Gdpr Privacy Sicurezza informatica

Gdpr, quali responsabilità penali in azienda per i reati informatici

Scritto da gestore

Mancano meno di sette mesi all’applicabilità del Regolamento Europeo c.d. GDPR ed è grande il fermento attorno alla nuova figura del DPO (Data Protection Officer).

Tuttavia, sono molto poche le informazioni sul quadro sanzionatorio penale preesistente e riferibile a tale nuova figura professionale e a quelle ad essa collegate.

Facciamo chiarezza.

Innanzitutto, quali sono le fattispecie di reato attualmente previste e che qui interessano?

Le fattispecie criminose ad assumere maggior rilievo sono: il reato di accesso abusivo ad un sistema informatico o telematico (art. 615 ter Codice Penale[1]), il reato di detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici (art. 615 quater Codice Penale[2]), nonché i reati previsti dal c.d. Codice della Privacy (in particolare gli artt. 167[3], 168[4], 169[5] e 170[6] del D.Lgs. 30 giugno 2003, n. 196Codice in materia di protezione dei dati personali – c.d. Codice Privacy).

La condotta tipica sanzionata dall’art. 615 ter c.p. consiste, alternativamente, nell’introdursi abusivamente, e cioè senza il consenso del titolare dello jus excludendi (rectius Titolare/Responsabile del trattamento dei dati), in un sistema protetto, ovvero nel permanervi invito domino ma per finalità estranee da quelle consentite.

Vale la pena precisare che “non hanno rilievo, […] per la configurazione del reato, gli scopi e le finalità che soggettivamente hanno motivato l’ingresso al sistema” (Cass. S.U., 27 ottobre 2011, n. 4694).

Il reato di cui all’art. 615 quater c.p. è un reato di pericolo astratto che si consuma per il fatto di essere venuti a conoscenza degli strumenti descritti nella norma (“codici, parole chiave o altri mezzi idonei all’accesso ad un sistema informatico o telematico, protetto da misure di sicurezza”) o di aver ceduto informazioni utili ad operare accessi a prescindere dal danno o dal turbamento effettivo del sistema; in altre parole, la norma mira a punire e reprimere le condotte prodromiche alla realizzazione del delitto di accesso abusivo ad un sistema informatico o telematico protetto da misure di sicurezza.

Qualora, invece, si dovesse verificare una fuga di informazioni protette, o siano state poste in essere azioni tali da configurarne il pericolo, sempre che tali condotte siano volte all’ottenimento di un profitto (in senso ampio), si incapperà nella violazione dell’art. 167 D.Lgs. 30 giugno 2003, n. 196 (trattamento illecito dei dati).

Intermezzo promozionale ... continua la lettura dopo il box:

Il trattamento dei dati personali in violazione degli articoli 18 (trattamenti effettuati da soggetti pubblici: si verifica laddove venga svolto un trattamento di dati personali non necessario al raggiungimento di obiettivi di pubblico interesse o quando, pur nell’ambito del perseguimento di funzioni istituzionali dell’Ente, non siano rispettati i limiti previsti da atti normativi per il trattamento medesimo), 19 (trattamenti di dati diversi da quelli sensibili e giudiziari: si compie allorché vengono comunicati ad Enti pubblici dati personali comuni al di fuori dei casi previsti da norme di legge o di regolamento o senza che la comunicazione stessa sia necessaria per lo svolgimento delle funzioni istituzionali proprie dell’Ente. In caso di assenza di norme di legge o di regolamento, prima di iniziare la comunicazione dei dati occorre effettuare l’apposita comunicazione al Garante.

L’articolo in esame richiede sotto il profilo soggettivo non il semplice dolo generico, ma il dolo specifico da parte di soggetti privati ed enti pubblici economici consistente nell’intenzione di fare conseguire al fatto di reato un profitto, per sé od altri, o un danno a terzi. La condanna per tale reato potrà essere inflitta solo ove si dimostri che il soggetto agente: A) sia consapevole di avere travalicato le funzioni istituzionali dell’Ente nel trattamento dei dati; B) agisca con la precisa intenzione di ricavare un profitto o cagionare un danno a terzi. Se manca uno di questi elementi il fatto potrà rilevare solo sotto il profilo civilistico. Così come, la semplice colpa dell’agente, derivante da negligenza, imperizia o imprudenza, non avrà rilievo sotto il profilo penale. Va rilevato che il Codice ha subordinato la punibilità di questi reati al verificarsi di un danno), 23 (consenso dell’interessato per il trattamento dei dati ), 123 (dati relativi al traffico trattati dal fornitore di una rete pubblica di comunicazione), 126 (dati relativi all’ubicazione dell’utente di una rete di comunicazione), 130 (comunicazioni indesiderate) o nell’applicazione dell’art. 129 (elenchi abbonati), è punito con la reclusione sino a due anni, qualora il fatto sia commesso al fine di trarne profitto o di recare ad altri un danno, e sempre che dal fatto stessi derivi nocumento, mentre è punito con la reclusione da sei mesi a tre anni se il fatto, commesso con le predette finalità, consiste nella comunicazione o diffusione dei dati.

Il comma 2 dell’art. 167 prevede la pena della reclusione da uno a quattro anni nel caso in cui taluno, al fine di trarne profitto o di recare ad altri un danno, e sempre che ne derivi nocumento, proceda al trattamento dei dati in violazione di quanto previsto da una pluralità di disposizioni espressamente indicate, tra le quali quelle relative ai dati sensibili (art. 20), ai dati giudiziari (art. 21), ai dati relativi allo stato di salute (art. 22, comma 8).

Il reato di accesso abusivo a sistemi informatici ed il reato di illecito trattamento dei dati, benché quest’ultimo preveda una clausola di riserva espressa in apertura della norma, possono pacificamente concorrere (cfr. Cass. Pen. Sez. V, 05/12/2016, n. 11994).

Veniamo ora alla seconda domanda: chi sarà considerato penalmente responsabile nel caso in cui si dovessero verificare le situazioni suddette?

Indubbiamente l’autore materiale delle condotte (che potrebbe essere anche un dipendente e non necessariamente un cracker esperto di sniffing).

Ma sono ravvisabili profili di responsabilità anche in capo al DPO ed in capo al Titolare/Responsabile del trattamento dei dati?

Per una risposta, in assenza di autonome previsioni normative, potrebbe essere utile confrontare il GDPR e la figura del DPO con quelle già esistenti in altri ambiti specifici come il Responsabile del Servizio di Prevenzione e Protezione (R.S.P.P.) previsto dal D. lgs. 81/2008 e l’Organismo di Vigilanza (OdV) previsto dal D. lgs. 231/01.

Ai sensi dell’art. 39 GDPR[7], il Responsabile della Protezione dei Dati (DPO), al pari dell’OdV e del R.S.P.P., non parrebbe avere un obbligo penalmente rilevante di effettuare controlli sulla effettiva applicazione dei protocolli stabiliti e, anzi, parrebbe che il ruolo affidatogli sia di consulenza tecnica specializzata non assimilabile ad un centro autonomo di responsabilità; in sostanza, egli parrebbe essere privo di quella “posizione di garanzia” che il legislatore incardina in capo al Titolare/Responsabile del trattamento, al dirigente e al preposto, nell’ambito delle loro rispettive attribuzioni. Tuttavia, ciò non toglie che in capo al DPO possa rinvenirsi un onere di attivazione ed un dovere di impulso anche rispetto al Titolare/Responsabile del trattamento che si riveli inerte (e che pertanto violi il disposto di cui all’art. 38 GDPR[8]).

Ai sensi dell’art. 39, comma 1, lettera b) del GDPR, il DPO è anche incaricato di attribuire le responsabilità, sensibilizzare e formare il personale che partecipa ai trattamenti (dei dati) e alle connesse attività di controllo.

Sarà pertanto proprio il DPO, di concerto con il Titolare/Responsabile del trattamento (originario soggetto ad assumere una posizione di garanzia in ambito di protezione dei dati), a stabilire chi e in quale misura risponderà del buon andamento delle procedure interne di gestione dei dati.

I responsabili così individuati avranno lo specifico compito di “impedire il verificarsi dell’evento” dannoso o pericoloso e risponderanno in particolare dei reati suddetti ai sensi dell’art. 40 comma 2 c.p.

Nel caso in cui dovesse verificarsi un evento penalmente rilevante, il responsabile di una singola o più procedure interne (nominato dal DPO) ed il Titolare/Responsabile del trattamento dei dati andranno esenti da responsabilità soltanto qualora dimostrino di aver correttamente adempiuto ai propri doveri e di aver fatto quanto in loro potere per impedire il verificarsi dell’evento dannoso o pericoloso.

Viene da sé che, tra le condotte da porre in essere per sgravarsi da responsabilità, vi sono il pieno rispetto del Regolamento UE 679/2016 (c.d. GDPR), la concreta attuazione di quanto ivi stabilito, nonché il rispetto delle procedure delineate dal DPO.

Occorre tuttavia sottolineare che un profilo di responsabilità penale in capo al DPO permane nel caso in cui sia proprio la condotta del DPO a determinare l’evento dannoso o pericoloso (nesso di causa). Pertanto, nel caso in cui il DPO abbia violato i compiti/doveri a lui imposti dal GDPR e abbia indotto il Titolare/Responsabile del trattamento dei dati ad omettere l’adozione di una doverosa misura organizzativa/prevenzionale, lo stesso potrebbe risultare responsabile (assieme al Titolare/Responsabile del trattamento) dell’evento derivato, essendo a lui (astrattamente) ascrivibile una responsabilità che potrebbe assumere, in certi casi, addirittura un carattere di esclusività.

Infine, rammentando il disposto dell’art. 39, comma 1, lettere d) ed e) del GDPR, parrebbe residuare in capo al DPO anche una responsabilità per quanto concerne la correttezza delle comunicazioni e notificazioni effettuate al Garante (Art. 168D.Lgs. 30 giugno 2003, n. 196), salvo dimostrare un affidamento incolpevolmente sulle informazioni ricevute dai vertici aziendali.

https://www.agendadigitale.eu/DPO%2C+chi+risponde+per+i+reati