Il GDPR in ambito giudiziario: fino a che punto può spingersi l'accountability?

Il decreto legislativo 101 del 10 agosto 2018 contiene le disposizioni per l'adeguamento della normativa nazionale ai principi del Regolamento europeo 2016/679 (c.d. GDPR), relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, che ha abrogato la direttiva 95/46/Ce (Regolamento Generale sulla Protezione dei Dati).

La funzione del decreto legislativo 101/2018 è, quindi, quella di armonizzare le norme enunciate dal nostro Legislatore nel codice in materia di protezione dei dati personali (d.lgs. 196/2003) con quelle introdotte dal GDPR, entrato in vigore il 25 maggio scorso.

Obiettivo di questo contributo è di verificare quali possano essere le ricadute di tale novum normativo sul rispetto della privacy in ambito giudiziario: la casistica che verrà, di seguito, riportata ne dimostra la vulnerabilità, per la mancanza di adeguata cultura della “responsabilizzazione”.

Uno dei pilastri del GDPR è senza dubbio il principio di accountability che il Legislatore comunitario ha voluto inserire esplicitamente per garantire il massimo rispetto delle regole di correttezza e trasparenza nell'utilizzo dei dati personali, anche al fine di meglio tutelare i diritti dei cittadini nei confronti d'imprese e pubbliche amministrazioni.

A tal fine, sono stati ampliati gli obblighi in materia di tutela dei dati personali in capo al titolare e al responsabile del trattamento.

Questi ultimi, infatti, non dovranno solo garantire il rispetto delle regole fissate per il trattamento dei dati personali ma dovranno adottare, e dimostrare di aver adottato, una serie di misure giuridiche, organizzative e tecniche, per la protezione dei dati personali, anche attraverso l'elaborazione di specifici modelli organizzativi, adeguati al settore di interesse in cui viene svolta la propria attività.

Il termine anglosassone accountability,letteralmente, in italiano vuol dire “responsabilità”, “obbligo di rispondere” ma il Legislatore nazionale ha ritenuto di doverlo tradurre più propriamente con il termine responsabilizzazione.

Questo è sembrato il termine che meglio potesse rispecchiare l'essenza di tale principio, con il quale, da un lato, si richiede al titolare del trattamento di introdurre misure tecniche e organizzative conformi alla normativa privacy e, dall'altro, comporta anche l'onere di dimostrare quanto messo in atto.

Infatti, con la responsabilizzazione del titolare del trattamento, si richiede non solo il rispetto degli obblighi iniziali previsti nel Regolamento ma anche una continua attività di controllo e verifica delle proprie attività di trattamento.

Si tratta di un forte riconoscimento a livello normativo di un principio sviluppatosi nel corso della trentaduesima conferenza mondiale in tema privacy svoltasi a Gerusalemme nel 2010 e già riconosciuto dal Gruppo art. 29 (composto in particolare da un rappresentante delle Autorità garanti di ogni Stato Ue e così chiamato poiché istituito ex art. 29 della direttiva 95/46/Ce), che aveva rilevato (nella sua Opinion 3/2010) che il quadro giuridico allora vigente non riusciva a garantire appieno il rispetto degli obblighi in materia di protezione dei dati personali, mancando meccanismi efficaci atti a fornire una protezione reale.

Corollario della responsabilizzazione è il c.d. principio della minimizzazione dei dati personali: il titolare deve utilizzare i dati raccolti solo nei limiti del raggiungimento dello scopo per i quali sono stati richiesti.

Si tratta di un concetto non del tutto sconosciuto nel sistema italiano, infatti, il nostro codice della privacy (art. 3 d.lgs. 196/2003) prevedeva già il c.d. principio di necessità del trattamento dei dati secondo cui il titolare dovrebbe acquisire i dati personali dell'utente solo nell'ipotesi in cui, utilizzando altri mezzi (ad es. dati anonimi), non sia possibile raggiungere le finalità prefissate (cfr. Garante italiano della privacy con il provvedimento n. 324 del 20 luglio 2017, doc. web. n. 6955363).

La concreta esperienza dimostra come, in ambito giudiziario, la c.d. responsabilizzazione sia un obiettivo non solo di non facile raggiungimento ma anche di non semplice comprensione.

Ciò emerge dalla sentenza n. 2774/2013 del tribunale di Roma che ha ritenuto un ufficiale di un servizio guardaparco, delegato dal P.M. all'esecuzione di un decreto di sequestro probatorio, quale “titolare del trattamento” per aver provveduto a dare esecuzione alla delega, affiggendo sul cancello d'ingresso dell'immobile sottoposto a sequestro, copia integrale dell'ordinanza impositiva del vincolo reale, nella quale venivano riportati i dati di identificazione personale del destinatario.

In tal modo, ad avviso del giudice di prime cure, l'ufficiale di P.G. si sarebbe comportato da “titolare del trattamento” dei dati personali, dal momento che la delega dell'Autorità Giudiziaria all'esecuzione del sequestro non comportava la divulgazione dei dati. Siccome il P.M. non aveva disposto né implicitamente, né esplicitamente che il servizio Guardaparco delegato dovesse trattare i dati personali dell'indagato, la scelta della divulgazione integrale dei dati è stata ritenuta estranea ad alcuna ratio, che non fosse quella della maggior comodità di esecuzione dell'atto.

Quindi la condotta del guardaparco, ritenuta volontaria e non imputabile a colpa lieve, è stata considerata lesiva del principio di c.d. essenzialità del trattamento di cui al d.lgs. 196/2003, art. 11, ovvero della “minimizzazione” dei dati personali, secondo la nuova formulazione del GDPR.

La Corte di cassazione, adita sul punto, pare essersi resa conto dell'insostenibilità giuridica delle conclusioni del tribunale: «il ricorrente incidentale […], ha spiegato con chiarezza il Tribunale, non era il responsabiledei dati personali del ricorrente, ma ha agito indebitamente come se lo fosse. La delega conferita al ricorrente incidentale dall'Autorità Giudiziaria, in sede di esecuzione del sequestro, ancora, poteva evidentemente essere soddisfatta allegando il provvedimento, ma occultando i dati personali» (Cass. civ. Sez. I, 6 giugno 2018, ord. n. 14680).

Il Guardaparco è stato dunque “retrocesso” dai giudici di legittimità dal rango di titolare del trattamento a quello di responsabile.

Di tal guisa, il Supremo Collegio ha perso l'occasione di fare chiarezza in merito alla corretta configurazione delle posizioni soggettive, e delle relative responsabilità, per quanto concerne il rispetto della normativa privacy in ambito giudiziario.

Infatti, non è dato comprendere come un ufficiale di P.G., che agisce in virtù di delega conferitagli del pubblico ministero, possa essere considerato “titolare” o anche solo “responsabile” di qualsivoglia trattamento di dati.

Il GDPR delinea la figura del titolare del trattamento negli stessi termini previsti dalla Direttiva 95/46/CE e dal codice privacy.

Come risulta infatti dall'art. 4, paragrafo 1, n. 7) del GDPR, il titolare del trattamento è definito come «la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali». Ciò che consente di individuare il soggetto titolare del trattamento è, pertanto, il potere decisionale a lui imputabile in ordine al trattamento dei dati personali.

In particolare, come precisato anche dal Garante per la protezione dei dati personali (provvedimento del 29 aprile 2009, che tuttora si può ritenere appropriato), il titolare del trattamento dei dati è individuabile come quella figura che ha il potere di:

• prendere decisioni in relazione alle finalità del trattamento;
• impartire istruzioni e direttive;
• svolgere funzioni di controllo.

Il responsabile del trattamentoè, invece, definito dal GDPR come la persona fisica o giuridica, l'autorità pubblica, il servizio o qualsiasi altro organismo che tratta dati personali per conto del titolare del trattamento (art. 4).

Deve pertanto escludersi che l'Ufficiale di polizia giudiziaria, nel caso di specie, il responsabile del servizio guardaparco, possa essere considerato titolare o responsabile del trattamento dei dati, neppure “di fatto”.

Agendo su delega dell'Autorità Giudiziaria, a sommesso avviso di chi scrive, spettava a quest'ultima delineare le modalità di esercizio della stessa, impartendo istruzioni e direttive, nonché svolgendo funzioni di controllo.

La pretesa di accountability da parte del guardaparco, che si rinviene nelle sentenze citate, pare dunque esulare, oltre che da ogni principio di ragionevolezza giuridica, anche dalle pur più stringenti maglie del GDPR.

Non a caso l'art 2-quaterdecies del decreto legislativo 101/2018, sulla scorta di quanto già previsto dall'art. 30 del vecchio codice (d.lgs. 196/2003), ha introdotto la definizione di soggetto designato, figura non presente in nessuna delle altre legislazioni degli Stati membri dell'Unione e che non era prevista nemmeno dalla direttiva 95/46/CE del 1995 né dal GDPR.

Qui il Legislatore, nell'ambito della propria delega, ha abrogato espressamente le disposizioni del Codice Privacy (d.lgs. 196/2003) incompatibili con le disposizioni contenute nel GDPR, e dunque, con riferimento ai ruoli, gli art 4, 28, 29 e 30, ed ha introdotto un'ulteriore definizione: il cosiddetto “soggetto designato” di cui all'art 2-quaterdecies, il cui titolo recita Attribuzione di funzioni e compiti a soggetti designati e nel quale si riporta testualmente:

• il titolare o il responsabile del trattamento possono prevedere, sotto la propria responsabilità e nell'ambito del proprio assetto organizzativo, che specifici compiti e funzioni connessi al trattamento di dati personali siano attribuiti a persone fisiche, espressamente designate, che operano sotto la loro autorità.
• Il titolare o il responsabile del trattamento individuano le modalità più opportune per autorizzare al trattamento dei dati personali le persone che operano sotto la propria autorità.

Al più, dunque, l'ufficiale di P.G., operando sotto l'autorità del P.M., poteva essere considerato un “incaricato” al trattamento dei dati che, a tal fine, avrebbe dovuto agire sotto la responsabilità e nell'ambito dell'assetto organizzativo definito dal titolare o dal responsabile del trattamento, che, a voler seguire l'orientamento giurisprudenziale sopra riportato, non poteva che essere individuato proprio nel P.M.

Se la Cassazione civile si è mostrata alquanto indulgente nel ricostruire “verso l'alto” le effettive responsabilità in tema di violazione della privacy in ambito giudiziario, non altrettanto ha fatto la Cassazione penale – Cass pen. Sez. V, 5 dicembre 2016, n. 11994 – in un caso di “spionaggio legale”.

Un avvocato aveva abbandonato lo studio legale (del collega) nel quale collaborava (e nel quale era stato incaricato di gestire un numero circoscritto di pratiche) per “mettersi in proprio”, aprendo un proprio studio professionale.

Prima di andarsene, però, l'avvocato aveva copiato, su supporti magnetici, prelevandoli dal server dello studio, ben 33.312 file aventi a oggetto contatti, rapporti ed atti estranei alle pratiche che gli erano state affidate. In sostanza, aveva copiato l'elenco dei clienti dello studio nonché gli atti processuali e i documenti delle pratiche che li riguardavano.

I giudici di legittimità, confermando la statuizione di merito, hanno ravvisato sia la violazione della privacy dei clienti e avvocati del vecchio studio, art. 167 codice della privacy (d.lgs. 196/2003), che l'accesso abusivo al server dello studio, art. 615-ter codice penale (Accesso abusivo a sistema informatico).

Quanto alla privacy, la sezione quinta penale della Cassazione ha rigettato la tesi difensiva del legale per cui il salvataggio dei file sarebbe stato effettuato solo per scopi personali, senza comunicazione sistematica o diffusione a soggetti esterni, finalità queste che escluderebbero l'applicazione del codice della privacy.

In particolare, è stata ritenuta non condivisibile la tesi che faceva leva sulla previsione di cui al d.lgs. 196 del 2003, art. 5, comma 3, (secondo cui “il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all'applicazione del presente codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione”), per escludere rilevanza penale alla condotta dell'imputato, sul presupposto che tale trattamento fosse avvenuto a fini esclusivamente personali e non diffusivi (vedi ora considerando 91, GDPR: “il trattamento di dati personali non dovrebbe essere considerato un trattamento su larga scala qualora riguardi dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato”).

In realtà è stata accertata una comunicazione sistematica dal momento che i dati abusivamente duplicati erano stati rinvenuti anche sui computers di un collaboratore dell'imputato nel nuovo studio ed erano anche accessibili a tutti i professionisti che ivi lavoravano.

E così Collegio ha ritenuto che i dati oggetto del trattamento di cui si discuteva erano destinati a fini comunicativi o diffusivi, alla luce delle nozioni di comunicazione e di diffusione, fornite, rispettivamente, dal d.lgs. 196/2003, art. 4, comma 1, lett. l) e m).

Sulla base di tale previsione deve, dunque, intendersi:

• per comunicazione, il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;
• per diffusione, il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.

Da tale premessa ne discende, secondo i supremi giudici, che i dati di cui si discute abbiano formato oggetto (quanto meno) di destinazione a una comunicazione sistematica, vale a dire di una delle due forme di destinazione (alternativamente previste), al cui verificarsi il menzionato d.lgs. 196/2003, art. 5, comma 3, condiziona l'applicabilità delle disposizioni contenute nel codice in materia di protezione dei dati personali.

La locuzione “sistematica”, infatti, fa riferimento ad una comunicazione non occasionale che è destinata a creare un sistema di dati dal quale attingere organicamente e con una tendenziale continuità: ciò è avvenuto nel caso scrutinato in cui i dati in questione sono stati rinvenuti dal perito d'ufficio sul personal computer di altro avvocato, soggetto terzo rispetto all'imputato, e suo collaboratore nella nuova attività professionale intrapresa autonomamente dopo avere lasciato il precedente, nonchè sui dispositivi informatici (pendrive e hard disk) del nuovo studio, fondato dall'avvocato imputato (non a caso, recante, nella sua sigla, uno specifico riferimento ad una pluralità di collaboratori: i partner), resi così accessibili a tutti i professionisti che con lui collaboravano.

È stata ritenuta, pertanto, compiutamente dimostrata la destinazione dei dati, anche mediante messa a disposizione dei dati stessi, ad una conoscenza, da parte di uno o più soggetti determinati

Con riferimento ai dati trattati, la Cassazione ha aggiunto una notazione importante, ritenendo che la maggior parte di essi appartenessero non al precedente studio, ma ai singoli soggetti che vi si erano affidati per la tutela dei propri interessi, senza prestare alcun consenso esplicito al trattamento dei dati effettuato dall'imputato. Non ha mancato la Corte di rilevare, che anche laddove si fosse seguita la strada invocata dalla difesa di ritenere i dati appartenenti al suddetto studio, nessun consenso, che doveva essere espresso per rendere legittimo il trattamento di dati personali da parte di privati, risultava essere stato prestato al riguardo dai titolari.

Quanto all'accesso al server, la Cassazione ha precisato che il fatto che l'imputato avesse accesso al server di studio non era in grado di escludere la punibilità, visto che i file prelevati non rientravano tra quelli relativi all'incarico affidato.

Quindi l'avvocato aveva libero accesso al server, ma solo per i files che interessavano le pratiche a lui affidate e non a tutto il materiale documentale conservato. Il reato di acceso abusivo a sistema informatico, art. 615-ter c.p., punisce, infatti, pure chi, essendo abilitato ad accedere a un sistema informatico, violi le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l'accesso, ovvero ponga in essere operazioni di natura antologicamente diversa da quelle per le quali l'accesso è consentito.

Dalla sentenza traspare, tuttavia, la negligenza da parte del titolare del precedente studio in qualità di titolare del trattamento, o di chi, per lui, doveva occuparsi della sicurezza e manutenzione della rete informatica (art. 25 allegato B d.lgs. 196/2003, abrogato dall'articolo 27, comma 1, lett. d), del decreto legislativo 10 agosto 2018, n. 101), nel non aver predisposto “misure tecniche adeguate” in grado di limitare la possibilità di copiare ciò che non doveva essere copiato, o quantomeno avvertire (Intrusion Detection System) che vi era una anomala attività su file di fondamentale importanza per la stessa sopravvivenza della Web Reputation aziendale.

L'Ordine degli avvocati di Milano, Privacy per gli studi legali, 2007, indicava le seguenti “misure tecniche adeguate” per il titolare dello studio legale che utilizza strumenti elettronici:

• creare un sistema di autenticazione informatica;
• creare un sistema di autorizzazione;
• adottare altre misure di sicurezza;
• prevedere misure di tutela e garanzia.

Tra le “misure minime di sicurezza” era indicata la redazione del Documento Programmatico sulla Sicurezza, volto a costringere il titolare di una struttura che effettua un trattamento di dati particolari (sensibili o giudiziari) come, ad esempio, uno Studio legale a descrivere per iscritto (quindi con maggiore coscienza) l'organizzazione interna, le misure adottate per la protezione dei dati personali e il livello di sicurezza raggiunto.

Se l'avvocato imputato ha potuto prelevare tutto l'archivio del precedente studio, è evidente le misure sopra indicate non erano state adottate.

Ciò potrebbe consentire, anche alla luce di quanto ora previsto dal GDPR 679/2016, ai soggetti danneggiati dalla condotta dell'avvocato uscente, di rivalersi sullo studio “negligente”.

Il nuovo regolamento europeo GDPR 679/2016, all'art. 26 (contitolari – joint controller) obbliga a disciplinare anche questo peculiare aspetto nel contratto tra collaboratore di studio e titolare dello studio, nonché anche tra chi si occupa della sicurezza e privacy della rete dello studio, il quale dovrà agire solo in forza di un contratto stipulato tra le parti e non più in forma occasionale e sporadica.

L'odierna disciplina dell'art. 26 del regolamento rappresenta una novità: né la direttiva 95/46/Ce né il d.lgs. 196/2003 si occupavano, come l'art. 26, di tale fattispecie.

Secondo l'art. 26, paragrafo 1, il contratto che distribuisce obblighi, oneri e responsabilità tra i contitolari è punto di partenza ineludibile per la disamina di come i contitolari operano e interagiscono.

Tuttavia, tramite il contratto potrebbero essere imposte clausole e prassi elusive delle effettive responsabilità, soprattutto a vantaggio dei contraenti forti ovvero di quei contitolari che, pur nell'ambito di rapporti di partnership, godano di un soverchiante potere contrattuale.

Per questa ragione, il paragrafo 3 dell'art. 26 stabilisce che, a prescindere dagli accordi contrattuali tra i contitolari, «l'interessato può esercitare i propri diritti [...] nei confronti di e contro ciascun titolare del trattamento».

Si tratta di un intervento “preventivo”, volto ad impedire ogni tentativo di mettere al riparo uno o più tra i contitolari dalle richieste o dalle rivendicazioni degli utenti/clienti.

I contitolari devono informare gli interessati – ai sensi del secondo periodo del paragrafo 2 – del contenuto “essenziale” dei reciproci accordi: devono rendersi note solo le informazioni che riguardano l'interessato e che consentono loro di esercitare i diritti riconosciuti dal Regolamento, con esclusione di quelle informazioni o clausole riservate, di scarso se non di nessun interesse per i terzi, ma la cui comunicazione o diffusione potrebbe arrecare un pregiudizio anche grave ai contitolari stessi.

Infine, il primo periodo del paragrafo 2 prevede che «l'accordo di cui al paragrafo 1 riflette adeguatamente i rispettivi ruoli e i rapporti dei contitolari con gli interessati»: ne discende che nessun contratto o accordo interno tra contitolari potrà mai superare la realtà dei fatti.

Ciò in piena conformità a quanto affermato nel parere 1/2010 del Gruppo articolo 29 secondo cui la verifica delle (cor)responsabilità deve eseguirsi con un approccio concreto, sostanziale; gli accordi contrattuali possono essere utili ai fini della valutazione della corresponsabilità, ma occorrono sempre dei riscontri nelle concrete interazioni fra le parti.

Il parere propone infatti il concetto secondo cui la contitolarità non si esaurisce nell'ipotesi in cui i vari titolari (che nella terminologia della Direttiva sono denominati “responsabili”) determinano in uguale misura uno stesso trattamento e in uguale misura ne rispondono. La realtà è sovente più sfumata e più varia e mostra che questo è solo uno dei vari tipi di “responsabilità plurima” che possono esistere. In tale ottica, l'espressione “insieme a” deve essere interpretata come se significasse “non da solo”, in varie forme e combinazioni.

Dunque – prosegue il parere del Gruppo articolo 29 – «nel contesto della corresponsabilità, [...], la partecipazione delle parti alla determinazione congiunta può assumere varie forme e non deve essere necessariamente ripartita in modo uguale”: la condivisione dei fini e dei mezzi può essere dunque parziale, o comunque articolata, e ciò rende “necessario esaminare i vari gradi di interazione o di legame fra le diverse parti coinvolte nel trattamento dei dati personali».

Le conclusioni del parere sono che «le parti che intervengono congiuntamente hanno un certo grado di flessibilità nel distribuire ed attribuire fra di loro obblighi e responsabilità, a condizione che ne garantiscano il pieno rispetto. Le regole su come esercitare responsabilità congiunte dovrebbero in linea di principio essere determinate dai responsabili del trattamento. Tuttavia, anche in questo caso devono essere prese in considerazione le circostanze concrete, per valutare se quanto deciso rispecchia la realtà del trattamento sotteso».

Il Gruppo articolo 29 ha così fornito un'interpretazione ampia del concetto di contitolarità, che comprende anche soggetti che, rispetto a un unico trattamento, abbiano finalità solo parzialmente comuni.

È indubbio che il regolamento europeo 2016/679 (cd. GDPR), pur muovendosi in continuità rispetto alle precedenti normative comunitarie, e nazionali, abbia rivoluzionato il mondo della privacy,soprattutto attraverso l'affermarsi del principio di “responsabilizzazione” dei protagonisti di tale settore del diritto, in primis il titolare e il responsabile del trattamento dei dati personali.

Tuttavia ciò non può portare a distorsioni che contrastano, prima ancora che con la sensibilità giuridica, con il “buon senso”.

La corretta applicazione della nuova normativa passa attraverso l'esatta individuazione delle “figure” coinvolte nel trattamento dei dati personali: ciò non solo nel settore privato, ovvero quello dei professionisti, quali gli avvocati, ma anche nel settore pubblico, in particolare gli Uffici giudiziari, non essendo accettabile che la responsabilità per le violazioni della normativa privacy possa essere “scaricata” sull'ultimo anello della trasmissione di tali dati, da cui, per altro, difficilmente potrebbe pretendersi la conoscenza della complicata normativa europea e nazionale. Se anche gli ufficiali di PG devono essere “responsabilizzati”, massimo deve essere il grado di accountability da pretendersi da chi delega loro il compimento degli atti.

E le relative responsabilità devono essere ricostruite, per quanto sopra visto, secondo un approccio concreto e sostanziale.

Si tratta per altro dell'approccio seguito da Cass. pen., Sez. III, 17 dicembre 2013 (dep. 3 febbraio 2014), n. 5107, che ha rigettato il ricorso per cassazione proposto dal Procuratore Generale della Repubblica presso il Tribunale di Milano, confermando le assoluzioni dei manager di Google in relazione al delitto di illecito trattamento di dati personali nella cd. vicenda Google vs Vividown. L'arresto giurisprudenziale ha costituito un vero e proprio leading case: il Giudice di legittimità ha disegnato i confini di responsabilità dell'host provider muovendo dalla ricostruzione che ne viene fatta dal d.lgs. 70/ 2003, art. 16 (normativa sul commercio elettronico) che lo definisce come colui che si limita a prestare un “servizio consistente nella memorizzazione di informazioni fornite da un destinatario del servizio”. Da tale definizione, interpretata nel contesto complessivo dello stesso art. 16, emerge, infatti, che il gestore del servizio di hosting non ha alcun controllo sui dati memorizzati, nè contribuisce in alcun modo alla loro scelta, alla loro ricerca o alla formazione del file che li contiene, essendo tali dati interamente ascrivibili all'utente destinatario del servizio che li carica sulla piattaforma messa a sua disposizione. A tale proposito, risulta significativo che, secondo l'espressa previsione dello stesso art. 16, l'hosting provider non è responsabile delle informazioni memorizzate a richiesta di un destinatario del servizio.

Tale scrupolo interpretativo, volto a ricostruire le responsabilità penali in modo corrispondente all'effettività dell'attività svolta in concreto, dovrebbe sempre guidare tanto il giudice penale che quello civile.

Non di meno dovrebbe guidare le persone giuridiche, pubbliche e private, che, nell'opera di adeguamento al GDPR, non possono prescindere, nell'attribuzione delle qualifiche di titolare, responsabile ed incaricato, dalle funzioni in concreto svolte, anche per non incorrere, laddove queste debbano essere comunicate al Garante, nel delitto di cui all'art. 168 d.lgs. 196/2003, falsità nelle dichiarazioni al Garante.