TRATTAMENTO DEI DATI PERSONALI ALTRE FATTISPECIE PENALI

Transcript

1 TRATTAMENTO DEI DATI PERSONALI ALTRE FATTISPECIE PENALI OMESSA ADOZIONE DI MISURE DI SICUREZZA «1. Chiunque, essendovi tenuto, ome3e di ado3are le misure minime previste dall'ar9colo 33 è punito con l'arresto sino a due anni» art. 31 TU «Art. 31. Obblighi di sicurezza I da9 personali ogge3o di tra3amento sono custodi9 e controlla9, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei da9 e alle specifiche cara3eris9che del tra3amento, in modo da ridurre al minimo, mediante l'adozione di idonee e preven9ve misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei da9 stessi, di accesso non autorizzato o di tra3amento non consen9to o non conforme alle finalità della raccolta» rif. al progresso tecnologico riduzione al minimo > rimane un rischio conceh cari al diriko penale del lavoro > v. art. 169, comma 2 1

2 OMESSA ADOZIONE DI MISURE DI SICUREZZA violazione dell'art. 31 TU > responsabilità civile v. Tribunale di Palermo, fako > A e B erano Vtolari del conto corrente Banco Posta n. X abilitato all'operavvità on line; dal predeko conto è eseguito un bonifico di 6.000,00 a favore di C; tale operazione non è autorizzata dai correnvsv movvazione > il sistema predisposto dalla banca non è adeguato alla tecnologia esistente il PIN richiesto era di sole 4 cifre l'idenvficavvo utente corrispondeva all'indirizzo e mail di poste italiane del cliente (facilmente ricavabile) contrariamente a quanto previsto contrakualmente, la banca non ha dato conferma, a mezzo posta elekronica dell'avvenuto bonifico) esito > condanna al risarcimento di 6.000,00 OMESSA ADOZIONE DI MISURE DI SICUREZZA art. 33 TU «Art. 33. Misure minime 1. Nel quadro dei più generali obblighi di sicurezza di cui all'ar9colo 31, o previs9 da speciali disposizioni, i 9tolari del tra3amento sono comunque tenu9 ad ado3are le misure minime individuate nel presente capo o ai sensi dell'ar9colo 58, comma 3, volte ad assicurare un livello minimo di protezione dei da9 personali» le misure minime (la cui violazione cosvtuisce reato) sono individuate agli ark. 33 e segg. dall'art. 58 2

3 Art. 34. Tra:amen; con strumen; ele:ronici. 1. Il tra3amento di da9 personali effe3uato con strumen9 ele3ronici è consen9to solo se sono ado3ate, nei modi previs9 dal disciplinare tecnico contenuto nell'allegato B), le seguen9 misure minime: a) auten9cazione informa9ca; b) adozione di procedure di ges9one delle credenziali di auten9cazione; c) u9lizzazione di un sistema di autorizzazione; d) aggiornamento periodico dell'individuazione dell'ambito del tra3amento consen9to ai singoli incarica9 ; e) protezione degli strumen9 ele3ronici e dei da9 rispe3o ad accessi non consen99; f) adozione di procedure per la custodia di copie di sicurezza; g) tenuta di un aggiornato documento programma9co sulla sicurezza; OMESSA ADOZIONE DI MISURE DI SICUREZZA art. 58 TU «3. Le misure di sicurezza rela9ve ai da9 tra3a9 dagli organismi di cui al comma 1 sono stabilite e periodicamente aggiornate con decreto del Presidente del Consiglio dei ministri, con l'osservanza delle norme che regolano la materia» solo la violazione delle misure minime cosvtuisce reato problemi di compavbilità cosvtuzionale (art. 25 Cost. riserva di legge): minori per l'art. 34 maggiori per l'art. 58 3

4 problemi di compavbilità cosvtuzionale (oggeko del reato? riserva di legge?) > sono comuni anche all'art. 167, comma 2 TU sanziona la violazione dell'art. 17 TU l'art. 17 TU prevede che «Art. 17. Tra:amento che presenta rischi specifici 1. Il tra3amento dei da9 diversi da quelli sensibili e giudiziari che presenta rischi specifici per i diris e le libertà fondamentali, nonché per la dignità dell'interessato, in relazione alla natura dei da9 o alle modalità del tra3amento o agli effes che può determinare, è ammesso nel rispe3o di misure ed accorgimen9 a garanzia dell'interessato, ove prescris. 2. Le misure e gli accorgimen9 di cui al comma 1 sono prescris dal Garante in applicazione dei principi sanci9 dal presente codice, nell'ambito di una verifica preliminare all'inizio del tra3amento, effe3uata anche in relazione a determinate categorie di 9tolari o di tra3amen9, anche a seguito di un interpello del 9tolare.» problemi ricostruzione del fako Vpico > principio di legalità/determinatezza rispeko del principio di legalità/riserva di legge OMESSA ADOZIONE DI MISURE DI SICUREZZA reato omissivo proprio > consumazione nel momento in cui si inizia il trakamento dei dav personali senza adokare le misure minime di protezione bene giuridico? soggeko ahvo la norma > «chiunque, essendovi tenuto» soggeko ahvo > chi deve adokare le misure di sicurezza > il Vtolare del trakamento art. 28 > «9tolare del tra3amento è l'en9tà nel suo complesso o l'unità od organismo periferico che esercita un potere decisionale del tu3o autonomo sulle finalità e sulle modalità del tra3amento, ivi compreso il profilo della sicurezza» art. 33 > «i 9tolari del tra3amento sono comunque tenu9 ad ado3are le misure minime volte ad assicurare un livello minimo di protezione dei da9 personali» 4

5 OMESSA ADOZIONE DI MISURE DI SICUREZZA art. 169, comma 2 TU all'autore del reato, all'ako dell'accertamento o, nei casi complessi, anche con successivo ako del Garante, è imparvta una PRESCRIZIONE con la prescrizione è fissato un TERMINE PER LA REGOLARIZZAZIONE comunque non superiore a sei mesi nei sessanta giorni successivi allo scadere del termine, se risulta l'adempimento alla prescrizione, l'autore del reato è ammesso dal Garante al PAGAMENTO DI UNA SOMMA PARI AL QUARTO DEL MASSIMO della sanzione stabilita per la violazione amministravva l'adempimento e il pagamento ESTINGUONO IL REATO l'organo che imparvsce la prescrizione e il pubblico ministero provvedono nei modi di cui agli arvcoli 21, 22, 23 e 24 del D. Lgs. n. 758/1994 OMESSA ADOZIONE DI MISURE DI SICUREZZA «Art Altre facspecie 2 bis. In caso di tra3amento di da9 personali effe3uato in violazione delle misure indicate nell'ar9colo 33 o delle disposizioni indicate nell'ar9colo 167 è altresì applicata in sede amministra9va, in ogni caso, la sanzione del pagamento di una somma da diecimila euro a centoven9mila euro. Nei casi di cui all'ar9colo 33 è escluso il pagamento in misura rido3a.» sussidiaterità? 5

6 FALSITÀ NELLE COMUNICAZIONI AL GARANTE «Art Falsità nelle dichiarazioni e no;ficazioni al Garante 1. Chiunque, nella no9ficazione di cui all'ar9colo 37 o in comunicazioni, as, documen9 o dichiarazioni resi o esibi9 in un procedimento dinanzi al Garante o nel corso di accertamen9, dichiara o a3esta falsamente no9zie o circostanze o produce as o documen9 falsi, è punito, salvo che il fa3o cos9tuisca più grave reato, con la reclusione da sei mesi a tre anni.» disvnzione tra comunicazione incompleta (> art. 163 > sanzione amministravva) e comunicazione falsa (> art. 168) clausola di sussidiarietà espressa > impedisce l'applicazione dell'art. 483 cp (falso ideologico del privato) alcuni > reato proprio; tukavia la falsità può essere commessa anche da soggeko diverso dal Vtolare (> art. 169: «chiunque, essendovi tenuto») INSOSSERVANZA DEI PROVVEDIMENTI DEL GARATE «Art Inosservanza di provvedimen; del Garante 1. Chiunque, essendovi tenuto, non osserva il provvedimento ado3ato dal Garante ai sensi degli ar9coli 26, comma 2, 90, 150, commi 1 e 2, e 143, comma 1, le3era c), è punito con la reclusione da tre mesi a due anni.» reato proprio > può essere commesso dai soggeh desvnatari dei provvedimenv del Garante reato istantaneo la tecnica scelta dal legislatore solleva quesvoni soko il profilo della tassavvità e sufficiente determinatezza della fahspecie 6

7 INSOSSERVANZA DEI PROVVEDIMENTI DEL GARATE «Art Altre facspecie 2 ter. In caso di inosservanza dei provvedimen9 di prescrizione di misure necessarie o di divieto di cui, rispesvamente, all'ar9colo 154, comma 1, le3ere c) e d), è altresì applicata in sede amministra9va, in ogni caso, la sanzione del pagamento di una somma da trentamila euro a cento3antamila euro.» il Garante (tra l'altro) ha il compito di: prescrivere ai Vtolari del trakamento le misure necessarie o opportune al fine di rendere il trakamento conforme alle disposizioni vigenv vietare il trakamento illecito o non correko dei dav o disporne il blocco ALTRE FATTISPECIE «Art Altre facspecie 1. La violazione delle disposizioni di cui agli ar9coli 113, comma 1, e 114 è punita con le sanzioni di cui all'ar9colo 38 della legge 20 maggio 1970, n. 300.» violazione dell'art. 113 > vieta di raccogliere dav non pervnenv all'ahvità dei lavoratori violazione dell'art. 114 > divieto di controllo a distanza del lavoratore problema del controllo a distanza del lavoratore controllo del traffico telemavco > controllo del lavoratore vs. divieto di controllo a distanza del lavoratore problema della responsabilità degli env 7

8 RILEVANZA PENALE DELLO SPAM spamming cos'è? > è posta commerciale non richiesta lo scopo > lo spammer vuole guadagnare è un problema perché fa perdere tempo a chi lo riceve > gli utenv (senza protezione an9 spam) devono verificare ogni messaggio e cancellarlo gli utenv possono trascurare o cancellare messaggi importanv, scambiandoli per spam occupa larghezza di banda RILEVANZA PENALE DELLO SPAM «Art Comunicazioni indesiderate 1. L'uso di sistemi automa9zza9 di chiamata senza l'intervento di un operatore per l'invio di materiale pubblicitario o di vendita dire3a o per il compimento di ricerche di mercato o di comunicazione commerciale è consen9to con il consenso dell'interessato. 2. La disposizione di cui al comma 1 si applica anche alle comunicazioni ele3roniche, effe3uate per le finalità ivi indicate, mediante posta ele3ronica, telefax, messaggi del 9po Mms (Mul9media Messaging Service) o Sms (Short Message Service) o di altro 9po» DireHva 2002/58/CE > modello opt in > modelli possibili modello c.d opt out > diriko del desvnatario di opporsi all'invio > l'invio legihmo salvo che il desvnatario non si opponga modello c.d. opt in > previo consenso dell'interessato 8

9 RILEVANZA PENALE DELLO SPAM «Art Comunicazioni indesiderate 3 bis. In deroga a quanto previsto dall'ar9colo 129, il tra3amento dei da9 di cui all'ar9colo 129, comma 1, mediante l'impiego del telefono per le finalità di cui all'ar9colo 7, comma 4, le3era b), è consen9to nei confron9 di chi non abbia esercitato il diri3o di opposizione, con modalità semplificate e anche in via telema9ca, mediante l'iscrizione della numerazione della quale è intestatario in un registro pubblico delle opposizioni» sistema dell'opt out il registro è tenuto dal Ministro dello Sviluppo Economico v. DPR n. 178 del per le modalità tecniche DATA RETENTION alcuni casi recenv: Olanda la polizia olandese accede ai dav personali sugli spostamenv e la velocità di migliaia di automobilisv che uvlizzano il sistema di navigazione satellitare TomTom, grazie a una impresa intermediaria che glieli vende aprile 2011 Apple afferma che la localizzare gli utenv degli smartphone è colpa di un bug > manca un limite di tempo alla conservazione dei dav annuncia modifiche, ma convnuerà a conservare una banca dav dei punv di contako wi fi e dei cellulari per fornire alcuni servizi, ma senza sfrukarli commercialmente Android Google tuke le informazioni sono condivise in modalità opt in > non possono essere raccolte a meno che l'utente non scelga di ahvare la funzionalità in un'applicazione che propone un servizio di geolocalizzazione alcune info di localizzazione sono memorizzav sul cellulare per un tempo limitato 9

10 DATA RETENTION art. 123 DaV relavvi al traffico i dav relavvi al traffico sono cancellav o resi anonimi quando non sono più necessari ai fini della trasmissione della comunicazione elekronica (salve le disposizioni dei commi 2, 3 e 5) il trakamento dei dav relavvi al traffico strekamente necessari a fini di fakurazione per l'abbonato, è consenvto al fornitore, a fini di documentazione in caso di contestazione della fakura o per la pretesa del pagamento, per un periodo non superiore a sei mesi DATA RETENTION art. 132 Conservazione di dav di traffico per altre finalità tempi dav relavvi al traffico telefonico > 24 mesi dav relavvi al traffico telemavco, esclusi i contenuv delle comunicazioni > 12 mesi dav relavvi alle chiamate senza risposta > 30 giorni finalità accertamento dei reav repressione dei reav modalità di acquisizione decreto movvato del PM indagini difensive ex art. 391 quater cpp 10

11 DATA RETENTION disciplina di origine comunitaria > DireHve 2004/26 e 2002/58 ha introdoko la conservazione dei dav per esigenze di ordine pubblico (> risposta agli akentav terrorisvci di Madrid del 2004 e di Londra del 2005) la direhva parla di «prevenzione, ricerca, accertamento e perseguimento dei rea9, ovvero dell'uso non autorizzato del sistema di comunicazione ele3ronica» recente comunicazione della Commissaria per gli Affari interni > revisione della DireHva DATA RETENTION REPORT Belgium, Bulgaria, Czech Republic, Denmark, Germany, Greece, Estonia, Ireland, Spain, France, Italy, Cyprus, Latvia, Lithuania, Luxembourg, Hungary, Malta, Netherlands, Poland, Portugal, Romania, Slovenia, Slovakia, Finland, United Kingdom > hanno novficato alla Commissione la trasposizione della DireHva Bulgaria > «For discovering and inves9ga9ng severe crimes and crimes under Ar9cle 319a 319f of the Penal Code as well as for searching persons» Ireland > «For preven9on of serious offences [i.e. offences punishable by imprisonment for a term of 5 years or more, or an offence in schedule to the transposing law], safeguarding of the security of the state, the saving of human life» Greece > «For the purpose of detec9ng par9cularly serious crimes» 11

12 DATA RETENTION REPORT Spain > «For the detec9on, inves9ga9on and prosecu9on of the serious crimes considered in the Criminal Code or in the special criminal laws» France > «For the detec9on, inves9ga9on, and prosecu9on of criminal offences, and for the sole purpose of providing judicial authori9es with informa9on needed, and for the preven9on of acts of terrorism and protec9ng intellectual property» Poland > «For preven9on or detec9on of crimes, for preven9on and detec9on of fiscal offences, for use by prosecutors and courts if relevant to the court proceedings pending, for the purpose of the Internal Security Agency, Foreign Intelligence Agency, Central An9 Corrup9on Bureau, Military Counter intelligence Services and Military Intelligence Services to perform their tasks» DATA RETENTION REPORT Decisions of ConsVtuVonal Courts concerning transposing laws Romanian ConsVtuVonal Court (> Decision no 1258 from 8 October 2009) the Court found the transposing law to be ambiguous in its scope and purpose with insufficient safeguards, and held that a 'con9nuous legal obliga9on' to retain all traffic data for six months was incompa9ble with the rights to privacy and freedom of expression in Ar9cle 8 of the European Conven9on on Human Rights 12

13 DATA RETENTION REPORT Decisions of ConsVtuVonal Courts concerning transposing laws German ConsVtuVonal Court (> Bundesverfassungsgericht, 256/08 marzo 2010) data reten9on generated a percep9on of surveillance which could impair the free exercise of fundamental rights Court stressed that the reten9on of such data cons9tuted a serious restric9on of the right to privacy and therefore should only be admissible under par9cularly limited circumstances, and that a reten9on period of six months was at the upper limit of what could be considered propor9onate. Data should only be requested where there was already a suspicion of serious criminal offence or evidence of a danger to public security, and data retrieval should be prohibited for certain privileged communica9ons (i.e. those connected with emo9onal or social need) which rely on confiden9ality. Data should also be encoded with transparent supervision of their use. DATA RETENTION REPORT Decisions of ConsVtuVonal Courts concerning transposing laws Czech ConsVtuVonal Court (> marzo 2011) as a measure which interfered with fundamental rights, the transposing legisla9on was insufficiently precise and clear in its formula9on. The Court cri9cised the purpose limita9on as insufficiently narrow given the scale and scope of the data reten9on requirement. It held that the defini9on authori9es competent to access and use retained data and the procedures for such access and use were not sufficiently clear in the transposing legisla9on to ensure integrity and confiden9ality of the data. The individual ci9zen, therefore, had insufficient guarantees and safeguards against possible abuses of power by public authori9es. 13

14 DATA RETENTION REPORT Decisions of ConsVtuVonal Courts concerning transposing laws Bulgaria > revisione della legge di trasposizione Cipro Ungheria > quesvone pendente Francia > Google, Facebook, ebay e altre 17 aziende ICT hanno presentato ricorso davanv al Consiglio di Stato francese contro le misure adokate dall'eliseo in materia di data reten9on any limita9on must: be formulated in a clear and predictable manner be necessary to achieve an objec9ve of general interest or to protect the rights and freedoms of others be propor9onate to the desired aim preserve the essence of the fundamental rights concerned DATA RETENTION REPORT Ar9cle 8(2) of the European Conven9on of Human Rights also recognises that interference by a public authority with a person's right to privacy may be jus9fied as necessary in the interest of na9onal security, public safety or the preven9on of crime condi9ons for access and use of retained data any limits on the right to privacy must be precise and enable foreseeability any limits on right to privacy must be necessary with minimum safeguards any limits on the right to privacy must be propor9onate to the general interest 14

15 DATA RETENTION GOOGLE STREET VIEW fako Google, durante il passaggio delle vekure che acquisivano immagini per il servizio Street View, ha raccolto sia dav relavvi alla presenza di rev Wi Fi sia frammenv di comunicazioni elekroniche trasmesse dagli utenv su alcune rev Wi Fi non proteke da protocolli sicuri e da cifratura (c.d. payload data) la raccolta è avvenuta per parecchio tempo (aprile 2008 maggio 2010), in modo sistemavco e nell'ambito di un'ahvità svolta su tuko il territorio nazionale > vi è la concreta possibilità che alcune fra le informazioni raccolte abbiano natura di dav personali DATA RETENTION GOOGLE STREET VIEW violazioni ravvisate dal Garante art. 11, comma 1, lek. a) e b) TU > i dav personali devono essere trakav in modo lecito e secondo correkezza e devono essere raccolv e registrav per scopi determinav, espliciv e legihmi art. 15 Cost. art. 617 quater, comma 1 cp > «chiunque fraudolentemente interce3a comunicazioni rela9ve ad un sistema informa9co o telema9co o intercorren9 tra più sistemi ( )» art. 617 quinquies, comma 1 cp > «chiunque, fuori dai casi consen99 dalla legge, installa apparecchiature a3e ad interce3are, impedire od interrompere comunicazioni rela9ve ad un sistema informa9co o telema9co ovvero intercorren9 tra più sistemi ( )» 15

16 DATA RETENTION GOOGLE STREET VIEW provvedimenv del Garante ( ) «A) dispone nei confron9 di Google Inc., ai sensi degli ar3. 143, comma 1, le3. c) e 154, comma 1, le3. d), del Codice, il blocco di qualsiasi tra3amento dei payload data raccol9 sul territorio italiano» «B) dispone la trasmissione di copia degli as del procedimento e del presente provvedimento all'autorità giudiziaria per le valutazioni di competenza in ordine agli illeci9 penali che riterrà eventualmente configurabili» 16