Ai sensi dell'
art. 84 del GDPR, gli Stati membri stabiliscono le norme relative alle altre sanzioni (differenti cioè da quelle poste dagli
artt. 82 e
83 GDPR che si riferiscono al risarcimento del danno) per le violazioni del presente regolamento in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie a norma dell'
art. 83, e adottano tutti i provvedimenti necessari per assicurarne l'applicazione. Tali sanzioni devono essere effettive, proporzionate e dissuasive.
Ogni Stato membro notifica alla Commissione le disposizioni di legge adottate ai sensi del par. 1 al più tardi entro il 25 maggio 2018, e comunica senza ritardo ogni successiva modifica.
L'
art.166 del T.U. di cui al D.Lgs. n. 196/2003 (come sostituito dall’art. 15, comma 1, lett. a), D.Lgs. 10 agosto 2018, n. 101) individua nel Garante
l'organo competente a ricevere il rapporto e ad irrogare le sanzioni di cui all'art. 83, paragrafo 4, del Regolamento le violazioni delle disposizioni di cui agli articoli 2-quinquies, comma 2, 2-quinquiesdecies, 92, comma 1, 93, comma 1, 123, comma 4, 128, 129, comma 2, e 132-ter (non più quelle di cui all'
art. 179, comma 3 del. T.U., norma abrogata). Alla medesima sanzione amministrativa è soggetto colui che non effettua la valutazione di impatto di cui all'art. 110, comma 1, primo periodo, ovvero non sottopone il programma di ricerca a consultazione preventiva del Garante a norma del terzo periodo del predetto comma. Si osservano, in quanto applicabili, le disposizioni della
L. n. 689/1981 e successive modificazioni (vale a dire la c.d. legge di depenalizzazione).
Gli
artt. 167 e ss. del t.u. prevedono invece
gli illeciti di natura penale. La prima delle citate norme (
art. 167 T.U.) prevede espressamente
(trattamento illecito di dati) che, salva la possibilità che venga in considerazione un più grave reato (es. quello di cui all'
art. 326 cod. pen.: cfr.
Cass. Pen. Sez. VI, 9726/2013), "chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all'interessato, operando in violazione di quanto disposto dagli art. 123, 126 e 130 o dal provvedimento di cui all'art.
art. 129 T.U.arreca nocumento all'interessato, è punito con la reclusione da sei mesi a un anno e sei mesi.
Ai sensi del II comma, "salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all'interessato, procedendo al trattamento dei dati personali di cui agli articoli 9 e 10 del GDPR in violazione delle disposizioni di cui agli articoli 2-sexies e 2-octies, o delle misure di garanzia di cui all'articolo 2-septies ovvero operando in violazione delle misure adottate ai sensi dell'articolo 2-quinquiesdecies arreca nocumento all'interessato, è punito con la reclusione da uno a tre anni.
In alternativa, in applicazione dell'
art. 129 T.U. , è anche possibile, se dal fatto deriva nocumento, l'irrogazione della pena della reclusione da sei a diciotto mesi o, se il fatto consiste nella
comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi. La norma è applicabile non soltanto a chi abbia trattato in via per così dire "primaria" i dati personali, ma pure chi ne abbia conseguito, quand'anche casualmente, la conoscenza (cfr.
Cass. Pen. Sez. III, 21839/2011).
Prosegue il II comma della norma nel senso che, sempre salvo che il fatto costituisca più grave reato, chiunque,
al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli
artt. 17 ,
20,
21,
22, commi 8 e 9,
25,
26,
27 e
45 T.U., è punito,
se dal fatto deriva nocumento, con la reclusione da uno a tre anni. Al riguardo è stato deciso come non integrino gli estremi della violazione in esame le semplici violazioni formali ed irregolarità procedimentali idonee a produrre un danno minimo all'identità personale o alla privacy del soggetto e che non arrechino alcun pregiudizio economicamente apprezzabile (
Cass. Pen. Sez. III, 30134/2004).
L'
art. 168 T.U. assume in esame
la falsità nelle dichiarazioni al garante, nonchè l'interruzione dell'esecuzione dei compiti o dell'esercizio dei poteri del garante.
Salvo che il fatto costituisca più grave reato, chiunque, in un procedimento o nel corso di accertamenti dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito con la reclusione da sei mesi a tre anni.
Fuori dei casi di cui al I comma, è punito con la reclusione sino ad un anno chiunque intenzionalmente cagiona un'interruzione o turba la regolarità di un procedimento dinanzi al Garante o degli accertamenti dallo stesso svolti.
La norma che segue
tratta invece dell'omissione delle misura di sicurezza. Ai sensi dell'
art. 169 T.U. chiunque, essendovi tenuto,
omette di adottare le misure minime previste dall'art. 33 T.U., è punito con l'arresto sino a due anni. All'autore del reato, all'atto dell'accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l'oggettiva difficoltà dell'adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l'adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo della sanzione stabilita per la violazione amministrativa. L'adempimento e il pagamento estinguono il reato. L'organo che impartisce la prescrizione e il pubblico ministero provvedono nei modi di cui agli
artt. 21,
22,
23 e
24 del D. Lgs. n. 758/1994 e successive modificazioni, in quanto applicabili.
Nelle ipotesi di
inosservanza di provvedimenti del Garante, si procede ai sensi dell'
art. 170 T.U. , a mente del quale, chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi degli artt. 58, paragrafo 2, lettera f) del GDPR, dell'art. 2-septies, comma 1, nonché i provvedimenti generali di cui all'art. 21, comma 1, del D.Lgs. di attuazione dell'art. 13 della l. 25 ottobre 2017, n. 163 è punito con la reclusione da tre mesi a due anni.
L'
art. 171 T.U. riconnette alla violazione delle disposizioni di cui agli
artt. 113, comma 1 e
114 T.U. , la punizione con le sanzioni di cui all'art.
38 della L. n. 300/1970 (c.d. statuto dei lavoratori).
A titolo di
pena accessoria l'
art. 172 T.U. prevede infine che
la condanna per uno dei delitti previsti dal presente codice importa la pubblicazione della sentenza.