Violazione della privacy: condanna a 10 anni di un hacker americano

Leggere di una condanna a dieci anni di prigione per diffusione, senza il consenso degli interessati, via internet, di foto altrui, non sempre pudiche, può stupire se l’organo giurisdizionale che ha emesso la sentenza è il “District Judge” di Los Angeles James Otero. Com’è infatti noto, l’ordinamento statunitense, in cui, più di centoventi anni fa, veniva elaborato in sede dottrinale “the right to be let alone”, non solo non tutela espressamente a livello costituzionale la privacy (ma neanche, a dirla tutta, implicitamente, almeno come valore autonomo) ma ha scoperto, dopo l’11 novembre del 2001, l’importanza del dato personale veicolato attraverso il web non tanto per tutelarlo ma, piuttosto, per consentirne l’appropriazione da parte degli apparati governativi, spesso senza la consapevolezza del titolare del dato, in nome della protezione del bene supremo della sicurezza nazionale. Il Patrioct Act docet a questo riguardo. I fatti all’origine della decisione di ieri hanno fatto presto il giro del mondo. Un trentacinquenne è riuscito ad impossessarsi della password di posta elettronica di una assai ben introdotta responsabile di agenzia di moda, ed ha quindi inviato dall’account di quest’ultima richieste di foto senza veli, o quasi, a molti dei contatti dell’ignara signora, per lo più protagoniste dello show business hollywoodiano, che hanno prontamente risposto inviando il materiale richiesto. Materiale fotografico che però è finito subito dopo alla mercé della rete, insieme a quello di due ignare sconosciute delle cui immagini l’hacker si era illegittimamente appropriato. Due riflessioni sono necessarie. La prima: evidentemente non c’è soltanto la violazione della privacy alla base di una sentenza di condanna cosi restrittiva della libertà personale come quella che si commenta: il protagonista della vicenda è infatti stato condannato per nove dei ventisette capi di imputazione tra cui, in primis, accesso abusivo a sistema informatico e furto di identità. Il che però non far venire meno il carattere esemplare della decisione che in un Paese in cui si tende a credere che la privacy sia diritto ancillare deve servire da deterrente per riflettere sull’effetto di amplificazione della intrusività di determinate ingerenze nella vita privata, quando quest’ultima diventa accessibile, almeno in potenza, a ogni individuo sul globo che abbia accesso ad internet. La seconda: sembra che il Giudice americano nelle sue motivazioni, non ancora disponibili, si sia concentrato, per determinare la gravità della sanzione, non tanto sulle doglianze di personaggi famosi che, a suon di avvocati, richiedevano una punizione per l’effetto negativo, anche reputazionale, che la diffusione incontrollata di immagini private poteva avere sulla loro carriera, piuttosto, sulla storia, molto meno da copertina, delle due donne “comuni” i cui dati personali e in certi casi sensibili avevano imboccato, all’ insaputa delle interessate, la via senza ritorno del web. È allora la tutela della riservatezza dell’utente “medio” su internet che assurge a parametro fondamentale della decisione, e la sanzione detentiva per la sua violazione né una logica conseguenza. http://www.diritto24.ilsole24ore.com/avvocatoAffari/mercatiImpresa/2012/12/violazione-della-privacy-possibile-condanna-a-10-anni-di-un-hacker-americano.html

Privacy e famiglia: diritti e limitazioni nell'acquisizione e utilizzo delle prove

Il diritto alla riservatezza è un diritto fondamentale della persona, tutelato dalla Carta costituzionale stessa. In particolare, tale matrice costituzionale è rinvenuta da una parte della dottrina nell'articolo 2 della Costituzione, che “garantisce i diritti inviolabili dell'uomo, sia come singolo che nelle formazioni sociali ove si svolge la sua personalità” e da altra parte nell'articolo 3 della Costituzione, che riconosce “pari dignità sociale” a tutti i cittadini. Accanto a tali norme di portata generale, il diritto alla riservatezza è indirettamente tutelato anche da ulteriori disposizioni a carattere specifico, come l'articolo 13 sulla libertà personale, l'articolo 14 sull'inviolabilità del domicilio, l'articolo 15 sulla inviolabilità della corrispondenza e l'articolo 21 sul diritto di libera manifestazione del proprio pensiero. È indubbio, quindi, che lo stesso si collochi tra i diritti fondamentali dell'individuo, ancorati alla Costituzione. Conseguenza logica è che un diritto di tal rango non può subire compressioni o limitazioni neanche in caso di rapporto di coniugio e/o convivenza. In altre parole, il matrimonio (a cui si deve equiparare una convivenza stabile, come ormai pacificamente riconosciuto dall'unanime dottrina e giurisprudenza) non vale ad escludere il rispetto della privacy dei singoli coniugi; il diritto alla riservatezza, in quanto diritto personalissimo, permane in capo a ciascuno di essi. Come ha opportunamente rilevato la Cassazione, la disponibilità del domicilio da parte di più soggetti non vale ad escludere il diritto alla riservatezza di ciascun convivente (cfr. Cass. Pen. 9827/06, in tema di reato ex art. 615 c.p.). Se il matrimonio è unione materiale e spirituale, comunque ciascun coniuge ha il diritto di conservare la propria privacy. Ciò premesso dal punto di vista teorico, nella pratica accade purtroppo molto spesso che un coniuge cerchi di precostituirsi elementi di prova a carico del partner da usare in giudizi di separazione / divorzio / affidamento della prole, oppure faccia uso di dati già costituiti; la questione assume contorni problematici quando tali elementi probatori siano stati ottenuti o comunque trattati in violazione della normativa sulla privacy. Il testo di riferimento è il Decreto Legislativo 196/2003 (cd. Testo Unico Privacy); in primis si deve rilevare che, per integrare una condotta di “trattamento dati” di cui al D. Lgs. Cit. è sufficiente anche la mera diffusione dei dati (cfr. art. 4 T.U. Cit.), da intendersi anche come produzione degli stessi in giudizio. Pertanto, anche tale condotta, laddove effettuata in spregio alle norme del T.U. Cit., potrebbe integrare una condotta punibile. Quindi, ben potrebbe considerarsi responsabile il coniuge che diffonda dati personali del consorte (producendoli in giudizio) in violazione delle norme di cui al D. Lgs. 196/03, se dal fatto deriva nocumento per il soggetto passivo (cfr., in particolare, art. 167 D. Lgs. Cit.). A questo punto è necessario, tuttavia, procedere ad accennare brevemente agli steps da seguire per trattare i dati “lecitamente”, laddove si vogliano poi usare in ambito giudiziario. In relazione ai dati personali, l'art. 13 T. U. Privacy introduce una deroga all'obbligo di preventiva informativa all'interessato, prevedendo l'esonero dalla stessa quando i dati personali devono essere trattati “per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento”. In questo caso, quindi, venendo in considerazione un diritto anch'esso costituzionale, il diritto di difesa, e di pari rango rispetto al diritto alla privacy, il legislatore ammettere una compressione di quest'ultimo, purché l'esplicazione del diritto di difesa sia effettuata secondo correttezza. In particolare, si richiede che: * i dati oggetto del trattamento siano esatti, da intendersi come precisi e rispondenti al vero; * i dati stessi siano completi, e cioè tali da fornire esatte informazioni, senza estrapolare solo i contenuti utili per una parte; * il trattamento e l'uso degli stessi sia pertinente e non eccedente, e cioè strettamente necessario e non sproporzionato in relazione al diritto che si intende far valere in giudizio. I dati sensibili ( e cioè i dati personali idonei a rilevare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni o organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rilevare lo stato di salute e la vita sessuale) sono oggetto di una tutela rafforzata. Di fatti, per poter trattare dati sensibili occorre, oltre al consenso dell'interessato e all'informativa (come per i dati personali), anche l'autorizzazione preventiva del Garante per la protezione dati personali (art. 26 D. Lgs. 196/03). L'art. 26 cit. prevede al comma 4 la possibilità di trattare dati personali sensibili senza consenso dell'interessato (purché vi sia la previa autorizzazione del Garante) “quando il trattamento è necessario per far valere o difendere in sede giudiziaria un diritto , sempre che i dati siano stati trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento. Se i dati sono idonei a rilevare lo stato di salute e la vita sessuale, il diritto deve essere di rango pari a quello dell'interessato, ovvero consistere in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile”. Ancora, l'articolo 60 T.U. Privacy, applicabile al caso di dati sensibili idonei a rilevare lo stato di salute e la vita sessuale contenuti in atti amministrativi, confermando la rafforzata tutela riconosciuta ai dati sensibili, ribadisce che, laddove manchi il consenso scritto dell'interessato, è possibile richiede l'accesso agli atti amministrativi che contengono tali dati solo se “la situazione giuridicamente rilevante che si intende tutelare è di rango almeno pari ai diritti dell'interessato, ovvero consiste in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile”. Per ricapitolare, in relazione al trattamento lecito di dati personali da usare quali prove costituite o costituende: * se trattasi di dati personali occorre il consenso e l'informativa; si può procedere senza informativa solo nelle ipotesi di cui all'articolo 13, comma 5, lett. b) D. Lgs. 196/03; * se trattasi di dati sensibili occorre il consenso, l'informativa e la previa autorizzazione del Garante; si può procedere senza il consenso dell'interessato solo nell'ipotesi di cui all'articolo 26 D. Lgs. 196/03. Ciò premesso, quid iuris dei dati trattati in violazione delle disposizioni su indicate? L'articolo 11 D. Lgs. 196/03 sancisce l'inutilizzabilità di tutti quei dati trattati in violazione delle norme di cui al Decreto citato. Tuttavia, in relazione alla possibilità di utilizzazione di tali dati in ambito giudiziario, il legislatore ha introdotto una disciplina particolare, contenuta nell'articolo 160, comma 6, T.U. Privacy, secondo cui “la validità, l'efficacia e l'utilizzabilità di atti, documenti e provvedimenti nel procedimento giudiziario basati sul trattamento di dati personali non conforme a disposizioni di legge o di regolamento restano disciplinate dalle pertinenti disposizioni processuali nella materia civile e penale” . E' evidente che l'intento del legislatore è stato quello di evitare caducazioni automatiche di atti e documenti introdotti in un processo, temperando la sanzione di cui all'articolo 11 D. Lgs. 196/03. Tuttavia, in materia penale la sanzione dell'inutilizzabilità è confermata; di fatti, il rinvio è all'articolo 191 c.p.c., che sancisce l'inutilizzabilità delle prove acquisite in violazione dei divieti stabiliti dalla legge (con le uniche eccezioni di cui all'articolo 189 c.p.p. per le prove cd atipiche e all'articolo 234 c.p.p. per le prove documentali). In materia civile, invece, è difficile delineare una regola generale. Si deve di fatti rilevare che, mentre in ambito penale è il legislatore che ha disposto preventivamente la sanzione dell'inutilizzabilità delle prove acquisite in violazione delle disposizione di leggi, in ambito civile manca una regola di tal tipo. La valutazione circa l'ammissibilità delle prove è lasciata al giudice (art. 183 c.p.c.), salvo che disposizioni speciali prevedano diversamente. In altri termini, se nel processo penale si può affermare con certezza che prove assunte violando la normativa Privacy si debbano considerare inutilizzabili, nel processo civile ciò non è disposto preventivamente dalla legge e l'inutilizzabilità non è automatica conseguenza; sarà il giudice a dover valutare circa la loro utilizzabilità, caso per caso e usufruendo del potere discrezionale che gli è concesso dalla legge (art. 116 c.p.c.). Centro Nazionale Studi e Ricerche sul Diritto della Famiglia e dei Minori http://www.diritto.net/il-foro-civile/182/4548-privacy-e-famiglia-diritti-e-limitazioni-nellacquisizione-e-utilizzo-delle-prove.html

Violazione della Privacy - Responsabilità civile e penale


Aspetti di  responsabilità penale (D.LGS. 196/2003)
Così recita l’art. 169 del TESTO UNICO PRIVACY :
Omessa adozione di misure necessarie alla sicurezza dei dati:
1. Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo 33 è punito con l'arresto sino a due anni o con l'ammenda da diecimila euro a cinquantamila euro.
2. All'autore del reato, all'atto dell'accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l'oggettiva difficoltà dell'adempimento e comunque non superiore a sei mesi.Nei sessanta giorni successivi allo scadere del termine, se risulta l'adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo dell'ammenda stabilita per la contravvenzione. L'adempimento e il pagamento estinguono il reato.
L'organo che impartisce la prescrizione e il pubblico ministero provvedono nei modi di cui agli articoli 21, 22, 23 e 24 del decreto legislativo 19 dicembre 1994, n. 758, e successive modificazioni, in quanto applicabili. 


Aspetti di  responsabilità civile Art. 2050 c.c.
Il D.LGS. 196/2003 qualifica il trattamento dei dati come attività pericolosa, art. 2050 c.c.
E ' prevista pertanto una inversione dell'onere della prova nell'azione risarcitoria ex articolo 2043 c.c.: l'operatore è tenuto a fornire la prova di avere applicato le misure tecniche di sicurezza più idonee a garantire la sicurezza dei dati detenuti.
A livello pratico questo significa che l’azienda, il professionista, la PA ecc., per evitare ogni responsabilità deve dimostrare di aver adottato "tutte le misure idonee ad evitare il danno", e quindi di aver messo in essere tutte le misure di sicurezza al meglio possibile (la miglior tecnologia disponibile). Il che non è affatto facile da dimostrare...
Art. 2049 c.c.
In generale poi a carico dell'azienda risulta comunque la responsabilità ex art 2049 c.c., ovvero la responsabilità prevista in capo a padroni e committenti.
L’art. 2049 difatti recita: "padroni e committenti sono responsabili per i danni arrecati dal fatto illecito dei loro domestici e commessi nell'esercizio delle incombenze cui sono adibiti".
Legge n. 547/1993
Crimini informatici commessi da dipendenti ed addebitabili all’azienda
La legge 547/93 ha introdotto nel nostro ordinamento vari "crimini informatici", ovvero l’attentato a impianti informatici di pubblica utilità, falsificazione di documenti informatici, accesso abusivo ad un sistema informatico o telematico, detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici, diffusione di programmi diretti a danneggiare o interrompere un sistema informatico, violazione di corrispondenza telematica, intercettazione di e-mail, danneggiamento di sistemi informatici o telematici (...).
Il datore di lavoro rischia di essere ritenuto in concorso con il dipendente a lui subordinato che ha commesso il crimine informatico, per non aver posto in essere tutte le misure di prevenzione e controllo idonee a garantire la sicurezza del trattamento dei dati.
La mancata adozione di tutte le misure idonee a ridurre al minimo i rischi viene considerata difatti un agevolazione alla commissione del crimine.
 
Violazione AmministrativaSanzione
Art. 161 Omessa informativaOmessa informativa in caso di dati sensibili o giudiziari o di trattamenti che presentino rischi specificiDa 3.000 a 18.000 euroDa 5.000 a 30.000 euro
Art. 162 Cessione dei datiDa 5.000 a 30.000 euro
Art. 163 Omessa o incompleta informativa al GaranteDa 10.000 a 60.000 euro
Art. 164 Mancata esibizione di informazioni o documenti richiesti dal GaranteDa 4.000 a 24.000 euro
  
Illecito PenaleSanzione
Art. 167 Trattamento illecito di datiReclusione da 6 mesi a 3 anni
Art. 168 False dichiarazioni e notificazioni al GaranteReclusione da 6 mesi a 3 anni
Art. 169 Mancata adozione delle misure di sicurezzaArresto sino a 2 anni o ammenda da 10.000 a 50.000 euro
Art. 170 Inosservanza di provvedimenti del GaranteReclusione da 3 mesi a 2 anni
 

Come difendersi dallo stalking telefonico o sul lavoro e a chi chiedere aiuto

Difendersi dallo stalking al giorno d'oggi è possibile, lo Stato ha attivato dei servizi efficienti e sicuri che ci permettono di tutelare noi stessi e i nostri cari. Lo stalking si può manifestare in tanti modi diversi, ci sono gli stalker che seguono le vittime, che fanno gli appostamenti a casa e in ufficio e quelli che invece usano il telefono ad ogni ora del giorno e della notte. Il primo passo per difendersi dallo stalking è affrontare il problema a testa alta e senza vergognarsi, capire che quello che stiamo subendo merita di essere condannato, senza farsi travolgere da dubbi, incertezze e sensi di colpa. In base al tipo di stalking che si subisce si possono sin da subito attuare delle strategie di difesa, ad esempio cambiare strada spesso e non fare sempre gli stessi percorsi, fare attenzione a chiudere bene porte e finestre, la macchina ecc. Subito dopo si deve sporgere regolare denuncia al distretto di polizia più vicino a voi, potete scegliere se iniziare con un ammonimento o passare subito alla denuncia. Vi ricordo che la denuncia scatta d'ufficio nel caso in cui lo stalker è già stato ammonito o la vittima sia un minore o un disabile. La pena va dai 6 mesi a 4 anni e può aumentare fino alla metà. Se volete chiedere aiuto e non sapete a chi rivolgervi potete innanzitutto chiamare il numero verde (1522) che è attivo in tutta Italia 24 ore su 24 e offre un'assistenza psicologica e giuridica, vi indirizza inoltre negli sportelli d'aiuto e nelle questure più vicine voi. Un valido aiuto potete averlo anche dai centri anti-stalking che offrono sostegno psicologico. Per contattare queste strutture potete chiamare il Numero verde da lun. a ven. 06.44246573 / sab. e dom. 327.46.60.907. Nel caso in cui lo stalking sia prettamente telefonico potete iniziare con il cambiare numero, non inserire il nuovo nell'elenco telefonico e comunque rivolgervi alla polizia. Se invece il vostro stalker vi perseguita sul lavoro, potete innanzitutto evitare di uscire da sole, soprattutto la sera, ma in ogni caso è bene rivolgersi alle forze dell'ordine. http://vitadicoppia.blogosfere.it/2012/12/come-difendersi-dallo-stalking-telefonico-o-sul-lavoro-e-a-chi-chiedere-aiuto.html

Tutto sul furto di identità

Introduzione Lo scorso anno la Federal Trade Commission ha ricevuto oltre 250.000 segnalazioni di furti di identità e chissà quanti altri, non segnalati, se ne sono verificati. Il furto di identità è il principale motivo di reclamo presentato dai consumatori alla Federal Trade Commission statunitense. Ovviamente, il furto di informazioni personali non è il peggiore dei crimini, ciò che è dannoso è l'uso che ne viene fatto dal criminale. Frode con carta di credito. Truffe su mutui e utenze. Conti correnti bancari svuotati. Le due facce del crimine Il furto di identità avviene in due passaggi. Innanzitutto, qualcuno ruba le tue informazioni personali. Quindi, il ladro le utilizza per prendere il tuo posto e commettere frodi. È importante comprendere questo approccio perché anche le tue difese devono agire su due livelli. Proteggi le tue informazioni Proteggi accuratamente le tue informazioni personali per evitare di diventare una vittima. Se i ladri di identità non riescono ad accedere a dati fondamentali come il tuo codice fiscale o i numeri dei tuoi conti bancari, non possono frodarti. Alcuni furti di identità seguono i vecchi canoni. I ladri frugano nei cestini, rubano la posta e usano l'inganno per indurti a rivelare dettagli importanti. Spetta a te proteggere le tue informazioni personali. Ecco alcuni suggerimenti per iniziare: Non fornire il tuo codice fiscale per telefono. Sminuzza tutti i documenti che contengono informazioni su conti o dati personali. Tieni i documenti importanti sotto chiave. Ritira e spedisci posta importante direttamente dall'ufficio postale. Usa depositi automatici per pagare gli stipendi. Il furto di identità online è un problema enorme e in crescita. Nelle truffe di phishing e pharming, i ladri usano e-mail e siti Web fasulli per prendere il posto di organizzazioni legittime. Fanno leva sulla tua fiducia spingendoti con l'inganno a divulgare informazioni personali come password o numero di conto. Analogamente, gli hacker e i virus possono infiltrarsi nel tuo computer e installare keystroke logger per rubare dati o acquisire nomi di account e password mentre li digiti. Puoi contrastare questi ladri adottando un approccio proattivo. Conserva le informazioni importanti in file e directory protetti con password. Usa programmi per la gestione delle password, come Norton Identity Safe in Norton Internet Security e Norton 360, per compilare automaticamente le informazioni di accesso, evitando di usare la tastiera. Impara a individuare le e-mail e i siti Web fraudolenti e altri segnali associati al phishing e al pharming. Effettua transazioni finanziarie online solo con siti Web sicuri con URL che iniziano con "https:" o che sono autenticati da società come VeriSign. Installa firewall personale, antivirus, protezione antispyware e antispam. Sono tutti disponibili in un'unica suite per la sicurezza con Norton Internet Security o Norton 360 di Symantec. Combattere le frodi Anche se puoi fare molto per proteggere la tua identità, non tutto dipende da te. Potresti avere usato la massima cautela, ma non è detto che qualcuno non riesca a violare i computer del tuo datore di lavoro o della tua banca. Ecco perché è importante controllare sempre i tuoi conti e i rendiconti. Potrebbero passare diversi mesi prima di accorgerti di essere rimasto vittima di un furto di identità. Nel frattempo, i ladri possono prosciugare i conti o contrarre forti debiti a tuo nome. Controlla regolarmente nel tuo estratto conto la presenza di movimenti insoliti. Se noti qualcosa di strano o imprevisto, come una nuova linea di credito che non hai aperto, agisci immediatamente. Nel frattempo, monitorizza l'attività su tutti i tuoi conti finanziari, dalla banca agli investimenti fino alle carte di credito. Se le società finanziarie con cui sei in rapporti offrono avvisi sui movimenti, sottoscrivili. E se ricevi un avviso o se il tuo istituto finanziario segnala un movimento insolito sul tuo conto, reagisci quanto prima. Se qualcuno ha rubato la tua identità, corri subito ai ripari per contenere il più possibile i danni. Chiudi i conti finanziari che potrebbero essere compromessi. Denuncia subito l'eventuale perdita della patente o della carta di identità. Negli Stati Uniti è possibile inserire un avviso di frode sul proprio rendiconto finanziario e tenerlo successivamente sotto controllo. Infine, denuncia il crimine alle autorità competenti. Avvisa gli organi competenti e denuncia la frode alla Polizia postale delle comunicazioni. Quindi, utilizza risorse pubbliche per cercare come recuperare le perdite ed evitare altri danni. La polizia, il tuo consulente finanziario e le associazioni dei consumatori sono alcuni dei punti di riferimento che si occupano di questi problemi e possono fornirti assistenza. Conclusioni Il furto di identità è diventato un dato di fatto. Per evitare di diventare una vittima, proteggi con cura le tue informazioni personali, controlla i tuoi conti e rendiconti e reagisci prontamente a qualsiasi segnale di abuso. Marian Merritt http://it.norton.com/identity-theft-primer/article

Illecita divulgazione di dati sensibili e prova del danno non patrimoniale

La Pubblica amministrazione che, in qualità di datore di lavoro, pubblica provvedimenti contenenti dati sanitari di un proprio dipendente senza che tale divulgazione sia retta da fini di interesse pubblico viola l'art. 11 del D.lgs. 193/2006. Nel caso, per chiedere il risarcimento del danno non patrimoniale è sufficiente lamentare un patema d'animo, essendo sovente le modalità della divulgazione idonee, già per se stesse, a dimostrare l'esistenza di un pregiudizio. È quanto ha affermato la Corte di Cassazione nella recentissima sentenza n. 2034/2012 con la quale ha confermato in capo alla P.A. la condanna al risarcimento dei danni non patrimoniali in favore di un dipendente comunale per illecito trattamento dei dati personali. La vicenda trae origine dalla pubblicazione, nell’Albo pretorio del Comune, di un atto amministrativo con il quale si negava a un lavoratore il riconoscimento della dipendenza da causa in servizio di una patologia da cui era affetto. Tale provvedimento riportava in chiaro, infatti, tutte le informazioni attinenti alla malattia ivi comprese diagnosi, cause, natura ed effetti della stessa. Il dipendente, ritenendo gravemente leso il proprio diritto alla privacy, si era, pertanto, rivolto all’Autorità giudiziaria. Il Tribunale adito, accertata l’illiceità del comportamento della P.A. per violazione dell’art. 2 della Costituzione e del D.Lgs. n. 196/2003 (c.d. Codice della Privacy), l’aveva condannata al risarcimento dei danni patrimoniali subiti dal lavoratore. In particolare, il giudice di merito aveva rilevato la violazione il principio di pertinenza e non eccedenza di cui all’art. 11 del Codice “giacché le stesse motivazioni dell’atto si sarebbero potute egualmente esprimere adottando una modalità di notificazione tale da non renderne possibile la lettura da parte di chiunque”. Aveva, altresì, ritenuto provato il danno non patrimoniale in considerazione del disagio e dell’imbarazzo conseguenti alla diffusione dei dati sanitari in questione nonché della preoccupazione derivante in capo all’interessato “dal non sapere quali e quante persone avevano in realtà conosciuto la sua situazione di salute”. La P.A. aveva proposto ricorso in Cassazione non condividendo le motivazioni addotte in sentenza. La doglianza principale riguardava il danno non patrimoniale: nonostante il Tribunale avesse affermato che questo non poteva essere considerato in re ipsa (sulla base dell’accertamento del solo illecito), tuttavia l’aveva poi riconosciuto senza alcun prova del pregiudizio deducendolo direttamente dal preteso illecito. La Suprema Corte, nella sentenza in commento, ha invece osservato come i motivi di opposizione indicati dalla parte ricorrente non potessero essere discussi in tale sede: sul punto il giudice di primo grado aveva espresso valutazioni di merito che erano state adeguatamente motivate risultando non censurabili in sede di legittimità. Al riguardo, la Cassazione ha osservato come il Tribunale avesse correttamente accertato la sussistenza di un illecito trattamento dei dati personali per violazione dell’art. 11 del Codice Privacy in quanto la pubblicazione del provvedimento amministrativo ben poteva essere effettuata utilizzando degli “omissis” ove necessario. A parere della Suprema Corte il Tribunale aveva, altresì, ben argomentato riguardo alla prova del danno non patrimoniale. Il Giudice di primo grado aveva, infatti, individuato, nella fattispecie sottoposta al suo esame, l’esistenza di una situazione di disagio, imbarazzo e preoccupazione in capo all’attore a seguito dell’illegittimo trattamento dei propri dati sanitari rilevando che le modalità di pubblicazione delle informazioni che lo riguardavano potevano considerarsi, già per stesse, idonee a dimostrare l’esistenza di un pregiudizio con conseguente diritto al risarcimento del danno non patrimoniale ingiustamente subito dall’interessato. http://www.privacylawconsulting.com/DettaglioNews.aspx?id=658

Garante Privacy: presto più trasparenza sui cookie

L’Autorità ha avviato una consultazione pubblica diretta a tutti i gestori dei siti e alle associazioni maggiormente rappresentative dei consumatori allo scopo di acquisire contributi e suggerimenti Chi naviga on line potrà presto decidere in maniera libera e consapevole se far usare o no le informazioni sui siti visitati per ricevere pubblicità mirata. Lo aiuterà un’informativa semplice, chiara e di immediata comprensione sull’uso dei cookie che il Garante sta mettendo a punto. Sulla base di quanto previsto dalla direttiva europea 2009/136, recepita di recente in Italia, l’Autorità ha infatti avviato una consultazione pubblica (in corso di pubblicazione nella G.U.) diretta a tutti i gestori, grandi e piccoli, dei siti e alle associazioni maggiormente rappresentative dei consumatori allo scopo di acquisire contributi e suggerimenti. Per fornire prime indicazioni sul tema e per agevolare l’elaborazione dei contributi e l’individuazione di una valida ed efficace informativa l’Autorità ha messo a punto, disponibile sul proprio sito, un documento contenente alcuni chiarimenti sulle principali questioni in materia di cookie . I cookie - si legge nel documento - sono piccoli file di testo che i siti visitati inviano al terminale (computer, tablet, smartphone, notebook ecc.) dell’utente, dove vengono memorizzati per essere poi ritrasmessi agli stessi siti alla visita successiva. Sono usati per eseguire autenticazioni informatiche, monitoraggio di sessioni e memorizzazione di informazioni riguardanti la navigazione on line (senza l’uso dei cookie “tecnici” alcune operazioni risulterebbero molto complesse o impossibili da eseguire), ma sono molto spesso utilizzati dai siti per raccogliere importanti e delicate informazioni all’insaputa degli utenti sui loro gusti, sulle loro abitudini, sulle loro scelte. Con le nuove regole europee - spiega l’Autorità - i cookie “tecnici” possono essere utilizzati anche senza consenso, ma rimane naturalmente fermo per i gestori dei siti l’obbligo di informare gli utenti della loro presenza in maniera il più possibile semplice, chiara e comprensibile. E’ obbligatorio invece - sottolinea l’Autorità - il consenso preventivo e informato dell’utente per tutti i cookie “non tecnici”, quelli cioè che, monitorando i siti visitati, raccolgono dati personali che consentono la costruzione di un dettagliato profilo del consumatore, e che proprio per questo motivo presentano maggiori criticità per la privacy degli utenti. I gestori dei siti non possono, dunque, installare cookie per finalità di profilazione e marketing sui terminali degli utenti senza averli prima adeguatamente informati e aver acquisito un valido consenso. La consultazione avviata dal Garante si concluderà entro 90 giorni dalla pubblicazione del provvedimento sulla Gazzetta Ufficiale. Le proposte relative all’informativa semplificata potranno essere inviate all’Autorità per posta o in via telematica alla e-mail consultazionecookie@gpdp.it . Il Garante si è riservato di valutare anche eventuali proposte che potrebbero pervenire da università e centri di ricerca. http://www.lastampa.it/2012/12/18/tecnologia/garante-privacy-presto-piu-trasparenza-sui-cookie-cNOTonjzRG4bIa7qA2bSOJ/pagina.html

Quando la violazione della privacy comporta il risarcimento del danno: Cassazione 28.05.2012 n.8451

Gli elementi necessari per ottenere il risarcimento del danno in caso di violazione del diritto alla risarvetezza o del diritto alla privacy sono quelli propri di ogni illecito civile: il fatto illecito, l'evento o la conseguenza dannosa e il rapporto o nesso di causalità tra fatto ed evento dannoso. Spesso si sente parlare di risarcimento del danno per violazione del diritto alla privacy. Solo al fine di inquadrare meglio il caso analizzato dalla Cassazione è opportuno ricordare che il campo del diritto alla privacy o alla riservatezza è molto ampio spazia dalla classica foto scattata al Vip fino a giungere al trattamento dei dati o notizie personali. La questione esaminata dalla Cassazione tratta di un aspetto particolare della “privacy” o “riservatezza”, infatti riguarda un'ipotesi di illecito trattamento (illecita diffusione) di dati (notizie) personali. Solo al fine di fornire una base normativa più specifica è possibile ricordare che il Decreto Legislativo del 30 giugno 2003 n. 196 denominato “Codice in materia di protezione dei dati personali“ ha regolato la materia. Comunque, indipendentemente dal ramo o aspetto della privacy o della riservatezza che viene violato, difficilmente si spiega o ci si interroga su quali sono i presupposti per poter ottenere un risarcimento. La sentenza della Cassazione del 2012 n. 8451 permette di far luce proprio su tale aspetto, è possibile dire che in primo luogo occorre che sia violata la privacy, intesa come diritto a non divulgare notizie relative ad un determinata persone a terzi estranei, o come nel caso esaminato dalla Cassazione (l'illecita divulgazione di dati personali relativi alla posizione debitoria – creditoria di un determinato soggetto), in particolare nel caso specifico una banca aveva inviato una missiva relativa all'esposizione finaziaria del debitore alla madre di quest'ultimo. Il debitore (figlio) contesta alla banca l’illecito trattamento del suoi dati personali e la violazione del segreto bancario da parte Banca. E, ritenendo che in seguito a questo evento, la madre avuta contezza della esposizione debitoria del figlio, avesse deciso di non procedere più a delle donazioni, dunque, chiedeva alla banca il risarcimento del danno patrimoniale (quantificato nel valore patrimoniale dell'immobile non ricevuto dalla genitrice) e non patrimoniale. Ora, in base alla normativa vigente per risarcire il danno non basta l'esistenza di un fatto (comunicazione illegittima) e la mera esistenza di un evento (revoca della donazione), ma è anche necessario che tra l'evento sia provocato da quel fatto, cioè è necessario che tra l'evento sia legato al fatto dal quello che in termini giuridici viene chiamato “nesso di causalità”. Quando manca il nesso di causalità o il rapporto di causalità (la cui prova dell'esistenza deve essere fornita da colui che ri ritiene danneggiato) non è possibile sostenere che un determinato evento discende e/o è prodotto da un determinato fatto, questo esclude che colui che subisce l'evento possa chiedere il risarcimento del danno all'autore del fatto. Cassazione civ. sez. I del 28 maggio 2012 n.8451 Il tribunale ha osservato, sulla base di una valutazione attenta delle risultanze processuali, che in realta' la mancata stipulazione della donazione dell’appartamento da parte della madre del ricorrente in favore di questi non risultava provato che fosse dovuta alla comunicazione da parte della banca della situazione debitoria del figlio bensi' fosse attribuibile alla mancanza di convinzione della genitrice a stipulare l’atto risultante gia' in epoca antecedente alla comunicazione dei dati da parte della banca. In altri termini la sentenza impugnata ha rilevato la mancanza di prova da parte del ricorrente della esistenza di un nesso di causalita' tra la predetta comunicazione e la decisione della madre di non dar corso alla donazione dell’immobile. Tale argomentazione e' corretta in punto di diritto. Va ricordato, che l’art. 15, comma primo, del d.lgs. n. 196 del 2003 espressamente stabilisce che ‘Chiunque cagiona danno ad altri per effetto del trattamento di dati personali e' tenuto al risarcimento ai sensi dell’articolo 2050 del codice civile’. In applicazione dei criteri stabiliti dal citato articolo 2050 del codice civile in tema di responsabilita' per esercizio di attivita' pericolosa, questa Corte ha ripetutamente affermato che la presunzione di colpa a carico del danneggiante posta dall’art. 2050 cod. civ. presuppone il previo accertamento dell’esistenza del nesso eziologico – la cui prova incombe al danneggiato – tra l’esercizio dell’attivita' e l’evento dannoso, non potendo il soggetto agente essere investito da una presunzione di responsabilita' rispetto ad un evento che non e' ad esso in alcun modo riconducibile. Sotto il diverso profilo della colpa, incombe invece sull’esercente l’attivita' pericolosa l’onere di provare di avere adottato tutte le misure idonee a prevenire il danno (Cass.5080/06; Cass. 19449/08; Cass. 4792/01; Cass. 12307/98). Le censure che il ricorrente muove a tale motivazione in punto di diritto non colgono nel segno. Nel caso di specie non rileva infatti l’inversione dell’onere della prova previsto dall’art. 2050 c.c., secondo cui chi cagiona un danno nell’esercizio di una attivita' pericolosa e' tenuto a risarcire i danni se non prova di avere adottato tutte le misure necessarie a risarcire il danno, poiche' non e' stato su tale elemento che il Tribunale ha fondato la propria decisione, ma, come detto, sulla mancanza di nesso di causalita' tra il comportamento illecito e l’evento dannoso, in relazione al quale non si rinviene alcuna esplicita censura in punto di diritto. Per lo stesso motivo e' del tutto priva di rilevanza la censura che si riferisce alla esistenza del danno in re ipsa, non essendosi anche in tal caso il Tribunale pronunciato in alcun modo sulla inesistenza del danno ne' sulla prova del suo ammontare. Anche il secondo motivo, con cui si la ritenuta insussistenza del nesso di causalita' tra la comunicazione della banca e la mancata stipula della donazione, e' inammissibile. Il Tribunale, come gia' rilevato, ha ritenuto l’insussistenza del predetto nesso sulla base di una valutazione attenta delle risultanze processuali, In particolare, ha accertato la mancanza di convinzione della genitrice a stipulare l’atto risultante gia' in epoca antecedente alla comunicazione dei dati da parte della banca. A tale proposito il Tribunale ha acclarato, tramite la deposizione del commercialista della madre del ricorrente e la lettera inviata dal primo a quest’ultima in data 14.3.2006, che, a fronte della urgenza di stipulare l’atto prima delle elezioni politiche dell’aprile 2006, a seguito delle quali sarebbe stato prevedibile che le donazioni tra genitori e figli sarebbero state sottoposte nuovamente a tassazione, ed alla data gia' fissata per la stipula innanzi al notaio, la signora G. aveva ritenuto di non dar corso alla vicenda. Da tale circostanza ha desunto che quest’ultima non aveva maturato alcuna decisione in proposito onde non poteva ritenersi che la comunicazione della banca della situazione debitoria del figlio l’avesse dissuasa da una decisione ormai presa. Trattasi di una valutazione in punto di fatto logicamente argomentata e basata su elementi obiettivi di giudizio acquisiti dall’attivita' istruttoria e come tale non censurabile in sede di legittimita'. Il ricorrente censura tale motivazione affermando che la stessa era basata su un esame parziale degli atti e che da una valutazione completa degli stessi, e, in particolare, delle lettere della signora G. del 6 settembre 2006 e del 18 agosto 2007 nonche' dalle sue stesse dichiarazioni, sarebbe emerso con tutta chiarezza che in realta' fu proprio la comunicazione della Banca a far cambiare idea alla signora G. Sul punto e' appena il caso di rammentare che l’onere di adeguatezza della motivazione non comporta che il giudice del merito debba occuparsi di tutte le allegazioni della parte, ne1 che egli debba prendere in esame, al fine di confutarle o condividerle, tutte le argomentazioni da questa svolte. È, infatti, sufficiente che il giudice dell’impugnazione esponga, anche in maniera concisa, gli elementi posti a fondamento della decisione e le ragioni del suo convincimento, cosi' da doversi ritenere implicitamente rigettate tutte le argomentazioni incompatibili con esse e disattesi, per implicito, i rilievi e le tesi i quali, se pure non espressamente esaminati, siano incompatibili con la conclusione affermata e con l’iter argomentativo svolto per affermarla (Cass., n. 696 del 2002; n. 10569 del 2001; n. 13342 del 1999); e' cioe' sufficiente il riferimento alle ragioni in fatto ed in diritto ritenute idonee a giustificare la soluzione adottata, (Cass. n. 9670 del 2003; n. 2078 del 1998). Nel caso di specie pertanto, il tribunale ha correttamente selezionato gli elementi ritenuti rilevanti ai fini del decidere ed in base ad essi ha argomentato la propria decisione. Le censure che il ricorrente propone a tale motivazione tendono in realta' a sollecitare, contra ius e cercando di superare i limiti istituzionali del giudizio di legittimita', un nuovo giudizio di merito, in contrasto con il fermo principio di questa Corte secondo cui il giudizio di legittimita' non e' un giudizio di merito nel quale possano sottoporsi alla attenzione dei giudici della Corte di Cassazione elementi di fatto gia' considerati dai giudici del merito, al fine di pervenire ad un diverso apprezzamento dei medesimi (cfr. Cass.n, 12984 del 2006; Cass., 14/3/2006, n. 5443). Resta da dire della censura relativa al mancato riconoscimento del danno non patrimoniale. Tale censura e' infondata e per certi versi inammissibile in base alle stesse argomentazioni espresse nell’esame del primo motivo del ricorso. È infatti evidente che, se non esiste il nesso di causalita' tra il fatto illecito e l’evento dannoso, tale circostanza vale sia in riferimento al danno patrimoniale che a quello non patrimoniale, come correttamente affermato dal tribunale. In tal senso le censure del ricorrente non colgono la citata ratio decidendi, limitandosi ad affermare la sussistenza di elementi comprovanti il danno non patrimoniale. http://www.fanpage.it/quando-la-violazione-della-privacy-comporta-il-risarcimento-del-danno-cassazione-28-05-2012-n-8451/