Quando i dati personali vengono trattati o divulgati senza il consenso dell’interessato si può verificare una violazione della privacy. Cerchiamo di inquadrare il tema nei diversi contesti in cui può avvenire.
Il diritto alla privacy nell’era digitale
Il concetto di Privacy è un tema di particolare attualità.
È difficile fornire una nozione di privacy in quanto lo sviluppo tecnologico e il progresso umano hanno determinato una notevole dilatazione dei confini della materia.
Infatti, la circolazione delle informazioni personali, in alcuni casi inevitabile, è aumentata esponenzialmente con l’utilizzo del web.
Ciò ha certamente comportato il rischio di vedere violati facilmente, anche in modo massivo, i propri dati personali.
Ma cosa intendiamo per dati personali?
I dati personali sono le informazioni che identificano o rendono identificabile una persona fisica e che possono fornire dettagli sulle abitudini, sulle relazioni personali, sullo stato civile, sullo stato di salute.
Per poter analizzare il concetto di violazione privacy (separato da quello di data breach) e i profili sanzionatori connessi, preme sottolineare che l’art. 8 della Carta dei diritti fondamentali dell’Unione Europea sancisce tra i diritti fondamentali degli individui il diritto alla privacy e quindi alla protezione dei dati personali.
La violazione della privacy: quando può avvenire e quali sono le conseguenze
Quando avviene una “violazione della privacy”?
Si parla di violazione della privacy nel momento in cui la riservatezza dei dati personali viene violata ed avviene un trattamento illecito.
Per fare degli esempi, nell’ambito lavorativo, il datore di lavoro non ha il diritto di pubblicare informazioni personali nell’intranet aziendale senza chiedere il consenso al dipendente oppure, sui social network, non è possibile pubblicare foto senza l’autorizzazione di chi è ritratto.
Contro le violazioni della privacy esiste una tutela ampia.
Infatti, le relative conseguenze possono essere di natura amministrativa, civile e penale. Vediamo nel dettaglio gli aspetti più rilevanti.
Sanzioni amministrative
Le sanzioni amministrative, sono quelle previste per la violazione del Regolamento Europeo 2016/679 (cosiddetto GDPR) e si distinguono a seconda della gravità dell’illecito (Art. 83 GDPR).
Responsabilità civile
Per quanto riguarda la responsabilità civile, il trattamento illecito di dati personali configura in capo al soggetto leso il diritto al risarcimento dei danni, a meno che il titolare del trattamento non dimostri che l’evento non sia a lui imputabile. L’onere della prova, infatti, ricade sul titolare o sul responsabile del trattamento, i quali dovranno dimostrare che l’evento dannoso non è loro imputabile oppure di aver adottato tutte le misure idonee ad evitare il danno. È impossibile definire preliminarmente una sorta di tabella risarcimento per le violazioni privacy, poiché il valore e la dimensione del danno saranno stabilite di volta in volta in base alla singola fattispecie.
Responsabilità penale
Infine, per quanto attiene alla responsabilità penale per la violazione della privacy, il Regolamento Europeo 2016/679 prevede che siano gli Stati membri a stabilire le norme relative agli illeciti penali (Art. 84 GDPR).
Violazione della privacy e reato
Rispetto al tema della violazione della privacy e del reato penale, il Legislatore italiano è intervenuto rivisitando i cd. “reati privacy”. Infatti, poiché alcune fattispecie di reato sanzionate come amministrative dal Regolamento erano punite come illeciti penali dal Codice Privacy, il legislatore ha trasformato in alcuni casi le disposizioni del Codice Privacy, evitando così la violazione del principio giuridico del “ne bis in idem”, e in altri ha introdotto delle nuove previsioni di reato che puniscono severamente le violazioni del Regolamento.
I reati in questione sono:
- Trattamento illecito dei dati – Art. 167 D.lgs. 196/2003
Si tratta di una nuova formulazione che sanziona chi, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, arreca nocumento all’interessato, con la reclusione da sei mesi a un anno e sei mesi.
La medesima pena è prevista anche quando le informazioni personali vengono trasferite verso un paese terzo o a un’organizzazione internazionale, recando dei danni all’interessato.
Il legislatore italiano introduce comunque la previsione per cui, se per lo stesso fatto è stata applicata una norma che prevede una sanzione amministrativa pecuniaria e questa è già stata riscossa, la pena prevista può essere ridotta.
- Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala – Art. 167 bis D.lgs. 196/2003
Si tratta di un nuovo reato che sanziona chi comunica e diffonde i dati personali di un soggetto su larga scala, per trarne profitto. Seppur il concetto di “larga scala” non sia stato chiarito dalla normativa, si deve ritenere che i dati trattati su larga scala siano quelli che coinvolgono una notevole quantità di dati personali. Per un approfondimento sulla definizione si rimanda alle indicazioni fornite dal Gruppo di Lavoro Articolo 29 e sulle Linee guida sul Responsabile della Protezione dei Dati personali (EDPB). La sanzione prevista è la reclusione da uno a sei anni.
- Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala – Art. 167 ter D.lgs. 196/2003 –
Si tratta di un’ulteriore fattispecie penale che sanziona chi acquista con mezzi fraudolenti (con l’inganno, senza il consenso) un archivio automatizzato o una parte di esso contenente dati personali oggetto di trattamento su larga scala, senza però che ne consegua la diffusione o la comunicazione verso terzi. La sanzione è la reclusione da uno a quattro anni.
- Falsità nelle dichiarazioni al Garante e interruzione dell’esecuzione dei compiti o dell’esercizio dei poteri del Garante – Art. 168 D.lgs. 196/2003
Altra sanzione penale prevista per la violazione della privacy è quella che punisce le condotte che possano ostacolare o impedire il corretto adempimento dei compiti assegnati al Garante della privacy oppure chi dichiara il falso o presenta documenti non veri durante gli accertamenti di fronte al Garante. La sanzione è la reclusione da sei mesi a tre anni.
- Inosservanza di provvedimenti del Garante – Art. 170 D.lgs. 196/2003
Il mancato rispetto dei provvedimenti adottati dal Garante da parte del destinatario dell’atto, obbligato a conformarsi, comporta la sanzione della reclusione da tre mesi a due anni.
- Violazioni delle disposizioni in materia in materia di controlli a distanza e indagini sulle opinioni dei lavoratori – Art. 171 D.lgs. 196/2003
La norma è stata sostituita dal decreto, ma si è trattato di un intervento meramente formale. È stato, infatti, confermato il reato per la violazione degli articoli 4 e 8 dello Statuto dei lavoratori.
Le violazioni della privacy sul web
Come abbiamo avuto modo di vedere, diversi sono gli ambiti in cui si può verificare la violazione privacy. Tra i tanti, merita un approfondimento il mondo del web.
L’era tecnologica che stiamo vivendo comporta inevitabilmente, a fronte degli innumerevoli servizi messi a disposizione da internet, ormai quasi irrinunciabili per tutti noi, sia per motivi lavorativi che personali, la diffusione dei propri dati personali su internet.
Tale circostanza potrebbe portare a conseguenze negative, una tra queste è il cosiddetto Doxing, ossia la pratica di cercare e diffondere pubblicamente on line informazioni personali e private attraverso un forum, un sito internet, un profilo social o un qualsiasi servizio internet, senza il consenso della persona interessata.
I dati a cui facciamo riferimento possono essere, a titolo esemplificativo e non esaustivo: indirizzi, contatti, foto, nomi dei parenti, informazioni su conti bancari, professione delle vittime.
Lo scopo di tale fenomeno è costituito dalla violazione della privacy creando situazioni di estremo disagio per le vittime.
Esistono diversi tipi di doxing. Si possono, a titolo esemplificativo, raccogliere in un unico sito le informazioni di un personaggio privato, oppure pubblicare online informazioni della vita privata di una persona, e ancora pubblicare online commenti e giudizi senza il consenso dell’interessato.
Come evitare problemi legati al fenomeno del Doxing?
Per difendersi da tale fenomeno è necessario considerare il fatto che si tratta di informazioni difficilmente mascherabili, poiché reperibili online.
Consigliamo agli utenti dei servizi digitali di adottare comportamenti accorti e responsabili limitando, per quanto possibile, la diffusione dei propri dati personali sul web, sui canali social e su qualsiasi piattaforma online.
Come prevenire la violazione della privacy?
Come abbiamo visto, la violazione della privacy può derivare da diverse fonti, soprattutto on line, ed è regolata non solo dal GDPR, ma anche da specifiche normative nazionali in applicazione del Regolamento Europeo.
Si tratta di un evento difficile da prevenire nel contesto aziendale e pertanto una forma di prevenzione è sicuramente da ricercare nella sensibilizzazione e nella formazione del proprio personale.
