Il GDPR in Italia: la prima volta del trattamento illecito di dati su larga scala.
Le cronache di questi giorni ci raccontano di una indagine coordinata dalla Procura della Repubblica di Roma avente ad oggetto un traffico di dati di clienti delle compagnie telefoniche.
Tra le altre fattispecie criminose contestate, che sarebbero l’ accesso abusivo a sistema informatico, e la detenzione abusiva e diffusione di codici di accesso vi è anche, a quanto sembra per la prima volta in Italia, anche l’articolo 167-bis del Codice privacy che ha introdotto un nuovo tipo di reato: la comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala.
Si tratta di un delitto, introdotto dal D.Lgs. 101/2018, punito da 1 a 6 anni, allorchè chiunque comunichi o diffonda un archivio automatizzato o una parte sostanziale di esso, al fine di trarne profitto o di arrecare un danno.
La fattispecie sanziona la comunicazione e la diffusione di dati personali oggetto di trattamento su larga scala, al fine di trarre profitto per sé o altri ovvero al fine di arrecare danno.
La comunicazione o la diffusione devono riguardare un archivio automatizzato di dati personali o una sua parte sostanziale, contenente dati personali oggetto di trattamento su larga scala.
Il reato si configura solo se la diffusione o la comunicazione dei dati avviene in violazione di specifiche norme, per lo più applicabili a soggetti che trattano dati professionalmente o per obbligo di legge e la disposizione pare ritagliata appositamente sulle figure che si occupano di comunicazioni elettroniche.
La contestazione dà quindi ragione a quanti, nel corso dell’iter di adeguamento del regolamento generale Privacy, hanno insistito perché le norme penali a presidio del trattamento dei dati personali fossero mantenute ed ampliate.
Si tratterà ora di verificare se la disposizione potrà coesistere nel corso del prosieguo dell’indagine con l’accesso abusivo a sistema informatico previsto dall’art 615 ter del codice penale.
La compatibilità tra il vecchio art 167 bis del codice privacy e l’accesso abusivo a sistema informatico è stata il maggior limite nel passato alla diffusione delle norme penali sulla privacy.