LE SANZIONI NEL NUOVO CODICE DELLA PRIVACY D

LE SANZIONI NEL NUOVO CODICE DELLA PRIVACY (D. Lgs. 196/2003) Illeciti Penali Violazioni Amministrative Responsabilità Civile

D. Lgs. 196/2003/EN 45012/ISO 9000 n n La certificazione di un sistema di qualità di un fornitore è uno dei principali mezzi che permettono di dare confidenza che il fornitore certificato sia capace di fornire prodotti o servizi conformi ai requisiti specificati; La norma EN 45012 del febbraio 1998 specifica quali debbano essere i requisiti il cui rispetto è diretto ad assicurare l’Accreditamento degli Organismi di Certificazione che gestiscano gli Audit di terza parte in modo affidabile.

D. Lgs. 196/2003/EN 45012/ISO 9000 n n I requisiti contenuti nella norma in oggetto sono da considerare come generali per ogni Organismo che gestisce programmi di certificazione di sistemi di gestione (qualità, Salute e Sicurezza sul Lavoro, Ambiente, Security). Di conseguenza, i requisiti generali a norma dell’articolo 1. 1. dell’ EN 45012, sono essenziali affinché un Organismo di Certificazione o di Ispezione possa essere riconosciuto affidabile e competente nell’eseguire tali attività.

D. Lgs. 196/2003/EN 45012/ISO 9000 n n Il 1° comma dell’articolo 2. 1. 9. della norma EN 45012 recita: “…. l’organismo di certificazione deve attuare adeguate disposizioni, conformi alle leggi in vigore, per assicurare la salvaguardia della riservatezza delle informazioni ottenute nel corso delle proprie attività …. . ” Il 2° comma della norma in oggetto recita: “… le informazioni …. Non devono essere divulgate a terzi senza il consenso scritto del fornitore …”.

D. Lgs. 196/2003/EN 45012/ISO 9000 n Vale la pena di prendere in esame anche i § 2. 2. 4 e 3. 1. 2. 2, esercizio lasciato all’uditore, ove si ribadiscono ancora i concetti in parola: dare confidenza nella tutela della riservatezza delle informazioni delle Organizzazioni Clienti, anche per quel che concerne le attività date in outsourcing …

D. Lgs. 196/2003/EN 45012/ISO 9000 n Di conseguenza anche gli organismi di certificazione e di Ispezione devono sottostare, per espresso richiamo della legge, alle nuove disposizioni in materia di privacy contenute nel D. Lgs. 196/2003 (Codice della privacy).

D. Lgs. 196/2003/EN 45012/ISO 9000 Un altro aspetto critico è che il codice sulla Privacy è da considerare tra il “set” di norme imperative che debbono essere prese in considerazione quando si valuta un Sistema di gestione per la Qualità.

D. Lgs. 196/2003/EN 45012/ISO 9000 Infatti, non si può ignorare che la tutela della Privacy, per un Cliente di un’Organizzazione, è da inserire tra i requisiti considerati “impliciti”, quindi tra quei requisiti che sono da considerare come manifestazione della normale diligenza nell’espletamento delle attività di ogni Organizzazione.

D. Lgs. 196/2003/EN 45012/ISO 9000 Per pretendere ed attendersi legittimamente il rispetto di questi requisiti, non occorre che vi siano delle clausole contrattuali … c’è una Legge dello Stato!!!

D. Lgs. 196/2003/EN 45012/ISO 9000 Pertanto, per un Organismo di Certificazione, in particolare per i Sistema di gestione per la Qualità, non valutare la corretta gestione di tale previsione di legge, significa operare in modo colposo (negligenza, imperizia, imprudenza) … sempre che non si dimostri addirittura la volontarietà della fattispecie e quindi il dolo …

LE SANZIONI NEL NUOVO CODICE DELLA PRIVACY (D. Lgs. 196/2003) n n n L’impianto sanzionatorio del nuovo codice sulla privacy é simile a quello previsto dalla legge 675/1996; Con il nuovo Codice si è avuto un potenziamento delle sanzioni amministrative e una riduzione delle norme riguardanti l’illecito penale; Le norme in oggetto sono contenute nel titolo III della parte III del Codice.

ILLECITI PENALI § Motivi della scelta della norma penale: § Rilevanza costituzionale degli interessi coinvolti; § Necessità di garantire omogeneità a livello comunitario.

ILLECITI PENALI § Articoli di riferimento dal 167 a 172 del Codice – contenuti al capo II del titolo III della parte III e si tratta di: § Reati di scopo § Reati propri, in alcuni casi si tratta di reati propri ed esclusivi § Finalità del legislatore: tutelare la funzione del Garante (fase istruttoria e decisoria)

ILLECITI PENALI § Nel nuovo Codice sono stati previsti: § Tre delitti (articoli 167, 168, 170) § Due contravvenzioni (articoli 169, 171) § Una pena accessoria (articolo 172) § Il legislatore ha utilizzato il metodo del rinvio ad altre norme dello stesso Codice e anche a leggi differenti (es. legge 300/1970 richiamata dall’articolo 171)

ILLECITI PENALI DELITTI § I delitti sono trattati agli articoli: § 167 (Trattamento illecito di dati); § 168 (Falsità nelle dichiarazioni e notificazioni al Garante); § 170 (Inosservanza di provvedimenti del Garante).

ILLECITI PENALI DELITTI § Tutti i delitti contengono una “clausola di salvezza” – “salvo che il fatto costituisca più grave reato”; § Pena edittale minima; § Non è permesso l’utilizzo delle misure cautelari e di strumenti di investigazione come ad esempio le intercettazioni telefoniche.

ILLECITI PENALI DELITTI § A livello pratico si avrà sempre una duplice incriminazione. § Esempio: connubio tra l’articolo 168 rubricato “Falsità nelle dichiarazioni e notificazioni al Garante” e uno dei reati penali ad esso attinenti come il delitto di truffa (articolo 640) o di appropriazione indebita (articolo 646).

ILLECITI PENALI DELITTI § Articolo 167 “Trattamento illecito di dati” § 1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 126 e 130, ovvero in applicazione dell‘Articolo 129, é punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.

ILLECITI PENALI DELITTI § Articolo 167 “Trattamento illecito di dati” § 2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, é punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni.

ILLECITI PENALI DELITTI § Articolo 167 “Trattamento illecito di dati” § Il legislatore ha riprodotto l’articolo 35 della legge 675/96; § Unica differenza: sono state rese punibili le condotte ivi richiamate “solo se dal fatto derivi nocumento”. Nella legge 675/96 il nocumento costituiva solo un’aggravante. Oggi il nocumento da aggravante è stato elevato a elemento della fattispecie di base.

ILLECITI PENALI DELITTI § Articolo 167 “Trattamento illecito di dati” § È un reato proprio nonostante sia stato inserito il termine “chiunque”; § Consumazione del reato: coincide con il momento di attivazione dell’operazione idonea ad incidere sui dati personali. § Trattamento sanzionatorio lieve: sarà quasi impossibile la detenzione.

ILLECITI PENALI DELITTI § Articolo 167 “Trattamento illecito di dati” § Massime della Giurisprudenza: 1. Trib. Pescara (sent. 12/10/2000) non risponde del reato ex art 167 il giornalista che rivela dati relativi alla salute o sfera sessuale di un soggetto se hanno riguardo a fatti di interesse pubblico e abbiano la caratteristica della veridicità della notizia e l’essenzialità dell’informazione; 2. Pret. Palermo (sent. 4/02/1999) costituisce trattamento illecito di dati l’archiviazione di dati raccolti in una banca dati elettronica per l’invio di lettere promozionali ai clienti senza il loro consenso.

ILLECITI PENALI DELITTI § Articolo 168 “Falsità nelle dichiarazioni e notificazioni al Garante” 1. Chiunque, nella notificazione di cui all'articolo 37 o in comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, é punito, salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni.

ILLECITI PENALI DELITTI § Articolo 168 “Falsità nelle dichiarazioni e notificazioni al Garante” § La norma disciplina una fattispecie introdotta dal d. lgs. 467/2001 che ha sanzionato anche il mendacio commesso nelle dichiarazioni dovute al Garante non solo ai sensi dell’articolo 37, ma anche dell’articolo 39. § La legge 675/96 sanzionava la mancata comunicazione al Garante.

ILLECITI PENALI DELITTI § Articolo 168 “Falsità nelle dichiarazioni e notificazioni al Garante” § Finalità del legislatore: la disposizione in esame tende a salvaguardare e rafforzare la funzione istruttoria del Garante. § La norma verrà a confliggere con l’articolo 483 c. p. “Falsità ideologica commessa dal privato in atto pubblico”.

ILLECITI PENALI DELITTI § Articolo 170 “Inosservanza di provvedimenti del Garante” § 1. Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi degli articoli 26, comma 2, 90, 150, commi 1 e 2, e 143, comma 1, lettera c), é punito con la reclusione da tre mesi a due anni.

ILLECITI PENALI DELITTI § Articolo 170 “Inosservanza di provvedimenti del Garante” § La ratio della norma deriva dall’inapplicabilità dell’articolo 650 c. p. (Inosservanza dei provvedimenti dell’Autorità), che circoscrive il suo raggio d’azione ai provvedimenti legalmente dati per ragioni di giustizia, sicurezza pubblica, ordine pubblico ed igiene; § Si tratta di un reato proprio.

ILLECITI PENALI DELITTI § Articolo 170 “Inosservanza di provvedimenti del Garante” § L’articolo in oggetto richiama: § L’articolo 26 (2° comma) che tratta delle garanzie per il trattamento dei dati sensibili (autorizzazione che deve essere richiesta al Garante affinché il titolare possa trattare dati sensibili); § L’articolo 90 che si occupa del trattamento di dati genetici: materia estremamente delicata in ragione dell’importanza della tutela e della protezione dell’identità personale.

ILLECITI PENALI CONTRAVVENZIONI § Articolo 169 “Misure di sicurezza” 1. Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo 33 é punito con l'arresto sino a due anni o con l'ammenda da diecimila euro a cinquantamila euro.

ILLECITI PENALI CONTRAVVENZIONI § Articolo 169 “Misure di sicurezza” 1. Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall'articolo 33 é punito con l'arresto sino a due anni o con l'ammenda da diecimila euro a cinquantamila euro. 2. All'autore del reato, all'atto dell'accertamento o, nei casi complessi, anche con successivo atto del Garante, é impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l'oggettiva difficoltà dell'adempimento e comunque non superiore a sei mesi.

ILLECITI PENALI CONTRAVVENZIONI § Articolo 169 “Misure di sicurezza” § Nei sessanta giorni successivi allo scadere del termine, se risulta l'adempimento alla prescrizione, l'autore del reato é ammesso dal Garante a pagare una somma pari al quarto del massimo dell'ammenda stabilita per la contravvenzione. L'adempimento e il pagamento estinguono il reato. L'organo che impartisce la prescrizione e il pubblico ministero provvedono nei modi di cui agli articoli 21, 22, 23 e 24 del decreto legislativo 19 dicembre 1994, n. 758, e successive modificazioni, in quanto applicabili.

ILLECITI PENALI CONTRAVVENZIONI § “Misure di sicurezza” § Articoli 31 -33 e Allegato B § Nel nuovo Codice è stato confermato il principio per cui le “misure minime” previste dall’articolo 33 del Codice, anche se sono di importanza tale da indurre il legislatore a sanzionare la loro mancata adozione con un a norma penale, sono solo una parte degli accorgimenti obbligatori in materia di sicurezza.

ILLECITI PENALI CONTRAVVENZIONI § “Misure di sicurezza” § Articoli 31 -33 e Allegato B § In materia si distinguono due obblighi: 1. Obbligo generale di ridurre al minimo determinati rischi: resta in vigore, oltre alle cosiddette "misure minime", l’obbligo di adottare ogni altra misura di sicurezza idonea a fronteggiare le predette evenienze, avuto riguardo alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle caratteristiche del trattamento, di cui si devono valutare comunque i rischi (articolo 31); 2. Nell’ambito del predetto obbligo generale, il dovere di adottare in ogni caso le misure minime.

ILLECITI PENALI CONTRAVVENZIONI § “Misure di sicurezza” § Articoli 31 -33 e Allegato B § L’articolo 36 del Codice ha aggiornato le “misure minime” le cui modalità di applicazione sono indicate analiticamente in 29 articoli dell’Allegato B del medesimo Codice; § Le “misure minime” sono diverse a seconda che il trattamento sia effettuato o meno con strumenti elettronici, oppure riguardi dati sensibili o giudiziari.

ILLECITI PENALI CONTRAVVENZIONI § “Misure di sicurezza” § Articoli 31 -33 e Allegato B § Il termine per l’adozione delle “misure minime” è entro il 30 giugno 2004. § È previsto un termine più ampio per l’adeguamento (fino al 1° gennaio 2005) solo se, in caso del tutto particolare, ricorrano obiettive ragioni di natura tecnica.

ILLECITI PENALI CONTRAVVENZIONI § “Misure di sicurezza” § Articoli 31 -33 e Allegato B § Il documento programmatico per la sicurezza (DPS) è una “misura minima” prevista dall’articolo 34 lett. g) e dall’allegato B del Codice; § Anche se non si tratta di una misura nuova il Garante, nel parere del 22 marzo 2004, ha dichiarato che il termine ultimo per la sua redazione, eccezionalmente per questo anno, è non oltre il 30 giugno, a differenza dei prossimi anni in cui il termine improrogabile sarà non oltre il 31 marzo. § Non sarà possibile invocare un differimento al 1° gennaio 2005, in quanto, a differenza delle altre “misure minime”, è una misura da adottare con un documento scritto.

ILLECITI PENALI CONTRAVVENZIONI § “Misure di sicurezza” § Articoli 31 -33 e Allegato B § Il responsabile del trattamento, dovrà riferire nella relazione di accompagnamento a ciascun bilancio di esercizio circa l’avvenuta redazione o aggiornamento del DPS. § Anche questa prescrizione rappresenta una “misura minima” nuova, indicata tra quelle di “tutela e garanzia”.

ILLECITI PENALI CONTRAVVENZIONI § Articolo 169 “Misure di sicurezza” § § Fattispecie estremamente ampia; Nella legge 675/96 era un delitto; Nel 2001 è stato trasformato in contravvenzione; Nel nuovo Codice risulta ancora più debole e difficile da accertare in quanto è collegato alla normativa dell’Allegato B che, per previsione di legge, può essere modificato periodicamente

ILLECITI PENALI CONTRAVVENZIONI § Articolo 169 “Misure di sicurezza” § L’articolo in esame riproduce l’articolo 36 della legge 675/96. § La contravvenzione prevede la pena dell’arresto fino a due anni o l’ammenda da 10. 000 a 50. 000 €, per chiunque omette di adottare le misure minime di sicurezza nel trattamento dei dati.

ILLECITI PENALI CONTRAVVENZIONI § Articolo 169 “Misure di sicurezza” § E’ previsto un procedimento di oblazione potendosi estinguere il reato se: § L’autore del reato provvede alla regolarizzazione in ottemperanza ad un provvedimento del Garante ed entro un termine non superiore a 6 mesi; § Versa una somma pari al quarto del massimo dell’ammenda stabilita (12. 500 €).

ILLECITI PENALI CONTRAVVENZIONI § Articolo 171 “Altre fattispecie” § 1. La violazione delle disposizioni di cui agli articoli 113, comma 1, e 114 é punita con le sanzioni di cui all'articolo 38 della legge 20 maggio 1970, n. 300.

ILLECITI PENALI CONTRAVVENZIONI § Articolo 171 “Altre fattispecie” § 1. La violazione delle disposizioni di cui agli articoli 113, comma 1, e 114 é punita con le sanzioni di cui all'articolo 38 della legge 20 maggio 1970, n. 300. § Vengono richiamati gli articoli 113 e 114 del Codice che sono situati nel titolo VIII della seconda parte, intitolato “Lavoro e previdenza sociale”;

ILLECITI PENALI CONTRAVVENZIONI § Articolo 171 “Altre fattispecie” § 1. La violazione delle disposizioni di cui agli articoli 113, comma 1, e 114 é punita con le sanzioni di cui all'articolo 38 della legge 20 maggio 1970, n. 300. § Vengono richiamati gli articoli 113 e 114 del Codice che sono situati nel titolo VIII della seconda parte, intitolato “Lavoro e previdenza sociale”; § In entrambe le norme vi è un rimando alla legge 300/1970 (c. d. Statuto dei lavoratori) e precisamente il rimando è agli articoli 4 e 8;

ILLECITI PENALI CONTRAVVENZIONI § Articolo 171 “Altre fattispecie” § La norma applicabile in forza di questi richiami è l’articolo 38 dello Statuto (Disposizioni penali) che recita: “Le violazioni degli articoli 2, 4, 5, 6, 8 e 15, primo comma lettera a), sono punite, salvo che il fatto non costituisca più grave reato, con l'ammenda da lire 300. 000 a lire 3. 000 o con l'arresto da 15 giorni ad un anno. Nei casi più gravi le pene dell'arresto e dell'ammenda sono applicate congiuntamente. Quando per le condizioni economiche del reo, l'ammenda stabilita nel primo comma può presumersi inefficace anche se applicata nel massimo, il giudice ha facoltà di aumentarla fino al quintuplo.

ILLECITI PENALI PENE ACCESSORIE § Articolo 172 “Pene Accessorie” § 1. La condanna per uno dei delitti previsti dal presente codice importa la pubblicazione della sentenza.

ILLECITI PENALI PENE ACCESSORIE § Articolo 172 “Pene Accessorie” § 1. La condanna per uno dei delitti previsti dal presente codice importa la pubblicazione della sentenza. § La disposizione in esame riproduce il primo comma dell’articolo 38 della legge 675/96. § Prevede la pubblicazione della sentenza nel caso di condanna per uno dei reati previsti dal Codice; § La pena viene applicata in ogni caso di condanna e quindi è stata sottratta alla discrezionalità dell’autorità giudicante.

VIOLAZIONI AMMINISTRATIVE § Il quadro delle sanzioni si completa con una serie di illeciti amministrativi; § Le condotte sanzionate derivano, in massima parte, dalla violazione di obblighi di informativa e collaborazione. § Il potere sanzionatorio è attribuito al Garante stesso in quanto a norma dell’articolo 166 del Codice risulta essere l’organo competente.

VIOLAZIONI AMMINISTRATIVE § I proventi derivanti dalle sanzioni, nella misura del 50% del totale annuo, sono assegnati al fondo relativo alle spese di funzionamento del Garante e sono utilizzati per l’esercizio dei compiti di cui agli articoli (Art. 166): § 154, 1° comma, lett. h (curare la conoscenza della materia in oggetto tra il pubblico); § 158 spese per accertamenti ispettivi.

VIOLAZIONI AMMINISTRATIVE § Le sanzioni sono: § Pena principale: pagamento della somma pecuniaria; § Pena accessoria: pubblicazione dell’odinanzaingiunzione del Garante. § Il Codice prevede 4 fattispecie di condotte illecite che sono state introdotte nel Capo I del Titolo II della III Parte del Codice (articoli da 161 a 164).

VIOLAZIONI AMMINISTRATIVE § Articolo 161 “Omessa o inidonea informativa all'interessato” § 1. La violazione delle disposizioni di cui all'articolo 13 é punita con la sanzione amministrativa del pagamento di una somma da tremila euro a diciottomila euro o, nei casi di dati sensibili o giudiziari o di trattamenti che presentano rischi specifici ai sensi dell'articolo 17 o, comunque, di maggiore rilevanza del pregiudizio per uno o più interessati, da cinquemila euro a trentamila euro. La somma può essere aumentata sino al triplo quando risulta inefficace in ragione delle condizioni economiche del contravventore.

VIOLAZIONI AMMINISTRATIVE § Articolo 161 “Omessa o inidonea informativa all'interessato” § La norma in oggetto sanziona la violazione: § Dell’articolo 13 (Informativa) nel caso del trattamento di dati comuni; § Dell’articolo 17 (Trattamento che presenta rischi specifici) nel caso di trattamento di dati sensibili e/o dati giudiziari o dati che presentano rischi specifici.

VIOLAZIONI AMMINISTRATIVE § Articolo 161 “Omessa o inidonea informativa all'interessato” § La pena prevista può essere aumentata sino al triplo quando risulta essere inefficace in ragione delle condizioni economiche del contravventore; § Oltre alla pena principale potrà essere applicata anche la pena accessoria ex articolo 165 della pubblicazione dell’ordinanza-ingiunzione del Garante.

VIOLAZIONI AMMINISTRATIVE § Articolo 162 “Altre Fattispecie” § 1°comma § cessione dei dati in violazione della lett. b), 1° comma dell’art. 16 (quando essendovi l’ipotesi di cessazione del trattamento, i dati vengono ceduti ad altro titolare, purché destinati ad un trattamento compatibile con gli scopi per i quali i dati sono stati raccolti; § Violazione di altre disposizioni in materia di disciplina del trattamento dei dati; § La sanzione amm. prevista è quella del pagamento di una somma variabile da 5. 000 a 30. 000 €.

VIOLAZIONI AMMINISTRATIVE § Articolo 162 “Altre Fattispecie” § 2° comma: § Viene punita la violazione della disposizione di cui all’articolo 84, 1° comma (quando cioè vengono resi noti all’interessato o agli altri soggetti che, in determinate condizioni, possono riceverli in sua vece, dati idonei a rivelare lo stato di salute, facendo ciò non per il tramite di un medico designato dallo stesso interessato o dal titolare del trattamento). § La sanzione amm. prevista è quella del pagamento di una somma da 500 a 3. 000 €. § Per le ipotesi di entrambi i commi è possibile l’applicazione della pena accessoria ex art. 165.

VIOLAZIONI AMMINISTRATIVE § Articolo 163 “ Omessa o incompleta notificazione” § 1° comma: Chiunque, essendovi tenuto, non provvede tempestivamente alla notificazione ai sensi degli articoli 37 e 38, ovvero indica in essa notizie incomplete, é punito con la sanzione amministrativa del pagamento di una somma da diecimila euro a sessantamila euro e con la sanzione amministrativa accessoria della pubblicazione dell'ordinanza-ingiunzione, per intero o per estratto, in uno o più giornali indicati nel provvedimento che la applica.

VIOLAZIONI AMMINISTRATIVE § Articolo 163 “ Omessa o incompleta notificazione” § La norma in oggetto punisce diverse condotte illecite relative agli articoli 37 e 38 del Codice. § L’articolo in oggetto punisce chiunque, pur essendovi tenuto: § Non provvede tempestivamente alla notificazione al Garante; § Indica nella notificazione notizie incomplete.

VIOLAZIONI AMMINISTRATIVE § Articolo 163 “ Omessa o incompleta notificazione” § Si tratta di una violazione dell’obbligo di tempestiva comunicazione al Garante relativa all’intenzione di procedere al trattamento dei dati personali. § La comunicazione è necessaria affinché l’Autorità possa inserire tale notificazione nell’apposito registro.

VIOLAZIONI AMMINISTRATIVE § Articolo 163 “ Omessa o incompleta notificazione” § Gli autori della fattispecie sono individuati nel Titolare del trattamento (articolo 28) e nel Responsabile del trattamento (articolo 29) quali destinatari dell’obbligo di notifica. § Ma il meccanismo di delega può determinare in concreto altri autori.

VIOLAZIONI AMMINISTRATIVE § Articolo 163 “ Omessa o incompleta notificazione” § Le sanzioni amministrative previste sono: § Pagamento di una somma da 10. 000 a 60. 000 €; § Pubblicazione dell’ordinanza-ingiunzione per intero o per estratto in uno o più giornali indicati nel provvedimento che la applica.

VIOLAZIONI AMMINISTRATIVE § Articolo 164 “ Omessa informazione o esibizione al Garante” § Comma 1: Chiunque omette di fornire le informazioni o di esibire i documenti richiesti dal Garante ai sensi degli articoli 150, comma 2, e 157 é punito con la sanzione amministrativa del pagamento di una somma da quattromila euro a ventiquattro mila euro.

VIOLAZIONI AMMINISTRATIVE § Articolo 164 “ Omessa informazione o esibizione al Garante” § La norma in esame rinvia all’: § Articolo 157 che prevede espressamente ed in via generale che, per l’espletamento dei propri compiti, il Garante possa chiedere al titolare, al responsabile, all’incaricato o anche a terzi di fornire informazioni o di esibire documenti; § Articolo 150 (2° co. ) intitolato “Provvedimenti a seguito del ricorso” il quale afferma che il Garante per poter emettere il proprio provvedimento deve “assumere le necessarie informazioni”.

VIOLAZIONI AMMINISTRATIVE § Articolo 164 “ Omessa informazione o esibizione al Garante” § La violazione degli articoli 151 e 157 del Codice viene punita con la sanzione amm. del pagamento di una somma da 4. 000 a 24. 000 €; § A norma dell’articolo 165 anche per la fattispecie in oggetto può essere applicata dal Garante la pena accessoria della pubblicazione dell’ordinanzaingiunzione.

RESPONSABILITA’ CIVILE § Il legislatore ha previsto mezzi civilistici di tutela a favore dell’interessato sia sul piano processuale che su quello sostanziale. § Ruolo fondamentale occupa la previsione contenuta nell’articolo 15 del Codice (che richiama ciò che era già sancito dall’articolo 18 della legge 675/1996).

RESPONSABILITA’ CIVILE § Articolo 15 “Danni cagionati per effetto del trattamento” § 1. Chiunque cagiona danno ad altri per effetto del trattamento di dati personali é tenuto al risarcimento ai sensi dell'articolo 2050 del codice civile. § 2. Il danno non patrimoniale é risarcibile anche in caso di violazione dell'articolo 11.

RESPONSABILITA’ CIVILE § Articolo 15 “Danni cagionati per effetto del trattamento” § Anche il legislatore comunitario si è occupato nella Direttiva 95/46/CE del tema della responsabilità civile per i danni procurati per effetto del trattamento dei dati. § L’articolo 23, 1° comma della Direttiva recita: “Gli Stati membri dispongono che chiunque subisca un danno cagionato da un trattamento illecito o da qualsiasi altro atto incompatibile con le disposizioni nazionali di attuazione della presente direttiva abbia il diritto di ottenere il risarcimento del pregiudizio subito dal responsabile del trattamento”.

RESPONSABILITA’ CIVILE § Articolo 15 “Danni cagionati per effetto del trattamento” § La Responsabilità sancita dall’Articolo 15 del Codice riguarda tutti i danni cagionati “per effetto del trattamento”; § Tale locuzione si ritiene debba essere interpretata sino a ricomprendere i danni che derivano da qualunque operazione di trattamento: raccolta, elaborazione, comunicazione, diffusione, etc. , nonché dalla mancata adozione di misure di sicurezza.

RESPONSABILITA’ CIVILE § Articolo 15 “Danni cagionati per effetto del trattamento” § L’Articolo 4, 1° comma del Codice fornisce, alla lettera a), la definizione di “trattamento” e recita: “Ai fini del presente codice si intende trattamento qualunque operazione o complesso di operazione, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modifica, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca dati”.

RESPONSABILITA’ CIVILE § Articolo 15 “Danni cagionati per effetto del trattamento” – 1° Comma § Il primo comma dell’articolo in oggetto fa un rinvio all’articolo 2050 c. c. (responsabilità per l’esercizio di attività pericolose) che recita : § “Chiunque cagiona danno ad altri nello svolgimento di un'attività pericolosa, per sua natura o per la natura dei mezzi adoperati, e tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno”.

RESPONSABILITA’ CIVILE § Articolo 15 “Danni cagionati per effetto del trattamento” – 1° Comma § Il rinvio all’articolo 2050 c. c. permette di considerare il “trattamento dei dati personali” quale “attività pericolosa”. § Si è di fronte ad una responsabilità di natura contrattuale ed extracontrattuale che investe a cascata sia il titolare del trattamento e il gestore della banca dati sia i terzi che sono contrattualmente legati ai due precedenti soggetti per fornitura dei beni e/o servizi.

RESPONSABILITA’ CIVILE § Articolo 15 “Danni cagionati per effetto del trattamento” – 1° Comma § Al fine di individuare i soggetti tenuti al risarcimento del danno sia di natura patrimoniale, che anche di natura non patrimoniale, causati dal trattamento illecito dei dati, bisogna fare riferimento alla locuzione “chiunque” contenuta nell’articolo 15 del Codice. § La norma in oggetto fa riferimento al centro di imputazione della responsabilità e le figure soggettive descritte dal combinato disposto degli articoli 4, 28, 29 e 30 dello stesso (titolare, responsabile, incaricato). § Il Codice, infatti, non ha chiaramente individuato i soggetti tenuti a rispondere dei danni cagionati per effetto del trattamento illecito dei dati.

RESPONSABILITA’ CIVILE § Articolo 15 “Danni cagionati per effetto del trattamento” – 1° Comma § Le forme di responsabilità descritte dal Codice, sembrerebbero più facilmente riconducibili al titolare e al responsabile del trattamento in funzione della relativa attribuzione delle facoltà di decidere in ordine alle fasi del trattamento o altre operazioni che hanno causato o permesso la realizzazione del danno; § TITOLARE: deve essere considerato responsabile (ex articolo 15 del Codice e articolo 2050 c. c. ) tanto se si tratta di persona fisica che di persona giuridica privata, quanto la pubblica amministrazione.

RESPONSABILITA’ CIVILE § Articolo 15 “Danni cagionati per effetto del trattamento” – 1° Comma § La Giurisprudenza ritiene che occorra operare una distinzione tra attività svolta direttamente dall’esercente e attività “trasferita” a terzi senza vincolo di subordinazione. § Nel primo caso infatti, l’esercente risponde dei danni, mentre nel secondo caso sarà il terzo soggetto a dover dimostrare che “l’evento dannoso si è verificato per caso fortuito, ovvero per un vizio intrinseco della cosa, addebitabile unicamente al costruttore”. § Da tale principio scaturisce la considerazione che l’esercente l’attività pericolosa sia responsabile per i danni cagionati a terzi dai propri dipendenti.

RESPONSABILITA’ CIVILE § Articolo 15 “Danni cagionati per effetto del trattamento” – 1° Comma § PROVA LIBERATRORIA § Dalla responsabilità ex articolo 2050 c. c. , che graverà sul soggetto di volta individuato, discende che questi sarà gravato dalla inerente presunzione di colpa, dalla quale potrà liberarsi solo dimostrando di aver adottato tutte le misure di sicurezza possibili ad evitare il danno (riferibili allo stato attuale di conoscenza tecnico-scientifica).

RESPONSABILITA’ CIVILE § Articolo 15 “Danni cagionati per effetto del trattamento” – 1° Comma § PROVA LIBERATRORIA § La prova liberatoria è particolarmente rigorosa in quanto non è sufficiente la sola dimostrazione, in negativo, di non aver commesso alcuna violazione della legge o delle regole di comune prudenza, ma è necessaria la prova positiva di aver impiegato ogni cura o misura atta ad impedire l’evento dannoso.

RESPONSABILITA’ CIVILE § Articolo 15 “Danni cagionati per effetto del trattamento” – 1° Comma § ESEMPIO § Non costituirà prova liberatoria l’aver fornito una preventiva informativa all’interessato o aver acquistato, ove previsto, il suo consenso, ai sensi degli articoli 23 e ss. del Codice. Il danneggiante dovrà, quindi, produrre una prova positiva, ovvero dimostrare di aver predisposto ogni accorgimento necessario, tale da escludere il nesso eziologico tra l’attività pericolosa di trattamento dei dati e l’evento.

RESPONSABILITA’ CIVILE § Articolo 15 “Danni cagionati per effetto del trattamento” – 1° Comma § Il rinvio alla nozione di prova liberatoria, contenuta all’articolo 2050 c. c. , dovrebbe poter evitare la cristallizzazione degli standard di sicurezza, nel caso in cui misure di sicurezza più incisive di quelle minime si sarebbero potute adottare e non si provi che così è stato fatto (misure idonee). § Per maggiore sicurezza, dovranno comunque essere adottate tutte le misure prescritte oltre ad altre non espressamente previste. § La valutazione sull’idoneità delle misure di sicurezza adottate dovrà essere un giudizio “ex ante” e non “ex post” rispetto all’evento dannoso.

RESPONSABILITA’ CIVILE § Articolo 15 “Danni cagionati per effetto del trattamento” – 1° Comma § L’articolo 2050 c. c. pone il problema dell’individuazione del SOGGETTO DANNEGGIATO. § L’espressione testuale utilizzata è molto ampia “Chiunque cagiona danno ad altri”. § L’unica immediata certezza è la non identità tra danneggiato e danneggiante.

RESPONSABILITA’ CIVILE § Articolo 15 “Danni cagionati per effetto del trattamento” – 1° Comma § Si può quindi risalire in questo modo alla individuazione del soggetto danneggiato, intendendosi, quindi, con tale ultima espressione chi, non essendo l’esercente l’attività pericolosa, svolga per esso una attività di prestatore d’opera sia autonoma sia subordinata.

RESPONSABILITA’ CIVILE § Articolo 15 “Danni cagionati per effetto del trattamento” – 2° Comma § Il secondo comma dell’articolo 15 del Codice, nel prevedere la risarcibilità del danno non patrimoniale, fa espresso riferimento ai casi violazione dell’articolo 11 del Codice, disposizione concernente le modalità di raccolta e i requisiti dei dati personali. § La medesima disposizione, nel precedente testo, era collocata al comma 9 dell’articolo 29 e non all’articolo 18 che costituiva l’omologo dell’attuale articolo 15.

RESPONSABILITA’ CIVILE § Articolo 15 “Danni cagionati per effetto del trattamento” – 2° Comma § L’articolo 11 del Codice (Modalità del trattamento e requisiti dei dati) recita: “I dati personali oggetto di trattamento sono: a) trattati in modo lecito e secondo correttezza; b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi; c) esatti e, se necessario, aggiornati; d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati; e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati. § I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati ”.

RESPONSABILITA’ CIVILE § Articolo 15 “Danni cagionati per effetto del trattamento” – 2° Comma § Il riconoscimento della risarcibilità del danno non patrimoniale in materia nasce in sintonia con alcune disposizioni comunitarie; § L’articolo 12 della legge 30 settembre 1993, n. 388, di ratifica dell’Accordo Schengen, garantiva all’interessato la possibilità di richiedere un equo indennizzo per i danni non patrimoniali subiti a seguito di un illecito trattamento dei dati.

RESPONSABILITA’ CIVILE § Articolo 15 “Danni cagionati per effetto del trattamento” – 2° Comma § Parte della giurisprudenza di merito considera la configurabilità del risarcimento del danno non patrimoniale in re ipsa, in presenza solo del presupposto del trattamento abusivo: quasi come se la disposizione in oggetto contenesse una sorta di principio di indennizzo generale del danno non patrimoniale da trattamento di dati personali.

RESPONSABILITA’ CIVILE § Articolo 15 “Danni cagionati per effetto del trattamento” – 2° Comma § Il danno morale, invece, al pari di ogni danno, è risarcibile soltanto come pregiudizio effettivamente conseguente ad una lesione, secondo altra parte della giurisprudenza, di conseguenza sarà necessaria la prova ulteriore dell’entità del danno, ossia la dimostrazione che la lesione ha prodotto una perdita di tipo analogo a quello indicato dall’articolo 1223 c. c. , costituita dalla diminuzione o dalla privazione di un valore personale (non patrimoniale), alla quale il risarcimento deve essere equitativamente commisurato.

RESPONSABILITA’ CIVILE § Articolo 15 “Danni cagionati per effetto del trattamento” – 2° Comma § In ordine ai criteri liquidatori del danno, deve richiamarsi quella giurisprudenza che ha sempre ritenuto di dover ancorare il danno morale a parametri quali l’entità dell’offesa, il carattere doloso o colposo della condotta, la situazione economica delle parti, la gravità dell’illecito. § Caso pratico: sentenza del Tribunale di Orvieto del 25 novembre 2002.