LE SANZIONI NEL NUOVO
CODICE DELLA PRIVACY
(D.Lgs. 196/2003)
Illeciti Penali
Violazioni Amministrative
Responsabilità Civile
D.Lgs. 196/2003/EN 45012/ISO 9000


La certificazione di un sistema di qualità di un fornitore
è uno dei principali mezzi che permettono di dare
confidenza che il fornitore certificato sia capace di
fornire prodotti o servizi conformi ai requisiti specificati;
La norma EN 45012 del febbraio 1998 specifica quali
debbano essere i requisiti il cui rispetto è diretto ad
assicurare l’Accreditamento degli Organismi di
Certificazione che gestiscano gli Audit di terza parte in
modo affidabile.
D.Lgs. 196/2003/EN 45012/ISO 9000


I requisiti contenuti nella norma in oggetto sono da
considerare come generali per ogni Organismo che
gestisce programmi di certificazione di sistemi di
gestione (qualità, Salute e Sicurezza sul Lavoro,
Ambiente, Security).
Di conseguenza, i requisiti generali a norma dell’articolo
1.1. dell’ EN 45012, sono essenziali affinché un
Organismo di Certificazione o di Ispezione possa essere
riconosciuto affidabile e competente nell’eseguire tali
attività.
D.Lgs. 196/2003/EN 45012/ISO 9000


Il 1° comma dell’articolo 2.1.9. della norma EN 45012
recita: “….l’organismo di certificazione deve attuare
adeguate disposizioni, conformi alle leggi in vigore, per
assicurare la salvaguardia della riservatezza delle
informazioni ottenute nel corso delle proprie attività …..”
Il 2° comma della norma in oggetto recita: “… le
informazioni …. Non devono essere divulgate a terzi
senza il consenso scritto del fornitore …” .
D.Lgs. 196/2003/EN 45012/ISO 9000

Vale la pena di prendere in esame
anche i § 2.2.4 e 3.1.2.2, esercizio
lasciato all’uditore, ove si ribadiscono
ancora i concetti in parola: dare
confidenza nella tutela della
riservatezza delle informazioni delle
Organizzazioni Clienti, anche per quel
che concerne le attività date in
outsourcing …
D.Lgs. 196/2003/EN 45012/ISO 9000

Di conseguenza anche gli organismi di
certificazione e di Ispezione devono sottostare, per
espresso richiamo della legge, alle nuove
disposizioni in materia di privacy contenute nel D.
Lgs. 196/2003 (Codice della privacy).
D.Lgs. 196/2003/EN 45012/ISO 9000
Un altro aspetto critico è che il codice sulla Privacy
è da considerare tra il “set” di norme imperative
che debbono essere prese in considerazione
quando si valuta un Sistema di gestione per la
Qualità.
D.Lgs. 196/2003/EN 45012/ISO 9000
Infatti, non si può ignorare che la tutela della
Privacy, per un Cliente di un’Organizzazione, è da
inserire tra i requisiti considerati “impliciti”, quindi
tra quei requisiti che sono da considerare come
manifestazione della normale diligenza
nell’espletamento delle attività di ogni
Organizzazione.
D.Lgs. 196/2003/EN 45012/ISO 9000
Per pretendere ed attendersi
legittimamente il rispetto di questi
requisiti, non occorre che vi siano
delle clausole contrattuali …
c’è una Legge dello Stato!!!
D.Lgs. 196/2003/EN 45012/ISO 9000
Pertanto, per un Organismo di Certificazione,
in particolare per i Sistema di gestione per la
Qualità, non valutare la corretta gestione di
tale previsione di legge, significa operare in
modo colposo (negligenza, imperizia,
imprudenza) … sempre che non si dimostri
addirittura la volontarietà della fattispecie e
quindi il dolo …
LE SANZIONI NEL NUOVO CODICE
DELLA PRIVACY (D.Lgs. 196/2003)



L’impianto sanzionatorio del nuovo codice sulla privacy é
simile a quello previsto dalla legge 675/1996;
Con il nuovo Codice si è avuto un potenziamento delle
sanzioni amministrative e una riduzione delle norme
riguardanti l’illecito penale;
Le norme in oggetto sono contenute nel titolo III della
parte III del Codice.
ILLECITI PENALI
Motivi della scelta della norma penale:


Rilevanza costituzionale degli interessi
coinvolti;

Necessità di garantire omogeneità a livello
comunitario.
ILLECITI PENALI
 Articoli di riferimento dal 167 a 172 del Codice –
contenuti al capo II del titolo III della parte III e si
tratta di:
 Reati di scopo
 Reati propri, in alcuni casi si tratta di reati propri ed
esclusivi
 Finalità del legislatore: tutelare la funzione del
Garante (fase istruttoria e decisoria)
ILLECITI PENALI
 Nel nuovo Codice sono stati previsti:
 Tre delitti (articoli 167, 168, 170)
 Due contravvenzioni (articoli 169, 171)
 Una pena accessoria (articolo 172)
 Il legislatore ha utilizzato il metodo del rinvio ad altre
norme dello stesso Codice e anche a leggi differenti
(es. legge 300/1970 richiamata dall’articolo 171)
ILLECITI PENALI
DELITTI
 I delitti sono trattati agli articoli:
 167 (Trattamento illecito di dati);
 168 (Falsità nelle dichiarazioni e notificazioni al
Garante);
 170 (Inosservanza di provvedimenti del
Garante).
ILLECITI PENALI
DELITTI
 Tutti i delitti contengono una “clausola di
salvezza” – “salvo che il fatto costituisca più
grave reato”;
 Pena edittale minima;
 Non è permesso l’utilizzo delle misure cautelari e
di strumenti di investigazione come ad esempio le
intercettazioni telefoniche.
ILLECITI PENALI
DELITTI
 A livello pratico si avrà sempre una duplice
incriminazione.
 Esempio: connubio tra l’articolo 168 rubricato
“Falsità nelle dichiarazioni e notificazioni al Garante”
e uno dei reati penali ad esso attinenti come il
delitto di truffa (articolo 640) o di appropriazione
indebita (articolo 646).
ILLECITI PENALI
DELITTI
 Articolo 167 “Trattamento illecito di dati”
 1. Salvo che il fatto costituisca più grave reato, chiunque, al
fine di trarne per sé o per altri profitto o di recare ad altri un
danno, procede al trattamento di dati personali in violazione
di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130,
ovvero in applicazione dell‘Articolo 129, é punito, se dal fatto
deriva nocumento, con la reclusione da sei a diciotto mesi o,
se il fatto consiste nella comunicazione o diffusione, con la
reclusione da sei a ventiquattro mesi.
ILLECITI PENALI
DELITTI
 Articolo 167 “Trattamento illecito di dati”
 2. Salvo che il fatto costituisca più grave reato, chiunque, al
fine di trarne per sé o per altri profitto o di recare ad altri
un danno, procede al trattamento di dati personali in
violazione di quanto disposto dagli articoli 17, 20, 21, 22,
commi 8 e 11, 25, 26, 27 e 45, é punito, se dal fatto deriva
nocumento, con la reclusione da uno a tre anni.
ILLECITI PENALI
DELITTI
 Articolo 167 “Trattamento illecito di dati”
 Il legislatore ha riprodotto l’articolo 35 della legge 675/96;
 Unica differenza: sono state rese punibili le condotte ivi richiamate
“solo se dal fatto derivi nocumento”. Nella legge 675/96 il
nocumento costituiva solo un’aggravante. Oggi il nocumento da
aggravante è stato elevato a elemento della fattispecie di base.
ILLECITI PENALI
DELITTI
 Articolo 167 “Trattamento illecito di dati”
 È un reato proprio nonostante sia stato inserito il termine
“chiunque”;
 Consumazione del reato: coincide con il momento di attivazione
dell’operazione idonea ad incidere sui dati personali.
 Trattamento sanzionatorio lieve: sarà quasi impossibile la
detenzione.
ILLECITI PENALI
DELITTI
 Articolo 167 “Trattamento illecito di dati”
 Massime della Giurisprudenza:
1. Trib. Pescara (sent. 12/10/2000) non risponde del reato
ex art 167 il giornalista che rivela dati relativi alla salute
o sfera sessuale di un soggetto se hanno riguardo a fatti
di interesse pubblico e abbiano la caratteristica della
veridicità della notizia e l’essenzialità dell’informazione;
2. Pret. Palermo (sent. 4/02/1999) costituisce trattamento
illecito di dati l’archiviazione di dati raccolti in una banca
dati elettronica per l’invio di lettere promozionali ai clienti
senza il loro consenso.
ILLECITI PENALI
DELITTI
 Articolo 168 “Falsità nelle dichiarazioni e
notificazioni al Garante”
1. Chiunque, nella notificazione di cui all'articolo 37 o in
comunicazioni, atti, documenti o dichiarazioni resi o esibiti
in un procedimento dinanzi al Garante o nel corso di
accertamenti, dichiara o attesta falsamente notizie o
circostanze o produce atti o documenti falsi, é punito,
salvo che il fatto costituisca più grave reato, con la
reclusione da sei mesi a tre anni.
ILLECITI PENALI
DELITTI
 Articolo 168 “Falsità nelle dichiarazioni e
notificazioni al Garante”
 La norma disciplina una fattispecie introdotta dal d.lgs.
467/2001 che ha sanzionato anche il mendacio commesso
nelle dichiarazioni dovute al Garante non solo ai sensi
dell’articolo 37, ma anche dell’articolo 39.
 La legge 675/96 sanzionava la mancata comunicazione al
Garante.
ILLECITI PENALI
DELITTI
 Articolo 168 “Falsità nelle dichiarazioni e
notificazioni al Garante”
 Finalità del legislatore: la disposizione in esame tende a
salvaguardare e rafforzare la funzione istruttoria del
Garante.
 La norma verrà a confliggere con l’articolo 483 c.p.
“Falsità ideologica commessa dal privato in atto pubblico”.
ILLECITI PENALI
DELITTI
 Articolo 170 “Inosservanza di provvedimenti del
Garante”
 1. Chiunque, essendovi tenuto, non osserva il
provvedimento adottato dal Garante ai sensi degli articoli
26, comma 2, 90, 150, commi 1 e 2, e 143, comma 1,
lettera c), é punito con la reclusione da tre mesi a due
anni.
ILLECITI PENALI
DELITTI
 Articolo 170 “Inosservanza di provvedimenti del
Garante”
 La ratio della norma deriva dall’inapplicabilità dell’articolo
650 c.p. (Inosservanza dei provvedimenti dell’Autorità),
che circoscrive il suo raggio d’azione ai provvedimenti
legalmente dati per ragioni di giustizia, sicurezza pubblica,
ordine pubblico ed igiene;
 Si tratta di un reato proprio.
ILLECITI PENALI
DELITTI
 Articolo 170 “Inosservanza di provvedimenti del
Garante”
 L’articolo in oggetto richiama:
 L’articolo 26 (2° comma) che tratta delle garanzie per il
trattamento dei dati sensibili (autorizzazione che deve
essere richiesta al Garante affinché il titolare possa
trattare dati sensibili);
 L’articolo 90 che si occupa del trattamento di dati
genetici: materia estremamente delicata in ragione
dell’importanza della tutela e della protezione
dell’identità personale.
ILLECITI PENALI
CONTRAVVENZIONI
 Articolo 169 “Misure di sicurezza”
1. Chiunque, essendovi tenuto, omette di adottare le misure
minime previste dall'articolo 33 é punito con l'arresto sino
a due anni o con l'ammenda da diecimila euro a
cinquantamila euro.
ILLECITI PENALI
CONTRAVVENZIONI
 Articolo 169 “Misure di sicurezza”
1. Chiunque, essendovi tenuto, omette di adottare le misure
minime previste dall'articolo 33 é punito con l'arresto sino
a due anni o con l'ammenda da diecimila euro a
cinquantamila euro.
2. All'autore del reato, all'atto dell'accertamento o, nei casi
complessi, anche con successivo atto del Garante, é
impartita una prescrizione fissando un termine per la
regolarizzazione non eccedente il periodo di tempo
tecnicamente necessario, prorogabile in caso di particolare
complessità o per l'oggettiva difficoltà dell'adempimento e
comunque non superiore a sei mesi.
ILLECITI PENALI
CONTRAVVENZIONI
 Articolo 169 “Misure di sicurezza”
 Nei sessanta giorni successivi allo scadere del termine, se
risulta l'adempimento alla prescrizione, l'autore del reato é
ammesso dal Garante a pagare una somma pari al quarto
del massimo dell'ammenda stabilita per la
contravvenzione. L'adempimento e il pagamento
estinguono il reato. L'organo che impartisce la prescrizione
e il pubblico ministero provvedono nei modi di cui agli
articoli 21, 22, 23 e 24 del decreto legislativo 19 dicembre
1994, n. 758, e successive modificazioni, in quanto
applicabili.
ILLECITI PENALI
CONTRAVVENZIONI
 “Misure di sicurezza”
 Articoli 31-33 e Allegato B
 Nel nuovo Codice è stato confermato il principio per cui le
“misure minime” previste dall’articolo 33 del Codice, anche
se sono di importanza tale da indurre il legislatore a
sanzionare la loro mancata adozione con un a norma
penale, sono solo una parte degli accorgimenti obbligatori
in materia di sicurezza.
ILLECITI PENALI
CONTRAVVENZIONI
 “Misure di sicurezza”
 Articoli 31-33 e Allegato B
 In materia si distinguono due obblighi:
1. Obbligo generale di ridurre al minimo determinati
rischi: resta in vigore, oltre alle cosiddette "misure
minime", l’obbligo di adottare ogni altra misura di
sicurezza idonea a fronteggiare le predette evenienze,
avuto riguardo alle conoscenze acquisite in base al
progresso tecnico, alla natura dei dati e alle
caratteristiche del trattamento, di cui si devono
valutare comunque i rischi (articolo 31);
2. Nell’ambito del predetto obbligo generale, il dovere di
adottare in ogni caso le misure minime.
ILLECITI PENALI
CONTRAVVENZIONI
 “Misure di sicurezza”
 Articoli 31-33 e Allegato B
 L’articolo 36 del Codice ha aggiornato le “misure minime”
le cui modalità di applicazione sono indicate
analiticamente in 29 articoli dell’Allegato B del medesimo
Codice;
 Le “misure minime” sono diverse a seconda che il
trattamento sia effettuato o meno con strumenti
elettronici, oppure riguardi dati sensibili o giudiziari.
ILLECITI PENALI
CONTRAVVENZIONI
 “Misure di sicurezza”
 Articoli 31-33 e Allegato B
 Il termine per l’adozione delle “misure minime” è entro il
30 giugno 2004.
 È previsto un termine più ampio per l’adeguamento (fino
al 1° gennaio 2005) solo se, in caso del tutto particolare,
ricorrano obiettive ragioni di natura tecnica.
ILLECITI PENALI
CONTRAVVENZIONI
 “Misure di sicurezza”
 Articoli 31-33 e Allegato B
 Il documento programmatico per la sicurezza (DPS) è una
“misura minima” prevista dall’articolo 34 lett. g) e
dall’allegato B del Codice;
 Anche se non si tratta di una misura nuova il Garante, nel
parere del 22 marzo 2004, ha dichiarato che il termine
ultimo per la sua redazione, eccezionalmente per questo
anno, è non oltre il 30 giugno, a differenza dei prossimi
anni in cui il termine improrogabile sarà non oltre il 31
marzo.
 Non sarà possibile invocare un differimento al 1° gennaio
2005, in quanto, a differenza delle altre “misure minime”,
è una misura da adottare con un documento scritto.
ILLECITI PENALI
CONTRAVVENZIONI
 “Misure di sicurezza”
 Articoli 31-33 e Allegato B
 Il responsabile del trattamento, dovrà riferire nella
relazione di accompagnamento a ciascun bilancio di
esercizio circa l’avvenuta redazione o aggiornamento del
DPS.
 Anche questa prescrizione rappresenta una “misura
minima” nuova, indicata tra quelle di “tutela e garanzia”.
ILLECITI PENALI
CONTRAVVENZIONI
 Articolo 169 “Misure di sicurezza”




Fattispecie estremamente ampia;
Nella legge 675/96 era un delitto;
Nel 2001 è stato trasformato in contravvenzione;
Nel nuovo Codice risulta ancora più debole e difficile da
accertare in quanto è collegato alla normativa dell’Allegato
B che, per previsione di legge, può essere modificato
periodicamente
ILLECITI PENALI
CONTRAVVENZIONI
 Articolo 169 “Misure di sicurezza”
 L’articolo in esame riproduce l’articolo 36 della legge
675/96.
 La contravvenzione prevede la pena dell’arresto fino a due
anni o l’ammenda da 10.000 a 50.000 €, per chiunque
omette di adottare le misure minime di sicurezza nel
trattamento dei dati.
ILLECITI PENALI
CONTRAVVENZIONI
 Articolo 169 “Misure di sicurezza”
 E’ previsto un procedimento di oblazione potendosi
estinguere il reato se:
 L’autore del reato provvede alla regolarizzazione in
ottemperanza ad un provvedimento del Garante ed
entro un termine non superiore a 6 mesi;
 Versa una somma pari al quarto del massimo
dell’ammenda stabilita (12.500 €).
ILLECITI PENALI
CONTRAVVENZIONI
 Articolo 171 “Altre fattispecie”
 1. La violazione delle disposizioni di cui agli articoli 113,
comma 1, e 114 é punita con le sanzioni di cui all'articolo
38 della legge 20 maggio 1970, n. 300.
ILLECITI PENALI
CONTRAVVENZIONI
 Articolo 171 “Altre fattispecie”
 1. La violazione delle disposizioni di cui agli articoli 113,
comma 1, e 114 é punita con le sanzioni di cui all'articolo
38 della legge 20 maggio 1970, n. 300.
 Vengono richiamati gli articoli 113 e 114 del Codice che
sono situati nel titolo VIII della seconda parte, intitolato
“Lavoro e previdenza sociale”;
ILLECITI PENALI
CONTRAVVENZIONI
 Articolo 171 “Altre fattispecie”
 1. La violazione delle disposizioni di cui agli articoli 113,
comma 1, e 114 é punita con le sanzioni di cui all'articolo
38 della legge 20 maggio 1970, n. 300.
 Vengono richiamati gli articoli 113 e 114 del Codice che
sono situati nel titolo VIII della seconda parte, intitolato
“Lavoro e previdenza sociale”;
 In entrambe le norme vi è un rimando alla legge 300/1970
(c.d. Statuto dei lavoratori) e precisamente il rimando è
agli articoli 4 e 8;
ILLECITI PENALI
CONTRAVVENZIONI
 Articolo 171 “Altre fattispecie”
 La norma applicabile in forza di questi richiami è l’articolo
38 dello Statuto (Disposizioni penali) che recita: “Le
violazioni degli articoli 2, 4, 5, 6, 8 e 15, primo comma
lettera a), sono punite, salvo che il fatto non costituisca
più grave reato, con l'ammenda da lire 300.000 a lire
3.000.000 o con l'arresto da 15 giorni ad un anno. Nei casi
più gravi le pene dell'arresto e dell'ammenda sono
applicate congiuntamente. Quando per le condizioni
economiche del reo, l'ammenda stabilita nel primo comma
può presumersi inefficace anche se applicata nel massimo,
il giudice ha facoltà di aumentarla fino al quintuplo.
ILLECITI PENALI
PENE ACCESSORIE
 Articolo 172 “Pene Accessorie”
 1. La condanna per uno dei delitti previsti dal presente
codice importa la pubblicazione della sentenza.
ILLECITI PENALI
PENE ACCESSORIE
 Articolo 172 “Pene Accessorie”
 1. La condanna per uno dei delitti previsti dal presente
codice importa la pubblicazione della sentenza.
 La disposizione in esame riproduce il primo comma
dell’articolo 38 della legge 675/96.
 Prevede la pubblicazione della sentenza nel caso di
condanna per uno dei reati previsti dal Codice;
 La pena viene applicata in ogni caso di condanna e quindi
è stata sottratta alla discrezionalità dell’autorità
giudicante.
VIOLAZIONI
AMMINISTRATIVE
 Il quadro delle sanzioni si completa con una serie di illeciti
amministrativi;
 Le condotte sanzionate derivano, in massima parte, dalla
violazione di obblighi di informativa e collaborazione.
 Il potere sanzionatorio è attribuito al Garante stesso in
quanto a norma dell’articolo 166 del Codice risulta essere
l’organo competente.
VIOLAZIONI
AMMINISTRATIVE
 I proventi derivanti dalle sanzioni, nella misura
del 50% del totale annuo, sono assegnati al
fondo relativo alle spese di funzionamento del
Garante e sono utilizzati per l’esercizio dei
compiti di cui agli articoli (Art. 166):
 154, 1° comma, lett. h (curare la conoscenza della
materia in oggetto tra il pubblico);
 158 spese per accertamenti ispettivi.
VIOLAZIONI
AMMINISTRATIVE
 Le sanzioni sono:
 Pena principale: pagamento della somma pecuniaria;
 Pena accessoria: pubblicazione dell’odinanzaingiunzione del Garante.
 Il Codice prevede 4 fattispecie di condotte
illecite che sono state introdotte nel Capo I del
Titolo II della III Parte del Codice (articoli da
161 a 164).
VIOLAZIONI
AMMINISTRATIVE
 Articolo 161 “Omessa o inidonea informativa
all'interessato”
 1. La violazione delle disposizioni di cui all'articolo 13 é
punita con la sanzione amministrativa del pagamento di
una somma da tremila euro a diciottomila euro o, nei casi
di dati sensibili o giudiziari o di trattamenti che presentano
rischi specifici ai sensi dell'articolo 17 o, comunque, di
maggiore rilevanza del pregiudizio per uno o più
interessati, da cinquemila euro a trentamila euro. La
somma può essere aumentata sino al triplo quando risulta
inefficace in ragione delle condizioni economiche del
contravventore.
VIOLAZIONI
AMMINISTRATIVE
 Articolo 161 “Omessa o inidonea informativa
all'interessato”
 La norma in oggetto sanziona la violazione:
 Dell’articolo 13 (Informativa) nel caso del trattamento
di dati comuni;
 Dell’articolo 17 (Trattamento che presenta rischi
specifici) nel caso di trattamento di dati sensibili e/o
dati giudiziari o dati che presentano rischi specifici.
VIOLAZIONI
AMMINISTRATIVE
 Articolo 161 “Omessa o inidonea informativa
all'interessato”
 La pena prevista può essere aumentata sino al triplo
quando risulta essere inefficace in ragione delle condizioni
economiche del contravventore;
 Oltre alla pena principale potrà essere applicata anche la
pena accessoria ex articolo 165 della pubblicazione
dell’ordinanza-ingiunzione del Garante.
VIOLAZIONI
AMMINISTRATIVE
 Articolo 162 “Altre Fattispecie”
 1°comma
 cessione dei dati in violazione della lett. b), 1°
comma dell’art.16 (quando essendovi l’ipotesi di
cessazione del trattamento, i dati vengono ceduti
ad altro titolare, purché destinati ad un trattamento
compatibile con gli scopi per i quali i dati sono stati
raccolti;
 Violazione di altre disposizioni in materia di
disciplina del trattamento dei dati;
 La sanzione amm. prevista è quella del pagamento di
una somma variabile da 5.000 a 30.000 €.
VIOLAZIONI
AMMINISTRATIVE
 Articolo 162 “Altre Fattispecie”
 2° comma:
 Viene punita la violazione della disposizione di cui
all’articolo 84, 1° comma (quando cioè vengono
resi noti all’interessato o agli altri soggetti che, in
determinate condizioni, possono riceverli in sua
vece, dati idonei a rivelare lo stato di salute,
facendo ciò non per il tramite di un medico
designato dallo stesso interessato o dal titolare del
trattamento).
 La sanzione amm. prevista è quella del pagamento di
una somma da 500 a 3.000 €.
 Per le ipotesi di entrambi i commi è possibile l’applicazione
della pena accessoria ex art.165.
VIOLAZIONI
AMMINISTRATIVE
 Articolo 163 “ Omessa o incompleta notificazione”
 1° comma: Chiunque, essendovi tenuto, non provvede
tempestivamente alla notificazione ai sensi degli articoli
37 e 38, ovvero indica in essa notizie incomplete, é
punito con la sanzione amministrativa del pagamento di
una somma da diecimila euro a sessantamila euro e con
la sanzione amministrativa accessoria della pubblicazione
dell'ordinanza-ingiunzione, per intero o per estratto, in
uno o più giornali indicati nel provvedimento che la
applica.
VIOLAZIONI
AMMINISTRATIVE
 Articolo 163 “ Omessa o incompleta notificazione”
 La norma in oggetto punisce diverse condotte illecite
relative agli articoli 37 e 38 del Codice.
 L’articolo in oggetto punisce chiunque, pur essendovi
tenuto:
 Non provvede tempestivamente alla notificazione al
Garante;
 Indica nella notificazione notizie incomplete.
VIOLAZIONI
AMMINISTRATIVE
 Articolo 163 “ Omessa o incompleta notificazione”
 Si tratta di una violazione dell’obbligo di tempestiva
comunicazione al Garante relativa all’intenzione di
procedere al trattamento dei dati personali.
 La comunicazione è necessaria affinché l’Autorità
possa inserire tale notificazione nell’apposito registro.
VIOLAZIONI
AMMINISTRATIVE
 Articolo 163 “ Omessa o incompleta notificazione”
 Gli autori della fattispecie sono individuati nel Titolare
del trattamento (articolo 28) e nel Responsabile del
trattamento (articolo 29) quali destinatari dell’obbligo
di notifica.
 Ma il meccanismo di delega può determinare in
concreto altri autori.
VIOLAZIONI
AMMINISTRATIVE
 Articolo 163 “ Omessa o incompleta notificazione”
 Le sanzioni amministrative previste sono:
 Pagamento di una somma da 10.000 a 60.000 €;
 Pubblicazione dell’ordinanza-ingiunzione per intero o per
estratto in uno o più giornali indicati nel provvedimento
che la applica.
VIOLAZIONI
AMMINISTRATIVE
 Articolo 164 “ Omessa informazione o esibizione al
Garante”
 Comma 1: Chiunque omette di fornire le informazioni o di
esibire i documenti richiesti dal Garante ai sensi degli articoli
150, comma 2, e 157 é punito con la sanzione
amministrativa del pagamento di una somma da quattromila
euro a ventiquattro mila euro.
VIOLAZIONI
AMMINISTRATIVE
 Articolo 164 “ Omessa informazione o esibizione al
Garante”
 La norma in esame rinvia all’:
 Articolo 157 che prevede espressamente ed in via
generale che, per l’espletamento dei propri compiti, il
Garante possa chiedere al titolare, al responsabile,
all’incaricato o anche a terzi di fornire informazioni o di
esibire documenti;
 Articolo 150 (2° co.) intitolato “Provvedimenti a seguito
del ricorso” il quale afferma che il Garante per poter
emettere il proprio provvedimento deve “assumere le
necessarie informazioni”.
VIOLAZIONI
AMMINISTRATIVE
 Articolo 164 “ Omessa informazione o esibizione al
Garante”
 La violazione degli articoli 151 e 157 del Codice viene
punita con la sanzione amm. del pagamento di una
somma da 4.000 a 24.000 €;
 A norma dell’articolo 165 anche per la fattispecie in
oggetto può essere applicata dal Garante la pena
accessoria della pubblicazione dell’ordinanzaingiunzione.
RESPONSABILITA’ CIVILE
 Il legislatore ha previsto mezzi civilistici di tutela a
favore dell’interessato sia sul piano processuale che
su quello sostanziale.
 Ruolo fondamentale occupa la previsione contenuta
nell’articolo 15 del Codice (che richiama ciò che era
già sancito dall’articolo 18 della legge 675/1996).
RESPONSABILITA’ CIVILE
 Articolo 15 “Danni cagionati per effetto del
trattamento”
 1. Chiunque cagiona danno ad altri per effetto del trattamento
di dati personali é tenuto al risarcimento ai sensi dell'articolo
2050 del codice civile.
 2.Il danno non patrimoniale é risarcibile anche in caso di
violazione dell'articolo 11.
RESPONSABILITA’ CIVILE
 Articolo 15 “Danni cagionati per effetto del
trattamento”
 Anche il legislatore comunitario si è occupato nella Direttiva
95/46/CE del tema della responsabilità civile per i danni
procurati per effetto del trattamento dei dati.
 L’articolo 23, 1° comma della Direttiva recita: “Gli Stati membri
dispongono che chiunque subisca un danno cagionato da un
trattamento illecito o da qualsiasi altro atto incompatibile con le
disposizioni nazionali di attuazione della presente direttiva abbia
il diritto di ottenere il risarcimento del pregiudizio subito dal
responsabile del trattamento”.
RESPONSABILITA’ CIVILE
 Articolo 15 “Danni cagionati per effetto del
trattamento”
 La Responsabilità sancita dall’Articolo 15 del Codice riguarda
tutti i danni cagionati “per effetto del trattamento”;
 Tale locuzione si ritiene debba essere interpretata sino a
ricomprendere i danni che derivano da qualunque operazione di
trattamento: raccolta, elaborazione, comunicazione, diffusione,
etc., nonché dalla mancata adozione di misure di sicurezza.
RESPONSABILITA’ CIVILE
 Articolo 15 “Danni cagionati per effetto del
trattamento”
 L’Articolo 4, 1° comma del Codice fornisce, alla lettera a), la
definizione di “trattamento” e recita: “Ai fini del presente codice
si intende trattamento qualunque operazione o complesso di
operazione, effettuati anche senza l’ausilio di strumenti
elettronici, concernenti la raccolta, la registrazione,
l’organizzazione, la conservazione, la consultazione,
l’elaborazione, la modifica, la selezione, l’estrazione, il raffronto,
l’utilizzo, l’interconnessione, il blocco, la comunicazione, la
diffusione, la cancellazione e la distruzione di dati, anche se non
registrati in una banca dati”.
RESPONSABILITA’ CIVILE
 Articolo 15 “Danni cagionati per effetto del
trattamento” – 1° Comma
 Il primo comma dell’articolo in oggetto fa un rinvio all’articolo
2050 c.c. (responsabilità per l’esercizio di attività pericolose) che
recita :
 “Chiunque cagiona danno ad altri nello svolgimento di un'attività
pericolosa, per sua natura o per la natura dei mezzi adoperati, e
tenuto al risarcimento, se non prova di avere adottato tutte le
misure idonee a evitare il danno” .
RESPONSABILITA’ CIVILE
 Articolo 15 “Danni cagionati per effetto del
trattamento” – 1° Comma
 Il rinvio all’articolo 2050 c.c. permette di considerare il
“trattamento dei dati personali” quale “attività pericolosa”.
 Si è di fronte ad una responsabilità di natura contrattuale ed
extracontrattuale che investe a cascata sia il titolare del
trattamento e il gestore della banca dati sia i terzi che sono
contrattualmente legati ai due precedenti soggetti per fornitura
dei beni e/o servizi.
RESPONSABILITA’ CIVILE
 Articolo 15 “Danni cagionati per effetto del
trattamento” – 1° Comma
 Al fine di individuare i soggetti tenuti al risarcimento del danno
sia di natura patrimoniale, che anche di natura non
patrimoniale, causati dal trattamento illecito dei dati, bisogna
fare riferimento alla locuzione “chiunque” contenuta nell’articolo
15 del Codice.
 La norma in oggetto fa riferimento al centro di imputazione
della responsabilità e le figure soggettive descritte dal
combinato disposto degli articoli 4, 28, 29 e 30 dello stesso
(titolare, responsabile, incaricato).
 Il Codice, infatti, non ha chiaramente individuato i soggetti
tenuti a rispondere dei danni cagionati per effetto del
trattamento illecito dei dati.
RESPONSABILITA’ CIVILE
 Articolo 15 “Danni cagionati per effetto del
trattamento” – 1° Comma
 Le forme di responsabilità descritte dal Codice, sembrerebbero
più facilmente riconducibili al titolare e al responsabile del
trattamento in funzione della relativa attribuzione delle facoltà di
decidere in ordine alle fasi del trattamento o altre operazioni che
hanno causato o permesso la realizzazione del danno;
 TITOLARE: deve essere considerato responsabile (ex articolo 15
del Codice e articolo 2050 c.c.) tanto se si tratta di persona
fisica che di persona giuridica privata, quanto la pubblica
amministrazione.
RESPONSABILITA’ CIVILE
 Articolo 15 “Danni cagionati per effetto del
trattamento” – 1° Comma
 La Giurisprudenza ritiene che occorra operare una distinzione
tra attività svolta direttamente dall’esercente e attività
“trasferita” a terzi senza vincolo di subordinazione.
 Nel primo caso infatti, l’esercente risponde dei danni, mentre nel
secondo caso sarà il terzo soggetto a dover dimostrare che
“l’evento dannoso si è verificato per caso fortuito, ovvero per un
vizio intrinseco della cosa, addebitabile unicamente al
costruttore”.
 Da tale principio scaturisce la considerazione che l’esercente
l’attività pericolosa sia responsabile per i danni cagionati a terzi
dai propri dipendenti.
RESPONSABILITA’ CIVILE
 Articolo 15 “Danni cagionati per effetto del
trattamento” – 1° Comma
 PROVA LIBERATRORIA
 Dalla responsabilità ex articolo 2050 c.c., che graverà sul
soggetto di volta in volta individuato, discende che questi sarà
gravato dalla inerente presunzione di colpa, dalla quale potrà
liberarsi solo dimostrando di aver adottato tutte le misure di
sicurezza possibili ad evitare il danno (riferibili allo stato attuale
di conoscenza tecnico-scientifica).
RESPONSABILITA’ CIVILE
 Articolo 15 “Danni cagionati per effetto del
trattamento” – 1° Comma
 PROVA LIBERATRORIA
 La prova liberatoria è particolarmente rigorosa in quanto non è
sufficiente la sola dimostrazione, in negativo, di non aver
commesso alcuna violazione della legge o delle regole di
comune prudenza, ma è necessaria la prova positiva di aver
impiegato ogni cura o misura atta ad impedire l’evento dannoso.
RESPONSABILITA’ CIVILE
 Articolo 15 “Danni cagionati per effetto del
trattamento” – 1° Comma
 ESEMPIO
 Non costituirà prova liberatoria l’aver fornito una preventiva
informativa all’interessato o aver acquistato, ove previsto, il suo
consenso, ai sensi degli articoli 23 e ss. del Codice. Il
danneggiante dovrà, quindi, produrre una prova positiva, ovvero
dimostrare di aver predisposto ogni accorgimento necessario,
tale da escludere il nesso eziologico tra l’attività pericolosa di
trattamento dei dati e l’evento.
RESPONSABILITA’ CIVILE
 Articolo 15 “Danni cagionati per effetto del
trattamento” – 1° Comma
 Il rinvio alla nozione di prova liberatoria, contenuta all’articolo
2050 c.c., dovrebbe poter evitare la cristallizzazione degli
standard di sicurezza, nel caso in cui misure di sicurezza più
incisive di quelle minime si sarebbero potute adottare e non si
provi che così è stato fatto (misure idonee).
 Per maggiore sicurezza, dovranno comunque essere adottate
tutte le misure prescritte oltre ad altre non espressamente
previste.
 La valutazione sull’idoneità delle misure di sicurezza adottate
dovrà essere un giudizio “ex ante” e non “ex post” rispetto
all’evento dannoso.
RESPONSABILITA’ CIVILE
 Articolo 15 “Danni cagionati per effetto del
trattamento” – 1° Comma
 L’articolo 2050 c.c. pone il problema dell’individuazione del
SOGGETTO DANNEGGIATO.
 L’espressione testuale utilizzata è molto ampia “Chiunque
cagiona danno ad altri”.
 L’unica immediata certezza è la non identità tra danneggiato e
danneggiante.
RESPONSABILITA’ CIVILE
 Articolo 15 “Danni cagionati per effetto del
trattamento” – 1° Comma
 Si può quindi risalire in questo modo alla individuazione del
soggetto danneggiato, intendendosi, quindi, con tale ultima
espressione chi, non essendo l’esercente l’attività pericolosa,
svolga per esso una attività di prestatore d’opera sia autonoma
sia subordinata.
RESPONSABILITA’ CIVILE
 Articolo 15 “Danni cagionati per effetto del
trattamento” – 2° Comma
 Il secondo comma dell’articolo 15 del Codice, nel prevedere la
risarcibilità del danno non patrimoniale, fa espresso riferimento
ai casi violazione dell’articolo11 del Codice, disposizione
concernente le modalità di raccolta e i requisiti dei dati
personali.
 La medesima disposizione, nel precedente testo, era collocata al
comma 9 dell’articolo 29 e non all’articolo 18 che costituiva
l’omologo dell’attuale articolo 15.
RESPONSABILITA’ CIVILE
 Articolo 15 “Danni cagionati per effetto del
trattamento” – 2° Comma

L’articolo 11 del Codice (Modalità del trattamento e requisiti dei dati)
recita: “I dati personali oggetto di trattamento sono: a) trattati in modo
lecito e secondo correttezza; b) raccolti e registrati per scopi
determinati, espliciti e legittimi, ed utilizzati in altre operazioni del
trattamento in termini compatibili con tali scopi; c) esatti e, se
necessario, aggiornati; d) pertinenti, completi e non eccedenti rispetto
alle finalità per le quali sono raccolti o successivamente trattati; e)
conservati in una forma che consenta l'identificazione dell'interessato
per un periodo di tempo non superiore a quello necessario agli scopi
per i quali essi sono stati raccolti o successivamente trattati.
 I dati personali trattati in violazione della disciplina rilevante in materia
di trattamento dei dati personali non possono essere utilizzati”.
RESPONSABILITA’ CIVILE
 Articolo 15 “Danni cagionati per effetto del
trattamento” – 2° Comma
 Il riconoscimento della risarcibilità del danno non patrimoniale in
materia nasce in sintonia con alcune disposizioni comunitarie;
 L’articolo 12 della legge 30 settembre 1993, n. 388, di ratifica
dell’Accordo Schengen, garantiva all’interessato la possibilità di
richiedere un equo indennizzo per i danni non patrimoniali subiti
a seguito di un illecito trattamento dei dati.
RESPONSABILITA’ CIVILE
 Articolo 15 “Danni cagionati per effetto del
trattamento” – 2° Comma
 Parte della giurisprudenza di merito considera la configurabilità
del risarcimento del danno non patrimoniale in re ipsa, in
presenza solo del presupposto del trattamento abusivo: quasi
come se la disposizione in oggetto contenesse una sorta di
principio di indennizzo generale del danno non patrimoniale da
trattamento di dati personali.
RESPONSABILITA’ CIVILE
 Articolo 15 “Danni cagionati per effetto del
trattamento” – 2° Comma
 Il danno morale, invece, al pari di ogni danno, è risarcibile
soltanto come pregiudizio effettivamente conseguente ad una
lesione, secondo altra parte della giurisprudenza, di
conseguenza sarà necessaria la prova ulteriore dell’entità del
danno, ossia la dimostrazione che la lesione ha prodotto una
perdita di tipo analogo a quello indicato dall’articolo 1223 c.c.,
costituita dalla diminuzione o dalla privazione di un valore
personale (non patrimoniale), alla quale il risarcimento deve
essere equitativamente commisurato.
RESPONSABILITA’ CIVILE
 Articolo 15 “Danni cagionati per effetto del
trattamento” – 2° Comma
 In ordine ai criteri liquidatori del danno, deve richiamarsi quella
giurisprudenza che ha sempre ritenuto di dover ancorare il
danno morale a parametri quali l’entità dell’offesa, il carattere
doloso o colposo della condotta, la situazione economica delle
parti, la gravità dell’illecito.
 Caso pratico: sentenza del Tribunale di Orvieto del 25 novembre
2002.