← Torna a Codice Privacy (D.Lgs. 196/2003)
Ultimo aggiornamento: 21 Maggio 2026
Fonte: Normattiva.it · Gazzetta Ufficiale
Indice
  1. Testo dell'articolo
  2. Commento
  3. Massime giurisprudenziali
  4. Prassi e linee guida
  5. Casi pratici
  6. Domande frequenti
  7. Vedi anche
In sintesi
  • L'art. 170 disciplina il reato di inosservanza di provvedimenti del Garante.
  • La pena è la reclusione da 3 mesi a 2 anni.
  • Si configura per il mancato adeguamento doloso, in casi qualificati.
  • Cumulabile con la sanzione amministrativa ex art. 161.
  • Tutela l'autorità del Garante come authority effettiva.
  • La giurisprudenza distingue tra inadempimento amministrativo (sanzione 161) e penale (reato 170).

Testo dell'articoloVigente

1. Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi dell’articolo 58, paragrafo 2, lettere f) e g), del Regolamento, è punito con la reclusione da tre mesi a due anni.

Commento

La funzione di chiusura del sistema

L'art. 170 del Codice Privacy disciplina il reato di inosservanza di provvedimenti del Garante. Insieme all'art. 161 (illecito amministrativo per inosservanza), costituisce la chiusura del sistema sanzionatorio: chi non si adegua a un ordine dell'authority risponde sia in via amministrativa (art. 161) sia, nei casi più gravi e qualificati, in via penale (art. 170). Il reato tutela la funzione dell'authority: senza l'art. 170 i provvedimenti del Garante sarebbero privi di sanzione effettiva per i recidivi e gli ostinati.

Le condotte sanzionate

L'art. 170 punisce chi non osserva: a) provvedimenti adottati dal Garante a chiusura di procedimento (ordine di adeguamento, di cancellazione, di limitazione del trattamento); b) provvedimenti generali di applicazione settoriale (per esempio, cookie 2021, videosorveglianza, marketing) quando il destinatario è specificamente individuato e ne è stato informato; c) prescrizioni dettate durante un'ispezione (per esempio, blocco immediato del trattamento illecito). La condotta deve essere dolosa: l'inadempimento per impossibilità oggettiva o per errore non integra reato.

La pena: tra 3 mesi e 2 anni

La pena è la reclusione da 3 mesi a 2 anni. È una pena nella fascia bassa della gravità penale, in linea con altri reati di violazione di obblighi imposti da autorità (per esempio, art. 650 c.p. inosservanza di provvedimenti dell'autorità). La fascia bassa consente la sospensione condizionale e i benefici dell'ordinamento penitenziario nella maggior parte dei casi. Tuttavia, l'iscrizione nel casellario penale e l'effetto reputazionale sono significativi.

Il rapporto con l'art. 161 (sanzione amministrativa)

L'art. 170 e l'art. 161 si applicano alla stessa condotta (inosservanza di provvedimenti). La cumulabilità è ammessa nel rispetto del ne bis in idem flessibile della CGUE: a) le due sanzioni hanno finalità diverse (deterrenza penale vs deterrenza amministrativa); b) sono proporzionate (la pena penale è bassa, integrata dalla sanzione amministrativa elevata); c) sono coordinate (di solito il procedimento amministrativo è prevalente, il penale interviene solo nei casi più gravi). La prassi italiana applica entrambe nei casi più gravi.

Tipologie di provvedimenti che attivano l'art. 170

Casistica tipica: a) ordini di adeguamento ai provvedimenti generali (cookie, videosorveglianza, marketing) emessi a chiusura di procedimento individuale; b) ordini di cancellazione di database illeciti; c) divieti di trasferimento extra-UE; d) ordini di blocco di trattamenti illeciti urgenti; e) prescrizioni durante l'ispezione (immediato blocco di sistemi). La giurisprudenza ha applicato l'art. 170 in casi di: aziende che hanno continuato a inviare spam dopo ordine di cessazione, ASL che non hanno cancellato dati sanitari illeciti, Comuni che hanno mantenuto videosorveglianza non autorizzata.

Elemento soggettivo e oggettiva impossibilità

Il reato richiede dolo. L'inadempimento per: a) oggettiva impossibilità (forza maggiore, distruzione del sistema); b) errore in buona fede (interpretazione divergente del provvedimento); c) impossibilità tecnica (cancellazione di dati che non sono nella disponibilità del titolare); non integra il reato. Il titolare ha l'onere di documentare al Garante e all'eventuale processo penale le ragioni dell'inadempimento. La buona fede e la diligenza sono criteri esimenti.

Casistica giurisprudenziale: pene e cumulabilità

La giurisprudenza ha applicato l'art. 170 in casi tipici: a) Cass. pen. 2022 su impresa che ha continuato a inviare spam dopo ordine di cessazione (pena 6 mesi sospesa); b) Trib. Milano 2023 su un Comune che ha mantenuto videosorveglianza non autorizzata (pena 8 mesi al responsabile, sospensione condizionale, sanzione amministrativa al Comune); c) Trib. Roma 2024 su ASL che non ha cancellato dati sanitari illeciti dopo ordine del Garante (pena 1 anno al dirigente, sanzione amministrativa, responsabilità erariale). La fascia bassa della pena consente generalmente la sospensione condizionale ma gli effetti professionali e reputazionali sono significativi.

Strategia di gestione del rischio penale

Le strategie di gestione del rischio penale ex art. 170: a) pronta esecuzione del provvedimento, anche parziale, con documentazione completa; b) interlocuzione costruttiva con il Garante per chiarire dubbi interpretativi prima del termine; c) eventuale impugnazione ex art. 152 con istanza cautelare di sospensione; d) richiesta di proroga motivata se l'esecuzione è complessa; e) preparazione di documentazione difensiva (forza maggiore, errore in buona fede, impossibilità tecnica); f) compliance proattiva per evitare l'attivazione del provvedimento iniziale. La buona fede e la diligenza sono cause esimenti che possono escludere il dolo richiesto dal reato.

Massime giurisprudenziali

Corte Cost., sent. n. 20/2019

La Corte costituzionale si è pronunciata sulla compatibilità del regime sanzionatorio in materia di protezione dei dati con i princìpi costituzionali di tassatività e proporzionalità.

Perché è importante: Sanzioni e tutela giurisdizionale

Prassi e linee guida

Sanzioni · Provvedimenti sanzionatori

Garante Privacy

Raccolta di provvedimenti sanzionatori adottati dal Garante per la protezione dei dati personali.

Leggi il documento su www.garanteprivacy.it

Casi pratici

Caso 1: Tizio: spam dopo ordine cessazione

Tizio riceve ordine del Garante di cessare invio di newsletter senza consenso. Continua a inviare per ulteriori 6 mesi. Configura art. 170 (reclusione 3-12 mesi) + art. 161 (sanzione amministrativa 500.000 euro). Doppio binario di responsabilità.

Caso 2: Caia ASL: dati sanitari non cancellati

Caia ASL riceve ordine di cancellazione di un database illecito di dati sanitari. Documenta al Garante l'oggettiva impossibilità tecnica di cancellazione (dati su backup distribuiti). Il Garante riconosce la buona fede; il PM archivia il procedimento penale ex art. 170 ma applica sanzione amministrativa attenuata.

Caso 3: Sempronio Comune: videosorveglianza

Sempronio, Comune, mantiene attiva videosorveglianza non autorizzata dopo ordine del Garante di rimozione. Configura art. 170 a carico del responsabile amministrativo e del sindaco. Pena: reclusione 6 mesi (con sospensione condizionale) + sanzione amministrativa al Comune e responsabilità erariale.

Caso 4: Commento applicativo

L'art. 170 è la chiusura del sistema: tutela l'autorità del Garante con sanzione penale, oltre a quella amministrativa. La cumulabilità con l'art. 161 è ammessa nei casi più gravi. La buona fede e l'oggettiva impossibilità sono cause esimenti. La pronta esecuzione, anche parziale, attenua l'esposizione.

Domande frequenti

Qual è la pena per inosservanza dei provvedimenti del Garante?

Reclusione da 3 mesi a 2 anni (art. 170). Nei casi più gravi cumulabile con sanzione amministrativa ex art. 161 fino al 4% del fatturato.

Si applica sempre il reato dell'art. 170?

No, solo nei casi più gravi e dolosi. L'inosservanza in buona fede o per impossibilità oggettiva integra solo l'illecito amministrativo dell'art. 161, non il reato.

Come si distingue l'art. 170 dall'art. 161?

Art. 161: sanzione amministrativa per ogni inosservanza. Art. 170: reato per inosservanza dolosa e qualificata, tipicamente per recidive, ostinazione, occultamento.

Cosa è causa esimente?

Oggettiva impossibilità (forza maggiore, distruzione del sistema), errore in buona fede sull'interpretazione del provvedimento, impossibilità tecnica. La buona fede va documentata al Garante e al giudice.

Si applica anche alle PA?

Sì. Per dirigenti pubblici si aggiunge la responsabilità erariale per danno cagionato all'amministrazione. Per i sindaci e gli amministratori può seguire procedimento di responsabilità politica.

A cura di
Andrea Marton — Autore e divulgatore giuridico
Autore e responsabile editoriale di La Legge in Chiaro, portale di divulgazione giuridica gratuita su 31 testi e codici italiani. I contenuti hanno scopo informativo e divulgativo e non costituiscono consulenza professionale. Profilo completo →
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.