Blog : cassazione civile

RESPONSABILITA’ AMMINISTRATIVA DEGLI ENTI E REATI INFORMATICI: TUTELARE L’AZIENDA RISPETTANDO LA NORMATIVA PRIVACY

RESPONSABILITA’ AMMINISTRATIVA DEGLI ENTI E REATI INFORMATICI: TUTELARE L’AZIENDA RISPETTANDO LA NORMATIVA PRIVACY

A decorrere dalla ratifica della Convenzione del Consiglio d’Europa sulla criminalità informatica, avvenuta con la promulgazione della Legge 18 marzo 2008, n. 48, l’impatto dei crimini informatici compiuti all’interno delle aziende, stigmatizzati nella disciplina che fa capo alla Legge 23 dicembre 1993 n. 547, non produce più solo effetti con riguardo ai profili di responsabilità penale personale dell’autore del “crimine”, ma determina un’altrettanta severa forma di responsabilità amministrativa in capo alle aziende, regolata da una norma introdotta nell’ordinamento giuridico dal 2001 e che va sotto il nome di “Decreto 231”.

Si tratta di un terzo genere di responsabilità, detta anche “para-penale”, la quale prevede che gli enti/società possano essere “imputati” in un processo penale; si tratta, in definitiva, di una responsabilità «diretta», la quale deriva da un fatto proprio dell’ente ed è autonoma rispetto a quella dell’autore materiale del delitto.

In breve, il D.lgs. 231/2001 prevede che l’ente risponda, in aggiunta alla persona fisica che ha commesso il reato, se:

  • è stato commesso uno dei reati presupposto, elencati agli articoli che vanno dal 24 al 26;

  • il reato è stato commesso nell’interesse o a vantaggio dell’ente1 da soggetti qualificati (posizione apicale o sottoposti all’altrui direzione2);

  • l’ente non ha predisposto un modello organizzativo effettivo, valido ed efficace per la prevenzione dei reati

Tra gli enti destinatari della normativa, oltre quelli dotati di personalità giuridica in forma societaria e pluripersonale, si aggiungono, secondo gli orientamenti giurisprudenziali più recenti, anche le imprese individuali3 nonché le associazioni anche prive di personalità giuridica.

L’autorità competente ad esercitare l’azione penale nei confronti dell’ente è il Pubblico Ministero, il quale, ai sensi dell’art. 59 comma 1 del D.lgs. 231/01, effettua la contestazione dell’illecito in uno degli atti indicati dall’art. 405 del Codice di Procedura Penale4.

Le sanzioni5 previste (pecuniarie, interdittive, la confisca e pubblicazione della sentenza) sono applicate dallo stesso giudice competente per il reato presupposto, il quale le irroga mediante decreto o sentenza di condanna.

Le ripercussioni per le società, qualora dovessero essere chiamate a rispondere ai sensi del citato decreto 231, sono evidentemente di grande rilevanza, rischiando di compromettere l’esistenza stessa dall’ente.

Ed è per questo che il Legislatore ha voluto, altresì, prevedere delle esimenti che si applicano qualora:

  1. La società abbia adottato, preventivamente rispetto alla commissione dell’illecito, modelli organizzativo-comportamentali e di gestione diretti ed astrattamente idonei a prevenire la commissione di detti reati;

  2. il reato sia stato commesso dall’autore materiale nel suo esclusivo interesse o di terzi (plausibile specie se ad agire sia stato un soggetto sottoposto alla direzione o alla vigilanza di soggetti in posizione apicale).

Proprio come riportato all’inizio della presente dissertazione, la Legge n. 48/2008 ha ampliato l’area dei reati presupposto in presenza dei quali scatta la responsabilità degli enti: all’art. 24-bis6, figurano alcuni dei comportamenti che rappresentano minacce alla sicurezza informatica e che, nel nostro ordinamento, sono qualificati come condotte penalmente rilevanti.

La sicurezza informatica si interfaccia con la tutela dei dati personali al punto che, lo stesso Codice Privacy (D.lgs. n.196/03), in tema di tutela dei dati personali, stabilisce obblighi specifici e generali che si sostanziano nella necessità, da parte del titolare del trattamento dei dati, di implementare una serie di misure minime di sicurezza identificate direttamente dalla normativa, oltreché misure idonee e preventive da identificare in base ad un’accurata analisi dei rischi.

Le misure minime di sicurezza, di cui all’Allegato B al Codice Privacy, stabiliscono il livello minimo di protezione dei dati e la loro adozione è conditio sine qua non per lo svolgimento delle attività di trattamento dei dati7.

All’interno dell’azienda, al giorno d’oggi, i rischi correlati al crimine informatico sono di grande rilevanza; si pensi che la maggior parte dei processi aziendali sono informatizzati e per di più esternalizzati; l’assistenza tecnica od i servizi di cloud computing ne sono un chiaro esempio.

Difatti, il d.lgs. 231 prevede che tra l’autore materiale del reato e l’ente non debba intercorrere necessariamente un rapporto di lavoro subordinato, rilevando la subordinazione alla direzione o vigilanza di uno dei soggetti in posizione apicale, la quale è rinvenibile anche nei rapporti con i collaboratori esterni/consulenti.

Questi ultimi devono essere nominati responsabili del trattamento, come nel caso dell’amministratore di sistema in outsourcing, del fornitore di servizi cloud o del manutentore del sito web aziendale e come tali devono attenersi, secondo quanto prescritto dallo stesso Codice Privacy all’art. 29, alle istruzioni loro fornite dal titolare. È rinvenibile in tali rapporti quel vincolo di subordinazione alla vigilanza e direzione dei soggetti apicali, richiesto dall’art. 5 del D.lgs. 231, per l’insorgere della responsabilità amministrativa dell’ente.

In particolare, le aziende devono valutare ex ante l’affidabilità di tali consulenti/fornitori nonché prevedere, nei contratti conclusi con gli stessi, un’apposita clausola che regoli le conseguenze della violazioni alle norme del D.lgs. 231/01.

La prevenzione dei reati informatici, al fine di evitare di incorrere nella citata responsabilità, passa attraverso la predisposizione di misure di sicurezza fisica, logica ed organizzativa. La sensibilizzazione della dirigenza e dei dipendenti, la loro formazione, le azioni di monitoraggio ed audit sono solo alcuni dei punti chiave per assicurare l’azienda dalle gravi ripercussioni previste dal D.lgs. 231/01.

Per difendersi l’azienda ha vari strumenti che riducono il rischio di commissione di reati ed illeciti, i più efficaci dei quali sono l’adozione di un valido ed efficace modello di organizzazione e gestione e di una privacy policy.

Il rispetto della normativa privacy, prevedendo l’applicazione di misure minime di sicurezza, consente appunto di prevenire la commissione dei reati presupposti previsti dal D.lgs. 231/01; le policy ed i modelli organizzativi sono efficaci ed assumono valore esimente, solamente se concretamente attuati e se portati a conoscenza di dipendenti e stakeholder.

Tutto quanto sopra esposto si può rinvenire esaminando una recentissima sentenza della Suprema Corte di Cassazione n. 22313 del 03 novembre 2016 che ha cassato, con rinvio, la sentenza della Corte d’Appello territoriale,

Il caso è stato il seguente: alcuni ispettori, durante una verifica in banca, per accertare il rispetto delle disposizioni interne in materia di uso e sicurezza del materiale informatico assegnato ai dipendenti, rilevavano files potenzialmente dannosi nel pc aziendale in uso ad un dipendente. Pertanto, i dirigenti della società provvedevano ad emettere un provvedimento disciplinare nel quale reclamavano come la condotta del dipendente avesse “esposto la banca ai rischi conseguenti l’acquisizione del proprio sistema informativo di file che potrebbero comportare un coinvolgimento e sanzioni ai sensi del Decreto Legislativo n. 231 del 2001″.

Il caso è di particolare interesse, oltre che per l’attualità e per la forte connessione con i profili di responsabilità amministrativa dell’ente rispetto alla condotta penalmente rilevante del dipendente, soprattutto perché, anche nell’adozione di provvedimenti disciplinari di contestazione di illeciti, l’organo di vertice ha dimostrato consapevolezza di un eventuale coinvolgimento dell’azienda, con conseguenti severe sanzioni a carico della stessa.

In altri termini, se finora si è assistito ad un’inspiegabile ritrosia degli organi di vertice delle aziende (e, con essi, dei dipendenti, dei collaboratori) nel dotarsi di modelli organizzativi identificati nel decreto 231, l’attuale scenario – anche grazie alla laboriosa opera di diffusione di tematiche legate alla prevenzione degli illeciti penali in comparti produttivi – fa ben sperare in un costante e consistente sviluppo della Compliance normativa nei particolari e sensibili ambiti che fanno capo, in particolar modo, ai reati informatici e alla tutela della salute dei lavoratori ritenendo, in tal guisa, “presidiate” le principali aree di responsabilità nei confronti di asset fondamentali di un’azienda.

1 L’evento “vantaggio” fa riferimento alla concreta acquisizione di un’utilità per l’Ente, l’”interesse”, invece, implica soltanto la finalizzazione della condotta illecita, integrante il reato presupposto, verso quella utilità, senza che sia necessario il suo effettivo conseguimento.

2 La nozione di soggetto apicale di un ente viene definita dall’esercizio formale di funzioni di rappresentanza, amministrazione o direzione. Quanto ai dipendenti, non v’è ragione per escludere la responsabilità dell’ente dipendente da reati compiuti da tali soggetti, quante volte essi agiscano appunto per conto dell’ente, e cioè nell’ambito dei compiti ad essi devoluti. In altre parole, con riguardo al rapporto di dipendenza, quel che sembra contare è che l’ente risulti impegnato dal compimento, da parte del sottoposto, di un’attività destinata a riversarsi nella sua sfera giuridica.

3 Sentenza Corte di Cassazione penale sez. III n°15657 /2011 secondo la quale “Poiché è indubbio che la disciplina del D.Lgs. n. 231/2001 si applica alle s.r.l. c.d. ”unipersonali” e che l’organizzazione interna di molte imprese individuali è assai articolata e complessa, una lettura costituzionalmente orientata dell’art. 1, comma 2, del predetto decreto legislativo porta a includere fra gli enti responsabili di reati commessi a loro vantaggio e nel loro interesse anche le imprese individuali onde evitare disparità di trattamento altrimenti ingiustificate.”

4 Applicazione della pena su richiesta delle parti, giudizio direttissimo, giudizio immediato, procedimento per decreto ovvero richiesta di rinvio a giudizio.

5 La sanzione pecuniaria è determinata dal giudice attraverso un sistema basato su quote: l’importo di una quota va da un minimo di 258 € ad un massimo di 1.549 €. La sanzione pecuniaria viene applicata in un numero non inferiore a 100 quote né superiore a 1000 quote.

Sono sanzioni interdittive: l’interdizione dall’esercizio dell’attività;- la sospensione o la revoca di autorizzazioni, licenze, concessioni funzionali alla commissione dell’illecito; il divieto di contrattare con la Pubblica Amministrazione; l’esclusione da agevolazioni, finanziamenti, contributi o sussidi e l’eventuale revoca di quelli già concessi;il divieto di pubblicizzare beni o servizi

6Falsità in un documento informatico pubblico o avente efficacia probatoria (art. 491-bis c.p.)

Accesso abusivo ad un sistema informatico o telematico (art. 615-ter c.p.)

Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 615-quater c.p.)

Diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico (art. 615-quinquies c.p.)

Intercettazione, impedimento o interruzione illecita di comunicazioni informatiche o telematiche (art. 617-quater c.p.)

Installazione di apparecchiature atte ad intercettare, impedire o interrompere comunicazioni informatiche o telematiche (art. 617-quinquies c.p.)

Danneggiamento di informazioni, dati e programmi informatici (art. 635-bis c.p.)

Danneggiamento di informazioni, dati e programmi informatici utilizzati dallo Stato o da altro ente pubblico o comunque di pubblica utilità (art. 635-ter c.p.)

Danneggiamento di sistemi informatici o telematici (art. 635-quater c.p.)

Danneggiamento di sistemi informatici o telematici di pubblica utilità (art. 635-quinquies c.p.)

Frode informatica del certificatore di firma elettronica (art. 640-quinquies c.p.)

7 Se le misure adottate non sono idonee ad evitare il danno, il Titolare può essere coinvolto comunque sotto un profilo di responsabilità civile, anche se non ci sono gli estremi per la responsabilità penale prevista dalla legge. Le misure minime di sicurezza sono tipizzate dal legislatore mentre quelle idonee no, in quanto devono essere scelte dal buon Titolare sulla base della natura dei dati, delle caratteristiche del trattamento e dallo stato dell’arte e della tecnica. Le misure idonee, nel caso non siano soddisfatte, non comportano sanzioni né di carattere penale né amministrativo, ma sottopongono l’azienda al rischio di azione per il risarcimento del danno in caso di danni a terzi a causa della loro mancata applicazione.

GPS E RAPPORTO DI LAVORO: I CHIARIMENTI DELL’ISPETTORATO NAZIONALE DEL LAVORO

GPS E RAPPORTO DI LAVORO: I CHIARIMENTI DELL’ISPETTORATO NAZIONALE DEL LAVORO

La riformulazione dell’articolo 4 dello Statuto dei Lavoratori in materia di controlli a distanza dell’attività lavorativa ha realizzato un distinguo tra controlli effettuati, da un lato tramite impianti di videosorveglianza e altri strumenti di lavoro e dall’altro tramite strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e di registrazione degli accessi e delle presenze. Il nuovo art. 4 prevede che l’imprenditore per poter utilizzare i primi debba ricorrere all’accordo sindacale o all’autorizzazione delle Direzioni Territoriali del Lavoro – di seguito D.T.L.), mentre per i secondi tali provvedimenti autorizzativi non sono necessari. In entrambi i casi, è obbligatorio fornire ai lavoratori adeguata informativa ai sensi della legge sulla Privacy (D.lgs. 196/03), in assenza della quale le prove raccolte sono inutilizzabili.

La questione è rimasta aperta con riguardo all’utilizzo del sistema G.P.S.1, ovvero se si ritenga o meno uno strumento utilizzato dal lavoratore per fornire la propria prestazione lavorativa, con tutto ciò che ne consegue in termini di richieste di autorizzazioni agli organi competenti. A tal fine, l’8 novembre 2016, l’Ispettorato nazionale del lavoro2 ha pubblicato una nota contenente indicazioni operative sull’ utilizzazione di impianti GPS ai sensi dell’art. 4, commi 1 e 2, L. n. 300/1970.

L’Ispettorato ha chiarito come in via generale il GPS è considerato un elemento aggiunto agli strumenti di lavoro, in quanto il sistema di localizzazione ha finalità ulteriori rispetto alla prestazione lavorativa (ovvero assicurative, organizzative, produttive o per garantire la sicurezza del lavoro). E’ evidente come in questi casi, non costituendo il GPS un mezzo indispensabile per fornire la prestazione, si applicano le previsioni del comma 1 del citato articolo 4, ovvero è necessario l’accordo con le sigle sindacali o l’autorizzazione della D.T.L.

Tuttavia, in alcune circostanze particolari, il GPS può essere considerato quale strumento necessario a rendere la prestazione lavorativa; in tal caso è necessario solamente fornire l’informativa ai dipendenti. Tale circostanza si verifica qualora il sistema di geolocalizzazione consenta la concreta ed effettiva attuazione della prestazione lavorativa, la quale non possa essere resa senza l’utilizzo del GPS, oppure nel caso in cui tale utilizzo sia richiesto da specifiche normative.

La Corte di Cassazione si è espressa in questo senso con la sentenza n° 19922 del 5 ottobre 2016 dichiarando illegittimo il licenziamento di un lavoratore avvenuto a seguito di un controllo effettuato dal datore di lavoro tramite il GPS installato sull’auto aziendale. Nel caso di specie si trattava di una agenzia di sorveglianza privata la quale aveva riscontrato, tramite i dati rilevati dal GPS, che il proprio dipendente, nonostante dichiarasse di aver effettuato tutti i giri di controllo previsti, in realtà si trovava altrove.

Nel caso in esame l’azienda aveva stipulato anni prima con i sindacati un accordo per l’utilizzo dei GPS sulle vetture aziendali, il quale però ne escludeva l’uso per finalità collegate al rapporto di lavoro, quali appunto il licenziamento ed i provvedimenti disciplinari.

La Suprema Corte ha ritenuto che il controllo effettuato dalla società di sorveglianza fosse configurato come un meccanismo generalizzato ed effettuato ex ante, pertanto non inquadrabile nella categoria dei controlli “difensivi”. Si ricordi che qualora il controllo sull’attività lavorativa sia effettuato a seguito di fondati sospetti di comportamenti illeciti da parte del lavoratore, questi vengono classificati quali “controlli difensivi” e sono ritenuti utilizzabili ai fini probatori (cfr. mio articolo pubblicato sul sito web www.dvlegal.it in data 23/08/2016).

Ed è per le considerazioni sopra esposte che si può ben sintetizzare come la nuova formulazione dell’art. 4 dello Statuto dei Lavoratori, anche alla luce degli orientamenti giurisprudenziali, non rappresenta una sorta di liberalizzazione dei controlli a distanza bensì un chiarimento circa le modalità di uso degli strumenti impiegati ai fini del rapporto di lavoro, oltre a definire i limiti alla utilizzabilità dei dati così raccolti. Ne deriva che, il datore di lavoro è si autorizzato ad eseguire i controlli a distanza ed a utilizzare i dati anche con finalità disciplinari, ma dovrà sempre riconoscere al lavoratore tutte le tutele previste dalla normativa privacy.

1 Il Sistema di Posizionamento Globale è un sistema di posizionamento e navigazione satellitare civile che, attraverso una rete dedicata di satelliti artificiali in orbita, fornisce ad un terminale mobile o ricevitore GPS informazioni sulle sue coordinate geografiche ed orario, in ogni condizione meteorologica, ovunque sulla Terra o nelle sue immediate vicinanze ove vi sia un contatto privo di ostacoli con almeno quattro satelliti del sistema. La localizzazione avviene tramite la trasmissione di un segnale radio da parte di ciascun satellite e l’elaborazione dei segnali ricevuti da parte del ricevitore (fonte: www.wikipedia.com)

2 Per ulteriori informazioni sul nuovo Ispettorato nazionale del Lavoro Link http://www.lavoro.gov.it/stampa-e-media/Comunicati/Pagine/Al-via-attivita-Ispettorato-nazionale-del-lavoro.aspx

LA TUTELA DEI DATI SENSIBILI ED IL DIVIETO DI DIFFUSIONE NELLA GIURISPRUDENZA PIU’ RECENTE

LA TUTELA DEI DATI SENSIBILI ED IL DIVIETO DI DIFFUSIONE NELLA GIURISPRUDENZA PIU’ RECENTE

Il D.lgs. 196/2003 (di seguito Codice Privacy), sulla scia dei principi espressi nella nostra Carta Costituzionale1, fornisce una tutela rafforzata a quei dati che riguardano gli aspetti più intimi della vita di un individuo e che, se non trattati secondo i principi di liceità e correttezza, potrebbero arrecare grave danno all’interessato.

La classificazione dei dati personali, approntata dallo stesso Codice Privacy all’art. 4, riflette un sistema di tutele graduate in ragione della natura del dato e della sua capacità di incidere nel concreto vivere degli interessati.

I dati personali comuni identificano un individuo tramite ad esempio il nome ed il cognome, quelli sensibili rivelano gli orientamenti politici e sindacali, le convinzioni religiose, mentre sono considerati “supersensibili” i dati idonei a rilevare lo stato di salute e la vita sessuale delle persone.

La particolare tutela riconosciuta ai dati idonei a rivelare lo stato di salute è sancita dallo stesso Codice Privacy il quale ne vieta la diffusione, ovvero la divulgazione al pubblico o, comunque, ad un numero indeterminato di soggetti (ad esempio, è diffusione la pubblicazione di dati personali su un quotidiano o su una pagina web).

Secondo quanto stabilito dal Codice Privacy, i dati “supersensibili” devono essere trattati solo in forma anonima e mediante codici identificativi. È quindi pacifico che chiunque effettui il trattamento di tali dati, debba operare a maggior ragione con diligenza e perizia adottando ogni idonea misura di sicurezza2.

Il Garante ha posto la sua attenzione sulla diffusione dei dati “supersensibili” in svariate occasioni; nelle Linee Guida in materia di trattamento di dati personali per finalità di pubblicità e trasparenza sul web (provv. 15 maggio 2014) ha chiarito che “ è vietata la pubblicazione di qualsiasi informazione da cui si possa desumere, anche direttamente, lo stato di malattia o l’esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di disabilità, invalidità o handicap fisici e/o psichici”.

Ma vediamo più nel concreto cosa ha stabilito la Corte di Cassazione in merito ai trattamenti di dati sensibili, nel caso in cui questi siano stati diffusi senza essere anonimizzati.

Già con la sentenza n. 10947 del 19 maggio 2014, la I Sez. della Cassazione Civile aveva consolidato il principio per il quale deve essere accordata particolare tutela ai dati c.d. sensibili, in quanto in questi convergono la tutela della salute e quella della riservatezza3.

Nel caso in questione la Suprema Corte ha statuito che chi beneficia di un’indennità ex L. 201/1992 per aver contratto una malattia, a causa di errore medico, ha diritto al risarcimento del danno dovuto ad illegittimo trattamento dei dati sensibili, qualora la causale riportata nel bonifico bancario faccia riferimento a dati idonei a rivelare il suo stato di salute.

Secondo il dispositivo della sentenza in commento, la Regione e la Banca, “avrebbero dovuto rispettivamente diffondere e conservare i dati stessi, utilizzando cifrature o numeri di codice non identificabili.”, il riferimento nella causale del bonifico alla l.201/1992, si è quindi tradotto in un illecito trattamento di dati personali legittimante, quindi, la richiesta di risarcimento del danno da parte del ricorrente.

Non più di un mese fa è stata pubblicata la sentenza della Cassazione Sez. I n.10512 del 20 maggio 2016, con la quale gli Ermellini condannano la Corte dei conti per illecita diffusione di dati sanitari.

In breve, il ricorrente aveva richiesto al Tribunale di Palermo la condanna al risarcimento dei danni in capo alla Corte dei Conti ovvero alla Presidenza del Consiglio dei Ministri, per aver illecitamente diffuso propri dati sanitari. Il ricorrente difatti, aveva avanzato ricorso alla corte dei Conti in materia pensionistica e, successivamente, aveva visto pubblicata online la sentenza contenente dati riguardanti la propria invalidità.

La Suprema Corte, nel testo nella sentenza, ha effettuato una comparazione tra il principio, stabilito dall’art. 22 del Codice privacy, dell’assoluto divieto di diffusione dei dati relativi allo stato di salute e l’assunto dell’art. 52, il quale disciplina le modalità di diffusione delle sentenze e dei provvedimenti per finalità di informativa giuridica.

Ebbene, da tale valutazione la Cassazione ne ha dedotto che il divieto di diffusione di dati sensibili non ammette deroghe e prevale in ogni caso sull’interesse alla pubblicazione dei provvedimenti giurisdizionali a scopo di informativa giuridica.

La Suprema Corte ha, altresì, individuato un ulteriore argomentazione a favore della tesi del ricorrente nelle “Linee Guida sul trattamento dei dati nella riproduzione di provvedimenti giurisdizionali” del 02 dicembre 2010. Il Garante Privacy in tale documento ha fornito chiarimenti in merito alla opportunità di anonimizzare i provvedimenti, chiarendo che l’oscuramento dei dati degli interessati “non pregiudica la finalità di informazione giuridica sottesa alla diffusione di un provvedimento” ed ha posto a carico dell’Autorità giudiziaria, la attenta valutazione di tale profilo.

Per ciò che concerne l’aspetto risarcitorio della vicenda in esame, spetterà al giudice del rinvio stabilirne l’entità, valutando nel concreto le conseguenze pregiudizievoli dell’illecito trattamento, ricadendo però su colui che agisce in giudizio la prova del danno in concreto subito, in quanto la sola illiceità del trattamento non è sufficiente a dar luogo all’obbligazione risarcitoria.

E’ indubbio che la quantificazione in denari del danno non è di semplice definizione, non sempre il danno subito ha un valore economico, come nel caso del risarcimento per danno biologico o esistenziale. La Cassazione con la sentenza n. 1361 del 23 gennaio 2014, ha assunto il danno non patrimoniale quale categoria generale, e statuito che, in ossequio al principio della integralità del risarcimento, si deve tener conto di tutte le lesioni degli interessi della persona, di natura non prettamente economica, protetti dall’ordinamento.

L’utilizzo sempre maggiore di strumenti informatici e nuove tecnologie, come si è visto nelle due sentenze citate, sta incidendo in maniera sempre maggiore sulla tutela dei dati. Il trattamento di dati su larga scala è effettuato sia dai privati sia dagli enti pubblici, ed entrambe le categorie devono operare, soprattutto qualora ci si trovi davanti dati “supersensibili”, seguendo i dettami del Codice Privacy nonché dei provvedimenti del Garante.

Si tenga sempre a mente che le sanzioni in caso di illecito trattamento prevedono la reclusione sino a 3 anni, mentre nel caso di violazione delle misure di sicurezza è prevista un’ammenda che può arrivare nel massimo a centoventimila euro.

Ma le imprese e le pubbliche amministrazioni non sono lasciate sole nel difficile compito di trattare lecitamente i dati sensibili: per assisterle il Regolamento Europeo 2016/679 ha introdotto la figura del Data Protection Officer. Il Regolamento Europeo, all’art.37, stabilisce che tale figura sarà obbligatoria, a partire dal Maggio 2018, per tutti i soggetti la cui attività principale consiste nel trattamento, su larga scala, di dati sensibili, relativi alla salute o alla vita sessuale, genetici, giudiziari e biometrici.

Da questa breve analisi si può evincere come da un lato il trattamento dei dati sensibili richieda particolari tutele e il non osservarle può avere risvolti pesanti sul versante sanzionatorio, ma dall’altro sicuramente con l’ausilio del Data Protection Officer il compito dei titolari del trattamento sarà in gran parte semplificato.

1L’art. 3 della Costituzione stabilisce che non possono essere fatte distinzioni in base al sesso, alla razza, alla lingua, alla religione, alle opinioni politiche ed alle condizioni personali e sociali.

2Le uniche deroghe presenti nel Codice Privacy riguardano il trattamento effettuato dagli esercenti professioni sanitarie e dagli organismi sanitari pubblici, trovando applicazione in caso di trattamento effettuato per la tutela della salute dell’interessato. L’art. 76 del Codice Privacy prevede modalità semplificate per il consenso, il quale può essere manifestato anche oralmente in un’unica dichiarazione

3Al riguardo Cass. n. 19635 del 2011 e Cass. n 18980 del 2013.