Violazione della Privacy - Responsabilità civile e penale


Aspetti di  responsabilità penale (D.LGS. 196/2003)
Così recita l’art. 169 del TESTO UNICO PRIVACY :
Omessa adozione di misure necessarie alla sicurezza dei dati:
1. Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo 33 è punito con l'arresto sino a due anni o con l'ammenda da diecimila euro a cinquantamila euro.
2. All'autore del reato, all'atto dell'accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l'oggettiva difficoltà dell'adempimento e comunque non superiore a sei mesi.Nei sessanta giorni successivi allo scadere del termine, se risulta l'adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo dell'ammenda stabilita per la contravvenzione. L'adempimento e il pagamento estinguono il reato.
L'organo che impartisce la prescrizione e il pubblico ministero provvedono nei modi di cui agli articoli 21, 22, 23 e 24 del decreto legislativo 19 dicembre 1994, n. 758, e successive modificazioni, in quanto applicabili. 


Aspetti di  responsabilità civile Art. 2050 c.c.
Il D.LGS. 196/2003 qualifica il trattamento dei dati come attività pericolosa, art. 2050 c.c.
E ' prevista pertanto una inversione dell'onere della prova nell'azione risarcitoria ex articolo 2043 c.c.: l'operatore è tenuto a fornire la prova di avere applicato le misure tecniche di sicurezza più idonee a garantire la sicurezza dei dati detenuti.
A livello pratico questo significa che l’azienda, il professionista, la PA ecc., per evitare ogni responsabilità deve dimostrare di aver adottato "tutte le misure idonee ad evitare il danno", e quindi di aver messo in essere tutte le misure di sicurezza al meglio possibile (la miglior tecnologia disponibile). Il che non è affatto facile da dimostrare...
Art. 2049 c.c.
In generale poi a carico dell'azienda risulta comunque la responsabilità ex art 2049 c.c., ovvero la responsabilità prevista in capo a padroni e committenti.
L’art. 2049 difatti recita: "padroni e committenti sono responsabili per i danni arrecati dal fatto illecito dei loro domestici e commessi nell'esercizio delle incombenze cui sono adibiti".
Legge n. 547/1993
Crimini informatici commessi da dipendenti ed addebitabili all’azienda
La legge 547/93 ha introdotto nel nostro ordinamento vari "crimini informatici", ovvero l’attentato a impianti informatici di pubblica utilità, falsificazione di documenti informatici, accesso abusivo ad un sistema informatico o telematico, detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici, diffusione di programmi diretti a danneggiare o interrompere un sistema informatico, violazione di corrispondenza telematica, intercettazione di e-mail, danneggiamento di sistemi informatici o telematici (...).
Il datore di lavoro rischia di essere ritenuto in concorso con il dipendente a lui subordinato che ha commesso il crimine informatico, per non aver posto in essere tutte le misure di prevenzione e controllo idonee a garantire la sicurezza del trattamento dei dati.
La mancata adozione di tutte le misure idonee a ridurre al minimo i rischi viene considerata difatti un agevolazione alla commissione del crimine.
 
Violazione AmministrativaSanzione
Art. 161 Omessa informativaOmessa informativa in caso di dati sensibili o giudiziari o di trattamenti che presentino rischi specificiDa 3.000 a 18.000 euroDa 5.000 a 30.000 euro
Art. 162 Cessione dei datiDa 5.000 a 30.000 euro
Art. 163 Omessa o incompleta informativa al GaranteDa 10.000 a 60.000 euro
Art. 164 Mancata esibizione di informazioni o documenti richiesti dal GaranteDa 4.000 a 24.000 euro
  
Illecito PenaleSanzione
Art. 167 Trattamento illecito di datiReclusione da 6 mesi a 3 anni
Art. 168 False dichiarazioni e notificazioni al GaranteReclusione da 6 mesi a 3 anni
Art. 169 Mancata adozione delle misure di sicurezzaArresto sino a 2 anni o ammenda da 10.000 a 50.000 euro
Art. 170 Inosservanza di provvedimenti del GaranteReclusione da 3 mesi a 2 anni