzioni amministrative, assai pesanti, relegando il penale a mera eventualità, discrezione dei singoli Paesi.

D’altra parte, penale e amministrativo si avvicinano sempre di più: un lungo cammino che parte dalla l. 689/81 e passa sia dalla disciplina sulla responsabilità di persone giuridiche ed enti in conseguenza di reati cristallizzandosi nella nota sentenza “Grande Stevens” (Corte Europea dei Diritti dell’Uomo del 4 marzo 2014 – Ricorso n. 18640/10 – Grande Stevens e altri c. Italia). Vero è, comunque, che, allo stato, in Italia il procedimento sanzionatorio penale è certamente più garantito di quello amministrativo.

Venendo alla depenalizzazione che ci riguarda oggi, risulterebbero private di rilevanza penale (soltanto) due fattispecie su cinque. E la relazione ci dà delle spiegazioni molto chiare.

Per il reato di trattamento illecito di dati personali (art. 167 del Codice), si osserva che “tale fattispecie, nell’esperienza giurisprudenziale formatasi, ha dimostrato una limitata operatività ed una scarsa aderenza a ipotesi di trattamento illecito realmente significative”. E, in effetti, non sono mancate pronunce (ingiustamente) limitative dell’operatività di una figura delittuosa mai abbastanza capita.

In più, la relazione fa riferimento al divieto di bis in idem rammentato nel considerando 149 (art. 50 Carta dei diritti fondamentali dell’Unione Europea…) con la conseguente scelta esclusiva delle sanzioni amministrative imposte dal Regolamento e ritenute, comunque, più “significative” e “deterrenti”.

Il reato di cui all’art. 169 del Codice, in materia di omissione di misure di sicurezza, verrebbe, invece, meno per ragioni più lineari, per una vera e propria incompatibilità con il Regolamento UE che, non prevedendo più le “misure minime”, priverebbe il reato della sua più intima essenza dell’elemento oggettivo, precisamente l’obbligo di predisporre determinate misure, come minimo.

E veniamo ai reati che sarebbero confermati. Minime modifiche per il reato di “Falsità nelle dichiarazioni e notificazioni al Garante” (art. 168 del Codice vigente e 35, comma 1, della bozza) che ha perso il solo riferimento alle “notifiche” per motivi di coordinamento europeo. Sostanzialmente invariata anche la formula delle violazioni in tema di controllo a distanza (art. 171 del Codice e 61 della bozza) col rinnovato richiamo allo Statuto dei lavoratori.

Infine, verrebbe assai ritoccato il reato di cui all’art. 170 Codice volto, nell’idea della riforma, a punire non tanto l’inosservanza di determinati provvedimento del Garante, bensì la condotta di chi, “intenzionalmente”, “cagiona un’interruzione o turba la regolarità di un procedimento dinanzi al Garante o degli accertamenti dallo stesso svolti“ (art. 35, comma 2, della bozza). Si segnala, peraltro, una sensibile riduzione della pena edittale: da tre mesi a due anni di reclusione nella versione del Codice al massimo di un anno della bozza.

In definitiva, non sembra che la depenalizzazione tratteggiata dalla bozza sia realmente “rivoluzionaria”. Da un lato, come visto, riguarda soltanto due reati. Vero è che potrebbe venire meno il reato più significativo, quello di illecito trattamento, ma lo stesso, come già ricordato, non si è dimostrato così cogente, mentre non si può ignorare il citato divieto di bis in idem.

D’altronde, tutti conosciamo le sanzioni amministrative pecuniarie previste dal GDPR, la cui entità appare tale da essere assai dissuasiva pur in un sistema (quello italiano) non garantito come quello penale.