I delitti in materia di privacy nel Decreto Legislativo 231/2001
Il Decreto-Legge 14 agosto 2013, n. 93, recante “Disposizioni urgenti in materia di sicurezza e per il contrasto della violenza di genere, nonché in tema di protezione civile e di commissariamento delle province” (in G.U. n. 191 del 16 agosto 2013 e in vigore dal 17 agosto), dispone un’importante integrazione del Decreto Legislativo 231/2001 (responsabilità da reato degli enti collettivi).
Va premesso che l’articolo 9 inserisce nell’articolo 640-ter del codice penale (frode informatica) un terzo comma, nel quale viene prevista una fattispecie autonoma di reato – procedibile d’ufficio - “se il fatto è commesso con sostituzione dell’identità digitale in danno di uno o più soggetti".
Il nuovo testo dell’articolo 640-ter codice penale [1] è, pertanto, il seguente:
Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da euro 51 a euro 1.032.
La pena è della reclusione da uno a cinque anni e della multa da euro 309 a euro 1.549 se ricorre una delle circostanze previste dal numero 1) del secondo comma dell’articolo 640, ovvero se il fatto è commesso con abuso della qualità di operatore del sistema.
La pena è della reclusione da due a sei anni e della multa da euro 600 a euro 3000 se il fatto è commesso con sostituzione dell’identità digitale in danno di uno o più soggetti.
Il delitto è punibile a querela della persona offesa, salvo che ricorra taluna delle circostanze di cui al secondo e terzo comma o un’altra circostanza aggravante.
Interessa in questa sede l’integrazione dell’articolo 24-bis Decreto Legislativo 231/2001 con il richiamo (che comprende oltre alla fattispecie menzionata, anche il delitto di utilizzo indebito e falsificazione di carte di credito [2]) dei delitti contenuti nel Codice sulla Privacy (Decreto Legislativo 196/2003.
Il nuovo testo dell’articolo 24-bis Decreto Legislativo 231/2001
Di seguito il testo aggiornato dell’articolo 24-bis (Delitti informatici e trattamento illecito di dati), con evidenza in grassetto delle modifiche menzionate:
1. In relazione alla commissione dei delitti di cui agli articoli 615-ter, 617-quater, 617-quinquies, 635-bis, 635-ter, 635-quater, 635-quinquies e 640-ter, terzo comma, del codice penale nonché dei delitti di cui agli articoli 55, comma 9, del decreto legislativo 21 novembre 2007, n. 231, e di cui alla Parte III, Titolo III, Capo II del decreto legislativo 30 giugno 2003, n. 196, si applica all’ente la sanzione pecuniaria da cento a cinquecento quote.
2. In relazione alla commissione dei delitti di cui agli articoli 615-quater e 615-quinquies del codice penale, si applica all’ente la sanzione pecuniaria sino a trecento quote.
3. In relazione alla commissione dei delitti di cui agli articoli 491-bis e 640-quinquies del codice penale, salvo quanto previsto dall’articolo 24 del presente decreto per i casi di frode informatica in danno dello Stato o di altro ente pubblico, si applica all’ente la sanzione pecuniaria sino a quattrocento quote.
4. Nei casi di condanna per uno dei delitti indicati nel comma 1 si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, lettere a), b) ed e). Nei casi di condanna per uno dei delitti indicati nel comma 2 si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, lettere b) ed e). Nei casi di condanna per uno dei delitti indicati nel comma 3 si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, lettere c), d) ed e).
I delitti del Codice Privacy nel Decreto Legislativo 231
Il testo dell’articolo 24-bis contiene finalmente un link corretto alla rubrica della medesima disposizione: nel testo previgente, come è noto, non era menzionata alcuna fattispecie criminosa relativa alla normativa sulla privacy.
Il link non è tuttavia esaustivo, in quanto la disposizione prende in considerazione non solo il trattamento illecito, ma anche altre fattispecie delittuose in materia di trattamento di dati personali.
Il richiamo al Codice Privacy riguarda, precisamente, i delitti di cui alla Parte III, Titolo III, Capo II del Decreto Legislativo 196.
Quest’ultimo Capo disciplina le sanzioni penali (articoli 167-172), alcune riferite a delitti altre a contravvenzioni.
Ai fini del Decreto Legislativo 231 (e, di conseguenza, ai fini del risk assessment in sede di aggiornamento dei Modelli organizzativi) occorre considerare i seguenti delitti:
articolo 167 (Trattamento illecito di dati)
1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell’articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.
2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26,27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni.
articolo 168 (Falsità nelle dichiarazioni e notificazioni al Garante)
1. Chiunque, nelle comunicazioni di cui all’articolo 32-bis,commi 1 e 8, nella notificazione di cui all’articolo 37 o in comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni.
articolo 170 (Inosservanza di provvedimenti del Garante)
1. Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi degli articoli 26, comma 2, 90, 150, commi 1 e 2, e 143, comma 1, lettera c), è punito con la reclusione da tre mesi a due anni.
Non costituiscono reato-presupposto le contravvenzioni di cui agli articoli 169 (omessa adozione delle misure minime di sicurezza) e 171 (violazione delle disposizioni di cui agli articoli 113,comma 1, e 114).
L’articolo 171 rinvia, quoad poenam, all’articolo 38 dello Statuto dei lavoratori (altra contravvenzione) per la violazione del divieto di indagine sulle opinioni dei lavoratori (articolo 8) e del divieto di controllo a distanza (articolo 4).
I delitti-presupposto in dettaglio
- trattamento illecito di dati personali
La tipizzazione del trattamento illecito richiede - ora anche ai fini del Decreto Legislativo 231 - l’esame dei numerosi rinvii contenuti nella disposizione in esame.
Va pure rilevato che alcune disposizioni richiamate dall’articolo 167 riguardano esclusivamente soggetti pubblici (articoli 18, 19, 20, 21, 22) e altre sono riferibili al trattamento di dati effettuato da soggetti specificamente determinati (articoli 123, 126, 130).
- trattamento di dati personali in violazione di quanto disposto dall’articolo 18:
articolo 18 (Principi applicabili a tutti i trattamenti effettuati da soggetti pubblici)
1. Le disposizioni del presente capo riguardano tutti i soggetti pubblici, esclusi gli enti pubblici economici.
2. Qualunque trattamento di dati personali da parte di soggetti pubblici è consentito soltanto per lo svolgimento delle funzioni istituzionali.
3. Nel trattare i dati il soggetto pubblico osserva i presupposti e i limiti stabiliti dal presente codice, anche in relazione alla diversa natura dei dati, nonché dalla legge e dai regolamenti.
4. Salvo quanto previsto nella Parte II per gli esercenti le professioni sanitarie e gli organismi sanitari pubblici, i soggetti pubblici non devono richiedere il consenso dell’interessato.
5. Si osservano le disposizioni di cui all’articolo 25 in tema di comunicazione e diffusione.
- trattamento di dati personali in violazione di quanto disposto dall’articolo 19:
articolo 19 (Principi applicabili al trattamento di dati diversi da quelli sensibili e giudiziari)
1. Il trattamento da parte di un soggetto pubblico riguardante dati diversi da quelli sensibili e giudiziari è consentito, fermo restando quanto previsto dall’articolo 18, comma 2, anche in mancanza di una norma di legge o di regolamento che lo preveda espressamente.
2. La comunicazione da parte di un soggetto pubblico ad altri soggetti pubblici è ammessa quando è prevista da una norma di legge o di regolamento. In mancanza di tale norma la comunicazione è ammessa quando è comunque necessaria per lo svolgimento di funzioni istituzionali e può essere iniziata se è decorso il termine di cui all’articolo 39, comma 2, e non è stata adottata la diversa determinazione ivi indicata.
3. La comunicazione da parte di un soggetto pubblico a privati o a enti pubblici economici e la diffusione da parte di un soggetto pubblico sono ammesse unicamente quando sono previste da una norma di legge o di regolamento.
- trattamento di dati personali in violazione di quanto disposto dall’articolo 23:
articolo 23 (Consenso)
1. Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell’interessato.
2. Il consenso può riguardare l’intero trattamento ovvero una o più operazioni dello stesso.
3. Il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all’interessato le informazioni di cui all’articolo 13.
4. Il consenso è manifestato in forma scritta quando il trattamento riguarda dati sensibili.
- trattamento di dati personali in violazione di quanto disposto dall’articolo 123:
articolo 123 (Dati relativi al traffico)
1. I dati relativi al traffico riguardanti abbonati ed utenti trattati dal fornitore di una rete pubblica di comunicazioni o di un servizio di comunicazione elettronica accessibile al pubblico sono cancellati o resi anonimi quando non sono più necessari ai fini della trasmissione della comunicazione elettronica, fatte salve le disposizioni dei commi 2, 3 e 5.
2. Il trattamento dei dati relativi al traffico strettamente necessari a fini di fatturazione per il contraente, ovvero di pagamenti in caso di interconnessione, è consentito al fornitore, a fini di documentazione in caso di contestazione della fattura o per la pretesa del pagamento, per un periodo non superiore a sei mesi, salva l’ulteriore specifica conservazione necessaria per effetto di una contestazione anche in sede giudiziale.
3. Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico può trattare i dati di cui al comma 2 nella misura e per la durata necessarie a fini di commercializzazione di servizi di comunicazione elettronica o per la fornitura di servizi a valore aggiunto, solo se il contraente o l’utente cui i dati si riferiscono hanno manifestato preliminarmente il proprio consenso, che è revocabile in ogni momento.
4. Nel fornire l’informativa di cui all’articolo 13 il fornitore del servizio informa il contraente o l’utente sulla natura dei dati relativi al traffico che sono sottoposti a trattamento e sulla durata del medesimo trattamento ai fini di cui ai commi 2 e 3.
5. Il trattamento dei dati personali relativi al traffico è consentito unicamente ad incaricati del trattamento che operano ai sensi dell’articolo 30 sotto la diretta autorità del fornitore del servizio di comunicazione elettronica accessibile al pubblico o, a seconda dei casi, del fornitore della rete pubblica di comunicazioni e che si occupano della fatturazione o della gestione del traffico, di analisi per canto di clienti, dell’accertamento di frodi, o della commercializzazione dei servizi di comunicazione elettronica o della prestazione dei servizi a valore aggiunto. Il trattamento è limitato a quanto è strettamente necessario per lo svolgimento di tali attività e deve assicurare l’identificazione dell’incaricato che accede ai dati anche mediante un’operazione di interrogazione automatizzata.
6. L’Autorità per le garanzie nelle comunicazioni può ottenere i dati relativi alla fatturazione o al traffico necessari ai fini della risoluzione di controversie attinenti, in particolare, all’interconnessione o alla fatturazione.
- trattamento di dati personali in violazione di quanto disposto dall’articolo 126:
articolo 126 (Dati relativi all’ubicazione)
1. I dati relativi all’ubicazione diversi dai dati relativi al traffico, riferiti agli utenti o agli abbonati di reti pubbliche di comunicazione o di servizi di comunicazione elettronica accessibili al pubblico, possono essere trattati solo se anonimi o se l’utente o il contraente ha manifestato previamente il proprio consenso, revocabile in ogni momento, e nella misura e per la durata necessari per la fornitura del servizio a valore aggiunto richiesto.
2. Il fornitore del servizio, prima di richiedere il consenso, informa gli utenti e gli abbonati sulla natura dei dati relativi all’ubicazione diversi dai dati relativi al traffico che saranno sottoposti al trattamento, sugli scopi e sulla durata di quest’ultimo, nonché sull’eventualità che i dati siano trasmessi ad un terzo per la prestazione del servizio a valore aggiunto.
3. L’utente e il contraente che manifestano il proprio consenso al trattamento dei dati relativi all’ubicazione, diversi dai dati relativi al traffico, conservano il diritto di richiedere, gratuitamente e mediante una funzione semplice, l’interruzione temporanea del trattamento di tali dati per ciascun collegamento alla rete o per ciascuna trasmissione di comunicazioni.
4. Il trattamento dei dati relativi all’ubicazione diversi dai dati relativi al traffico, ai sensi dei commi 1 , 2 e 3, è consentito unicamente ad incaricati del trattamento che operano ai sensi dell’articolo 30, sono la diretta autorità del fornitore del servizio di comunicazione elettronica accessibile al pubblico o, a seconda dei casi, del fornitore della rete pubblica di comunicazioni o del terzo che fornisce il servizio a valore aggiunto. Il trattamento è limitato a quanto è strettamente necessario per la fornitura del servizio a valore aggiunto e deve assicurare
l’identificazione dell’incaricato che accede ai dati anche mediante un’operazione di interrogazione automatizzata.
- trattamento di dati personali in violazione di quanto disposto dall’articolo 130:
articolo 130 (Comunicazioni indesiderate)
1. Fermo restando quanto stabilito dagli articoli 8 e 21 del decreto legislativo 9 aprile 2003, n. 70, l’uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l’intervento di un operatore per l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso del contraente o utente.
2. La disposizione di cui al comma 1 si applica anche alle comunicazioni elettroniche, effettuate per le finalità ivi indicate, mediante posta elettronica, telefax, messaggi del tipo Mms (Multimedia Messaging Service) o Sms (Short Message Service) o di altro tipo.
3. Fuori dei casi di cui ai commi 1 e 2, ulteriori comunicazioni per le finalità di cui ai medesimi commi effettuate con mezzi diversi da quelli ivi indicati, sono consentite ai sensi degli articoli 23 e 24 nonché ai sensi di quanto previsto dal comma 3-bis del presente articolo.
3-bis. In deroga a quanto previsto dall’articolo 129, il trattamento dei dati di cui all’articolo 129, comma 1, mediante l’impiego del telefono e della posta cartacea per le finalità di cui all’articolo 7, comma 4, lettera b), è consentito nei confronti di chi non abbia esercitato il diritto di opposizione, con modalità semplificate e anche in via telematica, mediante l’iscrizione della numerazione della quale è intestatario e degli altri dati personali di cui all’articolo 129, comma 1, in un registro pubblico delle opposizioni.
3-ter. Il registro di cui al comma 3-bis è istituito con decreto del Presidente della Repubblica da adottare ai sensi dell’articolo 17, comma 2, della legge 23 agosto 1988, n. 400, previa deliberazione del Consiglio dei ministri, acquisito il parere del Consiglio di Stato e delle Commissioni parlamentari competenti in materia, che si pronunciano entro trenta giorni dalla richiesta, nonché, per i relativi profili di competenza, il parere dell’Autorità per le garanzie nelle comunicazioni, che si esprime entro il medesimo termine, secondo i seguenti criteri e principi generali:
a) attribuzione dell’istituzione e della gestione del registro ad un ente o organismo pubblico titolare di competenze inerenti alla materia;
b) previsione che l’ente o organismo deputato all’istituzione e alla gestione del registro vi provveda con le risorse umane e strumentali di cui dispone o affidandone la realizzazione e la gestione a terzi, che se ne assumono interamente gli oneri finanziari e organizzativi, mediante contratto di servizio, nel rispetto del codice dei contratti pubblici relativi a lavori, servizi e forniture, di cui al decreto legislativo 12 aprile 2006, n. 163. I soggetti che si avvalgono del registro per effettuare le comunicazioni corrispondono tariffe di accesso basate sugli effettivi costi di funzionamento e di manutenzione. Il Ministro dello sviluppo economico, con proprio provvedimento, determina tali tariffe;
c) previsione che le modalità tecniche di funzionamento del registro consentano ad ogni utente di chiedere che sia iscritta la numerazione della quale è intestatario secondo modalità semplificate ed anche in via telematica o telefonica;
d) previsione di modalità tecniche di funzionamento e di accesso al registro mediante interrogazioni selettive che non consentano il trasferimento del dati presenti nel registro stesso, prevedendo il tracciamento delle operazioni compiute e la conservazione dei dati relativi agli accessi;
e) disciplina delle tempistiche e delle modalità dell’iscrizione al registro, senza distinzione di settore di attività o di categoria merceologica, e del relativo aggiornamento, nonché del correlativo periodo massimo di utilizzabilità dei dati verificati nel registro medesimo, prevedendosi che l’iscrizione abbia durata indefinita e sia revocabile in qualunque momento, mediante strumenti di facile utilizzo e gratuitamente;
f)obbligo per i soggetti che effettuano trattamenti di dati per le finalità di cui all’articolo 7, comma 4, lettera b), di garantire la presentazione dell’identificazione della linea chiamante e di fornire all’utente idonee informative, in particolare sulla possibilità e sulle modalità di iscrizione nel registro per opporsi a futuri contatti;
g) previsione che l’iscrizione nel registro non precluda i trattamenti dei dati altrimenti acquisiti e trattati nel rispetto degli articoli 23 e 24.
3-quater. La vigilanza e il controllo sull’organizzazione e il funzionamento del registro di cui al comma 3-bis e sul trattamento dei dati sono attribuiti al Garante.
4. Fatto salvo quanto previsto nel comma 1 , se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall’interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell’interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l’interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. L’interessato, al momento della raccolta e in occasione dell’invio di ogni comunicazione effettuata per le finalità di cui al presente comma, è informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente.
5. È vietato in ogni caso l’invio di comunicazioni per le finalità di cui al comma 1 o, comunque, a scopo promozionale, effettuato camuffando o celando l’identità del mittente o in violazione dell’articolo 8 del decreto legislativo 9 aprile 2003, n. 70, o senza fornire un idoneo recapito presso il quale l’interessato possa esercitare i diritti di cui all’articolo 7, oppure esortando i destinatari a visitare siti web che violino il predetto articolo 8 del decreto legislativo n. 70 del 2003.
6. In caso di reiterata violazione delle disposizioni di cui al presente articolo il Garante puo’, provvedendo ai sensi dell’articolo 143, comma 1, lettera b), altresì prescrivere a fornitori di servizi di comunicazione elettronica di adottare procedure di filtraggio o altre misure praticabili relativamente alle coordinate di posta elettronica da cui sono stati inviate le comunicazioni.
- trattamento di dati personali in applicazione dell’articolo 129:
articolo 129 (Elenchi di abbonati)
1. Il Garante individua con proprio provvedimento, in cooperazione con l’Autorità per le garanzie nelle comunicazioni ai sensi dell’articolo 154, comma 3, e in conformità alla normativa comunitaria, le modalità di inserimento e di successivo utilizzo dei dati personali relativi agli abbonati negli elenchi cartacei o elettronici a disposizione del pubblico, anche in riferimento ai dati già raccolti prima della data di entrata in vigore del presente codice.
2. Il provvedimento di cui al comma 1 individua idonee modalità per la manifestazione del consenso all’inclusione negli elenchi e, rispettivamente, all’utilizzo dei dati per le finalità di cui all’articolo 7, comma 4, lettera b), in base al principio della massima semplificazione delle modalità di inclusione negli elenchi a fini di mera ricerca del contraente per comunicazioni interpersonali, e del consenso specifico ed espresso qualora il trattamento esuli da tali fini, nonché in tema di verifica, rettifica o cancellazione dei dati senza oneri.
- trattamento di dati personali in violazione di quanto disposto dall’articolo 17:
articolo 17 (Trattamento che presenta rischi specifici)
1. Il trattamento dei dati diversi da quelli sensibili e giudiziari che presenta rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare, è ammesso nel rispetto di misure ed accorgimenti a garanzia dell’interessato, ove prescritti.
2. Le misure e gli accorgimenti di cui al comma 1 sono prescritti dal Garante in applicazione dei principi sanciti dal presente codice, nell’ambito di una verifica preliminare all’inizio del trattamento, effettuata anche in relazione a determinate categorie di titolari o di trattamenti, anche a seguito di un interpello del titolare.
- trattamento di dati personali in violazione di quanto disposto dall’articolo 20:
articolo 20 (Principi applicabili al trattamento di dati sensibili)
1. Il trattamento dei dati sensibili da parte di soggetti pubblici è consentito solo se autorizzato da espressa disposizione di legge nella quale sono specificati i tipi di’ dati che possono essere trattati e di operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite.
2. Nei casi in cui una disposizione di legge specifica la finalità di rilevante interesse pubblico, ma non i tipi di dati sensibili e di operazioni eseguibili, il trattamento è consentito solo in riferimento ai tipi di dati e di operazioni identificati e resi pubblici a cura dei soggetti che ne effettuano il trattamento, in relazione alle specifiche finalità perseguite nei singoli casi e nel rispetto dei principi di cui all’articolo 22, con atto di natura regolamentare adottato in conformità al parere espresso dal Garante ai sensi dell’articolo 154, comma 1, lettera g), anche su schemi tipo.
3. Se il trattamento non è previsto espressamente da una disposizione di legge i soggetti pubblici possono richiedere al Garante l’individuazione delle attività, tra quelle demandate ai medesimi soggetti dalla legge, che perseguono finalità di rilevante interesse pubblico e per le quali è conseguentemente autorizzato, ai sensi dell’articolo 26, comma 2, il trattamento dei dati sensibili. Il trattamento è consentito solo se il soggetto pubblico provvede altresì a identificare e rendere pubblici i tipi di dati e di operazioni nei modi di cui al comma 2.
4. L’identificazione dei tipi di dati e di operazioni di cui ai commi 2 e 3 è aggiornata e integrata periodicamente.
- trattamento di dati personali in violazione di quanto disposto dall’articolo 21:
articolo 21 (Principi applicabili al trattamento di dati giudiziari)
1. Il trattamento di dati giudiziari da parte di soggetti pubblici è consentito solo se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichino le finalità di rilevante interesse pubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili.
1-bis. Il trattamento dei dati giudiziari è altresì consentito quando è effettuato in attuazione di protocolli d’intesa per la prevenzione e il contrasto dei fenomeni di criminalità organizzata stipulati con il Ministero dell’interno o con i suoi uffici periferici di cui all’articolo 15, comma 2, del decreto legislativo 30 luglio 1999, n. 300, previo parere del Garante per la protezione dei dati personali, che specificano la tipologia dei dati trattati e delle operazioni eseguibili.
2. Le disposizioni di cui all’articolo 20, commi 2 e 4, si applicano anche al trattamento dei dati giudiziari.
- trattamento di dati personali in violazione di quanto disposto dall’articolo 22, commi 8 e 11:
articolo 22 (Principi applicabili al trattamento di dati sensibili e giudiziari)
8. I dati idonei a rivelare lo stato di salute non possono essere diffusi.
Omissis.
10. I dati sensibili e giudiziari non possono essere trattati nell’ambito di test psicoattitudinali volti a definire il profilo o la personalità dell’interessato. Le operazioni di raffronto tra dati sensibili e giudiziari, nonché i trattamenti di dati sensibili e giudiziari ai sensi dell’articolo 14, sono effettuati solo previa annotazione scritta dei motivi.
11. In ogni caso, le operazioni e i trattamenti di cui al comma 10, se effettuati utilizzando banche di dati di diversi titolari, nonché la diffusione dei dati sensibili e giudiziari, sono ammessi solo se previsti da espressa disposizione di legge.
- trattamento di dati personali in violazione di quanto disposto dall’articolo 25:
articolo 25 (Divieti di comunicazione e diffusione)
1. La comunicazione e la diffusione sono vietate, oltre che in caso di divieto disposto dal Garante o dall’autorità giudiziaria:
a) in riferimento a dati personali dei quali è stata ordinata la cancellazione, ovvero quando è decorso il periodo di tempo indicato nell’articolo 11, comma 1, lettera e);
b) per finalità diverse da quelle indicate nella notificazione del trattamento, ove prescritta.
2. È fatta salva la comunicazione o diffusione di dati richieste, in conformità alla legge, da forze di polizia, dall’autorità giudiziaria, da organismi di informazione e sicurezza o da altri soggetti pubblici ai sensi dell’articolo 58, comma 2, per finalità di difesa o di sicurezza dello Stato o di prevenzione, accertamento o repressione di reati.
- trattamento di dati personali in violazione di quanto disposto dall’articolo 26:
articolo 26 (Garanzie per i dati sensibili)
1. I dati sensibili possono essere oggetto di trattamento solo con il consenso scritto dell’interessato e previa autorizzazione del Garante, nell’osservanza dei presupposti e dei limiti stabiliti dal presente codice, nonché dalla legge e dai regolamenti.
2. Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il provvedimento di autorizzazione, ovvero successivamente, anche sulla base di eventuali verifiche, il Garante può prescrivere misure e accorgimenti a garanzia dell’interessato, che il titolare del trattamento è tenuto ad adottare.
3. Il comma 1 non si applica al trattamento:
a) dei dati relativi agli aderenti alle confessioni religiose e ai soggetti che con riferimento a finalità di natura esclusivamente religiosa hanno contatti regolari con le medesime confessioni, effettuato dai relativi organi, ovvero da enti civilmente riconosciuti, sempre che i dati non siano diffusi o comunicati fuori delle medesime confessioni. Queste ultime determinano idonee garanzie relativamente ai trattamenti effettuati, nel rispetto dei principi indicati al riguardo con autorizzazione del Garante;
b) dei dati riguardanti l’adesione di associazioni od organizzazioni a carattere sindacale o di categoria ad altre associazioni, organizzazioni o confederazioni a carattere sindacale o di categoria.
b-bis) dei dati contenuti nei curricula, nei casi di cui all’articolo 13, comma 5-bis.
4. I dati sensibili possono essere oggetto di trattamento anche senza consenso, previa autorizzazione del Garante:
a) quando il trattamento è effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale, ivi compresi partiti e movimenti politici, per il perseguimento di scopi determinati e legittimi individuati dall’atto costitutivo, dallo statuto o dal contratto collettivo, relativamente ai dati personali degli aderenti o dei soggetti che in relazione a tali finalità hanno contatti regolari con l’associazione, ente od organismo, sempre che i dati non siano comunicati all’esterno o diffusi e l’ente, associazione od
organismo determini idonee garanzie relativamente ai trattamenti effettuati, prevedendo espressamente le modalità di utilizzo dei dati con determinazione resa nota agli interessati all’atto dell’informativa ai sensi dell’articolo 13;
b) quando il trattamento è necessario per la salvaguardia della vita o dell’incolumità fisica di un terzo. Se la medesima finalità riguarda l’interessato e quest’ultimo non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di volere, il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l’interessato. Si applica la disposizione di cui all’articolo 82, comma 2;
c) quando il trattamento è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere in sede giudiziaria un diritto, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento. Se i dati sono idonei a rivelare lo stato di salute e la vita sessuale, il diritto deve essere di rango pari a quello dell’interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile;
d) quando è necessario per adempiere a specifici obblighi o compiti previsti dalla legge, da un regolamento o dalla normativa comunitaria per la gestione del rapporto di lavoro, anche in materia di igiene e sicurezza del lavoro e della popolazione e di previdenza e assistenza, nei limiti previsti dall’autorizzazione e ferme restando le disposizioni del codice di deontologia e di buona condotta di cui all’articolo 111.
5. I dati idonei a rivelare lo stato di salute non possono essere diffusi.
- trattamento di dati personali in violazione di quanto disposto dall’articolo 27:
articolo 27 (Garanzie per i dati giudiziari)
1. Il trattamento di dati giudiziari da parte di privati o di enti pubblici economici è consentito soltanto se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichino le rilevanti finalità di interesse pubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili. Si applica quanto previsto dall’articolo 21, comma 1-bis.
- trattamento di dati personali in violazione di quanto disposto dall’articolo 45:
articolo 45 (Trasferimenti vietati)
1. Fuori dei casi di cui agli articoli 43 e 44, il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all’Unione europea, è vietato quando l’ordinamento del Paese di destinazione o di transito dei dati non assicura un livello di tutela delle persone adeguato. Sono valutate anche le modalità del trasferimento e dei trattamenti previsti, le relative finalità, la natura dei dati e le misure di sicurezza.
- falsità nelle dichiarazioni e notificazioni al Garante
La tipizzazione delle falsità rilevanti richiede - oltre alle ipotesi in cui avvenga l’esibizione di documenti dinanzi al Garante o nel corso di accertamenti - l’esame degli articoli richiamati:
- falsità nelle comunicazioni di cui all’articolo 32-bis, commi 1 e 8:
articolo 32-bis (Adempimenti conseguenti ad una violazione di dati personali)
1. In caso di violazione di dati personali, il fornitore di servizi di comunicazione elettronica accessibili al pubblico comunica senza indebiti ritardi detta violazione al Garante.
Omissis
8. Nel caso in cui il fornitore di un servizio di comunicazione elettronica accessibile al pubblico affidi l’erogazione del predetto servizio ad altri soggetti, gli stessi sono tenuti a comunicare al fornitore senza indebito ritardo tutti gli eventi e le informazioni necessarie a consentire a quest’ultimo di effettuare gli adempimenti di cui al presente articolo.
- falsità nella notificazione di cui all’articolo 37:
articolo 37 (Notificazione del trattamento)
1. Il titolare notifica al Garante il trattamento di dati personali cui intende procedere, solo se il trattamento riguarda:
a) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica;
b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria;
c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale;
d) dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti;
e) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie;
f) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.
1-bis. La notificazione relativa al trattamento dei dati di cui al comma 1 non è dovuta se relativa all’attività dei medici di famiglia e dei pediatri di libera scelta, in quanto tale funzione è tipica del loro rapporto professionale con il Servizio sanitario nazionale.
2. Il Garante può individuare altri trattamenti suscettibili di recare pregiudizio ai diritti e alle libertà dell’interessato, in ragione delle relative modalità o della natura dei dati personali, con proprio provvedimento adottato anche ai sensi dell’articolo 17. Con analogo provvedimento pubblicato sulla Gazzetta ufficiale della Repubblica italiana il Garante può anche individuare, nell’ambito dei trattamenti di cui al comma 1, eventuali trattamenti non suscettibili di recare detto pregiudizio e pertanto sottratti all’obbligo di notificazione.
3. La notificazione è effettuata con unico atto anche quando il trattamento comporta il trasferimento all’estero dei dati.
4. Il Garante inserisce le notificazioni ricevute in un registro dei trattamenti accessibile a chiunque e determina le modalità per la sua consultazione gratuita per via telematica, anche mediante convenzioni con soggetti pubblici o presso il proprio Ufficio. Le notizie accessibili tramite la consultazione del registro possono essere trattate per esclusive finalità di applicazione della disciplina in materia di protezione dei dati personali.
- inosservanza di provvedimenti del Garante
Rilevano le seguenti inottemperanze:
- inosservanza del provvedimento adottato dal Garante ai sensi dell’articolo 26, comma 2:
2. Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il provvedimento di autorizzazione, ovvero successivamente, anche sulla base di eventuali verifiche, il Garante può prescrivere misure e accorgimenti a garanzia dell’interessato, che il titolare del trattamento è tenuto ad adottare.
- inosservanza del provvedimento adottato dal Garante ai sensi dell’articolo 90:
articolo 90 (Trattamento dei dati genetici e donatori di midollo osseo)
1. Il trattamento dei dati genetici da chiunque effettuato è consentito nei soli casi previsti da apposita autorizzazione rilasciata dal Garante sentito il Ministro della salute, che acquisisce, a tal fine, il parere del Consiglio superiore di sanità.
2. L’autorizzazione di cui al comma 1 individua anche gli ulteriori elementi da includere nell’informativa ai sensi dell’articolo 13, con particolare riguardo alla specificazione delle finalità perseguite e dei risultati conseguibili anche in relazione alle notizie inattese che possono essere conosciute per effetto del trattamento dei dati e al diritto di opporsi al medesimo trattamento per motivi legittimi.
3. Il donatore di midollo osseo, ai sensi della legge 6 marzo 2001, n. 52, ha il diritto e il dovere di mantenere l’anonimato sia nei confronti del ricevente sia nei confronti di terzi.
- inosservanza del provvedimento adottato dal Garante ai sensi dell’articolo 150, commi 1 e 2:
articolo 150 (Provvedimenti a seguito del ricorso)
1. Se la particolarità del caso lo richiede, il Garante può disporre in via provvisoria il blocco in tutto o in particolare di taluno dei dati, ovvero l’immediata sospensione di una o più operazioni del trattamento. Il provvedimento può essere adottato anche prima della comunicazione del ricorso ai sensi dell’articolo 149, comma 1, e cessa di avere ogni effetto se non è adottata nei termini la decisione di cui al comma 2. Il medesimo provvedimento è impugnabile unitamente a tale decisione.
2. Assunte le necessarie informazioni il Garante, se ritiene fondato il ricorso, ordina al titolare, con decisione motivata, la cessazione del comportamento illegittimo, indicando le misure necessarie a tutela dei diritti dell’interessato e assegnando un termine per la loro adozione. La mancata pronuncia sul ricorso, decorsi sessanta giorni dalla data di presentazione, equivale a rigetto.
- inosservanza del provvedimento adottato dal Garante ai sensi dell’articolo 143, comma 1, lettera c):
articolo 143 (Procedimento per i reclami)
1. Esaurita l’istruttoria preliminare, se il reclamo non è manifestamente infondato e sussistono i presupposti per adottare un provvedimento, il Garante, anche prima della definizione del procedimento:
omissis
c) dispone il blocco o vieta, in tutto o in parte, il trattamento che risulta illecito o non corretto anche per effetto della mancata adozione delle misure necessarie di cui alla lettera b), oppure quando, in considerazione della natura dei dati o, comunque, delle modalità del trattamento o degli effetti che esso può determinare, vi è il concreto rischio del verificarsi di un pregiudizio rilevante per uno o più interessati;
omissis
Alcune considerazioni
Non v’è dubbio che la previsione dei delitti in tema di privacy risulta di grande impatto, soprattutto per quanto concerne l’illecito trattamento dei dati personali[3].
Si tratta di violazioni potenzialmente in grado di interessare l’intera platea degli enti collettivi privati soggetti alle disposizioni del Decreto Legislativo 231.
La compliance in materia di privacy entra pertanto a pieno titolo – e, direi, prepotentemente – nella sfera della compliance 231.
Diventerà decisivo il rispetto dei provvedimenti generali del Garante in tema di trattamento dei dati del lavoratore (anche ai fini dei c.d. controlli difensivi), di uso di internet e della posta elettronica, di amministratore di sistema.
Sarà importante che l’azienda adotti un corretto assetto organizzativo e gestionale in ordine al trattamento dei dati personali, con particolare riferimento alla designazione del responsabile e dell’incaricato del trattamento.
Quanto appena detto vale soprattutto per le ipotesi di comunicazione di dati personali nell’ambito di un gruppo di imprese, specie se a carattere transnazionale.
Dovranno, a questo punto, essere approfondite le modalità di gestione delle segnalazioni interne di potenziali illeciti (c.d.whistleblowing), che possono contenere dati personali, magari anche sensibili e giudiziari.
Infine, ma non per importanza, il “Responsabile Privacy” (e il futuro Data Protection Officer) dovrà essere un interlocutore privilegiato dell’Organismo di vigilanza[4].
[1] Il delitto di frode informatica viene, pertanto, ad essere richiamato da due articoli del d.lg. 231, concernenti, rispettivamente, i reati di truffa/indebita percezione di finanziamenti pubblici (articolo 24) e i reati informatici (articolo 24-bis). Tale delitto, se commesso in danno dello Stato o di altro ente pubblico, determina (ex articolo 24) l’applicazione all’ente della sanzione pecuniaria fino a cinquecento quote; se l’ente ha conseguito un profitto di rilevante entità o è derivato un danno di particolare gravità, si applica la sanzione pecuniaria da duecento a seicento quote; in caso di condanna, si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, lettere c), d) ed e). Ove, invece, la frode informatica avvenga con sostituzione dell’identità digitale in danno di terzi, si applica all’ente (ex articolo 24-bis) la sanzione pecuniaria da cento a cinquecento quote; in caso di condanna, si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, lettere a), b) ed e).
[2] Articolo 55 comma 9 Decreto Legislativo 231/2007 (c.d. Legge Antiriciclaggio): Chiunque, al fine di trarne profitto per sé o per altri, indebitamente utilizza, non essendone titolare, carte di credito o di pagamento, ovvero qualsiasi altro documento analogo che abiliti al prelievo di denaro contante o all’acquisto di beni o alla prestazione di servizi, è punito con la reclusione da uno a cinque anni e con la multa da 310 a 1.550 euro. Alla stessa pena soggiace chi, al fine di trarne profitto per se’ o per altri, falsifica o altera carte di credito o di pagamento o qualsiasi altro documento analogo che abiliti al prelievo di denaro contante o all’acquisto di beni o alla prestazione di servizi, ovvero possiede, cede o acquisisce tali carte o documenti di provenienza illecita o comunque falsificati o alterati, nonché ordini di pagamento prodotti con essi.
[3] Sotto il profilo sanzionatorio, va rilevato che per i delitti in materia di privacy sono previste anche alcune sanzioni interdittive, e in particolare: l’interdizione dall’esercizio dell’attività; la sospensione o la revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione dell’illecito; il divieto di pubblicizzare beni o servizi.
[4] La collaborazione informativa tra il preposto ai controlli in uno specifico settore e l’ODV costituisce ormai un trend consolidato: si pensi alla normativa antiriciclaggio, a quella sulla sicurezza sul lavoro e sui reati ambientali.
Il Decreto-Legge 14 agosto 2013, n. 93, recante “Disposizioni urgenti in materia di sicurezza e per il contrasto della violenza di genere, nonché in tema di protezione civile e di commissariamento delle province” (in G.U. n. 191 del 16 agosto 2013 e in vigore dal 17 agosto), dispone un’importante integrazione del Decreto Legislativo 231/2001 (responsabilità da reato degli enti collettivi).
Va premesso che l’articolo 9 inserisce nell’articolo 640-ter del codice penale (frode informatica) un terzo comma, nel quale viene prevista una fattispecie autonoma di reato – procedibile d’ufficio - “se il fatto è commesso con sostituzione dell’identità digitale in danno di uno o più soggetti".
Il nuovo testo dell’articolo 640-ter codice penale [1] è, pertanto, il seguente:
Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da euro 51 a euro 1.032.
La pena è della reclusione da uno a cinque anni e della multa da euro 309 a euro 1.549 se ricorre una delle circostanze previste dal numero 1) del secondo comma dell’articolo 640, ovvero se il fatto è commesso con abuso della qualità di operatore del sistema.
La pena è della reclusione da due a sei anni e della multa da euro 600 a euro 3000 se il fatto è commesso con sostituzione dell’identità digitale in danno di uno o più soggetti.
Il delitto è punibile a querela della persona offesa, salvo che ricorra taluna delle circostanze di cui al secondo e terzo comma o un’altra circostanza aggravante.
Interessa in questa sede l’integrazione dell’articolo 24-bis Decreto Legislativo 231/2001 con il richiamo (che comprende oltre alla fattispecie menzionata, anche il delitto di utilizzo indebito e falsificazione di carte di credito [2]) dei delitti contenuti nel Codice sulla Privacy (Decreto Legislativo 196/2003.
Il nuovo testo dell’articolo 24-bis Decreto Legislativo 231/2001
Di seguito il testo aggiornato dell’articolo 24-bis (Delitti informatici e trattamento illecito di dati), con evidenza in grassetto delle modifiche menzionate:
1. In relazione alla commissione dei delitti di cui agli articoli 615-ter, 617-quater, 617-quinquies, 635-bis, 635-ter, 635-quater, 635-quinquies e 640-ter, terzo comma, del codice penale nonché dei delitti di cui agli articoli 55, comma 9, del decreto legislativo 21 novembre 2007, n. 231, e di cui alla Parte III, Titolo III, Capo II del decreto legislativo 30 giugno 2003, n. 196, si applica all’ente la sanzione pecuniaria da cento a cinquecento quote.
2. In relazione alla commissione dei delitti di cui agli articoli 615-quater e 615-quinquies del codice penale, si applica all’ente la sanzione pecuniaria sino a trecento quote.
3. In relazione alla commissione dei delitti di cui agli articoli 491-bis e 640-quinquies del codice penale, salvo quanto previsto dall’articolo 24 del presente decreto per i casi di frode informatica in danno dello Stato o di altro ente pubblico, si applica all’ente la sanzione pecuniaria sino a quattrocento quote.
4. Nei casi di condanna per uno dei delitti indicati nel comma 1 si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, lettere a), b) ed e). Nei casi di condanna per uno dei delitti indicati nel comma 2 si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, lettere b) ed e). Nei casi di condanna per uno dei delitti indicati nel comma 3 si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, lettere c), d) ed e).
I delitti del Codice Privacy nel Decreto Legislativo 231
Il testo dell’articolo 24-bis contiene finalmente un link corretto alla rubrica della medesima disposizione: nel testo previgente, come è noto, non era menzionata alcuna fattispecie criminosa relativa alla normativa sulla privacy.
Il link non è tuttavia esaustivo, in quanto la disposizione prende in considerazione non solo il trattamento illecito, ma anche altre fattispecie delittuose in materia di trattamento di dati personali.
Il richiamo al Codice Privacy riguarda, precisamente, i delitti di cui alla Parte III, Titolo III, Capo II del Decreto Legislativo 196.
Quest’ultimo Capo disciplina le sanzioni penali (articoli 167-172), alcune riferite a delitti altre a contravvenzioni.
Ai fini del Decreto Legislativo 231 (e, di conseguenza, ai fini del risk assessment in sede di aggiornamento dei Modelli organizzativi) occorre considerare i seguenti delitti:
articolo 167 (Trattamento illecito di dati)
1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell’articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.
2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26,27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni.
articolo 168 (Falsità nelle dichiarazioni e notificazioni al Garante)
1. Chiunque, nelle comunicazioni di cui all’articolo 32-bis,commi 1 e 8, nella notificazione di cui all’articolo 37 o in comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni.
articolo 170 (Inosservanza di provvedimenti del Garante)
1. Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi degli articoli 26, comma 2, 90, 150, commi 1 e 2, e 143, comma 1, lettera c), è punito con la reclusione da tre mesi a due anni.
Non costituiscono reato-presupposto le contravvenzioni di cui agli articoli 169 (omessa adozione delle misure minime di sicurezza) e 171 (violazione delle disposizioni di cui agli articoli 113,comma 1, e 114).
L’articolo 171 rinvia, quoad poenam, all’articolo 38 dello Statuto dei lavoratori (altra contravvenzione) per la violazione del divieto di indagine sulle opinioni dei lavoratori (articolo 8) e del divieto di controllo a distanza (articolo 4).
I delitti-presupposto in dettaglio
- trattamento illecito di dati personali
La tipizzazione del trattamento illecito richiede - ora anche ai fini del Decreto Legislativo 231 - l’esame dei numerosi rinvii contenuti nella disposizione in esame.
Va pure rilevato che alcune disposizioni richiamate dall’articolo 167 riguardano esclusivamente soggetti pubblici (articoli 18, 19, 20, 21, 22) e altre sono riferibili al trattamento di dati effettuato da soggetti specificamente determinati (articoli 123, 126, 130).
- trattamento di dati personali in violazione di quanto disposto dall’articolo 18:
articolo 18 (Principi applicabili a tutti i trattamenti effettuati da soggetti pubblici)
1. Le disposizioni del presente capo riguardano tutti i soggetti pubblici, esclusi gli enti pubblici economici.
2. Qualunque trattamento di dati personali da parte di soggetti pubblici è consentito soltanto per lo svolgimento delle funzioni istituzionali.
3. Nel trattare i dati il soggetto pubblico osserva i presupposti e i limiti stabiliti dal presente codice, anche in relazione alla diversa natura dei dati, nonché dalla legge e dai regolamenti.
4. Salvo quanto previsto nella Parte II per gli esercenti le professioni sanitarie e gli organismi sanitari pubblici, i soggetti pubblici non devono richiedere il consenso dell’interessato.
5. Si osservano le disposizioni di cui all’articolo 25 in tema di comunicazione e diffusione.
- trattamento di dati personali in violazione di quanto disposto dall’articolo 19:
articolo 19 (Principi applicabili al trattamento di dati diversi da quelli sensibili e giudiziari)
1. Il trattamento da parte di un soggetto pubblico riguardante dati diversi da quelli sensibili e giudiziari è consentito, fermo restando quanto previsto dall’articolo 18, comma 2, anche in mancanza di una norma di legge o di regolamento che lo preveda espressamente.
2. La comunicazione da parte di un soggetto pubblico ad altri soggetti pubblici è ammessa quando è prevista da una norma di legge o di regolamento. In mancanza di tale norma la comunicazione è ammessa quando è comunque necessaria per lo svolgimento di funzioni istituzionali e può essere iniziata se è decorso il termine di cui all’articolo 39, comma 2, e non è stata adottata la diversa determinazione ivi indicata.
3. La comunicazione da parte di un soggetto pubblico a privati o a enti pubblici economici e la diffusione da parte di un soggetto pubblico sono ammesse unicamente quando sono previste da una norma di legge o di regolamento.
- trattamento di dati personali in violazione di quanto disposto dall’articolo 23:
articolo 23 (Consenso)
1. Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell’interessato.
2. Il consenso può riguardare l’intero trattamento ovvero una o più operazioni dello stesso.
3. Il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all’interessato le informazioni di cui all’articolo 13.
4. Il consenso è manifestato in forma scritta quando il trattamento riguarda dati sensibili.
- trattamento di dati personali in violazione di quanto disposto dall’articolo 123:
articolo 123 (Dati relativi al traffico)
1. I dati relativi al traffico riguardanti abbonati ed utenti trattati dal fornitore di una rete pubblica di comunicazioni o di un servizio di comunicazione elettronica accessibile al pubblico sono cancellati o resi anonimi quando non sono più necessari ai fini della trasmissione della comunicazione elettronica, fatte salve le disposizioni dei commi 2, 3 e 5.
2. Il trattamento dei dati relativi al traffico strettamente necessari a fini di fatturazione per il contraente, ovvero di pagamenti in caso di interconnessione, è consentito al fornitore, a fini di documentazione in caso di contestazione della fattura o per la pretesa del pagamento, per un periodo non superiore a sei mesi, salva l’ulteriore specifica conservazione necessaria per effetto di una contestazione anche in sede giudiziale.
3. Il fornitore di un servizio di comunicazione elettronica accessibile al pubblico può trattare i dati di cui al comma 2 nella misura e per la durata necessarie a fini di commercializzazione di servizi di comunicazione elettronica o per la fornitura di servizi a valore aggiunto, solo se il contraente o l’utente cui i dati si riferiscono hanno manifestato preliminarmente il proprio consenso, che è revocabile in ogni momento.
4. Nel fornire l’informativa di cui all’articolo 13 il fornitore del servizio informa il contraente o l’utente sulla natura dei dati relativi al traffico che sono sottoposti a trattamento e sulla durata del medesimo trattamento ai fini di cui ai commi 2 e 3.
5. Il trattamento dei dati personali relativi al traffico è consentito unicamente ad incaricati del trattamento che operano ai sensi dell’articolo 30 sotto la diretta autorità del fornitore del servizio di comunicazione elettronica accessibile al pubblico o, a seconda dei casi, del fornitore della rete pubblica di comunicazioni e che si occupano della fatturazione o della gestione del traffico, di analisi per canto di clienti, dell’accertamento di frodi, o della commercializzazione dei servizi di comunicazione elettronica o della prestazione dei servizi a valore aggiunto. Il trattamento è limitato a quanto è strettamente necessario per lo svolgimento di tali attività e deve assicurare l’identificazione dell’incaricato che accede ai dati anche mediante un’operazione di interrogazione automatizzata.
6. L’Autorità per le garanzie nelle comunicazioni può ottenere i dati relativi alla fatturazione o al traffico necessari ai fini della risoluzione di controversie attinenti, in particolare, all’interconnessione o alla fatturazione.
- trattamento di dati personali in violazione di quanto disposto dall’articolo 126:
articolo 126 (Dati relativi all’ubicazione)
1. I dati relativi all’ubicazione diversi dai dati relativi al traffico, riferiti agli utenti o agli abbonati di reti pubbliche di comunicazione o di servizi di comunicazione elettronica accessibili al pubblico, possono essere trattati solo se anonimi o se l’utente o il contraente ha manifestato previamente il proprio consenso, revocabile in ogni momento, e nella misura e per la durata necessari per la fornitura del servizio a valore aggiunto richiesto.
2. Il fornitore del servizio, prima di richiedere il consenso, informa gli utenti e gli abbonati sulla natura dei dati relativi all’ubicazione diversi dai dati relativi al traffico che saranno sottoposti al trattamento, sugli scopi e sulla durata di quest’ultimo, nonché sull’eventualità che i dati siano trasmessi ad un terzo per la prestazione del servizio a valore aggiunto.
3. L’utente e il contraente che manifestano il proprio consenso al trattamento dei dati relativi all’ubicazione, diversi dai dati relativi al traffico, conservano il diritto di richiedere, gratuitamente e mediante una funzione semplice, l’interruzione temporanea del trattamento di tali dati per ciascun collegamento alla rete o per ciascuna trasmissione di comunicazioni.
4. Il trattamento dei dati relativi all’ubicazione diversi dai dati relativi al traffico, ai sensi dei commi 1 , 2 e 3, è consentito unicamente ad incaricati del trattamento che operano ai sensi dell’articolo 30, sono la diretta autorità del fornitore del servizio di comunicazione elettronica accessibile al pubblico o, a seconda dei casi, del fornitore della rete pubblica di comunicazioni o del terzo che fornisce il servizio a valore aggiunto. Il trattamento è limitato a quanto è strettamente necessario per la fornitura del servizio a valore aggiunto e deve assicurare
l’identificazione dell’incaricato che accede ai dati anche mediante un’operazione di interrogazione automatizzata.
- trattamento di dati personali in violazione di quanto disposto dall’articolo 130:
articolo 130 (Comunicazioni indesiderate)
1. Fermo restando quanto stabilito dagli articoli 8 e 21 del decreto legislativo 9 aprile 2003, n. 70, l’uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l’intervento di un operatore per l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso del contraente o utente.
2. La disposizione di cui al comma 1 si applica anche alle comunicazioni elettroniche, effettuate per le finalità ivi indicate, mediante posta elettronica, telefax, messaggi del tipo Mms (Multimedia Messaging Service) o Sms (Short Message Service) o di altro tipo.
3. Fuori dei casi di cui ai commi 1 e 2, ulteriori comunicazioni per le finalità di cui ai medesimi commi effettuate con mezzi diversi da quelli ivi indicati, sono consentite ai sensi degli articoli 23 e 24 nonché ai sensi di quanto previsto dal comma 3-bis del presente articolo.
3-bis. In deroga a quanto previsto dall’articolo 129, il trattamento dei dati di cui all’articolo 129, comma 1, mediante l’impiego del telefono e della posta cartacea per le finalità di cui all’articolo 7, comma 4, lettera b), è consentito nei confronti di chi non abbia esercitato il diritto di opposizione, con modalità semplificate e anche in via telematica, mediante l’iscrizione della numerazione della quale è intestatario e degli altri dati personali di cui all’articolo 129, comma 1, in un registro pubblico delle opposizioni.
3-ter. Il registro di cui al comma 3-bis è istituito con decreto del Presidente della Repubblica da adottare ai sensi dell’articolo 17, comma 2, della legge 23 agosto 1988, n. 400, previa deliberazione del Consiglio dei ministri, acquisito il parere del Consiglio di Stato e delle Commissioni parlamentari competenti in materia, che si pronunciano entro trenta giorni dalla richiesta, nonché, per i relativi profili di competenza, il parere dell’Autorità per le garanzie nelle comunicazioni, che si esprime entro il medesimo termine, secondo i seguenti criteri e principi generali:
a) attribuzione dell’istituzione e della gestione del registro ad un ente o organismo pubblico titolare di competenze inerenti alla materia;
b) previsione che l’ente o organismo deputato all’istituzione e alla gestione del registro vi provveda con le risorse umane e strumentali di cui dispone o affidandone la realizzazione e la gestione a terzi, che se ne assumono interamente gli oneri finanziari e organizzativi, mediante contratto di servizio, nel rispetto del codice dei contratti pubblici relativi a lavori, servizi e forniture, di cui al decreto legislativo 12 aprile 2006, n. 163. I soggetti che si avvalgono del registro per effettuare le comunicazioni corrispondono tariffe di accesso basate sugli effettivi costi di funzionamento e di manutenzione. Il Ministro dello sviluppo economico, con proprio provvedimento, determina tali tariffe;
c) previsione che le modalità tecniche di funzionamento del registro consentano ad ogni utente di chiedere che sia iscritta la numerazione della quale è intestatario secondo modalità semplificate ed anche in via telematica o telefonica;
d) previsione di modalità tecniche di funzionamento e di accesso al registro mediante interrogazioni selettive che non consentano il trasferimento del dati presenti nel registro stesso, prevedendo il tracciamento delle operazioni compiute e la conservazione dei dati relativi agli accessi;
e) disciplina delle tempistiche e delle modalità dell’iscrizione al registro, senza distinzione di settore di attività o di categoria merceologica, e del relativo aggiornamento, nonché del correlativo periodo massimo di utilizzabilità dei dati verificati nel registro medesimo, prevedendosi che l’iscrizione abbia durata indefinita e sia revocabile in qualunque momento, mediante strumenti di facile utilizzo e gratuitamente;
f)obbligo per i soggetti che effettuano trattamenti di dati per le finalità di cui all’articolo 7, comma 4, lettera b), di garantire la presentazione dell’identificazione della linea chiamante e di fornire all’utente idonee informative, in particolare sulla possibilità e sulle modalità di iscrizione nel registro per opporsi a futuri contatti;
g) previsione che l’iscrizione nel registro non precluda i trattamenti dei dati altrimenti acquisiti e trattati nel rispetto degli articoli 23 e 24.
3-quater. La vigilanza e il controllo sull’organizzazione e il funzionamento del registro di cui al comma 3-bis e sul trattamento dei dati sono attribuiti al Garante.
4. Fatto salvo quanto previsto nel comma 1 , se il titolare del trattamento utilizza, a fini di vendita diretta di propri prodotti o servizi, le coordinate di posta elettronica fornite dall’interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell’interessato, sempre che si tratti di servizi analoghi a quelli oggetto della vendita e l’interessato, adeguatamente informato, non rifiuti tale uso, inizialmente o in occasione di successive comunicazioni. L’interessato, al momento della raccolta e in occasione dell’invio di ogni comunicazione effettuata per le finalità di cui al presente comma, è informato della possibilità di opporsi in ogni momento al trattamento, in maniera agevole e gratuitamente.
5. È vietato in ogni caso l’invio di comunicazioni per le finalità di cui al comma 1 o, comunque, a scopo promozionale, effettuato camuffando o celando l’identità del mittente o in violazione dell’articolo 8 del decreto legislativo 9 aprile 2003, n. 70, o senza fornire un idoneo recapito presso il quale l’interessato possa esercitare i diritti di cui all’articolo 7, oppure esortando i destinatari a visitare siti web che violino il predetto articolo 8 del decreto legislativo n. 70 del 2003.
6. In caso di reiterata violazione delle disposizioni di cui al presente articolo il Garante puo’, provvedendo ai sensi dell’articolo 143, comma 1, lettera b), altresì prescrivere a fornitori di servizi di comunicazione elettronica di adottare procedure di filtraggio o altre misure praticabili relativamente alle coordinate di posta elettronica da cui sono stati inviate le comunicazioni.
- trattamento di dati personali in applicazione dell’articolo 129:
articolo 129 (Elenchi di abbonati)
1. Il Garante individua con proprio provvedimento, in cooperazione con l’Autorità per le garanzie nelle comunicazioni ai sensi dell’articolo 154, comma 3, e in conformità alla normativa comunitaria, le modalità di inserimento e di successivo utilizzo dei dati personali relativi agli abbonati negli elenchi cartacei o elettronici a disposizione del pubblico, anche in riferimento ai dati già raccolti prima della data di entrata in vigore del presente codice.
2. Il provvedimento di cui al comma 1 individua idonee modalità per la manifestazione del consenso all’inclusione negli elenchi e, rispettivamente, all’utilizzo dei dati per le finalità di cui all’articolo 7, comma 4, lettera b), in base al principio della massima semplificazione delle modalità di inclusione negli elenchi a fini di mera ricerca del contraente per comunicazioni interpersonali, e del consenso specifico ed espresso qualora il trattamento esuli da tali fini, nonché in tema di verifica, rettifica o cancellazione dei dati senza oneri.
- trattamento di dati personali in violazione di quanto disposto dall’articolo 17:
articolo 17 (Trattamento che presenta rischi specifici)
1. Il trattamento dei dati diversi da quelli sensibili e giudiziari che presenta rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare, è ammesso nel rispetto di misure ed accorgimenti a garanzia dell’interessato, ove prescritti.
2. Le misure e gli accorgimenti di cui al comma 1 sono prescritti dal Garante in applicazione dei principi sanciti dal presente codice, nell’ambito di una verifica preliminare all’inizio del trattamento, effettuata anche in relazione a determinate categorie di titolari o di trattamenti, anche a seguito di un interpello del titolare.
- trattamento di dati personali in violazione di quanto disposto dall’articolo 20:
articolo 20 (Principi applicabili al trattamento di dati sensibili)
1. Il trattamento dei dati sensibili da parte di soggetti pubblici è consentito solo se autorizzato da espressa disposizione di legge nella quale sono specificati i tipi di’ dati che possono essere trattati e di operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite.
2. Nei casi in cui una disposizione di legge specifica la finalità di rilevante interesse pubblico, ma non i tipi di dati sensibili e di operazioni eseguibili, il trattamento è consentito solo in riferimento ai tipi di dati e di operazioni identificati e resi pubblici a cura dei soggetti che ne effettuano il trattamento, in relazione alle specifiche finalità perseguite nei singoli casi e nel rispetto dei principi di cui all’articolo 22, con atto di natura regolamentare adottato in conformità al parere espresso dal Garante ai sensi dell’articolo 154, comma 1, lettera g), anche su schemi tipo.
3. Se il trattamento non è previsto espressamente da una disposizione di legge i soggetti pubblici possono richiedere al Garante l’individuazione delle attività, tra quelle demandate ai medesimi soggetti dalla legge, che perseguono finalità di rilevante interesse pubblico e per le quali è conseguentemente autorizzato, ai sensi dell’articolo 26, comma 2, il trattamento dei dati sensibili. Il trattamento è consentito solo se il soggetto pubblico provvede altresì a identificare e rendere pubblici i tipi di dati e di operazioni nei modi di cui al comma 2.
4. L’identificazione dei tipi di dati e di operazioni di cui ai commi 2 e 3 è aggiornata e integrata periodicamente.
- trattamento di dati personali in violazione di quanto disposto dall’articolo 21:
articolo 21 (Principi applicabili al trattamento di dati giudiziari)
1. Il trattamento di dati giudiziari da parte di soggetti pubblici è consentito solo se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichino le finalità di rilevante interesse pubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili.
1-bis. Il trattamento dei dati giudiziari è altresì consentito quando è effettuato in attuazione di protocolli d’intesa per la prevenzione e il contrasto dei fenomeni di criminalità organizzata stipulati con il Ministero dell’interno o con i suoi uffici periferici di cui all’articolo 15, comma 2, del decreto legislativo 30 luglio 1999, n. 300, previo parere del Garante per la protezione dei dati personali, che specificano la tipologia dei dati trattati e delle operazioni eseguibili.
2. Le disposizioni di cui all’articolo 20, commi 2 e 4, si applicano anche al trattamento dei dati giudiziari.
- trattamento di dati personali in violazione di quanto disposto dall’articolo 22, commi 8 e 11:
articolo 22 (Principi applicabili al trattamento di dati sensibili e giudiziari)
8. I dati idonei a rivelare lo stato di salute non possono essere diffusi.
Omissis.
10. I dati sensibili e giudiziari non possono essere trattati nell’ambito di test psicoattitudinali volti a definire il profilo o la personalità dell’interessato. Le operazioni di raffronto tra dati sensibili e giudiziari, nonché i trattamenti di dati sensibili e giudiziari ai sensi dell’articolo 14, sono effettuati solo previa annotazione scritta dei motivi.
11. In ogni caso, le operazioni e i trattamenti di cui al comma 10, se effettuati utilizzando banche di dati di diversi titolari, nonché la diffusione dei dati sensibili e giudiziari, sono ammessi solo se previsti da espressa disposizione di legge.
- trattamento di dati personali in violazione di quanto disposto dall’articolo 25:
articolo 25 (Divieti di comunicazione e diffusione)
1. La comunicazione e la diffusione sono vietate, oltre che in caso di divieto disposto dal Garante o dall’autorità giudiziaria:
a) in riferimento a dati personali dei quali è stata ordinata la cancellazione, ovvero quando è decorso il periodo di tempo indicato nell’articolo 11, comma 1, lettera e);
b) per finalità diverse da quelle indicate nella notificazione del trattamento, ove prescritta.
2. È fatta salva la comunicazione o diffusione di dati richieste, in conformità alla legge, da forze di polizia, dall’autorità giudiziaria, da organismi di informazione e sicurezza o da altri soggetti pubblici ai sensi dell’articolo 58, comma 2, per finalità di difesa o di sicurezza dello Stato o di prevenzione, accertamento o repressione di reati.
- trattamento di dati personali in violazione di quanto disposto dall’articolo 26:
articolo 26 (Garanzie per i dati sensibili)
1. I dati sensibili possono essere oggetto di trattamento solo con il consenso scritto dell’interessato e previa autorizzazione del Garante, nell’osservanza dei presupposti e dei limiti stabiliti dal presente codice, nonché dalla legge e dai regolamenti.
2. Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il provvedimento di autorizzazione, ovvero successivamente, anche sulla base di eventuali verifiche, il Garante può prescrivere misure e accorgimenti a garanzia dell’interessato, che il titolare del trattamento è tenuto ad adottare.
3. Il comma 1 non si applica al trattamento:
a) dei dati relativi agli aderenti alle confessioni religiose e ai soggetti che con riferimento a finalità di natura esclusivamente religiosa hanno contatti regolari con le medesime confessioni, effettuato dai relativi organi, ovvero da enti civilmente riconosciuti, sempre che i dati non siano diffusi o comunicati fuori delle medesime confessioni. Queste ultime determinano idonee garanzie relativamente ai trattamenti effettuati, nel rispetto dei principi indicati al riguardo con autorizzazione del Garante;
b) dei dati riguardanti l’adesione di associazioni od organizzazioni a carattere sindacale o di categoria ad altre associazioni, organizzazioni o confederazioni a carattere sindacale o di categoria.
b-bis) dei dati contenuti nei curricula, nei casi di cui all’articolo 13, comma 5-bis.
4. I dati sensibili possono essere oggetto di trattamento anche senza consenso, previa autorizzazione del Garante:
a) quando il trattamento è effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale, ivi compresi partiti e movimenti politici, per il perseguimento di scopi determinati e legittimi individuati dall’atto costitutivo, dallo statuto o dal contratto collettivo, relativamente ai dati personali degli aderenti o dei soggetti che in relazione a tali finalità hanno contatti regolari con l’associazione, ente od organismo, sempre che i dati non siano comunicati all’esterno o diffusi e l’ente, associazione od
organismo determini idonee garanzie relativamente ai trattamenti effettuati, prevedendo espressamente le modalità di utilizzo dei dati con determinazione resa nota agli interessati all’atto dell’informativa ai sensi dell’articolo 13;
b) quando il trattamento è necessario per la salvaguardia della vita o dell’incolumità fisica di un terzo. Se la medesima finalità riguarda l’interessato e quest’ultimo non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di volere, il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l’interessato. Si applica la disposizione di cui all’articolo 82, comma 2;
c) quando il trattamento è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere in sede giudiziaria un diritto, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento. Se i dati sono idonei a rivelare lo stato di salute e la vita sessuale, il diritto deve essere di rango pari a quello dell’interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile;
d) quando è necessario per adempiere a specifici obblighi o compiti previsti dalla legge, da un regolamento o dalla normativa comunitaria per la gestione del rapporto di lavoro, anche in materia di igiene e sicurezza del lavoro e della popolazione e di previdenza e assistenza, nei limiti previsti dall’autorizzazione e ferme restando le disposizioni del codice di deontologia e di buona condotta di cui all’articolo 111.
5. I dati idonei a rivelare lo stato di salute non possono essere diffusi.
- trattamento di dati personali in violazione di quanto disposto dall’articolo 27:
articolo 27 (Garanzie per i dati giudiziari)
1. Il trattamento di dati giudiziari da parte di privati o di enti pubblici economici è consentito soltanto se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichino le rilevanti finalità di interesse pubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili. Si applica quanto previsto dall’articolo 21, comma 1-bis.
- trattamento di dati personali in violazione di quanto disposto dall’articolo 45:
articolo 45 (Trasferimenti vietati)
1. Fuori dei casi di cui agli articoli 43 e 44, il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all’Unione europea, è vietato quando l’ordinamento del Paese di destinazione o di transito dei dati non assicura un livello di tutela delle persone adeguato. Sono valutate anche le modalità del trasferimento e dei trattamenti previsti, le relative finalità, la natura dei dati e le misure di sicurezza.
- falsità nelle dichiarazioni e notificazioni al Garante
La tipizzazione delle falsità rilevanti richiede - oltre alle ipotesi in cui avvenga l’esibizione di documenti dinanzi al Garante o nel corso di accertamenti - l’esame degli articoli richiamati:
- falsità nelle comunicazioni di cui all’articolo 32-bis, commi 1 e 8:
articolo 32-bis (Adempimenti conseguenti ad una violazione di dati personali)
1. In caso di violazione di dati personali, il fornitore di servizi di comunicazione elettronica accessibili al pubblico comunica senza indebiti ritardi detta violazione al Garante.
Omissis
8. Nel caso in cui il fornitore di un servizio di comunicazione elettronica accessibile al pubblico affidi l’erogazione del predetto servizio ad altri soggetti, gli stessi sono tenuti a comunicare al fornitore senza indebito ritardo tutti gli eventi e le informazioni necessarie a consentire a quest’ultimo di effettuare gli adempimenti di cui al presente articolo.
- falsità nella notificazione di cui all’articolo 37:
articolo 37 (Notificazione del trattamento)
1. Il titolare notifica al Garante il trattamento di dati personali cui intende procedere, solo se il trattamento riguarda:
a) dati genetici, biometrici o dati che indicano la posizione geografica di persone od oggetti mediante una rete di comunicazione elettronica;
b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria;
c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale;
d) dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti tecnicamente indispensabili per fornire i servizi medesimi agli utenti;
e) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie;
f) dati registrati in apposite banche di dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica, alla situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.
1-bis. La notificazione relativa al trattamento dei dati di cui al comma 1 non è dovuta se relativa all’attività dei medici di famiglia e dei pediatri di libera scelta, in quanto tale funzione è tipica del loro rapporto professionale con il Servizio sanitario nazionale.
2. Il Garante può individuare altri trattamenti suscettibili di recare pregiudizio ai diritti e alle libertà dell’interessato, in ragione delle relative modalità o della natura dei dati personali, con proprio provvedimento adottato anche ai sensi dell’articolo 17. Con analogo provvedimento pubblicato sulla Gazzetta ufficiale della Repubblica italiana il Garante può anche individuare, nell’ambito dei trattamenti di cui al comma 1, eventuali trattamenti non suscettibili di recare detto pregiudizio e pertanto sottratti all’obbligo di notificazione.
3. La notificazione è effettuata con unico atto anche quando il trattamento comporta il trasferimento all’estero dei dati.
4. Il Garante inserisce le notificazioni ricevute in un registro dei trattamenti accessibile a chiunque e determina le modalità per la sua consultazione gratuita per via telematica, anche mediante convenzioni con soggetti pubblici o presso il proprio Ufficio. Le notizie accessibili tramite la consultazione del registro possono essere trattate per esclusive finalità di applicazione della disciplina in materia di protezione dei dati personali.
- inosservanza di provvedimenti del Garante
Rilevano le seguenti inottemperanze:
- inosservanza del provvedimento adottato dal Garante ai sensi dell’articolo 26, comma 2:
2. Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il provvedimento di autorizzazione, ovvero successivamente, anche sulla base di eventuali verifiche, il Garante può prescrivere misure e accorgimenti a garanzia dell’interessato, che il titolare del trattamento è tenuto ad adottare.
- inosservanza del provvedimento adottato dal Garante ai sensi dell’articolo 90:
articolo 90 (Trattamento dei dati genetici e donatori di midollo osseo)
1. Il trattamento dei dati genetici da chiunque effettuato è consentito nei soli casi previsti da apposita autorizzazione rilasciata dal Garante sentito il Ministro della salute, che acquisisce, a tal fine, il parere del Consiglio superiore di sanità.
2. L’autorizzazione di cui al comma 1 individua anche gli ulteriori elementi da includere nell’informativa ai sensi dell’articolo 13, con particolare riguardo alla specificazione delle finalità perseguite e dei risultati conseguibili anche in relazione alle notizie inattese che possono essere conosciute per effetto del trattamento dei dati e al diritto di opporsi al medesimo trattamento per motivi legittimi.
3. Il donatore di midollo osseo, ai sensi della legge 6 marzo 2001, n. 52, ha il diritto e il dovere di mantenere l’anonimato sia nei confronti del ricevente sia nei confronti di terzi.
- inosservanza del provvedimento adottato dal Garante ai sensi dell’articolo 150, commi 1 e 2:
articolo 150 (Provvedimenti a seguito del ricorso)
1. Se la particolarità del caso lo richiede, il Garante può disporre in via provvisoria il blocco in tutto o in particolare di taluno dei dati, ovvero l’immediata sospensione di una o più operazioni del trattamento. Il provvedimento può essere adottato anche prima della comunicazione del ricorso ai sensi dell’articolo 149, comma 1, e cessa di avere ogni effetto se non è adottata nei termini la decisione di cui al comma 2. Il medesimo provvedimento è impugnabile unitamente a tale decisione.
2. Assunte le necessarie informazioni il Garante, se ritiene fondato il ricorso, ordina al titolare, con decisione motivata, la cessazione del comportamento illegittimo, indicando le misure necessarie a tutela dei diritti dell’interessato e assegnando un termine per la loro adozione. La mancata pronuncia sul ricorso, decorsi sessanta giorni dalla data di presentazione, equivale a rigetto.
- inosservanza del provvedimento adottato dal Garante ai sensi dell’articolo 143, comma 1, lettera c):
articolo 143 (Procedimento per i reclami)
1. Esaurita l’istruttoria preliminare, se il reclamo non è manifestamente infondato e sussistono i presupposti per adottare un provvedimento, il Garante, anche prima della definizione del procedimento:
omissis
c) dispone il blocco o vieta, in tutto o in parte, il trattamento che risulta illecito o non corretto anche per effetto della mancata adozione delle misure necessarie di cui alla lettera b), oppure quando, in considerazione della natura dei dati o, comunque, delle modalità del trattamento o degli effetti che esso può determinare, vi è il concreto rischio del verificarsi di un pregiudizio rilevante per uno o più interessati;
omissis
Alcune considerazioni
Non v’è dubbio che la previsione dei delitti in tema di privacy risulta di grande impatto, soprattutto per quanto concerne l’illecito trattamento dei dati personali[3].
Si tratta di violazioni potenzialmente in grado di interessare l’intera platea degli enti collettivi privati soggetti alle disposizioni del Decreto Legislativo 231.
La compliance in materia di privacy entra pertanto a pieno titolo – e, direi, prepotentemente – nella sfera della compliance 231.
Diventerà decisivo il rispetto dei provvedimenti generali del Garante in tema di trattamento dei dati del lavoratore (anche ai fini dei c.d. controlli difensivi), di uso di internet e della posta elettronica, di amministratore di sistema.
Sarà importante che l’azienda adotti un corretto assetto organizzativo e gestionale in ordine al trattamento dei dati personali, con particolare riferimento alla designazione del responsabile e dell’incaricato del trattamento.
Quanto appena detto vale soprattutto per le ipotesi di comunicazione di dati personali nell’ambito di un gruppo di imprese, specie se a carattere transnazionale.
Dovranno, a questo punto, essere approfondite le modalità di gestione delle segnalazioni interne di potenziali illeciti (c.d.whistleblowing), che possono contenere dati personali, magari anche sensibili e giudiziari.
Infine, ma non per importanza, il “Responsabile Privacy” (e il futuro Data Protection Officer) dovrà essere un interlocutore privilegiato dell’Organismo di vigilanza[4].
[1] Il delitto di frode informatica viene, pertanto, ad essere richiamato da due articoli del d.lg. 231, concernenti, rispettivamente, i reati di truffa/indebita percezione di finanziamenti pubblici (articolo 24) e i reati informatici (articolo 24-bis). Tale delitto, se commesso in danno dello Stato o di altro ente pubblico, determina (ex articolo 24) l’applicazione all’ente della sanzione pecuniaria fino a cinquecento quote; se l’ente ha conseguito un profitto di rilevante entità o è derivato un danno di particolare gravità, si applica la sanzione pecuniaria da duecento a seicento quote; in caso di condanna, si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, lettere c), d) ed e). Ove, invece, la frode informatica avvenga con sostituzione dell’identità digitale in danno di terzi, si applica all’ente (ex articolo 24-bis) la sanzione pecuniaria da cento a cinquecento quote; in caso di condanna, si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, lettere a), b) ed e).
[2] Articolo 55 comma 9 Decreto Legislativo 231/2007 (c.d. Legge Antiriciclaggio): Chiunque, al fine di trarne profitto per sé o per altri, indebitamente utilizza, non essendone titolare, carte di credito o di pagamento, ovvero qualsiasi altro documento analogo che abiliti al prelievo di denaro contante o all’acquisto di beni o alla prestazione di servizi, è punito con la reclusione da uno a cinque anni e con la multa da 310 a 1.550 euro. Alla stessa pena soggiace chi, al fine di trarne profitto per se’ o per altri, falsifica o altera carte di credito o di pagamento o qualsiasi altro documento analogo che abiliti al prelievo di denaro contante o all’acquisto di beni o alla prestazione di servizi, ovvero possiede, cede o acquisisce tali carte o documenti di provenienza illecita o comunque falsificati o alterati, nonché ordini di pagamento prodotti con essi.
[3] Sotto il profilo sanzionatorio, va rilevato che per i delitti in materia di privacy sono previste anche alcune sanzioni interdittive, e in particolare: l’interdizione dall’esercizio dell’attività; la sospensione o la revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione dell’illecito; il divieto di pubblicizzare beni o servizi.
[4] La collaborazione informativa tra il preposto ai controlli in uno specifico settore e l’ODV costituisce ormai un trend consolidato: si pensi alla normativa antiriciclaggio, a quella sulla sicurezza sul lavoro e sui reati ambientali.