← Torna a Codice Privacy (D.Lgs. 196/2003)
Ultimo aggiornamento: 21 Maggio 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Massime giurisprudenziali
  4. Prassi e linee guida
  5. Casi pratici
  6. Domande frequenti
  7. Vedi anche
In sintesi
  • L'art. 168 punisce le false dichiarazioni rese al Garante durante l'istruttoria o l'ispezione.
  • La pena è la reclusione da 6 mesi a 3 anni.
  • Si configura per: false attestazioni in atti, occultamento di dati, alterazione di sistemi informatici.
  • È cumulabile con sanzioni amministrative per ostacolo (art. 83, par. 4, GDPR).
  • Tutela l'effettività dell'azione di vigilanza del Garante.
  • La giurisprudenza assimila la fattispecie ad altri reati di false dichiarazioni alle autorità (art. 483 c.p.).

Testo dell'articoloVigente

1. Salvo che il fatto costituisca più grave reato, chiunque, in un procedimento o nel corso di accertamenti dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi è punito con la reclusione da sei mesi a tre anni.

Commento

La funzione di tutela dell'effettività

L'art. 168 del Codice Privacy punisce le falsità commesse nelle dichiarazioni rese al Garante per la protezione dei dati personali durante l'esercizio delle sue funzioni di vigilanza. La norma tutela l'effettività dell'azione regolatoria e sanzionatoria dell'authority: il Garante può svolgere il suo ruolo solo se le informazioni che riceve sono accurate. Le false dichiarazioni sono dunque un attacco alla funzione di vigilanza, oltre che un eventuale strumento per occultare la violazione di base.

Le condotte tipiche

L'art. 168 punisce: a) chi nelle comunicazioni al Garante dichiara o attesta cose non vere, prodotte falsamente atti o documenti; b) chi sottrae o produce difformemente atti o documenti; c) chi presta opera di falsa o reticente collaborazione nell'istruttoria. La condotta può consistere in: false dichiarazioni nel registro dei trattamenti, falsa DPIA, falsa attestazione di consenso degli interessati, alterazione di log o sistemi, soppressione di documenti durante l'ispezione, false dichiarazioni in audizione.

L'elemento soggettivo: dolo

Il reato è punibile solo a titolo di dolo: l'autore deve essere consapevole della falsità e dirigere la condotta a ingannare il Garante. La colpa (errore, dimenticanza) non integra il reato, ma può integrare l'illecito amministrativo per ostacolo all'attività di vigilanza (art. 83, par. 4, GDPR). La distinzione è cruciale: la mancata risposta o la risposta inaccurata in buona fede non integra reato; la deliberata alterazione di prove sì.

La pena e le aggravanti

La pena è la reclusione da 6 mesi a 3 anni, in linea con altri reati di false dichiarazioni a pubbliche autorità (per esempio, art. 483 c.p. falsa dichiarazione del privato in atto pubblico). Aggravanti tipiche: a) commissione del fatto da parte di pubblico ufficiale (qualifica del soggetto); b) gravità della violazione di base che si tenta di occultare; c) ripetuta condotta; d) coinvolgimento di più persone in una struttura organizzata.

Cumulabilità con sanzioni amministrative

L'art. 168 è cumulabile con: a) sanzioni amministrative per ostacolo all'attività di vigilanza ex art. 83, par. 4, GDPR; b) sanzioni di merito per la violazione di base; c) responsabilità penale per la violazione di base (art. 167); d) responsabilità civile per il danno cagionato all'autorità. Il ne bis in idem opera con flessibilità ma non esclude la cumulabilità tra reato e sanzione amministrativa, secondo la giurisprudenza CGUE consolidata.

Giurisprudenza applicativa

La giurisprudenza ha applicato l'art. 168 in casi di: a) falsificazione di consensi degli interessati per giustificare campagne marketing illecite; b) alterazione di log di accesso durante ispezione del Garante; c) presentazione di DPIA fabbricate ad hoc dopo data breach; d) false dichiarazioni del DPO in audizione. Le pene irrogate sono tipicamente nella fascia bassa (6-12 mesi) ma con effetti significativi su qualifiche professionali (DPO, manager privacy) e su carriere.

Tipologia di falsità: dichiarazioni, documenti, sistemi

Le condotte sanzionate dall'art. 168 si articolano in tre tipologie: a) falsità in dichiarazioni rese al Garante (orali in audizione, scritte in memorie, in comunicazioni successive); b) falsità in documenti prodotti al Garante (registro dei trattamenti fabbricato, DPIA retroattiva, false attestazioni di consenso, contratti con responsabili modificati); c) alterazione di sistemi informatici durante l'ispezione (cancellazione di log, modifica di codici, occultamento di server). Ciascuna tipologia ha caratteristiche probatorie diverse e richiede approcci forensici specifici per dimostrare la condotta dolosa.

Responsabilità individuale e organizzativa

L'art. 168 è reato proprio: si applica alla persona fisica che materialmente compie il fatto (CEO, dirigente, DPO, IT manager). La società può comunque essere coinvolta tramite la responsabilità amministrativa degli enti ex D.Lgs. 231/2001 (modello 231 e illeciti privacy sono stati riconosciuti come reato presupposto in alcune sentenze recenti). Il responsabile penale subisce: condanna detentiva (anche se spesso sospesa condizionalmente per la fascia bassa); iscrizione nel casellario penale; effetti reputazionali significativi; eventuale interdizione dai pubblici uffici; cancellazione da elenchi DPO certificati. La responsabilità è personale ma può estendersi all'organizzazione tramite il D.Lgs. 231/2001.

Massime giurisprudenziali

Corte Cost., sent. n. 20/2019

La Corte costituzionale si è pronunciata sulla compatibilità del regime sanzionatorio in materia di protezione dei dati con i princìpi costituzionali di tassatività e proporzionalità.

Perché è importante: Sanzioni e tutela giurisdizionale

Prassi e linee guida

Sanzioni · Provvedimenti sanzionatori

Garante Privacy

Raccolta di provvedimenti sanzionatori adottati dal Garante per la protezione dei dati personali.

Leggi il documento su www.garanteprivacy.it

Casi pratici

Caso 1: Tizio dirigente: alterazione di log

Tizio, durante ispezione del Garante per data breach, fa cancellare i log di accesso del sistema per occultare la responsabilità interna. Configura art. 168: alterazione dolosa di prove. In concorrenza con art. 167 (trattamento illecito di base) e con sanzione amministrativa ex art. 83 GDPR. Pena: reclusione 1 anno + sanzione del Garante.

Caso 2: Caia DPO: false dichiarazioni in audizione

Caia, DPO di un'azienda, dichiara al Garante in audizione che la società ha implementato DPIA e misure di sicurezza, mentre non è vero. Configura art. 168. La sanzione si cumula con quella amministrativa per la violazione di base. Caia subisce anche la cancellazione dall'elenco DPO certificati.

Caso 3: Sempronio CEO: registro dei trattamenti fabbricato

Sempronio, CEO di una scale-up, fabbrica retroattivamente il registro dei trattamenti dopo aver ricevuto la richiesta del Garante. Lo presenta come autentico. Configura art. 168. La pena base (12 mesi) si combina con sanzione amministrativa per assenza originaria del registro (art. 83, par. 4, GDPR).

Caso 4: Commento applicativo

L'art. 168 tutela l'integrità del procedimento davanti al Garante. La condotta deve essere dolosa: l'errore o l'omissione in buona fede non integra reato. La cumulabilità con sanzioni amministrative e con il reato di base è frequente. La diligenza nella raccolta e nella presentazione dei documenti è la migliore tutela.

Domande frequenti

Quali condotte integrano l'art. 168?

False dichiarazioni nelle comunicazioni al Garante, presentazione di atti o documenti falsi, alterazione di sistemi, soppressione di documenti, dichiarazioni reticenti in audizione.

L'errore o l'omissione integrano il reato?

No, serve dolo. L'errore in buona fede e l'omissione colposa possono integrare illecito amministrativo per ostacolo all'attività di vigilanza (art. 83, par. 4, GDPR), ma non il reato.

Qual è la pena prevista?

Reclusione da 6 mesi a 3 anni. Aggravanti possibili in caso di pubblico ufficiale, gravità della violazione occultata, ripetuta condotta, coinvolgimento di più persone.

Posso essere sanzionato sia penalmente che amministrativamente?

Sì, la cumulabilità è ammessa secondo il ne bis in idem flessibile della CGUE. Il reato tutela l'effettività della vigilanza; la sanzione amministrativa tutela la compliance sostanziale.

Il DPO che dichiara il falso al Garante è responsabile?

Sì. Il DPO può rispondere personalmente ex art. 168, oltre alla responsabilità civile professionale verso l'azienda. La sentenza può comportare cancellazione da elenchi DPO certificati e perdita di credibilità professionale.

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 31 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.