Diritto e Fisco | Articoli

Reati contro la privacy

22 Ottobre 2018 | Autore:


> Diritto e Fisco Pubblicato il 22 Ottobre 2018



In questo articolo vedremo quali reati prevede la vigente normativa sulla privacy, anche alla luce del recepimento delle direttive europee in materia.

Hai un sito web con il quale fornisci diversi servizi. I lettori del sito possono iscriversi a una newsletter, e tu periodicamente invii loro offerte tramite email. La privacy degli utenti del tuo sito ti sta a cuore, ed hai sempre cercato di rispettarla; ora però hai saputo che vi sono nuove disposizioni che non soltanto stabiliscono sanzioni pecuniarie a carico di chi non si attiene a certe prescrizioni, ma addirittura prevedono alcune figure di reato. Le norme ti sembrano complicate, e vorresti capire quali sono i reati contro la privacy, per evitare problemi. In questo articolo troverai le risposte.

Reati contro la privacy

I reati contro la privacy, relativi al trattamento dei dati personali, sono contenuti nel c.d. “Codice della Privacy [1]”, che di recente  ha subito modifiche [2] per essere coordinato al Regolamento europeo sulla privacy (General Data Protection Regulation, indicato con la sigla GDPR). Vediamo quali sono le varie ipotesi di reato previste dalla legge.

Il reato di trattamento illecito di dati

Perché sussista questo reato, occorre [3]:

  • che un soggetto (chiunque, dice la legge) violi alcune specifiche disposizioni  contenute nello stesso Codice della Privacy, che vedremo più avanti;
  • che lo faccia allo scopo di trarne un profitto per sé o per altri, oppure per procurare un danno alla persona interessata;
  • che da tale comportamento derivi un nocumento per la persona interessata.

Cominciamo col considerare le disposizioni contenute nel Codice della Privacy, la cui violazione è necessaria (ma non sufficiente) perché sussista il reato. Esse sono:

  • quelle sui dati relativi al traffico [4] . Ci si riferisce ai servizi online, pubblici o comunque accessibili al pubblico. Questi siti raccolgono i dati di coloro che li utilizzano. Il Codice della Privacy, a tal proposito, prescrive che questi dati debbano essere cancellati o resi anonimi da chi gestisce il servizio, quando non sono più necessari ai fini della comunicazione online con l’utente.  Comunque, in caso di servizi a pagamento, è possibile conservare i dati  utili ai fini della fatturazione. Oltretutto, ciò può rivelarsi necessario qualora sorgano contestazioni in merito, che potrebbero anche sfociare in un contenzioso dinanzi all’autorità giudiziaria. Si pensi al caso di un utente che nega di aver utilizzato il servizio, o che afferma di averlo utilizzato in misura inferiore rispetto a quanto riportato in fattura. In ipotesi come questa, la conservazione dei dati relativi al traffico è necessaria per provare quanto effettivamente il servizio sia stato utilizzato. Questi dati possono essere utilizzati per commercializzare servizi di comunicazione elettronica o per fornire servizi aggiuntivi, soltanto le l’interessato ha dato preventivamente la propria accettazione, che comunque può essere revocata in qualsiasi momento. Inoltre, a quest’ultimo deve essere fornita una specifica informativa sul trattamento dei dati relativi al traffico, che indichi la natura dei dati sottoposti al trattamento e la durata dello stesso. Il trattamento dei dati relativi al traffico può essere effettuato soltanto da persone a ciò autorizzate, che operano sotto la diretta autorità del fornitore del servizio, e che si occupano di specifiche attività: la fatturazione, la gestione del traffico, il compimento di analisi per conto dei clienti, l’accertamento di frodi, la commercializzazione di servizi di comunicazione elettronica, la prestazione di servizi a valore aggiunto. Il trattamento deve essere limitato a quanto strettamente necessario per il compimento di tali attività. Inoltre, il soggetto autorizzato al trattamento deve essere identificabile da parte degli utenti, anche a mezzo di operazioni di interrogazione automatizzata;
  • quelle sui dati relativi all’ubicazione degli utenti [5]. Per la fornitura di alcuni servizi online, il gestore del servizio deve utilizzare l’ubicazione dell’utente che adopera il servizio stesso. I relativi dati possono essere trattati soltanto se anonimi, oppure se l’utente ha dato preventivamente il proprio consenso, che può essere revocato in ogni momento.  Questi dati potranno essere utilizzati soltanto nella misura e per la durata necessarie per la fornitura del servizio richiesto dall’utente. Prima di richiedere il consenso, il fornitore del servizio deve informare gli utenti e i contraenti sulla natura dei dati relativi all’ubicazione che saranno sottoposti al trattamento, sulle finalità e sulla durata del trattamento stesso, e sull’eventualità che, ai fini della prestazione del servizio, detti dati siano trasmessi a un terzo. Gli utenti o i contraenti che, opportunamente informati, hanno prestato il proprio consenso all’utilizzo dei dati relativi all’ubicazione, devono essere messi nelle condizioni di sospendere temporaneamente tale utilizzo, ogni volta che accedono alla rete, mediante una funzione semplice. Il trattamento dei dati relativi all’ubicazione può essere effettuato soltanto da persone a ciò autorizzare, che operano sotto la diretta autorità del fornitore del servizio, o del terzo che fornisce il servizio stesso. Il trattamento deve essere limitato a quanto strettamente necessario per la fornitura del servizio, e  il soggetto autorizzato al trattamento deve essere identificabile da parte degli utenti, anche a mezzo di operazioni di interrogazione automatizzata;
  • quelle sulle comunicazioni indesiderate [6]. E’ possibile contattare un utente a scopo di pubblicità, di vendita o di svolgimento di ricerche di mercato, utilizzando sistemi automatizzati di chiamata, posta elettronica, sms, mms o fax, soltanto se l’utente stesso vi ha consentito. Inoltre, per non ricevere comunicazioni pubblicitarie di alcun tipo è possibile iscriversi al “Registro delle opposizioni”, nel quale vengono indicati i propri dati personali e il numero di telefono. Non è consentito alle aziende inviare comunicazioni a soggetti che abbiano chiesto l’iscrizione al registro. E’ poi possibile che, quando un soggetto acquista un servizio fornendo il proprio indirizzo email, la stessa azienda, presso la quale il servizio è stato acquistato, utilizzi detto indirizzo per inviare all’utente comunicazioni promozionali, finalizzate alla vendita di servizi della stessa tipologia del primo. In ogni caso, l’utente deve avere la possibilità di rifiutare queste ulteriori comunicazioni, in modo semplice e immediato, gratuitamente. Comunque è vietato l’invio di comunicazioni promozionali che tengano celati o che camuffino l’identità e il recapito del mittente;
  • l’inserimento dei dati delle persone in appositi elenchi a disposizione del pubblico [7], che deve avvenire secondo modalità stabilite dal Garante per la protezione dei dati personali.

Come abbiamo detto sopra, perché si sostanzi il reato non basta la pura e semplice violazione di una o più delle suddette disposizioni. Occorre un ulteriore elemento, che viene detto “dolo specifico”. Cosa si intende con questa espressione? Il dolo altro non è che l’intenzionalità della condotta posta in essere da un soggetto. Esso può essere generico o specifico. Precisamente:

  • il dolo generico si ha quando l’agente vuole realizzare la condotta prevista come reato. Ad esempio, nell’omicidio il dolo è rivolto al provocare la morte di una persona;
  • il dolo specifico è un’ulteriore finalità perseguita dall’agente. Facciamo l’esempio di una persona che, al fine  di intascare  denaro dall’assicurazione, distrugge la cosa assicurata. Qui ricorre il reato di fraudolenta distruzione della cosa propria; ma a tal fine deve ricorrere non solo il dolo generico, ossia la volontà di distruggere, occultare, disperdere, deteriorare cose proprie, ma anche il dolo specifico, ossia che tali condotte siano tenute allo scopo di conseguire un risarcimento da un’assicurazione.

Nel reato di trattamento illecito di dati, del quale ci stiamo occupando, è richiesto non solo il dolo generico rivolto alla violazione delle norme, sopra descritte, poste a tutela della privacy;  è necessario anche un dolo specifico, e precisamente:

  • che chi agisce in violazione delle norme sulla privacy lo faccia per trarne profitto per sé o per altri. Occorre dunque quello che viene chiamato, in termini giuridici, “dolo specifico”, cioè una volontà rivolta al conseguimento di un certo risultato. Per “profitto” non si intende necessariamente un guadagno, ma qualsiasi soddisfazione, anche di carattere non economico, che l’agente si ripromette di conseguire mediante l’utilizzo dei dati personali altrui. Ad esempio, la Corte di Cassazione ha ritenuto [8] sussistere il dolo specifico del “profitto” nel fatto di un soggetto che ha registrato su uno smartphone un video di una persona spogliata e delirante e lo ha poi riprodotto su un pc, per procurare divertimento a sé e ad altri;
  • oppure che chi agisce lo faccia per cagionare all’interessato un danno. L’interessato è il soggetto, i cui dati vengono utilizzati dall’agente in maniera difforme rispetto a quanto previsto dalla legge. E’ un’altra ipotesi di dolo specifico: la volontà dell’agente è rivolta a danneggiare altri. Pensiamo all’ipotesi di chi, grazie al suo lavoro, acquisisce i dati personali di un soggetto, contenenti informazioni che potrebbero lederne l’immagine. Se divulga queste informazioni allo scopo di recar danno alla reputazione di questo soggetto, commette reato.

Inoltre, occorre che dal comportamento dell’agente sia derivato un nocumento per l’interessato. Quello di nocumento è un concetto più ampio rispetto a quello di danno: esso infatti comprende qualsiasi pregiudizio, anche di carattere non patrimoniale, che sia derivato dalla condotta del’agente. E’ importante sottolineare che il nocumento non coincide con il danno al quale è rivolto il dolo specifico dell’agente.

Il danno voluto dall’agente potrebbe non verificarsi; ma se dalla condotta deriva un qualsiasi pregiudizio per l’interessato,  il reato sussiste. E’ necessario, comunque, che questo nocumento sia comunque messo in conto dall’agente come possibile conseguenza della sua condotta, anche se la sua volontà non è rivolta a questo scopo. Facciamo un esempio per capire meglio questo concetto. Tizio, titolare di un’azienda che fornisce servizi online ha dei dissidi con Caio, utente del servizio stesso.

Essendo in possesso dei dati relativi all’ubicazione dell’utente, ha la prova che lo stesso, nel momento in cui avrebbe dovuto trovarsi al lavoro, in realtà era in un luogo diverso. Fa quindi pervenire questo dato al datore di lavoro di Caio, al fine (dolo specifico) di provocarne il licenziamento. Sa bene che la vittima potrebbe subire conseguenze di carattere emotivo molto forti, e, anche se non è questo il suo scopo, accetta questa eventualità.

Alla fine, Caio ha un colloquio chiarificatore con il datore di lavoro, e gli dimostra di essersi allontanato dal posto di lavoro per aiutare sua madre, colta da un malore. Il licenziamento, quindi, non avviene; però Caio, per lo spavento derivante da questa eventualità, ha un infarto e viene ricoverato in ospedale. Quindi si è verificato un nocumento, e si sostanzia il reato.

La legge stabilisce inoltre che  il reato contro la privacy di trattamento illecito dei dati sussiste soltanto se il fatto considerato, di per sé, non costituisce un più grave reato. E’ un’ipotesi contemplata dal nostro diritto penale, detta “clausola di sussidiarietà”. Infatti, può anche verificarsi che un unico comportamento violi più norme penali, e, in astratto, comporti la sussistenza di due o più reati diversi. Applicando il principio di sussidiarietà, si avrà riguardo soltanto al reato più grave, che “assorbe” gli altri.

Un esempio è dato dal comportamento di chi, allo scopo di diffamare una persona su Internet, divulga i suoi dati personali al di fuori dei casi in cui la legge lo consente. Qui sarebbero presenti due reati: la diffamazione aggravata online e il trattamento illecito di dati personali. La Corte di Cassazione, in una recente pronuncia [9], ha stabilito che, in casi come questo, va considerato “più grave” il reato che comporterebbe, nel caso concreto, l’applicazione di una pena maggiore.

Nella situazione specifica sottoposta all’esame della Suprema Corte, che appunto riguardava il rapporto di sussidiarietà tra diffamazione aggravata online e trattamento illecito di dati personali, è risultato essere più grave il primo reato, che pertanto ha assorbito il secondo. Questo reato è punito con la pena della reclusione da sei mesi a un anno e sei mesi.

Il reato aggravato di illecito trattamento dei dati

La legge prevede un’ipotesi aggravata del reato di illecito trattamento dei dati [10]. Si tratta del caso di chi procede al trattamento dei dati personali altrui in violazione:

  • delle norme che riguardano il trattamento di dati di interesse pubblico rilevante [11]. Sono di interesse pubblico i dati che vengono trattati in una grande quantità di materie come, ad esempio, gli atti e i registri dello stato civile, dell’elettorato attivo e passivo, dello status di rifugiato, i pubblici registri immobiliari, il pubblico registro automobilistico e molti altri ancora;
  • delle norme che riguardano i dati relativi a condanne penali, reati, applicazione di misure di sicurezza [12];
  • delle misure di garanzia previste per il trattamento dei dati genetici, biometrici e relativi alla salute [13];
  • delle misure e degli accorgimenti stabiliti dal Garante per la Privacy, a tutela dell’interessato, in caso di esecuzione di compiti di interesse pubblico che possono comportare un rischio elevato [14].

Anche in questo caso è necessario:

  • che vi sia il dolo specifico, dato dallo scopo di trarre dalla violazione un profitto per sé o per altri, ovvero di arrecare danno all’interessato;
  • che si verifichi nocumento per l’interessato.

Questo reato è punito con la pena della reclusione da uno a tre anni.

Il reato di trasferimento dei dati personali verso un Paese terzo

Questo reato sussiste quando l’agente trasferisce i dati personali di un soggetto verso un Paese terzo, o un’organizzazione internazionale, al di fuori dei casi in cui la legge lo consente [15]. Perché il trasferimento possa avvenire, è necessario che nel Paese terzo, o nell’operare dell’organizzazione internazionale, vi siano condizioni di adeguatezza, valutate come sussistenti dalla Commissione UE, la quale ritiene che detto Paese o l’organizzazione internazionale garantiscano un’adeguata protezione dei dati.

In mancanza del giudizio di adeguatezza per il Paese o per l’organizzazione internazionale in questione, il titolare o il responsabile del trattamento dei dati possono procedere al trasferimento degli stessi solo se hanno fornito garanzie adeguate.

Se le predette due condizioni, per varie ragioni, non possono realizzarsi, il trasferimento è consentito se: non è ripetitivo, riguarda un numero limitato di persone interessate, è indispensabile per realizzare  interessi legittimi cogenti del titolare del trattamento, su cui tuttavia non devono essere prevalenti  gli interessi o i diritti e le libertà della persona interessata; inoltre occorre che  il titolare del trattamento abbia considerato tutte le circostanze riguardanti il  trasferimento e, conseguentemente, abbia fornito idonee garanzie riguardo alla protezione dei dati personali.

Infine, il titolare del trattamento, in questi casi, ha l’obbligo di informare del trasferimento l’autorità di controllo; dovrà inoltre informare l’interessato del trasferimento e degli interessi legittimi cogenti perseguiti. Chi viola le suddette disposizioni commette reato, se:

  • lo fa allo scopo di procurare a sé o ad altri un profitto, ovvero allo scopo di cagionare un danno all’interessato;
  • dal fatto deriva un nocumento all’interessato.

Questo reato è punito con la reclusione da uno a tre anni. Ora puoi dire di saperne di più sui reati contro la privacy. Questo ti consentirà di non commettere errori nella tua attività, evitando conseguenze penali spiacevoli.

note

[1]  D. Lgs. n. 196/2003 e succ. mod. e integraz.
[2]  D. Lgs. n. 101/2018.
[3]  Art. 167 co. D. Lgs. n. 196/2003.
[4]  Art. 123 D. Lgs. n. 196/2003.
[5]  Art. 126 D. Lgs. n. 196/2003.
[6]  Art. 130 D. Lgs. n. 196/2003.
[7]  Art. 129 D. Lgs. n. 196/2003.
[8]  Cass. sent. n. 28280/2013.
[9]  Cass. sent. n. 44390/2017.
[10] Art. 167 co. 2 D. Lgs. n. 196/2003.
[11] Art. 2 sexies D. Lgs. n. 196/2003.
[12] Art. 2 octies D. Lgs. n. 196/2003.
[13] Art. 2 septies D. Lgs. n. 196/2003.
[14] Art. 2 quinquiesdecies D. Lgs. n. 196/2003.
[15] Art. 167 co. 3 D. Lgs. n. 196/2003.


Per avere il pdf inserisci qui la tua email. Se non sei già iscritto, riceverai la nostra newsletter:

Informativa sulla privacy
DOWNLOAD

Lascia un commento

Usa il form per discutere sul tema. Per richiedere una consulenza vai all’apposito modulo.

 



NEWSLETTER

Iscriviti per rimanere sempre informato e aggiornato.

CERCA CODICI ANNOTATI