Cosa significa, giuridicamente, “violare la privacy”? Quando si configura un illecito? Quando si può denunciare per violazione della privacy?
La violazione della privacy non è più una questione astratta o confinata al mondo delle grandi piattaforme digitali: è una realtà giuridica concreta che coinvolge aziende, enti pubblici e cittadini. Lo dimostra la recente sanzione da 15 milioni di euro comminata dal Garante per la protezione dei dati personali a OpenAI, per irregolarità nel trattamento dei dati da parte del sistema ChatGPT.
Le contestazioni riguardano, tra l’altro, l’assenza di una base giuridica adeguata per trattare informazioni di utenti e non utenti, e l’omessa notifica di una violazione dei dati. OpenAI è stata anche obbligata a realizzare una campagna informativa per sensibilizzare il pubblico sulle modalità di raccolta dei dati e sui diritti degli interessati. Questo caso dimostra che l’intelligenza artificiale, se non regolata da criteri giuridici stringenti, può diventare veicolo di lesioni profonde al diritto alla riservatezza.
Cosa si intende per “violare la privacy”
La violazione della privacy si verifica se:
“qualcuno accede, usa, divulga o conserva dati personali altrui senza consenso, ledendo così il diritto alla riservatezza.”
Il termine inglese “privacy” deriva dal latino privatus, che indicava ciò che è “separato dalla sfera pubblica”, pertanto, ciò che riguarda la vita individuale e le relazioni familiari. Nel contesto attuale, privacy si riferisce alla capacità di ciascuno di decidere in modo consapevole quali dati personali condividere, con chi, per quale scopo e in quali condizioni.
Si parla di dati personali in quanto ci si riferisce a informazioni che possono identificare, direttamente o indirettamente, una persona fisica: nome, indirizzo, numero di telefono, indirizzo IP, posizione geografica, preferenze di consumo, orientamenti politici o religiosi etc etc.
“La privacy non è il diritto di nascondersi, ma la libertà di scegliere cosa mostrare.”
Violare la privacy significa oltrepassare i confini di questa libertà decisionale. Può accadere attraverso l’accesso non autorizzato a un profilo social, la diffusione di immagini intime, o ancora tramite forme più sottili, come l’uso dei dati per scopi non dichiarati o non consentiti, magari attraverso algoritmi e pubblicità mirate. In tutti questi casi, viene compromesso il controllo che il soggetto ha sui propri dati.
Reato di violazione della privacy: cosa dice la legge e quando si configura
La violazione della privacy non è un reato di per sé: si tratta di un’espressione generica che ricomprende diverse fattispecie (illeciti civili, amministrativi e penali). È disciplinata da un insieme di norme articolate e connesse a livello nazionale ed europeo. La principale fonte normativa è il Codice in materia di protezione dei dati personali D.lgs. n. 196/2003, successivamente modificato per adeguarsi al Regolamento (UE) 2016/679, noto come GDPR – General Data Protection Regulation, entrato in vigore il 25 maggio 2018. A livello costituzionale, la tutela della privacy trova fondamento nell’art. 2 Cost., che riconosce e garantisce i diritti inviolabili della persona.
“La tutela della privacy si fonda sul riconoscimento e la garanzia dei diritti inviolabili della persona, come sancito dalla Costituzione, che impone alla Repubblica il dovere di proteggerli anche nelle relazioni digitali e nei trattamenti di dati.”
Affinché si configuri la violazione della privacy, devono essere presenti determinati elementi:
- trattamento illecito di dati personali: ovvero la raccolta, registrazione, conservazione, modifica, uso, comunicazione o diffusione di dati in violazione delle norme;
- dati sensibili o particolari: il trattamento riguarda categorie speciali di dati (come dati sanitari, religiosi, politici o biometrici) che godono di una protezione rafforzata;
- assenza di consenso valido: il trattamento dei dati avviene senza che l’interessato abbia espresso un consenso libero, specifico e informato;
- consapevolezza del soggetto agente: ovvero, volontà dell’atto illecito, cioè con dolo specifico;
- scopo di trarne profitto o di arrecare danno all’interessato: è questa la soglia che trasforma l’illecito amministrativo in reato. Infatti, l’art. 167 del Codice della Privacy punisce chi, al fine di trarne profitto o arrecare danno, effettua un trattamento di dati personali illecito.
Inoltre, l’art. 167 co. 2, punisce comportamenti anche in assenza di dolo specifico, qualora si violino degli articoli del GDPR (es. artt. 5, 6, 13, 14, 15).
Che cos’è il Data Breach?
“Il data breach, è una violazione di sicurezza che comporta la perdita, la modifica, la diffusione non autorizzata o l’accesso illecito a informazioni personali.”
Può accadere, ad esempio, quando un sistema informatico viene hackerato, quando un dipendente invia informazioni a destinatari sbagliati, oppure quando si smarriscono dispositivi contenenti dati non cifrati.
Secondo l’art. 33 del GDPR, il titolare del trattamento è obbligato a notificare un data breach all’Autorità Garante per la Protezione dei Dati Personali entro 72 ore dalla scoperta dell’evento, salvo che sia improbabile che la violazione comporti un rischio per i diritti e le libertà degli interessati.
Se il rischio è elevato, l’art. 34 GDPR prevede la necessità informare anche l’interessato. La normativa, quindi, non tutela solo l’aspetto formale del consenso, ma impone ai titolari del trattamento misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.
Le tipologie di illeciti amministrativi e penali
Un illecito amministrativo si configura se:
“il trattamento dei dati personali avviene in modo non conforme alla normativa, senza però raggiungere il livello di gravità necessario per integrare un reato.”
In questi casi, l’Autorità Garante per la Protezione dei Dati Personali può irrogare sanzioni pecuniarie e imporre misure correttive, ma non comporta responsabilità penale.
Al contrario, un comportamento diventa reato se viola la privacy al punto da ledere i diritti della persona e viene messo in atto con dolo, ovvero con la consapevolezza e la volontà di arrecare danno o trarre un profitto illecito.
“Non ogni errore nella gestione dei dati è un reato, ma ogni atto consapevole e dannoso contro la riservatezza è un’offesa alla dignità della persona.”
Ad esempio, in un condominio in cui un amministratore installa un impianto di videosorveglianza senza informare i residenti: si tratta di un trattamento illecito dei dati, ma in assenza di dolo o danno concreto, può configurarsi come illecito amministrativo. Invece, se un vicino registra delle conversazioni altrui tramite microfoni nascosti e ne divulga il contenuto: in questa ipotesi si può parlare di interferenza illecita nella vita privata, un reato previsto dall’art. 615 bis c.p.
Anche nelle relazioni personali, come quelle fra ex coniugi o coinquilini, è frequente che la violazione della privacy si consumi in modo silenzioso. Copiare messaggi privati da un telefono altrui, leggere e-mail senza autorizzazione, divulgare foto intime o informazioni confidenziali dopo la fine di una relazione: sono tutte condotte che, rientrano tra i reati di accesso abusivo a sistema informatico art. 615 ter c.p., diffusione illecita di immagini o video sessualmente espliciti art. 612 ter c.p., o diffamazione art. 595 c.p..
Come fare reclamo per violazione della privacy
Il reclamo può essere presentato sia al Garante Privacy, in caso di illecito amministrativo, sia alle autorità giudiziarie. Il reclamo può essere presentato online, attraverso il sito ufficiale garanteprivacy.it, via PEC o per posta ordinaria.
Deve contenere informazioni essenziali affinché l’Autorità possa valutare correttamente la segnalazione e avviare l’istruttoria:
- dati del reclamante: nome, CF, contatti;
- luogo della violazione: residenza, lavoro o evento;
- chi ha commesso la violazione: azienda, ente, persona;
- descrizione dei fatti: cosa, quando, come, quali dati;
- azioni già intraprese: richieste precedenti al titolare;
- cosa si chiede al Garante: es. blocco, cancellazione;
- allegati: documento d’identità, prove come e-mail o screenshot.
Quando la violazione della privacy assume i contorni di un vero e proprio reato, è necessario presentare una denuncia presso le autorità competenti: Carabinieri, Polizia Postale. In questo caso, si attiva un procedimento penale che può portare all’apertura di un’indagine, all’instaurazione di un processo. Inoltre si può agire in sede civile, per chiedere il risarcimento dei danni materiali e morali subiti a causa della violazione.
Violazione della privacy: i tuoi diritti
Quando i dati personali vengono trattati in modo illecito – sia per un errore tecnico, una negligenza o un atto volontario – il soggetto coinvolto, definito interessato dal GDPR, ha a disposizione un insieme di diritti. In primo luogo il diritto di accesso, in base al quale l’interessato ha diritto di sapere quali informazioni sono conservate, da dove provengono e per quanto tempo saranno conservate. In virtù del diritto di rettifica, può essere richiesta l’integrazione o correzione di dati inesatti o incompleti. Infine, si ha diritto alla cancellazione dei dati personali art. 17 GDPR, il c.d. diritto all’oblio.
Violazione della privacy: sanzioni e pene
Il GDPR distingue due fasce principali di gravità nelle violazioni e, di conseguenza, nelle sanzioni pecuniarie applicabili:
- per le violazioni meno gravi (es. inadempimenti agli obblighi di tenuta dei registri o mancata notifica del Data Breach), la sanzione può arrivare fino a 10 milioni di euro o al 2% del fatturato annuo mondiale dell’impresa responsabile;
- per le violazioni più gravi (es. trattamento illecito dei dati, mancato rispetto dei diritti dell’interessato, trasferimenti internazionali illeciti), la sanzione può arrivare fino a 20 milioni di euro o al 4% del fatturato annuo mondiale.
In ambito amministrativo, la valutazione della gravità della violazione si basa su criteri precisi: la natura e durata dell’infrazione, il numero di persone coinvolte, il livello di danno potenziale o effettivo, e l’eventuale recidiva.
In caso di reato, le pene prevedono la reclusione fino a 3 anni, a seconda della tipologia dei dati trattati e dell’intenzionalità dell’azione. Va sottolineato che le sanzioni penali e amministrative non si escludono a vicenda: in alcuni casi, possono coesistere.
Violazione della privacy: esempi concreti e sentenze
La Corte di Cassazione con la sentenza n. 12967/24 ha confermato un provvedimento del Garante che sanzionava un’università per l’illegittimo uso di dati biometrici degli studenti durante gli esami a distanza.
L’università aveva utilizzato i software «LockDown Browser» e «Respondus Monitor» per monitorare gli studenti durante gli esami online. Questi strumenti catturavano immagini video e screenshot degli studenti, segnalando comportamenti ritenuti anomali attraverso un sistema automatizzato, violando l’art. 9 del GDPR, infatti, il primo comma afferma che:
“È vietato trattare dati personali che rivelino l’origine razziale o etnica, [...] nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona."
Nel caso in esame, l’università non aveva fornito un’informativa adeguata agli studenti, omettendo di specificare il trattamento di dati biometrici e il trasferimento dei dati negli Stati Uniti, paese che, dopo l’invalidazione del Privacy Shield, non garantisce un livello di protezione adeguato secondo il GDPR.
I casi Postel e Wind Tre
Il Garante ha inflitto a Postel S.p.A. una sanzione di 900.000 euro per non aver affrontato tempestivamente una vulnerabilità nota nei propri sistemi informatici. Tale negligenza ha portato a un attacco ransomware nel 2023, durante il quale sono stati compromessi i dati personali di circa 25.000 individui, tra cui dipendenti, ex dipendenti e partner commerciali. Nonostante le segnalazioni ricevute dal produttore del software e dall’Agenzia per la Cybersicurezza Nazionale, Postel non ha adottato le misure necessarie per correggere la vulnerabilità, violando così gli obblighi dal GDPR.
Un altro caso recente riguarda Wind Tre S.p.A. sanzionata con una multa di 347.520 euro per il trattamento illecito di dati personali a fini promozionali e per la mancata adozione di misure di sicurezza adeguate. Le indagini hanno rivelato che alcuni partner commerciali della società utilizzavano elenchi di contatti acquisiti in modo illecito, spesso da aziende al di fuori dell’Unione Europea, senza le dovute garanzie di protezione. Inoltre, i consensi al trattamento dei dati non erano documentati correttamente e i tempi di conservazione risultavano eccessivi o non specificati.
© RIPRODUZIONE RISERVATA