Violazioni dei siti web italiani: senza la richiesta di consenso si rischia il penale
Dall’ultima relazione annuale dell’Autorità Garante emerge che il 56% delle violazioni amministrative contestate dal Garante riguarda l’omessa o inidonea informativa di cui all’articolo 161 D.Lgs n.196/2003 (c.d. Codice della Privacy). Evidentemente quelli dell’informativa e del consenso sono temi ancora oggi mal assimilati e di estrema attualità a causa della diffusione di internet.
Diciamo subito che informative privacy c.d. inidonee comportano conseguenze giuridiche molto gravi a carico del Titolare del trattamento.
In maniera succinta, non essendo questa la sede, ricordiamo che l’informativa e il consenso, quando richiesto, sono due elementi di liceità del trattamento ai sensi dell’art. 11, comma 1, lett.a) del Codice Privacy.
Come noto, l’informativa deve contenere tutti gli elementi indicati dall’articolo 13 e consentire all’interessato di farsi un’idea chiara e precisa di come verranno trattati i propri dati. Solo un’informativa completa e chiara consentirà, in un secondo momento, all’interessato, quando richiesto, di esprimere un consenso giuridicamente valido.
L’Autorità Garante, fin dalle Sue prime pronunce (v. provv. 13.01.2000), ha precisato che l’informativa deve:
- evidenziare i riferimenti sul/i titolare/i e sul/i responsabile/i del trattamento (questi ultimi vanno identificati in ogni caso, se designati, quantomeno menzionando un responsabile di riferimento per le richieste ex art. 13 o per permettere agli interessati di acquisire agevolmente l'elenco aggiornato di tutti i responsabili);
- evitare formulazioni generiche o tautologiche relativamente alle finalità;
- chiarire la natura obbligatoria o facoltativa del conferimento dei dati, indicando sinteticamente le conseguenze derivanti dal rifiuto di fornirli;
- delimitare precisamente l'ambito di comunicazione dei dati mediante l'indicazione delle categorie dei destinatari (evitando mere elencazioni semplificative);
- fornire spiegazioni sui principali criteri e metodologie di utilizzazione dei dati;
- collocare l'informativa in spazi o riquadri ben visibili e facilmente leggibili.
Solo un’informativa completa di tutti questi elementi e chiara consentirà alla persona interessata di esprimere un consenso valido ed efficace.
Il ruolo dominante dell’informativa, quale fondamentale antecedente logico per un consenso valido, emerge anche dalla direttiva 95/46/CE, che definisce il consenso come qualsiasi manifestazione di volontà libera, specifica e informata, con la quale la persona interessata accetta che i dati personali che la riguardano siano oggetto di un trattamento (art. 2, co.1, lett. h) dir. 95/46/CE).
Sul concetto di “libero consenso”, la nostra Autorità Garante ha precisato che: il consenso può essere ritenuto effettivamente libero solo se si presenta come manifestazione del diritto all'autodeterminazione informativa e, dunque, al riparo da qualsiasi pressione, e se non viene condizionato all'accettazione di clausole che determinano un significativo squilibrio dei diritti e degli obblighi derivanti dal contratto. provv. 28 maggio 1997, in Boll. n.1 [doc. web n. 40425].
Chiarito che informativa e consenso sono due pietre miliari del sistema privacy, vediamo quali rischi corre il titolare del trattamento che omette o rende informative inidonee perché carenti degli elementi di cui all’articolo 13, oppure perché poco chiare e generiche.
L’articolo 161 del Codice Privacy punisce l’omessa o inidonea informativa con la sanzione amministrativa del pagamento di una somma da seimila a trentaseimila euro; tali importi possono essere quadruplicati quando appaiano inefficaci in ragione delle condizioni economiche del contravventore (art. 164 bis C.d.P.).
A detta sanzione può aggiungersi la richiesta risarcitoria da parte dell’interessato ai sensi dell’articolo 15 del Codice Privacy, anche se, come affermato di recente da sentenze della Corte di Cassazione, il danno deve comunque essere provato dal danneggiato (v. Cass. Civ. Sez. III, 03.07.2014, n. 15240 e Cass. N.16133 del 15.07.2014).
Le cose si complicano ulteriormente se il Titolare del trattamento omette di raccogliere il consenso quando richiesto dalla normativa (articolo 23 del C.d.P.), oppure raccoglie un consenso non valido perché non informato.
In questi casi si può configurare il reato di trattamento illecito di dati personali ex art. 167 C.d.P. di cui, ai fini del nostro discorso, l’articolo 23 rappresenta la norma precetto e che abbiamo appena visto essere strettamente correlata con l’articolo 13 in tema di informativa.
Nell’ipotesi, quindi, di violazione dell’articolo 23 del C.d.P., il Titolare del trattamento rischia, se dal fatto deriva nocumento, la reclusione da sei a diciotto mesi, o se il fatto consiste nella comunicazione o diffusione, la reclusione da sei a ventiquattro mesi.
Si tratta di un reato a dolo specifico, per la cui configurabilità è richiesta la volontà da parte dell’autore (es. Titolare del trattamento) di trarre per sé o per un terzo un profitto o di provocare un danno all’interessato. Per profitto si deve intendere un qualsiasi vantaggio o beneficio non necessariamente di natura economica. Quindi, ad esempio, l’acquisizione di dati sensibili senza aver raccolto preventivamente un valido consenso, per sviluppare una ricerca che dia prestigio e fama alla propria società, può configurare il dolo specifico richiesto dalla norma.
La principale differenza dell’articolo 167 del Codice Privacy rispetto all’articolo 35 della vecchia Legge n.675/96 è la trasformazione del reato di trattamento illecito di dati da reato di pericolo presunto (dove il pericolo al bene giuridico della riservatezza è presunto dalla legge) a reato di pericolo concreto (dove il pericolo deve essere accertato in giudizio).
Pertanto, il nocumento diventa, nell’impianto normativo del Codice, una condizione obiettiva di punibilità, anche se, affinché il reato si consumi, è sufficiente che dalla condotta del Titolare del trattamento sia derivato un nocumento qualsiasi all’interessato, scaturente da un evento diverso da quello voluto dall’autore del reato (Titolare del trattamento).
Senza addentrarsi in ulteriori tecnicismi, è importante capire che il Titolare del trattamento, che raccoglie attraverso internet dati personali, magari sensibili come lo stato di salute, in violazione della disciplina sul consenso, può incorrere anche in un rischio di natura penale.
Non a caso L’Autorità Garante, tra le tante pronunce di sensibilizzazione sull’uso di internet (vedi, ad esempio, il provv. 01.03.2007 sull’uso della posta elettronica e di internet), ha emanato nel 2012 le Linee guida in materia di trattamento di dati personali per finalità di pubblicazione e diffusione nei siti web esclusivamente dedicati alla salute, dettando indicazioni specifiche su come rendere l’informativa nel proprio sito web.
E’, pertanto, auspicabile che i Privacy Officer di aziende, organizzazioni e P.A. provvedano ad un’ attenta revisione dei propri siti web in base alla disciplina privacy.