Il trattamento illecito di dati personali da parte di imprese, professionisti ed enti pubblici è un fatto grave che può portare all’applicazione di sanzioni penali ed amministrative particolarmente pesanti nei confronti di tutti coloro che, a diverso titolo, sono coinvolti nella gestione dei dati.

Delle conseguenze di un trattamento di dati personali non conforme alle regole del GDPR possono essere chiamati a rispondere, infatti, oltre al titolare del trattamento, anche tutti coloro che rivestono funzioni e ruoli nel processo di trattamento dei dati personali, come i dirigenti o i dipendenti incaricati di svolgere trattamenti dei dati.

La definizione di trattamento illecito di dati personali

In prima approssimazione, si può affermare che un trattamento di dati personali è illecito quando avviene in violazione delle regole previste nel GDPR, nelle leggi e nei regolamenti statali, dai provvedimenti generali delle Autorità garanti.

Rientrano tra queste regole, ad esempio:

  1. le previsioni che obbligano il titolare a trattare i dati soltanto se dispone di una adeguata base giuridica (come l’esecuzione di un contratto o il consenso dell’interessato);
  2. le previsioni che stabiliscono l’obbligo per il titolare di prestare una adeguata informativa all’interessato;
  3. le previsioni che vietano di trattare i dati oltre il tempo necessario a raggiungere le finalità del titolare o di trattare più dati del necessario;
  4. le previsioni che impongono al titolare di adottare misure organizzative e tecniche adeguate a trattare i dati con sicurezza;
  5. le regole su trasferimento dei dati verso paesi terzi;
  6. le previsioni che impongono agli autorizzati di trattare i dati secondo le istruzioni del titolare.

Le sanzioni previste per il trattamento illecito di dati personali

Da un trattamento illecito di dati personali possono derivare:

  1. sanzioni penali, qualora il comportamento tenuto dai responsabili rientri in una delle fattispecie di reato previste dalla legge;
  2. sanzioni amministrative, qualora i fatti possano costituire un illecito rilevante ai sensi dell’art. 83 GDPR;
  3. obblighi di risarcimento del danno in sede civile, se dal trattamento illecito dei dati personali è derivato un danno per gli interessati.

Nei paragrafi che seguono, proseguendo nell’esame dei reati informatici in azienda, ci occuperemo principalmente della responsabilità penale derivante dai trattamenti di dati personali effettuati con strumenti digitali. Molte delle considerazioni che faremo possono però applicarsi anche al caso di trattamenti effettuati con modalità analogiche.

Il reato di trattamento illecito di dati personali: considerazioni generali

Il reato di trattamento illecito di dati personali è punito dall’art. 167 del Codice della Privacy (d.lgs. n. 196/2003), che punisce alcuni casi particolari nei quali il trattamento dei dati personali avviene in violazione delle condizioni previste dalla legge.

Le ipotesi punite dalla legge sono accumunate da alcuni elementi:

  1. il comportamento del responsabile deve essere cosciente e volontario. Non costituiscono dunque reato i trattamenti illeciti che avvengono “colposamente”, per negligenza o trascuratezza delle regole e delle procedure. Si tratta dunque di un reato doloso;
  2. il responsabile deve aver agito con il preciso scopo di trarre per sé o per altri profitto (inteso come ogni vantaggio economicamente rilevante) ovvero di arrecare danno all’interessato (ad esempio, limitando i suoi diritti o le sue libertà). Si tratta di un reato caratterizzato da dolo specifico.;
  • il comportamento del responsabile deve causare un “nocumento” all’interessato. Secondo la giurisprudenza, costituisce “nocumento” ogni ripercussione negativa nella sfera personale dell’interessato che possa assumere rilevanza anche giuridica (Cass. pen., sentenza n. 20013/2019). Non costituiscono reato i trattamenti illeciti che non abbiano avuto ripercussioni negative per gli interessati. Si tratta di un reato di evento, che deve essere previsto e voluto dal responsabile come conseguenza della propria azione (Cass. pen., sentenza n. 43534/2019).

In mancanza di questi presupposti, e delle altre condizioni specifiche che vedremo nei successivi paragrafi, il comportamento non costituisce reato. Ciò non significa, però, che esso non possa costituire un illecito amministrativo o un illecito civile ed essere dunque punito con una sanzione amministrativa o dare luogo ad un danno risarcibile.

Il reato è procedibile d’ufficio, senza che sia richiesta una querela dell’interessato. Il procedimento penale potrebbe iniziare a seguito di una segnalazione del Garante, che nel corso di un’ispezione o a seguito di un reclamo dell’interessato ravvisi gli estremi di questo reato e che è per questo obbligato a inviare una segnalazione alla Procura competente.

Fatta questa premessa, vediamo ora le ipotesi nelle quali il trattamento illecito di dati personali è punito con sanzioni penali.

Su chi ricadono le sanzioni penali per il trattamento illecito di dati personali?

Le sanzioni penali per i reati di trattamento illecito di dati personali ricadono sulle persone fisiche che materialmente realizzano i comportamenti puniti come reato o che istigano o concorrono a realizzare questi comportamenti.

In ambito aziendale, possono dunque essere chiamati a rispondere di questi reati sia i titolari delle imprese che in qualità di titolari o responsabili del trattamento effettuano illegittimamente delle operazioni sui dati personali, sia i loro dipendenti che effettuano trattamenti illeciti di loro iniziativa o concorrendo in modo consapevole al trattamento illecito disposto dai responsabili dell’impresa.

Campagne di marketing telefonico e spamming

Un esempio di trattamento illecito di dati personali che può essere punito come reato è rappresentato dalla violazione delle disposizioni che regolano la possibilità di utilizzare i dati contenuti negli elenchi telefonici o i dati dei propri clienti per lo svolgimento di campagne di marketing con strumenti automatizzati.

L’art. 167, co. 1 del Codice della Privacy, punisce infatti come reato la violazione delle regole previste dagli articoli 129 e 130 per la formazione degli elenchi degli utenti dei servizi di comunicazione elettronica ed il loro utilizzo da parte di terzi, attuato con un Provvedimento dell’Autorità Garante per la protezione dei dati personali, nonché le regole previste dall’art. 130 relative all’uso di strumenti automatizzati (compositori automatici, sms o email) per finalità di marketing, tra cui l’invio di materiale pubblicitario o di comunicazioni commerciali o comunque finalizzate alla vendita diretta di beni e servizi o per il compimento di ricerche di mercato.

In particolare, l’art. 130 prevede che queste comunicazioni possono essere effettuate in linea di principio soltanto con il consenso dell’interessato o sulla base di una adeguata base giuridica oppure per finalità di cd. “soft spamming” consistente nell’invio di comunicazioni commerciali finalizzati alla vendita di beni o servizi già acquistati in passato dall’interessato, mediante comunicazioni inviate agli indirizzi di contatto raccolti in occasione della prima transazione e sempre che l’interessato non si sia espressamente opposto a questo trattamento.

Anche l’uso di dati prelevati da pubblici registri o l’uso di messaggi privati sui social network a fini di marketing può determinare un trattamento illecito di dati, come evidenziato da alcune recenti decisioni del Garante.

La rilevanza penale dello spam

L’invio di comunicazioni commerciali in violazione di queste regole costituisce un trattamento illecito di dati personali che può costituire reato qualora dall’invio delle comunicazioni commerciali derivi anche un danno all’interessato.

In questi casi, il nocumento all’interessato sarà il più delle volte identificabile nell’illegittima interferenza con la libertà individuale dell’interessato, rappresentata dal disturbo causato dalla ricezione di comunicazioni commerciali indesiderate e, nel caso di campagne tramite sms o email, mediante una sorta di violazione del suo domicilio informatico.

Tuttavia, come ha chiarito la giurisprudenza, se il trattamento illecito si limita all’invio di un numero contenuto di messaggi, il fastidio o l’invasione della sfera di libertà dell’interessato non può considerarsi penalmente rilevante (Così, ad esempio, la Sentenza n. 41064/2019 della Cassazione penale).

Tuttavia, se il numero di comunicazioni ricevute è particolarmente rilevante oppure temporalmente ravvicinato, potrebbero costituire una vera e propria invasione del domicilio informatico dell’interessato, tale da costituire un vero e proprio reato.

Le sanzioni penali previste nel caso in cui il trattamento illecito dei dati personali costituisca reato vanno da sei mesi ad un anno e sei mesi di reclusione.

Uso illecito di numeri di telefono o di altri dati degli utenti di servizi di comunicazione elettronica

L’art. 167, co. 1 del Codice della privacy punisce inoltre i comportamenti tenuti in violazione degli articoli 123 e 126, relativi al trattamento dei dati relativi al traffico ed all’ubicazione di utenti ed abbonati ad un servizio di comunicazione elettronica.

Di primo acchito, questa norma sembrerebbe interessare dunque soltanto i gestori telefonici o coloro che offrono servizi di comunicazione elettronica.

Tuttavia, una recente sentenza della Corte di cassazione penale, per certi versi controversa, ne ha esteso l’ambito di applicazione in moltissime altre ipotesi. In base alla sentenza n. 46376/2019, infatti, chiunque utilizzi senza titolo un numero di telefono, fisso o cellulare, compirebbe un trattamento illecito di dati personali al quale potrebbero applicarsi le sanzioni penali previste per questo reato.

Così, ad esempio, ha ritenuto punibile per questo reato anche il comportamento consistente nella pubblicazione di annunci su una chat erotica utilizzando il numero di cellulare di un’altra persona, compiuto con il fine di mettere in imbarazzo e danneggiare la reputazione dell’interessato.

Si tratta di un comportamento che potrebbe costituire anche il reato di sostituzione di persona (scopri di più nel nostro articolo dedicato al furto dell’identità digitale).

Il principio affermato in questa sentenza (se verrà confermato dalla giurisprudenza) porta però a ipotizzare la possibilità che costituisca reato di trattamento illecito di dati personali ogni utilizzo illegittimo dei dati relativi ai numeri di telefono o al traffico telefonico o alla posizione dei quali qualunque titolare del trattamento venga a conoscenza anche per finalità commerciali o connesse allo svolgimento dell’attività di impresa.

Il trasferimento illecito di dati all’estero ed i rischi legati all’uso di servizi cloud

Un’altra ipotesi di trattamento illecito di dati personali che può costituire reato è rappresentata dal trasferimento illecito verso Paesi terzi di dati personali, in violazione delle regole previste dagli articoli 44 ss. GDPR.

In ambito aziendale, questa ipotesi di reato potrebbe risultare particolarmente importante in tutte le ipotesi in cui il titolare di un’azienda utilizzi servizi cloud o altri servizi digitali che prevedano il trasferimento dei dati personali verso server situati al di fuori dell’Unione europea, in Paesi che non garantiscono un livello adeguato di protezione dei dati personali.

Tipicamente, infatti, questi servizi vengono utilizzati per lo svolgimento dell’attività di impresa o per la gestione di attività di marketing o analisi (ad esempio, i servizi di CRM o analisi e profilazione dei propri clienti). Si tratta di una finalità che potrebbe dunque essere considerata compatibile con il dolo specifico previsto dalla legge.

Qualora da questo trasferimento derivi un nocumento da parte dell’interessato (ad esempio una violazione dei suoi dati dovuti all’inadeguatezza delle misure di sicurezza previste dal destinatario) quale conseguenza prevista e voluta dal titolare del trattamento, il trattamento illecito dei dati personali potrebbe costituire un reato ed essere soggetto alle sanzioni penali previste dal comma 3 dell’art. 167 del Codice della privacy, che prevede la reclusione da uno a tre anni.

Questa ipotesi, che potrebbe risultare marginale, risulta però di particolare interesse a seguito della nota sentenza della Corte di Giustizia UE del 16 luglio 2020 (cd. Schrems II), che ha reso più difficoltoso effettuare in modo legittimo il trasferimento di dati personali verso gli Stati Uniti, Stato terzo nel quale hanno sede la maggior parte dei fornitori di servizi cloud.

Trattamenti illeciti di dati particolari compiuti dal dipendente pubblico

Un altro caso di trattamento illecito di dati personali che può costituire reato è previsto dal comma 2 dell’art. 167 del Codice della privacy e può interessare ogni dipendente pubblico al quale siano state delegate funzioni relative al trattamento dei dati personali per l’esecuzione di finalità di interesse pubblico rilevante.

Questa disposizione punisce infatti chiunque effetti trattamenti di dati personali appartenenti a particolari categorie (i cd. dati sensibili definiti dall’art. 9 GDPR) al di fuori delle ipotesi previste dall’art. 2-sexies del Codice della privacy e dunque, in prima approssimazione, in assenza di una norma di legge o regolamento che lo autorizzi al trattamento.

Può inoltre costituire reato il trattamento illecito effettuato dal dipendente pubblico in violazione delle misure particolari imposte dal Garante nel caso di trattamenti che presentino rischi particolarmente elevati per l’interessato (art. 2-quinquiesdecies del Codice della privacy).

Le sanzioni per il reato di trattamento illecito di dati personali in questo caso è più grave e va da uno a tre anni di reclusione.

Trattamenti illeciti di dati biometrici o relativi a condanne penali

Il comma 2 dell’art. 167 del Codice della privacy punisce anche il caso di trattamenti illeciti di dati biometrici o genetici effettuati da ogni titolare, pubblico o privato, in violazione delle misure di sicurezza previste dall’apposito Provvedimento dell’Autorità Garante per la protezione dei dati personali adottato in base all’art. 2-septies, comma 1 o dei provvedimenti specifici adottati in base all’art. 2-septies, comma 6.

Le stesse sanzioni si applicano anche ai trattamenti illeciti di dati personali relativi a condanne penali e reati effettuati, ai sensi dell’art. 2-octies del Codice della Privascy, da soggetti privati, al di fuori del controllo dell’autorità pubblica, ad esempio nell’ambito di rapporti di lavoro, in relazione ad attività assicurative o in relazione alla verifica dei requisiti di onorabilità per la partecipazione a gare d’appalto o nell’ambito dei controlli previsti dalle leggi antiriciclaggio.

Le altre sanzioni penali previste per il trattamento illecito di dati personali

Le ipotesi previste dall’art. 167 del Codice della privacy non sono le sole in base alle quali un trattamento illecito di dati personali può essere assoggettato a sanzioni penali. Infatti, anche in assenza del dolo specifico o di un nocumento dell’interessato, questi comportamenti potrebbero costituire anche uno di questi reati, dei quali abbiamo già parlato negli altri capitoli della nostra guida:

L’importanza di un modello privacy adeguato

Come si è visto, l’applicazione di sanzioni penali ai trattamenti illeciti di dati personali rappresenta una misura estrema, che la legge riserva ai casi più gravi. I comportamenti puniti come reato non sono però infrequenti e vi è dunque un rischio penale concreto che incombe su imprese, società ed enti pubblici e privati.

Va inoltre evidenziato come le sanzioni penali si cumulano alle sanzioni amministrative, che puniscono in modo molto più ampio tutti i trattamenti illeciti di dati.

Per limitare questo rischio, occorre adottare un modello adeguato di gestione dei trattamenti di dati personali, adottando misure adeguate a rispettare le condizioni stabilite dalla legge.