Il titolo III della seconda parte del d.lgs. 196/03 è dedicato alle sanzioni.
Si configura illecito amministrativo se il webmaster omette l’informativa di cui all’art.13 oppure se essa è valutata inidonea.
In tal caso, se i dati trattati sono dati personali, la violazione è punita con il pagamento di una somma da tremila euro a diciottomila euro.
Se la fattispecie riguarda invece dati sensibili, le sanzioni sono ovviamente più pesanti e possono arrivare ad un massimo di trentamila euro (art.161 Codice Privacy).
Trova molta applicazione per lo specifico campo delle reti telematiche anche l’art.165 che prevede la possibilità che alle suddette sanzioni possa essere applicata la sanzione amministrativa accessoria della pubblicazione del provvedimento del garante in più giornali.
Costituisce invece illecito penale la violazione dell’art.23 sul consenso dell’interessato, e l’art.167 prevede, se dal fatto deriva nocumento, la reclusione da sei a diciotto mesi.
Per quanto riguarda le misure di sicurezza invece, il Codice della Privacy stabilisce nell’art.169 che “Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall’articolo 33 è punito con l’arresto sino a due anni o con l’ammenda da diecimila euro a cinquantamila euro.”
Ma nel secondo comma il Legislatore riduce la portata di questa norma stabilendo che all’atto dell’accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita a chi non ha adottato le misure minime di sicurezza una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l’oggettiva difficoltà dell’adempimento e comunque non superiore a sei mesi.
Nei sessanta giorni successivi allo scadere del termine, se risulta l’adempimento della prescrizione, l’autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo dell’ammenda stabilita per la contravvenzione. L’adempimento e il pagamento estinguono il reato.
Ipotizzando dunque un eventuale furto di dati da parte di un hacker che si introduce all’interno del sistema, il webmaster non sarà responsabile se avrà adottato le misure minime previste dall’art.34 lettera e) Codice Privacy, proteggendo gli strumenti elettronici e i dati rispetto a trattamenti illeciti, ad accessi non consentiti e a determinati programmi informatici, e considerando inoltre le misure del disciplinare tecnico dell’allegato B dello stesso d.lgs..
Detto allegato prevede che i dati personali vadano protetti contro il rischio di intrusione e dell’azione di programmi di cui all’art. 615-quinquies del codice penale, mediante l’attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale (punto 16) e che gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilita’ di strumenti elettronici e a correggerne difetti siano effettuati almeno annualmente.
