Mancano meno di sette mesi all’applicabilità del Regolamento Europeo c.d. GDPR ed è grande il fermento attorno alla nuova figura del DPO (Data Protection Officer).
Tuttavia, sono molto poche le informazioni sul quadro sanzionatorio penale preesistente e riferibile a tale nuova figura professionale e a quelle ad essa collegate.
Facciamo chiarezza.
Innanzitutto, quali sono le fattispecie di reato attualmente previste e che qui interessano?
Le fattispecie criminose ad assumere maggior rilievo sono: il reato di accesso abusivo ad un sistema informatico o telematico (art. 615 ter Codice Penale[1]), il reato di detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 615 quater Codice Penale[2]), nonché i reati previsti dal c.d. Codice della Privacy (in particolare gli artt. 167[3], 168[4], 169[5] e 170[6] del D.Lgs. 30 giugno 2003, n. 196Codice in materia di protezione dei dati personali – c.d. Codice Privacy).
La condotta tipica sanzionata dall’art. 615 ter c.p. consiste, alternativamente, nell’introdursi abusivamente, e cioè senza il consenso del titolare dello jus excludendi (rectius Titolare/Responsabile del trattamento dei dati), in un sistema protetto, ovvero nel permanervi invito domino ma per finalità estranee da quelle consentite.
Vale la pena precisare che “non hanno rilievo, […] per la configurazione del reato, gli scopi e le finalità che soggettivamente hanno motivato l’ingresso al sistema” (Cass. S.U., 27 ottobre 2011, n. 4694).
Il reato di cui all’art. 615 quater c.p. è un reato di pericolo astratto che si consuma per il fatto di essere venuti a conoscenza degli strumenti descritti nella norma (“codici, parole chiave o altri mezzi idonei all’accesso ad un sistema informatico o telematico, protetto da misure di sicurezza”) o di aver ceduto informazioni utili ad operare accessi a prescindere dal danno o dal turbamento effettivo del sistema; in altre parole, la norma mira a punire e reprimere le condotte prodromiche alla realizzazione del delitto di accesso abusivo ad un sistema informatico o telematico protetto da misure di sicurezza.
Qualora, invece, si dovesse verificare una fuga di informazioni protette, o siano state poste in essere azioni tali da configurarne il pericolo, sempre che tali condotte siano volte all’ottenimento di un profitto (in senso ampio), si incapperà nella violazione dell’art. 167 D.Lgs. 30 giugno 2003, n. 196 (trattamento illecito dei dati).
Il trattamento dei dati personali in violazione degli articoli 18 (trattamenti effettuati da soggetti pubblici: si verifica laddove venga svolto un trattamento di dati personali non necessario al raggiungimento di obiettivi di pubblico interesse o quando, pur nell’ambito del perseguimento di funzioni istituzionali dell’Ente, non siano rispettati i limiti previsti da atti normativi per il trattamento medesimo), 19 (trattamenti di dati diversi da quelli sensibili e giudiziari: si compie allorché vengono comunicati ad Enti pubblici dati personali comuni al di fuori dei casi previsti da norme di legge o di regolamento o senza che la comunicazione stessa sia necessaria per lo svolgimento delle funzioni istituzionali proprie dell’Ente. In caso di assenza di norme di legge o di regolamento, prima di iniziare la comunicazione dei dati occorre effettuare l’apposita comunicazione al Garante.
L’articolo in esame richiede sotto il profilo soggettivo non il semplice dolo generico, ma il dolo specifico da parte di soggetti privati ed enti pubblici economici consistente nell’intenzione di fare conseguire al fatto di reato un profitto, per sé od altri, o un danno a terzi. La condanna per tale reato potrà essere inflitta solo ove si dimostri che il soggetto agente: A) sia consapevole di avere travalicato le funzioni istituzionali dell’Ente nel trattamento dei dati; B) agisca con la precisa intenzione di ricavare un profitto o cagionare un danno a terzi. Se manca uno di questi elementi il fatto potrà rilevare solo sotto il profilo civilistico. Così come, la semplice colpa dell’agente, derivante da negligenza, imperizia o imprudenza, non avrà rilievo sotto il profilo penale. Va rilevato che il Codice ha subordinato la punibilità di questi reati al verificarsi di un danno), 23 (consenso dell’interessato per il trattamento dei dati ), 123 (dati relativi al traffico trattati dal fornitore di una rete pubblica di comunicazione), 126 (dati relativi all’ubicazione dell’utente di una rete di comunicazione), 130 (comunicazioni indesiderate) o nell’applicazione dell’art. 129 (elenchi abbonati), è punito con la reclusione sino a due anni, qualora il fatto sia commesso al fine di trarne profitto o di recare ad altri un danno, e sempre che dal fatto stessi derivi nocumento, mentre è punito con la reclusione da sei mesi a tre anni se il fatto, commesso con le predette finalità, consiste nella comunicazione o diffusione dei dati.
Il comma 2 dell’art. 167 prevede la pena della reclusione da uno a quattro anni nel caso in cui taluno, al fine di trarne profitto o di recare ad altri un danno, e sempre che ne derivi nocumento, proceda al trattamento dei dati in violazione di quanto previsto da una pluralità di disposizioni espressamente indicate, tra le quali quelle relative ai dati sensibili (art. 20), ai dati giudiziari (art. 21), ai dati relativi allo stato di salute (art. 22, comma 8).
Il reato di accesso abusivo a sistemi informatici ed il reato di illecito trattamento dei dati, benché quest’ultimo preveda una clausola di riserva espressa in apertura della norma, possono pacificamente concorrere (cfr. Cass. Pen. Sez. V, 05/12/2016, n. 11994).
Veniamo ora alla seconda domanda: chi sarà considerato penalmente responsabile nel caso in cui si dovessero verificare le situazioni suddette?
Indubbiamente l’autore materiale delle condotte (che potrebbe essere anche un dipendente e non necessariamente un cracker esperto di sniffing).
Ma sono ravvisabili profili di responsabilità anche in capo al DPO ed in capo al Titolare/Responsabile del trattamento dei dati?
Per una risposta, in assenza di autonome previsioni normative, potrebbe essere utile confrontare il GDPR e la figura del DPO con quelle già esistenti in altri ambiti specifici come il Responsabile del Servizio di Prevenzione e Protezione (R.S.P.P.) previsto dal D. lgs. 81/2008 e l’Organismo di Vigilanza (OdV) previsto dal D. lgs. 231/01.
Ai sensi dell’art. 39 GDPR[7], il Responsabile della Protezione dei Dati (DPO), al pari dell’OdV e del R.S.P.P., non parrebbe avere un obbligo penalmente rilevante di effettuare controlli sulla effettiva applicazione dei protocolli stabiliti e, anzi, parrebbe che il ruolo affidatogli sia di consulenza tecnica specializzata non assimilabile ad un centro autonomo di responsabilità; in sostanza, egli parrebbe essere privo di quella “posizione di garanzia” che il legislatore incardina in capo al Titolare/Responsabile del trattamento, al dirigente e al preposto, nell’ambito delle loro rispettive attribuzioni. Tuttavia, ciò non toglie che in capo al DPO possa rinvenirsi un onere di attivazione ed un dovere di impulso anche rispetto al Titolare/Responsabile del trattamento che si riveli inerte (e che pertanto violi il disposto di cui all’art. 38 GDPR[8]).
Ai sensi dell’art. 39, comma 1, lettera b) del GDPR, il DPO è anche incaricato di attribuire le responsabilità, sensibilizzare e formare il personale che partecipa ai trattamenti (dei dati) e alle connesse attività di controllo.
Sarà pertanto proprio il DPO, di concerto con il Titolare/Responsabile del trattamento (originario soggetto ad assumere una posizione di garanzia in ambito di protezione dei dati), a stabilire chi e in quale misura risponderà del buon andamento delle procedure interne di gestione dei dati.
I responsabili così individuati avranno lo specifico compito di “impedire il verificarsi dell’evento” dannoso o pericoloso e risponderanno in particolare dei reati suddetti ai sensi dell’art. 40 comma 2 c.p.
Nel caso in cui dovesse verificarsi un evento penalmente rilevante, il responsabile di una singola o più procedure interne (nominato dal DPO) ed il Titolare/Responsabile del trattamento dei dati andranno esenti da responsabilità soltanto qualora dimostrino di aver correttamente adempiuto ai propri doveri e di aver fatto quanto in loro potere per impedire il verificarsi dell’evento dannoso o pericoloso.
Viene da sé che, tra le condotte da porre in essere per sgravarsi da responsabilità, vi sono il pieno rispetto del Regolamento UE 679/2016 (c.d. GDPR), la concreta attuazione di quanto ivi stabilito, nonché il rispetto delle procedure delineate dal DPO.
Occorre tuttavia sottolineare che un profilo di responsabilità penale in capo al DPO permane nel caso in cui sia proprio la condotta del DPO a determinare l’evento dannoso o pericoloso (nesso di causa). Pertanto, nel caso in cui il DPO abbia violato i compiti/doveri a lui imposti dal GDPR e abbia indotto il Titolare/Responsabile del trattamento dei dati ad omettere l’adozione di una doverosa misura organizzativa/prevenzionale, lo stesso potrebbe risultare responsabile (assieme al Titolare/Responsabile del trattamento) dell’evento derivato, essendo a lui (astrattamente) ascrivibile una responsabilità che potrebbe assumere, in certi casi, addirittura un carattere di esclusività.
Infine, rammentando il disposto dell’art. 39, comma 1, lettere d) ed e) del GDPR, parrebbe residuare in capo al DPO anche una responsabilità per quanto concerne la correttezza delle comunicazioni e notificazioni effettuate al Garante (Art. 168D.Lgs. 30 giugno 2003, n. 196), salvo dimostrare un affidamento incolpevolmente sulle informazioni ricevute dai vertici aziendali.
[1] Art. 615 ter c.p.:<<Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo, è punito con la reclusione fino a tre anni.
La pena è della reclusione da uno a cinque anni:
1) se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri, o con violazione dei doveri inerenti alla funzione o al servizio, o da chi esercita anche abusivamente la professione di investigatore privato, o con abuso della qualità di operatore del sistema;
2) se il colpevole per commettere il fatto usa violenza sulle cose o alle persone, ovvero se è palesemente armato;
3) se dal fatto deriva la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti.
Qualora i fatti di cui ai commi primo e secondo riguardino sistemi informatici o telematici di interesse militare o relativi all’ordine pubblico o alla sicurezza pubblica o alla sanità o alla protezione civile o comunque di interesse pubblico, la pena è, rispettivamente, della reclusione da uno a cinque anni e da tre a otto anni.
Nel caso previsto dal primo comma il delitto è punibile a querela della persona offesa; negli altri casi si procede d’ufficio>>.
[2] Art. 615 quater c.p.: <<Chiunque, al fine di procurare a sé o ad altri un profitto o di arrecare ad altri un danno, abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all’accesso ad un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce indicazioni o istruzioni idonee al predetto scopo, è punito con la reclusione sino a un anno e con la multa sino a cinquemilacentosessantaquattro euro.
La pena è della reclusione da uno a due anni e della multa da cinquemilacentosessantaquattro euro a diecimilatrecentoventinove euro se ricorre taluna delle circostanze di cui ai numeri 1) e 2) del quarto comma dell’articolo 617quater>>.
[3] Art. 167 D.Lgs. 30 giugno 2003, n. 196: <<Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell’articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.
Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni>>.
[4] Art. 168 D.Lgs. 30 giugno 2003, n. 196: <<Chiunque, nella notificazione di cui all’articolo 37 o in comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni>>
[5] Art. 169 D.Lgs. 30 giugno 2003, n. 196:<< Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall’articolo 33 è punito con l’arresto sino a due anni.
All’autore del reato, all’atto dell’accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l’oggettiva difficoltà dell’adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l’adempimento alla prescrizione, l’autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo della sanzione stabilita per la violazione amministrativa. L’adempimento e il pagamento estinguono il reato. L’organo che impartisce la prescrizione e il pubblico ministero provvedono nei modi di cui agli articoli 21, 22, 23 e 24 del decreto legislativo 19 dicembre 1994, n. 758, e successive modificazioni, in quanto applicabili>>. Trattasi di reato contravvenzionale punibile pertanto anche a titolo di colpa. Le condotte riparatorie poste in essere nei termini pocanzi richiamati estinguono il reato.
[6] Art. 170 D.Lgs. 30 giugno 2003, n. 196: << 1. Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi degli articoli 26, comma 2, 90, 150, commi 1 e 2, e 143, comma 1, lettera c), è punito con la reclusione da tre mesi a due anni>>
[7] Art. 39 GDPR: “1. Il responsabile della protezione dei dati è incaricato almeno dei seguenti compiti:
a) informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal presente regolamento nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati;
b) sorvegliare l’osservanza del presente regolamento, di altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati nonché delle politiche del titolare del trattamento o del responsabile del trattamento in materia di protezione dei dati personali, compresi l’attribuzione delle responsabilità, la sensibilizzazione e la formazione del personale che partecipa ai trattamenti e alle connesse attività di controllo;
c) fornire, se richiesto, un parere in merito alla valutazione d’impatto sulla protezione dei dati e sorvegliarne lo svolgimento ai sensi dell’articolo 35;
d) cooperare con l’autorità di controllo; e
e) fungere da punto di contatto per l’autorità di controllo per questioni connesse al trattamento, tra cui la consultazione preventiva di cui all’articolo 36, ed effettuare, se del caso, consultazioni relativamente a qualunque altra questione.
Nell’eseguire i propri compiti il responsabile della protezione dei dati considera debitamente i rischi inerenti al trattamento, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del medesimo”.
[8]Art. 38 GDPR: “1. Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali.
Il titolare del trattamento e il responsabile del trattamento sostengono il responsabile della protezione dei dati nell’esecuzione dei compiti di cui all’articolo 39 fornendogli le risorse necessarie per assolvere tali compiti e accedere ai dati personali e ai trattamenti e per mantenere la propria conoscenza specialistica.
Il titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati non riceva alcuna istruzione per quanto riguarda l’esecuzione di tali compiti. Il responsabile della protezione dei dati non è rimosso o penalizzato dal titolare del trattamento o dal responsabile del trattamento per l’adempimento dei propri compiti. Il responsabile della protezione dei dati riferisce direttamente al vertice gerarchico del titolare del trattamento o del responsabile del trattamento.
4 Gli interessati possono contattare il responsabile della protezione dei dati per tutte le questioni relative al trattamento dei loro dati personali e all’esercizio dei loro diritti derivanti dal presente regolamento.
Il responsabile della protezione dei dati è tenuto al segreto o alla riservatezza in merito all’adempimento dei propri compiti, in conformità del diritto dell’Unione o degli Stati membri.
Il responsabile della protezione dei dati può svolgere altri compiti e funzioni. Il titolare del trattamento o il responsabile del trattamento si assicura che tali compiti e funzioni non diano adito a un conflitto di interessi.”
