Il trattamento illecito di dati può essere commesso da “chiunque”?

L'assoggettamento alla norma in tema di divieto di diffusione di dati “sensibili” riguarda tutti indistintamente i soggetti entrati in possesso di dati, i quali saranno tenuti a rispettare sacralmente la privacy di altri soggetti con i primi entrati in contatto, al fine di assicurare un corretto trattamento di quei dati senza arbitri o pericolose intrusioni.

Con sentenza del 7 luglio 2021, la Corte di appello di Palermo riformava parzialmente la sentenza del locale tribunale con la quale l'imputata era stata condannata, previa riqualificazione, in relazione al reato di cui all'art. 615-bis comma 1 e 2 c.p., riqualificando nuovamente il fatto nei termini della originaria contestazione di cui all'art. 167 d.lgs. n. 196/2003 e rideterminando le pena finale inflitta.

Avverso tale sentenza l'imputata ha proposto ricorso mediante il proprio difensore, deducendo un solo motivo di impugnazione.

È stata dedotta la violazione dell'art. 167 del d.lgs. n. 196/2003, ritenendosi non configurabile tale fattispecie per le ragioni che erano già espresse dal primo giudice, ossia perché il predetto articolo non annovererebbe tra i destinatari del precetto e della sanzione soggetti diversi dalla Pubblica Amministrazione, dai privati appositamente qualificati dalla normativa di riferimento e da altri organismi specificamente preposti al trattamento di dati personali, e perché quindi le condotte come appurate nei due giudizi non potrebbero rientrate nel concetto di trattamento di dati personali di cui al citato articolo.

Il ricorso è stato ritenuto dai giudici di legittimità manifestamente infondato.

È stato premesso che il trattamento dei dati personali, definiti in sentenza, “sensibili” senza il consenso dell'interessato, dal quale derivi nocumento per la persona offesa, era già punito ai sensi dell'art. 35, comma 3 della l. 31 dicembre 1996, n. 675, ed è tutt'ora punibile ai sensi dell'art. 167, comma 2 del d.lgs. n. 30 giugno 2003 n. 196, in quanto tra le due fattispecie sussiste un rapporto di continuità normativa, essendo identici sia l'elemento soggettivo caratterizzato dal dolo specifico, sia gli elementi oggettivi, in quanto le condotte di "comunicazione" e "diffusione" dei dati “sensibili” sono ora ricomprese nella più ampia dizione di "trattamento" dei dati “sensibili”, ed il nocumento per la persona offesa che si configurava nella previgente fattispecie come circostanza aggravante, rappresenta nella disposizione in vigore una condizione obiettiva di punibilità (cfr. Cass. pen., sez. III, 26 marzo 2004, n. 28680 Rv. 229465 - 01).

La Terza Sezione ripercorre la propria giurisprudenza: con riferimento alla sopravvenuta disposizione del citato art. 167, ricordando come sia stato precisato (cfr. Cass. pen., sez. III, 7 febbraio 2017, n. 29549 Rv. 270458 - 01) che ai sensi dell'art. 167 comma 2 del d.lgs. n. 196/2003, come articolato prima della riforma del 2018 e quindi riportabile ai fatti come contestati, del 2014, è punito salvo che il fatto costituisca più grave reato, colui il quale, al fine di trarne per sé o per altri profitto o di recare ad altri un danno procede al trattamento di dati personali in violazione di quanto disposto dagli artt. 17, 20, 21, 22, commi 8 e 11, 25, 26, 27, 45, sempre che ne derivi un nocumento.

Il "trattamento", ai sensi dell'art. 4 comma 1 lett. a) del d.lgs. n. 196/2003, citato, corrisponde a «qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati anche se non registrati in una banca dati».

Quanto al concetto di "dato personale", esso è definito, secondo quanto si legge nella sentenza in commento, ai sensi della successiva lettera b) del citato art. 4 comma 1, come «qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale» mentre per "dati sensibili" si intendono, sempre a quanto si legge in sentenza, ai sensi della lettera d), «i dati personali idonei a rivelare l'origine razziale ed etnica le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni, od organizzazioni a carattere religioso, filosofico politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale».

Quanto alla sua struttura, il reato, precisano i giudici, oltre alla clausola di riserva, contempla una condotta di trattamento di dati personali indicati ai citati artt. 17, 20, 21, 22, commi 8 e 11, 25 26, 27, 45, purché ne derivi un nocumento. La già menzionata condotta presuppone l'assenza di consenso da parte dell'interessato, ed essa può anche essere effettuata dal cittadino privato, il quale sia, anche solo occasionalmente venuto a conoscenza di un dato sensibile.

Di particolare interesse, in questa sede, secondo la Terza Sezione, alla luce del motivo proposto in sede di ricorso, è quest'ultima precisazione, essendo già stato evidenziato, infatti, diversamente da quanto sostenuto dalla difesa, che è del tutto infondata la tesi volta ad escludere dal novero dei destinatari della norma punitiva (rappresentata poi dall'art. 167 citato) il privato cittadino che occasionalmente sia venuto in possesso di un dato rilevante appartenente ad altro soggetto, dandogli diffusione indebita.

Ad una semplice lettura della norma punitiva, l'incipit "chiunque" già esclude in radice, secondo l'assunto dei giudici di legittimità, una interpretazione in senso restrittivo riferita ai destinatari: ma, anche a voler ricollegare l'art. 167 all'art. 4, è evidente che, laddove si parla di persona fisica, ci si intende riferire al soggetto privato in sé considerato, e non solo a quello che svolga un compito, per così dire, istituzionale, di depositario della tenuta dei dati “sensibili” e delle loro modalità di utilizzazione all'esterno: una interpretazione siffatta finirebbe, secondo i giudici di legittimità, con l'esonerare in modo irragionevole dall'area penale tutti i soggetti privati, così permettendo quella massiccia diffusione di dati personali che il legislatore, invece, tende ad evitare.

Può quindi affermarsi senza tema di smentita – a quanto si legge nella sentenza in commento – che l'assoggettamento alla norma in tema di divieto di diffusione di dati “sensibili” riguardi tutti indistintamente i soggetti entrati in possesso di dati, i quali saranno tenuti a rispettare sacralmente la privacy di altri soggetti con i primi entrati in contatto, al fine di assicurare un corretto trattamento di quei dati senza arbitri o pericolose intrusioni.

Né la punibilità – in caso di indebita diffusione dei dati – può dirsi esclusa se il soggetto detentore del dato abbia ciò acquisito in via casuale, in quanto la norma non punisce di certo il recepimento del dato, quanto la sua indebita diffusione.

È stato sottolineato, infine, che il concetto di trattamento va inteso in senso ampio per come già lo afferma il legislatore laddove elenca tutta una serie di condotte sintomatiche, non circoscritto quindi ad una raccolta di dati, ma anche – e soprattutto – alla diffusione indebita senza il consenso dell'interessato, del dato acquisito, non importa se casualmente o meno.

È poi contemplato, sempre nel quadro strutturale della fattispecie, il dolo specifico di "trarre per sè o per altri profitto di recare ad altri un danno" attraverso la descritta condotta di trattamento dei dati. Ed è elemento costitutivo oggettivo la circostanza che dal fatto "derivi un nocumento".

Dunque, del tutto destituita di fondamento è stata ritenuta la tesi che vorrebbe escludere la ricorrente, siccome privato "non qualificato", dal novero dei destinatari della norma, alla luce di un ormai acclarato indirizzo giurisprudenziale sul punto.

Proprio l'affermazione che si legge in sentenza – «…una interpretazione siffatta finirebbe con l'esonerare in modo irragionevole dall'area penale tutti i soggetti privati, così permettendo quella massiccia diffusione di dati personali che il legislatore, invece, tende ad evitare…» – a sommesso avviso di chi scrive, merita alcune precisazioni.

In primo luogo, l'enunciata categoria dei dati “sensibili” era prevista dall'art. 4 lettera d) del d.lgs. 196/2003 nella previgente formulazione dove venivano così designati: «i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale».

L'art. 26 prevedeva poi che i dati “sensibili” potevano essere oggetto di trattamento solo con il consenso scritto dell'interessato e previa autorizzazione del Garante, nell'osservanza dei presupposti e dei limiti stabiliti dal codice della Privacy, nonché dalla legge e dai regolamenti.

Tuttavia, il d.lgs. 196/2003 è stato integralmente riformulato a seguito dell'entrata in vigore del decreto legislativo 10 agosto 2018, n. 101, recante “Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)” (in G.U. 4 settembre 2018 n.205).

Sicché gli artt. da 3 a 45 sono stati espressamente abrogati, e, con essi gli artt. 17, 20, 21, 22, commi 8 e 11, 25 26, 27.

Ne discende che le basi giuridiche dell'enunciato che si rinviene nella sentenza in commento – in particolare gli art. 4 e 26 – sono stati espunti dall'ordinamento giuridico.

Per quanto interessa in questa in sede, il nuovo testo dell'art. 167 d.lgs. 196/2003 (Trattamento illecito di dati) come modificato al secondo comma dal decreto-legge 8 ottobre 2021, n. 139, convertito, con modificazioni, dalla legge 3 dicembre 2021, n. 205, recante disposizioni urgenti per l'accesso alle attività culturali, sportive e ricreative, nonché per l'organizzazione di pubbliche amministrazioni e in materia di protezione dei dati personali, risulta essere il seguente:

«1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sè o per altri profitto ovvero di arrecare danno all'interessato, operando in violazione di quanto disposto dagli articoli 123, 126 e 130 o dal provvedimento di cui all'articolo 129 arreca nocumento all'interessato, è punito con la reclusione da sei mesi a un anno e sei mesi.

2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per se' o per altri profitto ovvero di arrecare danno all'interessato, procedendo al trattamento dei dati personali di cui agli articoli 9 e 10 del Regolamento in violazione delle disposizioni di cui agli articoli 2-sexies e 2-octies, o delle misure di garanzia di cui all'articolo 2-septies arreca nocumento all'interessato, è punito con la reclusione da uno a tre anni».

Quanto al primo comma, appare evidente che il precetto penale debba necessariamente essere integrato dalle disposizioni di cui ai menzionati articoli 123, 126 e 130 e 129.

L'art. 123 disciplina espressamente i “dati relativi al traffico”: «I dati relativi al traffico riguardanti contraenti ed utenti trattati dal fornitore di una rete pubblica di comunicazioni o di un servizio di comunicazione elettronica accessibile al pubblico sono cancellati o resi anonimi quando non sono più necessari ai fini della trasmissione della comunicazione elettronica, fatte salve le disposizioni dei commi 2, 3 e 5».

Dal combinato disposto degli artt. 167 e 123 discende che il precetto penale non può riguardare “chiunque”, ma solo il fornitore di una rete pubblica di comunicazioni o di un servizio di comunicazione elettronica accessibile al pubblico.

L'art. 126 fa poi riferimento ai “dati relativi all'ubicazione”: «I dati relativi all'ubicazione diversi dai dati relativi al traffico, riferiti agli utenti o ai contraenti di reti pubbliche di comunicazione o di servizi di comunicazione elettronica accessibili al pubblico, possono essere trattati solo se anonimi o se l'utente o il contraente ha manifestato previamente il proprio consenso, revocabile in ogni momento, e nella misura e per la durata necessari per la fornitura del servizio a valore aggiunto richiesto».

Anche in questo caso, il combinato disposto dell'art. 167 e 126 pare restringere l'ambito del “penalmente rilevante” al solo fornitore di una rete pubblica di comunicazioni o di un servizio di comunicazione elettronica accessibile al pubblico.

Ancora più ristrettivo pare essere l'ambito applicativo dell'art. 130, Comunicazioni indesiderate: «Fermo restando quanto stabilito dagli articoli 8 e 21 del decreto legislativo 9 aprile 2003, n. 70, l'uso di sistemi automatizzati di chiamata o di comunicazione di chiamata senza l'intervento di un operatore per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale è consentito con il consenso del contraente o utente. Resta in ogni caso fermo quanto previsto dall'articolo 1, comma 14, della legge 11 gennaio 2018, n. 5». Anche in questo caso il combinato disposto degli artt. 167 e 130 non può che imporre una lettura restrittiva del precetto penale.

Lo stesso dicasi per quanto riguarda il riferimento al provvedimento evocato dal combinato disposto degli artt. 167 e 129 (Elenchi dei contraenti): «Il Garante individua con proprio provvedimento, in cooperazione con l'Autorità per le garanzie nelle comunicazioni ai sensi dell'articolo 154, comma 4, e in conformità alla normativa dell'Unione europea, le modalità di inserimento e di successivo utilizzo dei dati personali relativi ai contraenti negli elenchi cartacei o elettronici a disposizione del pubblico». Anche in questo caso non pare proprio potersi sostenere che il reato possa essere commesso da “chiunque”.

Le conclusioni sopra rassegnate consentono di affermare che la tesi dedotta dal ricorrente non era poi del tutto destituita di fondamento con riferimento all'ipotesi di cui al primo comma dell'art. 167. Tuttavia, la sentenza in commento evoca l'ormai inesistente categoria dei dati “sensibili”.

Invero il secondo comma dell'art. 167 fa espresso riferimento al trattamento dei dati personali di cui agli articoli 9 e 10 del Regolamento in violazione delle disposizioni di cui agli articoli 2-sexies e 2-octies, o delle misure di garanzia di cui all'articolo 2-septies. L'art. 9 del Regolamento riguarda i cd. dati “particolari”, mentre l'art. 10 riguarda il trattamento dei dati personali relativi a condanne penali e reati. Ma rileva in questa sede rimarcare come non ogni violazione rilevi, ma solo quelle riferite alle prescrizioni di cui:

• all'art. 2-sexies: i trattamenti delle categorie particolari di dati personali di cui all'articolo 9, paragrafo 1, del Regolamento, necessari per motivi di interesse pubblico rilevante ai sensi del paragrafo 2, lettera g), del medesimo articolo, sono ammessi qualora siano previsti dal diritto dell'Unione europea ovvero, nell'ordinamento interno, da disposizioni di legge o di regolamento o da atti amministrativi generali che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché' le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato.
• all'art. 2-octies: fatto salvo quanto previsto dal decreto legislativo 18 maggio 2018, n. 51, il trattamento di dati personali relativi a condanne penali e a reati o a connesse misure di sicurezza sulla base dell'articolo 6, paragrafo 1, del Regolamento, che non avviene sotto il controllo dell'autorità pubblica, è consentito, ai sensi dell'articolo 10 del medesimo regolamento, solo se autorizzato da una norma di legge o, nei casi previsti dalla legge, di regolamento, che prevedano garanzie appropriate per i diritti e le libertà degli interessati.
• all'art. 2-septies: in attuazione di quanto previsto dall'articolo 9, paragrafo 4, del regolamento, i dati genetici, biometrici e relativi alla salute, possono essere oggetto di trattamento in presenza di una delle condizioni di cui al paragrafo 2 del medesimo articolo ed in conformità alle misure di garanzia disposte dal Garante, nel rispetto di quanto previsto dal presente articolo.

Ora se è pur vero che l'art. 167 fa riferimento, quale soggetto attivo, a “chiunque”, è nondimeno vero che la lettura integrale della norma penale comporta il necessario confronto con tutte le disposizioni in esse richiamate.

Tale conclusione risulta avvalorata da Cass. pen., sez. I, 3 ottobre 2019, n. 3269: «L'attuale testo del d.lgs. n. 196 del 2003, art. 167, invero, nei primi due commi, ha configurato altrettante ipotesi di trattamento illecito di dati personali, i cui elementi di intersezione con le corrispondenti ipotesi previste dalla disposizione prima della sostituzione in virtù del d.lgs. n. 101 del 2018, art. 15, esigono specifica verifica, da svolgersi – in relazione alla concreta fattispecie accertata e sanzionata con la sentenza emessa durante la vigenza della disposizione sostituita, ma – sulla scorta della comparazione strutturale tra le fattispecie».

Se non può che condividersi l'invocato rispetto sacrale della privacy, di cui alla sentenza in commento, nondimeno appare necessaria la comparazione strutturale tra le fattispecie, proprio come affermato dalla Prima Sezione della stessa Cassazione.