Nel 1999, il titolare del sito Kitetoa.com, che denuncia regolarmente i siti commerciali sforniti di un efficiente sistema di sicurezza, per la protezione dei dati personali relativi ai propri clienti, aveva segnalato, al responsabile del sito della rivista Tati, una falla presente nel suo sistema di sicurezza che consentiva di accedere facilmente alle informazioni relative ai suoi clienti, con l’impiego di un semplice browser.
Poiché, dopo circa un anno, la falla sul sito di Tati sussisteva ancora, il titolare di Kitetoa.com aveva deciso di pubblicare sul proprio sito un articolo nel quale denunciava la situazione.
La società Tati si era perciò rivolta all’autorità giudiziaria, denunciando il giornalista, per essersi introdotto, senza essere autorizzato, nel suo sistema informatico.
Il Tribunal de Grande Instance di Parigi – ricordando che per messa in sicurezza di un trattamento automatizzato di informazioni nominative si deve intendere l’adozione di tutte le precauzioni utili per preservare la sicurezza delle informazioni raccolte e impedire che queste siano deformate, danneggiate o comunicate a terzi non autorizzati – aveva però riconosciuto la querelante colpevole di non aver rispettato l’obbligo di mettere in sicurezza il proprio archivio contenente dati nominativi e, per questo motivo, aveva respinto la sua domanda di risarcimento dei danni subiti.
In base all’art. 226-17 del codice penale francese, l’omissione di messa in sicurezza del trattamento informatico di dati personali dovrebbe essere sanzionato con una pena di 5 anni di reclusione e una multa di 300.000 euro, ma sino ad oggi la norma non è stata applicato che in rarissimi casi.
Allo stesso tempo, però, il giudice di primo grado aveva condannato l’autore dell’articolo al pagamento di un’ammenda di 1000 euro, avendolo giudicato colpevole di accesso fraudolento ad un sistema di trattamento automatizzato di dati riservati.
L’art. 323-1 del codice penale francese, infatti, prevede che chiunque acceda ad un sistema informatizzato contenente dati riservati, è assoggettabile alla pena che può giungere fino a un anno di reclusione e fino a 15.000 euro di multa.
Il responsabile di Kitetoa.com è poi stato recentemente assolto dalla Corte d’Appello di Parigi, sulla base della considerazione che, essendo l’accesso al sistema avvenuto sulla base di un semplice browser, non è stata realizzata la condotta fraudolenta lamentata dalla società querelante.