CYBERBULLISMO E DATI PERSONALI GARANTE PRIVACY IN SPAGNA SANZIONA SEDICENNE.

Con accordo del 3 novembre 2022, è stato avviato il procedimento sanzionatorio, incaricato dall’Agenzia Spagnola per la Protezione dei Dati Personali, in forza della domanda presentata di un genitore per conto della figlia minorenne per presunta violazione del Regolamento 2016/679/UE, in materia di tutela delle persone fisiche con riguardo al trattamento dei dati personali e della libera circolazione di questi (RGPD) e della Legge Organica 3/2018 sulla protezione dei dati personali e sulla garanzia dei diritti digitali (LOPDGDD).

Invero, in Spagna, la configurazione giuridica del diritto fondamentale alla protezione dei dati si rinviene sia nella Costituzione spagnola, all’art. 18, comma 4, secondo cui «La legge limiterà l’uso delle tecnologie informatiche per garantire l’onore e la privacy personale e familiare dei cittadini ed il pieno esercizio dei loro diritti» sia nella Legge Organica sulla Protezione dei Dati che conferisce al suo titolare una serie di poteri atti a garantirne la tutela.

Il ricorrente, nel documento di reclamo, descriveva come l’imputato avesse minacciato e ricattato la figlia di 13 anni con lo scopo di ricevere via chat – nello specifico mediante Instagram e WhatsApp – le sue immagini sensibili. Ciò instaurando una relazione inizialmente di fiducia e poi di timore che aveva portato la minore ad inviare tale materiale di carattere intimo: il giovane – a seguito di diniego alla richiesta di ulteriori immagini – avrebbe, infatti, intimidito la ragazza minacciandola di diffondere il materiale pornografico già in suo possesso.

Alla notifica dell’atto, il reclamato si costituiva a mezzo di memoria difensiva affermando che al momento dei fatti era anch’esso minorenne (16 anni) e che, per essi, era già stato condannato penalmente dal Tribunale dei minori, in quanto autore del reato di minacce condizionali. Invero, per il principio del ne bis in idem – riconosciuto anche dalla Costituzione spagnola – un soggetto non può essere processato e punito due volte per lo stesso atto criminale. Tuttavia, sorge un problema quando un fatto lede due diversi beni giuridicamente protetti, che, nel caso esaminato, concernevano un procedimento penale ed uno amministrativo sanzionatorio. Pertanto, alla luce dei fatti, la Direttrice dell’Agenzia riteneva opportuno procedere ammettendo la domanda presentata ai sensi dell’art. 65, Legge LOPDGDD, al fine di valutare i probabili indizi di violazione delle regole in materia di protezione dei dati.

Ciò che rilevava nel caso di specie era che l’autore dei fatti perseguiti contestava l’effettiva mancanza della divulgazione a terzi di qualunque video ricevuto nonché l’ignoranza in merito all’età della ragazza. Aspetto, quest’ultimo, fondamentale ai fini della verifica del consenso da parte del soggetto leso nonché dell’uso legittimo dei social network.

In merito al consenso della minorenne, l’Agenzia ha ritenuto doveroso il richiamo all’articolo 6.1 GDPR, in quanto: «Il trattamento sarà lecito solo se soddisfa almeno uno dei seguenti requisiti: a) l’interessato ha prestato il proprio consenso al trattamento dei dati personali per una o più finalità determinate (…)». Tuttavia, trattandosi – nel caso specifico – della lesione di un soggetto minorenne, si è dovuto tenere presente quanto previsto dall’art. 7 LOPDGDD per cui: «1) Il trattamento dei dati personali di un minore può basarsi sul suo consenso quando ha più di quattordici anni. Fatta eccezione per quei casi in cui la legge richiede la presenza dei titolari della potestà genitoriale o dei tutori».

A riprova della colpevolezza dell’imputato vi era l’intento intimidatorio con il quale agiva al fine di raggiungere il suo scopo (condotta di minaccia con lo scopo di ricevere materiale pornografico) e la portata della lesività dei diritti concernenti una minore. A tal proposito, l’Agenzia ha provveduto all’applicazione dei criteri aggravanti stabiliti all’art. 83, comma 2, GDPR ed all’art. 76, comma 2, LOPDGDD, rispettivamente concernenti la condotta intimidatoria e la lesione dei diritti in questione.

In virtù di quanto esaminato, il Direttore dell’Agenzia Spagnola per Protezione dati – tenuto conto del principio di proporzionalità e dell’individualizzazione della sanzione in modo tale da rappresentare una risposta adeguata all’illegittimità del fatto – ha previsto la sanzione di euro 5.000 (euro cinquemila) per la violazione dell’articolo 6.1 del GDPR, in merito al trattamento illecito dei dati (immagini) della ragazza minorenne e la conseguente cancellazione di ogni dato personale in possesso del reo.

La risoluzione del procedimento sanzionatorio evidenzia la gravità di due nuove fattispecie quali il cyberbullismo ed il revenge porn, fenomeni sempre più diffusi grazie all’avvento del digitale, soprattutto tra i più giovani. In un’era in cui la lesione dei diritti fondamentali vede protagonisti tali reati, è centrale l’attività delle autorità competenti di ogni Nazione al fine di perseguire e sanzionare date condotte e di conseguenza prevenire futuri atti illeciti, le cui conseguenze per le vittime sono devastanti ed, il più delle volte, irreversibili.

Procedimiento No: PS/00107/2022 (EXP202202837), Agencia Española de Protección de Datos.