Da più parti si evidenziano diffuse irregolarità nel trattamento dei dati, tanto per citare un caso recente si pensi all’invio di e-mail a carattere elettorale inviate senza il consenso dell’interessato, come pure il fenomeno dello “spamming”, attività che riguarda ormai centinaia di imprese italiane.
L’intervento del Garante era quindi necessario per riportare sul giusto binario le attività di trattamento effettuate ogni giorno da enti pubblici, enti privati e liberi professionisti.
Tale intervento a carattere sanzionatorio arriva però dopo innumerevoli interventi informativi e formativi che hanno da sempre contraddistinto l’attività dell’Ufficio presieduto dal prof. Stefano Rodotà.
Gli interventi
Gli interventi del Garante, che si è avvalso della collaborazione di Guardia di finanza e Polizia postale delle comunicazioni, hanno interessato:
– un gruppo di società che trattavano dati con finalità di direct marketing;
– alcuni editori ed anagrafi comunali;
– una struttura sanitaria pubblica di assistenza ad anziani;
– alcuni istituti bancari;
– diversi artigiani ed esercizi commerciali.
I reati
I reati contestati alle società di direct marketing, editori e anagrafi comunali sono stati quelli di trattamento illecito (art. 35 L. 675/96) e di omessa e incompleta notifica al Garante (art. 34 L.675/96) mentre alla struttura sanitaria è stato contestato il reato di omessa adozione delle misure di sicurezza (art. 36 L. 675/96)
All’istituto bancario, agli artigiani e ai commercianti sono stati accertati reati collegati alla mancata informativa (art. 39 L. 675/96) per i sistemi di videosorveglianza.
Infine ad un altro istituto bancario è stata vietata la raccolta di impronte digitali.
Le sanzioni
Le sanzioni hanno carattere penale e amministrativo. Iniziamo da quelle penali.
Trattare dati in modo illecito comporta una sanzione penale che prevede la reclusione fino a due anni (art. 35 L. 675/96).
Il trattamento illecito può derivare dalla violazioni di precetti quali la richiesta del consenso al trattamento e/o alla comunicazione.
L’omessa o incompleta Notificazione al Garante comporta la reclusione da tre mesi a due anni (art. 34 L. 675/96) mentre l’omessa adozione delle misure minime di sicurezza comporta la reclusione fino ad un anno e se dal fatto deriva nocumento la pena va da due mesi a due anni.
Le sanzioni amministrative hanno riguardato la violazione dell’art. 10 L. 675/96 (mancata informativa) e la multa è stata di lire tre milioni (art. 39 L. 675/96).
Dobbiamo inoltre ricordare che oltre alle sanzioni amministrative e penali gli interessati potrebbero richiedere il risarcimento del danno ai sensi dell’art. 18 L. 675/96, che prevede per i Titolari del trattamento il duro meccanismo sancito dall’art. 2050 codice civile: inversione dell’onere della prova.
Le ispezioni del 2001
Il Garante ha inoltre comunicato il piano delle ispezioni relative al primo semestre 2001.
Le segnalazioni o i reclami specifici costituiranno un terzo degli interventi; un terzo sarà costituito da indagini conoscitive sullo stato di attuazione della legge 675/96 e un terzo vedrà il Garante agire di propria iniziativa collaborando con la magistratura e le forze di polizia.
Le ispezioni comporteranno il sopralluogo e l’accesso alle banche dati in modo diretto, soprattutto quando il Garante non riterrà utile rivolgere richieste di informazioni o esibizioni di documenti.
Alcune riflessioni
La mancata applicazione delle regole sulla privacy deriva da un problema soprattutto culturale. Il nostro Paese non è mai stato eccellente nell’applicazione di norme a tutela della sfera privata.
La legge n. 675/96 ha visto la luce dopo un iter parlamentare travagliato e il testo non fa altro che evidenziare questo stato di cose.
Anche se molto si potrebbe dire sulla forma della legge bisogna però evidenziare che la mancata applicazione da parte dei titolari del trattamento a volte è frutto di mancata “voglia di applicare”.
Come molti ricorderanno, in occasione della prima scadenza, la notifica al Garante del 31/03/98, si è cercato in tutti i modi di far rientrare le proprie banche dati nei casi di esonero, dimenticandosi che l’introduzione in azienda di nuove tipologie di trattamento (ad esempio finalità di direct marketing) avrebbero poi assoggettato al regime di notifica.
Tutti invece ricorderanno la scadenza del 31/12/2000 attuata dalla legge proroga (L. 325/96) per l’adozione delle misure minime di sicurezza (ex DPR 318/99) che ha comportato molte incomprensioni: dal documento avente data certa, al documento programmatico sulla sicurezza, dall’introduzione di parole chiave per gli elaboratori alla difficile interpretazione del precetto “elaboratori collegati a reti di telecomunicazioni disponibili al pubblico”.
I titolari, di fronte a queste difficoltà, hanno preferito aspettare e limitarsi ad inserire una password senza affrontare il tema più ampio della sicurezza e arrivando ad alcuni estremi in netto contrasto con la cultura della rete: il distacco dalla LAN del PC contente dati sensibili pur di non avere l’obbligo di redazione del Documento Programmatico sulla Sicurezza.
Le domande da porsi, a questo punto, sono molte: sono i costi ad influire sulla mancata applicazione della legge?
Manca un cultura della privacy in Italia tale da non inserire la tutela del trattamento dei dati tra le attività fondamentali della nostra società civile?
I cittadini che si preoccupano moltissimo della loro privacy sono gli stessi imprenditori pubblici e privati o liberi professionisti, dirigenti e impiegati che attuano pochissimo i precetti normativi perché ci si deve occupare di cose più importanti? A queste domande si cercherà di dare una risposta nei prossimi interventi.
– La normativa sulla privacy
– Comunicato Garante Prot. dati pers. del 23/02/21