Privacy e reati. Siamo sicuri che spariranno gli illeciti penali col GDPR?

Privacy e Reati. Siamo sicuri che spariranno gli illeciti penali col GDPR?

A breve (pare) il Codice Privacy sarà abrogato, facendo morire con sé tutte le sanzioni penali che si portava dietro. Ma è davvero così?

Negli scorsi giorni, a partire dal tardo pomeriggio del 21 marzo, abbiamo assistito a un tamtam mediatico attorno alla questione relativa all’abrogazione del Codice Privacy (il Dlgs 196/2003), resa pubblica dall’ufficio stampa del Governo, attraverso un comunicato diffuso sul sito web istituzionale. I maggiori “ripetitori” di questa notizia sono stati, prima che la stampa, i consulenti in materia, direttamente interessati e colpiti dalla norma.

Nel periodo immediatamente successivo, poi, qualcuno è anche riuscito a procurarsi e scambiare in rete una copia della bozza (sottolineo BOZZA) dell’atto con cui si dispone l’abrogazione del Codice. Da quel momento in poi, ognuno ha avuto modo di dire la sua e molti hanno notato che le sanzioni penali, con il nuovo testo normativo, sono ridotte all’osso e limitate alla falsità nelle dichiarazioni rese al Garante in fase ispettiva o alla turbativa dei procedimenti o delle ispezioni della stessa Autorità.

A parte il fatto che, personalmente, avrei preferito usassero la locuzione “autorità di controllo”, così da includere anche quelle degli altri Paesi dell’Unione, e ricordandoci che è pur sempre una bozza, siamo davvero sicuri che le fattispecie di reato sanzionate penalmente cesseranno di esistere una volta abrogato il Codice?

Secondo me no. Vi spiego perché.

Perché si continua a sbagliare intendendo la privacy come una cosa (materiale o immateriale che sia), mentre il GDPR vorrebbe che si abbandonasse questa prospettiva di pensiero. Non si deve proteggere la privacy, si devono tutelare i diritti e le libertà delle persone fisiche. Non si deve proteggere la privacy, si devono adottare comportamenti responsabili e virtuosi. Il fulcro si sposta dal dato al trattamento e alla finalità per cui è realizzato.

Quello che voglio dire è che se adottassimo la filosofia secondo cui i dati e le informazioni sono patrimonio e che i trattamenti sono un mezzo con cui avvalorarlo o deteriorarlo, allora potremmo capire che, a ben vedere, non avremmo bisogno di un nuovo corpo normativo in materia di reati penali sull’argomento.

Nel nostro Codice Penale, per esempio, partendo dal presupposto che i reati si dividono in delitti e contravvenzioni (fondamentalmente sulla base della loro gravità, i primi sono ritenuti più importanti), si contano circa 650 fattispecie di reato, a cui sono assegnate le varie sanzioni, con le cause aggravanti o attenuanti o di esclusione dalla pena. Tutte sono contenute nel Libro II e nel Libro III del Codice Penale.

Se scendiamo nel dettaglio, scopriamo che:

  • I reati indicati sono 652 (561 delitti e 91 contravvenzioni).
  • Esistono 283 delitti che possono essere commessi realizzando uno o più trattamenti combinati tra loro.
  • Esistono 15 contravvenzioni che possono essere commesse realizzando uno o più trattamenti combinati tra loro.

Consideriamo, inoltre, che anche l’omissione di trattamento potrebbe generare un illecito.

Quello che voglio dire, in altre parole, è che non penso sia necessario continuare a punire il mero fatto del trattamento, visto che abbiamo a disposizione una codice normativo che va a punire ciò che con il trattamento può essere realizzato.

Per fornire qualche esempio, al di là di quelli facilmente intuibili relativi alla corrispondenza, al domicilio, all’intromissione nella vita privata o all’interferenza nelle comunicazioni, posso citare:

Art. 278.
Offese all’onore o al prestigio del presidente della Repubblica.
Chiunque offende l’onore o il prestigio del presidente della Repubblica, è punito con la reclusione da uno a cinque anni.

È ovvio che qui i dati personali siano il nome e il cognome del soggetto e il suo status politico e gerarchico, il diritto leso è quello all’onore o al prestigio, e il trattamento effettuato è l’offesa (magari a mezzo stampa, tramite diffusione su quotidiani o con trasmissioni radiotelevisive).

Un altro esempio:

Art. 337.
Resistenza a un pubblico ufficiale.
Chiunque usa violenza o minaccia per opporsi a un pubblico ufficiale, o ad un incaricato di un pubblico servizio, mentre compie un atto d’ufficio o di servizio, o a coloro che, richiesti, gli prestano assistenza, è punito con la reclusione da sei mesi a cinque anni.

Qui il trattamento potrebbe essere l’acquisizione, da parte del pubblico ufficiale o delle altre persone in elenco, di dati e informazioni. L’opposizione violenta o minacciosa lo metterebbe nella condizione di non poter effettuare un trattamento previsto per legge.

Secondo me, è inutile che continuiamo a fare finta di nulla: governare l’informazione e i dati ormai è fondamentale per quello che può conseguire dal loro trattamento. Per questo sarebbe (passatemi l’esagerazione) anacronistico continuare a punire i trattamenti.

E, comunque, a ben vedere gli illeciti penali continueranno a esserci…

Organizzarsi è prevenire

Organizzarsi è prevenire

OgranizzazioneSpesso il tempo impiegato per organizzare bene un’attività è visto come una perdita in questioni burocratiche. Fino a che non succede qualcosa…

Non neghiamolo: compliance, gestione del rischio e attività di controllo interne sono tutte cose che alla maggior parte degli imprenditori suonano come inutili perdite di tempo che producono scartoffie e burocrazia che non porta nessun vantaggio e nessun beneficio produttivo.

Questa credenza popolare spesso porta gli stessi soggetti a ritenere i consulenti come me e i miei colleghi soltanto degli artisti del documento, il cui unico compito è scrivere qualcosa che è dovuto per legge, solo perché così, con quel manufatto, si sentono al sicuro da eventuali sanzioni… Come se fosse un oggetto magico, insomma.

Quello che – ahimè – non capiscono, è che non è la carta ad avere il potere, ma il suo contenuto.

Un contenuto che è frutto di esperienza e lavoro, e che per essere efficace (e solo in secondo luogo efficiente) ha bisogno che si investa adeguatamente del tempo per fare in modo che abbia effetti sull’organizzazione aziendale.

Voglio offrirvi un esempio e mi limiterò a citare i fatti e a fare alcune considerazioni.

Un soggetto A, tempo fa mi contattò per richiedere assistenza in tema di protezione dei dati. La sua attività prevedeva (e prevede tutt’ora) tra le altre cose la raccolta e l’elaborazione di determinati dati personali.

In un’ottica di gestione del rischio e di prevenzione di eventuali reclami, suggerii di adottare una procedura per l’eventuale restituzione dei dati agli interessati, in modo che si potesse essere ragionevolmente sicuri di consegnarli soltanto a loro o a persone autorizzate.

All’epoca, il soggetto A mi disse che non era il caso, perché avrebbe portato via parecchio tempo e non sarebbe stato agevole per i suoi clienti.

Capita così che alcuni giorni fa un soggetto ignoto si presenti al soggetto A, identificandosi come un congiunto di un suo cliente, e facendosi consegnare le copie dei documenti di quest’ultimo. Il cliente, scoperto l’accaduto, si è – giustamente – arrabbiato parecchio.

Quanto è successo non è molto chiaro, però si possono fare due considerazioni:

  • C’è stata una sostituzione di persona, che ha indotto fraudolentemente il soggetto A ad agire come descritto.
  • C’è stata una violazione dei dati personali del cliente.

Sulla base di questo, si può certamente affermare che:

  • Se fosse stata adottata e applicata una procedura per la restituzione dei documenti, che prevedesse un’autorizzazione specifica e preventiva da parte dell’interessato o un altro sistema di delega da parte sua, questo tipo di violazione non si sarebbe verificato (o, almeno, non in questo modo).
  • La mancanza della procedura è stata, di fatto, una inadeguatezza delle misure organizzative di sicurezza. Fortunatamente si può escludere un risvolto penale (mi riferisco all’art. 167 del Codice, visto che si tratta di comunicazione o diffusione) perché la violazione non è stata commessa a vantaggio o nell’interesse del soggetto A, che dal suo punto di vista è stato raggirato.
  • Il soggetto A ha dovuto contattare il sottoscritto e altri specialisti per vedersi rassicurare e farsi consigliare al meglio su eventuali strategie difensive, preoccupato che potesse accadere qualcosa a livello legale.

Al di là di qualsiasi altra discussione, il messaggio che vorrei che passasse forte e chiaro è che i professionisti come me non servono a procurare alle imprese un prodotto cartaceo che serve (più o meno) in caso di emergenza. Il nostro scopo è consigliare la strategia migliore, considerato il contesto di riferimento, per applicare al meglio una disposizione di legge i cui effetti non sono discutibili, al contrario dei metodi per ottenerli.

Il metodo migliore è sempre lo stesso: organizzarsi.

Citando Machiavelli, il fine giustifica i mezzi. Ovviamente se non si investe sui mezzi (organizzazione adeguata), non ci si può aspettare di raggiungere il fine sperato (fare business in tranquillità).

A chi serve il DPO?

chi serve il DPO?A chi serve il DPO?

Il DPO è una figura su cui si discute parecchio e da tempo. Tuttavia c’è ancora un velo di insicurezza circa gli ambiti merceologici in cui dovrebbe essere sicuramente nominato.

A chi serve il DPO? O meglio: in quali casi deve essere nominato?

La domanda sembra scontata, perché bastano pochi minuti di ricerca per imbattersi in uno dei tanti “interessanti articoli” sull’argomento che sono fioriti nell’ultimo biennio, ma che – diciamocelo – non hanno aggiunto nulla di più di quanto non fosse già stato chiaramente detto dal GDPR e successivamente descritto dalle linee guida di dicembre 2016.

Una critica forte che mi sento di fare è che in questo ultimo lustro, pochi si sono posti davvero il problema di determinare a chi serve il DPO, ma ricade in quelle categorie di soggetti titolari o responsabili del trattamento per i quali la nomina sarebbe obbligatoria, ma in modo non così immediatamente palese.

È pacifico e scontato che un ospedale debba nominarlo, così come deve farlo una pubblica amministrazione e, allo stesso modo, chi fornisce servizi di vigilanza da remoto. Ma gli altri? A chi serve il DPO?

Quanto segue è tratto da un episodio che mi è accaduto negli scorsi giorni.

Mi trovavo in cassa al supermercato e ho notato un cartello che, insieme ad altri avvisi, ricordava che il Codice Penale vieta la somministrazione di bevande alcooliche ai minori di sedici anni o agli infermi di mente. Per comodità, riporto integralmente il testo della norma:

Codice Penale – Art. 689.
Somministrazione di bevande alcooliche a minori o a infermi di mente.

L’esercente un’osteria o un altro pubblico spaccio di cibi o di bevande, il quale somministra, in un luogo pubblico o aperto al pubblico, bevande alcooliche a un minore degli anni sedici, o a persona che appaia affetta da malattia di mente, o che si trovi in manifeste condizioni di deficienza psichica a causa di un’altra infermità, è punito con l’arresto fino a un anno.

La stessa pena di cui al primo comma si applica a chi pone in essere una delle condotte di cui al medesimo comma, attraverso distributori automatici che non consentano la rilevazione dei dati anagrafici dell’utilizzatore mediante sistemi di lettura ottica dei documenti. La pena di cui al periodo precedente non si applica qualora sia presente sul posto personale incaricato di effettuare il controllo dei dati anagrafici.

Se il fatto di cui al primo comma è commesso più di una volta si applica anche la sanzione amministrativa pecuniaria da 1.000 euro a 25.000 euro con la sospensione dell’attività per tre mesi.

Se dal fatto deriva l’ubriachezza, la pena è aumentata.

La condanna importa la sospensione dall’esercizio.

Fermi tutti! Abbiamo letto bene?

In pratica il Codice Penale ci sta dicendo che chi somministra (vende) alcoolici deve controllare un documento d’identità valido per accertarsi dell’età dell’acquirente/consumatore e deve accertarsi del suo stato di salute psichica, perché se dal controllo risultano determinate informazioni, allora non può vendere nemmeno una birra leggera. Tra l’altro, è anche contemplata la possibilità di avvalersi di incaricati per espletare il controllo e ci sono precise indicazioni anche per i distributori automatici.

Incredulo, ho approfondito la ricerca e mi sono imbattuto in più d’una sentenza della Cassazione, che sostanzialmente confermavano quanto scritto nel Codice; una in particolare (Sentenza n° 46334 del 2013, emessa dalla V Sezione Penale), citando anche la Legge 125/2001, arriva a dire che:

La natura di reato di pericolo della somministrazione di bevande alcooliche a minori di anni sedici impone una effettiva e necessaria diligenza nell’accertamento dell’età del consumatore, atteggiamento che, nel caso in cui la somministrazione sia stata preceduta dalla richiesta, da parte del cameriere addetto alle consumazioni, dell’età dell’avventore, non può essere soddisfatto né dalla presenza nel locale di cartelli indicanti il divieto di erogazione di bevande alcooliche ai minori, né limitandosi a prendere atto della risposta del cliente sul superamento dell’età richiesta, ove ciò non corrisponda al vero.

Si tratta di un obbligo che grava innanzitutto sul soggetto che gestisce l’esercizio commerciale in cui si pratica la vendita al pubblico di bevande alcoliche, assicurandone la somministrazione, su richiesta dei clienti, personalmente o attraverso forme di organizzazione del lavoro incentrate sull’impiego di uno o più dipendenti retribuiti.

Per completezza, riporto anche l’articolo della citata legge:

Legge 125/2001 – Art. 14-ter: Introduzione del divieto di vendita di bevande alcoliche a minori.

1. Chiunque vende bevande alcoliche ha l’obbligo di chiedere all’acquirente, all’atto dell’acquisto, l’esibizione di un documento di identità, tranne che nei casi in cui la maggiore età dell’acquirente sia manifesta.

2. Salvo che il fatto non costituisca reato, si applica la sanzione amministrativa pecuniaria da 250 a 1.000 euro a chiunque vende o somministra bevande alcoliche ai minori di anni diciotto. Se il fatto è commesso più di una volta si applica la sanzione amministrativa pecuniaria da 500 a 2.000 euro con la sospensione dell’attività da quindici giorni a tre mesi.

Vediamo come le norme italiane e la giurisprudenza della Cassazione confermano quanto scritto poco sopra: l’esercente deve controllare.

Ora aggiungiamo quanto scritto nel GDPR e nelle linee guida, in particolare l’art. 37 del primo e i concetti di “attività principale”, “larga scala” e “monitoraggio regolare e sistematico”.

Anche se sembra strano, considerate tutte le norme, le linee guida e le sentenze, appare chiaro che:

  1. Chi vende o somministra alcoolici deve controllare i documenti e lo stato di salute psichica del cliente.
  2. Quest’obbligo – che a mio modo di vedere persegue finalità di pubblica sicurezza e interesse, oltre che di tutela della salute del cliente stesso – rende l’attività di controllo un’attività principale, perché condizione essenziale per la vendita o la somministrazione (salvo voler andare contro disposizioni di legge).
  3. Conseguentemente, il trattamento dei dati è effettuato su larga scala (perché coinvolge praticamente tutti i soggetti che intendono acquistare la bevanda alcoolica) ed è svolto in modo regolare e sistematico (poiché deve essere fatto almeno la prima volta che si presenta un nuovo cliente e deve essere fatto per adempiere a norme cogenti).
  4. I dati raccolti possono riguardare minorenni e possono essere sensibili o particolari.

Se poi consideriamo che, in presenza di un distributore automatico, il trattamento dei dati implica anche un processo decisionale automatizzato che produce effetti giuridici sull’interessato (cioè l’acquisto della proprietà, o meno, della bevanda alcoolica), è chiaro che l’intero processo di vendita si basa su un trattamento dei dati personali che è tutt’altro che poco rischioso (in termini di responsabilità e gestione dei rischi sui diritti degli interessati).

E se al distributore automatico si può ragionevolmente immaginare di essere in un contesto “riservato”, altrettanto non si può dire di un locale aperto al pubblico. Possiamo ragionevolmente affermare che c’è il rischio di mettere in forte imbarazzo l’acquirente nel caso non si volesse vendere il prodotto alcoolico perché lo riteniamo in “stato di deficienza psichica” (magari perché malato, oppure perché ebbro); ho usato il termine “forte imbarazzo” per evitare di scrivere “ledere la sua personalità” in presenza di altre persone.

A questo punto la domanda è:

A chi serve il DPO? Se ho un bar, un ristorante o un distributore automatico e vendo alcoolici, devo nominarlo?

Ebbene, se non siete giocatori d’azzardo e non vi piace rischiare di incorrere in sanzioni, la mia risposta potrebbe non piacervi.

Perché è .

Personalmente, ritengo che questo sia uno dei casi in cui è chiaro che quando si scrivono le regole, talvolta ci si dimentica che poi qualcuno dovrebbe anche applicarle. Uscendo dal ruolo di consulente privacy, non nascondo la mia perplessità di fronte a quanto è così chiaramente scritto nei testi normativi.

Forse, in questo caso, l’errore più grosso lo hanno commesso i legislatori.