L’art. 5 del Regolamento Generale sulla protezione dei dati (GDPR) precisa che i dati personali devono essere raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in modo che non sia incompatibile con tali finalità.
Per comprendere l’importanza della disposizione, basti pensare che l’eventuale violazione della norma citata può comportare l’applicazione di una sanzione amministrativa pecuniaria fino a 20 milioni di euro o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore.
Ne deriva che, insieme ad altri elementi, la finalità consente di definire i confini di un trattamento lecito e corretto, perché idonea a stabilire – ancor prima della raccolta – se i dati sono adeguati, pertinenti, limitati e necessari rispetto allo scopo per il quale sono trattati.
Sotto questo profilo, è obbligatorio mettere in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato in conformità al GDPR.
In particolare, chiunque agisca sotto l’autorità del Titolare (o Responsabile) del trattamento e abbia accesso a dati personali non può trattare tali dati se non è istruito in tal senso, salvo che lo richieda il diritto nazionale o europeo (art. 29, GDPR).
Dunque, l’accesso ai dati personali da parte di chi svolge un’attività alle dipendenze o sotto l’autorità del Titolare del trattamento deve necessariamente essere disciplinato da regole ben precise ed istruzioni dettagliate, innanzitutto per garantire l’esatta conformità alla normativa sulla protezione dei dati personali, evitando così l’applicazione di pesanti sanzioni pecuniarie.
In questo approfondimento analizziamo l’ipotesi del soggetto effettivamente autorizzato al trattamento dei dati, ma che vi accede per finalità personali o comunque diverse da quelle predeterminate e indicate dal Titolare.
E’ il caso, ad esempio, del dipendente che accede agli archivi del datore di lavoro – ed eventualmente ne trattiene copia – per scopi non direttamente riconducibili all’attività lavorativa, ovvero del dipendente pubblico che tratta dati personali ai quali può accedere, ma per finalità soggettive (curiosità, indagine, interesse, ecc.).
Ancora, è il caso del professionista appartenente ad uno studio associato che esegue l’accesso alla banca dati comune dei clienti per trarne profitto personale a scapito dei colleghi.
Il sempre più diffuso utilizzo di archivi informatici, ai quali accedere mediante apposite credenziali (username e password), favorisce il verificarsi delle ipotesi finora immaginate e agevola l’accesso ai dati e la possibilità di estrarne copia.
Evidentemente, anche la presenza di un archivio cartaceo non esclude il verificarsi di tale fenomeno, soprattutto per la naturale assenza di un sistema di monitoraggio e registrazione degli accessi e dei trattamenti effettuati (log).
Il reato di accesso abusivo
L'art. 615-ter del codice penale sanziona il comportamento di chiunque "abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantiene contro la volontà espressa o tacita di chi ha il diritto di escluderlo" (comma 1).
La pena è aggravata, fra l’altro, se il fatto è commesso da un pubblico ufficiale o da un incaricato di un pubblico servizio, con abuso dei poteri o con violazione dei doveri inerenti alla funzione o al servizio, o con abuso della qualità di operatore del sistema (comma 2).
Secondo il dettato normativo, quindi, si è in presenza di un accesso abusivo quando lo stesso avviene mediante superamento e violazione delle chiavi fisiche ed informatiche di accesso o delle altre esplicite disposizioni su accesso e mantenimento offerte dal titolare del sistema.
Secondo la giurisprudenza, poi, l’art. 615-ter del codice penale si riferisce (anche) ai soggetti che accedono al sistema e vi si trattengono abusando della propria qualità soggettiva, che peraltro favorisce e rende ancor più grave la condotta illecita.
Ugualmente, particolare rilievo assume l’abuso dell’operatore di sistema che, poiché abilitato all’accesso per le funzioni di manutenzione e aggiornamento, oltrepassi i limiti naturali allo svolgimento dei compiti a lui affidati.
Infine, si è in presenza di un abuso qualificato – per il quale, a differenza degli altri casi, si procede d’ufficio e non su querela di parte – in presenza del pubblico ufficiale o dell’incaricato di pubblico servizio che, dotato di credenziali di accesso al sistema in uso presso l’ufficio di appartenenza, vi acceda o vi si trattenga in violazione dei doveri d’ufficio o con abuso dei poteri inerenti alla funzione o al servizio.
La posizione della Cassazione
Con la sentenza n. 4694/2011, le Sezioni Unite hanno affrontato la questione dell’accesso abusivo, evidenziando la rilevanza del profilo oggettivo dell'accesso e del trattenimento.
In particolare, la condotta illecita ogni qualvolta si verifica una violazione delle prescrizioni impartite dal titolare del sistema (es. disposizioni organizzative interne, prassi aziendali o clausole di contratti individuali di lavoro), ma anche quando colui al quale è consentito l’accesso pone in essere operazioni di natura "ontologicamente diversa" da quelle di cui è stato incaricato, con ciò venendo meno il titolo legittimante l'accesso e la permanenza nel sistema.
In altri termini, il reato si consuma (anche) quando il soggetto puntualmente autorizzato esegue l’accesso per finalità diverse da quelle che gli sono consentite.
Seguirà Parte II Avv. Ennio Bianchi
Helpdesk
email: gdpr33@gdpr33.it
tel: 0692915690