Violazione privacy: nuove sanzioni penali
Illecito trattamento e diffusione dei dati personali: quali sono le conseguenze? Quali pene sono previste per chi viola la privacy sul luogo di lavoro?
Il celebre Gdpr ha ridisegnato la normativa sulla privacy di tutta Europa, prevedendo una disciplina che potesse uniformarsi in tutti i Paesi del continente. Il regolamento europeo ha provveduto non soltanto a stabilire nuove norme a tutela della riservatezza e della protezione dei dati sensibili dei cittadini, ma anche sanzioni penali per le trasgressioni più gravi. La disciplina della privacy, infatti, è complessa e articolata, non limitandosi solamente a prevedere sanzioni di tipo economico nel caso di violazioni: la diffusione non autorizzata di dati personali può causare un pregiudizio molto grave e pertanto occorre fornire un’adeguata tutela, anche penale. Se l’argomento suscita il tuo interesse, allora prenditi dieci minuti di tempo e prosegui nella lettura: vedremo insieme quali sono le
Indice
Il trattamento illecito dei dati
La prima delle nuove sanzioni penali nei casi di violazione della privacy è quella riguardante il trattamento illecito dei dati; non si tratta, come è facile intuire, di una normativa del tutto nuova, ma di un restyling di quella precedente. Secondo la legge
Il trattamento illecito
Quando ricorre una di queste ipotesi di
Viene previsto, infine, che, se per la medesima condotta illecita è già stata comminata una sanzione meramente amministrativa consistente nell’obbligo di pagare una determinata somma di danaro, la pena va diminuita. La legge dice che, quando per lo stesso fatto è stata applicata a carico dell’imputato o dell’ente una sanzione amministrativa pecuniaria dal Garante e questa è stata riscossa, la pena è ridotta in base al prudente apprezzamento del giudice.
Comunicazione e diffusione illecita di dati personali trattati su larga scala
La seconda delle nuove sanzioni penali in caso di violazione della privacy riguarda l’illecita diffusione dei dati personali trattati «su larga scala». Cosa si intende con questa locuzione? Ebbene, si deve ritenere che i dati trattati su larga scala siano quelli che coinvolgono una notevole quantità di dati personali. Ad esempio, sono esempi di trattamento dati su larga scala quelli relativi a pazienti svolto da un ospedale nell’ambito delle ordinarie attività, ovvero quello relativo agli spostamenti di utenti di un servizio di trasporto pubblico cittadino, oppure il trattamento di dati relativi alla clientela da parte di una compagnia assicurativa o di una banca nell’ambito delle ordinarie attività.
Secondo la legge, chiunque comunica o diffonde, al fine di trarre profitto per sé o altri ovvero al fine di arrecare danno, un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala, è punito con la reclusione da uno a sei anni [2].
Posto che il dolo è sempre lo stesso (cioè l’intenzione di trarne un profitto o solamente di arrecare un danno), questa nuova sanzione penale in caso di violazione della privacy ricorre solamente quando il colpevole abbia comunicato o diffuso, senza consenso, dati che riguardano un rilevante numero di persone. Si applicano anche in questo caso le norme che obbligano magistrato del pubblico ministero e autorità garante della privacy a collaborare, anche al fine di ridurre la pena qualora sia già stata pagata la sanzione amministrativa.
Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala
Un’altra delle nuove sanzioni penali previste per la violazione della privacy riguarda l’acquisizione fraudolenta (cioè, avvenuta con l’inganno, senza consenso) dei dati personali oggetto di trattamento su larga scala, senza però che ne consegua la diffusione o la comunicazione verso terzi [3].
In altre parole, ad essere punita è solamente l’acquisizione con mezzi fraudolenti di dati personali oggetto di trattamento su larga scala contenuti in un archivio automatizzato; la sanzione è la reclusione da uno a quattro anni. Necessaria è sempre la presenza dell’elemento soggettivo o psicologico, cioè la volontà di trarre un vantaggio economico per sé o per altri, oppure di procurare un danno a colui cui i dati si riferiscono.
Come si evince da quanto detto, la mera acquisizione ingannevole dei dati personali altrui è oggetto di un trattamento sanzionatorio meno severo rispetto a quanto previsto per la divulgazione di suddetti dati: la ragione è da rinvenirsi nel minor danno che si arreca all’interessato, cioè a colui i cui dati sono stati violati. Anche in questa circostanza la legge prevede il necessario coordinamento tra magistrato del pubblico ministero e autorità garante, anche al fine di ridurre la pena qualora, per la medesima infrazione, sia già stata pagata la sanzione amministrativa.
Dichiarazioni false e interruzione dell’attività del Garante della privacy
Tra le nuove sanzioni penali
Tra le nuove sanzioni penali in caso di violazione della privacy questa è l’ipotesi che meno differisce da quanto previsto dal codice prima della novella. Come vedremo di qui a un istante, la legge punisce due differenti condotte anche se, in entrambi i casi, il bene giuridico tutelato è il corretto svolgimento delle funzioni amministrative del Garante, il regolare ed ordinato andamento dell’attività della pubblica amministrazione.
La norma punisce chiunque dichiari o attesti falsamente notizie o circostanze o produca atti o documenti falsi; si tratta di due differenti condotte, la prima delle quali prevede l’attestazione, ovvero l’attività di redazione di atti
Viene altresì punito chi cagiona un’interruzione o chi arrechi un turbamento all’attività del Garante. Anche in questo caso le condotte previste sono due: l’interruzione individua il mancato svolgimento dell’attività, indipendentemente dal fatto che questa sia temporanea o definitiva; il turbamento, al contrario, si riferisce ad un’alterazione del regolare svolgimento dell’attività la quale, pur non comportando la cessazione della stessa, sia tale da pregiudicare in maniera apprezzabile il perseguimento degli obiettivi cui la stessa è finalizzata.
Reato di inosservanza dei provvedimenti del Garante
Nelle nuove sanzioni penali in caso di violazione privacy compare anche il delitto di mancato rispetto dei provvedimenti del Garante della privacy. Secondo la legge, chi, essendovi tenuto, non osserva i provvedimenti adottati dal Garante, è punito con la reclusione da tre mesi a due anni [5]. A dispetto delle apparenze, si tratta di un reato proprio, cioè di un crimine che può essere commesso solamente dal destinatario del provvedimento dell’autorità garante.
La condotta tipica consiste nell’inosservanza dei provvedimenti del Garante da parte del destinatario dell’atto, obbligato a conformarvisi. È bene precisare che non ogni violazione dei provvedimenti costituisce reato, ma solamente la trasgressione di precisi provvedimenti adottati dall’autorità garante; si tratta, tra gli altri:
- dei provvedimenti di limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento;
- dei provvedimenti con i quali l’Autorità stabilisce le misure di garanzia funzionali ad autorizzare, ma in senso restrittivo, il delicato campo del trattamento dei dati genetici, biometrici e relativi alla salute.
Reato violazione privacy sul posto di lavoro
Infine, le nuove sanzioni penali per violazione della privacy si applicano sul posto di lavoro, nel caso in cui il datore violi la riservatezza dei dipendenti [6]. Nello specifico, è prevista l’applicazione di un’ammenda o dell’arresto da quindici giorni a un anno nel caso in cui il datore di lavoro:
- utilizzi impianti audiovisivi e gli altri strumenti dai quali derivi la possibilità di controllo a distanza dell’attività dei lavoratori senza che vi siano esigenze organizzative e produttive, ovvero ragioni di sicurezza del lavoro e di tutela del patrimonio aziendale, e senza il previo accordo collettivo stipulato dalla rappresentanza sindacale unitaria o dalle rappresentanze sindacali aziendali;
- ai fini dell’assunzione o nel corso dello svolgimento del rapporto di lavoro, effettui indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell’attitudine professionale dello stesso.