L’art. 84 del GDPR concede agli Stati membri la facoltà di determinare, accanto alle sanzioni amministrative, sanzioni penali “effettive, proporzionate e dissuasive”, volte a punire condotte che, indipendentemente dal profitto economico dell’autore dell’illecito, rechino un danno ad esempio violando norme relative ai requisiti obbligatori nel trattamento dei dati sensibili e nel trasferimento internazionale di dati,.
Trattasi del reato di trattamento illecito di dati, previsto dall’art. 167 d.lgs 196/2003 e oggi rimaneggiato a seguito del GDPR, che punisce chiunque, nel violare le disposizioni di legge, arrechi nocumento all’interessato al fine di trarre per sé o per altri profitto ovvero provochi un danno alla vittima: con questo intervento il Legislatore ha voluto realizzare una tutela forte contro fenomeni criminogeni oramai piuttosto diffusi quali il “revenge porn” o il “cyber bullismo”, anche predisponendo, tramite un protocollo d’intesa siglato con la Polizia Postale, misure e procedure nuove volte all’efficace rimozione di contenuti offensivi.
Il decreto di adeguamento introduce altresì gli art. 167bis e 167ter. Il primo riguarda il reato di comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala, condotta che deve avere la finalità di trarre profitto da essa o arrecare un danno, e che deve riguardare un archivio automatizzato o una parte sostanziale di esso (ovvero qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico), e per un trattamento su larga scala, cioè che abbia ad oggetto una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che sia pertanto idoneo ad incidere su un numero di interessati molto vasto. L’art. 167ter, invece, punisce l’acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala, sempre col fine di trarne profitto o arrecare danno ad altri.
Con riferimento poi al reato, previsto dall’art. 340 del codice penale, di interruzione di pubblico servizio e di servizio di pubblica necessità, ed analogamente a quanto già avviene in altri Sati membri, l’art. 168 del Codice della Privacy viene modificato con l’aggiunta di un secondo comma, che punisce la falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante.
Da ultimo si segnalano il ripristino del reato di inosservanza di provvedimenti del Garante (già previsto dall’art. 170 del previgente Codice della Privacy) e il mantenimento dei reati già previsti all’art. 171 del previgente Codice per le violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori, siano esse politiche, religiose o sindacali, ciò in conseguenza delle crescenti segnalazioni inviate al Garante in ordine a violazioni connesse a tali disposizioni (si veda sul punto la sentenza n. 22148/2017 con la quale la Corte di Cassazione ha stabilito che l’installazione di un sistema di videosorveglianza in grado di controllare a distanza l’attività dei lavoratori in mancanza di accordo con le rappresentanze sindacali aziendali integra reato, anche se la stessa sia stata preventivamente autorizzata per iscritto da tutti i dipendenti).
Tutti gli altri reati previsti dal previgente Codice della Privacy sono stati depenalizzati e, secondo quanto previsto dall’art. 24 del decreto di adeguamento, se il procedimento penale non sia stato definito con sentenza o con decreto divenuti irrevocabili, l’illecito depenalizzato che sia stato commesso prima dell’entrata in vigore del decreto stesso, ovvero prima del 19 settembre 2018, va punito con le sanzioni amministrative introdotte in sostituzione delle previgenti sanzioni penali.