§ A. Sanzioni penali


Le fattispecie penali in materia di trattamento dei dati personali sono reati propri, ossia reati che non possono essere commessi da un soggetto qualunque, bensì da colui il quale è in possesso di determinati requisiti.
Del comportamento, ritenuto illecito, dovrà rispondere astrattamente l’Ente quale "titolare" del trattamento dei dati. Tuttavia, poiché in base alle norme generali di diritto penale, può delinquere solo una persona fisica la sanzione verrà comminata al responsabile del trattamento dei dati, nella qualità di trasgressore ed eventualmente anche al dirigente della struttura che ha nominato il responsabile del trattamento.
Infatti il titolare del trattamento ha il dovere di controllo ed il potere di intervento sui comportamenti del responsabile. Va precisato, tuttavia, che il dirigente risponderà solo se ricorrono i requisiti del concorso di persone nel reato, ai sensi dell’articolo 110 c.p.
In particolare è necessario individuare concretamente se del delitto debba rispondere il titolare, il responsabile o altri soggetti incaricati.
Ai sensi dell’articolo 110 c.p. per l’affermazione della responsabilità penale del Dirigente Scolastico (titolare del trattamento) non è sufficiente la mera condotta colposa (omissione dei poteri di controllo sul responsabile), è,altresì, necessario che anche il titolare abbia la coscienza e la volontà del fatto criminoso ed inoltre la volontà di concorrere, unitamente al responsabile, all’illecito trattamento dei dati.

N.B. Anche i soggetti esterni all’Istituzione Scolastica, nominati responsabili del trattamento, possono rispondere penalmente degli illeciti commessi.

- elemento oggettivo: il verificarsi della condizione obiettiva di punibilità del nocumento ai diritti dell’interessato;
- elemento soggettivo: il dolo specifico e cioè l’aver agito al fine di trarne profitto per sé o per altri o di recare ad altri un danno.
Il legislatore ha ritenuto che solo quando il diritto dell’interessato alla privacy subisce una effettiva e concreta lesione (nocumento) possa dirsi integrato il reato penale.

N.B. Non costituisce reato la semplice irregolarità procedimentale o la violazione formale che non abbia importato un vulnus apprezzabile nei confronti dei soggetti passivi titolari dell’interesse protetto (Cass. Penale, Sezione III, 28 maggio-9 luglio 2004 n. 30134).

Condotte incriminate.
1. L’articolo 167 codice privacy prevede molteplici modalità di condotta.
In particolare il primo comma può a sua volta essere suddiviso in due parti: il primo periodo punisce il procedere al trattamento dei dati in violazione alle disposizioni richiamate dal Codice.
Il secondo periodo del primo comma, invece, sanziona l’ipotesi in cui la condotta di trattamento illecito sia realizzata mediante comunicazione o diffusione dei dati stessi.
Il secondo comma dell’articolo 167 codice privacy prevede pene più severe per la condotta posta in essere in violazione delle seguenti norme:
-art. 17, il quale disciplina il trattamento dei dati diversi da quelli sensibili e giudiziari che presenti rischi specifici per diritti e libertà fondamentali;
-art. 20,21,22 comma 8 e 11, che disciplinano il trattamento di dati sensibili e giudiziari effettuato da soggetti pubblici;
-art. 25 che disciplina il divieto di comunicazione e di diffusione dei dati;
-art. 26 e 27 che disciplinano il trattamento dei dati sensibili e giudiziari effettuato da soggetti privati;
-art. 45 che disciplina il trasferimento all’estero.
L’articolo 167, tuttavia, termina la sua formulazione con una clausola, che merita di essere presa in considerazione. Si tratta della espressione: "…salvo che il fatto costituisca più grave reato…".
Le ipotesi del codice penale, che vengono chiamate in causa, sono l’ipotesi di abuso d’ufficio (art. 323 c.p.) e di rivelazione del segreto d’ufficio (art. 326 c.p.).


N.B. A fronte del riconosciuto diritto attribuito al minore di poter ottenere l’accesso alla contraccezione, il comportamento del docente, il quale viola la riservatezza perché informa i genitori della situazione, rileva penalmente. Infatti il diritto alla riservatezza, come abbiamo visto nella seconda parte del presente lavoro, deve essere riconosciuto al minore nei confronti di tutti, ivi compresi i genitori.
Al contrario, il comportamento del docente, il quale avverte il genitore delle cattive frequentazioni del minore, è scriminato e quindi non punibile. In tale caso, infatti, il diritto del minore alla riservatezza si contrappone al diritto dei genitori ad essere informati sul comportamento dei figli.


N.B. Nel caso in cui si debba tutelare un diritto pari a quello dell’interesse alla riservatezza ai sensi dell’articolo 60 codice privacy (ad esempio in caso di colluttazione tra studenti a seguito della quale i due studenti riportano ferite con perdite di sangue) il Dirigente Scolastico o il Docente che riveli al genitore di uno dei due studenti feriti che l’altro studente è affetto da malattia contagiosa, quale l’H. I. V., non è penalmente responsabile.


2. Articolo 168 codice privacy: il reato si consuma nel momento in cui le false dichiarazioni vengono rilasciate, o nel momento in cui vengono prodotti gli atti o i documenti falsificati. La norma è posta a tutela dell’azione del Garante.
3. Articolo 169 codice privacy: disciplina la omessa adozione di misure di sicurezza. Tale disciplina costituisce una norma penale in bianco, la cui concretizzazione risulta affidata ad ulteriori prescrizioni legislative e regolamentari. Tali prescrizioni delineano le misure minime di sicurezza, la cui omissione integra la fattispecie penale di cui all’articolo 169, dal momento che comporta un grave pericolo di lesione dei diritti alla persona. Tale disciplina si riferisce in particolare al trattamento, attraverso mezzi informatici, dei dati, i quali diventano, così, estremamente vulnerabili. Ecco dunque la necessità di ricorrere ad idonee misure di sicurezza, sia rivolta all’interno che all’esterno della rete informatica.
Nel codice della privacy il legislatore ha previsto sanzioni severe per chi, dall’interno, non pone in essere le minime misure di sicurezza richieste. Tuttavia, il legislatore prevede sanzioni altrettanto severe per colui il quale dall’esterno intende aggredire i sistemi informatici (art. 615 ter c.p.).

N.B. Anche la mancata adozione del Documento Programmatico per la Sicurezza (DPS) fa sorgere una responsabilità penale in capo al titolare del trattamento. Infatti, dal momento che il DPS contiene scelte di indirizzo inerenti al profilo della sicurezza dei dati gestiti, e che l’articolo 4 lettera f del codice attribuisce, in capo al titolare, le decisione in ordine alle finalità anche sotto il profilo della sicurezza, ne consegue che il titolare del trattamento dati è l’unico responsabile dal punto di vista penale dell’omessa adozione del DPS.

L’applicazione dell’articolo 169 riguarda anche il mancato aggiornamento del DPS nonché l’omessa verifica periodica sull’efficacia delle misure di sicurezza adottate sulla base dello stesso piano.
Il Titolare del trattamento all’interno di un’Istituzione Scolastica dovrà, pertanto, porre in essere tutte le necessarie accortezze tali da evitare intrusioni di virus informatici o altro.
Inoltre la redazione incompleta del DPS comporta responsabilità penale solo nel caso in cui le informazioni omesse siano essenziali alle finalità del documento stesso. In caso contrario tale incompletezza non integra una condotta penalmente rilevante in capo al titolare del trattamento.
4. Articolo 170 codice privacy: la norma incrimina l’inosservanza dei provvedimenti del Garante, relativi ad autorizzazioni al trattamento dei dati sensibili e di quelli assunti a seguito di reclamo o ricorso dell’interessato volto a far valere i diritti riconosciutigli dallo stesso codice del trattamento dei dati personali.
5. Articolo 171 codice privacy: punisce la violazione delle disposizioni previste agli articoli 113 comma 1, 114 del codice, che richiamano la legge n. 300 del 1970.
6. Articolo 172 codice privacy: stabilisce pena accessoria, prevedendo la pubblicazione della sentenza di condanna. Tale norma è limitata alle sole fattispecie delittuose quali il trattamento illecito di dati personali, la falsità nelle dichiarazioni e notificazioni al Garante ed l’inosservanza dei provvedimenti del Garante.