Il reato di violazione della privacy e la nuova normativa
Come sono tutelati i nostri dati? Reato di violazione della privacy e nuova normativa.
Il diritto alla privacy e i dati personali: cosa si intende?
Il diritto alla privacy è il diritto alla protezione dei dati personali, espressione per mezzo della quale si indicano le informazioni che identificano o rendono identificabile una persona fisica e, quindi, l’insieme delle informazioni che possono fornire elementi sulle sue caratteristiche, le sue abitudini, il suo stile di vita, le sue relazioni personali, il suo stato di salute, la sua situazione economica, etc...
Violazione della privacy e la nuova normativa
La violazione della privacy è un reato che si configura allorquando si utilizzano in modo illecito i dati personali altrui, oppure nel caso in cui:
- viene notificato il falso al Garante per la privacy;
- non si adottano le misure necessarie per tutelare i dati sensibili;
- non vengono rispettati i provvedimenti stabiliti dal Garante per la privacy.
Le sanzioni previste possono essere:
- la reclusione da 6 mesi a 3 anni nel caso di trattamento illecito dei dati personali al fine di trarre un profitto o di recare danno a un soggetto terzo;
- la reclusione da 6 mesi a 3 anni per chi dichiara o attesta il falso, anche attraverso la produzione di documenti falsi che vengono esibiti dinanzi al Garante per la privacy;
- • la reclusione da 3 mesi a 2 anni per il mancato rispetto dei provvedimenti del Garante della Privacy;
- • l’arresto fino a 2 anni o l’ammenda da 10.000 a 50.000 euro nel caso in cui non vengano messe in atto le misure di sicurezza per la protezione della privacy.
Viene assegnato un termine di sei mesi per mettersi in regola e, se entro tale termine, il reo risulta adempiente, allora pagherà soltanto un quarto della somma massima prevista dal reato che così sarà estinto.
La violazione della privacy, poi, trova spesso attuazione nel mondo dell’informazione: quando i media utilizzano le informazioni di qualcun altro in modo improprio ovvero svelano dati che in realtà andrebbero tutelati. Per questa ragione, ad esempio, quando si pubblicano immagini di minori, la loro identità dev’essere coperta da pixel, perché il loro volto, così come il loro nome, non debbono essere rivelati. Infatti, il Garante della privacy ha disposto che “la divulgazione di dati in grado di consentire una identificazione, sia globale che locale, cioè limitata ad un piccolo centro o paese nel quale il minore realmente dimora, è da ritenersi comunque illecita”.
Non si possono divulgare neanche i nomi e i volti di: vittime di violenza sessuale; membri delle Forze dell’ordine o dell’autorità giudiziaria; familiari delle persone che sono state coinvolte in un fatto di cronaca. Potranno ritenersi responsabili, e pertanto perseguibili, sia il giornalista che il direttore responsabile della testata per il quale lavora. Non si commette violazione della privacy, invece, quando le immagini pubblicate sono state scattate in un luogo pubblico e non ledono la dignità di nessuno, oppure sono state prodotte con il consenso del soggetto ritratto.
La tutela dei diritti
Il 25 maggio 2018 è entrata in vigore, in tutti gli Stati membri dell’Unione Europea, la nuova disciplina in tema di privacy, il c.d. General Data Protection Regulation (GDPR ), ossia il regolamento UE 2016/679, che ha introdotto importanti novità tra le quali il diritto all’oblio e l’introduzione della figura del Data Protection Officer (DPO) all’interno delle aziende oltreché regolamentato in modo puntuale le possibili sanzioni applicabili ai trasgressori in tema di violazione della privacy.
Fino a quel momento, infatti, l’unica normativa di riferimento era il D. Lgs. n. 196 del 30 giugno 2003, il c.d. codice della privacy.
Le sanzioni amministrative:
La novità più evidente riguarda le sanzioni amministrative pecuniarie che, con l’introduzione del GDPR, sono divenute più stringenti e severe rispetto al codice della privacy, commisurate al tipo di violazione commessa. Ogni Stato membro ha un margine di discrezionalità - previsto ex art. 84 -nello stabilire quale sanzione infliggere e l’importo della medesima, avuto riguardo a tre differenti criteri:
- • natura, gravità e durata della violazione;
- • carattere doloso o colposo della violazione;
- • grado di cooperazione con l’autorità al fine di ridurne gli effetti e/o eliminarli.
Il risarcimento del danno:
Importanti novità sono state introdotte anche sul piano civile: infatti, ai sensi dell’art. 82, la vittima della violazione ha sempre la possibilità di rivolgersi all’autorità competente per chiedere il risarcimento del danno patrimoniale e non patrimoniale.
Il diritto al risarcimento del danno spetta tutte le volte in cui il titolare, o il responsabile del trattamento dei dati, abbia posto in essere una condotta in violazione delle prescrizioni del GDPR. A differenza del disposto di cui all’art. 15 del codice della privacy che, invece, prevede che sia tenuto a risarcire il danno chiunque. Dunque, a tenore del GDPR, saranno chiamati a risarcire il danno solamente il titolare e/o il responabile del trattamento: ma che differenza c’è tra i due?
Il titolare è considerato responsabile per i danni causati dal trattamento illecito dei dati e per tutte le altre violazioni previste dalla legge; mentre, il responsabile risponderà solo della violazione degli obblighi posti a suo carico oppure nel caso in cui abbia disatteso le istruzioni del titolare e, peraltro, ha anche il dovere di avvisare il titolare del trattamento nel caso di condotte non correttamente disciplinate.
Il titolare e il responsabile sono tenuti a risarcire il danno in solido in base al proprio grado di responsabilità. Saranno ritenuti esenti dal risarcimento del danno laddove riescano a dimostrare:
- che l’evento dannoso è stato cagionato da un fatto a loro non imputabile;
- di aver adottato tutte le misure atte ad evitare il danno.
Il reato:
Dal punto di vista penale, il legislatore italiano, nel recepimento delle novità introdotte dal GDPR, ha effettuato una revisione delle sanzioni previste dal codice della privacy, lavorando sulle fattispecie già sanzionate nel Regolamento ed introducendo alcune novità anche sotto l’aspetto sanzionatorio. Il GDPR lascia agli Stati membri la possibilità di introdurre delle specifiche fattispecie.
Il codice della privacy regolamentava all’art. 167 il “trattamento illecito dei dati che abbia arrecato nocumento all’interessato”. La nuova formulazione dell’art. 167 del D. Lgs. n. 196/2003, aggiornata al D. Lgs. 101/2018, disciplina la fattispecie penalmente rilevante del trattamento illecito dei dati, prevedendo al co. 1 – modificato dall'art. 9, comma 1, lettera g), del D.L. 8 ottobre 2021, n. 139 – che “salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all'interessato, operando in violazione di quanto disposto dagli articoli 123, 126 e 130 o dal provvedimento di cui all'articolo 129 arreca nocumento all'interessato, è punito con la reclusione da sei mesi a un anno e sei mesi”.
Al co. 2 la norma prevede che “salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all'interessato, procedendo al trattamento dei dati personali di cui agli articoli 9 e 10 del Regolamento in violazione delle disposizioni di cui agli articoli 2 sexies e 2 octies, o delle misure di garanzia di cui all'articolo 2 septies arreca nocumento all'interessato, è punito con la reclusione da uno a tre anni”.
Al co. 3 è disposto che, salvo che il fatto costituisca un più grave reato, la pena di cui al co. 2 si applica altresì a chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all'interessato, procedendo al trasferimento dei dati personali verso un paese terzo o un'organizzazione internazionale al di fuori dei casi consentiti ai sensi degli articoli 45, 46 o 49 del Regolamento, arreca nocumento all'interessato.
Al co. 4 è, poi, diposto che quando abbia notizia dei reati di cui ai co. 1, 2 e 3 il Pubblico Ministero ne informi senza ritardo il Garante che trasmetterà una relazione motivata al P.M., contenente la documentazione raccolta nello svolgimento dell'attività di accertamento nel caso in cui emergano elementi che facciano presumere l’esistenza di un reato In linea generale, lo schema di decreto attuativo aggiunge ulteriori fattispecie di reato a quella già presente nel codice della privacy di cui all’art. 167 con la previsione delle fattispecie seguenti:
- • all’art. 167 bis la comunicazione e la diffusione illecita di dati personali riferibili a un rilevante numero di persone;
- • all’art. 167 ter l’acquisizione fraudolenta di dati personali;
- • all’art. 168, co. 2 l’interruzione o il turbamento della regolarità del procedimento innanzi al garante;
- • all’art. 170 l’inosservanza dei provvedimenti del Garante;
- • all’art. 171 le violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori: in proposito si evidenzia come significative novità siano state apportate in materia dal D. Lgs. 136/2016, c.d. “Jobs Act”, soprattutto in materia di controlli a distanza dei lavoratori i cui confini di legittimità necessitano sicuramente di ulteriori interventi chiarificatori.
Con l’entrata in vigore del Reg. UE 2016/679, dunque, l’Unione Europea ha inteso incoraggiare lo sviluppo di una normativa in materia di dati personali che sia armonica per tutti gli Stati membri, sulla base di un criterio di omogeneità che permea l’intera disciplina.
Apparentemente in contrasto con quanto appena detto si pone la sopra citata previsione ex art. 84 del GDPR che riconosce un certo margine di discrezionalità agli Stati membri - pur individuando alcuni criteri ai quali gli Stati debbano attenersi per la definizione del regime sanzionatorio - per la determinazione e la definizione di un regime sanzionatorio diverso ed ulteriore in materia di violazione della Privacy che vada ad affiancarsi alle sanzioni amministrative specificamente indicate all’interno del Regolamento.
Fonti normative: Regolamento UE 2016/679, c.d. General Data Protection Regulation (GDPR); D. Lgs. n. 196 del 30 giugno 2003, il c.d. codice della privacy; art. 9, co. 1, lett. g) D. L. 8 ottobre 2021, n. 139.
Hai bisogno di un avvocato specializzato in tutela della privacy? Esponici il tuo caso. AvvocatoFlash ti metterà in contatto con i migliori avvocati in questo campo. Tre di loro ti invieranno un preventivo, gratuitamente, e sarai tu a scegliere a chi affidare il tuo caso.