Diffusione illecita di dati personali

Il reato che punisce la diffusione o comunicazione illecita di dati personali è previsto dall’articolo 167 bis del Codice in materia di protezione dei dati personali (Decreto legislativo del 30/06/2003 n. 196).

L’attuale formulazione della norma, come del resto per gli altri reati previsti nel nostro ordinamento in materia di trattamento illecito di dati personali, è frutto del recepimento (nel 2018) nel nostro Paese dei principi stabiliti dal Regolamento europeo in materia di protezione dei dati personali (meglio conosciuto come GDPR).

A quali violazioni si applica il reato? Per quale tipo di dato personale?

In via preliminare è importante precisare come il reato ha ad oggetto la comunicazione o diffusione illecita non di ogni tipo di dato personale, ma solo di quelli relativi ad un archivio automatizzato, o una parte sostanziale di esso, contenente dati personali oggetto di trattamento su larga scala.

Quindi ai fini della concreta applicazione del reato vengono in gioco, quali elementi caratterizzanti della fattispecie criminosa, i concetti di “trattamento su larga scala” e di “archivio automatizzato”; con riferimento a quest’ultimo il Codice non lo definisce compiutamente, ma ad esempio nel GDPR è descritto come “qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico“.

Il reato esiste solo se commesso con il fine di profitto o di arrecare un danno?

Per essere concretamente punibile il reato non solo deve avere ad oggetto una comunicazione o diffusione di dati personali effettuata su larga scala, ma è anche previsto, come requisito per l’integrazione dell’illecito, che tale attività sia stata commessa per un fine di profitto (quindi per conseguire un vantaggio, normalmente di contenuto patrimoniale, per l’agente o per altri) o con una finalità di danno (e quindi con la finalità di produrre un danno a qualcuno).

In quali ipotesi si commette il reato?

Sostanzialmente il reato di comunicazione o diffusione illecita di dati personali prevede due ipotesi:

• Con la prima si punisce la condotta di illecita diffusione o comunicazione, su larga scala, di archivi o parti sostanziali di essi che contengono dati personali, effettuata in violazione delle disposizioni di cui articoli 2-ter, 2-sexies e 2-octies del Codice della privacy. E’ di fondamentale importanza notare che il reato sarà integrato solo da una condotta che violi non ogni disposizione in materia di trattamento dei dati personali, bensì solo di alcune disposizioni normative ben specifiche e determinate.
• Con la seconda ipotesi si punisce colui che diffonda o comunichi, su larga scala, archivi contenenti dati personali o parti sostanziali di essi, senza il consenso dell’avente diritto, nei casi in cui il consenso sia richiesto dalla legge per la diffusione o la comunicazione di tali dati.

Quali sono le pene applicabili per il reato di comunicazione o diffusione illecita di dati personali?

Per entrambe le ipotesi di reato la pena applicabile per il reo è quella della reclusione da un minino di un anno ad un massimo di sei anni.

Quando per la stessa violazione è stata già applicata una sanzione amministrativa ai sensi del Codice in materia di protezione dei dati personali la pena applicata a seguito del processo penale sarà diminuita.

FAQ