privacy

Gli utilizzi illeciti dei dati personali

In questo articolo affronteremo un tema molto delicato, ossia quello del trattamento dei dati personali senza consenso.

Cosa è un dato personale?

Il RGPD dà una definizione amplissima di dato personale (art. 4), come “qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;”

In quanto oggetto di diritti (art 7 del dlgs 196/2003) , il dato personale è anche un bene giuridico ai sensi dell’art 810 cod. civ. Come i diritti della personalità sono inalienabili, ma cedibili (non è possibile cedere la propria immagine, ma è possibile cedere l’utilizzo della propria immagine), anche i diritti che hanno per oggetto i dati sensibili sono disponibili: si può consentire all’utilizzo dei dati personali da parte di altri, per determinate finalità.

La definizione dell’art. 4, per la sua ampiezza, comprende anche i metadati: dati, non direttamente forniti dall’interessato, ma che il titolare del trattamento ricava dai dati forniti dall’interessato

 

Quando c’è il trattamento illecito dei dati personali?

Va premesso che, in genere, anche secondo il nuovo Regolamento UE n. 2016/679 in materia di trattamento dei dati personali, qualsiasi trattamento non supportato da una base giuridica (tra quelle espressamente individuate nello stesso Regolamento), si configura come trattamento illecito, e quindi espone chi effettua il trattamento, ad una sanzione da parte dell’Autorità Garante e a una richiesta di risarcimento dei danni, in favore della persona a cui il dato personale si riferisce.

Ma non sempre questo tipo di trattamento illecito è posto in essere in mala fede, ma magari “semplicemente” per colpa, imprudenza, imperizia, negligenza. Nemmeno per gli esperti del settore è sempre immediato capire se un trattamento dei dati richiede o meno il consenso dell’interessato (cioè della persona fisica a cui i dati si riferiscono).

Ci sono però alcuni casi, più gravi, di commissioni di veri e propri reati tramite il trattamento dei dati personali.

 

Trattamento illecito dei dati personali: quali sanzioni?

Ma quali sono le sanzioni in caso di trattamento illecito dei dati personali?

L’art. 167 del Codice Privacy recitava così: “salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell’articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni.

Come si vede, in questo caso è richiesto un qualcosa di più della semplice negligenza, imperizia o imprudenza nel trattamento di un dato personale: è richiesto il dolo specifico del profitto personale o danno altrui, ed è prevista la condizione di punibilità del nocumento. Se questi tre elementi non si verificano, non è possibile parlare di reato.

Per altre ipotesi non sono previsti reati specifici, almeno allo stato attuale, ma il nostro ordinamento penale le riconduce, talvolta, alle norme già esistenti che puniscono i reati “tradizionali”.

 

Il furto d’identità

Nel trattamento illecito dei dati personali c’è anche il furto di identità, ovvero  l’utilizzo dei dati personali da parte di chi, pur non essendone titolare, si qualifica come tale. Il furto di identità digitale nel nostro sistema non è ancora sanzionato con una apposita fattispecie penale, ma comunque lo si riconduce all’art. 494 c.p. che punisce la sostituzione di persona, oppure, come aggravante del delitto di frode informatica, all’art 640 ter c.p.

Il phishing è un tipo di frode che consiste nel “pescare” tramite il massiccio invio di false email che sembrano provenire da siti web noti (ma in realtà provengono da siti falsi, creati ad hoc in maniera pressoché identica a quelli di banche, assicurazioni, importanti e-commerce), la vittima che viene convinta a fornire informazioni personali o relative ad account, numeri di carta di credito.

Il Ceo Fraud è un’altra truffa, spesso ai danni di piccole o medie imprese. Il truffatore si finge amministratore di queste aziende e, confidando nelle scarse competenze dei dipendenti del reparto finanziario dell’azienda attaccata, richiede trasferimenti di somme di denaro.

Se ritieni di aver subìto un trattamento non lecito dei tuoi dati personali, contatta il nostro studio. Sapremo fornirti una consulenza adeguata alla risoluzione del problema.

Il nostro Studio Legale ha sede in Pistoia, alla Piazza Garibaldi, 5. Offriamo consulenza ed assistenza legale in tutta Italia, in particolare presso i Tribunali di Pistoia, Prato, Lucca e Firenze Potete contattarci al seguente link: https://www.btstudiolegale.it/contatti/