(Commento alla sentenza n. 41210/2017 delle Sezioni Unite della Cassazione Penale)

La condizione di pubblico dipendente

Più recentemente le Sezioni Unite (sentenza n. 41210 del 18/5/2017) sono tornate sul tema dell'accesso operato da chi sia munito di apposite chiavi e sia abilitato a farlo, ma lo faccia in violazione delle norme pubblicistiche che disciplinano l'operato dei pubblici dipendenti e che indirizzano verso finalità di pubblico interesse l'attività della pubblica amministrazione.
Con la pronuncia citata viene ribadita l'illiceità ed abusività di qualsiasi comportamento che si ponga in contrasto con il principio indicato all’art. 1 della Legge n. 241/1990, in base al quale “l’attività amministrativa persegue i fini determinati dalla legge ed è retta da criteri di economicità, di efficacia, di imparzialità, di pubblicità e di trasparenza, secondo le modalità previste dalla presente legge e dalle altre disposizioni che disciplinano singoli procedimenti, nonché dai princípi dell'ordinamento comunitario”.

Le Sezioni Unite evidenziano così la "ontologica incompatibilità" dell'accesso al sistema informatico connaturata ad un utilizzo dello stesso estraneo alla ratio del conferimento del relativo potere.
In tal modo – spiegano – si è in presenza di uno sviamento di potere, cioè di un tipico vizio dell’azione amministrativa che si verifica quando l’atto non persegue un interesse pubblico, ma un interesse diverso (di un privato, del funzionario responsabile, ecc.) e il pubblico funzionario agisce perseguendo una finalità diversa da quella assegnatagli in astratto dalla legge sul procedimento amministrativo.

D’altronde, si è ritenuto che ai fini della configurabilità del reato di abuso d’ufficio, sussiste il requisito della violazione di legge non solo quando la condotta del pubblico ufficiale sia svolta in contrasto con le norme che regolano l’esercizio del potere, ma anche quando la stessa risulti orientata alla sola realizzazione di un interesse collidente con quello per il quale il potere è attribuito, realizzandosi in tal caso – appunto – il vizio dello sviamento di potere, che integra la violazione di legge poiché lo stesso non viene esercitato secondo lo schema normativo che ne legittima l’attribuzione (v. Sezioni Unite, n. 155 del 29/09/2011)

L’accesso ai registri pubblici informatizzati

Con la pronuncia sopra citata, le Sezioni Unite precisano che ai dipendenti pubblici che, nella loro qualità, devono operare su registri informatizzati è imposta l’osservanza:

• delle disposizioni di accesso, secondo i diversi profili per ciascuno di essi configurati
• delle disposizioni del capo dell’ufficio sulla gestione dei registri
• del dovere loro imposto dallo statuto personale di eseguire sui sistemi attività che siano in diretta connessione con l’assolvimento della propria funzione.

Inoltre, commette il reato di accesso abusivo il pubblico dipendente addetto a mansioni d’ordine, al quale non possono attribuirsi le funzioni di pubblico ufficiale o di incaricato di pubblico servizio, che violi le disposizioni del titolare del sistema ed abbia accesso al medesimo al di fuori delle sue mansioni.

Accesso abusivo e conseguenze sulla protezione dei dati personali

Ai sensi dell’art. 4 del GDPR, la violazione dei dati personali avviene non soltanto in caso di distruzione, perdita, modifica o divulgazione non autorizzata, ma anche nelle ipotesi di accesso ai dati personali trattati, rientrando in quest’ultima ipotesi qualunque caso di accesso non autorizzato.

Peraltro, una violazione può avere potenzialmente numerosi effetti negativi significativi sulle persone fisiche, che possono causare danni fisici, materiali o immateriali (es. la perdita del controllo da parte degli interessati sui loro dati personali, la limitazione dei loro diritti, la discriminazione, il furto o l’usurpazione d’identità, perdite finanziarie, la decifratura non autorizzata della pseudonimizzazione, il pregiudizio alla reputazione e la perdita di riservatezza dei dati personali protetti da segreto professionale, nonché qualsiasi altro danno economico o sociale significativo alle persone fisiche interessate).

Ecco perché il Regolamento Generale sulla protezione dei dati (GDPR) impone al titolare del trattamento di notificare le violazioni all’autorità di controllo competente (art. 33), fatta salva l’improbabilità che la violazione presenti il rischio che si verifichino detti effetti negativi, ma anche all’interessato (art. 34) quando la violazione dei dati personali è suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

L’importanza di essere in grado di identificare una violazione, di valutare il rischio per le persone fisiche e, di conseguenza, di effettuare la notifica se necessario, è sottolineata nel Considerando 87 del GDPR.
In particolare, è sempre opportuno verificare se siano state messe in atto tutte le misure tecnologiche e organizzative adeguate di protezione per stabilire immediatamente se c’è stata violazione dei dati personali e informare tempestivamente l’autorità di controllo e l’interessato.
Inoltre, è opportuno stabilire se la notifica sia stata trasmessa senza ingiustificato ritardo, tenendo conto in particolare della natura e della gravità della violazione dei dati personali e delle sue conseguenze e effetti negativi per l’interessato, nella consapevolezza che siffatta notifica può dar luogo a un intervento dell’Autorità di controllo nell’ambito dei suoi compiti e poteri previsti dal GDPR.