Quando la violazione della privacy diventa reato

Pubblicazione legale:

La protezione dei dati personali non è solo una questione di compliance al GDPR, ma può assumere anche rilievo penale. In diversi casi, infatti, le condotte illecite non si limitano a determinare sanzioni amministrative o civili, ma configurano veri e propri reati informatici o violazioni penali del Codice della Privacy.

1. Privacy e diritto penale: le norme di riferimento

Oltre al GDPR e al Codice Privacy, alcune fattispecie penali disciplinano la protezione dei dati e la sicurezza informatica. Tra le più rilevanti abbiamo:

• Art. 615-ter c.p. Accesso abusivo a un sistema informatico o telematico: punisce chiunque si introduca abusivamente in un sistema protetto da misure di sicurezza;
• Art. 640-ter c.p. – Frode informatica: punisce chi, alterando un sistema informatico o intervenendo senza diritto su dati o programmi, procura un ingiusto profitto con altrui danno;
• Art. 167 Codice Privacy: sanziona il trattamento illecito di dati personali che arrechi nocumento all’interessato, salvo che il fatto costituisca più grave reato;
• Art. 167-bis e 167-ter Codice Privacy: puniscono, rispettivamente, la comunicazione o diffusione illecita di dati su larga scala e l’acquisizione fraudolenta di archivi di dati personali su larga scala.

2. Phishing e truffe online

Un esempio pratico è il phishing, ossia l'inganno informatico con cui si inducono le vittime a rivelare credenziali di accesso, spesso tramite e-mail o siti falsi. Il phishing rientra nella truffa classica (art. 640 c.p.) quando prevale l'inganno ai danni della persona, mentre può configurare frode informatica (art. 640-ter c.p.), se le credenziali sottratte vengono utilizzate per alterare sistemi o trasferire denaro.

3. Responsabilità delle imprese e D.lgs. 231/2001

Quando i reati informatici vengono commessi nell’interesse o a vantaggio di un'impresa, può applicarsi la disciplina del D.lgs. 231/2001, che introduce la responsabilità amministrativa degli enti. Tra i reati presupposto della suddetta disciplina rientrano:

• accesso abusivo ai sistemi informatici;
• danneggiamento di dati, sistemi o informazioni informatiche (artt. 635-bis e ss. c.p.);
• frode informatica se commessa in danno dello Stato o di altro ente pubblico.

Le conseguenze possono essere molto gravi: sanzioni pecuniarie, interdizione dall'attività o esclusione da appalti pubblici.

4. Come prevenire rischi penali legati ai dati personali

Per le imprese, prevenire la commissione di reati informatici non significa soltanto rispettare il GDPR, ma anche ridurre i rischi penali. Alcune misure chiave sono:

• implementare misure tecniche di sicurezza (autenticazione forte, crittografia, monitoraggio accessi);
• predisporre policy interne e regolamenti aziendali sull'uso di strumenti informatici;
• attivare programmi di formazione periodica contro il phishing e la social engineering;
• adottare un Modello 231 che includa i reati informatici;
• stabilire un piano di gestione dei data breach, che tenga conto anche dei profili penali e della necessità di conservare prove digitali.

Conclusioni

I reati informatici rappresentano un punto di intersezione tra normativa privacy, diritto penale e diritto digitale. Una violazione dei dati non comporta soltanto sanzioni amministrative da parte del Garante, ma può integrare vere e proprie fattispecie di reato, con conseguenze personali e aziendali rilevanti.

Per questo, le imprese devono adottare un approccio integrato: protezione dei dati personali, cybersecurity e prevenzione penale. Solo così è possibile ridurre il rischio di danni economici, reputazionali e giuridici.