Il D.lgs. 196/03 (Codice Privacy) prevede sanzioni amministrative e penali per i casi in cui il trattamento di dati personali venga effettuato in violazione della privacy.

Le principali sanzioni previste dal D.lgs. 196/03 per la violazione della privacy riguardano:

• l'omessa informativa (art. 161 del D.lgs. 196/03)
• la mancata adozione delle misure minime di sicurezza (art. 162, comma 2-bis del D.lgs. 196/2003)
• il trattamento illecito dei dati (art. 162, comma 2-bis del D.lgs. 196/03)
• l'inosservanza di un provvedimento del Garante Privacy (art. 162, comma 2-ter del D.lgs. 196/2003)
• la mancata presentazione della notificazione al Garante Privacy (art. 163 del D.lgs. 196/03)
• il mancato riscontro alle richieste del Garante Privacy (art. 164 del D.lgs. 196/2003)

Particolare attenzione va posta ai casi di omessa o incompleta informativa privacy, mancata adozione di misure minime di sicurezza e trattamento illecito dei dati poiché possono dar luogo all’irrogazione di sanzioni penali per violazione della privacy a carico dei soggetti Titolari del Trattamento.

La violazione della privacy può comportare gravi conseguenze anche sotto il profilo civilistico, infatti, l'art. 15 del Codice Privacy dispone che “chiunque cagioni danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'art. 2050 Codice Civile.”.

L’art. 2050 del Codice Civile disciplina la responsabilità civile derivante dall'esercizio di attività pericolose prevedendo l’inversione dell’onere della prova. Il richiamo a tale disposizione, si spiega con l'intento del legislatore di agevolare la posizione del danneggiato, ponendo a carico del Titolare del Trattamento la prova di aver adottato tutte le misure idonee ad evitare il danno di cui viene chiesto il risarcimento per violazione della privacy.

Le ultime Relazioni Annuali e le statistiche periodiche privacy ufficiali, rese pubbliche dal Garante Privacy, forniscono cifre allarmanti: il quadro generale che emerge è, infatti, una diffusa e continua illiceità nel trattamento dei dati personali, una insufficiente informazione degli interessati, la mancata adozione delle misure di sicurezza e tempi eccessivi di conservazione dei dati personali.

La principale violazione della privacy di natura penale segnalata alla magistratura è relativa alla mancata adozione delle misure minime di sicurezza, mentre i casi più frequenti di violazione della privacy amministrativa si riferisce ad ipotesi di omessa o inadeguata informativa privacy agli interessati, trattamento illecito di dati personali, omessa notificazione al Garante Privacy o mancato riscontro alle richieste di informazione e documentazione del Garante Privacy.

Il numero totale delle violazioni della privacy riscontrate negli ultimi anni è, inoltre, sensibilmente aumentato e le contestazioni sono state effettuate oltre che dal Dipartimento Attività Ispettive e Sanzioni del Garante Privacy, anche da ogni pubblico ufficiale o agente di polizia giudiziaria che abbiano rilevato nel corso dei propri controlli, accertamenti o ispezioni una violazione della privacy.

Semestralmente il Garante Privacy vara un piano ispettivo per rilevare la violazione della privacy, prevedendo non solo la prosecuzione dei controlli già avviati, ma anche la loro intensificazione e l’individuazione di nuovi ambiti di intervento.

Nel secondo semestre 2015, il Garante Privacy ha pubblicato un nuovo piano di intervento che prevede l’accertamento della violazione della privacy nei seguenti ambiti: trattamenti di dati svolti in relazione alla fidelizzazione della clientela; attività dei CAF collegata alla trasmissione on line del 730 precompilati; telemarketing; verifica dell’obbligo di notificazione; rispetto delle norme sull’informativa privacy e sul consenso privacy; adozione delle misure di sicurezza a protezione dei dati sensibili trattati da soggetti pubblici e privati.

Dr. Eric Falzone - Law Compliance Advisor - Partner EUCS

Avv. Marcello Baldo - Law Compliance Advisor - Consulente EUCS