Volume consigliato
Il Responsabile della Protezione dei Dati (Data Protection Officer-DPO)Quando deve essere designato un DPO? Chi deve nominarlo? Chi può essere nominato DPO e quali requisiti sono richiesti? DPO dipendente oppure soggetto esterno? Quale atto formale di nomina occorre in ambito pubblico? Se il DPO è un dipendente pubblico quale qualifica deve avere? Qual è la posizione del DPO nell’ente/azienda? Quali sono i suoi compiti?Aggiornata al D.lgs. del 10 agosto 2018, n. 101 in materia di privacy, questa pratica Guida risponde alle domande sopra enunciate e fornisce un’analisi dei compiti e dei margini di attività della nuova figura del “Responsabile dei dati personali” (anche noto come DPO, acronimo di Data Protection Officer), in considerazione degli adempimenti che imprese e soggetti pubblici devono affrontare per effetto del Regolamento UE 2016/679.Il testo è strutturato in numerosi quesiti di taglio pratico, ai quali l’autore fornisce una soluzione sulla scorta del testo normativo, delle linee guida adottate dal Gruppo di Lavoro ex art. 29 (WP29) e delle più recenti indicazioni fornite dal Garante della Privacy.Stefano ComelliniAvvocato in Bologna, patrocinante in Cassazione, si occupa prevalentemente di Diritto Industriale, Diritto dell’In- formatica e delle Telecomunicazioni nonché della disciplina della Privacy. E’ iscritto nell’elenco dei rappresentanti presso la EUIPO (Ufficio dell’Unione Europea per la proprietà intellettuale). Relatore in convegni, è particolarmente attivo sui social network, dove svolge attività di divulgazione giuridica. Nel 2002, il sito www.comellini.it, da lui cu- rato, ha ottenuto, dalla giuria di “Italex Award 2002 – il premio per i migliori siti giuridici italiani”, il riconoscimento di migliore studio legale online.Soluzioni di Diritto è una collana che offre soluzioni operative per la pratica professionale o letture chiare di problematiche di attualità. Uno strumento di lavoro e di approfondimento spendibile quotidianamente.L’esposizione è lontana dalla banale ricostruzione manualistica degli istituti ov- vero dalla sterile enunciazione di massime giurisprudenziali.Si giunge a dare esaustive soluzioni ai quesiti che gli operatori del diritto incon- trano nella pratica attraverso l’analisi delle norme, itinerari dottrinali e giuri- sprudenziali e consigli operativi sul piano processuale. Stefano Comellini | 2018 Maggioli Editore 19.00 € 15.20 € |
La vicenda giudiziaria
Il Tribunale di Ragusa condannava l’imputato alla pena di giustizia e al risarcimento dei danni, ritenendolo colpevole del reato di cui agli artt. 81 c.p. e 167 d.lgs. 196/2003 – vigente ratione temporis – per avere utilizzato, ad insaputa della ex moglie, persona offesa, dati personali della stessa al fine di creare un account su un social network di videochat e incontri.
In particolare l’imputato veniva condannato per aver inserito dati personali della persona offesa, ad insaputa della stessa, nel settore denominato “sesso” del relativo profilo. La persona offesa era rimasta iscritta a tale sito per diversi giorni, ed in particolare dal 15 al 29 maggio del 2010, mediante tale falso profilo.
Seguiva il giudizio di secondo grado in cui la Corte d’Appello di Catania ribadiva l’orientamento del Giudice di prime cure, confermando la condanna dell’imputato.
Contro la sentenza dei Giudici catanesi l’imputato ricorreva per Cassazione, sulla base di diversi motivi.
Tra i vari, particolare rilevanza assume il terzo motivo, con cui il ricorrente sosteneva l’intervenuta prescrizione del reato. In particolare l’imputato lamentava violazione di legge perché la Corte d’Appello non avrebbe rilevato che la creazione dell’account sarebbe avvenuta nella data del 27.04.2010, con la conseguenza che il reato si sarebbe prescritto in data 15.09.2018, ovvero prima della pronuncia della sentenza d’appello.
Proprio in relazione al descritto motivo di ricorso la lettura del provvedimento pone interessanti riflessioni sulla natura – istantanea o permanente – del reato ex art. 167 d.lgs 196/2003. Si tratta di una tematica che negli ultimi anni, anche alla luce delle innovazioni tecnologiche concernenti il c.d. Cyberspazio, ha assunto rilevanza centrale nel panorama giuridico contemporaneo.
L’art. 167 d.lgs 196/2003: una breve analisi
L’art. 167, primo comma, del Codice della Privacy punisce con la reclusione da 6 a 18 mesi, salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno, in violazione di quanto disposto dagli artt. 123, 126 e 130 o dal provvedimento di cui all’art. 129 del medesimo Codice, arrechi nocumento all’interessato.
Il secondo comma punisce – ancora, salvo che il fatto costituisca più grave reato – chiunque, al fine di trarre per sé o per altri profitto, ovvero di arrecare danno, proceda al trattamento di dati personali o in violazione delle misure di garanzia previste dal codice.
Infine il terzo comma punisce chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, trasferisca dati sensibili ad un paese terzo o ad un’organizzazione internazionale fuori dei casi consentiti.
Gli ultimi commi della disposizione specificano l’obbligo di cooperazione tra Pubblico Ministero e Garante per la protezione dei dati personali nel caso in cui si proceda per tali reati.
Tali fattispecie costituiscono reati comuni, potendo essere commessi da “chiunque”.
Particolari riflessioni sono necessarie in ordine alla natura del bene giuridico tutelato dalla norma.
La disposizione protegge non semplicemente la riservatezza dei dati personali dalle turbative provocate dai terzi, ma anche l’eventuale pregiudizio all’onore e alla reputazione subito dalla persona offesa, potendo in ogni caso la condotta arrecare lesioni alla sfera più intima della riservatezza e dell’autodeterminazione.
La norma intende proteggere altresì il traffico giuridico informatizzato, che assume rilievo quale interesse proprio di tutta la collettività nell’attuale dimensione globale della Rete.
La condotta consiste – nella fattispecie prevista dal co. 1 della norma – nell’operare in violazione delle disposizioni (artt. 123, 126, 130 e provvedimenti ex art. 129) in materia di comunicazioni elettroniche.
La fattispecie più grave punita dal co. 2 è caratterizzata da una condotta volta a trattare particolari dati in violazione delle norme di legge.
Il dolo è, in tutti i reati oggetto d’esame, specifico e strutturato nella forma del dolo alternativo: la volontà dell’agente deve essere infatti diretta a cagionare un danno ovvero un nocumento.
Piccole considerazioni sulla consumazione del reato nel Cyberspazio
Per comprendere appieno la portata della pronuncia dei Giudici di legittimità, è bene soffermarsi brevemente sulla distinzione tra reati istantanei e permanenti.
È la stessa sentenza a ricordare che, sulla base della durata dell’azione criminosa nel tempo, i reati si distinguono in istantanei e permanenti.
Istantanei sono quei reati in cui la realizzazione del fatto tipico integra ed esaurisce l’offesa, in quanto la lesione del bene protetto non può persistere nel tempo. In questi reati la realizzazione dell’offesa tipica coincide con il momento in cui il soggetto realizza quanto richiesto dalla fattispecie astratta.
Permanenti sono invece quei delitti nei quali il fatto che costituisce reato non si esaurisce unico actu et uno tempore, ma si protrae nel tempo, finché perdura la situazione antigiuridica dovuta alla condotta del reo e questi non la fa cessare.
Importante ricordare che l’art. 158 c.p. specifica che il termine della prescrizione decorre dal giorno in cui è cessata la permanenza.
Le questioni aperte dall’esame dei reati commessi nel Cyberspazio sollecitano peraltro, in una prospettiva teorica di più ampio respiro, riflessioni generali sulla teoria del reato, che si ricollegano a concetti basilari come quelli di “azione”, “evento”, “nesso causale”. Il fatto tipico e la condotta devono infatti confrontarsi con l’esecuzione di programmi basati su complessi algoritmi, concepiti da soggetti he ne sono fruitori: in relazione a tali fenomeni, occorre verificare se e in che misura siano anche “consapevolmente imputabili” all’uomo che li attiva o se ne serve. Vanno in questo senso precisati e delimitati i presupposti in relazione ai quali può dirsi esercitato e mantenuto il dominio dell’agente su tutti gli effetti che conseguono, talvolta a notevole distanza di tempo e luogo.
Ciò comporta il dover riconsiderare le condizioni in cui si circoscrive il momento della consumazione del reato, con i relativi notevoli effetti anche in tema di prescrizione.
È nota al riguardo la distinzione fra momento perfezionativo del reato, che si ha quando si realizzano tutti gli elementi strutturali della fattispecie, e momento consumativo, che avviene solamente allorché il reato raggiunge la massima gravità, avendo esaurito il proprio contenuto offensivo.
Ebbene, appare evidente che non tutti i reati cibernetici possono dirsi “esauriti” nel periodo – talvolta anche assai lungo – che può intercorrere tra i due momenti. Può accadere che gli effetti del reato, che si protraggono nel tempo e nel cyberspazio, sfuggano alla sfera di dominio dell’agente che lo ha posto inizialmente in essere.
Secondo alcuni si prospetterebbe dunque la necessità di delineare una teoria dogmatica nuova, che abbracci la sempre più diffusa e rilevante realtà manifestantesi nella molteplicità dei reati configurabili nel Cyberspace.
La pronuncia della Corte
Su questo complesso insieme di riflessioni dottrinali interviene la sentenza dei Giudici di Legittimità.
I Supremi Giudici, nel ritenere inammissibile per mancanza di specificità il primo motivo di ricorso – concernente vizi motivazionali della pronuncia d’appello –, ricordano pregevolmente come il ragionevole dubbio di cui all’art. 533 c.p.p. debba basarsi su costruzioni non solo possibili in rerum natura, ma la cui plausibilità sia ancorata alle risultanze processuali.
L’analisi del terzo motivo di ricorso rappresenta il vero fulcro della pronuncia in esame. I Supremi Giudici, ricordano innanzitutto la definizione legislativa di “dato personale” , contenuta oggi nell’art. 4, nn. 1 e 2 del Reg. UE 2016/679, richiamato nell’art. 1 del d.lgs. 196/2003: è tale “qualunque informazione relativa a persona fisica, giuridica, ente o associazione, identificati o identificabili, anche indirettamente”. La Suprema Corte precisa poi che l’attività di diffusione di tali dati personali deve intendersi come la “conoscenza dei dati fornita ad un numero indeterminato di soggetti”.
I Supremi Giudici ribadiscono dunque la classica distinzione tra reati istantanei e permanenti, sopra ricordata, e specificano la natura permanente del reato ex art. 167 d.lgs 196/2003.
In particolare precisano che «la condotta di diffusione di dati personali, in quanto programmaticamente destinata a raggiungere un numero indeterminato di soggetti, si caratterizza per la continuità dell’offesa derivante dalla persistente condotta volontaria dell’agente, il quale ben avrebbe potuto, nel caso oggetto del procedimento, rimuovere i dati personali resi ostensibili ai frequentatori del social network».
Di conseguenza secondo i Supremi Giudici il reato si è perfezionato nel momento di instaurazione della condotta offensiva e si è consumato dal giorno in cui è cessata la permanenza: ossia dal 29.05.2010.
Agli effetti della prescrizione (artt. 157 e 161 c.p.), il termine di 7 anni e 6 mesi spira dunque il 29.11.2017.
Dovendosi tuttavia considerare il periodo di sospensione della prescrizione dovuta, nel caso oggetto del procedimento, all’astensione della difesa, pari a ben 322 giorni, il termine risulta scadere il 17.10.2018, giorno temporalmente successivo alla data della sentenza che chiude il grado di appello.
Pertanto, nel rigettare il motivo concernente l’avvenuta prescrizione del reato, la Suprema Corte qualifica il reato di trattamento illecito dei dati personali come permanente.
La massima
La Terza Sezione della Corte di Cassazione ha dunque affermato che il reato di illecito trattamento di dati personali, previsto e punito dall’art. 167 d.lgs. 196/2003, realizzato in forma di diffusione di dati protetti, resi ostensibili ai frequentatori di un social network attraverso il loro inserimento previa creazione di un falso profilo, sul relativo sito, ha natura di reato permanente, caratterizzandosi per la continuità dell’offesa arrecata dalla condotta volontaria dell’agente, il quale ha la possibilità di far cessare in ogni momento la propagazione lesiva dell’altrui sfera personale mediante la rimozione dell’account.
Volume consigliato
Il Responsabile della Protezione dei Dati (Data Protection Officer-DPO)Quando deve essere designato un DPO? Chi deve nominarlo? Chi può essere nominato DPO e quali requisiti sono richiesti? DPO dipendente oppure soggetto esterno? Quale atto formale di nomina occorre in ambito pubblico? Se il DPO è un dipendente pubblico quale qualifica deve avere? Qual è la posizione del DPO nell’ente/azienda? Quali sono i suoi compiti?Aggiornata al D.lgs. del 10 agosto 2018, n. 101 in materia di privacy, questa pratica Guida risponde alle domande sopra enunciate e fornisce un’analisi dei compiti e dei margini di attività della nuova figura del “Responsabile dei dati personali” (anche noto come DPO, acronimo di Data Protection Officer), in considerazione degli adempimenti che imprese e soggetti pubblici devono affrontare per effetto del Regolamento UE 2016/679.Il testo è strutturato in numerosi quesiti di taglio pratico, ai quali l’autore fornisce una soluzione sulla scorta del testo normativo, delle linee guida adottate dal Gruppo di Lavoro ex art. 29 (WP29) e delle più recenti indicazioni fornite dal Garante della Privacy.Stefano ComelliniAvvocato in Bologna, patrocinante in Cassazione, si occupa prevalentemente di Diritto Industriale, Diritto dell’In- formatica e delle Telecomunicazioni nonché della disciplina della Privacy. E’ iscritto nell’elenco dei rappresentanti presso la EUIPO (Ufficio dell’Unione Europea per la proprietà intellettuale). Relatore in convegni, è particolarmente attivo sui social network, dove svolge attività di divulgazione giuridica. Nel 2002, il sito www.comellini.it, da lui cu- rato, ha ottenuto, dalla giuria di “Italex Award 2002 – il premio per i migliori siti giuridici italiani”, il riconoscimento di migliore studio legale online.Soluzioni di Diritto è una collana che offre soluzioni operative per la pratica professionale o letture chiare di problematiche di attualità. Uno strumento di lavoro e di approfondimento spendibile quotidianamente.L’esposizione è lontana dalla banale ricostruzione manualistica degli istituti ov- vero dalla sterile enunciazione di massime giurisprudenziali.Si giunge a dare esaustive soluzioni ai quesiti che gli operatori del diritto incon- trano nella pratica attraverso l’analisi delle norme, itinerari dottrinali e giuri- sprudenziali e consigli operativi sul piano processuale. Stefano Comellini | 2018 Maggioli Editore 19.00 € 15.20 € |
Scrivi un commento
Accedi per poter inserire un commento