5.6 IL D.P.R. 318/99

5.6.1 LE SANZIONI

La mancata osservanza delle misure sulla sicurezza dei dati costituisce trattamento illecito sanzionato sia dal punto di vista civile sia da quello penale.

L'art. 18 della legge 675 prevede che chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'art. 2050 c.c. in base al quale chiunque cagioni danno ad altri nello svolgimento di un'attività pericolosa (…) è tenuto al risarcimento del danno, se non prova di aver adottato tutte le misure idonee ad evitare il danno. La conseguenza di tale previsione è l'equiparazione dell'esercizio di attività di trattamento dei dati personali all'esercizio di attività pericolose per le quali l'art. 2050 c.c. prevede un alleggerimento significativo dell'onere della prova a carico del danneggiato rispetto alla regola generale dell'art. 2043 c.c. Onere del danneggiato sarà, infatti, solo quello di provare il rapporto di causalità tra fatto e danno (e non anche il dolo o la colpa dell'autore del fatto illecito), mentre incomberà alla banca l'onere - ben più impegnativo - di provare di aver adottato tutte le misure di sicurezza ragionevoli e tecnicamente idonee a prevenire il danno non essendo sufficiente dimostrare di non aver violato norme di legge o di prudenza e perizia 393. Non sarà quindi sufficiente per la banca provare di aver osservato le prescrizioni "minime", che servono solo ad escludere la responsabilità penale ex art. 36 l. 675-96. E' il legislatore ad aver valutato preventivamente la pericolosità dell'attività del trattamento dei dati personali: la rilevanza sociale di tale attività ha condizionato la scelta normativa. Evidentemente la pericolosità si riferisce non tanto al pericolo di incolumità fisica degli individui - che peraltro non può essere esclusa in assoluto - quanto alla potenziale lesività connessa al trattamento di dati relativi alla personalità dell'individuo. Pericolosità che risulta ancora maggiore quando il trattamento avviene on line, tenuto conto dell'amplificazione che la rete internet può dare a trattamenti illeciti 394.

L'omessa adozione di misure preventive di sicurezza rientrando nel concetto di trattamento non corretto ex art. 9, comma 1, lett. a) della legge 675 comporta oltre al risarcimento del danno patrimoniale anche quello non patrimoniale per espressa disposizione dell'art. 29, comma 9 l. cit., nonché una responsabilità penale prevista dal successivo art. 36. A rischiare non sono solo il titolare (Consiglio d'amministrazione) e dirigenti responsabili del trattamento dei dati, ma chiunque essendovi tenuto non abbia rispettato gli obblighi di sicurezza dettati dall'azienda, oltre ovviamente alla violazione degli obblighi contrattuali di fedeltà e riservatezza del dipendente. Ad esempio, passare la password al collega, oltre a violare la legge 547 del 1993 395, diventa un reato perseguibile anche ai sensi del nuovo regolamento 396.

Note

393 - TOSI E., Le responsabilità civili, in TOSI E., I problemi giuridici di internet - Giuffrè 1999 pag. 282
394 - TOSI E., op. cit. pag. 284
395 - Modificazioni ed integrazioni delle norme del codice penale e del codice di procedura penale in tema di criminalità informatica
396 - Nella fattispecie il reato è l'art. 615 quater (Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici). Chiunque, al fine di procurare a sé o ad altri un profitto, o di arrecare ad altri un danno, abusivamente si procura, riproduce, diffonde, comunica o consegna codici, parole chiave o altri mezzi idonei all'accesso ad un sistema informatico o telematico, protetto da misure di sicurezza, o comunque fornisce istruzioni idonee al predetto scopo, è punito con la reclusione sino ad un anno e con la multa sino a lire dieci milioni