La recente sentenza della terza sezione penale della Corte di Cassazione (la 13102 del 14 marzo 2023), di cui oggi scriviamo, consentirà di ribadire criteri certo non nuovi ma ancora abbondantemente sottovalutati o ignorati.
All’esito di complesse attività d’indagine del Gruppo di lavoro sul cybercrime della procura di Napoli, volte a definire i contorni di un grave attacco alle strutture informatiche della Divisione Aerostrutture e della Divisione Velivoli di Leonardo S.p.A., il Cnaipic del Servizio centrale della Polizia postale e delle comunicazioni e il Compartimento campano del medesimo servizio hanno eseguito due ordinanze applicative di misure cautelari nei confronti di un ex dipendente e di un dirigente della società, essendo gravemente indiziati, il primo, dei delitti di accesso abusivo a sistema informatico, intercettazione illecita di comunicazioni telematiche e trattamento illecito di dati personali e, il secondo, del delitto di depistaggio.
L’autorità per la protezione dei dati personali del Belgio ha sanzionato gli aeroporti Zaventem e Charleroi-Bruxelles Sud di Bruxelles per aver effettuato controlli della temperatura corporea dei passeggeri e somministrato loro questionari anamnestici nell'ambito della lotta al Covid-19 senza disporre di una valida base giuridica e senza aver neppure fatto una valutazione d’impatto prima di raccogliere i dati sanitari dei viaggiatori.
Non è reato lo spamming, cioè l'invio massivo di posta elettronica per farsi pubblicità, ad esempio a una mailing list di addetti ai lavori. E ciò perché il trattamento illecito di dati si configura soltanto se l'interessato subisce un nocumento, anche dopo le modifiche apportate al codice privacy per l'entrata in vigore di Gdpr. Il danno richiesto dalla legge non può essere soltanto il fastidio di dover cancellare le mail indesiderate, per quanto il relativo l'invio sia illegittimo: si configura invece quando il mittente non toglie dalla mailing list l'utente che segnala di non voler ricevere più i messaggi.
Una compagnia di assicurazioni tedesca aveva organizzato dei concorsi a premi, ma ai partecipanti non aveva chiesto solo i loro dati personali di contatto, ma anche altre informazioni come i dettagli della loro assicurazione sanitaria con lo scopo di utilizzarli a fini pubblicitari, senza però aver ottenuto un regolare consenso dagli interessati.
In tema di trattamento illecito di dati personali, nella norma incriminatrice di cui all'art. 167, d.lgs. 196/2003, anche dopo le modifiche introdotte dal d.lgs. n. 101/2018, il richiamo alla necessità del verificarsi di un nocumento è rimasto immutato, sebbene nell'attuale versione normativa la determinazione del nocumento si configura come un elemento costitutivo della fattispecie penale e non più come condizione obiettiva di punibilità, idonea cioè ad attualizzare.
Il soggetto che effettua il trattamento di dati personali deve esaminare e comparare le informazioni in maniera lecita e corretta, dovendo utilizzare solo le informazioni pertinenti rispetto alle finalità per le quali gli stessi sono raccolti. Ciò vale soprattutto nel settore bancario, ove in gioco vi sono l'affidabilità e la puntualità dei pagamenti. Questo è quanto affermato nell'ordinanza della Cassazione n. 368/2021.
Un consenso in realtà praticamente inutile. Un'incertezza sui tempi inammissibile. E un rischio per il trasferimento dei dati all'estero evidentemente sottovalutato. L'università Bocconi di Milano è stata multata dal garante per la protezione dei dati personali con una sanzione di 200mila euro per l'utilizzo, poco trasparente e non corretto, di un sistema di "controllo" per gli esami a distanza durante i mesi più duri dell'emergenza coronavirus, quando gli Atenei erano stati chiusi e gli studenti erano stati costretti a partecipare agli appelli da casa.
L’indebita curiosità di un agente di polizia e di un operatore sanitario è stata punita dal garante per la privacy estone (Andmekaitse Inspektsioon), che li ha sanzionati nell'ambito di una procedura abbreviata per trattamento illecito di dati personali in violazione degli articoli 5 e 6 del Gdpr.
Un trentasettenne milanese è stato assolto dalla Corte di Cassazione dall'accusa di aver fotografato e filmato la vicina di casa che usciva nuda dalla doccia della sua abitazione senza preoccuparsi della finestra del bagno priva di tende. La notizia ha destato non poco scalpore nell'opinione pubblica, perché sembrerebbe che tale verdetto abbia sancito definitivamente l'addio alle speranze di vedere tutelata la nostra privacy almeno tra le mura domestiche.
