Paolo Galdieri / Violazione della privacy informatica
La violazione delle norme penali previste dal Codice della privacy posto a tutela della riservatezza informatica, o meglio, del trattamento, anche digitale, del dato.
Le tipologie di violazioni delle norme sulla privacy informatica possono essere diverse e dipendono da vari fattori, inclusi i tipi di dati ed i soggetti coinvolti e le circostanze specifiche dell’incidente. Alcune delle tipologie comuni di violazioni della privacy informatica includono:
Trattamento illecito di dati
1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, operando in violazione di quanto disposto dagli articoli 123,126 e 130 o dal provvedimento di cui all’articolo129 arreca nocumento all’interessato, è punito con la reclusione da sei mesi a un anno e sei mesi.
2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, procedendo al trattamento dei dati personali di cui agli articoli 9 e 10 del Regolamento in violazione delle disposizioni di cui agli articoli 2 sexies e 2 octies, o delle misure di garanzia di cui all’articolo 2 septies arreca nocumento all’interessato, è punito con la reclusione da uno a tre anni.
3. Salvo che il fatto costituisca più grave reato, la pena di cui al comma 2 si applica altresì a chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, procedendo al trasferimento dei dati personali verso un paese terzo o un’organizzazione internazionale al di fuori dei casi consentiti ai sensi degli articoli 45, 46 o 49 del Regolamento, arreca nocumento all’interessato.
4. Il Pubblico ministero, quando ha notizia dei reati di cui ai commi 1, 2 e 3, ne informa senza ritardo il Garante.
5. Il Garante trasmette al pubblico ministero, con una relazione motivata, la documentazione raccolta nello svolgimento dell’attività di accertamento nel caso in cui emergano elementi che facciano presumere la esistenza di un reato. La trasmissione degli atti al pubblico ministero avviene al più tardi al termine dell’attività di accertamento delle violazioni delle disposizioni di cui al presente decreto.
6. Quando per lo stesso fatto è stata applicata a norma del presente codice o del Regolamento a carico dell’imputato o dell’ente una sanzione amministrativa pecuniaria dal Garante e questa è stata riscossa, la pena è diminuita.
Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala
1. Salvo che il fatto costituisca più grave reato, chiunque comunica o diffonde al fine di trarre profitto per sé o altri ovvero al fine di arrecare danno, un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala, in violazione degli articoli 2 ter, 2 sexies e 2 octies, è punito con la reclusione da uno a sei anni.
2. Salvo che il fatto costituisca più grave reato, chiunque, al fine trarne profitto per sé o altri ovvero di arrecare danno, comunica o diffonde, senza consenso, un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala, è punito con la reclusione da uno a sei anni, quando il consenso dell’interessato è richiesto per le operazioni di comunicazione e di diffusione.
3. Per i reati di cui ai commi 1 e 2, si applicano i commi 4, 5 e 6 dell’articolo 167.
Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala
1. Salvo che il fatto costituisca più grave reato, chiunque, al fine trarne profitto per sé o altri ovvero di arrecare danno, acquisisce con mezzi fraudolenti un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala è punito con la reclusione da uno a quattro anni.
2. Per il reato di cui al comma 1 si applicano i commi 4, 5 e 6 dell’articolo 167.
Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante
1. Salvo che il fatto costituisca più grave reato, chiunque, in un procedimento o nel corso di accertamenti dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito con la reclusione da sei mesi a tre anni.
2. Fuori dei casi di cui al comma 1, è punito con la reclusione sino ad un anno chiunque intenzionalmente cagiona un’interruzione o turba la regolarità di un procedimento dinanzi al Garante o degli accertamenti dallo stesso svolti.
Inosservanza di provvedimenti del Garante
1. Chiunque, non osservando il provvedimento adottato dal Garante ai sensi degli articoli 58, paragrafo 2, lettera f) del Regolamento, dell’articolo 2 septies, comma 1, nonché i provvedimenti generali di cui all’articolo 21, comma 1, del decreto legislativo di attuazione dell’articolo 13 della legge 25 ottobre 2017, n. 163, arreca un concreto nocumento a uno o più soggetti interessati al trattamento è punito, a querela della persona offesa, con la reclusione da tre mesi a due anni.
Violazioni delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori
1. La violazione delle disposizioni di cui agli articoli 4, comma 1, e 8 della legge 20 maggio 1970, n. 300, è punita con le sanzioni di cui all’articolo 38 della medesima legge.
La giurisprudenza dice che il reato di trattamento illecito di dati personali può essere commesso da qualsiasi soggetto privato, non solo da soggetti “istituzionali” quali società ed enti
Nel caso di spamming, si richiede un’adeguata verifica fattuale volta ad accertare, ad esempio, se l’utente abbia segnalato al mittente di non voler ricevere un certo tipo di messaggi e se, nonostante tale iniziativa, il soggetto agente abbia perseverato in maniera non occasionale a inviare messaggi indesiderati, creando così un reale disagio al destinatario.
È configurabile il concorso tra il delitto di trattamento illecito di dati personali e quello di diffamazione, poiché la clausola di riserva di cui all’art. 167, comma 1, D.Lgs. 30 giugno 2003, n. 196 (“salvo che il fatto costituisca più grave reato”) presuppone l’identità dei beni giuridici tutelati dai diversi reati, identità che non ricorre nel caso di specie, poiché il delitto di diffamazione tutela la reputazione, attinente all’aspetto esteriore della tutela dell’individuo e al suo diritto di godere di un certo riconoscimento sociale, mentre il delitto di trattamento illecito di dati personali è posto a tutela della riservatezza che ha riguardo all’aspetto interiore dell’individuo e al suo diritto a preservare la propria sfera personale da ingerenze indebite.
Il nocumento previsto dall’art.167 deve intendersi come un pregiudizio giuridicamente rilevante di qualsiasi natura, patrimoniale o non patrimoniale, subito dal soggetto cui si riferiscono i dati protetti oppure da terzi quale conseguenza dell’illecito trattamento .
Il nocumento previsto dall’art. 167 non è soltanto quello derivato alla persona fisica o giuridica cui si riferiscono i dati, ma anche quello causato a soggetti terzi quale conseguenza dell’illecito trattamento.
La giurisprudenza stabilisce che il nocumento derivante dal trattamento illecito dei dati personali, previsto dall’art. 167 del D.Lgs. n. 196/2003, è un elemento costitutivo del reato e non una semplice condizione di punibilità. Questo significa che l’agente deve prevedere o accettare il nocumento come conseguenza della propria azione, indipendentemente dal fatto che sia il fine stesso dell’azione.
Inoltre, il nocumento non riguarda solo la persona a cui si riferiscono i dati, ma anche terzi colpiti dall’illecito trattamento. Per quanto riguarda gli host provider, non possono essere obbligati a impedire i reati commessi dagli utenti a meno che non abbiano conoscenza dell’illiceità dei contenuti pubblicati, momento a partire dal quale potrebbe configurarsi una responsabilità per il trattamento illecito dei dati.
Ci si tutela dal trattamento illecito dei dati personali adottando una serie di misure preventive e reattive:
Consenso informato: Assicurarsi di ottenere il consenso informato degli individui prima di raccogliere, elaborare o condividere i loro dati personali.
Sicurezza dei dati: Implementare misure di sicurezza adeguate per proteggere i dati personali da accessi non autorizzati, perdite o furti. Ciò può includere l’uso di crittografia, firewall, password sicure e limitazioni di accesso.
Politiche e procedure: Creare e rispettare politiche e procedure chiare per il trattamento dei dati personali, comprese le modalità di conservazione, accesso e condivisione dei dati.
Formazione del personale: Fare in modo che il personale coinvolto nella gestione dei dati sia adeguatamente formato sulle normative sulla protezione dei dati e consapevole delle migliori pratiche in materia di sicurezza informatica.
Monitoraggio e risposta agli incidenti: Implementare sistemi di monitoraggio per rilevare eventuali violazioni dei dati e avere procedure in atto per rispondere prontamente agli incidenti, compresa la notifica alle autorità competenti e agli individui interessati.
Conformità normativa: Mantenere la conformità con le leggi e i regolamenti applicabili sulla protezione dei dati, come il GDPR in Europa o altre leggi nazionali sulla privacy.
Contratti e accordi: Stipulare contratti e accordi chiari con terze parti che potrebbero avere accesso ai dati personali, specificando le responsabilità e i requisiti di sicurezza.
La consulenza legale nell’ambito della protezione dei dati personali può essere richiesta sia dalla parte della vittima che del presunto autore del reato.
Da parte della vittima:
Da parte del presunto autore del reato:
Lo Studio Legale Galdieri ha sviluppato una serie di corsi di formazione, sia sugli aspetti giuridici che tecnici, specializzati sulla “Violazione della Privacy Informatica”. I prototipi formativi dell’avvocato Paolo Galdieri sono altamente personalizzati, in questo modo si garantisce che ogni corso sia direttamente realizzabile all’ambiente professionale dei partecipanti, massimizzando l’efficacia dell’apprendimento e l’implementazione delle migliori pratiche in materia di protezione dei dati.
Attraverso lezioni teoriche, case studies e sessioni di lavoro interattive, i partecipanti acquisiranno competenze cruciali per identificare e gestire i rischi di Violazione della Privacy Informatica, comprendendo a fondo le implicazioni legali connesse e acquisendo le più avanzate strategie di mitigazione.
Avvocato penalista, Paolo Galdieri è esperto nella gestione di controversie in materia di Violazione della privacy informatica.
Scopri di più su: Avv. Paolo Galdieri
Come possiamo esserti di aiuto?
Il commento di: Avv. Paolo Galdieri
La tutela della privacy online è essenziale per proteggere l’identità e le comunicazioni degli utenti, ma può essere vulnerabile ad abusi o errori umani, come la perdita di dati sensibili tramite chiavette USB o la divulgazione non autorizzata di informazioni personali.
Riguardo alla protezione dei dati personali nell’ambito penale, indipendentemente dalla configurabilità di altri reati, il Regolamento generale sulla protezione dei dati, 2016/679 (GDPR), stabilisce che spetta agli Stati membri regolamentare la sfera criminale con sanzioni “effettive, proporzionate e dissuasive”.
In considerazione di questa discrezionalità conferita dal regolamento comunitario, il legislatore nazionale, con il Decreto Legislativo n. 101/2018, nel riformare il codice in materia di protezione dei dati personali(Codice della privacy, D.lgs. 30 giugno 2003, n. 196) , ha deciso di confermare le sanzioni penali e introdurre nuove fattispecie incriminatrici.
Le violazioni contemplate dalla normativa europea e italiana sulla protezione dei dati personali includono il trattamento illecito di dati, la comunicazione e diffusione illecita di dati personali, l’acquisizione fraudolenta di dati personali, l’interruzione delle attività o dei poteri del Garante, l’inosservanza delle disposizioni del Garante e le violazioni in materia di controlli a distanza dei lavoratori.
Per quanto riguarda il trattamento illecito di dati, la norma attuale continua a sanzionare la violazione di alcune disposizioni relative al trattamento di dati comuni al primo comma, e al secondo comma, il trattamento di dati sensibili e giudiziari senza le precauzioni necessarie.
Il comma 3 punisce con la reclusione da uno a tre anni la produzione di un danno all’interessato attraverso il trasferimento di dati personali verso un Paese terzo o un’organizzazione internazionale, al fine di trarre profitto o arrecare danno, a meno che il fatto costituisca un reato più grave o sia consentito dal regolamento.
L’art. 167- bis punisce la comunicazione e diffusione illecita di archivi automatizzati contenenti dati personali, con sanzioni proporzionate alla finalità di trarre profitto o arrecare danno.
L’art. 167 – ter sanziona l’acquisizione fraudolenta di archivi automatizzati contenenti dati personali su larga scala, senza richiedere la prova del nocumento.
L’art. 168 punisce le false dichiarazioni o la produzione di atti falsi in procedimenti dinanzi al Garante, mentre il secondo comma sanziona l’interruzione o il turbamento di procedimenti dinanzi al Garante con reclusione fino a un anno.
La violazione delle disposizioni in materia di controlli a distanza e indagini sulle opinioni dei lavoratori è punita secondo l’art. 171 del D. Lgs. n. 196/2003, che si occupa di sanzionare le violazioni relative all’utilizzo di impianti audiovisivi o strumenti di controllo a distanza dell’attività dei lavoratori, previa autorizzazione o accordo collettivo.
Sono confermate le fattispecie previste dallo Statuto dei lavoratori, specificamente all’art. 4, comma 1, e all’art. 8. L’articolo 4 riguarda l’utilizzo di impianti audiovisivi per esigenze organizzative e produttive, mentre l’articolo 8 vieta indagini sulle opinioni politiche, religiose o sindacali del lavoratore durante l’assunzione o il rapporto di lavoro.