La violazione della privacy è un reato che può comportare delle sanzioni sia penali sia amministrative, e che può creare un danno anche d’immagine. Infatti, la perdita di dati sensibili potrebbe essere davvero pericoloso per un’azienda sia di grandi sia di piccole dimensioni.
Non solo, secondo quanto riportato dal Codice per la privacy, chiunque cagioni un danno agli altri per effetto del trattamento dei dati personali deve risarcire coloro che hanno subito il danno, questo è ciò che definisce la legge italiana con l’articolo 2050 del Codice Civile.
Inoltre, l’illecito prevede l’accusa anche dell’azienda colpita, sopratutto se questa non ha adottato gli strumenti necessari per riuscire a proteggere i dati personali dei dipendenti. Quindi può incappare in problematiche serie si chi li utilizza in modo fraudolento, sia per coloro che non li hanno protetti in modo adeguato.
Cosa s’intende per: diritto di privacy
Il diritto alla privacy o alla riservatezza dei dati e delle informazioni personali della propria vita privata, prevede che si rispettino sempre i dati personali e le informazioni della vita privata di una persona. Quindi se in qualunque modo, un’azienda o un privato, viene a conoscenza dei dati riservati di una terza persona non può trattarli o divulgarli senza il suo consenso pena: la violazione della privacy.
Per informazioni personali s’intendono: tutte le informazioni relative a una persona identificata, identificabile, anche in modo indiretto mediante qualsiasi informazione o riferimento, compresi numeri d’identificazione personale. Insomma i dati che riguardano: attività economiche, assicurative, commerciali, di beni, famigliari, di proprietà non possono essere divulgati senza il consenso.
Inoltre i dati personali sono suddivisi in quattro specifiche categorie:
- I dati sensibili: ossia riferiti alla religione, alla razza, alle opinioni politiche, a un’associazione o ad un sindacato.
- I dati comuni: le generalità come nome e cognome, codice fiscale, partita IVA, numero di telefono, patente, carta d’identità, indirizzo di posta elettronica
- I dati semisensibili: riguardano le liste che rivelano le situazioni finanziarie, l’eventuali iscrizioni al CRIF, i sospetti di frode ecc…
- I dati giudiziari: ossia quelli che si riferiscono a eventuali pendenze in ambito giudiziario, amministrativo o penale
Sanzioni per la violazione della privacy
Come accennato le sanzioni per la violazione della privacy prevedono dei rischi non indifferenti che possono essere sia a carattere amministrativo sia penale.
In linea generale: la dichiarazione e l’attestazione di false notizie, di documenti falsi o atti falsi prevede una reclusione sino a 3 anni. Invece, l’omissione nell’uso di misure di sicurezza dei dati può portare all’arresto con due anni di reclusione al massimo, e anche ad un’ammenda sino a 50 mila euro.
Se non si osservano i provvedimenti emessi dal Garante della Privacy Italiano prevede pene con una reclusione dai 3 mesi sino a 2 anni.
Le sanzioni e le problematiche in caso di Data Breach
Secondo quanto riportato dal Regolamento Europeo e precisamente dall’articolo 4: il Data Breach ossia la violazione dei dati personali, la violazione della sicurezza che comporta anche in modo accidentale o in modo illecito la perdita, la modifica, la distruzione o l’accesso e la divulgazione dei dati personali trattati e conservati è un atto doloso.
Il Data Breach dunque, non solo è considerato solo come un evento doloso, ma viene considerato tale anche un evento accidentale o abusivo, un incidente o la perdita involontaria dei dati personali o il furto da terze persone.
In tutti questi casi, secondo quanto riportato dall’articolo 33 del GDPR, in caso di violazione dei dati il responsabile è il DPO, ossia il Responsabile della Protezione dei Dati.
Quest’ultimo infatti, deve impegnarsi al fine d’evitare il Data Breach sia doloso sia involontario, inoltre se quest’ultimo si dovesse verificare è necessario notificare nell’immediato l’evento alle autorità competenti, tranne nel caso in cui la perdita dei dati non presenti in alcun modo un rischio per la libertà fisica o i diritti delle persone (ad esempio, il furto di dati oscurati con un sistema di cifratura specifico). Nel caso avvenga il furto di dati sensibili è necessario mettere a conoscenza il titolare e le forze dell’ordine entro 72 ore.
La mancata notifica del furto dei dati, o comunque l’uso illecito dei dati personali prevede secondo quanto riportato dal GDPR una sanzione di tipo amministrativo sino a 10 milioni di euro o pari al 2% del fatturato della società.
Se vuoi rimanere informato sulle ultime novità sulla protezione dati e sulla privacy continua a seguire il nostro blog! Se invece vuoi diventare esperto nel campo della protezione dati ti consiglio di scoprire il corso di Privacy Specialist DPO di Musa Formazione.