Decreto legislativo - 30/06/2003 - n. 196 art. 132 bis - (Procedure istituite dai fornitori) 1 .

Obblighi per i fornitori

L'art. 15, paragrafo 1-ter, della dir. 2002/58/CE ha previsto l'obbligo per i fornitori di servizi di telecomunicazione di istituire procedure interne per rispondere alle richieste di accesso ai dati personali degli utenti e, su richiesta, fornire all'Autorità Garante informazioni sulle procedure esperite, oltreché «sul numero di richieste ricevute, sui motivi legali addotti e sulla loro risposta».

Nell'attuale formulazione, l'art. 132-bis cod. privacy mantiene sostanzialmente immutata nei contenuti la disposizione del predetto art. 15 della dir. 2002/58/CE, fatta eccezione per le modifiche di coordinamento con il d.lgs. n. 101/2018.

Violazione dei dati personali

La sicurezza delle informazioni o information security può essere definita come l'insieme delle misure tecnico-organizzative a salvaguardia dei sistemi informatici, atte a garantire l'autenticazione dell'utente, la disponibilità, l'integrità e la riservatezza dei beni/asset informatici, dati, informazioni e servizi gestiti o erogati in modo digitale; in aggiunta, altre proprietà come l'autenticità, la responsabilità (accountability), il non ripudio e l'affidabilità possono essere coinvolte. Obiettivo principale dell'information security è preservare la riservatezza («Confidentiality), l'integrità («Integrity») e la disponibilità («Availability») delle informazioni, c.d. «CIA Triad» o «RID» (Andress, 4 ss.).

Laddove per riservatezza si intende la proprietà di un'informazione di non essere disponibile o rivelata a soggetti o processi non autorizzati a conoscerla, mentre per integrità si fa riferimento alla sua accuratezza e completezza (es. modifica o cancellazione non autorizzata dell'informazione in tutto o anche solo in parte) e per disponibilità ci si riferisce alla proprietà dell'informazione di essere accessibile ed utilizzabile su richiesta di un soggetto autorizzato (es. attacco alla rete, compromissione di un sistema) – cfr. Clause 3.10, 3.36 e 3.7 ISO/IEC 27000:2018.

Ogni asset richiede diversi livelli di protezione ed i controlli, i meccanismi e le garanzie di sicurezza sono attuati per fornire uno o più di questi tipi di protezione, mentre i rischi, le minacce e le vulnerabilità vengono misurati per la loro potenziale capacità di compromettere una o più proprietà RID.

Queste stesse proprietà da salvaguardare sono richiamate nella definizione di «violazione di dati personali» o personal data breach, da intendersi quale accadimento doloso o colposo che comporta «accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati» (art. 4, paragrafo 1, n. 12 Reg. (UE) 2016/679).

Nel caso in cui si verifichi una violazione di sicurezza, vi è un obbligo «generalizzato» di comunicazione ai sensi degli artt. 33 e 34 del regolamento (UE) 2016/679 (regolamento generale sulla protezione dei dati, di seguito anche «Regolamento»):

a) notifica all'autorità nazionale competente, «senza ingiustificato ritardo» e, ove possibile, entro settantadue ore dall'avvenuta conoscenza, solo se è probabile che da ciò derivino rischi per diritti e libertà delle persone fisiche (considerando 85);

b) comunicazione agli interessati «senza ingiustificato ritardo» e solo in caso di «rischio elevato», al fine di consentire loro di adottare le precauzioni necessarie (devono essere indicati la natura della violazione, le probabili conseguenze, le misure adottate o da adottare per porvi rimedio).

Le tipologie di trattamento che presentano un rischio elevato intrinseco possono essere individuate sulla base dei criteri indicati dal Gruppo di lavoro Articolo 29 («WP29») – organo consultivo e indipendente dell'UE per la protezione dei dati personali e della vita privata, istituito in virtù dell'art. 29 della dir. 95/46/CE – nelle linee guida sulla DPIA (es. valutazioni o scoring, monitoraggio sistematico degli interessati, trattamento di dati su larga scala, impiego di soluzioni tecnologiche innovative come l'impronta digitale) – cfr. WP29, lg in materia di valutazione d'impatto sulla protezione dei dati, rev.01. Secondo quanto definito in tali linee guida, quando un trattamento soddisfa almeno due dei criteri ivi indicati, esso presenta dei rischi elevati. Tuttavia, in taluni casi il titolare del trattamento può ritenere che un trattamento presenti rischi elevati anche nel caso in cui sia soddisfatto uno solo dei suddetti criteri.

Sull'argomento è intervenuto il Comitato europeo per la protezione dei dati («European Data Protection Board» o «EDPB»), quale organismo indipendente dell'Unione europea, dotato di personalità giuridica con il compito di promuovere l'applicazione coerente del Regolamento. Come noto, l'EDPB ha sostituito il Gruppo di lavoro «Articolo 29» pur mantenendone la composizione, ai sensi dell'art. 68 del Regolamento (un rappresentante dell'autorità di controllo designata da ciascuno Stato membro, rappresentanti del Garante Europeo per la Protezione dei Dati o «European Data Protection Supervisor», un rappresentante della Commissione europea).

Ad avviso dell'EDPB le menzionate linee guida del Gruppo di lavoro art. 29, per loro natura e tempistica, non hanno affrontato tutte le questioni pratiche in modo sufficientemente dettagliato. In considerazione di ciò, pertanto, è sorta la necessità di adottare una linea guida orientata alla pratica e basata sui casi notificati alle Autorità di controllo sin dalla data di applicazione del Regolamento. Nel mese di dicembre 2021, dunque, l'EDPB ha adottato una linea guida su esempi di notifica di personal data breach, al termine di una consultazione pubblica avviata poco meno di un anno prima, al fine di fornire degli elementi utili ai titolari del trattamento dei dati per decidere come gestire i personal data breach e quali fattori considerare in sede di valutazione del rischio.

La linea guida struttura i casi secondo determinate categorie di violazioni (es. ransomware, esfiltrazione dati, errore umano, dispositivi portatili o documenti cartacei smarriti o rubati, social engineering), descrivendo delle possibili misure di sicurezza tecnico-organizzative da implementare e chiarendo se occorre notificarli o meno all'Autorità di controllo e comunicarli agli interessati (cfr. EDPB, Guidelines 01/2021).

Ante Regolamento, il citato obbligo di notifica, in Italia, riguardava solo alcuni settori (es. sanitario, bancario, comunicazioni elettroniche) e non era applicabile a tutti i titolari di trattamento, pubblici e privati, indipendentemente dalla tipologia di attività svolta.

Ebbene, dall'ambito di applicazione dell'obbligo «generalizzato» di comunicazione introdotto dal Regolamento, restano comunque fuori i fornitori di servizi di comunicazione elettronica, ai quali continua ad applicarsi la dir. 2002/58/CE come modificata dalla dir. 2009/136/CE, in quanto lex specialis rispetto al Regolamento.

È doveroso evidenziare, infatti, che il d.lgs. n. 69/2012, in attuazione della dir. 2009/136/CE e dir. 2009/140/CE e del reg. (CE) 2006/2004, aveva introdotto nel codice privacy l'abrogato art. 32-bis «Adempimenti conseguenti ad una violazione di dati personali», il quale al comma 6 prevedeva che il Garante potesse «emanare, con proprio provvedimento, orientamenti e istruzioni in relazione alle circostanze in cui il fornitore ha l'obbligo di comunicare le violazioni di dati personali, al formato applicabile a tale comunicazione, nonché alle relative modalità di effettuazione, tenuto conto delle eventuali misure tecniche di attuazione adottate dalla Commissione europea ai sensi dell'art. 4, paragrafo 5, direttiva 2002/58/CE, come modificata dalla direttiva 2009/136/CE.»

Nel 2013, in attuazione dell'abrogato art. 32-bis, comma 6, il Garante aveva emanato apposito provvedimento in materia (GPDP, 4 aprile 2013 [doc. web n. 2388260]) – in sostituzione delle pregresse linee guida del 26 luglio 2012, sull'attuazione della disciplina sulla comunicazione delle violazioni di dati personali – fornendo «orientamenti e istruzioni» sulle circostanze in cui il fornitore incorreva nell'obbligo di notifica, oltreché sul formato e sulle modalità di effettuazione.

In tale provvedimento, l'Autorità aveva stabilito che i fornitori erano tenuti ad effettuare «una prima, seppur sommaria, comunicazione al Garante della violazione dei dati personali subita entro il termine di 24 ore [termine ben più stringente rispetto alle settantadue ore previste dal Regolamento, n.d.r.] dall'avvenuta conoscenza della violazione, fornendo gli eventuali elementi ulteriori entro 3 giorni dalla stessa» ed a «provvedere alla comunicazione ai contraenti o alle altre persone alle quali si riferiscono i dati personali oggetto della violazione entro il termine di 3 giorni dall'avvenuta conoscenza della violazione».

Il citato intervento del Garante ha anticipato, seppur di poco, il reg. (UE) 611/2013 della Commissione del 24 giugno 2013 «sulle misure applicabili alla notifica delle violazioni di dati personali a norma della direttiva 2002/58/CE del Parlamento europeo e del Consiglio relativa alla vita privata e alle comunicazioni elettroniche», entrato in vigore il 25 agosto 2013.

Il reg. (UE) 611/2013, al paragrafo 2 dell'art. 2 rubricato «Notifica all'autorità nazionale competente», ha previsto in capo al fornitore un obbligo di notifica di una violazione di dati personali entro 24 ore dal «rilevamento della violazione, ove possibile», per poi chiarire che tale constatazione deve considerarsi avvenuta laddove siano stati acquisiti dal fornitore medesimo sufficienti elementi sulla violazione dei dati personali «a giustificare una notifica a norma del presente regolamento».

Tra le circostanze di cui tener conto nella valutazione di una eventuale violazione, che possa pregiudicare i dati personali o la vita privata di un abbonato o altra persona, sono annoverate all'art. 3 del reg. (UE) 611/2013 le seguenti: la natura e il contenuto dei dati personali (es. dati di traffico telefonico e/o telematico, dati relativi all'ubicazione, informazioni finanziarie quali i PAN delle carte di credito o le coordinate bancarie), dati rubati o in possesso di un terzo non autorizzato, le probabili conseguenze di una violazione (es. furto d'identità, danni fisici o morali).

La suddetta prescrizione di notifica della violazione entro ventiquattro ore di cui alla dir. 2002/58/CE ed al reg. (UE) 611/2013, per i fornitori di servizi di comunicazione elettronica, in luogo delle settantadue ore previste dal regolamento (UE) 2016/679, verrà meno con l'adozione del Regolamento europeo («ePrivacy Regulation») destinato ad abrogare la direttiva medesima.

A tal proposito (cfr. «Manuale sul diritto europeo in materia di protezione dei dati» dell'EU e COE, 38), il 10 gennaio 2017 la Commissione europea ha presentato una proposta di riesame (COM(2017) 10 final, 2017/0003(COD)) della dir. 2002/58/CE, al fine di garantire:

a) coerenza ed allineamento con il Regolamento;

b) certezza del diritto e pari livello di tutela degli utenti dei servizi di comunicazione elettronica tra gli Stati membri;

c) costi di conformità più contenuti per le imprese con attività transfrontaliere;

d) neutralità tecnologica e condizioni di parità per tutti gli operatori di mercato, ivi inclusi gli Over The Top non soggetti alla Direttiva;

e) elevata tutela della riservatezza delle comunicazioni elettroniche, sia per i contenuti (es. testo, voce, immagini, suoni) che per i metadati (es. i dati utilizzati per tracciare e identificare la fonte e la destinazione di una comunicazione, i dati sulla posizione del dispositivo, la data e l'ora nonché la durata e il tipo di comunicazione).

Nell'ultimo semestre 2019, secondo quanto riportato nella relazione sullo stato di avanzamento dei lavori del 27 novembre 2019 del Comitato dei rappresentanti permanenti degli Stati membri UE (c.d. «COREPER»), la presidenza finlandese ha pubblicato diversi testi dell'ePrivacy Regulation, con l'intento di far fronte ad alcune tematiche chiave, tra le quali (cfr. doc. 14447/19):

– l'inclusione di una soluzione specifica che consenta il trattamento dei dati delle comunicazioni elettroniche per la prevenzione di immagini di abusi su minori o di «altri reati gravi, in particolare il terrorismo»;

– la tutela delle informazioni archiviate sulle apparecchiature terminali degli utenti finali, con particolare riferimento a «la questione dell'accesso condizionato ai contenuti di siti web e la necessità di non compromettere i modelli commerciali esistenti» nel rispetto del Regolamento (c.d. «cookie walls»);

– il chiarimento dell'ambito di applicazione dell'ePR, in particolare per il trattamento dei dati delle comunicazioni elettroniche da parte degli utenti finali o di terzi abilitati;

– la necessità di garantire che l'ePR non abbia impatti negativi su eventuali soluzioni future, a livello UE, in tema di conservazione dei dati;

– la cooperazione tra le autorità nazionali preposte alla protezione dei dati, le altre autorità nazionali di regolamentazione e l'EDPB;

– le modalità di interazione tra l'ePR e le nuove tecnologie (es. servizi machine-to-machine, internet of things).

A partire dal 1° gennaio e fino al 30 giugno 2020, la Croazia è succeduta alla Finlandia nella presidenza del Consiglio UE e ha inserito la «personal data protection and protection of privacy» tra le priorità d'intervento nel proprio programma semestrale (cfr. CROATIAN PRESIDENCY OF THE COUNCIL OF THE EUROPEAN UNION, Priorities, 12).

Dal 1° luglio al 31 dicembre 2020 la Germania è succeduta alla Croazia nella guida della presidenza del Consiglio dell'UE; quindi, il 1° gennaio 2021 è subentrato il Portogallo, che ha ricevuto una mandato negoziale dal Comitato dei rappresentanti permanenti degli Stati membri UE sulla bozza di regolamento ePrivacy e, conseguentemente, ha avviato i colloqui con la Commissione ed il Parlamento europeo sul testo finale del regolamento (c.d. «trilogo») – per eventuali approfondimenti si rinvia a quanto riportato a commento dell'art. 2 d.lgs. n. 65/2018.

Alla luce di quanto sopra, una volta approvato ed entrato in vigore, l'ePrivacy Regulation sarà immediatamente applicabile e «complementare» al Reg. (UE) 2016/679 essendo lex specialis (Banks – Banks, 48-133) e disciplinerà i trattamenti di dati personali afferenti alle comunicazioni elettroniche (per un maggiore approfondimento si rinvia a quanto riportato a commento dell'art. 129 cod. privacy). Secondo tale direttrice, la proposta di ePrivacy Regulation include anche l'abrogazione di alcune disposizioni, quali le norme di sicurezza di cui all'art. 4 della direttiva 2002/58/CE, così da evitare una «duplicazione regolamentare».

Dichiarazioni o attestazioni false

Laddove vengano rilasciate dichiarazioni o attestazioni false di notizie o circostanze o prodotti atti o documenti falsi in un procedimento o nel corso di accertamenti dinanzi al Garante – salvo il fatto costituisca «più grave reato» – il fornitore può incorrere in un illecito penale punito con la reclusione da sei mesi a tre anni, secondo quanto previsto dall'art. 168 cod. privacy, rubricato «Falsità nelle dichiarazioni al Garante e interruzione dell'esecuzione dei compiti o dell'esercizio dei poteri del Garante», come modificato dal d.lgs. n. 101/2018.

L'elemento soggettivo richiesto per la configurazione dell'illecito de quo è il dolo generico, ossia una coscienza e volontà di realizzare il fatto (non un obiettivo, scopo o finalità specifica causa della condotta criminosa); in altre parole, il reato si consuma nel momento in cui si rilasciano false dichiarazioni/attestazioni o vengono forniti atti/documenti falsi. A avviso di chi scrive, può lasciare adito a dubbi, invece, l'applicabilità del comma 1 dell'art. 168 alla condotta del fornitore, titolare del trattamento, che commetta una falsificazione nella notifica di una violazione dei dati personali, con riferimento alla riconducibilità della notifica in questione ai concetti di dichiarazioni o attestazioni rese «in un procedimento o nel corso di accertamenti dinanzi al Garante»; ciò in quanto potrebbe non esservi alcun procedimento aperto o accertamento avviato nel momento in cui il fornitore venisse a conoscenza della violazione e ne eseguisse la notifica.

Qualora non ricorrano le fattispecie suindicate, si applica la pena della reclusione sino ad un anno a «chiunque intenzionalmente cagiona un'interruzione o turba la regolarità di un procedimento dinanzi al Garante o degli accertamenti dallo stesso svolti» (art. 168, comma 2, cod. privacy).

Rispetto alla precedente formulazione dell'art. 168 cod. privacy, non vi è alcun rinvio alla falsità nelle notificazioni dei trattamenti di dati personali, ai sensi dell'abrogato art. 37 cod. privacy, nonché nelle comunicazioni «senza indebito ritardo» di cui all'abrogato art. 32-bis, commi 1 e 8, cod. privacy, ossia di violazioni di dati personali («personal data breach»), sia da parte del fornitore che di eventuali soggetti terzi ai quali sia stata affidata l'erogazione di servizi di comunicazione elettronica.

Come noto, con il Reg. (UE) 2016/679 è venuto meno l'obbligo di notificazione dei trattamenti al Garante, ma è stato previsto in capo al titolare del trattamento ed al responsabile un obbligo relativo alla tenuta di un registro delle attività di trattamento, contenente, in particolare, i trattamenti svolti, le finalità, i soggetti ai quali i dati sono comunicati, le misure di sicurezza (ove possibile), l'eventuale trasferimento dei dati all'estero, per dimostrare la conformità ai principi enunciati nel Regolamento medesimo (considerando 82 e art. 30 Regolamento); obbligo, quest'ultimo, che non si applica «alle imprese o organizzazioni con meno di 250 dipendenti», a meno che il trattamento da esse effettuato possa presentare rischi per i diritti e le libertà dell'interessato, il trattamento non sia occasionale o includa categorie particolari di dati (es. dati sensibili, biometrici) o giudiziari (artt. 9, 10 e 30, paragrafo 5, Regolamento).

L'adempimento appena descritto rappresenta un tassello fondamentale per la definizione di misure di sicurezza tecnico-organizzative adeguate ai rischi per i diritti e le libertà delle persone fisiche ed ai rischi derivanti dalla distruzione, perdita, modifica, divulgazione non autorizzata o accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.

Una volta predisposto, il registro delle attività di trattamento deve essere messo a disposizione del Garante per ispezioni e controlli, dunque non trasmesso, oltre ad avere una valenza probatoria ex post degli adempimenti messi in campo funzionali all'accountability (art. 24 Regolamento). Rientra, infatti, tra le responsabilità del titolare del trattamento decidere autonomamente le modalità, le garanzie e i limiti del trattamento dei dati personali per conformarsi alle prescrizioni normative ed ai criteri del Regolamento medesimo (es. privacy by default o by design, Data Protection Impact Assessment o DPIA), nonché adottare misure appropriate ed efficaci per attuare i principi di protezione dei dati.

Principio del ne bis in idem

Il principio del ne bis in idem vieta un cumulo di procedimenti e di sanzioni di natura penale per gli stessi fatti e nei confronti di una medesima persona.

In considerazione del fatto che una condotta penalmente rilevante può integrare anche gli estremi di un illecito amministrativo, si è posto, dunque, il tema del rispetto del principio del ne bis in idem, per il quale nessuno può essere soggetto a due procedimenti sanzionatori per un medesimo fatto, indipendentemente dall'esito degli stessi (cfr. art. 117, comma 1, Cost., art. 649 c.p.p., art. 50 della Carta dei diritti fondamentali dell'Unione europea ed art. 4 del Protocollo Addizionale n. 7 alla Convenzione EDU), come emerge dalla relazione illustrativa allo schema di decreto legislativo «Atto Governo n. 22», recante disposizioni per l'adeguamento della normativa nazionale in materia di protezione dei dati personali alle disposizioni del Reg. (UE) 2016/679 (trasmesso alle Camere per l'esame e sottoposto ad audizioni informali ed emendamenti, per poi giungere all'emanazione del d.lgs. n. 101/2018). Alla luce di quanto sopra, la riforma ha previsto espressamente al comma 6 dell'art. 167 cod. privacy che, qualora per uno stesso fatto sia stata applicata e riscossa a norma del codice privacy o del Regolamento una sanzione amministrativa pecuniaria, la pena, all'esito della condanna penale, sia diminuita. Inoltre, poiché nel rispetto del predetto principio le condotte che da Regolamento integrano illeciti amministrativi non possono essere oltremodo sanzionate penalmente dall'ordinamento nazionale, sono state depenalizzate le fattispecie di violazione delle misure minime di sicurezza ed inosservanza dei provvedimenti del Garante, tramite abrogazione degli artt. 169 e 170 cod. privacy. Per un maggiore approfondimento, si rinvia a quanto riportato a commento dell'art. 129 cod. privacy.

Inadempimento e sanzioni

In caso di inadempimento dell'obbligo di fornire, a richiesta, le informazioni di cui al comma 2 dell'art. 132-bis cod. privacy, i fornitori sono passibili della sanzione amministrativa pecuniaria di cui all'art. 83, paragrafo 5, Regolamento: fino a 20 Mln/€ o, per le imprese, fino al 4% del fatturato mondiale totale annuo dell'esercizio precedente se superiore (art. 166, comma 2, cod. privacy, modificato dal d.lgs. n. 101/2018).

In merito alle sanzioni, occorre evidenziare che l'art. 15, comma 1, lett. a) del d.lgs. n. 101/2018 disciplinante «Modifiche alla parte III, titolo III, del d.lgs. 30 giugno 2003, n. 196» è intervenuto sull'art. 166 cod. privacy, sostituendolo integralmente e prevedendo espressamente che sono «soggette alla sanzione amministrativa di cui all'art. 83, paragrafo 5, del Regolamento le violazioni delle disposizioni di cui agli articoli [omissis] 130, commi da 1 a 5, 131, 132, 132-bis, comma 2, 132-quater, [omissis]» (art. 166, comma 2, cod. privacy). Compete al Garante, ratione materiae, irrogare la sanzione amministrativa (art. 166, comma 3, cod. privacy).

Nell'adozione di un provvedimento sanzionatorio può trovare applicazione, altresì, la sanzione amministrativa accessoria della pubblicazione dell'ordinanza-ingiunzione, per intero o per estratto, sul sito internet del Garante (art. 166, comma 7, cod. privacy). In aggiunta a ciò, il d.l. n. 139/2021 convertito con modificazioni della l. n. 205/2021 (c.d. «Decreto Capienze») ha introdotto al comma 7 dell'art. 166 cod. privacy, a titolo di sanzione accessoria, la possibilità di ingiungere la realizzazione di campagne di comunicazione istituzionale per promuovere la consapevolezza del diritto alla protezione dei dati personali, sulla base di progetti previamente approvati dal Garante e che tengano conto della gravità della violazione. Nella determinazione della sanzione ai sensi dell'art. 83, paragrafo 2, del Regolamento, il Garante tiene conto anche di eventuali campagne di sensibilizzazione in materia, realizzate dal trasgressore anteriormente alla commissione della violazione, come una sorta di «attenuante».