Reati informatici e violazione della privacy
Costituisce violazione dell'obbligo di informazione nonché della privacy il trattamento di dati personali da parte di un soggetto o di una società
REATI INFORMATICI E VIOLAZIONE DELLA PRIVACY
ACCESSO A DATI PERSONALI O AZIENDALI
Costituisce violazione dell’obbligo di informazione da parte di una società ai dipendenti il trattamento dei loro dati personali.
E’ quanto ha statuito di recente il Garante della Privacy con il recente provvedimento n. 53/2018.
Detto provvedimento trae origine dal caso di un datore di lavoro che ha avuto accesso alle numerose mail scambiate da un lavoratore nel corso di un biennio precedente con i colleghi, messaggi il cui contenuto sarebbe stato poi utilizzato dall’azienda a fondamento di una contestazione disciplinare poi sfociata in licenziamento. L’accesso a tali messaggi è stato possibile in quanto il datore di lavoro ha conservato sul server aziendale tutte le comunicazioni elettroniche spedite e ricevute sugli account assegnati ai dipendenti per l’intera durata del rapporto di lavoro e anche successivamente.
In tale situazione il Garante ha dunque precisato che dopo la cessazione del rapporto di lavoro gli account riconducibili a persone identificate o identificabili devono essere rimossi previa disattivazione degli stessi, onde evitare di incorrere in eventuali illeciti.
Tale provvedimento richiama una precedente pronuncia della Corte di Cassazione - Sezione Quinta Penale, Sentenza 13 marzo 2017 n. 11994 che aveva ravvisato la sussistenza del reato di cui all’articolo 615ter del codice penale (accesso abusivo ad un sistema informatico o telematico) e all’articolo 167 del codice della privacy (trattamento illecito di dati) relativamente alla condotta dell’avvocato che, cambiando studio legale, copia e porta via mailing list e documenti appartenenti al vecchio studio.
Invero, in tal caso, secondo gli Ermellini: "integra la fattispecie criminosa di accesso abusivo ad un sistema informatico o telematico la condotta di accesso o di mantenimento nel sistema posta in essere da soggetto che, pure essendo abilitato, violi le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso, ovvero ponga in essere operazioni di natura antologicamente diversa da quelle per le quali l’accesso è consentito".
Dunque, anche se un soggetto ha le credenziali per accedere ad una banca dati riservata, è necessario accertare se la condotta di copiatura/duplicazione dei file rientri o meno nel perimetro dei suoi poteri. Inoltre, con riferimento alla natura dei dati trattati dall’avvocato, (atti giudiziari, rubriche, lettere, indirizzi e numeri di telefono dei clienti), questi, rientrano nella nozione di "dato personale", dati che, peraltro, appartenevano non solo al vecchio studio ma anche ai suoi clienti, i quali non avevano prestato alcun consenso per il loro trattamento all’avvocato una volta lasciato lo studio.
Pur tuttavia, la normativa sulla privacy per quanto adeguata ed in evoluzione rispetto ai tempi moderni, risulta avere un sistema sanzionatorio pressoché poco adeguato.
Invero, nel caso di furto di dati sensibili il massimo della sanzione è fino a tre anni di reclusione. Tanto basta per ipotizzare addirittura la possibilità di una futura depenalizzazione della fattispecie criminosa.
ACCESSO A DATI PERSONALI O AZIENDALI
Costituisce violazione dell’obbligo di informazione da parte di una società ai dipendenti il trattamento dei loro dati personali.
E’ quanto ha statuito di recente il Garante della Privacy con il recente provvedimento n. 53/2018.
Detto provvedimento trae origine dal caso di un datore di lavoro che ha avuto accesso alle numerose mail scambiate da un lavoratore nel corso di un biennio precedente con i colleghi, messaggi il cui contenuto sarebbe stato poi utilizzato dall’azienda a fondamento di una contestazione disciplinare poi sfociata in licenziamento. L’accesso a tali messaggi è stato possibile in quanto il datore di lavoro ha conservato sul server aziendale tutte le comunicazioni elettroniche spedite e ricevute sugli account assegnati ai dipendenti per l’intera durata del rapporto di lavoro e anche successivamente.
In tale situazione il Garante ha dunque precisato che dopo la cessazione del rapporto di lavoro gli account riconducibili a persone identificate o identificabili devono essere rimossi previa disattivazione degli stessi, onde evitare di incorrere in eventuali illeciti.
Tale provvedimento richiama una precedente pronuncia della Corte di Cassazione - Sezione Quinta Penale, Sentenza 13 marzo 2017 n. 11994 che aveva ravvisato la sussistenza del reato di cui all’articolo 615ter del codice penale (accesso abusivo ad un sistema informatico o telematico) e all’articolo 167 del codice della privacy (trattamento illecito di dati) relativamente alla condotta dell’avvocato che, cambiando studio legale, copia e porta via mailing list e documenti appartenenti al vecchio studio.
Invero, in tal caso, secondo gli Ermellini: "integra la fattispecie criminosa di accesso abusivo ad un sistema informatico o telematico la condotta di accesso o di mantenimento nel sistema posta in essere da soggetto che, pure essendo abilitato, violi le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso, ovvero ponga in essere operazioni di natura antologicamente diversa da quelle per le quali l’accesso è consentito".
Dunque, anche se un soggetto ha le credenziali per accedere ad una banca dati riservata, è necessario accertare se la condotta di copiatura/duplicazione dei file rientri o meno nel perimetro dei suoi poteri. Inoltre, con riferimento alla natura dei dati trattati dall’avvocato, (atti giudiziari, rubriche, lettere, indirizzi e numeri di telefono dei clienti), questi, rientrano nella nozione di "dato personale", dati che, peraltro, appartenevano non solo al vecchio studio ma anche ai suoi clienti, i quali non avevano prestato alcun consenso per il loro trattamento all’avvocato una volta lasciato lo studio.
Pur tuttavia, la normativa sulla privacy per quanto adeguata ed in evoluzione rispetto ai tempi moderni, risulta avere un sistema sanzionatorio pressoché poco adeguato.
Invero, nel caso di furto di dati sensibili il massimo della sanzione è fino a tre anni di reclusione. Tanto basta per ipotizzare addirittura la possibilità di una futura depenalizzazione della fattispecie criminosa.
Articolo del: