Articoli

La Suprema Corte è chiamata a trovare un punto di equilibrio tra diritto all’oblio e diritto di cronaca

Avv. Vincenzo Colarocco

Con l’ordinanza 28084, le Sezioni Unite Civili della Corte di Cassazione sono state chiamate ad individuare, una volta per tutte, i presupposti che autorizzino la compressione del diritto all’oblio in luogo dell’esercizio del diritto di cronaca. Nel caso di specie, la richiesta di cancellazione ha ad oggetto un articolo del 2009 su un caso di omicidio in ambito familiare verificatosi nel 1982, il cui colpevole ha già scontato i 12 anni di reclusione cui era stato condannato e lamenta danni sia psicologici che patrimoniali. L’esigenza di un indifferibile chiarimento è emersa in maniera ancora più evidente a seguito di un’altra recedente ordinanza della stessa Corte, nella quale veniva individuata una serie di punti, cinque per la precisione, per giustificare la compressione del diritto all’oblio a favore di quello di cronaca, tra i quali figuravano l’interesse effettivo e attuale alla diffusione della notizia, la notorietà della persona interessata, le modalità utilizzate per dare l’informazione, la concessione di un dritto di replica. L’ordinanza 28084 pone l’accento anche sulla tutela dei dati personali, evidenziando come in occasione della definizione dei suddetti parametri, non possa non tenersi conto del nuovo “diritto all’oblio”, introdotto all’art. 15 dal Regolamento europeo sulla protezione e libera circolazione dei dati personali, meglio noto come GDPR.

I rapporti tra l’accesso abusivo ad un sistema informatico e il ruolo dirigenziale

Avv. Vincenzo Colarocco

Con la sentenza del 25 ottobre 2018 n. 48895, la V Sezione Penale della Corte di Cassazione ha risposto al seguente interrogativo: è imputabile di accesso abusivo a sistema informatico il dirigente, che, all’atto delle proprie dimissioni, estragga i file contenenti dati riservati del proprio datore di lavoro?

Le Sezioni Unite prendono le mosse da un precedente orientamento giurisprudenziale con il quale era stato già affermato che il delitto previsto dall’art. 615 ter c.p. è integrato dalla condotta di colui che , pur essendone autorizzato, acceda o si mantenga in un sistema informatico protetto violando le condizioni ed i limiti risultanti dall’autorizzazione fornita dal titolare del sistema utilizzando, dunque, le proprie credenziali per scopi o finalità estranei a quelli per i quali la facoltà di accesso gli era stata attribuita.

Ciò implica che tutti i dipendenti di un’azienda, anche quelli che ricoprono un ruolo dirigenziale, siano tenuti a rispettare il dovere di eseguire, sui sistemi informatici, attività che siano in diretta connessione con l’assolvimento della propria funzione. Ne conseguono l’illiceità e l’abusività di qualsiasi comportamento che si ponga in contrasto con i limiti del relativo potere conferito.

Nel caso in esame, non è stato provato che l’imputato con la qualifica di dirigente avesse l’accesso indiscriminato a tutti i dati dell’azienda e, pertanto, nonostante la sua qualifica apicale, non era per lo stesso possibile un accesso indiscriminato ed illimitato al sistema informativo. La preposizione ad una branca o un settore autonomo dell’impresa, infatti, è pienamente compatibile, sul piano logico e giuridico, con la qualifica di dirigente.

La sentenza in commento si pone nel novero delle pronunce giurisprudenziali rilevanti nel contesto della cybersecurity, che è l’insieme di processi e presidi volti alla tutela della confidenzialità, integrità e disponibilità delle informazioni trattate mediante sistemi informatici.

Il caso in esame mostra come non solo un atto proveniente dall’esterno, come potrebbe essere quello di tipo hacker, ma anche uno proveniente dall’interno possa comportare una sostanziale violazione di dati ed informazioni. L’imputato, infatti, ha operato dall’interno, mediante le proprie credenziali legittimamente detenute, ponendo, però, in essere una condotta che non era ontologicamente compatibile con gli scopi posti alla base del rilascio delle credenziali stesse.

Da una tale affermazione conseguono, per lo meno, due considerazioni. Da un lato, la sentenza in commento non potrà restare priva di conseguenze sul piano organizzativo dell’impresa perché l’art. 615 ter c.p. rappresenta un reato presupposto ex art. 24-bis DLgs. 231/2001. Dall’altro, è evidente la diretta correlazione della statuizione della Corte con il principio di limitazione delle finalità disposto dall’art. 5 del Reg. UE 679/2016 che prevede che i dati personali siano raccolti per finalità determinate, esplicite, legittime, e successivamente trattati in modo non incompatibile con tali finalità. Questo perché, come visto, le credenziali informatiche, sebbene siano legittimamente possedute, non possono essere utilizzate per ragioni ontologicamente estranee a quelle per le quali la facoltà di accesso è stata attribuita.