Cosa accade nei casi di violazione della privacy e le sanzioni previste: quando si configura questo reato, cosa prevede la legge e come difendersi se ci si reputa danneggiati.
La violazione della privacy è un reato che può essere commesso in diversi ambiti, come in casa, a scuola o a lavoro. È facile, infatti, fare un uso errato dei dati sensibili che, oramai, si trovano ovunque. Occorre dunque fare molta attenzione, per non incorrere in sanzioni amministrative o, addirittura, penali.
Il codice della privacy
Le norme che regolano la privacy sono contenute nel d.lgs. 196 del 2003, nel codice in materia di protezione dei dati personali, così come modificato, da ultimo, dal d.lgs. 101 del 2018. L’articolo 15, al primo comma, stabilisce che: “chiunque cagiona un danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile”. Inoltre, ai sensi dell’articolo 169, le aziende che non proteggono i dati personali dei propri dipendenti tramite l’utilizzo di appositi strumenti stanno commettendo un illecito. La legge punisce, dunque, sia chi utilizza i dati personali altrui in modo illecito, sia chi non li protegge.
Il diritto alla privacy
Per privacy si intende il diritto alla riservatezza delle informazioni personali e della vita privata di qualunque individuo. Se i dati vengono divulgati da parte di soggetti terzi senza il consenso dell’avente diritto si verifica una violazione della privacy. Ai sensi dell’articolo 167 del codice della privacy, per informazione personale si intende “qualunque informazione relativa ad una persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, compreso un numero di identificazione personale”. In particolare, si distinguono quattro tipologie di informazioni personali:
- dati sensibili, quelli relativi alla razza, alla religione, alle opinioni politiche, all’appartenenza ad un partito, ad un sindacato o ad un’associazione e a ciò che riguarda lo stato di salute e la vita sessuale di una persona;
- dati semisensibili, che comprendono le liste di sospettati di frode, la situazione finanziaria o l’iscrizione alla centrale dei rischi;
- dati comuni, ovvero le generalità nome, cognome, codice fiscale, partita iva, indirizzo di posta elettronica, numero di telefono, carta di identità o patente;
- dati giudiziari, che indicano la presenza di carichi pendenti, condanne divenute irrevocabili, contenziosi in corso o sanzioni penali o amministrative pagate.
Le sanzioni per la violazione della privacy
La violazione della privacy, dunque, integra un reato che viene commesso nel momento in cui si utilizzano in modo illecito (senza il consenso dell’avente diritto) i suoi dati personali. Il reato si configura anche quando:
- viene notificato il falso al Garante per la privacy;
- non si adottano le misure necessaria per tutelare i dati sensibili;
- non vengono rispettati i provvedimenti stabiliti dal Garante per la privacy.
Le sanzioni previste dal Codice per la privacy, previste dal Titolo III del codice, agli articoli 161 e seguenti, sono:
Non conosci il Salvagente? Scarica GRATIS il numero con l'inchiesta sull'olio extravergine cliccando sul pulsante qui in basso e scopri cosa significa avere accesso a un’informazione davvero libera e indipendente
- la reclusione da 6 mesi a 3 anni nel caso di trattamento illecito dei dati personali al fine di trarre un profitto o di recare danno ad un soggetto terzo;
- la reclusione da 6 mesi a 3 anni per chi dichiara o attesta il falso, anche attraverso la produzione di documenti falsi che vengono esibiti dinanzi al Garante per la privacy;
- la reclusione da 3 mesi a 2 anni per il mancato rispetto dei provvedimenti del Garante per la privacy;
- l’arresto fino a 2 anni o l’ammenda da 10.000 a 50.000 euro nel caso in cui non vengano messe in atto le misure di sicurezza per la protezione della privacy. In quest’ultima ipotesi si hanno a disposizione 6 mesi di tempo di prescrizione per mettersi in regola. Se entro tale termine il reo risulta adempiente, pagherà esclusivamente un quarto della somma massima prevista dal reato, che, pertanto, sarà estinto.
Il Gdpr
Il Gdpr, acronimo di General data protection regulation, è il regolamento Ue n. 2016/679 in materia di privacy e diritto all’oblio. Lo stesso, composto da 99 articoli, è un regolamento in vigore in tutti i paesi dell’Unione europea i quali sono obbligati ad un adeguamento della normativa interna in caso di conflitto. L’obiettivo principale del Gdpr è quello di dare una direttiva uniforme riguardante il trattamento dei dati e il diritto ad essere in pieno possesso delle informazioni che riguardano la propria persona. Le principali questioni affrontate e regolamentate sono:
- il diritto ad avere delle informazioni più chiare per il consenso del trattamento dei dati personali;
- il diritto all’oblio che tutela il diritto di ogni singolo individuo a non essere ricordato per fatti che, in passato, furono oggetto di cronaca. Il diritto all’oblio evoca un concetto di identità personale dinamico, nel senso di essere ricordati per ciò che si è diventati e non solo per ciò che si è stati. Ciò comporta il diritto all’aggiornamento della notizia, il diritto alla deindicizzazione, il diritto alla cancellazione dall’archivio sorgente, il diritto alla cancellazione anche dai database che hanno ripubblicato la notizia, nonché il diritto di anonimizzazione del dato;
- il limite al trattamento automatizzato con il quale vengono definiti i limiti alla divulgazione automatica dei dati e delle informazioni senza il consenso dell’avente diritto;
- il trasferimento dati. Sono stabiliti i criteri per il trasferimento dei dati, sia permettendo la condivisione sia prevedendo anche l’estensione delle norme alle aziende con sede al di fuori dell’Ue, se riferite a soggetti presenti in Europa;
- le sanzioni che possono arrivare fino a 20 milioni o al 4% dei ricavi annui dell’azienda.
La violazione della privacy nel mondo dell’informazione
Come già accennato, la violazione della privacy può avvenire in diversi ambiti e tra questi non è escluso il mondo dell’informazione. In questi casi, il reato può configurarsi quando i media utilizzano le informazioni di qualcuno in modo improprio, o quando rendono pubblici dati che, al contrario, andrebbero tutelati. Questo è il motivo per cui quando si pubblicano immagini di minori la loro identità viene tenuta nascosta mediante l’apposizione sul loro volto di pixel. Per evitare, dunque, che nell’ambito dell’informazione si possano commettere errori di tale genere, il Garante della privacy ha predisposto che “la divulgazione di dati in grado di consentire una identificazione, sia globale che locale, cioè limitata ad un piccolo centro o paese nel quale il minore realmente dimora, è da ritenersi comunque illecita”. I soggetti che possono essere puniti sono non solo il giornalista che ha divulgato i dati, ma anche il direttore responsabile della testata per cui lavora. Al contrario, non si commette una violazione della privacy quando le immagini pubblicate sono state scattate in un luogo pubblico e non ledono la dignità di nessuno o sono state prodotte con il consenso del soggetto ritratto. Inoltre, non si possono divulgare i nomi ed i volti di:
- vittime di violenza sessuale;
- membri delle forze dell’ordine o dell’autorità giudiziaria;
- familiari delle persone che sono state coinvolte in un fatto di cronaca.
Privacy su internet
Internet è senza dubbio il luogo dove, al giorno d’oggi, il reato di violazione della privacy viene perpetrato con maggior frequenza. Nella specie, la violazione può consistere in:
- diffusione illecita di dati personali;
- violazione, sottrazione, soppressione o diffusione di posta elettronica altrui;
- installazione di apparecchiature con quali intercettare i dati di qualcuno in modo abusivo;
- accesso non autorizzato a un sito;
- spionaggio informatico;
- frode informatica.
Per quanto attiene alla frode informatica, in particolare, si tratta di un reato disciplinato dall’articolo 640 ter del codice penale e per il quale si può essere condannati alla pena della reclusione da 6 mesi a 3 anni e alla multa da 516 euro a 1.032 euro. La reclusione va da 1 a 5 anni e la multa da 309 a 1.549 euro se il reato viene commesso abusando della propria qualifica di operatore di sistema.
Come difendersi e ottenere il risarcimento
Nel caso in cui si subisca un danno relativo al trattamento illecito dei propri dati personali, anche qualora non sia di particolare gravità, si ha diritto ad un risarcimento. Il danno, ovviamente, in base ai principi generali, deve essere provato e l’onere della prova incombe sul soggetto danneggiato. La Corte di Cassazione ha stabilito, a tal proposito, che il risarcimento del danno non patrimoniale derivante dalla violazione della privacy “non si sottrae ad un accertamento da parte del giudice – da compiersi con riferimento alla concretezza della vicenda – destinato ad investire i profili della gravità della lesione inferta e della serietà del danno da essa derivante”. In un’altra pronuncia è stato stabilito che il danno non patrimoniale sussiste quando “l’individualità della persona offesa o di cui sono stati resi pubblici dati sensibili non ne postula l’esplicita indicazione del nominativo, essendo sufficiente che essa possa venire individuata anche per esclusione in via deduttiva, tra una categoria di persone, a nulla rilevando che in concreto tale individuazione avvenga nell’ambito di un ristretto numero di persone”. Sul punto si è espressa anche l’Unione europea, affermando che chiunque subisca un danno per la violazione della privacy ha diritto ad ottenere il risarcimento del pregiudizio subito dal responsabile del trattamento.