VIOLAZIONE DELLA PRIVACY, QUANDO DIVENTA REATO E VIENE PUNITA

L'illecito trattamento dei dati personali non sempre è punibile per legge e passibile di risarcimento danni




















Come viene punita la violazione della privacy? Le forme di intrusioni nella vita privata con cui abbiamo a che fare sono molteplici. C’è quella di chi invia e-mail pubblicitarie non richieste (il cosiddetto spam), quella di chi rivela i dati sanitari altrui, quella di chi diffonde dati sensibili come il numero di telefono, quella dei call center che telefonano per proporre nuove utenze, quella di chi vende i dati di terzi o quella di chi installa una telecamera di sorveglianza sul pianerottolo fino a riprendere anche la porta di casa del vicino.

Ad ognuna di queste violazioni corrisponde una norma diversa. Non esiste quindi un’unica sanzione per le violazioni della privacy. Peraltro, come di recente ha detto la Cassazione, non tutte le violazioni della privacy possono essere punite ma solo quelle di portata più elevata.


Sebbene stabilire come viene punita la violazione della privacy è particolarmente complicato possiamo tracciare delle linee guida sulla base delle ipotesi più frequenti.


La prima norma che viene in rilievo, quella forse di portata più ampia, è l’articolo 167 della legge 196/2013, il cosiddetto codice della privacy. Tale disposizione prevede il reato di trattamento illecito dei dati personali altrui. In tutte le seguenti ipotesi, siamo quindi nell’ambito del penale. Viene punito chi viola la privacy se lo fa per ottenere un profitto o per arrecare un danno. Le condotte vietate sono:

  • la comunicazione o diffusione impropria dei dati personali: si rischia la reclusione da 6 a 18 mesi;

  • il trattamento dei dati in violazione delle disposizioni di legge se ne deriva un effettivo danno: la pena è la reclusione da 6 a 24 mesi.

In queste due ipotesi rientrano, ad esempio, il caso di chi diffonde a terzi i dati personali di una persona (numero di telefono, condizioni di salute, orientamento religioso, sessuale, politico, ecc.); il caso di chi, dopo aver ricevuto legittimamente i dati personali di una o più persone (ad esempio, sottoscrivendo delle campagne promozionali) li vende a terzi.


Esiste poi il reato di interferenze illecite nella vita privata sanzionato dall’articolo 615-bis del Codice penale con la reclusione da 6 mesi a 4 anni. In tale ipotesi, si punisce il comportamento di chi, con strumentidi ripresa visiva o sonora, si procura indebitamente notizie o immagini attinenti alla vita privata che si svolgono nei luoghi di privata dimora altrui.


Un altro tipico reato che, in senso lato, viola la privacy è quello di accesso abusivo a sistema informatico punito dall’articolo 615-ter del Codice penale. La norma stabilisce che chi abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.

In questo caso, viene punita la condotta di chi, ad esempio, entra nell’account social o nell’e-mail di un’altra persona (anche se in precedenza ha ottenuto legittimamente le credenziali di accesso).

Se poi le credenziali di accesso all’altrui sistema informatico vengono anche divulgate e condivise con terzi, la reclusione sale sino a 1 anno e scatta la multa fino a 10milioni delle vecchie lire.


A fronte di tali condotte la vittima, laddove la legge preveda un reato, può querelare il responsabile. Inoltre, può esigere il risarcimento dei danni morali. Ma per questa seconda strada è necessario che il danno sia compiutamente dimostrabile: non basta cioè la prova del semplice illecito. In altri termini: la violazione della privacy non implica, automaticamente, un danno effettivo e reale. Questo perché il nostro ordinamento non prevede il risarcimento per le lesioni di minor conto, quei piccoli fastidi della vita quotidiana che non generano un’effettiva e concreta compromissione degli altrui diritti.


Proprio per tale ragione, la giurisprudenza ha escluso la possibilità di chiedere il risarcimento per qualche semplice e-mail pubblicitaria.

In linea generale, l’articolo 15 del Codice della privacy (L. 196/2013) stabilisce che «chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento» così come l’articolo 2050 del Codice civile prevede.

È oggetto di risarcimento del danno non patrimoniale il comportamento di chi tratti i dati personali in violazione dell’articolo 11 del Codice della privacy ossia in modo illecito e contrario alla correttezza, in forma non aggiornata e non esatta, in modo non pertinente ed eccedente rispetto alle finalità per cui i dati stessi sono raccolti, per un periodo di tempo superiore a quello necessario agli scopi per i quali essi sono stati raccolti.

Secondo la Cassazione, in materia di violazione della privacy, occorre che il soggetto passivo denunci in maniera analitica i danni sofferti senza limitarsi a eccepire che l’illecito uso dei suoi dati gli avrebbe procurato una generica sofferenza. Un comportamento questo che – secondo la Cassazione – è completamente inadeguato per riconoscere il danno non patrimoniale.

Nel caso in commento, l’Inps aveva ottenuto (tramite una società di investigazioni) la documentazione attestante la sua situazione retributiva nei confronti di un soggetto, al fine di acquisire elementi di prova da far valere nell’ambito di un procedimento penale nel quale il soggetto era coinvolto.


In relazione al caso in questione, la Cassazione ha ricordato il principio di diritto secondo cui «il danno non patrimoniale risarcibile ex articolo 15 del Dlgs 196/2003 (codice della privacy) pur determinato da una lesione del diritto fondamentale alla protezione dei dati personali tutelato dagli articoli 2 e 21 e dall’articolo 8 della Cedu, non si sottrae alla verifica della “gravità della lesione” e della “serietà del danno».

Quindi:

  • se la lesione è minima deve prevalere il principio della tolleranza;

  • nel caso, invece, si tratti di offesa grave, deve essere riconosciuta la lesione della privacy, verifica che in ogni caso spetta al giudice.

La Corte ritiene, pertanto, che il danno alla privacy, come ogni danno non patrimoniale, non sussiste in automatico, non identificandosi il danno risarcibile con la mera lesione dell’interesse tutelato dall’ordinamento, ma con le conseguenze di tale lesione.


#privacy #reato #risarcimento