Come viene punita la violazione della privacy?
Quando l’illecito trattamento di dati altrui costituisce reato: non sempre la violazione della privacy consente di ottenere il risarcimento del danno.
Massima attenzione anche alle più piccole violazioni al regolamento sulla privacy perché potrebbero aumentare le richieste di risarcimento danni in caso di gestione sbagliata dei dati personali. Ma come viene punita la violazione della privacy?
L’introduzione del Regolamento Generale per la Protezione dei Dati (meglio conosciuto con l’abbreviazione GDPR) ha costituito la base per una miglior difesa e tutela dei dati personali.
Sono quotidiane ormai le intrusioni nella vita privata con cui tutti, purtroppo, abbiamo quotidianamente a che fare. C’è quella di chi invia e-mail pubblicitarie non richieste (il cosiddetto spam), quella di chi rivela i dati sanitari altrui, quella di chi diffonde dati sensibili come il numero di telefono, quella dei call center che telefonano per proporre nuove utenze, quella di chi vende i dati di terzi o quella di chi installa una telecamera di sorveglianza sul pianerottolo fino a riprendere anche la porta di casa del vicino.
Ad ognuna di queste violazioni corrisponde una norma diversa anche in relazione alla tipologia di dati trattati.Non esiste quindi un’unica sanzione per le violazioni della privacy. Peraltro, come di recente ha detto la Cassazione e come ha specificato la Corte di Giustizia dell’Unione Europea, non tutte le violazioni della privacy possono essere punite ma solo quelle di portata più elevata.
Stabilire quindi come viene punita la violazione della privacy è particolarmente complicato. Si possono tuttavia tracciare delle linee guida sulla base delle ipotesi più frequenti. Di tanto ci occuperemo qui di seguito.
Indice
Trattamento illecito di dati personali
Sia il codice della privacy (D.Lgs. 196/2003) che il Regolamento UE 2016/679 (GDPR) hanno stabilito dei casi specifici in cui si configura il reato di trattamento illecito di dati personali. Queste disposizioni prevedono ipotesi nelle quali siamo, quindi, nell’ambito del penale. Viene infatti punito chi viola la privacy se lo fa per ottenere un profitto o per arrecare un danno.
Ma quali sono le condotte vietate e cosa si rischia? Possiamo riassumere le principali:
- comunicazione o diffusione impropria dei dati personali al di fuori dei casi previsti dalla legge, senza il consenso dell’interessato o in violazione di normative anche per dati di natura particolare (ad esempio dati sulla salute od orientamento sessuale): si rischia la reclusione fino a tre anni;
- comunicazione o diffusione illecita di dati personali su larga scala: prevista la reclusione da uno a quattro anni;
- acquisizione di dati personali in modo fraudolento: possibile la reclusione da uno a quattro anni;
Dove si svolgerà il processo?
A quale giudice rivolgersi nel caso di violazione della privacy? La Cassazione Penale, chiamata a risolvere la questione sul giudice competente per territorio nel caso di reato per trattamento illecito dei dati personali nel caso non sia chiaro il luogo in cui sia avvenuta la violazione, ha chiarito di recente [2] che il reato indicato dall’art. 167 della legge 196/2013 si consuma nel momento e nel luogo in cui si verifica il danno, e cioè quando i dati sensibili diventano a disposizione di terzi in rete.
La Suprema Corte ha chiarito che il procedimento si svolgerà presso il luogo in cui è stato denunciato il reato.
Interferenze illecite nella vita privata
Esiste poi il reato di interferenze illecite nella vita privata sanzionato dall’articolo 615-bis del Codice penale con la reclusione da 6 mesi a 4 anni. In tale ipotesi, si punisce il comportamento di chi, con strumenti di ripresa visiva o sonora, si procura indebitamente notizie o immagini attinenti alla vita privata che si svolgono nei luoghi di privata dimora altrui. Si pensi al condomino che piazza una telecamera di fronte alla porta del vicino, a chi mette una microspia in casa di un’altra persona per registrare ciò che succede, ecc.
Accesso abusivo a sistema informatico
Un altro tipico reato che, in senso lato, viola la privacy è quello di accesso abusivo a sistema informatico punito dall’articolo 615-ter del Codice penale. La norma stabilisce che chi abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.
In questo caso, viene punita la condotta di chi, ad esempio, entra nell’account social o nell’e-mail di un’altra persona (anche se in precedenza ha ottenuto legittimamente le credenziali di accesso).
Se poi le credenziali di accesso all’altrui sistema informatico vengono anche divulgate e condivise con terzi, la reclusione sale sino a 1 anno e scatta la multa fino a 10milioni delle vecchie lire.
Risarcimento danni per violazione della privacy
A fronte di tali condotte la vittima, laddove la legge preveda un reato, può querelare il responsabile. Inoltre, può esigere il risarcimento dei danni morali.
In linea generale, l’articolo 15 del Codice della privacy (L. 196/2013) stabilisce che «chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento» così come l’articolo 2050 del Codice civile prevede.
Per percorrere tale strada risarcitoria è necessaria, però, una dimostrazione del danno subito, non è sufficiente, in altre parole, provare semplicemente che vi è stata una violazione della privacy
L’articolo 82 del Regolamento Generale per la Protezione dei Dati riconosce al primo comma il diritto ad ottenere il risarcimento del danno, da parte del titolare del trattamento o del responsabile del trattamento, a chiunque subisca un danno materiale od immateriale a causa di una violazione del regolamento stesso. Devono però sussistere tre condizioni per il riconoscimento del diritto al risarcimento del danno, ed in particolare:
- un danno subito
- la violazione del regolamento
- il nesso causale tra il danno subito dall’interessato e la violazione
Sempre l’articolo 82 esclude la responsabilità in caso di non imputabilità del soggetto responsabile dell’evento che ha provocato il danno.
Nel nostro ordinamento italiano questa previsione si ritrova anche nell’art. 2020 del codice civile, che consente di considerare il trattamento dei dati personali, a causa della sua natura, come attività pericolosa tale da necessitare una particolare cautela, da parte del titolare dei dati o del responsabile del trattamento, per evitare ogni possibile rischio di violazione.
È oggetto di risarcimento del danno non patrimoniale il comportamento di chi tratti i dati personali in violazione dell’articolo 11 del Codice della privacy ossia in modo illecito e contrario alla correttezza, in forma non aggiornata e non esatta, in modo non pertinente ed eccedente rispetto alle finalità per cui i dati stessi sono raccolti, per un periodo di tempo superiore a quello necessario agli scopi per i quali essi sono stati raccolti.
Secondo la Cassazione [1], in materia di violazione della privacy, occorre che il soggetto passivo denunci in maniera analitica i danni sofferti senza limitarsi a eccepire che l’illecito uso dei suoi dati gli avrebbe procurato una generica sofferenza. Un comportamento questo che – secondo la Cassazione – è completamente inadeguato per riconoscere il danno non patrimoniale.
Nel caso in commento, l’Inps aveva ottenuto (tramite una società di investigazioni) la documentazione attestante la sua situazione retributiva nei confronti di un soggetto, al fine di acquisire elementi di prova da far valere nell’ambito di un procedimento penale nel quale il soggetto era coinvolto.
In relazione al caso in questione, la Cassazione ha ricordato il principio di diritto secondo cui «il danno non patrimoniale risarcibile ex articolo 15 del Dlgs 196/2003 (codice della privacy) pur determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato dagli articoli 2 e 21 e dall’articolo 8 della Cedu, non si sottrae alla verifica della “gravità della lesione” e della “serietà del danno».
Quindi:
- se la lesione è minima deve prevalere il principio della tolleranza;
- nel caso, invece, si tratti di offesa grave, deve essere riconosciuta la lesione della privacy, verifica che in ogni caso spetta al giudice.
La Corte ritiene, pertanto, che il danno alla privacy, come ogni danno non patrimoniale, non sussiste in automatico, non identificandosi il danno risarcibile con la mera lesione dell’interesse tutelato dall’ordinamento, ma con le conseguenze di tale lesione.
L’orientamento della Corte di Giustizia dell’Unione Europea
Di recente [3] la Corte di Giustizia dell’Unione Europea ha ribadito tali principi ormai consolidati individuando un
Il valore di mille euro, nel caso esaminato dalla Corte di Giustizia, è stato considerato talmente basso da non esser in alcun modo preso in considerazione per un risarcimento, ribadendo però che sono valutabili sia i danni materiali che immateriali in caso di lesioni della privacy e che spetta ad ogni Stato membro stabilire le singole modalità per i ricordi dinanzi alle Autorità di giustizia. Probabilmente questa pronuncia apre lo spiraglio per la richiesta di risarcimento per violazione del Regolamento Generale per la Protezione dei Dati anche per cifre prima giudicate irrisorie, purchè però venga fornita la prova di un collegamento tra il danno subito e la violazione del Regolamento che si invoca in giudizio.