Garante per la protezione
    dei dati personali


Semplificazione del quadro sanzionatorio e dellemisure minime di sicurezza previste dal Codice

RISPOSTA DEL 22 SETTEMBRE 2014 (*)

 

Ill.mo


Presidentedel Consiglio dei ministri


Dott.Matteo Renzi

 

Lescrivo in relazione a possibili misure di semplificazione della normativa inmateria di protezione dei dati personali, volte a snellire gli adempimenti cuisono tenuti, oggi, i titolari del trattamento e a razionalizzare il relativoquadro sanzionatorio.

Lemisure prospettate potrebbero assicurare significativi benefici, anche intermini economici, soprattutto alle piccole e medie imprese o comunque aisoggetti, anche pubblici, di modeste dimensioni, senza tuttavia abbassare lostandard delle garanzie per i cittadini e nel rispetto dei vincoli dell'Unioneeuropea.

Ilprogetto di riforma si sostanzia in alcuni mirati interventi di modifica delCodice in materia di protezione dei dati personali (d. lgs. n. 196 del 2003)ispirati ai seguenti principi:

a) semplificazionedel quadro sanzionatorio e aumento dell'equità nell'applicazione dellesanzioni, mediante, fra l'altro, la ridefinizione dei confini tra lefattispecie penali e amministrative e la limitazione della responsabilitàpenale per la mancata adozione delle misure minime di sicurezza ai soli casi incui ne sia derivata una conseguenza negativa nella sfera giuridica degliinteressati;

b)riduzione dei costi diretti e indiretti (di consulenza e assistenza legale) peri soggetti destinatari di sanzioni, mediante il ricorso diretto e automatico amodalità di estinzione agevolata dei procedimenti sanzionatori e diminuendo icasi in cui non è ammessa l'estinzione mediante oblazione;

c)promozione di un aggiornamento delle misure minime di sicurezza previste dalCodice (art. 36) anche con disposizioni differenziate in ragione dei rischieffettivi per i diritti degli interessati e minimizzando l'impatto economicodelle stesse, in particolare presso le piccole e medie imprese, liberiprofessionisti e artigiani. A tal fine, si prevede la consultazione dellecategorie interessate e si affida al Garante il compito di proporre taliadempimenti sulla base dell'esperienza maturata dalla quotidiana applicazionedelle relative disposizioni.

Nell'allegarLe unapossibile proposta normativa, tanto Le segnalo ai sensi dell'articolo 154,comma 1, lett. f) del Codice, grato, anche a nome del Collegio del Garante, perl'attenzione che vorrà riservare alle suesposte considerazioni, e confermandoLesin d'ora la più ampia disponibilità dell'Autorità ad ogni collaborazione chedovesse essere ritenuta utile.

AntonelloSoro

 

 

(*) La segnalazione è statainoltrata anche al Ministro della giustizia Andrea Orlando e al Ministro per lasemplificazione e la pubblica amministrazione Marianna Madia

 

 

_______________________________________________

ALLEGATO

Art.

(Semplificazioni in materia di protezione dei datipersonali)

1. Alcodice in materia di protezione dei dati personali, di cui al decretolegislativo 30 giugno 2003, n. 196, sono apportate le seguenti modificazioni:

a)all'articolo 162, comma 2-bis, l'ultimo periodo è soppresso;

b) dopol'articolo 166 è inserito il seguente:

«Articolo166-bis. (Definizione agevolata delle violazioni). –  1. In derogaall'articolo 16 della legge 24 novembre 1981 n. 689, nel caso in cui leviolazioni di cui agli articoli 161, 162, 162-bis, 163 e 164,  sianorelative a trattamenti di dati personali effettuati da soggetti, pubblici oprivati, che occupino un numero di unità lavorative inferiore a quindicidipendenti, è ammesso il pagamento in misura ridotta di una somma pari ai duequinti del minimo edittale. Per i soggetti, pubblici o privati, che occupino unnumero di unità lavorative inferiore a duecentocinquanta dipendenti, è ammesso il pagamento in misura ridotta di una somma pari al minimo edittale.

2.Ilpagamento di cui al comma 1 deve essere effettuato nel termine perentorio ditrenta giorni dalla notifica della contestazione di violazione amministrativa.Decorso tale termine, il procedimento sanzionatorio prosegue secondo le modalitàdi cui all'articolo 166 e con l'applicazione degli ordinari limiti minimi emassimi previsti dagli articoli di cui al comma 1.

3. Ilnumero di unità lavorative è calcolato con riferimento al numero di dipendentioccupati mediamente a tempo pieno durante un anno, mentre i lavoratori a tempoparziale e quelli stagionali rappresentano frazioni di unità lavorative annue;ai predetti fini l'anno da prendere in considerazione è quello dell'ultimoesercizio contabile approvato, precedente il momento di accertamentodell'infrazione. Ai fini del presente articolo il titolare del trattamento ètenuto ad autocertificare al Garante le circostanze sopra indicate ai sensi dell'articolo47 del testo unico di cui al decreto del Presidente della Repubblica 28dicembre 2000, n. 445.

4. Ledisposizioni di cui al presente articolo non si applicano in caso direiterazione della violazione di cui all'articolo 8-bis della Legge 24 novembre1981, n. 689, di recidiva di cui all'articolo 166 o di applicazione delleipotesi aggravate di cui all'articolo 164-bis, commi 2 e 3.»;

c) all'articolo 166, dopo il comma 1, sono aggiunti i seguenti:

«1-bis.Nei casi di recidiva i limiti minimo e massimo delle sanzioni di cui alpresente capo sono applicati in misura pari al doppio. La recidiva si verificaqualora sia stata commessa la stessa violazione per più di una volta in unanno, anche se si è proceduto al pagamento della sanzione mediante oblazione.
1-ter.Qualora la recidiva di cui al comma precedente sia relativa a più di treviolazioni commesse in un anno, i limiti minimo e massimo delle sanzioni di cuial presente capo sono applicati in misura pari al quadruplo.»;

d)  all'articolo 167, dopo il comma 2, è aggiunto il seguente:

«2-bis.Il reato è procedibile a querela della persona offesa.»;

e)all'articolo 169, sono apportate le seguenti modificazioni:

1) alcomma 1, sono aggiunte, in fine, le seguenti parole: «se dal fatto deriva ladistruzione, la perdita, la modifica, la rivelazione non autorizzata ol'accesso abusivo ai dati personali trasmessi, memorizzati o comunque trattati.»;

2) ilcomma 2 è abrogato.

f)l'articolo 36 è sostituito dal seguente:

«Articolo36. (Adeguamento). – 1. Il disciplinare tecnico di cui all'allegato B),relativo alle misure minime di cui al presente capo, è aggiornatoperiodicamente con decreto del Ministro della giustizia, di concerto con ilMinistro per la semplificazione e la pubblica amministrazione, su proposta delGarante, e sentite le associazioni rappresentative a livello nazionale dellecategorie economiche coinvolte, in relazione all'evoluzione tecnica eall'esperienza maturata nel settore, individuando misure differenziate inragione dei rischi effettivi per i diritti degli interessati e minimizzandol'impatto economico delle stesse, in particolare presso le piccole e medieimprese, liberi professionisti e artigiani.»;

2. Ladefinizione agevolata di cui all'articolo 166-bis del decreto legislativo 30giugno 2003, n. 196, è altresì ammessa per i procedimenti sanzionatori che,alla data di entrata in vigore della legge di conversione del presente decreto,risultino non ancora definiti con l'adozione dell'ordinanza-ingiunzione,compresi quelli relativi alle violazioni di cui all'articolo 33, sanzionatidall'articolo 162, comma 2-bis. A tal fine, fermi restando gli altri requisitiindicati dall'articolo 166-bis e fatti salvi i restanti atti del procedimentoeventualmente già adottati, il pagamento potrà essere effettuato entro novantagiorni dalla data di entrata in vigore della legge di conversione del presentedecreto.

3. Per ireati perseguibili a querela, ai sensi dell'articolo 167, comma 2-bis, deldecreto legislativo 30 giugno 2003, n. 196, commessi prima della data dientrata in vigore della legge di conversione del presente decreto, il termineper presentare la querela decorre dalla data predetta, se la persona ha avutoin precedenza notizia del fatto costituente reato. Se è pendente il relativoprocedimento, il giudice informa la persona offesa dal reato della facoltà diesercitare il diritto di querela e il termine decorre dal giorno in cui lapersona offesa è stata informata.

RELAZIONE ILLUSTRATIVA

Seguendol'ordine dell'emendamento, le proposte di modifica all'apparato sanzionatorioriguardano:

a)l'eliminazione del vincolo che attualmente impedisce all'autore dellaviolazione amministrativa in tema di misure minime di sicurezza di accederealla definizione in via breve attraverso il pagamento in misura ridotta (art.162, comma 2-bis);

b)l'introduzione della possibilità di definire talune violazioni amministrative(161, 162, 162-bis, 163, 164) con il pagamento:

€ dellasanzione in misura pari ai due quinti del minimo per i soggetti, pubblici oprivati, con meno di quindici dipendenti;

€ dellasanzione in misura pari al minimo per i soggetti, pubblici o privati, con menodi duecentocinquanta dipendenti.

Ladisposizione mira a mitigare gli effetti sanzionatori collegati a violazionicommesse da soggetti di piccole dimensioni rispetto ai quali è presumibile unaminore intensità della colpa. Tale possibilità è tuttavia preclusa in caso direiterazione o di recidiva della violazione (art. 166-bis);

c)l'introduzione di una forma di recidiva che aggrava le sanzioni nei casi diripetute violazioni delle stesse disposizioni commesse dallo stesso soggetto inun arco di tempo definito (1 anno) e mira a penalizzare pratiche scorrette cheinducono, nel settore privato, a reiterate violazioni dei diritti dei cittadiniper scopo di lucro (fenomeno segnalato numerose volte dall'Autorità sotto ladefinizione di "marketing selvaggio"). La disposizione, che ricalcauna analoga presente nel Codice del consumo, opera anche se è effettuato ilpagamento in misura ridotta e sin dalla contestazione (art. 166, comma 1-bis);

d)l'introduzione della procedibilità a querela della persona offesa del reato ditrattamento illecito di dati (art. 167, comma 2-bis). In questo caso è stataanche definita una disposizione transitoria in analogia a casi simili;

e) lemodifiche della sanzione penale relativa alle misure minime di sicurezza che,ferma restando l'applicabilità della sanzione amministrativa nell'attualeformulazione, fa scattare la responsabilità penale solo nel caso in cui, acausa dell'inadeguatezza delle misure di sicurezza adottate, si verifichi"la distruzione, la perdita, la modifica, la rivelazione non autorizzata ol'accesso abusivo ai dati personali trasmessi, memorizzati o comunqueelaborati", trasformando la fattispecie da reato di pericolo a reato dievento; viene contestualmente abrogata la procedura del c.d. ravvedimentooperoso, non più funzionale rispetto alla nuova previsione penale che restapunita con l'arresto fino a due anni. L'abrogazione del procedimentoprescrizionale attualmente previsto in sede penale non impedirà al Garante diprescrivere comunque le misure necessarie per rendere il trattamento dei daticonforme alla legge, sulla base di quanto già previsto dall'art. 154 delCodice.

Inoltre (lett. f)dell'emendamento) si modifica l'articolo 36 del Codice promuovendo unaggiornamento delle misure minime di sicurezza anche con disposizionidifferenziate in ragione dei rischi effettivi per i diritti degli interessati eminimizzando l'impatto economico delle stesse, in particolare presso le piccolee medie imprese, liberi professionisti e artigiani. A tal fine, si prevede laconsultazione delle categorie coinvolte e si affida all'Autorità il compito diproporre tali adempimenti sulla base dell'esperienza maturata nell'applicazionedella normativa.