la Direttiva UE 680/2016 Articolo 10

(Criterio direttivo per l’attuazione della direttiva (UE) 2016/680 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativa alla protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati e che abroga la decisione quadro 2008/977/GAI del Consiglio)

la Direttiva UE 680/2016 L’articolo 10 individua uno specifico principio al quale il Governo deve attenersi nell’esercitare la delega per l’attuazione della direttiva (UE) 2016/680, in materia di protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati, inclusa la salvaguardia e la prevenzione di minacce alla sicurezza pubblica.

La direttiva (UE) 2016/680(10, adottata il 27 aprile 2016, interviene in materia di protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali, nonché alla libera circolazione di tali dati. Tale direttiva, che deve essere attuata negli ordinamenti degli Stati membri entro il 6 maggio 2018 (salva la possibilità di attuazioni posticipate, secondo quanto specificamente disposto all’articolo 63), abroga la decisione quadro 2008/977/GAI, che ha rappresentato il primo strumento sulla protezione dei dati personali nell’ambito dell’ex Terzo Pilastro.

La direttiva (UE) 2016/680 costituisce insieme al regolamento (UE) 2016/679, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, destinato ad abrogare la direttiva 95/46/CE, e alla direttiva (UE) 2016/681, sull’uso dei dati del codice di prenotazione (PNR)(11) , il c.d. “Pacchetto protezione dati personali”. Tale pacchetto definisce un quadro comune in materia di tutela dei dati personali per tutti gli Stati membri dell’UE. I ricordati atti normativi si inseriscono, più in generale, nel quadro dell’azione del legislatore europeo volta al progressivo rafforzamento dei diritti fondamentali processuali ed extraprocessuali. Si tratta di un percorso iniziato con la Road map del Consiglio del 2009, che si è successivamente esteso anche ad ambiti diversi dai c.d. fair trial rights.

la Direttiva UE 680/2016 Più in particolare, nell’esercizio della delega, il Governo, oltre a dover seguire i principi e criteri direttivi dei cui all’articolo 1, comma 1 (vedi supra), deve prevedere – ferma restando la disciplina sanzionatoria vigente – per le violazioni delle disposizioni adottate a norma della direttiva, fattispecie incriminatrici punite con la pena detentiva non inferiore nel minimo a mesi sei e non superiore nel massimo ad anni cinque.

Come si precisa nella relazione illustrativa e nell’analisi di impatto della regolamentazione (AIR), tale principio di delega risponde all’esigenza di assicurare un’adeguata risposta sanzionatoria per la violazione delle disposizioni che tutelano il diritto alla protezione dei dati personali. Ciò dal momento che la previsione della pena di natura contravvenzionale, nei limiti di cui all’articolo 32 della legge n. 234 del 2012 (Norme generali sulla partecipazione dell’Italia alla formazione e all’attuazione della normativa e delle politiche dell’Unione europea)(12) non solo non risulterebbe idonea a rispettare i principi di effettività, proporzionalità e dissuasione richiesti dall’articolo 57 della direttiva(13, ma non sarebbe neppure coerente con le fattispecie di reato previste e punite dal decreto legislativo n. 196 del 2003, recante codice in materia di protezione dei dati personali (c.d. Codice della privacy).

Con riguardo alla disciplina sanzionatoria vigente in materia di dati personali, il Codice della privacy già prevede sanzioni per le violazioni amministrative e penali alla disciplina del data retention.

la Direttiva UE 680/2016 Più in particolare:

  • gli illeciti amministrativi (artt. 161-164) riguardano: l’omessa o inidonea informativa all’interessato, la cessione dei dati in violazione delle norme, l’omessa o incompleta notificazione, l’omessa informazione o esibizione di documenti richiesti al Garante per la protezione dei dati personali;
  • gli illeciti penali di natura contravvenzionale (artt. 167-171) riguardano invece: il trattamento illecito di dati, le falsità nelle dichiarazioni e notificazioni al Garante, l’omessa adozione delle misure minime di sicurezza, l’inosservanza di provvedimenti del Garante e la violazione di disposizioni volte a tutelare i lavoratori.

Ulteriori fattispecie di reato a tutela dei dati personali sono previste dalla Sezione V (Dei delitti con l’inviolabilità dei segreti), del Capo III, del Titolo XII, del Libro II del codice penale (articoli 616 e seguenti). Infine si segnala il reato di frode informatica di cui all’articolo 640-ter c.p.(14)

Il comma 2 reca, infine, la clausola di neutralità finanziaria, prevedendo, fra l’altro, che le amministrazioni interessate debbano provvedere agli adempimenti previsti dal presente articolo con le risorse umane, strumentali e finanziarie disponibili a legislazione vigente.

la Direttiva UE 680/2016

10) Per un’analisi dettagliata si rinvia alla relativa scheda.

11) Per l’attuazione si rinvia all’articolo 11 del disegno di legge.

12) Articolo 32 (Principi e criteri direttivi generali di delega per l’attuazione del diritto dell’Unione europea) -1. Salvi gli specifici principi e criteri direttivi stabiliti dalla legge di delegazione europea e in aggiunta a quelli contenuti nelle direttive da attuare, i decreti legislativi di cui all’articolo 31 sono informati ai seguenti principi e criteri direttivi generali: …omissis.. d) al di fuori dei casi previsti dalle norme penali vigenti, ove necessario per assicurare l’osservanza delle disposizioni contenute nei decreti legislativi, sono previste sanzioni amministrative e penali per le infrazioni alle disposizioni dei decreti stessi. Le sanzioni penali, nei limiti, rispettivamente, dell’ammenda fino a 150.000 euro e dell’arresto fino a tre anni, sono previste, in via alternativa o congiunta, solo nei casi in cui le infrazioni ledano o espongano a pericolo interessi costituzionalmente protetti. In tali casi sono previste: la pena dell’ammenda alternativa all’arresto per le infrazioni che espongano a pericolo o danneggino l’interesse protetto; la pena dell’arresto congiunta a quella dell’ammenda per le infrazioni che rechino un danno di particolare gravità. Nelle predette ipotesi, in luogo dell’arresto e dell’ammenda, possono essere previste anche le sanzioni alternative di cui agli articoli 53 e seguenti del decreto legislativo 28 agosto 2000, n. 274, e la relativa competenza del giudice di pace. La sanzione amministrativa del pagamento di una somma non inferiore a 150 euro e non superiore a 150.000 euro è prevista per le infrazioni che ledono o espongono a pericolo interessi diversi da quelli indicati dalla presente lettera. Nell’ambito dei limiti minimi e massimi previsti, le sanzioni indicate dalla presente lettera sono determinate nella loro entità, tenendo conto della diversa potenzialità lesiva dell’interesse protetto che ciascuna infrazione presenta in astratto, di specifiche qualità personali del colpevole, comprese quelle che impongono particolari doveri di prevenzione, controllo o vigilanza, nonché del vantaggio patrimoniale che l’infrazione può recare al colpevole ovvero alla persona o all’ente nel cui interesse egli agisce. Ove necessario per assicurare l’osservanza delle disposizioni contenute nei decreti legislativi, sono previste inoltre le sanzioni amministrative accessorie della sospensione fino a sei mesi e, nei casi più gravi, della privazione definitiva di facoltà e diritti derivanti da provvedimenti dell’amministrazione, nonché sanzioni penali accessorie nei limiti stabiliti dal codice penale. Al medesimo fine è prevista la confisca obbligatoria delle cose che servirono o furono destinate a commettere l’illecito amministrativo o il reato previsti dai medesimi decreti legislativi, nel rispetto dei limiti stabiliti dall’articolo 240, terzo e quarto comma, del codice penale e dall’articolo 20 della legge 24 novembre 1981, n. 689, e successive modificazioni. Entro i limiti di pena indicati nella presente lettera sono previste sanzioni anche accessorie identiche a quelle eventualmente già comminate dalle leggi vigenti per violazioni omogenee e di pari offensività rispetto alle infrazioni alle disposizioni dei decreti legislativi. Nelle materie di cui all’articolo 117, quarto comma, della Costituzione, le sanzioni amministrative sono determinate dalle regioni; …omissis…

13) Articolo 57 (Sanzioni) – Gli Stati membri stabiliscono le norme relative alle sanzioni applicabili in caso di violazione delle disposizioni adottate a norma della presente direttiva e adottano tutti i provvedimenti necessari per assicurarne l’applicazione. Le sanzioni previste devono essere effettive, proporzionate e dissuasive.

14) Articolo 640-ter (Frode informatica) – Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da 51 euro a 1.032 euro. La pena è della reclusione da uno a cinque anni e della multa da 309 euro a 1.549 euro se ricorre una delle circostanze previste dal numero 1) del secondo comma dell’articolo 640, ovvero se il fatto è commesso con abuso della qualità di operatore del sistema. La pena è della reclusione da due a sei anni e della multa da euro 600 a euro 3.000 se il fatto è commesso con furto o indebito utilizzo dell’identità digitale in danno di uno o più soggetti.Il delitto è punibile a querela della persona offesa, salvo che ricorra taluna delle circostanze di cui al secondo e terzo comma o un’altra circostanza aggravante.

Richiedi un Appuntamento per adeguarti