Violazione della privacy: cos’è, quando si configura e cosa fare

Qualcuno ha letto i tuoi messaggi. Qualcun altro ha pubblicato una tua foto senza chiederti niente. Un’azienda ha usato i tuoi dati in modo che non avevi autorizzato. In tutti e tre i casi hai probabilmente pensato: “questo non è giusto”. E hai ragione — ma non basta. Per capire se puoi fare qualcosa, e cosa, devi sapere quando un comportamento configura una violazione della privacy nel senso giuridico del termine, chi è responsabile e quali strumenti hai a disposizione.

Cos’è una violazione della privacy: la definizione giuridica

Nel linguaggio comune “violare la privacy” significa invadere la sfera privata di qualcuno. Nel diritto significa qualcosa di più preciso.

Una violazione della privacy si verifica quando i dati personali di una persona vengono trattati, diffusi, comunicati o resi accessibili senza il consenso dell’interessato, oppure in assenza di un’altra base giuridica legittima prevista dal GDPR (Regolamento UE 2016/679). Il dato personale è qualsiasi informazione che identifica o rende identificabile una persona: nome, indirizzo, numero di telefono, immagine fotografica, posizione geografica, indirizzo email, ma anche indirizzi IP, cookie e identificatori digitali.

Il quadro normativo di riferimento è duplice. Sul piano europeo, il GDPR stabilisce i princìpi e i diritti fondamentali in materia di protezione dei dati. Sul piano nazionale, il D.Lgs. 196/2003 — il Codice Privacy — integra il Regolamento con disposizioni specifiche, incluse le sanzioni penali. Quando i due livelli si sovrappongono, come accade spesso, si parla di un sistema ibrido in cui le violazioni possono avere conseguenze sia amministrative che penali.

Una precisazione importante: non tutte le violazioni della privacy sono reati. Alcune configurano illeciti amministrativi, trattati dal Garante. Altre integrano fattispecie penali, perseguibili davanti all’autorità giudiziaria. Capire in quale categoria rientra la propria situazione è il primo passo per scegliere lo strumento di tutela giusto.

Quando si infrange la privacy: i casi più comuni

Ecco le situazioni in cui una violazione della privacy si configura con maggiore frequenza, con una risposta diretta per ciascuna.

Accesso abusivo a dispositivi e account altrui.

Leggere i messaggi WhatsApp di un’altra persona, accedere alla sua casella email o entrare nel suo profilo social senza autorizzazione. Questo vale anche se conosci la password, anche tra partner, anche se il telefono era sblockato. Come ha chiarito la Cassazione con la sentenza n. 3025/2025, l’accesso alle chat altrui configura il reato di accesso abusivo a sistema informatico (art. 615-ter c.p.) e violazione della corrispondenza (art. 616 c.p.). Se vuoi approfondire questo aspetto specifico, puoi leggere il nostro articolo sulla violazione della privacy digitale tra privati.

Diffusione non autorizzata di dati personali.

Pubblicare online informazioni personali di qualcuno senza il suo consenso: dati anagrafici, immagini, informazioni sulla salute, orientamento sessuale, opinioni politiche o religiose. I dati sensibili — quelli dell’art. 9 GDPR — godono di una protezione rafforzata: il loro trattamento non autorizzato è soggetto a sanzioni più severe.

Sharenting e foto di minori senza consenso.

Pubblicare immagini di bambini sui social senza il consenso di entrambi i genitori è un trattamento illecito di dati personali. Il Garante Privacy lo ha ribadito con il provvedimento n. 681 del 13 novembre 2024. Per i minori under 14 il consenso deve essere espresso da entrambi i titolari della responsabilità genitoriale. Se vuoi capire tutti i rischi legati a questo tema, abbiamo dedicato un articolo specifico allo sharenting e ai suoi rischi legali.

Data breach.

 Una violazione dei dati personali — nel gergo tecnico, data breach — si verifica quando informazioni personali vengono rese accessibili, perse, modificate o distrutte in modo accidentale o illecito. Può riguardare chiunque: un’azienda che subisce un attacco ransomware, un ospedale che espone cartelle cliniche, una piattaforma che non protegge adeguatamente le credenziali degli utenti. I titolari del trattamento hanno l’obbligo di notificare il breach al Garante entro 72 ore dalla scoperta (art. 33 GDPR) e, nei casi più gravi, di comunicarlo anche agli interessati.

Riprese e registrazioni illecite.

Filmare o registrare qualcuno in luoghi di privata dimora — casa, spogliatoi, bagni — senza consenso. Ma anche installare di nascosto app di controllo o spyware sul telefono altrui. Questi comportamenti possono configurare sia la violazione dell’art. 167 del Codice Privacy sia il reato di interferenze illecite nella vita privata (art. 615-bis c.p.).

Uso illecito di immagini di persone.

Pubblicare foto o video di persone senza il loro consenso, specialmente se in contesti sensibili: vittime di violenza, pazienti, soggetti coinvolti in fatti di cronaca. La tutela dell’immagine è garantita sia dall’art. 10 c.c. sia dal GDPR.

Cosa prevede l’art. 167 del Codice Privacy

L’art. 167 del D.Lgs. 196/2003, modificato dal D.Lgs. 101/2018 per adeguarsi al GDPR, è la norma penale centrale in materia di privacy. Vale la pena capirla, perché si applica in molte situazioni quotidiane che le persone tendono a sottovalutare.

Il comma 1 punisce chiunque, allo scopo di trarre profitto per sé o per altri oppure di arrecare danno all’interessato, tratta dati personali in violazione di specifiche disposizioni del Codice (in particolare quelle su dati di traffico telematico, comunicazioni indesiderate e dati di abbonati), causando un nocumento concreto. La pena prevista è la reclusione da sei mesi a un anno e sei mesi; se il fatto consiste nella comunicazione o diffusione dei dati, si arriva fino a due anni.

Il comma 2 si applica ai casi più gravi: trattamento illecito di dati biometrici, genetici o relativi a condanne penali. In questi casi la pena sale fino a tre anni di reclusione.

Tre aspetti del testo meritano attenzione. Primo: il reato si configura solo se dal fatto deriva un nocumento — ovvero un danno concreto e giuridicamente apprezzabile per l’interessato, non una lesione teorica. Secondo: è richiesto il dolo specifico — occorre agire allo scopo di trarre profitto o di arrecare danno, non per mera negligenza. Terzo: non è più reato il semplice trattamento di dati senza consenso, dopo le modifiche del 2018. Il perimetro penale si è ristretto, ma le sanzioni amministrative del GDPR hanno ampliato notevolmente il fronte delle responsabilità non penali.

Accanto all’art. 167, il Codice Privacy aggiornato prevede altre due fattispecie penali: l’art. 167-bis, che punisce la comunicazione e diffusione illecita di dati personali su larga scala (fino a sei anni), e l’art. 167-ter, che sanziona l’acquisizione fraudolenta di archivi di dati (fino a quattro anni).

Quando si può denunciare per violazione della privacy

La risposta dipende da quale tipo di violazione hai subìto. Non esiste un’unica strada: i canali sono diversi e spesso complementari.

Reclamo al Garante Privacy. È lo strumento principale per le violazioni di natura amministrativa: dati trattati senza consenso, mancata risposta a una richiesta di cancellazione, uso improprio di dati da parte di un’azienda, violazione dei princìpi del GDPR. Il reclamo è gratuito, si presenta sul sito del Garante e può portare a provvedimenti correttivi, sanzioni al trasgressore e, in alcuni casi, al risarcimento del danno.

Denuncia-querela all’autorità giudiziaria. Quando la violazione integra un reato — accesso abusivo a sistemi informatici, intercettazione illecita, trattamento illecito di dati — puoi rivolgerti alla Polizia Postale, alla Polizia di Stato o ai Carabinieri. Per molti di questi reati è necessaria la querela di parte, da presentare entro 90 giorni dalla conoscenza del fatto. La Polizia Postale è specializzata in reati informatici ed è spesso il punto di partenza più efficace.

Azione civile per il risarcimento del danno. Indipendentemente dal percorso penale o amministrativo, hai il diritto di chiedere il risarcimento del danno non patrimoniale subìto. Il fondamento è duplice: l’art. 82 GDPR, che riconosce il diritto al risarcimento per chi subisce una violazione dei propri dati personali, e l’art. 2043 c.c. sulla responsabilità extracontrattuale. Il danno risarcibile comprende il turbamento psicologico, la lesione della riservatezza e — nei casi più gravi — il pregiudizio alla reputazione.

Le sanzioni per chi viola la privacy

Le conseguenze per chi viola la privacy altrui si articolano su tre livelli, che possono cumularsi.

Sanzioni amministrative (GDPR, art. 83). Il Garante Privacy può irrogare sanzioni pecuniarie che variano in base alla gravità della violazione. Per le infrazioni meno gravi, il massimo è 10 milioni di euro o il 2% del fatturato mondiale annuo dell’impresa, se superiore. Per le violazioni più serie — come il trattamento illecito di dati sensibili o l’inosservanza dei princìpi base del GDPR — il massimo sale a 20 milioni di euro o al 4% del fatturato. Per i privati e le piccole realtà, le sanzioni sono proporzionalmente inferiori, ma restano significative.

Sanzioni penali (art. 167 Codice Privacy e altre norme). Come visto, le pene variano da sei mesi a tre anni di reclusione a seconda della fattispecie. A queste si aggiungono, a seconda del caso concreto, le sanzioni previste dall’art. 615-ter c.p. (accesso abusivo a sistemi informatici, fino a tre anni), dall’art. 617 c.p. (intercettazione illecita) e dall’art. 615-bis c.p. (interferenze illecite nella vita privata).

Risarcimento del danno. La vittima può agire in sede civile per ottenere il risarcimento del danno morale e patrimoniale, anche in modo autonomo rispetto al procedimento penale. La Cassazione ha chiarito che il danno non patrimoniale da violazione della privacy è risarcibile anche senza prova specifica del pregiudizio, quando la violazione è grave e sistematica.

Cosa fare subito se pensi di aver subìto una violazione

Se hai il sospetto che qualcuno stia trattando i tuoi dati in modo illecito, o che la tua privacy sia già stata violata, questi sono i passi più utili da fare nell’ordine giusto.

  1. Non cancellare nulla. La prima reazione istintiva è spesso quella sbagliata. Ogni elemento digitale — screenshot, email, notifica, log di accesso — può diventare una prova. Conserva tutto prima di fare qualsiasi altra cosa.
  2. Documenta i fatti per iscritto. Annota con precisione quando hai scoperto la violazione, cosa hai osservato, quali elementi ti hanno insospettito. La chiarezza cronologica è fondamentale in qualsiasi procedimento successivo.
  3. Identifica il tipo di violazione. Si tratta di un accesso abusivo a un dispositivo? Di dati pubblicati online senza il tuo consenso? Di un data breach da parte di un’azienda? Il tipo di violazione determina lo strumento di tutela più adatto.
  4. Valuta se rivolgerti al Garante o all’autorità giudiziaria. Le due strade non si escludono. In molti casi conviene percorrerle in parallelo, con l’assistenza di un legale che possa orientarti su priorità e tempistiche.
  5. Considera le implicazioni reputazionali. Se i dati sottratti o diffusi riguardano la tua immagine pubblica, esistono strumenti specifici: la rimozione dei contenuti dalle piattaforme, la diffamazione a mezzo internet e, dove ne ricorrono i presupposti, il diritto all’oblio per ottenere la deindicizzazione dai motori di ricerca.

Violazione della privacy e danno reputazionale: un legame spesso sottovalutato

Non tutte le violazioni della privacy restano confinate alla sfera privata. Quando i dati trattati illecitamente vengono resi pubblici — pubblicati online, condivisi con terzi, usati in contesti professionali — si apre una dimensione ulteriore: quella del danno reputazionale.

L’identità digitale di una persona si costruisce nel tempo, ma può essere danneggiata in pochi secondi. Una foto fuori contesto, una conversazione privata diffusa, un documento personale reso accessibile: questi contenuti non spariscono da soli, e continuano a essere trovati attraverso i motori di ricerca anche a distanza di anni.

In questi casi gli strumenti disponibili vanno oltre la semplice denuncia. Includono la richiesta di rimozione alle piattaforme, l’inibitoria in sede civile e — dove ne ricorrono i presupposti — il diritto all’oblio nei confronti di Google e degli altri motori di ricerca. La violazione della privacy e il danno reputazionale digitale sono spesso due facce dello stesso problema: affrontarli separatamente rischia di lasciare il problema irrisolto.

Disclaimer: Le informazioni contenute in questo articolo hanno scopo puramente informativo e non costituiscono consulenza legale. Ogni situazione presenta elementi specifici che richiedono una valutazione professionale. Per analizzare il tuo caso concreto, ti consigliamo di rivolgerti a un avvocato specializzato in diritto digitale e privacy.

Pensi di aver subìto una violazione della privacy e non sai da dove cominciare?

Lo studio DigitalLex offre una prima valutazione della tua situazione. Raccontaci cosa è successo: capiremo insieme se si tratta di una violazione, quale tipo, e quale percorso è più adatto per tutelarti. Contatta lo studio

Back To Top