x

x

I delitti in materia di privacy nel Decreto Legislativo 231/2001

Il Decreto-Legge 14 agosto 2013, n. 93, recante “Disposizioni urgenti in materia di sicurezza e per il contrasto della violenza di genere, nonché in tema di protezione civile e di commissariamento delle province” (in G.U. n. 191 del 16 agosto 2013 e in vigore dal 17 agosto), dispone un’importante integrazione del Decreto Legislativo 231/2001 (responsabilità da reato degli enti collettivi).

Va premesso che l’articolo 9 inserisce nell’articolo 640-ter del codice penale (frode informatica) un terzo comma, nel quale viene prevista una fattispecie autonoma di reato – procedibile d’ufficio - “se  il  fatto è commesso con sostituzione dell’identità digitale in danno di uno o più soggetti".

Il nuovo testo dell’articolo 640-ter codice penale [1] è, pertanto, il seguente:

Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da euro 51 a euro 1.032.

La pena è della reclusione da uno a cinque anni e della multa da euro 309 a euro 1.549 se ricorre una delle circostanze previste dal numero 1) del secondo comma dell’articolo 640, ovvero se il fatto è commesso con abuso della qualità di operatore del sistema.

La pena è della reclusione da due a sei anni e della multa da euro 600 a euro 3000  se  il  fatto  è commesso con sostituzione dell’identità digitale in danno di uno o più soggetti.

Il delitto è punibile a querela della persona offesa, salvo che ricorra taluna delle circostanze di cui al secondo e terzo comma o un’altra circostanza aggravante.

Interessa in questa sede l’integrazione dell’articolo 24-bis Decreto Legislativo 231/2001 con il richiamo (che comprende oltre alla fattispecie menzionata, anche il delitto di utilizzo indebito e falsificazione di carte di credito [2]) dei delitti contenuti nel Codice sulla Privacy (Decreto Legislativo 196/2003.

Il nuovo testo dell’articolo 24-bis Decreto Legislativo 231/2001

Di seguito il testo aggiornato dell’articolo 24-bis (Delitti informatici e trattamento illecito di dati), con evidenza in grassetto delle modifiche menzionate:

 1. In relazione alla commissione dei delitti di cui  agli  articoli 615-ter, 617-quater, 617-quinquies, 635-bis, 635-ter, 635-quater, 635-quinquies e 640-ter, terzo comma, del codice  penale  nonché dei delitti di cui agli articoli 55, comma 9, del decreto legislativo 21 novembre 2007, n. 231, e di cui alla Parte III, Titolo  III,  Capo II del decreto legislativo 30 giugno  2003,  n.  196, si applica all’ente la sanzione pecuniaria da cento a cinquecento quote.

2. In relazione alla commissione dei delitti di cui  agli  articoli 615-quater e 615-quinquies del codice penale, si applica all’ente  la sanzione pecuniaria sino a trecento quote.

3. In relazione alla commissione dei delitti di cui  agli  articoli 491-bis e 640-quinquies del  codice penale,  salvo  quanto  previsto dall’articolo 24 del presente decreto per i casi di frode informatica in danno dello Stato o di altro ente pubblico, si applica all’ente la sanzione pecuniaria sino a quattrocento quote.

4. Nei casi di condanna per uno dei delitti indicati nel comma 1 si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, lettere a), b) ed e). Nei  casi  di  condanna  per  uno  dei  delitti indicati nel comma 2 si applicano le sanzioni  interdittive  previste dall’articolo 9, comma 2, lettere b) ed e). Nei casi di condanna  per uno dei delitti  indicati  nel  comma  3  si  applicano  le  sanzioni interdittive previste dall’articolo 9, comma 2, lettere c), d) ed e).

 I delitti del Codice Privacy nel Decreto Legislativo 231

Il testo dell’articolo 24-bis contiene finalmente un link corretto alla rubrica della medesima disposizione: nel testo previgente, come è noto, non era menzionata alcuna fattispecie criminosa relativa alla normativa sulla privacy.

Il link non è tuttavia esaustivo, in quanto la disposizione prende in considerazione non solo il trattamento illecito, ma anche altre fattispecie delittuose in materia di trattamento di dati personali.

Il richiamo al Codice Privacy riguarda, precisamente, i delitti di cui alla Parte III, Titolo III, Capo II del Decreto Legislativo 196.

Quest’ultimo Capo disciplina le sanzioni penali (articoli 167-172), alcune riferite a delitti altre a contravvenzioni.

Ai fini del Decreto Legislativo 231 (e, di conseguenza, ai fini del risk assessment in sede di aggiornamento dei Modelli organizzativi) occorre considerare i seguenti delitti:

articolo 167 (Trattamento illecito di dati)

 1.  Salvo che il fatto costituisca più grave reato, chiunque, al fine  di  trarne per sé o per altri profitto o di recare ad altri un danno,  procede  al  trattamento  di  dati personali in violazione di quanto  disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione  dell’articolo  129,  è  punito,  se  dal  fatto deriva nocumento,  con  la  reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.

2.  Salvo  che il fatto costituisca più grave reato, chiunque, al fine di  trarne per sé o per altri profitto o di recare ad altri un danno,  procede  al  trattamento  di  dati personali in violazione di quanto  disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26,27  e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni.

articolo 168 (Falsità nelle dichiarazioni e notificazioni al Garante)

1. Chiunque, nelle comunicazioni  di  cui  all’articolo  32-bis,commi 1 e 8, nella  notificazione  di  cui  all’articolo  37 o in comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito, salvo che il fatto costituisca più grave  reato, con la reclusione da sei mesi a tre anni.

articolo 170 (Inosservanza di provvedimenti del Garante)

 1.  Chiunque,  essendovi  tenuto,  non  osserva  il  provvedimento adottato  dal  Garante  ai sensi degli articoli 26, comma 2, 90, 150, commi  1 e 2, e 143, comma 1, lettera c), è punito con la reclusione da tre mesi a due anni.

Non costituiscono reato-presupposto le contravvenzioni di cui agli articoli 169 (omessa adozione delle misure minime di sicurezza) e 171 (violazione  delle  disposizioni  di cui agli articoli 113,comma 1, e 114).

L’articolo 171 rinvia, quoad poenam, all’articolo 38 dello Statuto dei lavoratori (altra contravvenzione) per la violazione del divieto di indagine sulle opinioni dei  lavoratori (articolo 8) e del divieto di controllo a distanza (articolo 4).

I delitti-presupposto in dettaglio

- trattamento illecito di dati personali

La tipizzazione del trattamento illecito richiede - ora anche ai fini del Decreto Legislativo 231 - l’esame dei numerosi rinvii contenuti nella disposizione in esame.

Va pure rilevato che alcune disposizioni richiamate dall’articolo 167 riguardano esclusivamente soggetti pubblici (articoli 18, 19, 20, 21, 22) e altre sono riferibili al trattamento di dati effettuato da soggetti specificamente determinati (articoli 123, 126,  130).

- trattamento  di  dati personali in violazione di quanto disposto dall’articolo 18:

articolo 18 (Principi applicabili a tutti i trattamenti effettuati da soggetti pubblici)

 1.  Le  disposizioni del presente capo riguardano tutti i soggetti pubblici, esclusi gli enti pubblici economici.

2.  Qualunque trattamento  di dati personali da parte di soggetti pubblici  è  consentito  soltanto  per lo svolgimento delle funzioni istituzionali.

3.  Nel trattare i dati il soggetto pubblico osserva i presupposti e i limiti  stabiliti  dal presente codice, anche in relazione alla diversa natura dei dati, nonché dalla legge e dai regolamenti.

4.  Salvo quanto  previsto  nella  Parte  II per gli esercenti le professioni  sanitarie  e gli organismi sanitari pubblici, i soggetti pubblici non devono richiedere il consenso dell’interessato.

5. Si osservano le disposizioni di cui all’articolo 25 in tema di comunicazione e diffusione.

- trattamento  di  dati personali in violazione di quanto disposto dall’articolo 19:

articolo 19 (Principi applicabili  al  trattamento  di  dati  diversi  da  quelli sensibili e giudiziari)

 1. Il trattamento da parte di un soggetto pubblico riguardante dati diversi  da  quelli  sensibili  e  giudiziari  è  consentito,  fermo restando quanto previsto dall’articolo 18, comma 2, anche in mancanza di una norma di legge o di regolamento che lo preveda espressamente.

2. La comunicazione da parte  di  un  soggetto  pubblico  ad  altri soggetti pubblici è ammessa quando è prevista da una norma di legge o di regolamento. In mancanza  di  tale  norma  la  comunicazione  è ammessa quando è comunque necessaria per lo svolgimento di  funzioni istituzionali e può essere iniziata se è decorso il termine di  cui all’articolo 39,  comma  2,  e  non  è  stata  adottata  la  diversa determinazione ivi indicata.

3. La comunicazione da parte di un soggetto pubblico a privati o  a enti pubblici economici e la  diffusione  da  parte  di  un  soggetto pubblico sono ammesse unicamente quando sono previste da una norma di legge o di regolamento.

- trattamento  di  dati personali in violazione di quanto disposto dall’articolo 23:

articolo 23 (Consenso)

 1.  Il  trattamento di dati personali da parte di privati o di enti pubblici   economici   è  ammesso  solo  con  il  consenso  espresso dell’interessato.

2.  Il  consenso  può riguardare l’intero trattamento ovvero una o più operazioni dello stesso.

3.  Il  consenso  è  validamente  prestato  solo  se  è  espresso liberamente   e  specificamente  in  riferimento  ad  un  trattamento chiaramente  individuato,  se  è documentato per iscritto, e se sono state rese all’interessato le informazioni di cui all’articolo 13.

4.   Il   consenso  è  manifestato  in  forma  scritta  quando  il trattamento riguarda dati sensibili.

- trattamento  di  dati personali in violazione di quanto  disposto dall’articolo 123:

articolo 123 (Dati relativi al traffico)

 1. I dati relativi al  traffico  riguardanti  abbonati  ed  utenti trattati dal fornitore di una rete pubblica di comunicazioni o di  un servizio di comunicazione elettronica accessibile  al  pubblico  sono cancellati o resi anonimi quando non  sono  più  necessari  ai  fini della trasmissione della comunicazione elettronica,  fatte  salve  le disposizioni dei commi 2, 3 e 5.

2. Il trattamento  dei  dati  relativi  al  traffico  strettamente necessari a fini di  fatturazione  per  il contraente,  ovvero  di pagamenti in caso di interconnessione, è consentito al fornitore,  a fini di documentazione in caso di contestazione della fattura  o  per la pretesa del pagamento, per un periodo non superiore  a  sei  mesi, salva l’ulteriore specifica conservazione necessaria per  effetto  di una contestazione anche in sede giudiziale.

3. Il  fornitore  di  un  servizio  di  comunicazione  elettronica accessibile al pubblico può trattare i dati di cui al comma 2  nella misura e per la durata necessarie a fini  di  commercializzazione  di servizi di comunicazione elettronica o per la fornitura di servizi  a valore aggiunto, solo se il contraente o l’utente cui  i  dati  si riferiscono  hanno   manifestato  preliminarmente   il   proprio consenso, che è revocabile in ogni momento.

4. Nel fornire l’informativa di cui all’articolo 13  il  fornitore del servizio informa il contraente o  l’utente  sulla  natura  dei dati relativi al traffico che sono sottoposti a trattamento  e  sulla durata del medesimo trattamento ai fini di cui ai commi 2 e 3.

5. Il trattamento dei  dati  personali  relativi  al  traffico  è consentito unicamente ad incaricati del trattamento  che  operano  ai sensi dell’articolo 30 sotto la diretta autorità del  fornitore  del servizio di comunicazione elettronica accessibile al  pubblico  o,  a seconda dei casi, del fornitore della rete pubblica di  comunicazioni e che si occupano della fatturazione o della gestione  del  traffico, di analisi per canto di clienti, dell’accertamento di frodi, o  della commercializzazione dei servizi di comunicazione elettronica o  della prestazione dei servizi a valore aggiunto. Il trattamento è limitato a quanto è  strettamente  necessario  per  lo  svolgimento  di  tali attività e deve  assicurare  l’identificazione  dell’incaricato  che accede  ai  dati  anche  mediante  un’operazione  di   interrogazione automatizzata.

6. L’Autorità per le garanzie nelle comunicazioni può ottenere i dati relativi alla fatturazione o al traffico necessari ai fini della risoluzione di controversie attinenti, in  particolare, all’interconnessione o alla fatturazione.

- trattamento  di  dati personali in violazione di quanto  disposto dall’articolo 126:

articolo 126 (Dati relativi all’ubicazione)

 1. I dati relativi all’ubicazione diversi  dai  dati  relativi  al traffico, riferiti agli utenti o agli abbonati di reti  pubbliche  di comunicazione o di servizi di comunicazione  elettronica  accessibili al pubblico, possono essere trattati solo se anonimi o se l’utente  o il contraente ha  manifestato  previamente  il  proprio  consenso, revocabile in ogni momento, e nella misura e per la durata  necessari per la fornitura del servizio a valore aggiunto richiesto.

2. Il fornitore del servizio, prima  di  richiedere  il  consenso, informa gli utenti e gli abbonati  sulla  natura  dei  dati  relativi all’ubicazione diversi dai dati  relativi  al  traffico  che  saranno sottoposti  al  trattamento,  sugli   scopi   e   sulla   durata   di quest’ultimo, nonché sull’eventualità che i dati siano trasmessi ad un terzo per la prestazione del servizio a valore aggiunto.

3. L’utente e il contraente che manifestano il proprio consenso al trattamento dei dati relativi  all’ubicazione,  diversi  dai  dati relativi  al  traffico,  conservano   il   diritto   di   richiedere, gratuitamente  e  mediante  una  funzione  semplice,   l’interruzione temporanea del trattamento di tali dati per ciascun collegamento alla rete o per ciascuna trasmissione di comunicazioni.

4. Il trattamento dei dati  relativi  all’ubicazione  diversi  dai dati relativi al traffico,  ai  sensi  dei  commi  1  ,  2  e  3,  è consentito unicamente ad incaricati del trattamento  che  operano  ai sensi dell’articolo 30, sono la diretta autorità del  fornitore  del servizio di comunicazione elettronica accessibile al  pubblico  o,  a seconda dei casi, del fornitore della rete pubblica di  comunicazioni o  del  terzo  che  fornisce  il  servizio  a  valore  aggiunto.   Il trattamento è limitato a quanto è strettamente  necessario  per  la fornitura  del  servizio  a  valore  aggiunto   e   deve   assicurare

l’identificazione dell’incaricato che accede ai dati  anche  mediante un’operazione di interrogazione automatizzata.

- trattamento  di  dati personali in violazione di quanto  disposto dall’articolo 130:

articolo 130 (Comunicazioni indesiderate)

 1. Fermo restando quanto stabilito dagli  articoli  8  e  21  del decreto  legislativo  9  aprile  2003,  n.  70,  l’uso   di   sistemi automatizzati di chiamata o di comunicazione di chiamata  senza l’intervento di un operatore per l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di  mercato  o  di comunicazione  commerciale  è  consentito  con  il  consenso del contraente o utente.

2. La disposizione  di  cui  al  comma  1  si  applica  anche  alle comunicazioni elettroniche, effettuate per le finalità ivi indicate, mediante  posta  elettronica,  telefax,   messaggi   del   tipo   Mms (Multimedia Messaging Service) o Sms (Short  Message  Service)  o  di altro tipo.

3. Fuori dei casi di cui ai commi 1 e  2,  ulteriori  comunicazioni per le finalità di  cui  ai  medesimi  commi  effettuate  con  mezzi diversi da quelli  ivi  indicati,  sono  consentite  ai  sensi  degli articoli 23 e 24 nonché ai sensi di quanto previsto dal comma  3-bis del presente articolo.

3-bis.  In  deroga  a  quanto  previsto   dall’articolo   129,   il trattamento dei dati di  cui  all’articolo  129,  comma  1,  mediante l’impiego del telefono e della posta cartacea per le finalità di cui all’articolo 7, comma 4, lettera b), è consentito nei  confronti  di chi non abbia esercitato il diritto  di  opposizione,  con  modalità semplificate e anche in via telematica, mediante  l’iscrizione  della numerazione della quale è intestatario e degli altri dati  personali di cui all’articolo 129, comma  1,  in  un  registro  pubblico  delle opposizioni. 

3-ter. Il registro di cui al comma 3-bis è istituito  con  decreto del Presidente della Repubblica da adottare  ai  sensi  dell’articolo 17, comma 2, della legge 23 agosto 1988, n. 400, previa deliberazione del Consiglio dei ministri, acquisito  il  parere  del  Consiglio  di Stato e delle Commissioni parlamentari competenti in materia, che  si pronunciano entro trenta  giorni  dalla  richiesta,  nonché,  per  i relativi profili di  competenza,  il  parere  dell’Autorità  per  le garanzie nelle  comunicazioni,  che  si  esprime  entro  il  medesimo termine, secondo i seguenti criteri e principi generali:

    a) attribuzione dell’istituzione e della gestione del registro ad un ente o organismo pubblico titolare  di  competenze  inerenti  alla materia;

    b) previsione che l’ente o organismo deputato  all’istituzione  e alla gestione del  registro  vi  provveda  con  le  risorse  umane  e strumentali di cui  dispone  o  affidandone  la  realizzazione  e  la gestione a terzi, che se ne assumono interamente gli oneri finanziari e organizzativi, mediante contratto di  servizio,  nel  rispetto  del codice dei contratti pubblici relativi a lavori, servizi e forniture, di cui al decreto legislativo 12 aprile 2006, n. 163. I soggetti  che si  avvalgono  del   registro   per   effettuare   le   comunicazioni corrispondono tariffe di accesso  basate  sugli  effettivi  costi  di funzionamento  e  di  manutenzione.  Il   Ministro   dello   sviluppo economico, con proprio provvedimento, determina tali tariffe;

    c) previsione che le  modalità  tecniche  di  funzionamento  del registro consentano ad ogni utente di chiedere che  sia  iscritta  la numerazione   della   quale   è   intestatario   secondo   modalità semplificate ed anche in via telematica o telefonica;

    d) previsione di modalità tecniche di funzionamento e di accesso al registro mediante interrogazioni selettive che non  consentano  il trasferimento del dati presenti nel registro  stesso,  prevedendo  il tracciamento delle operazioni compiute e la  conservazione  dei  dati relativi agli accessi;

    e) disciplina delle tempistiche e delle modalità dell’iscrizione al registro, senza distinzione di settore di attività o di categoria merceologica, e del relativo aggiornamento, nonché  del  correlativo periodo massimo di utilizzabilità dei dati verificati  nel  registro medesimo, prevedendosi che l’iscrizione abbia durata indefinita e sia revocabile  in  qualunque  momento,  mediante  strumenti  di   facile utilizzo e gratuitamente;

    f)obbligo per i soggetti che effettuano trattamenti di  dati  per le finalità di cui all’articolo 7, comma 4, lettera b), di garantire la presentazione dell’identificazione  della  linea  chiamante  e  di fornire  all’utente  idonee   informative,   in   particolare  sulla possibilità e sulle modalità di iscrizione nel registro per opporsi a futuri contatti;

    g) previsione  che  l’iscrizione  nel  registro  non  precluda  i trattamenti dei dati altrimenti acquisiti  e  trattati  nel  rispetto degli articoli 23 e 24.

3-quater. La vigilanza e  il  controllo  sull’organizzazione  e  il funzionamento del registro di cui al comma 3-bis  e  sul  trattamento dei dati sono attribuiti al Garante.

4. Fatto salvo quanto previsto nel comma 1 ,  se  il  titolare  del trattamento utilizza, a fini di vendita diretta di propri prodotti  o servizi, le coordinate di posta elettronica fornite  dall’interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell’interessato,  sempre  che  si  tratti  di servizi analoghi a quelli  oggetto  della  vendita  e  l’interessato, adeguatamente informato, non rifiuti  tale  uso,  inizialmente  o  in occasione di  successive  comunicazioni.  L’interessato,  al  momento della raccolta  e  in  occasione  dell’invio  di  ogni  comunicazione effettuata per le finalità di cui al presente  comma,  è  informato della possibilità di opporsi in  ogni  momento  al  trattamento,  in maniera agevole e gratuitamente.

5. È  vietato  in  ogni  caso  l’invio  di  comunicazioni  per  le finalità di cui al  comma  1  o,  comunque,  a  scopo  promozionale, effettuato camuffando o  celando  l’identità  del  mittente  o  in violazione dell’articolo 8 del decreto legislativo 9 aprile 2003,  n. 70,  o  senza  fornire  un  idoneo   recapito   presso   il   quale l’interessato possa esercitare i diritti di cui  all’articolo  7, oppure esortando i destinatari a visitare siti  web  che  violino  il predetto articolo 8 del decreto legislativo n. 70 del 2003.

6. In caso di reiterata violazione delle  disposizioni  di  cui  al presente articolo il Garante puo’, provvedendo ai sensi dell’articolo 143, comma 1, lettera b), altresì prescrivere a fornitori di servizi di comunicazione elettronica di adottare procedure  di  filtraggio  o altre misure  praticabili  relativamente  alle  coordinate  di  posta elettronica da cui sono stati inviate le comunicazioni.

- trattamento  di  dati personali in applicazione  dell’articolo  129:

articolo 129 (Elenchi di abbonati)

 1. Il Garante individua con proprio provvedimento, in cooperazione con  l’Autorità  per  le  garanzie  nelle  comunicazioni  ai   sensi dell’articolo  154,  comma  3,  e  in  conformità   alla   normativa comunitaria, le modalità di inserimento e di successivo utilizzo dei dati personali  relativi  agli  abbonati  negli  elenchi  cartacei  o elettronici a disposizione del pubblico, anche in riferimento ai dati già raccolti prima della data di  entrata  in  vigore  del  presente codice.

2. Il provvedimento di cui al comma 1 individua  idonee  modalità per la manifestazione del consenso all’inclusione  negli  elenchi  e, rispettivamente, all’utilizzo  dei  dati  per  le  finalità  di  cui all’articolo 7, comma 4, lettera  b),  in  base  al  principio  della massima semplificazione delle modalità di inclusione negli elenchi a fini  di   mera   ricerca   del contraente   per   comunicazioni interpersonali, e del  consenso  specifico  ed  espresso  qualora  il trattamento  esuli  da  tali  fini,  nonché  in  tema  di  verifica, rettifica o cancellazione dei dati senza oneri.

- trattamento  di  dati personali in violazione di quanto  disposto dall’articolo 17:

articolo 17 (Trattamento che presenta rischi specifici)

 1.   Il  trattamento  dei  dati  diversi  da  quelli  sensibili  e giudiziari  che presenta rischi specifici per i diritti e le libertà fondamentali,  nonché per la dignità dell’interessato, in relazione alla  natura dei dati o alle modalità del trattamento o agli effetti che  può  determinare,  è  ammesso  nel  rispetto  di  misure  ed accorgimenti a garanzia dell’interessato, ove prescritti.

2.  Le misure e gli accorgimenti di cui al comma 1 sono prescritti dal Garante in applicazione dei principi sanciti dal presente codice, nell’ambito  di  una verifica preliminare all’inizio del trattamento, effettuata  anche  in relazione a determinate categorie di titolari o di trattamenti, anche a seguito di un interpello del titolare.

- trattamento  di  dati personali in violazione di quanto  disposto dall’articolo 20:

articolo 20 (Principi applicabili al trattamento di dati sensibili)

 1. Il trattamento dei dati sensibili da parte di soggetti pubblici è  consentito  solo se autorizzato da espressa disposizione di legge nella  quale  sono  specificati  i  tipi  di’ dati che possono essere trattati  e  di  operazioni  eseguibili  e  le finalità di rilevante interesse pubblico perseguite.

2.  Nei  casi  in  cui  una  disposizione  di  legge specifica la finalità  di  rilevante  interesse  pubblico,  ma non i tipi di dati sensibili  e  di  operazioni eseguibili, il trattamento è consentito solo  in  riferimento  ai tipi di dati e di operazioni identificati e resi  pubblici  a cura dei soggetti che ne effettuano il trattamento, in  relazione alle specifiche finalità perseguite nei singoli casi e nel  rispetto dei principi di cui all’articolo 22, con atto di natura regolamentare  adottato in conformità al parere espresso dal Garante ai  sensi  dell’articolo  154,  comma  1, lettera g), anche su schemi tipo.

3.  Se  il  trattamento  non  è  previsto  espressamente  da  una disposizione  di  legge  i  soggetti  pubblici  possono richiedere al Garante  l’individuazione  delle  attività,  tra quelle demandate ai medesimi  soggetti dalla legge, che perseguono finalità di rilevante interesse pubblico e per le quali è conseguentemente autorizzato, ai sensi  dell’articolo  26, comma 2, il trattamento dei dati sensibili. Il  trattamento  è  consentito solo se il soggetto pubblico provvede altresì  a  identificare  e  rendere  pubblici  i  tipi di dati e di operazioni nei modi di cui al comma 2.

4.  L’identificazione  dei  tipi di dati e di operazioni di cui ai commi 2 e 3 è aggiornata e integrata periodicamente.

- trattamento  di  dati personali in violazione di quanto  disposto dall’articolo 21:

articolo 21 (Principi applicabili al trattamento di dati giudiziari)

 1. Il trattamento di dati giudiziari da parte di soggetti pubblici è consentito solo se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichino le finalità di  rilevante interesse pubblico del trattamento, i tipi  di  dati  trattati  e  di operazioni eseguibili.

1-bis. Il trattamento dei dati giudiziari è altresì consentito quando è effettuato in attuazione  di  protocolli  d’intesa  per  la prevenzione e il contrasto dei fenomeni di  criminalità  organizzata stipulati  con  il  Ministero  dell’interno  o  con  i  suoi   uffici periferici di cui all’articolo 15, comma 2, del  decreto  legislativo 30 luglio 1999, n. 300, previo parere del Garante per  la  protezione dei dati personali, che specificano la tipologia dei dati trattati  e delle operazioni eseguibili.

2. Le disposizioni di  cui  all’articolo  20,  commi  2  e  4, si applicano anche al trattamento dei dati giudiziari.

- trattamento  di  dati personali in violazione di quanto  disposto dall’articolo 22, commi 8 e 11:

articolo 22 (Principi applicabili al trattamento di dati sensibili e giudiziari)

 8. I dati idonei a rivelare lo stato di salute non possono  essere diffusi.

Omissis.

10. I dati sensibili e  giudiziari  non  possono  essere  trattati nell’ambito di test psicoattitudinali volti a definire il  profilo  o la personalità dell’interessato. Le operazioni di raffronto tra dati sensibili e giudiziari, nonché i trattamenti  di  dati  sensibili  e giudiziari ai sensi dell’articolo 14,  sono  effettuati  solo  previa annotazione scritta dei motivi.

11. In ogni caso, le operazioni e i trattamenti di  cui  al  comma 10, se effettuati utilizzando banche di  dati  di  diversi  titolari, nonché la diffusione dei dati sensibili e giudiziari,  sono  ammessi solo se previsti da espressa disposizione di legge.

 - trattamento  di  dati personali in violazione di quanto  disposto dall’articolo 25:

articolo 25 (Divieti di comunicazione e diffusione)

1.  La  comunicazione  e  la diffusione sono vietate, oltre che in caso di divieto disposto dal Garante o dall’autorità giudiziaria:

   a)  in riferimento a dati personali dei quali è stata ordinata la cancellazione,  ovvero quando è decorso il periodo di tempo indicato nell’articolo 11, comma 1, lettera e);

   b)  per  finalità  diverse da quelle indicate nella notificazione del trattamento, ove prescritta.

2. È fatta salva la comunicazione o diffusione di dati richieste, in  conformità  alla  legge,  da  forze  di  polizia, dall’autorità giudiziaria,  da  organismi  di  informazione  e sicurezza o da altri soggetti  pubblici  ai sensi dell’articolo 58, comma 2, per finalità di difesa o di sicurezza dello Stato o di prevenzione, accertamento o repressione di reati.

 - trattamento  di  dati personali in violazione di quanto  disposto dall’articolo 26:

articolo 26 (Garanzie per i dati sensibili)

 1. I dati sensibili possono essere oggetto di trattamento solo  con il consenso scritto  dell’interessato  e  previa  autorizzazione  del Garante, nell’osservanza dei presupposti e dei limiti  stabiliti  dal presente codice, nonché dalla legge e dai regolamenti.

2. Il Garante comunica la decisione  adottata  sulla  richiesta  di autorizzazione  entro  quarantacinque  giorni,  decorsi  i  quali  la mancata  pronuncia  equivale  a  rigetto.  Con  il  provvedimento  di autorizzazione, ovvero successivamente, anche sulla base di eventuali verifiche, il  Garante  può prescrivere  misure  e  accorgimenti  a garanzia dell’interessato, che il titolare del trattamento è  tenuto ad adottare.

3. Il comma 1 non si applica al trattamento:

    a) dei dati relativi agli aderenti alle confessioni  religiose  e ai soggetti che con riferimento a finalità di natura  esclusivamente religiosa  hanno  contatti  regolari  con  le  medesime  confessioni, effettuato  dai  relativi   organi,   ovvero   da   enti   civilmente riconosciuti, sempre che i dati non siano diffusi o comunicati  fuori delle medesime confessioni. Queste ultime determinano idonee garanzie relativamente ai trattamenti effettuati, nel  rispetto  dei  principi indicati al riguardo con autorizzazione del Garante;

    b)  dei  dati   riguardanti   l’adesione   di   associazioni   od organizzazioni  a  carattere  sindacale  o  di  categoria  ad   altre associazioni, organizzazioni o confederazioni a carattere sindacale o di categoria.

    b-bis)  dei  dati  contenuti  nei  curricula,  nei  casi  di  cui all’articolo 13, comma 5-bis.

4. I dati sensibili possono essere  oggetto  di  trattamento  anche senza consenso, previa autorizzazione del Garante:

    a) quando il trattamento è effettuato da associazioni,  enti  od organismi senza scopo di lucro, anche non riconosciuti,  a  carattere politico, filosofico, religioso o sindacale, ivi compresi  partiti  e movimenti politici, per  il  perseguimento  di  scopi  determinati  e legittimi individuati dall’atto costitutivo,  dallo  statuto  o  dal contratto collettivo, relativamente ai dati personali degli  aderenti o dei soggetti che in  relazione  a  tali  finalità hanno  contatti regolari con l’associazione, ente od organismo, sempre che i dati non siano comunicati all’esterno o  diffusi  e  l’ente,  associazione  od

organismo determini  idonee  garanzie  relativamente  ai  trattamenti effettuati, prevedendo espressamente le  modalità  di  utilizzo  dei dati  con  determinazione  resa  nota   agli   interessati   all’atto dell’informativa ai sensi dell’articolo 13;

    b) quando il trattamento è necessario per la salvaguardia  della vita o dell’incolumità fisica di un terzo. Se la medesima  finalità riguarda l’interessato e quest’ultimo non può prestare  il  proprio consenso per impossibilità fisica, per incapacità di  agire  o  per incapacità di intendere o di volere, il consenso è  manifestato  da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da  un  familiare,  da  un  convivente  o,  in  loro   assenza,   dal responsabile della struttura  presso  cui  dimora  l’interessato.  Si applica la disposizione di cui all’articolo 82, comma 2;

    c) quando il trattamento è necessario ai fini dello  svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000,  n. 397, o, comunque, per far valere o difendere in sede  giudiziaria  un diritto, sempre che i dati siano  trattati  esclusivamente  per  tali finalità  e  per  il  periodo  strettamente   necessario   al   loro perseguimento. Se i dati sono idonei a rivelare lo stato di salute  e la vita sessuale, il diritto deve  essere  di  rango  pari  a  quello dell’interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà  fondamentale e inviolabile;

    d) quando è necessario per  adempiere  a  specifici  obblighi  o compiti previsti dalla legge, da un  regolamento  o  dalla  normativa comunitaria per la gestione del rapporto di lavoro, anche in  materia di igiene e sicurezza del lavoro e della popolazione e di  previdenza e  assistenza,  nei  limiti  previsti  dall’autorizzazione  e   ferme restando le  disposizioni  del  codice  di  deontologia  e  di  buona condotta di cui all’articolo 111.

5. I dati idonei a rivelare lo stato di salute non  possono  essere diffusi.

- trattamento  di  dati personali in violazione di quanto  disposto dall’articolo 27:

articolo 27 (Garanzie per i dati giudiziari)

 1. Il trattamento di dati giudiziari da parte di privati o di enti pubblici economici è consentito soltanto se autorizzato da  espressa disposizione di legge o provvedimento del Garante che specifichino le rilevanti finalità di interesse pubblico del trattamento, i tipi  di dati  trattati  e  di  operazioni  eseguibili.  Si  applica  quanto previsto dall’articolo 21, comma 1-bis.

- trattamento  di  dati personali in violazione di quanto  disposto dall’articolo 45:

articolo 45 (Trasferimenti vietati)

 1.  Fuori  dei casi di cui agli articoli 43 e 44, il trasferimento anche  temporaneo  fuori  del  territorio  dello Stato, con qualsiasi forma  o  mezzo,  di  dati  personali oggetto di trattamento, diretto verso un Paese non appartenente all’Unione europea, è vietato quando l’ordinamento  del  Paese  di destinazione o di transito dei dati non assicura  un  livello di tutela delle persone adeguato. Sono valutate anche  le  modalità del trasferimento e dei trattamenti previsti, le relative finalità, la natura dei dati e le misure di sicurezza.

- falsità nelle dichiarazioni e notificazioni al Garante

La tipizzazione delle falsità rilevanti richiede - oltre alle ipotesi in cui avvenga l’esibizione di documenti dinanzi al Garante o nel corso di accertamenti - l’esame degli articoli richiamati:

- falsità nelle comunicazioni  di  cui all’articolo 32-bis, commi 1 e 8:

articolo 32-bis (Adempimenti conseguenti ad una violazione di dati personali)  

 1. In caso di violazione  di  dati  personali,  il  fornitore  di servizi di comunicazione elettronica accessibili al pubblico comunica senza indebiti ritardi detta violazione al Garante.

Omissis

8. Nel caso in cui il fornitore di  un  servizio  di  comunicazione elettronica accessibile al pubblico affidi l’erogazione del  predetto servizio ad altri soggetti, gli stessi sono tenuti  a  comunicare  al fornitore senza indebito ritardo tutti gli eventi e  le  informazioni necessarie a consentire a quest’ultimo di effettuare gli  adempimenti di cui al presente articolo.

 - falsità nella notificazione di cui all’articolo 37:

 articolo 37 (Notificazione del trattamento)

 1. Il titolare notifica al Garante il trattamento di dati personali cui intende procedere, solo se il trattamento riguarda:

    a)  dati  genetici,  biometrici  o dati che indicano la posizione geografica  di  persone od oggetti mediante una rete di comunicazione elettronica;

    b)  dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini  di  procreazione assistita, prestazione di servizi sanitari  per  via  telematica  relativi  a  banche  di  dati  o alla fornitura  di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria;

    c)  dati  idonei  a rivelare la vita sessuale o la sfera psichica trattati  da  associazioni,  enti  od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale;

    d)  dati  trattati con l’ausilio di strumenti elettronici volti a definire  il  profilo  o  la  personalità  dell’interessato,  o  ad analizzare  abitudini  o  scelte  di  consumo,  ovvero  a  monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti   tecnicamente   indispensabili  per  fornire  i  servizi medesimi agli utenti;

    e)  dati  sensibili  registrati  in  banche  di  dati  a  fini di selezione  del  personale  per  conto  terzi,  nonché dati sensibili utilizzati  per  sondaggi  di  opinione, ricerche di mercato e altre ricerche campionarie;

    f)  dati  registrati  in  apposite  banche  di  dati  gestite con strumenti  elettronici  e  relative  al  rischio  sulla  solvibilità economica,  alla  situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.

1-bis.  La  notificazione relativa al trattamento dei dati di cui al  comma  1  non  è  dovuta se relativa all’attività dei medici di famiglia  e dei pediatri di libera scelta, in quanto tale funzione è tipica  del  loro  rapporto  professionale  con il Servizio sanitario nazionale.

2.  Il  Garante  può individuare altri trattamenti suscettibili di recare  pregiudizio  ai  diritti e alle libertà dell’interessato, in ragione  delle  relative modalità o della natura dei dati personali, con  proprio  provvedimento adottato anche ai sensi dell’articolo 17. Con  analogo  provvedimento pubblicato sulla Gazzetta ufficiale della Repubblica  italiana  il  Garante può anche individuare, nell’ambito dei  trattamenti  di  cui  al  comma  1,  eventuali  trattamenti  non suscettibili   di  recare  detto  pregiudizio  e  pertanto  sottratti all’obbligo di notificazione.

3.  La  notificazione  è effettuata con unico atto anche quando il trattamento comporta il trasferimento all’estero dei dati.

4.  Il  Garante  inserisce le notificazioni ricevute in un registro dei  trattamenti  accessibile a chiunque e determina le modalità per la  sua  consultazione  gratuita  per  via telematica, anche mediante convenzioni  con  soggetti  pubblici  o presso il proprio Ufficio. Le notizie  accessibili  tramite  la  consultazione del registro possono essere   trattate  per  esclusive  finalità  di  applicazione della disciplina in materia di protezione dei dati personali.

- inosservanza di provvedimenti del Garante

Rilevano le seguenti inottemperanze:

- inosservanza del provvedimento adottato  dal Garante  ai sensi dell’articolo 26, comma 2:

2. Il Garante comunica la decisione  adottata  sulla  richiesta  di autorizzazione  entro  quarantacinque  giorni,  decorsi  i  quali  la mancata  pronuncia  equivale  a  rigetto.  Con  il  provvedimento  di  autorizzazione, ovvero successivamente, anche sulla base di eventuali verifiche, il  Garante  può prescrivere  misure  e  accorgimenti  a garanzia dell’interessato, che il titolare del trattamento è  tenuto ad adottare.

- inosservanza del provvedimento adottato  dal  Garante ai sensi dell’articolo 90:

articolo 90 (Trattamento dei dati genetici e donatori di midollo osseo)

 1.  Il  trattamento  dei  dati  genetici da chiunque effettuato è consentito   nei   soli  casi  previsti  da  apposita  autorizzazione rilasciata   dal  Garante  sentito  il  Ministro  della  salute,  che acquisisce, a tal fine, il parere del Consiglio superiore di sanità.

2.  L’autorizzazione  di  cui  al  comma  1  individua  anche  gli ulteriori   elementi   da   includere   nell’informativa   ai   sensi dell’articolo  13, con particolare riguardo alla specificazione delle finalità  perseguite e dei risultati conseguibili anche in relazione alle  notizie  inattese che possono essere conosciute per effetto del trattamento  dei dati e al diritto di opporsi al medesimo trattamento per motivi legittimi.

3.  Il  donatore  di  midollo  osseo, ai sensi della legge 6 marzo 2001,  n.  52, ha il diritto e il dovere di mantenere l’anonimato sia nei confronti del ricevente sia nei confronti di terzi.

- inosservanza del provvedimento adottato  dal  Garante  ai sensi dell’articolo 150, commi  1 e 2:

articolo 150 (Provvedimenti a seguito del ricorso)

 1.  Se  la  particolarità  del  caso lo richiede, il Garante può disporre  in  via provvisoria il blocco in tutto o in particolare di taluno dei dati, ovvero l’immediata sospensione di una o più operazioni del trattamento.  Il provvedimento può essere adottato anche prima della comunicazione  del  ricorso  ai  sensi  dell’articolo 149, comma 1, e cessa  di  avere  ogni  effetto  se  non  è  adottata nei termini la decisione di cui al comma 2. Il medesimo provvedimento è impugnabile unitamente a tale decisione.

2.  Assunte  le  necessarie  informazioni  il  Garante, se ritiene fondato  il  ricorso,  ordina al titolare, con decisione motivata, la cessazione   del   comportamento  illegittimo,  indicando  le  misure necessarie  a  tutela  dei  diritti  dell’interessato e assegnando un termine  per  la  loro  adozione.  La  mancata pronuncia sul ricorso, decorsi  sessanta  giorni  dalla  data  di  presentazione, equivale a rigetto.

- inosservanza del provvedimento adottato  dal  Garante  ai sensi dell’articolo 143, comma 1, lettera c):

articolo 143 (Procedimento per i reclami)

 1.  Esaurita  l’istruttoria  preliminare,  se  il  reclamo  non è manifestamente  infondato  e sussistono i presupposti per adottare un provvedimento, il Garante, anche  prima  della definizione  del procedimento:

omissis   

c)  dispone il blocco o vieta, in tutto o in parte, il trattamento che  risulta  illecito o non corretto anche per effetto della mancata adozione  delle  misure  necessarie  di  cui  alla lettera b), oppure quando,  in  considerazione  della natura dei dati o, comunque, delle modalità del trattamento o degli effetti che esso può determinare, vi è il concreto rischio del verificarsi di un pregiudizio rilevante per uno o più interessati;

omissis

Alcune considerazioni

Non v’è dubbio che la previsione dei delitti in tema di privacy risulta di grande impatto, soprattutto per quanto concerne l’illecito trattamento dei dati personali[3].

Si tratta di violazioni potenzialmente in grado di interessare l’intera platea degli enti collettivi privati soggetti alle disposizioni del Decreto Legislativo 231.

La compliance in materia di privacy entra pertanto a pieno titolo – e, direi, prepotentemente – nella sfera della compliance 231.

Diventerà decisivo il rispetto dei provvedimenti generali del Garante in tema di trattamento dei dati del lavoratore (anche ai fini dei c.d. controlli difensivi), di uso di internet e della posta elettronica, di amministratore di sistema.

Sarà importante che l’azienda adotti un corretto assetto organizzativo e gestionale in ordine al trattamento dei dati personali, con particolare riferimento alla designazione del responsabile e dell’incaricato del trattamento.

Quanto appena detto vale soprattutto per le ipotesi di comunicazione di dati personali nell’ambito di un gruppo di imprese, specie se a carattere transnazionale.

Dovranno, a questo punto, essere approfondite le modalità di gestione delle segnalazioni interne di potenziali illeciti (c.d.whistleblowing), che possono contenere dati personali, magari anche sensibili e giudiziari.

Infine, ma non per importanza, il “Responsabile Privacy” (e il futuro Data Protection Officer) dovrà essere un interlocutore privilegiato dell’Organismo di vigilanza[4].


[1] Il delitto di frode informatica viene, pertanto, ad essere richiamato da due articoli del d.lg. 231, concernenti, rispettivamente, i reati di truffa/indebita percezione di finanziamenti pubblici (articolo 24) e i reati informatici (articolo 24-bis). Tale delitto, se commesso in  danno dello Stato o di altro ente pubblico, determina (ex articolo 24) l’applicazione all’ente della sanzione pecuniaria fino a cinquecento quote; se l’ente  ha  conseguito un profitto di rilevante entità o è derivato un danno di particolare gravità, si applica la sanzione pecuniaria da duecento a seicento quote; in caso di condanna, si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, lettere c), d) ed e). Ove, invece, la frode informatica avvenga con sostituzione dell’identità digitale in danno di terzi, si applica all’ente (ex articolo 24-bis) la sanzione pecuniaria da cento a cinquecento quote; in caso di condanna, si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, lettere a), b) ed e).

[2] Articolo 55 comma 9 Decreto Legislativo 231/2007 (c.d. Legge Antiriciclaggio): Chiunque, al fine di  trarne  profitto  per  sé o  per  altri, indebitamente utilizza, non essendone titolare, carte di credito o di pagamento, ovvero qualsiasi altro documento analogo  che  abiliti  al prelievo di denaro contante o all’acquisto di beni o alla prestazione di servizi, è punito con la reclusione da uno a cinque anni e con la multa da 310 a 1.550 euro. Alla stessa pena soggiace chi, al fine  di trarne profitto per se’ o per altri,  falsifica  o  altera  carte  di credito o di  pagamento  o qualsiasi  altro  documento  analogo  che abiliti al prelievo di denaro contante o all’acquisto di beni o  alla prestazione di servizi, ovvero possiede, cede o acquisisce tali carte o  documenti  di provenienza  illecita  o  comunque  falsificati o alterati, nonché ordini di pagamento prodotti con essi.

[3] Sotto il profilo sanzionatorio, va rilevato che per i delitti in materia di privacy sono previste anche alcune sanzioni interdittive, e in particolare: l’interdizione dall’esercizio dell’attività; la  sospensione  o  la revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione dell’illecito; il divieto di pubblicizzare beni o servizi.

[4] La collaborazione informativa tra il preposto ai controlli in uno specifico settore e l’ODV costituisce ormai un trend consolidato: si pensi alla normativa antiriciclaggio, a quella sulla sicurezza sul lavoro e sui reati ambientali.

Il Decreto-Legge 14 agosto 2013, n. 93, recante “Disposizioni urgenti in materia di sicurezza e per il contrasto della violenza di genere, nonché in tema di protezione civile e di commissariamento delle province” (in G.U. n. 191 del 16 agosto 2013 e in vigore dal 17 agosto), dispone un’importante integrazione del Decreto Legislativo 231/2001 (responsabilità da reato degli enti collettivi).

Va premesso che l’articolo 9 inserisce nell’articolo 640-ter del codice penale (frode informatica) un terzo comma, nel quale viene prevista una fattispecie autonoma di reato – procedibile d’ufficio - “se  il  fatto è commesso con sostituzione dell’identità digitale in danno di uno o più soggetti".

Il nuovo testo dell’articolo 640-ter codice penale [1] è, pertanto, il seguente:

Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da euro 51 a euro 1.032.

La pena è della reclusione da uno a cinque anni e della multa da euro 309 a euro 1.549 se ricorre una delle circostanze previste dal numero 1) del secondo comma dell’articolo 640, ovvero se il fatto è commesso con abuso della qualità di operatore del sistema.

La pena è della reclusione da due a sei anni e della multa da euro 600 a euro 3000  se  il  fatto  è commesso con sostituzione dell’identità digitale in danno di uno o più soggetti.

Il delitto è punibile a querela della persona offesa, salvo che ricorra taluna delle circostanze di cui al secondo e terzo comma o un’altra circostanza aggravante.

Interessa in questa sede l’integrazione dell’articolo 24-bis Decreto Legislativo 231/2001 con il richiamo (che comprende oltre alla fattispecie menzionata, anche il delitto di utilizzo indebito e falsificazione di carte di credito [2]) dei delitti contenuti nel Codice sulla Privacy (Decreto Legislativo 196/2003.

Il nuovo testo dell’articolo 24-bis Decreto Legislativo 231/2001

Di seguito il testo aggiornato dell’articolo 24-bis (Delitti informatici e trattamento illecito di dati), con evidenza in grassetto delle modifiche menzionate:

 1. In relazione alla commissione dei delitti di cui  agli  articoli 615-ter, 617-quater, 617-quinquies, 635-bis, 635-ter, 635-quater, 635-quinquies e 640-ter, terzo comma, del codice  penale  nonché dei delitti di cui agli articoli 55, comma 9, del decreto legislativo 21 novembre 2007, n. 231, e di cui alla Parte III, Titolo  III,  Capo II del decreto legislativo 30 giugno  2003,  n.  196, si applica all’ente la sanzione pecuniaria da cento a cinquecento quote.

2. In relazione alla commissione dei delitti di cui  agli  articoli 615-quater e 615-quinquies del codice penale, si applica all’ente  la sanzione pecuniaria sino a trecento quote.

3. In relazione alla commissione dei delitti di cui  agli  articoli 491-bis e 640-quinquies del  codice penale,  salvo  quanto  previsto dall’articolo 24 del presente decreto per i casi di frode informatica in danno dello Stato o di altro ente pubblico, si applica all’ente la sanzione pecuniaria sino a quattrocento quote.

4. Nei casi di condanna per uno dei delitti indicati nel comma 1 si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, lettere a), b) ed e). Nei  casi  di  condanna  per  uno  dei  delitti indicati nel comma 2 si applicano le sanzioni  interdittive  previste dall’articolo 9, comma 2, lettere b) ed e). Nei casi di condanna  per uno dei delitti  indicati  nel  comma  3  si  applicano  le  sanzioni interdittive previste dall’articolo 9, comma 2, lettere c), d) ed e).

 I delitti del Codice Privacy nel Decreto Legislativo 231

Il testo dell’articolo 24-bis contiene finalmente un link corretto alla rubrica della medesima disposizione: nel testo previgente, come è noto, non era menzionata alcuna fattispecie criminosa relativa alla normativa sulla privacy.

Il link non è tuttavia esaustivo, in quanto la disposizione prende in considerazione non solo il trattamento illecito, ma anche altre fattispecie delittuose in materia di trattamento di dati personali.

Il richiamo al Codice Privacy riguarda, precisamente, i delitti di cui alla Parte III, Titolo III, Capo II del Decreto Legislativo 196.

Quest’ultimo Capo disciplina le sanzioni penali (articoli 167-172), alcune riferite a delitti altre a contravvenzioni.

Ai fini del Decreto Legislativo 231 (e, di conseguenza, ai fini del risk assessment in sede di aggiornamento dei Modelli organizzativi) occorre considerare i seguenti delitti:

articolo 167 (Trattamento illecito di dati)

 1.  Salvo che il fatto costituisca più grave reato, chiunque, al fine  di  trarne per sé o per altri profitto o di recare ad altri un danno,  procede  al  trattamento  di  dati personali in violazione di quanto  disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione  dell’articolo  129,  è  punito,  se  dal  fatto deriva nocumento,  con  la  reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.

2.  Salvo  che il fatto costituisca più grave reato, chiunque, al fine di  trarne per sé o per altri profitto o di recare ad altri un danno,  procede  al  trattamento  di  dati personali in violazione di quanto  disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26,27  e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni.

articolo 168 (Falsità nelle dichiarazioni e notificazioni al Garante)

1. Chiunque, nelle comunicazioni  di  cui  all’articolo  32-bis,commi 1 e 8, nella  notificazione  di  cui  all’articolo  37 o in comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito, salvo che il fatto costituisca più grave  reato, con la reclusione da sei mesi a tre anni.

articolo 170 (Inosservanza di provvedimenti del Garante)

 1.  Chiunque,  essendovi  tenuto,  non  osserva  il  provvedimento adottato  dal  Garante  ai sensi degli articoli 26, comma 2, 90, 150, commi  1 e 2, e 143, comma 1, lettera c), è punito con la reclusione da tre mesi a due anni.

Non costituiscono reato-presupposto le contravvenzioni di cui agli articoli 169 (omessa adozione delle misure minime di sicurezza) e 171 (violazione  delle  disposizioni  di cui agli articoli 113,comma 1, e 114).

L’articolo 171 rinvia, quoad poenam, all’articolo 38 dello Statuto dei lavoratori (altra contravvenzione) per la violazione del divieto di indagine sulle opinioni dei  lavoratori (articolo 8) e del divieto di controllo a distanza (articolo 4).

I delitti-presupposto in dettaglio

- trattamento illecito di dati personali

La tipizzazione del trattamento illecito richiede - ora anche ai fini del Decreto Legislativo 231 - l’esame dei numerosi rinvii contenuti nella disposizione in esame.

Va pure rilevato che alcune disposizioni richiamate dall’articolo 167 riguardano esclusivamente soggetti pubblici (articoli 18, 19, 20, 21, 22) e altre sono riferibili al trattamento di dati effettuato da soggetti specificamente determinati (articoli 123, 126,  130).

- trattamento  di  dati personali in violazione di quanto disposto dall’articolo 18:

articolo 18 (Principi applicabili a tutti i trattamenti effettuati da soggetti pubblici)

 1.  Le  disposizioni del presente capo riguardano tutti i soggetti pubblici, esclusi gli enti pubblici economici.

2.  Qualunque trattamento  di dati personali da parte di soggetti pubblici  è  consentito  soltanto  per lo svolgimento delle funzioni istituzionali.

3.  Nel trattare i dati il soggetto pubblico osserva i presupposti e i limiti  stabiliti  dal presente codice, anche in relazione alla diversa natura dei dati, nonché dalla legge e dai regolamenti.

4.  Salvo quanto  previsto  nella  Parte  II per gli esercenti le professioni  sanitarie  e gli organismi sanitari pubblici, i soggetti pubblici non devono richiedere il consenso dell’interessato.

5. Si osservano le disposizioni di cui all’articolo 25 in tema di comunicazione e diffusione.

- trattamento  di  dati personali in violazione di quanto disposto dall’articolo 19:

articolo 19 (Principi applicabili  al  trattamento  di  dati  diversi  da  quelli sensibili e giudiziari)

 1. Il trattamento da parte di un soggetto pubblico riguardante dati diversi  da  quelli  sensibili  e  giudiziari  è  consentito,  fermo restando quanto previsto dall’articolo 18, comma 2, anche in mancanza di una norma di legge o di regolamento che lo preveda espressamente.

2. La comunicazione da parte  di  un  soggetto  pubblico  ad  altri soggetti pubblici è ammessa quando è prevista da una norma di legge o di regolamento. In mancanza  di  tale  norma  la  comunicazione  è ammessa quando è comunque necessaria per lo svolgimento di  funzioni istituzionali e può essere iniziata se è decorso il termine di  cui all’articolo 39,  comma  2,  e  non  è  stata  adottata  la  diversa determinazione ivi indicata.

3. La comunicazione da parte di un soggetto pubblico a privati o  a enti pubblici economici e la  diffusione  da  parte  di  un  soggetto pubblico sono ammesse unicamente quando sono previste da una norma di legge o di regolamento.

- trattamento  di  dati personali in violazione di quanto disposto dall’articolo 23:

articolo 23 (Consenso)

 1.  Il  trattamento di dati personali da parte di privati o di enti pubblici   economici   è  ammesso  solo  con  il  consenso  espresso dell’interessato.

2.  Il  consenso  può riguardare l’intero trattamento ovvero una o più operazioni dello stesso.

3.  Il  consenso  è  validamente  prestato  solo  se  è  espresso liberamente   e  specificamente  in  riferimento  ad  un  trattamento chiaramente  individuato,  se  è documentato per iscritto, e se sono state rese all’interessato le informazioni di cui all’articolo 13.

4.   Il   consenso  è  manifestato  in  forma  scritta  quando  il trattamento riguarda dati sensibili.

- trattamento  di  dati personali in violazione di quanto  disposto dall’articolo 123:

articolo 123 (Dati relativi al traffico)

 1. I dati relativi al  traffico  riguardanti  abbonati  ed  utenti trattati dal fornitore di una rete pubblica di comunicazioni o di  un servizio di comunicazione elettronica accessibile  al  pubblico  sono cancellati o resi anonimi quando non  sono  più  necessari  ai  fini della trasmissione della comunicazione elettronica,  fatte  salve  le disposizioni dei commi 2, 3 e 5.

2. Il trattamento  dei  dati  relativi  al  traffico  strettamente necessari a fini di  fatturazione  per  il contraente,  ovvero  di pagamenti in caso di interconnessione, è consentito al fornitore,  a fini di documentazione in caso di contestazione della fattura  o  per la pretesa del pagamento, per un periodo non superiore  a  sei  mesi, salva l’ulteriore specifica conservazione necessaria per  effetto  di una contestazione anche in sede giudiziale.

3. Il  fornitore  di  un  servizio  di  comunicazione  elettronica accessibile al pubblico può trattare i dati di cui al comma 2  nella misura e per la durata necessarie a fini  di  commercializzazione  di servizi di comunicazione elettronica o per la fornitura di servizi  a valore aggiunto, solo se il contraente o l’utente cui  i  dati  si riferiscono  hanno   manifestato  preliminarmente   il   proprio consenso, che è revocabile in ogni momento.

4. Nel fornire l’informativa di cui all’articolo 13  il  fornitore del servizio informa il contraente o  l’utente  sulla  natura  dei dati relativi al traffico che sono sottoposti a trattamento  e  sulla durata del medesimo trattamento ai fini di cui ai commi 2 e 3.

5. Il trattamento dei  dati  personali  relativi  al  traffico  è consentito unicamente ad incaricati del trattamento  che  operano  ai sensi dell’articolo 30 sotto la diretta autorità del  fornitore  del servizio di comunicazione elettronica accessibile al  pubblico  o,  a seconda dei casi, del fornitore della rete pubblica di  comunicazioni e che si occupano della fatturazione o della gestione  del  traffico, di analisi per canto di clienti, dell’accertamento di frodi, o  della commercializzazione dei servizi di comunicazione elettronica o  della prestazione dei servizi a valore aggiunto. Il trattamento è limitato a quanto è  strettamente  necessario  per  lo  svolgimento  di  tali attività e deve  assicurare  l’identificazione  dell’incaricato  che accede  ai  dati  anche  mediante  un’operazione  di   interrogazione automatizzata.

6. L’Autorità per le garanzie nelle comunicazioni può ottenere i dati relativi alla fatturazione o al traffico necessari ai fini della risoluzione di controversie attinenti, in  particolare, all’interconnessione o alla fatturazione.

- trattamento  di  dati personali in violazione di quanto  disposto dall’articolo 126:

articolo 126 (Dati relativi all’ubicazione)

 1. I dati relativi all’ubicazione diversi  dai  dati  relativi  al traffico, riferiti agli utenti o agli abbonati di reti  pubbliche  di comunicazione o di servizi di comunicazione  elettronica  accessibili al pubblico, possono essere trattati solo se anonimi o se l’utente  o il contraente ha  manifestato  previamente  il  proprio  consenso, revocabile in ogni momento, e nella misura e per la durata  necessari per la fornitura del servizio a valore aggiunto richiesto.

2. Il fornitore del servizio, prima  di  richiedere  il  consenso, informa gli utenti e gli abbonati  sulla  natura  dei  dati  relativi all’ubicazione diversi dai dati  relativi  al  traffico  che  saranno sottoposti  al  trattamento,  sugli   scopi   e   sulla   durata   di quest’ultimo, nonché sull’eventualità che i dati siano trasmessi ad un terzo per la prestazione del servizio a valore aggiunto.

3. L’utente e il contraente che manifestano il proprio consenso al trattamento dei dati relativi  all’ubicazione,  diversi  dai  dati relativi  al  traffico,  conservano   il   diritto   di   richiedere, gratuitamente  e  mediante  una  funzione  semplice,   l’interruzione temporanea del trattamento di tali dati per ciascun collegamento alla rete o per ciascuna trasmissione di comunicazioni.

4. Il trattamento dei dati  relativi  all’ubicazione  diversi  dai dati relativi al traffico,  ai  sensi  dei  commi  1  ,  2  e  3,  è consentito unicamente ad incaricati del trattamento  che  operano  ai sensi dell’articolo 30, sono la diretta autorità del  fornitore  del servizio di comunicazione elettronica accessibile al  pubblico  o,  a seconda dei casi, del fornitore della rete pubblica di  comunicazioni o  del  terzo  che  fornisce  il  servizio  a  valore  aggiunto.   Il trattamento è limitato a quanto è strettamente  necessario  per  la fornitura  del  servizio  a  valore  aggiunto   e   deve   assicurare

l’identificazione dell’incaricato che accede ai dati  anche  mediante un’operazione di interrogazione automatizzata.

- trattamento  di  dati personali in violazione di quanto  disposto dall’articolo 130:

articolo 130 (Comunicazioni indesiderate)

 1. Fermo restando quanto stabilito dagli  articoli  8  e  21  del decreto  legislativo  9  aprile  2003,  n.  70,  l’uso   di   sistemi automatizzati di chiamata o di comunicazione di chiamata  senza l’intervento di un operatore per l’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di  mercato  o  di comunicazione  commerciale  è  consentito  con  il  consenso del contraente o utente.

2. La disposizione  di  cui  al  comma  1  si  applica  anche  alle comunicazioni elettroniche, effettuate per le finalità ivi indicate, mediante  posta  elettronica,  telefax,   messaggi   del   tipo   Mms (Multimedia Messaging Service) o Sms (Short  Message  Service)  o  di altro tipo.

3. Fuori dei casi di cui ai commi 1 e  2,  ulteriori  comunicazioni per le finalità di  cui  ai  medesimi  commi  effettuate  con  mezzi diversi da quelli  ivi  indicati,  sono  consentite  ai  sensi  degli articoli 23 e 24 nonché ai sensi di quanto previsto dal comma  3-bis del presente articolo.

3-bis.  In  deroga  a  quanto  previsto   dall’articolo   129,   il trattamento dei dati di  cui  all’articolo  129,  comma  1,  mediante l’impiego del telefono e della posta cartacea per le finalità di cui all’articolo 7, comma 4, lettera b), è consentito nei  confronti  di chi non abbia esercitato il diritto  di  opposizione,  con  modalità semplificate e anche in via telematica, mediante  l’iscrizione  della numerazione della quale è intestatario e degli altri dati  personali di cui all’articolo 129, comma  1,  in  un  registro  pubblico  delle opposizioni. 

3-ter. Il registro di cui al comma 3-bis è istituito  con  decreto del Presidente della Repubblica da adottare  ai  sensi  dell’articolo 17, comma 2, della legge 23 agosto 1988, n. 400, previa deliberazione del Consiglio dei ministri, acquisito  il  parere  del  Consiglio  di Stato e delle Commissioni parlamentari competenti in materia, che  si pronunciano entro trenta  giorni  dalla  richiesta,  nonché,  per  i relativi profili di  competenza,  il  parere  dell’Autorità  per  le garanzie nelle  comunicazioni,  che  si  esprime  entro  il  medesimo termine, secondo i seguenti criteri e principi generali:

    a) attribuzione dell’istituzione e della gestione del registro ad un ente o organismo pubblico titolare  di  competenze  inerenti  alla materia;

    b) previsione che l’ente o organismo deputato  all’istituzione  e alla gestione del  registro  vi  provveda  con  le  risorse  umane  e strumentali di cui  dispone  o  affidandone  la  realizzazione  e  la gestione a terzi, che se ne assumono interamente gli oneri finanziari e organizzativi, mediante contratto di  servizio,  nel  rispetto  del codice dei contratti pubblici relativi a lavori, servizi e forniture, di cui al decreto legislativo 12 aprile 2006, n. 163. I soggetti  che si  avvalgono  del   registro   per   effettuare   le   comunicazioni corrispondono tariffe di accesso  basate  sugli  effettivi  costi  di funzionamento  e  di  manutenzione.  Il   Ministro   dello   sviluppo economico, con proprio provvedimento, determina tali tariffe;

    c) previsione che le  modalità  tecniche  di  funzionamento  del registro consentano ad ogni utente di chiedere che  sia  iscritta  la numerazione   della   quale   è   intestatario   secondo   modalità semplificate ed anche in via telematica o telefonica;

    d) previsione di modalità tecniche di funzionamento e di accesso al registro mediante interrogazioni selettive che non  consentano  il trasferimento del dati presenti nel registro  stesso,  prevedendo  il tracciamento delle operazioni compiute e la  conservazione  dei  dati relativi agli accessi;

    e) disciplina delle tempistiche e delle modalità dell’iscrizione al registro, senza distinzione di settore di attività o di categoria merceologica, e del relativo aggiornamento, nonché  del  correlativo periodo massimo di utilizzabilità dei dati verificati  nel  registro medesimo, prevedendosi che l’iscrizione abbia durata indefinita e sia revocabile  in  qualunque  momento,  mediante  strumenti  di   facile utilizzo e gratuitamente;

    f)obbligo per i soggetti che effettuano trattamenti di  dati  per le finalità di cui all’articolo 7, comma 4, lettera b), di garantire la presentazione dell’identificazione  della  linea  chiamante  e  di fornire  all’utente  idonee   informative,   in   particolare  sulla possibilità e sulle modalità di iscrizione nel registro per opporsi a futuri contatti;

    g) previsione  che  l’iscrizione  nel  registro  non  precluda  i trattamenti dei dati altrimenti acquisiti  e  trattati  nel  rispetto degli articoli 23 e 24.

3-quater. La vigilanza e  il  controllo  sull’organizzazione  e  il funzionamento del registro di cui al comma 3-bis  e  sul  trattamento dei dati sono attribuiti al Garante.

4. Fatto salvo quanto previsto nel comma 1 ,  se  il  titolare  del trattamento utilizza, a fini di vendita diretta di propri prodotti  o servizi, le coordinate di posta elettronica fornite  dall’interessato nel contesto della vendita di un prodotto o di un servizio, può non richiedere il consenso dell’interessato,  sempre  che  si  tratti  di servizi analoghi a quelli  oggetto  della  vendita  e  l’interessato, adeguatamente informato, non rifiuti  tale  uso,  inizialmente  o  in occasione di  successive  comunicazioni.  L’interessato,  al  momento della raccolta  e  in  occasione  dell’invio  di  ogni  comunicazione effettuata per le finalità di cui al presente  comma,  è  informato della possibilità di opporsi in  ogni  momento  al  trattamento,  in maniera agevole e gratuitamente.

5. È  vietato  in  ogni  caso  l’invio  di  comunicazioni  per  le finalità di cui al  comma  1  o,  comunque,  a  scopo  promozionale, effettuato camuffando o  celando  l’identità  del  mittente  o  in violazione dell’articolo 8 del decreto legislativo 9 aprile 2003,  n. 70,  o  senza  fornire  un  idoneo   recapito   presso   il   quale l’interessato possa esercitare i diritti di cui  all’articolo  7, oppure esortando i destinatari a visitare siti  web  che  violino  il predetto articolo 8 del decreto legislativo n. 70 del 2003.

6. In caso di reiterata violazione delle  disposizioni  di  cui  al presente articolo il Garante puo’, provvedendo ai sensi dell’articolo 143, comma 1, lettera b), altresì prescrivere a fornitori di servizi di comunicazione elettronica di adottare procedure  di  filtraggio  o altre misure  praticabili  relativamente  alle  coordinate  di  posta elettronica da cui sono stati inviate le comunicazioni.

- trattamento  di  dati personali in applicazione  dell’articolo  129:

articolo 129 (Elenchi di abbonati)

 1. Il Garante individua con proprio provvedimento, in cooperazione con  l’Autorità  per  le  garanzie  nelle  comunicazioni  ai   sensi dell’articolo  154,  comma  3,  e  in  conformità   alla   normativa comunitaria, le modalità di inserimento e di successivo utilizzo dei dati personali  relativi  agli  abbonati  negli  elenchi  cartacei  o elettronici a disposizione del pubblico, anche in riferimento ai dati già raccolti prima della data di  entrata  in  vigore  del  presente codice.

2. Il provvedimento di cui al comma 1 individua  idonee  modalità per la manifestazione del consenso all’inclusione  negli  elenchi  e, rispettivamente, all’utilizzo  dei  dati  per  le  finalità  di  cui all’articolo 7, comma 4, lettera  b),  in  base  al  principio  della massima semplificazione delle modalità di inclusione negli elenchi a fini  di   mera   ricerca   del contraente   per   comunicazioni interpersonali, e del  consenso  specifico  ed  espresso  qualora  il trattamento  esuli  da  tali  fini,  nonché  in  tema  di  verifica, rettifica o cancellazione dei dati senza oneri.

- trattamento  di  dati personali in violazione di quanto  disposto dall’articolo 17:

articolo 17 (Trattamento che presenta rischi specifici)

 1.   Il  trattamento  dei  dati  diversi  da  quelli  sensibili  e giudiziari  che presenta rischi specifici per i diritti e le libertà fondamentali,  nonché per la dignità dell’interessato, in relazione alla  natura dei dati o alle modalità del trattamento o agli effetti che  può  determinare,  è  ammesso  nel  rispetto  di  misure  ed accorgimenti a garanzia dell’interessato, ove prescritti.

2.  Le misure e gli accorgimenti di cui al comma 1 sono prescritti dal Garante in applicazione dei principi sanciti dal presente codice, nell’ambito  di  una verifica preliminare all’inizio del trattamento, effettuata  anche  in relazione a determinate categorie di titolari o di trattamenti, anche a seguito di un interpello del titolare.

- trattamento  di  dati personali in violazione di quanto  disposto dall’articolo 20:

articolo 20 (Principi applicabili al trattamento di dati sensibili)

 1. Il trattamento dei dati sensibili da parte di soggetti pubblici è  consentito  solo se autorizzato da espressa disposizione di legge nella  quale  sono  specificati  i  tipi  di’ dati che possono essere trattati  e  di  operazioni  eseguibili  e  le finalità di rilevante interesse pubblico perseguite.

2.  Nei  casi  in  cui  una  disposizione  di  legge specifica la finalità  di  rilevante  interesse  pubblico,  ma non i tipi di dati sensibili  e  di  operazioni eseguibili, il trattamento è consentito solo  in  riferimento  ai tipi di dati e di operazioni identificati e resi  pubblici  a cura dei soggetti che ne effettuano il trattamento, in  relazione alle specifiche finalità perseguite nei singoli casi e nel  rispetto dei principi di cui all’articolo 22, con atto di natura regolamentare  adottato in conformità al parere espresso dal Garante ai  sensi  dell’articolo  154,  comma  1, lettera g), anche su schemi tipo.

3.  Se  il  trattamento  non  è  previsto  espressamente  da  una disposizione  di  legge  i  soggetti  pubblici  possono richiedere al Garante  l’individuazione  delle  attività,  tra quelle demandate ai medesimi  soggetti dalla legge, che perseguono finalità di rilevante interesse pubblico e per le quali è conseguentemente autorizzato, ai sensi  dell’articolo  26, comma 2, il trattamento dei dati sensibili. Il  trattamento  è  consentito solo se il soggetto pubblico provvede altresì  a  identificare  e  rendere  pubblici  i  tipi di dati e di operazioni nei modi di cui al comma 2.

4.  L’identificazione  dei  tipi di dati e di operazioni di cui ai commi 2 e 3 è aggiornata e integrata periodicamente.

- trattamento  di  dati personali in violazione di quanto  disposto dall’articolo 21:

articolo 21 (Principi applicabili al trattamento di dati giudiziari)

 1. Il trattamento di dati giudiziari da parte di soggetti pubblici è consentito solo se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichino le finalità di  rilevante interesse pubblico del trattamento, i tipi  di  dati  trattati  e  di operazioni eseguibili.

1-bis. Il trattamento dei dati giudiziari è altresì consentito quando è effettuato in attuazione  di  protocolli  d’intesa  per  la prevenzione e il contrasto dei fenomeni di  criminalità  organizzata stipulati  con  il  Ministero  dell’interno  o  con  i  suoi   uffici periferici di cui all’articolo 15, comma 2, del  decreto  legislativo 30 luglio 1999, n. 300, previo parere del Garante per  la  protezione dei dati personali, che specificano la tipologia dei dati trattati  e delle operazioni eseguibili.

2. Le disposizioni di  cui  all’articolo  20,  commi  2  e  4, si applicano anche al trattamento dei dati giudiziari.

- trattamento  di  dati personali in violazione di quanto  disposto dall’articolo 22, commi 8 e 11:

articolo 22 (Principi applicabili al trattamento di dati sensibili e giudiziari)

 8. I dati idonei a rivelare lo stato di salute non possono  essere diffusi.

Omissis.

10. I dati sensibili e  giudiziari  non  possono  essere  trattati nell’ambito di test psicoattitudinali volti a definire il  profilo  o la personalità dell’interessato. Le operazioni di raffronto tra dati sensibili e giudiziari, nonché i trattamenti  di  dati  sensibili  e giudiziari ai sensi dell’articolo 14,  sono  effettuati  solo  previa annotazione scritta dei motivi.

11. In ogni caso, le operazioni e i trattamenti di  cui  al  comma 10, se effettuati utilizzando banche di  dati  di  diversi  titolari, nonché la diffusione dei dati sensibili e giudiziari,  sono  ammessi solo se previsti da espressa disposizione di legge.

 - trattamento  di  dati personali in violazione di quanto  disposto dall’articolo 25:

articolo 25 (Divieti di comunicazione e diffusione)

1.  La  comunicazione  e  la diffusione sono vietate, oltre che in caso di divieto disposto dal Garante o dall’autorità giudiziaria:

   a)  in riferimento a dati personali dei quali è stata ordinata la cancellazione,  ovvero quando è decorso il periodo di tempo indicato nell’articolo 11, comma 1, lettera e);

   b)  per  finalità  diverse da quelle indicate nella notificazione del trattamento, ove prescritta.

2. È fatta salva la comunicazione o diffusione di dati richieste, in  conformità  alla  legge,  da  forze  di  polizia, dall’autorità giudiziaria,  da  organismi  di  informazione  e sicurezza o da altri soggetti  pubblici  ai sensi dell’articolo 58, comma 2, per finalità di difesa o di sicurezza dello Stato o di prevenzione, accertamento o repressione di reati.

 - trattamento  di  dati personali in violazione di quanto  disposto dall’articolo 26:

articolo 26 (Garanzie per i dati sensibili)

 1. I dati sensibili possono essere oggetto di trattamento solo  con il consenso scritto  dell’interessato  e  previa  autorizzazione  del Garante, nell’osservanza dei presupposti e dei limiti  stabiliti  dal presente codice, nonché dalla legge e dai regolamenti.

2. Il Garante comunica la decisione  adottata  sulla  richiesta  di autorizzazione  entro  quarantacinque  giorni,  decorsi  i  quali  la mancata  pronuncia  equivale  a  rigetto.  Con  il  provvedimento  di autorizzazione, ovvero successivamente, anche sulla base di eventuali verifiche, il  Garante  può prescrivere  misure  e  accorgimenti  a garanzia dell’interessato, che il titolare del trattamento è  tenuto ad adottare.

3. Il comma 1 non si applica al trattamento:

    a) dei dati relativi agli aderenti alle confessioni  religiose  e ai soggetti che con riferimento a finalità di natura  esclusivamente religiosa  hanno  contatti  regolari  con  le  medesime  confessioni, effettuato  dai  relativi   organi,   ovvero   da   enti   civilmente riconosciuti, sempre che i dati non siano diffusi o comunicati  fuori delle medesime confessioni. Queste ultime determinano idonee garanzie relativamente ai trattamenti effettuati, nel  rispetto  dei  principi indicati al riguardo con autorizzazione del Garante;

    b)  dei  dati   riguardanti   l’adesione   di   associazioni   od organizzazioni  a  carattere  sindacale  o  di  categoria  ad   altre associazioni, organizzazioni o confederazioni a carattere sindacale o di categoria.

    b-bis)  dei  dati  contenuti  nei  curricula,  nei  casi  di  cui all’articolo 13, comma 5-bis.

4. I dati sensibili possono essere  oggetto  di  trattamento  anche senza consenso, previa autorizzazione del Garante:

    a) quando il trattamento è effettuato da associazioni,  enti  od organismi senza scopo di lucro, anche non riconosciuti,  a  carattere politico, filosofico, religioso o sindacale, ivi compresi  partiti  e movimenti politici, per  il  perseguimento  di  scopi  determinati  e legittimi individuati dall’atto costitutivo,  dallo  statuto  o  dal contratto collettivo, relativamente ai dati personali degli  aderenti o dei soggetti che in  relazione  a  tali  finalità hanno  contatti regolari con l’associazione, ente od organismo, sempre che i dati non siano comunicati all’esterno o  diffusi  e  l’ente,  associazione  od

organismo determini  idonee  garanzie  relativamente  ai  trattamenti effettuati, prevedendo espressamente le  modalità  di  utilizzo  dei dati  con  determinazione  resa  nota   agli   interessati   all’atto dell’informativa ai sensi dell’articolo 13;

    b) quando il trattamento è necessario per la salvaguardia  della vita o dell’incolumità fisica di un terzo. Se la medesima  finalità riguarda l’interessato e quest’ultimo non può prestare  il  proprio consenso per impossibilità fisica, per incapacità di  agire  o  per incapacità di intendere o di volere, il consenso è  manifestato  da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da  un  familiare,  da  un  convivente  o,  in  loro   assenza,   dal responsabile della struttura  presso  cui  dimora  l’interessato.  Si applica la disposizione di cui all’articolo 82, comma 2;

    c) quando il trattamento è necessario ai fini dello  svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000,  n. 397, o, comunque, per far valere o difendere in sede  giudiziaria  un diritto, sempre che i dati siano  trattati  esclusivamente  per  tali finalità  e  per  il  periodo  strettamente   necessario   al   loro perseguimento. Se i dati sono idonei a rivelare lo stato di salute  e la vita sessuale, il diritto deve  essere  di  rango  pari  a  quello dell’interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà  fondamentale e inviolabile;

    d) quando è necessario per  adempiere  a  specifici  obblighi  o compiti previsti dalla legge, da un  regolamento  o  dalla  normativa comunitaria per la gestione del rapporto di lavoro, anche in  materia di igiene e sicurezza del lavoro e della popolazione e di  previdenza e  assistenza,  nei  limiti  previsti  dall’autorizzazione  e   ferme restando le  disposizioni  del  codice  di  deontologia  e  di  buona condotta di cui all’articolo 111.

5. I dati idonei a rivelare lo stato di salute non  possono  essere diffusi.

- trattamento  di  dati personali in violazione di quanto  disposto dall’articolo 27:

articolo 27 (Garanzie per i dati giudiziari)

 1. Il trattamento di dati giudiziari da parte di privati o di enti pubblici economici è consentito soltanto se autorizzato da  espressa disposizione di legge o provvedimento del Garante che specifichino le rilevanti finalità di interesse pubblico del trattamento, i tipi  di dati  trattati  e  di  operazioni  eseguibili.  Si  applica  quanto previsto dall’articolo 21, comma 1-bis.

- trattamento  di  dati personali in violazione di quanto  disposto dall’articolo 45:

articolo 45 (Trasferimenti vietati)

 1.  Fuori  dei casi di cui agli articoli 43 e 44, il trasferimento anche  temporaneo  fuori  del  territorio  dello Stato, con qualsiasi forma  o  mezzo,  di  dati  personali oggetto di trattamento, diretto verso un Paese non appartenente all’Unione europea, è vietato quando l’ordinamento  del  Paese  di destinazione o di transito dei dati non assicura  un  livello di tutela delle persone adeguato. Sono valutate anche  le  modalità del trasferimento e dei trattamenti previsti, le relative finalità, la natura dei dati e le misure di sicurezza.

- falsità nelle dichiarazioni e notificazioni al Garante

La tipizzazione delle falsità rilevanti richiede - oltre alle ipotesi in cui avvenga l’esibizione di documenti dinanzi al Garante o nel corso di accertamenti - l’esame degli articoli richiamati:

- falsità nelle comunicazioni  di  cui all’articolo 32-bis, commi 1 e 8:

articolo 32-bis (Adempimenti conseguenti ad una violazione di dati personali)  

 1. In caso di violazione  di  dati  personali,  il  fornitore  di servizi di comunicazione elettronica accessibili al pubblico comunica senza indebiti ritardi detta violazione al Garante.

Omissis

8. Nel caso in cui il fornitore di  un  servizio  di  comunicazione elettronica accessibile al pubblico affidi l’erogazione del  predetto servizio ad altri soggetti, gli stessi sono tenuti  a  comunicare  al fornitore senza indebito ritardo tutti gli eventi e  le  informazioni necessarie a consentire a quest’ultimo di effettuare gli  adempimenti di cui al presente articolo.

 - falsità nella notificazione di cui all’articolo 37:

 articolo 37 (Notificazione del trattamento)

 1. Il titolare notifica al Garante il trattamento di dati personali cui intende procedere, solo se il trattamento riguarda:

    a)  dati  genetici,  biometrici  o dati che indicano la posizione geografica  di  persone od oggetti mediante una rete di comunicazione elettronica;

    b)  dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini  di  procreazione assistita, prestazione di servizi sanitari  per  via  telematica  relativi  a  banche  di  dati  o alla fornitura  di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria;

    c)  dati  idonei  a rivelare la vita sessuale o la sfera psichica trattati  da  associazioni,  enti  od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale;

    d)  dati  trattati con l’ausilio di strumenti elettronici volti a definire  il  profilo  o  la  personalità  dell’interessato,  o  ad analizzare  abitudini  o  scelte  di  consumo,  ovvero  a  monitorare l’utilizzo di servizi di comunicazione elettronica con esclusione dei trattamenti   tecnicamente   indispensabili  per  fornire  i  servizi medesimi agli utenti;

    e)  dati  sensibili  registrati  in  banche  di  dati  a  fini di selezione  del  personale  per  conto  terzi,  nonché dati sensibili utilizzati  per  sondaggi  di  opinione, ricerche di mercato e altre ricerche campionarie;

    f)  dati  registrati  in  apposite  banche  di  dati  gestite con strumenti  elettronici  e  relative  al  rischio  sulla  solvibilità economica,  alla  situazione patrimoniale, al corretto adempimento di obbligazioni, a comportamenti illeciti o fraudolenti.

1-bis.  La  notificazione relativa al trattamento dei dati di cui al  comma  1  non  è  dovuta se relativa all’attività dei medici di famiglia  e dei pediatri di libera scelta, in quanto tale funzione è tipica  del  loro  rapporto  professionale  con il Servizio sanitario nazionale.

2.  Il  Garante  può individuare altri trattamenti suscettibili di recare  pregiudizio  ai  diritti e alle libertà dell’interessato, in ragione  delle  relative modalità o della natura dei dati personali, con  proprio  provvedimento adottato anche ai sensi dell’articolo 17. Con  analogo  provvedimento pubblicato sulla Gazzetta ufficiale della Repubblica  italiana  il  Garante può anche individuare, nell’ambito dei  trattamenti  di  cui  al  comma  1,  eventuali  trattamenti  non suscettibili   di  recare  detto  pregiudizio  e  pertanto  sottratti all’obbligo di notificazione.

3.  La  notificazione  è effettuata con unico atto anche quando il trattamento comporta il trasferimento all’estero dei dati.

4.  Il  Garante  inserisce le notificazioni ricevute in un registro dei  trattamenti  accessibile a chiunque e determina le modalità per la  sua  consultazione  gratuita  per  via telematica, anche mediante convenzioni  con  soggetti  pubblici  o presso il proprio Ufficio. Le notizie  accessibili  tramite  la  consultazione del registro possono essere   trattate  per  esclusive  finalità  di  applicazione della disciplina in materia di protezione dei dati personali.

- inosservanza di provvedimenti del Garante

Rilevano le seguenti inottemperanze:

- inosservanza del provvedimento adottato  dal Garante  ai sensi dell’articolo 26, comma 2:

2. Il Garante comunica la decisione  adottata  sulla  richiesta  di autorizzazione  entro  quarantacinque  giorni,  decorsi  i  quali  la mancata  pronuncia  equivale  a  rigetto.  Con  il  provvedimento  di  autorizzazione, ovvero successivamente, anche sulla base di eventuali verifiche, il  Garante  può prescrivere  misure  e  accorgimenti  a garanzia dell’interessato, che il titolare del trattamento è  tenuto ad adottare.

- inosservanza del provvedimento adottato  dal  Garante ai sensi dell’articolo 90:

articolo 90 (Trattamento dei dati genetici e donatori di midollo osseo)

 1.  Il  trattamento  dei  dati  genetici da chiunque effettuato è consentito   nei   soli  casi  previsti  da  apposita  autorizzazione rilasciata   dal  Garante  sentito  il  Ministro  della  salute,  che acquisisce, a tal fine, il parere del Consiglio superiore di sanità.

2.  L’autorizzazione  di  cui  al  comma  1  individua  anche  gli ulteriori   elementi   da   includere   nell’informativa   ai   sensi dell’articolo  13, con particolare riguardo alla specificazione delle finalità  perseguite e dei risultati conseguibili anche in relazione alle  notizie  inattese che possono essere conosciute per effetto del trattamento  dei dati e al diritto di opporsi al medesimo trattamento per motivi legittimi.

3.  Il  donatore  di  midollo  osseo, ai sensi della legge 6 marzo 2001,  n.  52, ha il diritto e il dovere di mantenere l’anonimato sia nei confronti del ricevente sia nei confronti di terzi.

- inosservanza del provvedimento adottato  dal  Garante  ai sensi dell’articolo 150, commi  1 e 2:

articolo 150 (Provvedimenti a seguito del ricorso)

 1.  Se  la  particolarità  del  caso lo richiede, il Garante può disporre  in  via provvisoria il blocco in tutto o in particolare di taluno dei dati, ovvero l’immediata sospensione di una o più operazioni del trattamento.  Il provvedimento può essere adottato anche prima della comunicazione  del  ricorso  ai  sensi  dell’articolo 149, comma 1, e cessa  di  avere  ogni  effetto  se  non  è  adottata nei termini la decisione di cui al comma 2. Il medesimo provvedimento è impugnabile unitamente a tale decisione.

2.  Assunte  le  necessarie  informazioni  il  Garante, se ritiene fondato  il  ricorso,  ordina al titolare, con decisione motivata, la cessazione   del   comportamento  illegittimo,  indicando  le  misure necessarie  a  tutela  dei  diritti  dell’interessato e assegnando un termine  per  la  loro  adozione.  La  mancata pronuncia sul ricorso, decorsi  sessanta  giorni  dalla  data  di  presentazione, equivale a rigetto.

- inosservanza del provvedimento adottato  dal  Garante  ai sensi dell’articolo 143, comma 1, lettera c):

articolo 143 (Procedimento per i reclami)

 1.  Esaurita  l’istruttoria  preliminare,  se  il  reclamo  non è manifestamente  infondato  e sussistono i presupposti per adottare un provvedimento, il Garante, anche  prima  della definizione  del procedimento:

omissis   

c)  dispone il blocco o vieta, in tutto o in parte, il trattamento che  risulta  illecito o non corretto anche per effetto della mancata adozione  delle  misure  necessarie  di  cui  alla lettera b), oppure quando,  in  considerazione  della natura dei dati o, comunque, delle modalità del trattamento o degli effetti che esso può determinare, vi è il concreto rischio del verificarsi di un pregiudizio rilevante per uno o più interessati;

omissis

Alcune considerazioni

Non v’è dubbio che la previsione dei delitti in tema di privacy risulta di grande impatto, soprattutto per quanto concerne l’illecito trattamento dei dati personali[3].

Si tratta di violazioni potenzialmente in grado di interessare l’intera platea degli enti collettivi privati soggetti alle disposizioni del Decreto Legislativo 231.

La compliance in materia di privacy entra pertanto a pieno titolo – e, direi, prepotentemente – nella sfera della compliance 231.

Diventerà decisivo il rispetto dei provvedimenti generali del Garante in tema di trattamento dei dati del lavoratore (anche ai fini dei c.d. controlli difensivi), di uso di internet e della posta elettronica, di amministratore di sistema.

Sarà importante che l’azienda adotti un corretto assetto organizzativo e gestionale in ordine al trattamento dei dati personali, con particolare riferimento alla designazione del responsabile e dell’incaricato del trattamento.

Quanto appena detto vale soprattutto per le ipotesi di comunicazione di dati personali nell’ambito di un gruppo di imprese, specie se a carattere transnazionale.

Dovranno, a questo punto, essere approfondite le modalità di gestione delle segnalazioni interne di potenziali illeciti (c.d.whistleblowing), che possono contenere dati personali, magari anche sensibili e giudiziari.

Infine, ma non per importanza, il “Responsabile Privacy” (e il futuro Data Protection Officer) dovrà essere un interlocutore privilegiato dell’Organismo di vigilanza[4].


[1] Il delitto di frode informatica viene, pertanto, ad essere richiamato da due articoli del d.lg. 231, concernenti, rispettivamente, i reati di truffa/indebita percezione di finanziamenti pubblici (articolo 24) e i reati informatici (articolo 24-bis). Tale delitto, se commesso in  danno dello Stato o di altro ente pubblico, determina (ex articolo 24) l’applicazione all’ente della sanzione pecuniaria fino a cinquecento quote; se l’ente  ha  conseguito un profitto di rilevante entità o è derivato un danno di particolare gravità, si applica la sanzione pecuniaria da duecento a seicento quote; in caso di condanna, si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, lettere c), d) ed e). Ove, invece, la frode informatica avvenga con sostituzione dell’identità digitale in danno di terzi, si applica all’ente (ex articolo 24-bis) la sanzione pecuniaria da cento a cinquecento quote; in caso di condanna, si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, lettere a), b) ed e).

[2] Articolo 55 comma 9 Decreto Legislativo 231/2007 (c.d. Legge Antiriciclaggio): Chiunque, al fine di  trarne  profitto  per  sé o  per  altri, indebitamente utilizza, non essendone titolare, carte di credito o di pagamento, ovvero qualsiasi altro documento analogo  che  abiliti  al prelievo di denaro contante o all’acquisto di beni o alla prestazione di servizi, è punito con la reclusione da uno a cinque anni e con la multa da 310 a 1.550 euro. Alla stessa pena soggiace chi, al fine  di trarne profitto per se’ o per altri,  falsifica  o  altera  carte  di credito o di  pagamento  o qualsiasi  altro  documento  analogo  che abiliti al prelievo di denaro contante o all’acquisto di beni o  alla prestazione di servizi, ovvero possiede, cede o acquisisce tali carte o  documenti  di provenienza  illecita  o  comunque  falsificati o alterati, nonché ordini di pagamento prodotti con essi.

[3] Sotto il profilo sanzionatorio, va rilevato che per i delitti in materia di privacy sono previste anche alcune sanzioni interdittive, e in particolare: l’interdizione dall’esercizio dell’attività; la  sospensione  o  la revoca delle autorizzazioni, licenze o concessioni funzionali alla commissione dell’illecito; il divieto di pubblicizzare beni o servizi.

[4] La collaborazione informativa tra il preposto ai controlli in uno specifico settore e l’ODV costituisce ormai un trend consolidato: si pensi alla normativa antiriciclaggio, a quella sulla sicurezza sul lavoro e sui reati ambientali.