Privacy e giornalismo. Come cambia il diritto penale della privacy dopo il GDPR

0

Riproponiamo come già pubblicato su Ossigeno al seguente link

 

Una domanda ricorrente è se in materia di diritto penale della Privacy sia mutato l’impianto normativo con l’avvento del Regolamento dell’Unione Europea n. 679, entrato in vigore dal 24 maggio 2016, ma applicabile dal 25 maggio 2018 (d’ora in poi, per brevità, GDPR: General Data Protection Regulation). In particolare, quale continuità esiste tra le vecchie norme incriminatrici in materia di illecita comunicazione o diffusione dei dati personali e le nuove? Sebbene formalmente confermato nella sua esistenza normativa, in verità il reato oggi previsto dall’art. 167 T. U. Privacy è solo apparentemente uguale alla fattispecie prevista dalla norma vigente prima dell’entrata in vigore della novella introdotta dal D.Lgs n. 101/2018.

  • Dalla direttiva al regolamento nel diritto italiano

Prima che i Paesi europei si dotassero di una normativa uniforme ogni Stato membro aveva la propria legge sulla Privacy di recepimento della Direttiva n. 95/46 e questo produceva un effetto disarmonico riguardo all’implementazione degli standard minimi richiesti dalla Direttiva necessaria per rendere effettiva la tutela della riservatezza dei cittadini.

Fin dal 1996 l’Italia si era dotata di una normativa interna avanzata ed efficace e non ha dovuto stravolgere il proprio impianto giuridico a causa dell’entrata in vigore del GDPR. Va detto, comunque, che il Decreto Legislativo del 30 giugno 2003 n. 196 “Codice in materia di protezione dei dati personali”, succeduto alla legge n. 675/1996, non è stato affatto abrogato a seguito dell’entrata in vigore del GDPR, bensì coordinato e integrato attraverso le modifiche introdotte dal Decreto Legislativo del 10 agosto 2018 n. 101 recante disposizioni per l’adeguamento della normativa nazionale alle nuove norme europee.

Ciò che è stata effettivamente abrogata è, ovviamente, la già citata Direttiva comunitaria n. 95/46/CE la quale, dopo aver ispirato e dato l’avvio a tutte le normative interne dei Paesi in tema di Privacy, lascia il testimone alle nuove norme europee che ne costituiscono l’idealizzazione giuridica, essendo direttamente applicabili in tutti gli Stati membri, senza necessità di legiferare, ma solo di armonizzare le preesistenti norme interne attraverso l’adozione di disposizioni regolamentari, come è accaduto in Italia.

Al vantaggio dell’uniformità normativa su scala europea fanno da contraltare alcune difficoltà interpretative, acuite dalla necessità di trovare le soluzioni giuridiche agli innumerevoli problemi concreti in tema di bilanciamento tra Privacy e interessi contrapposti dovendo applicarecontestualmentesia il GDPR sia il nostro redivivo Codice Privacy, aggiornato dal D.Lgs n. 101/18.

  • Le nuove sanzioni penali dopo il GDPR: erano necessarie?

Tornando invece al focussulle questioni connesse alle incriminazioni penali scaturenti dalla violazione delle nuove norme europee sulla Privacy, va anzitutto detto che il GDPR, in ossequio alla riserva di legge interna in materia penale, nulla prevede sotto tale profilo, lasciando agli Stati membri la possibilità, a seconda del grado di apprezzamento interno del singolo Paese, di integrare e definire il quadro sanzionatorio mediante l’autonoma introduzione di fattispecie penali.

Serve precisare, tuttavia, che l’art. 84 GDPR, prevedendo che “Gli Stati membri stabiliscono le norme relative alle altre sanzioni per le violazioni del presente regolamento in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie …,non fa espresso riferimento all’esigenza di introdurre norme penali, ma al contrario, il tenore dell’ultimo periodo del primo comma della norma in esame lascerebbe intendere il non gradimento del Legislatore europeo con riguardo alla previsione di reati in materia di Privacy, prescrivendo che “Tali sanzioni devono essere effettive, proporzionate e dissuasive.

Ad avviso di chi scrive il diritto penale della Privacy oggi in vigore prevede numerosi anni di carcere che probabilmente non verranno mai applicati in concreto, come ci insegna l’esperienza pregressa legata al nostro Codice. Quindi l’attuale impianto non risulterà né dissuasivo né effettivo e certamente non proporzionato. Non è escluso che in futuro l’Italia venga sanzionata a livello europeo per aver introdotto sanzioni penali esorbitanti e ingiustificate in materia di illecito trattamento dei dati personali. Basti pensare che l’art. 167 bis T. U. Privacy prevede una pena edittale che può arrivare a sei anni di reclusione se i dati oggetto di comunicazione o diffusione riguardano un trattamento automatizzato su larga scala.

Tale sanzione penale, riferendosi a situazioni macroscopiche, seppur pesante, sarebbe astrattamente corretta e ponderata se il GDPR non prevedesse già sanzioni amministrative pecuniarie che possono arrivare a milioni di euro e che concorrono alle norme penali interne. Tanto è vero che il sesto comma dell’art. 167 GDPR – che si applica anche all’art. 167 bis GDPR – prevede che “Quando per lo stesso fatto è stata applicata a norma del presente codice o del Regolamento a carico dell’imputato o dell’ente una sanzione amministrativa pecuniaria dal Garante e questa è stata riscossa, la pena è diminuita. Quindi per uno stesso fatto si verrà condannati in modo pesante e con due sanzioni differenti: amministrativa pecuniaria e penale.

Come si diceva, gli aspetti sanzionatori del GDPR, anche se non di tipo penale, sono comunque di una certa rilevanza: l’art. 58 del Regolamento europeo prevede tutte le possibili sanzioni amministrative non pecuniarie irrogabili direttamente dal Garante della Privacy, mentre le sanzioni amministrative pecuniarie (che possono arrivare a importi pesantissimi) sono previste dall’art. 83 GDPR.

  • Bilanciamento tra privacy e libertà di espressione: prevale il giornalismo?

Un breve approfondimento merita l’art. 85 GDPR, che riguarda il bilanciamento tra il diritto al trattamento dei dati personali e la libertà di espressione e di informazione che ogni Stato membro ha il dovere di conciliare prevedendo esenzioni e deroghe, come effettivamente è stato fatto nell’ambito del novellato Titolo XII del Codice Privacy italiano vigente.

Ebbene, sembrerebbe che in materia penale la maggiore novità delle nuove norme stia nel fatto che mentre prima, ricorrendone tutte le condizioni, si poteva accusare un giornalista del reato di illecita diffusione dei dati personali, con il nuovo art. 167 T. U. Privacy tale possibilità sembra essere finalmente venuta meno. “Sembra”, perché la novità ora accennata risulta ben nascosta tra le pieghe della nuova norma come formulata dall’art. 167 T. U. Privacy.

In estrema sintesi possiamo dire che il vecchio art. 167 T. U. italiano Privacy consentiva la possibilità di estendere l’incriminazione alla tipica situazione in cui il giornalista non avesse fatto buon governo del principio di “essenzialità dell’informazione”. Tale norma richiamava espressamente l’ormai abrogato art. 23 T. U. Privacy sul consenso espresso dell’interessato che, come è noto, non era (e non è) richiesto in materia di trattamento giornalistico dei dati personali purché esso sia eseguito in modo essenziale e funzionale alla notizia oggetto dell’articolo giornalistico.

In assenza di tale presupposto del diritto di cronaca, anche il giornalista poteva commettere il reato di cui all’art. 167 T. U. italiano Privacy. Inoltre, nella nuova formulazione scompaiono i concetti di comunicazione e diffusione generiche (in cui rientravano quasi tutte le condotte tipiche dei giornalisti), essendo ormai previste dal nuovo art. 167 T. U. italiano Privacy solo situazioni specifichedi trattamento illecito, dove non sembra esserci più spazio per l’attività giornalistica. In particolare, oggi commette il reato chiunque opera in violazione di quanto disposto:

  • dall’attuale Codice, con l’art. 123 (dati relativi al traffico riguardanti contraenti ed utenti trattati dal fornitore di una rete pubblica di comunicazioni o di un servizio di comunicazione elettronica accessibile al pubblico); l’art. 126 (dati relativi all’ubicazione diversi dai dati relativi al traffico, riferiti agli utenti o ai contraenti di reti pubbliche di comunicazione o di servizi di comunicazione elettronica accessibili al pubblico); l’art. 130 (sistemi automatizzati di chiamata o di comunicazione di chiamata senza l’intervento di un operatore per l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale), ovvero
  • dal GDPR, con gli artt. 45, 46 e 49 (illecito trasferimento dei dati personali verso un paese terzo o un’organizzazione internazionale); l’art. 9 (dati personali sensibili che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona) e, infine, l’art. 10 (trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza).

Come si è visto, al di fuori di queste specifiche situazioni non sembra esserci più spazio per le condotte illecite scaturenti dal trattamento tipico effettuato dai giornalisti (che, come detto sopra, non necessita del consenso dell’interessato): trattasi della generica diffusione di dati personali non sensibili realizzata al di là dei limiti consentiti dal Titolo XII del T. U. Privacy, ovvero facendo un uso non essenziale dei dati, in riferimento alla notizia trattata. Questa nuova zona di impunità per il giornalismo, accolta comunque con soddisfazione da chi ha a cuore la libertà di Stampa, deve necessariamente essere stata voluta dal Legislatore, non potendosi minimamente immaginare che sia invece il frutto di una svista.

In conclusione, deve aggiungersi che la consumazione del reato di cui all’art. 167 T. U. Privacy è (ed era) sorretta dal dolo specifico in quanto è richiesto che la volontà del soggetto agente sia connotata dal porsi – alternativamente – lo scopo del profitto o del danno, pur non occorrendo che tale fine venga effettivamente conseguito (cfr. Cass. pen., Sez. III, 13.3.2019, n. 20013). Di talché se ne dovrebbe dedurre, a fortiori, la non automatica applicabilità del reato base alla funzione giornalistica (che è cosa diversa dal mestiere di giornalista), per sua natura mossa normalmente da motivazioni diverse da quelle del profitto, che riguardano principalmente l’editore, o del danno, che invece riguardano fenomeni patologici più consoni al dossieraggio criminale che non al giornalismo vero e proprio.

Share this article!
Share.

About Author

Leave A Reply