Il Codice della privacy, così come aggiornato dal Regolamento (UE) 2016/679 (“GDPR”), prevede diverse regole a tutela dei dati personali: cosa si rischia in caso di loro violazione?
Secondo il Codice della privacy (D.Lgs. n. 196/2003) come da ultimo modificato e integrato grazie al recepimento, in Italia, del Regolamento (UE) 2016/679, meglio noto come “GDPR”, il trattamento dei dati personali deve sempre avvenire in modo lecito al fine di assicurare a ciascun individuo il diritto alla propria riservatezza.
A tal fine, la normativa nazionale e quella derivante dall’ordinamento dell’Unione Europea prevedono rigide regole di trattamento dei dati che, se violate, possono comportare l’applicazione di gravi sanzioni da punto di vista penale e amministrativo.
Vediamo, di seguito, cosa si rischia in caso di violazione della normativa sulla privacy.
leggi anche
7 consigli per proteggere i tuoi dati personali
Violazione privacy: indice
Le categorie di dati personali
Il GDPR identifica il “dato personale” in qualsiasi informazione riguardante una persona fisica identificata o identificabile.
Nella categoria dei dati personali rientra una serie di informazioni riferibili a un soggetto il cui trattamento è sottoposto a specifiche regole mirate ad assicurare la tutela del diritto alla riservatezza (privacy).
Tra queste informazioni, possiamo annoverare:
- i dati personali “comuni”, che corrispondono alle informazioni attraverso cui è possibile identificare una persona. Si pensi al nome, cognome, codice fiscale, indirizzo di residenza, numero di telefono, ecc.;
- i dati sensibili o “particolari categorie di dati” (art. 9, GDPR): sono tutte quelle informazioni che riguardano aspetti più intimi della vita, come l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale.
Il trattamento di quest’ultimi è, in via generale, vietato, a meno che non si verifichino determinate condizioni previste dal GDPR (art. 9).
Nella categoria dei dati sensibili rientrano anche:
- i dati genetici, ossia “i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall’analisi di un campione biologico della persona fisica in questione” (art. 4, punto 13, GDPR);
- i dati biometrici, ovvero “i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l’identificazione univoca, quali l’immagine facciale o i dati dattiloscopici” (art. 4, punto 14, GDPR);
- dati relativi alla salute, definiti come “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4, punto 15, GDPR);
- dati relativi alla vita sessuale o all’orientamento sessuale della persona.
Esistono, infine, i dati giudiziari, ovvero le informazioni relative a condanne penali e reati.
Si pensi, ad esempio, alle informazioni contenute nel casellario giudiziale, riguardanti l’esistenza di procedimenti a carico di un soggetto, i provvedimenti di condanna, la qualità di indagato o imputato in un procedimento penale.
Secondo l’art. 10 del GDPR, il trattamento di questi dati deve sempre avvenire sotto il controllo dell’autorità pubblica o deve essere autorizzato dal diritto dell’Unione Europea o degli Stati membri.
Come detto, il trattamento dei dati personali deve avvenire sempre in maniera lecita, in caso contrario, la legge prevede gravi sanzioni amministrative e penali nel caso di violazione della privacy: vediamo quali.
Gli illeciti amministrativi
L’art. 166 del Codice della privacy prevede gli illeciti amministrativi in materia di trattamento dei dati personali effettuato in violazione della normativa vigente.
Si tratta di condotte illecite che implicano, per il privato o l’impresa responsabile, l’applicazione di sanzioni amministrative pecuniarie in misura variabile a seconda della gravità dell’illecito.
Il Codice prevede, in particolare, due tipi di sanzioni pecuniarie:
- la sanzione pecuniaria fino a euro 10.000 o fino al 2% del fatturato annuo dell’impresa, per le condotte meno gravi;
- la sanzione pecuniaria fino a euro 20.000 o fino al 4% del fatturato annuo dell’impresa, per alcuni casi considerati più gravi.
L’organo competente a irrogare le sanzioni è il Garante per la Protezione dei Dati Personali (“Garante Privacy”) il quale si occupa di ricevere i reclami da parte degli interessati che ritengono di aver subito una violazione dei diritti previsti dal GDPR.
Il Garante può anche agire d’ufficio a seguito dell’attività di indagine che è demandato a compiere su soggetti pubblici e privati in materia di trattamento dei dati.
Gli illeciti penali
Con il Regolamento UE è stata riformata anche la parte del Codice della privacy dedicata ai reati in materia di trattamento dei dati personali.
Al riguardo, alcune delle principali condotte penalmente rilevanti sono:
- il trattamento illecito dei dati;
- la comunicazione e diffusione illecita dei dati personali oggetto di trattamento su larga scala;
- l’acquisizione fraudolenta dei dati personali oggetto di trattamento su larga scala;
- la falsità delle dichiarazioni rese al Garante della privacy.
Esaminiamo di seguito le differenti ipotesi.
1) Trattamento illecito di dati
L’art. 167, comma 1 del Codice dispone che:
“Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, operando in violazione di quanto disposto dagli articoli 123, 126 e 130 o dal provvedimento di cui all’articolo 129 arreca nocumento all’interessato, è punito con la reclusione da sei mesi a un anno e sei mesi.”
La norma sanziona le violazioni delle regole di trattamento dei dati relativi al traffico telefonico e dei servizi di comunicazione elettronica, nonché in materia di trattamento delle informazioni relative all’ubicazione dell’utente di un servizio di comunicazione.
Rientra nella casistica anche l’uso di sistemi automatizzati di chiamata nel settore delle comunicazioni commerciali via telefono, se realizzato senza il consenso del contraente o dell’utente (art. 130).
Il reato si configura quando la violazione delle regole sulla privacy, oltre ad essere stata compiuta volontariamente allo scopo di ricavarne un profitto o di arrecare un danno, ha anche effettivamente provocato un danno all’interessato, comportando, in tal caso, la pena della reclusione da 6 mesi a 1 anno e 6 mesi.
Lo stesso articolo, al comma 2, sanziona con pene più elevate i casi di trattamento illecito dei dati sensibili, ovvero di tutte le informazioni particolari riguardanti l’origine razziale o etnica, opinioni politiche, convinzioni religiose, filosofiche, appartenenza sindacale, condizioni di salute, i dati genetici e biometrici nonché i dati giudiziari.
In questo caso, la pena detentiva va da 1 a 3 anni di reclusione.
Anche qui, è necessario che il responsabile abbia agito intenzionalmente al fine di trarre profitto dal trattamento illecito o di arrecare un danno all’interessato e che questi sia stato effettivamente danneggiato.
La stessa pena si applica, infine, a chi trasferisce dati personali all’estero al di fuori dei casi espressamente consentiti dal Regolamento UE (comma 3).
La norma prevede, infine, un meccanismo di informazione tra il Garante privacy e il Pubblico ministero, in base al quale quest’ultimo, quando ha notizia dei reati suindicati, ne informa senza ritardo il Garante.
Allo stesso modo agisce il Garante informando il P.M. quando individua per primo, durante le sue indagini, elementi che facciano presumere l’esistenza di un reato.
Questo meccanismo si applica, inoltre, a tutte le altre fattispecie di reato indicate più avanti.
2) Comunicazione e diffusione illecita di dati personali trattati su larga scala
L’art. 167 bis prevede la pena della reclusione da 1 a 6 anni per la comunicazione o la diffusione illecita di un archivio automatizzato di dati o di una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala.
La comunicazione o la diffusione devono avvenire in violazione della disciplina sul trattamento dei dati personali per motivo di interesse pubblico e sul trattamento dei dati giudiziari, ovvero relativi a condanne penali o reati.
Allo stesso modo è punito chiunque esegua la diffusione o comunicazioni di dati senza il consenso dell’interessato nei casi in cui il consenso è espressamente richiesto.
3) Acquisizione fraudolenta di dati personali
L’art. 167 ter sanziona, invece, con la reclusione da 1 a 4 anni chi acquisisce con mezzi fraudolenti un archivio automatizzato o una sua parte sostanziale contenente dati personali trattati su larga scala.
Per integrare il reato è necessario, anche qui, che il responsabile abbia agito al fine di trarre profitto o di arrecare un danno all’interessato.
4) Falsità nelle dichiarazioni al Garante e interruzione compiti o poteri del Garante
In base all’art. 168 del Codice, si applica la pena della reclusione da 6 mesi a 3 anni nei confronti di chi, in un procedimento o nel corso di accertamenti dinanzi al Garante privacy, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi (comma 1).
La pena è della reclusione fino a 1 anno per chiunque causi intenzionalmente un’interruzione o turbi la regolarità di un procedimento in corso avanti al Garante o, allo stesso modo, interrompa o turbi le attività di accertamento da esso svolte.
Infine, l’art. 170 (“Inosservanza di provvedimenti del Garante”) punisce con la reclusione da 3 mesi a 2 anni chiunque, pur essendovi tenuto, non osserva il provvedimento adottato dal Garante con il quale:
- richiede l’accesso a tutti i locali, strumenti e mezzi del titolare del trattamento dei dati personali e del responsabile del trattamento;
- dispone misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute.
© RIPRODUZIONE RISERVATA