Vuoi ricevere i nostri aggiornamenti?

Registrati per accedere ai contenuti riservati e iscriverti alla nostra newsletter

Le sanzioni della nuova disciplina privacy

17/07/2020

Il presente lavoro ha come obiettivo quello di raccogliere in maniera sistematica le nuove sanzioni amministrative e penali relative alle protezione dei dati.

L’art. 83 del Reg. UE 2016/679 ha infatti introdotto due livelli di sanzioni amministrative pecuniarie molto rilevanti (art 83 comma 4 - fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell'esercizio precedente; art. 83 comma 5 sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente) definendo altresì le diverse fattispecie sanzionabili. Il D.Lgs 101/2018, che ha modificato il Codice Privacy allo scopo di adeguarlo al nuovo assetto legislativo introdotto dal GDPR, ha - a sua volta - identificato altre fattispecie la cui violazione comporterà l’applicazione delle sanzioni di cui sopra (art. 166 del nuovo Codice Privacy oggi vigente).

Inoltre lo stesso Decreto 101 ha modificato il Codice Privacy introducendo nuove fattispecie sanzionate penalmente (artt. 167-172).

Si è quindi ritenuto opportuno procedere a riordinare tutte le fattispecie oggi sanzionate suddividendole per tipologia di sanzione, in maniera tale da fornire uno strumento operativo facile ed accessibile che dia il quadro di quali sono i possibili rischi sanzionatori.

Solo per scrupolo, si ricorda che oltre alle sanzioni amministrative e penali riportate in questo lavoro, rilevano anche:

l’art. 2-decies che stabilisce l’inutilizzabilità di trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali e

l’art. 82 che stabilisce regole specifiche per il risarcimento danni (in particolare la responsabilità solidate tra contitolari e tra titolare e responsabile).

Buona lettura!


INDICE DEI CONTENUTI
Sanzioni Amministrative - profili giuridici

1. Sanzioni fino a 10.000.000 euro o 2% del fatturato
1.1 Fattispecie previste nel REG UE 2016/679
1.2 Fattispecie previste nel Codice Privacy

2. Sanzioni fino a 20.000.000 euro o 4% del fatturato
2.1 Fattispecie previste nel REG UE 2016/679
2.2 Fattispecie previste nel Codice Privacy

Sanzioni penali - profili giuridici


SANZIONI AMMINISTRATIVE
PROFILI GIURIDICI

Il Reg. UE 2016/679 (GDPR) e il nuovo Codice Privacy prevedono rilevanti sanzioni di natura amministrativa in caso di violazioni della normativa sulla protezione dei dati personali. Più esattamente l’art. 83 del GDPR distingue due gruppi di sanzioni amministrative:

  • le violazioni cosiddette di minore gravità, per le quali sono previste le sanzioni amministrative pecuniarie di importo fino a 10 milioni di euro o, per le imprese fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente
  • le violazioni più gravi in considerazione della maggiore gravità delle fattispecie a cui sono ricondotte, ammontano fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.

Alle fattispecie sanzionabili previste dall’art 83 e suddivise nei due gruppi si aggiungono le fattispecie previste nell’art. 167 del nuovo Codice Privacy.

Sotto gli schemi che riportano le sanzioni suddivise per gravità. Per completezza espositiva si precisa che in alternativa o in aggiunta alle sanzioni sotto riportate, il Garante potrà comminare le altre sanzioni previste dall’art. 58, par. 2 GDPR.

Più esattamente

  • rivolgere avvertimenti al titolare del trattamento o al responsabile del trattamento sul fatto che i trattamenti previsti possono verosimilmente violare le disposizioni del presente regolamento;
  • rivolgere ammonimenti al titolare e del trattamento o al responsabile del trattamento ove i trattamenti abbiano violato le disposizioni del presente regolamento;
  • ingiungere al titolare del trattamento o al responsabile del trattamento di soddisfare le richieste dell'interessato di esercitare i diritti loro derivanti dal presente regolamento;
  • ingiungere al titolare del trattamento o al responsabile del trattamento di conformare i trattamenti alle disposizioni del presente regolamento, se del caso, in una determinata maniera ed entro un determinato termine;
  • ingiungere al titolare del trattamento di comunicare all'interessato una violazione dei dati personali;
  • imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento;
  • ordinare la rettifica, la cancellazione di dati personali o la limitazione del trattamento a norma degli articoli 16, 17 e 18 GDPR e la notificazione di tali misure ai destinatari cui sono stati comunicati i dati personali ai sensi dell'articolo 17, paragrafo 2, e dell'articolo 19 del GDPR (sezione diritti interessati);
  • revocare la certificazione o ingiungere all'organismo di certificazione di ritirare la certificazione rilasciata a norma degli articoli 42 e 43, oppure ingiungere all'organismo di certificazione di non rilasciare la certificazione se i requisiti per la certificazione non sono o non sono più soddisfatti;
  • infliggere una sanzione amministrativa pecuniaria ai sensi dell'articolo 83, in aggiunta alle misure di cui al presente paragrafo, o in luogo di tali misure, in funzione delle circostanze di ogni singolo caso; e
  • ordinare la sospensione dei flussi di dati verso un destinatario in un paese terzo o un'organizzazione internazionale.

Circa l’iter procedurale si precisa quanto segue. Il soggetto deputato all’applicazione delle sanzioni è il Garante Privacy (art. 15, co. 3 del d.lgs. 101/2018).


Il procedimento sanzionatorio può essere avviato nei confronti di soggetti pubblici e privati a seguito:

  • di reclamo ai sensi dell’articolo 77 del Regolamento o
  • di attività istruttoria d’iniziativa del Garante, nell’ambito dell’esercizio dei poteri d’indagine di cui all’articolo 58, paragrafo 1, del Regolamento
  • a seguito di accessi, ispezioni e verifiche svolte in base a poteri di accertamento autonomi, ovvero delegati dal Garante.

Il procedimento per l’adozione dei provvedimenti ex art. 58 e delle sanzioni amministrative inizia con la notifica al titolare o al responsabile del trattamento le presunte violazioni. Entro trenta giorni dal ricevimento di tale notifica il contravventore può inviare al Garante scritti difensivi o documenti e può chiedere di essere sentito.

Il Garante, dopo aver accertato la violazione, sarà chiamato a decidere l’ammontare della sanzione valutando caso per caso la situazione. Nell’assumere questa decisione il Garante ai sensi dell’art. 83 del GDPR dovrà tenere conto dei seguenti elementi:

  • la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l'oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito;
  • il carattere doloso o colposo della violazione;
  • le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;
  • il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32;
  • eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;
  • il grado di cooperazione con l'autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
  • le categorie di dati personali interessate dalla violazione;
  • la maniera in cui l'autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;
  • qualora siano stati precedentemente disposti provvedimenti di cui all'articolo 58, paragrafo 2, nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti;
  • l'adesione ai codici di condotta approvati ai sensi dell'articolo 40 o ai meccanismi di certificazione approvati ai sensi dell'articolo 42; e
  • eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione.

Può inoltre essere applicata la sanzione amministrativa accessoria della pubblicazione dell’ordinanza-ingiunzione, per intero o per estratto, sul sito internet del Garante.

I proventi delle sanzioni, nella misura del cinquanta per cento del totale annuo, sono riassegnati al fondo per le spese di funzionamento del Garante (art. 156, comma 8) per essere destinati alle specifiche attività di sensibilizzazione e di ispezione nonché di attuazione del Regolamento svolte dal Garante.

Nell’adozione dei provvedimenti sanzionatori si osservano, in quanto applicabili, gli articoli da 1 a 9, da 18 a 22 e da 24 a 28 della legge 24 novembre 1981, n. 689.

Molto rilevante notare che l’art. 3 della legge n. 689/1981 prevede che la violazione amministrativa sia applicata anche qualora ricorra solo la colpa dell’agente, con risvolti particolarmente rilevanti sul piano operativo.

Tutte le controversie riguardanti l’applicazione della normativa in materia di protezione dei dati personali, nonché il diritto al risarcimento del danno ai sensi dell’articolo 82 del GDPR, sono attribuite all’autorità giudiziaria ordinaria (art. 152 Codice Privacy) e sono regolate dal rito del Lavoro (art. 10 D.Lgs 150/2011).

Il ricorso avverso i provvedimenti del Garante per la protezione dei dati personali deve essere promosso entro 30 gg dalla data di comunicazione del provvedimento (o 60 gg se il ricorrente risiede all'estero).

Entro tale termine il trasgressore e gli obbligati in solido possono però definire la controversia adeguandosi alle prescrizioni del Garante e mediante il pagamento di un importo pari alla metà della sanzione irrogata.

Infine il Garante è chiamato ad adottare, ai sensi dell’articolo 58, paragrafo 4, del Regolamento, un regolamento con cui definisce le modalità del procedimento per l’adozione dei provvedimenti e delle sanzioni ed i relativi termini, nel rispetto dei principi della piena conoscenza degli atti istruttori, del contraddittorio, della verbalizzazione, nonché della distinzione tra funzioni istruttorie e funzioni decisorie rispetto all’irrogazione della sanzione.

torna all'indice



SANZIONI fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo (art. 83 par 4)


FATTISPECIE PREVISTE NEL REG UE 2016/679

L’articolo 83 del Regolamento 2016/679 prescrive le seguenti sanzioni al paragrafo 4:

In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 10 000 000 EUR, o per le imprese, fino al 2 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore:

  1. gli obblighi del titolare del trattamento e del responsabile del trattamento a norma degli articoli 8, 11, da 25 a 39, 42 e 43;
  2. gli obblighi dell'organismo di certificazione a norma degli articoli 42 e 43;
  3. gli obblighi dell'organismo di controllo a norma dell'articolo 41, paragrafo 4;


Art. 8 - Condizioni applicabili al consenso dei minori in relazione ai servizi della società dell'informazione

Art. 11 - Trattamento che non richiede l’identificazione

Art. 25 - Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita

Art. 26 - Contitolari del trattamento

Art. 27 - Rappresentanti di titolari del trattamento o dei responsabili del trattamento non stabiliti nell'Unione

Art. 28 - Responsabile del trattamento

Art. 29 - Trattamento sotto l'autorità del titolare del trattamento o del responsabile del trattamento

Art. 30 - Registri delle attività di trattamento

Art. 31 - Cooperazione con l’autorità del controllo

Art. 32 - Sicurezza del trattamento

Art. 33 - Notifica di una violazione dei dati personali all'autorità di controllo

Art. 34 - Comunicazione di una violazione dei dati personali all'interessato

Art. 35 - Valutazione d'impatto sulla protezione dei dati

Art. 36 - Consultazione preventiva

Art. 37 - Designazione del responsabile della protezione dei dati

Art. 38 - Posizione del responsabile della protezione dei dati

Art. 39 - Compiti del responsabile della protezione dei dati

Art. 41 - Monitoraggio dei codici di condotta approvati, comma 4

Art. 42 - Certificazione

Art. 43 - Organismi di certificazione



FATTISPECIE PREVISTE NEL CODICE PRIVACY

Art. 2-quinquies - Consenso del minore in relazione ai servizi della società dell’informazione, comma 2

Art. 2-quinquiesdecies - Trattamento che presenta rischi elevati per l’esecuzione di un compito di interesse pubblico

Art. 92 - Cartelle cliniche, comma 1

Art. 93 - Certificato di assistenza al parto, comma 1

Art. 123 - Dati relativi al traffico, comma 4

Art. 128 - Trasferimento automatico della chiamata

Art. 129 - Elenchi dei contraenti, comma 2

Art. 132-ter - Sicurezza del trattamento

torna all'indice


SANZIONI fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo (art. 83 par 5)

FATTISPECIE PREVISTE NEL REG UE 2016/679

L’articolo 83 del Regolamento 2016/679 prescrive le seguenti sanzioni al paragrafo 5:

In conformità del paragrafo 2, la violazione delle disposizioni seguenti è soggetta a sanzioni amministrative pecuniarie fino a 20 000 000 EUR, o per le imprese, fino al 4 % del fatturato mondiale totale annuo dell'esercizio precedente, se superiore:

  1. i principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli articoli 5, 6, 7 e 9;
  2. i diritti degli interessati a norma degli articoli da 12 a 22;
  3. i trasferimenti di dati personali a un destinatario in un paese terzo o un'organizzazione internazionale a norma degli articoli da 44 a 49;
  4. qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;
  5. l'inosservanza di un ordine, di una limitazione provvisoria o definitiva di trattamento o di un ordine di sospensione dei flussi di dati dell'autorità di controllo ai sensi dell'articolo 58, paragrafo 2, o il negato accesso in violazione dell'articolo 58, paragrafo 1.


Art. 5 - Principi applicabili al trattamento di dati personali

Art. 6 - Liceità del trattamento

Art. 7 - Condizioni per il consenso

Art. 9 - Trattamento di categorie particolari di dati personali

Art. 12 - Informazioni, comunicazioni e modalità trasparenti per l'esercizio dei diritti dell'interessato

Art. 13 - Informazioni da fornire qualora i dati personali siano raccolti presso l'interessato

Art. 14 - Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l'interessato

Art. 15 - Diritto di accesso dell’interessato

Art. 16 - Diritto di rettifica

Art. 17 - Diritto alla cancellazione («diritto all'oblio»)

Art. 18 - Diritto di limitazione di trattamento

Art. 19 - Obbligo di notifica in caso di rettifica o cancellazione dei dati personali o limitazione del trattamento

Art. 20 - Diritto alla portabilità dei dati

Art. 21 - Diritto di opposizione

Art. 22 - Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione

Art. 44 - Principio generale per il trasferimento

Art. 45 - Trasferimento sulla base di una decisione di adeguatezza

Art. 46 - Trasferimento soggetto a garanzie adeguate

Art. 47 - Norme vincolanti d’impresa

Art. 49 - Deroghe in specifiche situazioni

Art. 58 - Poteri - commi 1 e 2

Nonché qualsiasi obbligo ai sensi delle legislazioni degli Stati membri adottate a norma del capo IX;



FATTISPECIE PREVISTE NEL CODICE PRIVACY

Art. 2-ter - Base giuridica per il trattamento di dati personali effettuato per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri

Art. 2-quinquies - Consenso del minore in relazione ai servizi della società dell’informazione - comma 1

Art. 2-sexies - Trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante

Art. 2–septies - Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute - comma 7

Art. 2-octies - Principi relativi al trattamento di dati relativi a condanne penali e reati

Art. 2-terdecies - Diritti riguardanti le persone decedute - commi da 1 a 4

Art. 52 - Dati identificativi degli interessati - commi 4 e 5

Art. 75 - Specifiche condizioni in ambito sanitario

Art. 78 - Informazioni del medico di medicina generale o del pediatra

Art. 79 - Informazioni da parte di strutture pubbliche e private che erogano prestazioni sanitarie e socio-sanitarie

Art. 80 - Informazioni da parte di altri soggetti

Art. 82 - Emergenze e tutela della salute e dell’incolumità fisica

Art. 92 - Cartelle cliniche - comma 2

Art. 93 - Certificato di assistenza al parto - commi 2 e 3

Art. 96 - Trattamento di dati relativi a studenti

Art. 99- Durata del trattamento

Art. 100 - Dati relativi ad attività di studio e ricerca - commi 1, 2 e 4

Art. 101 - Modalità di trattamento

Art. 105 - Modalità di trattamento - commi 1, 2 e 4

Art. 110-bis - Trattamento ulteriore da parte di terzi dei dati personali a fini di ricerca scientifica o a fini statistici - commi 2 e 3

Art. 111 - Regole deontologiche per trattamenti nell’ambito del rapporto di lavoro

Art. 111-bis - Informazioni in caso di ricezione di curriculum

Art. 116 - Conoscibilità di dati su mandato dell’interessato - comma 1

Art. 120 - Sinistri - comma 2

Art. 122 - Informazioni raccolte nei riguardi del contraente o dell’utente

Art. 123 - Dati relativi al traffico - commi 1, 2, 3 e 5

Art. 124 - Fatturazione dettagliata

Art. 125 - Identificazione della linea

Art. 126 - Dati relativi all’ubicazione

Art. 130 - Comunicazioni indesiderate - commi da 1 a 5

Art. 131 - Informazioni a contraenti e utenti

Art. 132 - Conservazione di dati di traffico per altre finalità

Art. 132-bis - Procedure istituite dai fornitori - comma 2

Art. 132-quater - Informazioni sui rischi

Art. 157 - Richiesta di informazioni e di esibizione di documenti

nonché delle misure di garanzia, delle regole deontologiche di cui rispettivamente agli articoli 2-septies e 2-quater.

Sono altresì soggette alla sanzione amministrativa di cui al comma 2 le violazioni di cui all’articolo 1, commi 9 e 10, della legge 11 gennaio 2018, n. 5 e di cui all’articolo 5-ter del decreto legislativo 14 marzo 2013, n. 33.

torna all'indice

LE SANZIONI PENALI
PROFILI GIURIDICI

Il GDPR lascia agli Stati membri al possibilità di decidere se introdurre o meno sanzioni penali, sia per violazioni del GDPR, sia per violazioni di norme nazionali adottate in virtù ed entro i limiti del Regolamento (Considerando 148).

In questo spazio si è inserito il legislatore italiano che, sulla scia del precedente Codice privacy, ha deciso di mantenere un assetto di norme di natura penale.

Le fattispecie per cui saranno applicabili sanzioni penali sono quindi, ai sensi del riformato Codice Privacy, le seguenti:

Art. 167 - Trattamento illecito dei dati;
Art. 167-bis - Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala;
Art. 167-ter - Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala;
Art. 168 - Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante;
Art. 170 - Inosservanza dei provvedimenti del Garante;

Si segnala, per completezza, l’abrogazione dell’art. 169 relativo alle misure di sicurezza che, in virtù del nuovo principio di accountability introdotto dal GDPR non aveva più ragion d’essere, nonché la parziale modifica dell’art. 171 (ora rubricato “Violazioni delle disposizioni in materia dei controlli a distanza e indagini sulle opinioni dei lavoratori”), per la cui violazione permangono comunque le sanzioni di cui all’art. 38 dello statuto dei lavoratori (L. 300/1970), e dell’art. 172 (pena accessoria della pubblicazione della sentenza di condanna).

La prima novità rilevante riguarda l’estensione dell’applicazione delle sanzioni penali non solo ai casi in cui si accerti il dolo dell’agente volto a trarre per sé o per altri profitto (come era previsto ante riforma), ma anche ai casi in cui l’agente abbia agito allo scopo di arrecare ad altri un danno (ciò in relazione, nello specifico, agli articoli 167, 167-bis e 167-ter del Codice).

Quindi si amplia la casista penale anche quando l’obiettivo sia quello di arrecare danno ad altri soggetti.

Alcune considerazioni sulle singole fattispecie.

L’art. 167 (Trattamento illecito dei dati) è sicuramente la norma di più ampia portata: in relazione alla stessa si osserva come il legislatore abbia deciso di mantenere la sanzione penale solo per le violazioni di maggiore gravità (ad es. relativamente al trattamento di taluni dati sensibili e il trasferimento internazionale di dati).

In questi casi, si è previsto che – salvo che il fatto costituisca più grave reato (cd. clausola di riserva) – la sanzione penale si applichi soltanto se il nocumento si sia effettivamente verificato (cd. reato di danno).

Circa poi il problema della coesistenza di un doppio binario sanzionatorio (sanzione amministrativa e sanzione penale per la stessa fattispecie di trattamento illecito dei dati), la Corte di Giustizia ha stabilito come il divieto di bis in idem (doppia punizione per identico fatto) si presenti soltanto se la sanzione amministrativa irrogata abbia in concreto una natura penale. Al di fuori di questo caso entrambe le sanzioni sono ammesse.

Allo scopo di evitare una eccessività afflittività in capo allo stesso soggetto, la norma stabilisce che – in caso di riscossione della sanzione amministrativa pecuniaria – la pena debba subire una necessaria diminuzione.

La norma poi stabilisce una stretta relazione tra PM e Garante privacy: più esattamente il PM nel caso abbia notizia di un reato ha obbligo di informare immediatamente il Garante; il Garante invece, al momento dell’apertura dell’istruttoria, non è tenuto a nessuna comunicazione al PM , obbligo che scatta invece quando al termine dell’istruttoria emergono elementi di valenza penale.

Stesso iter per le nuove fattispecie introdotte dal novellato Codice Privacy in merito alla comunicazione e all’acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala.

Le norme di cui all’art. 167-bis e 167-ter puniscono in maniera speculare la condotta di chiunque (con il dolo specifico di trarne profitto o recare danno ad altri) ponga in essere azioni predatorie nei confronti di dati personali altrui in archivi automatizzati e trattati su larga scala. L’art. 167 ter sanziona l’acquisizione in maniera fraudolenta, mentre l’art. 167bis ne punisce la comunicazione e diffusione – in violazione di specifiche disposizioni normative rivolte per lo più a chi tratta i dati per obbligo di legge o in maniera professionale.

Fattispecie queste che richiamando concetti estranei al codice penale (“trattamento su larga scala” ed “archivio automatizzato”), potrebbero determinare non pochi problemi in tema di tassatività.

In linea di continuità con la previgente norma, il novellato art. 168 punisce con la reclusione da sei mesi a tre anni coloro che dichiarino o attestino il falso dinanzi al Garante. Al secondo comma, invece, viene introdotta una nuova fattispecie incriminatrice: l’interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri dell’Autorità di Garanzia. Norma questa che richiama la fattispecie di “interruzione di un ufficio o servizio pubblico o di pubblica necessità” di cui all’art. 340 c.p..

L’art. 170 poi, al fine di garantire effettivamente la potestà punitiva del Garante, prevede l’applicazione di una sanzione penale per coloro che non osservino i provvedimenti irrogati dall’Autorità di Garanzia. Fattispecie questa che sembrerebbe ricalcare la contravvenzione di cui all’art. 650 c.p. (inosservanza dei poteri dell’Autorità: “Chiunque non osserva un provvedimento legalmente dato dall'autorità per ragione di giustizia o di sicurezza pubblica o d'ordine pubblico o d'igiene, è punito, se il fatto non costituisce un più grave reato, con l'arresto fino a tre mesi o con l'ammenda fino a euro 206”) pur avendo una diversa natura (delitto) e prevedendo una sanzione ben più grave (reclusione da tre mesi a due anni).

Sebbene vi fosse l’intenzione di abolire tale fattispecie, è bene osservare come il suo mantenimento consenta di non creare disparità di trattamento tra autorità pubbliche (punite per il mancato rispetto delle disposizioni del Garante) e persona “comune”.

Per tutti i reati presenti nel Codice della Privacy, inoltre, è sempre prevista – oltre alla obbligatoria sanzione penale – la pena accessoria della pubblicazione della sentenza di condanna.

Da ultimo, si segnala come tutti gli altri reati previsti dal previgente Codice siano stati oggetto di depenalizzazione. La norma di cui all’art. 24 nello specifico, prevede che per i reati commessi ante 19/09/2018 (entrata in vigore del decreto), si applichino – in luogo delle previgenti sanzioni penali – le sole sanzioni amministrative, stabilendo in caso di definitività della pronuncia, la possibilità – mediante incidente di esecuzione – di revoca della sentenza perché il fatto non è più previsto dalla legge come reato.