Interlex n. 38
di Andrea Monti
L’articolo pubblicato di recente sul quotidiano la Repubblica, nel quale Beppe Grillo evidenziava con amara ironia alcune distonie presenti nella legge sui dati personali, ha indotto l’Ufficio del Garante per la protezione dei dati ad emanare un comunicato stampa nel quale si è ritenuto di confutare le affermazioni del comico genovese, comunicato che fa sorgere ulteriori interrogativi invece di fugarli. Scrive infatti il Garante che “è del tutto falso che la legge preveda sanzioni penali per chi smarrisca un’agendina, come era stato già mille volte chiarito e come conferma un regolamento in via di approvazione”.
Mentre aspettiamo di conoscere il regolamento (che era atteso per lo scorso 4 novembre), non possiamo che esaminare il testo della legge. L’articolo 3 recita testualmente:
Art. 3. (Trattamento di dati per fini esclusivamente personali)
1. Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali non è soggetto all’applicazione della presente legge, sempreché i dati non siano destinati ad una comunicazione sistematica o alla diffusione.
2. Al trattamento di cui al comma 1 si applicano in ogni caso le disposizioni in tema di sicurezza dei dati di cui all’articolo 15, nonché le disposizioni di cui agli articoli 18 e 36.
A parte l’illogicità del testo (la legge non si applica, però si applicano alcune norme…) è chiarissima e non eludibile l’applicabilità degli articoli 15, 18 e 36. L’articolo 18, come è noto, equipara si fini della responsabilità civile il trattamento dei dati alla fabbricazione di esplosivi o alla gestione di centrali nucleari, mentre il 15 impone di adottare misure di sicurezza anche contro “i rischi di distruzione o perdita, anche accidentale, del dati stessi” e il 36 stabilisce le sanzioni penali per l’omessa adozione delle misure previste dall’articolo 15, come si evince chiaramente dal testo:
Art. 15. (Sicurezza dei dati)
1. I dati personali oggetto di trattamento devono essere custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. (omissis)
Art. 36. (Omessa adozione di misure necessarie alla sicurezza dei dati)
1. Chiunque, essendovi tenuto, omette di adottare le misure necessarie a garantire la sicurezza dei dati personali, in violazione delle disposizioni dei regolamenti di cui ai commi 2 e 3 dell’articolo 15, è punito con la reclusione sino ad un anno. Se dal fatto deriva nocumento, la pena è della reclusione da due mesi a due anni.
2. Se il fatto di cui al comma 1 è commesso per colpa si applica la reclusione fino a un anno.
Ecco il punto: il secondo comma dell’articolo 36 prevede una responsabilità colposa per omessa adozione di misure di sicurezza (da specificare nel regolamento). Poiché il contenuto della colpa è rappresentato, secondo il dettato dell’articolo 43 del codice penale, da “negligenza, o imprudenza, o imperizia ovvero per inosservanza di leggi, regolamenti, ordini e discipline”, è evidente che l’ipotesi dello smarrimento dell’agenda (non solo personale, ma anche professionale) non è affatto peregrina, ben potendosi fondare anche in questo caso un giudizio di responsabilità per il mancato scrupoloso adempimento di quanto previsto dalla legge.
Ne consegue che l’affermazione contenuta nel comunicato stampa, (è del tutto falso che la legge preveda sanzioni penali per chi smarrisca un’agendina…), richiede sicuramente delle precisazioni che – a parere di chi scrive – non possono essere affidate a comunicati stampa, ma a provvedimenti o – meglio – sentenze.
Possibly Related Posts:
- Chatbot troppo umani, i rischi che corriamo
- Chi ci protegge dal dossieraggio tecnologico?
- Webscraping e Dataset AI: se il fine è di interesse pubblico non c’è violazione di copyright
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le sanzioni UE ad Apple e Google aprono un altro fronte nella guerra contro Big Tech (e incrinano quello interno)