§ A. Sanzioni penali

Le fattispecie penali in materia di trattamento dei dati personali sono reati propri, ossia reati che non possono essere commessi da un soggetto qualunque, bensì da colui il quale è in possesso di determinati requisiti.
Del comportamento, ritenuto illecito, dovrà rispondere astrattamente l’Ente quale "titolare" del trattamento dei dati. Tuttavia, poiché in base alle norme generali di diritto penale, può delinquere solo una persona fisica la sanzione verrà comminata al responsabile del trattamento dei dati, nella qualità di trasgressore ed eventualmente anche al dirigente della struttura che ha nominato il responsabile del trattamento.
Infatti il titolare del trattamento ha il dovere di controllo ed il potere di intervento sui comportamenti del responsabile. Va precisato, tuttavia, che il dirigente risponderà solo se ricorrono i requisiti del concorso di persone nel reato, ai sensi dell’articolo 110 c.p.
In particolare è necessario individuare concretamente se del delitto debba rispondere il titolare, il responsabile o altri soggetti incaricati.
Ai sensi dell’articolo 110 c.p. per l’affermazione della responsabilità penale del Dirigente Scolastico (titolare del trattamento) non è sufficiente la mera condotta colposa (omissione dei poteri di controllo sul responsabile), è,altresì, necessario che anche il titolare abbia la coscienza e la volontà del fatto criminoso ed inoltre la volontà di concorrere, unitamente al responsabile, all’illecito trattamento dei dati.

N.B. Anche i soggetti esterni all’Istituzione Scolastica, nominati responsabili del trattamento, possono rispondere penalmente degli illeciti commessi.

• Esempio inerente i soggetti con compiti di manutenzione agli apparati informatici nominati responsabili del trattamento: come abbiamo visto nella prima parte del presente lavoro, coloro i quali sono deputati alla manutenzione degli strumenti informatici, dal momento che vengono a contatto con i dati raccolti dall’Istituzione Scolastica, devono assumere la qualifica di responsabili del trattamento. Pertanto, nel caso in cui tali soggetti violino le norme concernenti il trattamento dei dati personali, arrecando un nocumento ad altri soggetti, saranno penalmente responsabili.
  La previsione delle sanzioni penali dei comportamenti illeciti riguardanti il trattamento dei dati personali è contenuta nell’articolo 167 del Codice Privacy.
  La norma prevede una forma di illecito, sottoposta alla condizione obiettiva di punibilità consistente nella derivazione dal fatto illecito di un nocumento ai diritti dell’interessato.
  In sintesi ai fini dell’integrazione della fattispecie penale in esame è necessario:
  

- elemento oggettivo: il verificarsi della condizione obiettiva di punibilità del nocumento ai diritti dell’interessato;
- elemento soggettivo: il dolo specifico e cioè l’aver agito al fine di trarne profitto per sé o per altri o di recare ad altri un danno.
Il legislatore ha ritenuto che solo quando il diritto dell’interessato alla privacy subisce una effettiva e concreta lesione (nocumento) possa dirsi integrato il reato penale.

N.B. Non costituisce reato la semplice irregolarità procedimentale o la violazione formale che non abbia importato un vulnus apprezzabile nei confronti dei soggetti passivi titolari dell’interesse protetto (Cass. Penale, Sezione III, 28 maggio-9 luglio 2004 n. 30134).

Condotte incriminate.
1. L’articolo 167 codice privacy prevede molteplici modalità di condotta.
In particolare il primo comma può a sua volta essere suddiviso in due parti: il primo periodo punisce il procedere al trattamento dei dati in violazione alle disposizioni richiamate dal Codice.
Il secondo periodo del primo comma, invece, sanziona l’ipotesi in cui la condotta di trattamento illecito sia realizzata mediante comunicazione o diffusione dei dati stessi.
Il secondo comma dell’articolo 167 codice privacy prevede pene più severe per la condotta posta in essere in violazione delle seguenti norme:
-art. 17, il quale disciplina il trattamento dei dati diversi da quelli sensibili e giudiziari che presenti rischi specifici per diritti e libertà fondamentali;
-art. 20,21,22 comma 8 e 11, che disciplinano il trattamento di dati sensibili e giudiziari effettuato da soggetti pubblici;
-art. 25 che disciplina il divieto di comunicazione e di diffusione dei dati;
-art. 26 e 27 che disciplinano il trattamento dei dati sensibili e giudiziari effettuato da soggetti privati;
-art. 45 che disciplina il trasferimento all’estero.
L’articolo 167, tuttavia, termina la sua formulazione con una clausola, che merita di essere presa in considerazione. Si tratta della espressione: "…salvo che il fatto costituisca più grave reato…".
Le ipotesi del codice penale, che vengono chiamate in causa, sono l’ipotesi di abuso d’ufficio (art. 323 c.p.) e di rivelazione del segreto d’ufficio (art. 326 c.p.).

• Esempio in materia di abuso d’ufficio: il responsabile del trattamento di un’Istituzione Scolastica riferisce i dati (nome, cognome, indirizzo, numero di telefono) degli studenti meno preparati ad un docente, al fine di consentire a quest’ultimo di poter svolgere lezioni private. In tale ipotesi si dovrà applicare la più grave sanzione prevista dall’articolo 323 c.p. e non quella prevista dall’articolo 167 codice privacy. Infatti il responsabile del trattamento con il suo comportamento non solo viola l’articolo 18 codice privacy che stabilisce che i dati possono essere trattati solo per fini istituzionali, ma agendo volontariamente e con l’intenzione di procurare ad un terzo (il docente) un ingiusto profitto, pone in essere il più grave reato di abuso d’ufficio.
  
• Esempio in materia di pubblicazione dei risultati degli scrutini: nessuna norma in materia di privacy vieta la pubblicazione dei risultati degli scrutini. Essi devono essere pubblicati come previsto dalla normativa in materia.
  Anche il Garante privacy è intervenuto sul punto con un comunicato stampa del 3 dicembre 2004, nel quale ha ribadito che non esiste alcun provvedimento che imponga di tenere segreti i risultati dei compiti in classe, delle interrogazioni e degli scrutini. Non devono essere consegnati in busta chiusa agli alunni, in quanto non rientrano nella categoria dei dati sensibili; al contrario devono essere pubblicati. A tale proposito è opportuno richiamare anche la circolare ministeriale n. 261 del 2000, che ribadisce il concetto anche con riferimento all’Esame di Stato.
  Nell’esempio prospettato, dunque, la pubblicazione dei risultati degli scrutini non comporta alcuna responsabilità penale in capo al responsabile del trattamento.
  
• Esempio in materia di trattamento di dati sensibili, attinenti all’esercizio della sessualità: nel caso in cui l’Istituzione Scolastica venga a conoscenza dell’accesso del minore alla contraccezione e tale dato venga rivelato a terzi estranei, il responsabile del trattamento non risponderà del reato di illecito trattamento di dati sensibili previsto dall’articolo 167 codice privacy, ma del più grave reato previsto dall’articolo 326 c.p. in materia di rivelazione di segreto d’ufficio, posto in essere dal pubblico ufficiale o incaricato di pubblico servizio.
  

N.B. A fronte del riconosciuto diritto attribuito al minore di poter ottenere l’accesso alla contraccezione, il comportamento del docente, il quale viola la riservatezza perché informa i genitori della situazione, rileva penalmente. Infatti il diritto alla riservatezza, come abbiamo visto nella seconda parte del presente lavoro, deve essere riconosciuto al minore nei confronti di tutti, ivi compresi i genitori.
Al contrario, il comportamento del docente, il quale avverte il genitore delle cattive frequentazioni del minore, è scriminato e quindi non punibile. In tale caso, infatti, il diritto del minore alla riservatezza si contrappone al diritto dei genitori ad essere informati sul comportamento dei figli.

• Esempio inerente la rivelazione di dati sensibili riguardanti interventi terapeutici in materia di stupefacenti: in virtù del comma 3 articolo 120 T.U. sugli stupefacenti, il minore che faccia uso di sostanze stupefacenti ha diritto all’anonimato, nel caso in cui intenda sottoporsi personalmente ad accertamenti diagnostici ed interventi terapeutici e riabilitativi.
  Il Dirigente Scolastico o un Docente che rivela le notizie sopra richiamate ai genitori commette un reato.
  
• Esempio in materia di rivelazione di dati sanitari in genere: il Dirigente Scolastico o il Docente che riveli la malattia da cui risulti affetto uno studente è responsabile penalmente ai sensi dell’articolo 326 c.p.
  

N.B. Nel caso in cui si debba tutelare un diritto pari a quello dell’interesse alla riservatezza ai sensi dell’articolo 60 codice privacy (ad esempio in caso di colluttazione tra studenti a seguito della quale i due studenti riportano ferite con perdite di sangue) il Dirigente Scolastico o il Docente che riveli al genitore di uno dei due studenti feriti che l’altro studente è affetto da malattia contagiosa, quale l’H. I. V., non è penalmente responsabile.

• Esempio in materia di libertà fondamentali: nel caso in cui il Dirigente Scolastico o un Docente riveli al genitore la scelta di un credo religioso o l’appartenenza ad un partito politico da parte del figlio, tale comportamento non integra una fattispecie penale.
  
• Esempio in materia di dati sensibili richiesti da un’Autorità Giudiziaria: in tali casi il diritto in questione è almeno di pari rango rispetto a quello della riservatezza e, pertanto, i dati devono essere comunicati all’Autorità Giudiziaria, senza che il Dirigente Scolastico, che li comunica, incorra in alcuna sanzione penale.
  

2. Articolo 168 codice privacy: il reato si consuma nel momento in cui le false dichiarazioni vengono rilasciate, o nel momento in cui vengono prodotti gli atti o i documenti falsificati. La norma è posta a tutela dell’azione del Garante.
3. Articolo 169 codice privacy: disciplina la omessa adozione di misure di sicurezza. Tale disciplina costituisce una norma penale in bianco, la cui concretizzazione risulta affidata ad ulteriori prescrizioni legislative e regolamentari. Tali prescrizioni delineano le misure minime di sicurezza, la cui omissione integra la fattispecie penale di cui all’articolo 169, dal momento che comporta un grave pericolo di lesione dei diritti alla persona. Tale disciplina si riferisce in particolare al trattamento, attraverso mezzi informatici, dei dati, i quali diventano, così, estremamente vulnerabili. Ecco dunque la necessità di ricorrere ad idonee misure di sicurezza, sia rivolta all’interno che all’esterno della rete informatica.
Nel codice della privacy il legislatore ha previsto sanzioni severe per chi, dall’interno, non pone in essere le minime misure di sicurezza richieste. Tuttavia, il legislatore prevede sanzioni altrettanto severe per colui il quale dall’esterno intende aggredire i sistemi informatici (art. 615 ter c.p.).

N.B. Anche la mancata adozione del Documento Programmatico per la Sicurezza (DPS) fa sorgere una responsabilità penale in capo al titolare del trattamento. Infatti, dal momento che il DPS contiene scelte di indirizzo inerenti al profilo della sicurezza dei dati gestiti, e che l’articolo 4 lettera f del codice attribuisce, in capo al titolare, le decisione in ordine alle finalità anche sotto il profilo della sicurezza, ne consegue che il titolare del trattamento dati è l’unico responsabile dal punto di vista penale dell’omessa adozione del DPS.

L’applicazione dell’articolo 169 riguarda anche il mancato aggiornamento del DPS nonché l’omessa verifica periodica sull’efficacia delle misure di sicurezza adottate sulla base dello stesso piano.
Il Titolare del trattamento all’interno di un’Istituzione Scolastica dovrà, pertanto, porre in essere tutte le necessarie accortezze tali da evitare intrusioni di virus informatici o altro.
Inoltre la redazione incompleta del DPS comporta responsabilità penale solo nel caso in cui le informazioni omesse siano essenziali alle finalità del documento stesso. In caso contrario tale incompletezza non integra una condotta penalmente rilevante in capo al titolare del trattamento.
4. Articolo 170 codice privacy: la norma incrimina l’inosservanza dei provvedimenti del Garante, relativi ad autorizzazioni al trattamento dei dati sensibili e di quelli assunti a seguito di reclamo o ricorso dell’interessato volto a far valere i diritti riconosciutigli dallo stesso codice del trattamento dei dati personali.
5. Articolo 171 codice privacy: punisce la violazione delle disposizioni previste agli articoli 113 comma 1, 114 del codice, che richiamano la legge n. 300 del 1970.
6. Articolo 172 codice privacy: stabilisce pena accessoria, prevedendo la pubblicazione della sentenza di condanna. Tale norma è limitata alle sole fattispecie delittuose quali il trattamento illecito di dati personali, la falsità nelle dichiarazioni e notificazioni al Garante ed l’inosservanza dei provvedimenti del Garante.