Abbonati

Economia e Finanza

Quotazioni

Risparmio e Investimenti

Fintech

Fisco e Tasse

Lavoro e Diritti

Imprese

Formazione Finanziaria

Attualità

Green

Lifestyle

Motori

Tecnologia

Progetti speciali

Video

Strumenti

Violazione della privacy, definizione del reato e come denunciare

Giorgia Dumitrascu

6 Giugno 2025 - 14:59

Cosa significa, giuridicamente, “violare la privacy”? Quando si configura un illecito? Quando si può denunciare per violazione della privacy?

Violazione della privacy, definizione del reato e come denunciare

Seguici su

La violazione della privacy non è più una questione astratta o confinata al mondo delle grandi piattaforme digitali: è una realtà giuridica concreta che coinvolge aziende, enti pubblici e cittadini. Lo dimostra la recente sanzione da 15 milioni di euro comminata dal Garante per la protezione dei dati personali a OpenAI, per irregolarità nel trattamento dei dati da parte del sistema ChatGPT.

Le contestazioni riguardano, tra l’altro, l’assenza di una base giuridica adeguata per trattare informazioni di utenti e non utenti, e l’omessa notifica di una violazione dei dati. OpenAI è stata anche obbligata a realizzare una campagna informativa per sensibilizzare il pubblico sulle modalità di raccolta dei dati e sui diritti degli interessati. Questo caso dimostra che l’intelligenza artificiale, se non regolata da criteri giuridici stringenti, può diventare veicolo di lesioni profonde al diritto alla riservatezza.

Cosa si intende per “violare la privacy”

La violazione della privacy si verifica se:

“qualcuno accede, usa, divulga o conserva dati personali altrui senza consenso, ledendo così il diritto alla riservatezza.”

Il termine inglese “privacy” deriva dal latino privatus, che indicava ciò che è “separato dalla sfera pubblica”, pertanto, ciò che riguarda la vita individuale e le relazioni familiari. Nel contesto attuale, privacy si riferisce alla capacità di ciascuno di decidere in modo consapevole quali dati personali condividere, con chi, per quale scopo e in quali condizioni.
Si parla di dati personali in quanto ci si riferisce a informazioni che possono identificare, direttamente o indirettamente, una persona fisica: nome, indirizzo, numero di telefono, indirizzo IP, posizione geografica, preferenze di consumo, orientamenti politici o religiosi etc etc.

“La privacy non è il diritto di nascondersi, ma la libertà di scegliere cosa mostrare.”

Violare la privacy significa oltrepassare i confini di questa libertà decisionale. Può accadere attraverso l’accesso non autorizzato a un profilo social, la diffusione di immagini intime, o ancora tramite forme più sottili, come l’uso dei dati per scopi non dichiarati o non consentiti, magari attraverso algoritmi e pubblicità mirate. In tutti questi casi, viene compromesso il controllo che il soggetto ha sui propri dati.

leggi anche

Sta arrivando l’Euro Digitale, la nostra privacy è a rischio?
Sta arrivando l'Euro Digitale, la nostra privacy è a rischio?

Reato di violazione della privacy: cosa dice la legge e quando si configura

La violazione della privacy non è un reato di per sé: si tratta di un’espressione generica che ricomprende diverse fattispecie (illeciti civili, amministrativi e penali). È disciplinata da un insieme di norme articolate e connesse a livello nazionale ed europeo. La principale fonte normativa è il Codice in materia di protezione dei dati personali D.lgs. n. 196/2003, successivamente modificato per adeguarsi al Regolamento (UE) 2016/679, noto come GDPR – General Data Protection Regulation, entrato in vigore il 25 maggio 2018. A livello costituzionale, la tutela della privacy trova fondamento nell’art. 2 Cost., che riconosce e garantisce i diritti inviolabili della persona.

“La tutela della privacy si fonda sul riconoscimento e la garanzia dei diritti inviolabili della persona, come sancito dalla Costituzione, che impone alla Repubblica il dovere di proteggerli anche nelle relazioni digitali e nei trattamenti di dati.”

leggi anche

Riprese di nascosto, è reato fare foto e video senza consenso?
Riprese di nascosto, è reato fare foto e video senza consenso?

Affinché si configuri la violazione della privacy, devono essere presenti determinati elementi:

  • trattamento illecito di dati personali: ovvero la raccolta, registrazione, conservazione, modifica, uso, comunicazione o diffusione di dati in violazione delle norme;
  • dati sensibili o particolari: il trattamento riguarda categorie speciali di dati (come dati sanitari, religiosi, politici o biometrici) che godono di una protezione rafforzata;
  • assenza di consenso valido: il trattamento dei dati avviene senza che l’interessato abbia espresso un consenso libero, specifico e informato;
  • consapevolezza del soggetto agente: ovvero, volontà dell’atto illecito, cioè con dolo specifico;
  • scopo di trarne profitto o di arrecare danno all’interessato: è questa la soglia che trasforma l’illecito amministrativo in reato. Infatti, l’art. 167 del Codice della Privacy punisce chi, al fine di trarne profitto o arrecare danno, effettua un trattamento di dati personali illecito.

Inoltre, l’art. 167 co. 2, punisce comportamenti anche in assenza di dolo specifico, qualora si violino degli articoli del GDPR (es. artt. 5, 6, 13, 14, 15).

Che cos’è il Data Breach?

“Il data breach, è una violazione di sicurezza che comporta la perdita, la modifica, la diffusione non autorizzata o l’accesso illecito a informazioni personali.”

Può accadere, ad esempio, quando un sistema informatico viene hackerato, quando un dipendente invia informazioni a destinatari sbagliati, oppure quando si smarriscono dispositivi contenenti dati non cifrati.

Secondo l’art. 33 del GDPR, il titolare del trattamento è obbligato a notificare un data breach all’Autorità Garante per la Protezione dei Dati Personali entro 72 ore dalla scoperta dell’evento, salvo che sia improbabile che la violazione comporti un rischio per i diritti e le libertà degli interessati.

Se il rischio è elevato, l’art. 34 GDPR prevede la necessità informare anche l’interessato. La normativa, quindi, non tutela solo l’aspetto formale del consenso, ma impone ai titolari del trattamento misure tecniche e organizzative adeguate per garantire un livello di sicurezza adeguato al rischio.

leggi anche

Furto d’identità digitale, cosa fare e come difendersi
Furto d'identità digitale, cosa fare e come difendersi

Le tipologie di illeciti amministrativi e penali

Un illecito amministrativo si configura se:

“il trattamento dei dati personali avviene in modo non conforme alla normativa, senza però raggiungere il livello di gravità necessario per integrare un reato.”

In questi casi, l’Autorità Garante per la Protezione dei Dati Personali può irrogare sanzioni pecuniarie e imporre misure correttive, ma non comporta responsabilità penale.
Al contrario, un comportamento diventa reato se viola la privacy al punto da ledere i diritti della persona e viene messo in atto con dolo, ovvero con la consapevolezza e la volontà di arrecare danno o trarre un profitto illecito.

“Non ogni errore nella gestione dei dati è un reato, ma ogni atto consapevole e dannoso contro la riservatezza è un’offesa alla dignità della persona.”

Ad esempio, in un condominio in cui un amministratore installa un impianto di videosorveglianza senza informare i residenti: si tratta di un trattamento illecito dei dati, ma in assenza di dolo o danno concreto, può configurarsi come illecito amministrativo. Invece, se un vicino registra delle conversazioni altrui tramite microfoni nascosti e ne divulga il contenuto: in questa ipotesi si può parlare di interferenza illecita nella vita privata, un reato previsto dall’art. 615 bis c.p.

Anche nelle relazioni personali, come quelle fra ex coniugi o coinquilini, è frequente che la violazione della privacy si consumi in modo silenzioso. Copiare messaggi privati da un telefono altrui, leggere e-mail senza autorizzazione, divulgare foto intime o informazioni confidenziali dopo la fine di una relazione: sono tutte condotte che, rientrano tra i reati di accesso abusivo a sistema informatico art. 615 ter c.p., diffusione illecita di immagini o video sessualmente espliciti art. 612 ter c.p., o diffamazione art. 595 c.p..

leggi anche

Revenge porn, significato, pene e cosa dice la legge
Revenge porn, significato, pene e cosa dice la legge

Come fare reclamo per violazione della privacy

Il reclamo può essere presentato sia al Garante Privacy, in caso di illecito amministrativo, sia alle autorità giudiziarie. Il reclamo può essere presentato online, attraverso il sito ufficiale garanteprivacy.it, via PEC o per posta ordinaria.

Deve contenere informazioni essenziali affinché l’Autorità possa valutare correttamente la segnalazione e avviare l’istruttoria:

  • dati del reclamante: nome, CF, contatti;
  • luogo della violazione: residenza, lavoro o evento;
  • chi ha commesso la violazione: azienda, ente, persona;
  • descrizione dei fatti: cosa, quando, come, quali dati;
  • azioni già intraprese: richieste precedenti al titolare;
  • cosa si chiede al Garante: es. blocco, cancellazione;
  • allegati: documento d’identità, prove come e-mail o screenshot.

Quando la violazione della privacy assume i contorni di un vero e proprio reato, è necessario presentare una denuncia presso le autorità competenti: Carabinieri, Polizia Postale. In questo caso, si attiva un procedimento penale che può portare all’apertura di un’indagine, all’instaurazione di un processo. Inoltre si può agire in sede civile, per chiedere il risarcimento dei danni materiali e morali subiti a causa della violazione.

leggi anche

Garante Privacy: chi è, cosa fa e quando interviene
Garante Privacy: chi è, cosa fa e quando interviene

Violazione della privacy: i tuoi diritti

Quando i dati personali vengono trattati in modo illecito – sia per un errore tecnico, una negligenza o un atto volontario – il soggetto coinvolto, definito interessato dal GDPR, ha a disposizione un insieme di diritti. In primo luogo il diritto di accesso, in base al quale l’interessato ha diritto di sapere quali informazioni sono conservate, da dove provengono e per quanto tempo saranno conservate. In virtù del diritto di rettifica, può essere richiesta l’integrazione o correzione di dati inesatti o incompleti. Infine, si ha diritto alla cancellazione dei dati personali art. 17 GDPR, il c.d. diritto all’oblio.

Violazione della privacy: sanzioni e pene

Il GDPR distingue due fasce principali di gravità nelle violazioni e, di conseguenza, nelle sanzioni pecuniarie applicabili:

  • per le violazioni meno gravi (es. inadempimenti agli obblighi di tenuta dei registri o mancata notifica del Data Breach), la sanzione può arrivare fino a 10 milioni di euro o al 2% del fatturato annuo mondiale dell’impresa responsabile;
  • per le violazioni più gravi (es. trattamento illecito dei dati, mancato rispetto dei diritti dell’interessato, trasferimenti internazionali illeciti), la sanzione può arrivare fino a 20 milioni di euro o al 4% del fatturato annuo mondiale.
    In ambito amministrativo, la valutazione della gravità della violazione si basa su criteri precisi: la natura e durata dell’infrazione, il numero di persone coinvolte, il livello di danno potenziale o effettivo, e l’eventuale recidiva.

In caso di reato, le pene prevedono la reclusione fino a 3 anni, a seconda della tipologia dei dati trattati e dell’intenzionalità dell’azione. Va sottolineato che le sanzioni penali e amministrative non si escludono a vicenda: in alcuni casi, possono coesistere.

leggi anche

Google Chrome ha un nuovo aggiornamento per la privacy che risolve un problema durato 20 anni
Google Chrome ha un nuovo aggiornamento per la privacy che risolve un problema durato 20 anni

Violazione della privacy: esempi concreti e sentenze

La Corte di Cassazione con la sentenza n. 12967/24 ha confermato un provvedimento del Garante che sanzionava un’università per l’illegittimo uso di dati biometrici degli studenti durante gli esami a distanza.
L’università aveva utilizzato i software «LockDown Browser» e «Respondus Monitor» per monitorare gli studenti durante gli esami online. Questi strumenti catturavano immagini video e screenshot degli studenti, segnalando comportamenti ritenuti anomali attraverso un sistema automatizzato, violando l’art. 9 del GDPR, infatti, il primo comma afferma che:

“È vietato trattare dati personali che rivelino l’origine razziale o etnica, [...] nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona."

Nel caso in esame, l’università non aveva fornito un’informativa adeguata agli studenti, omettendo di specificare il trattamento di dati biometrici e il trasferimento dei dati negli Stati Uniti, paese che, dopo l’invalidazione del Privacy Shield, non garantisce un livello di protezione adeguato secondo il GDPR.

I casi Postel e Wind Tre

Il Garante ha inflitto a Postel S.p.A. una sanzione di 900.000 euro per non aver affrontato tempestivamente una vulnerabilità nota nei propri sistemi informatici. Tale negligenza ha portato a un attacco ransomware nel 2023, durante il quale sono stati compromessi i dati personali di circa 25.000 individui, tra cui dipendenti, ex dipendenti e partner commerciali. Nonostante le segnalazioni ricevute dal produttore del software e dall’Agenzia per la Cybersicurezza Nazionale, Postel non ha adottato le misure necessarie per correggere la vulnerabilità, violando così gli obblighi dal GDPR.

Un altro caso recente riguarda Wind Tre S.p.A. sanzionata con una multa di 347.520 euro per il trattamento illecito di dati personali a fini promozionali e per la mancata adozione di misure di sicurezza adeguate. Le indagini hanno rivelato che alcuni partner commerciali della società utilizzavano elenchi di contatti acquisiti in modo illecito, spesso da aziende al di fuori dell’Unione Europea, senza le dovute garanzie di protezione. Inoltre, i consensi al trattamento dei dati non erano documentati correttamente e i tempi di conservazione risultavano eccessivi o non specificati.

leggi anche

Come scrivere un reclamo, guida e modello fac-simile
Come scrivere un reclamo, guida e modello fac-simile

© RIPRODUZIONE RISERVATA

Argomenti

# Risarcimento
# Legge
# Reato
# Privacy
# crimini informatici

Iscriviti a Money.it

FT logo

Il silenzio dei mercati: un’allerta che inquieta

Gli investitori, paralizzati dallo shock, ignorano i segnali di rischio (…)

26 giugno 2025

Millennium sfida i big del private equity: punta a una valutazione da 14 miliardi di dollari

Il colosso degli hedge fund di Izzy Englander tenta il salto: capitale (…)

23 giugno 2025

Benvenuti nella nuova era della geoeconomia. Ecco cosa devi sapere

Tecnologia, commercio, finanza e politiche militari si stanno mescolando in (…)

16 giugno 2025

Perché le Big Tech stanno scoprendo le obbligazioni proprio ora?

La capacità di resistenza percepita, manifestata da una curva (…)

12 giugno 2025

Perché il contante sono il miglior e il peggior investimento in circolazione

Per coloro che vogliono scommettere sull’uso continuato di banconote (…)

9 giugno 2025

Non spendiamo soldi, quindi perché li accumuliamo?

Il valore delle banconote britanniche in circolazione ha raggiunto un (…)

5 giugno 2025

SONDAGGIO
Termina il 27/06/2025 Quale Paese è una minaccia per il mondo?
VOTA ORA

Selezionati per te

Non hanno lo stesso significato, sai qual è la differenza tra questi segnali?

Leggi e Sentenze

Non hanno lo stesso significato, sai qual è la differenza tra questi segnali?
Trova 150 tonnellate d'oro nella sua proprietà, ma non ottiene nulla. Ecco perché

Leggi e Sentenze

Trova 150 tonnellate d’oro nella sua proprietà, ma non ottiene nulla. Ecco perché

Correlato

Cos'è il web scraping, come funziona e come difendersi

Tecnologia

Cos’è il web scraping, come funziona e come difendersi