Se la privacy rimane stritolata dal processo penale…

Era ragionevole attendersi che i giudici della Corte di Cassazione, quelli penali per quanto d'interesse in questa sede, iniziassero a occuparsi dell'impatto del cd. GDPR (regolamento UE 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016) sull'ordinamento giuridico italiano. La lettura delle prime pronunce che si sono recentemente occupate della materia del trattamento dei dati personali aiuta non solo a comprendere come il legislatore nazionale abbia recepito il GDPR, ma anche la “lettura” che ne viene data dalla giurisprudenza di legittimità. La riflessione viene svolta sotto un duplice profilo: sostanziale e processuale: ne emerge un quadro “a compartimenti stagni”. Quando i giudici sono chiamati ad occuparsi “dei reati” allora sono costretti ad applicare la novella del d.lgs. 101/2018; quando si occupano “del rito” pare che il GDPR, e il suo adeguamento nazionale, sia tamquam non esset. Eppure i due aspetti, per quanto si evidenzierà in seguito, appaiono intimamente connessi in particolare per quanto concerne gli aspetti probatori. Il pensiero va al delicato tema della videosorveglianza, dove i paralleli approdi legislativi e giurisprudenziali rischiano di trasformare fatti costitutivi di reato (o nella migliore delle ipotesi illeciti amministrativi) in prove che assurgono a fondamento della penale responsabilità.

Per quanto riguarda gli aspetti sostanzialmente penalistici, tre sentenze aiutano l'interprete a districarsi tra i “paletti stretti” della continuità normativa e dell'abolitio criminis venendo ad interessare il “cuore” del diritto penale della privacy: la nozione stessa di dato personale e la sua illecita diffusione; le condotte penalmente rilevanti dopo le modifiche che hanno riguardato il d.lgs. 196/2003; il concetto di nocumento.

La prima sentenza da passare in rassegna è Corte di Cassazione, Sez. III penale, n. 42565/2019; depositata il 17 ottobre: è stata confermata la condanna dell'imputato inflitta della Corte d'appello di Catania per il reato di cui agli artt. 81 c.p. e 167 del d.lgs. 30 giugno 2003, n. 196, per avere utilizzato, a insaputa dell'ex compagna, i dati personali di quest'ultima. Costei era stata iscritta, dal 15 al 29 maggio 2010, mediante un falso profilo, sul sito di un social network nella chat room denominata "sesso", in cui erano stati inseriti i dati della donna.

La condanna interveniva dunque per la comunicazione dei dati personali inseriti in tale chat room: i giudici di legittimità si sono confrontati con la nozione di “dato personale” nel “trapasso” dalla vecchia alla nuova normativa.

Hanno osservato che l'art. 167 del d.lgs. n. 196 del 2003, nel testo vigente ratione temporis, incriminava la condotta di chi, al fine di trarre per sé o per altri profitto o di recare ad altri un danno, procedesse al trattamento di dati personali, in violazione di quanto disposto dagli artt. 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell'art. 129. L'art. 4, comma 1, lett. b) del medesimo d.lgs. nel testo allora vigente identificava il dato personale come qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione, identificati o identificabili anche indirettamente; la precedente lett. a) identificava il trattamento come qualunque operazione o complesso di operazioni concernenti la comunicazione e la diffusione di dati. Sotto questo profilo è stata ritenuta la continuità normativa in quanto le nozioni sono oggi rispettivamente riprodotte, in termini sostanzialmente sovrapponibili nei numeri 1 e 2 dell'art. 4 del regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, richiamato nell'attuale art. 1 del d.lgs. n. 196 del 2003.

Precisa poi la sentenza che l'attività di diffusione deve intendersi come la conoscenza dei dati fornita ad un numero indeterminato di soggetti (v., ora, l'art. 2-ter, comma 4, lett. b) del d.lgs. n. 196 del 2003; all'epoca dei fatti, la nozione era contenuta nell'art. 4, comma 1, lett. m) dello stesso d.lgs. n. 196/2003).
La richiesta di declaratoria di prescrizione contenuta nel ricorso ha consentito altresì ai giudici ai giudici di legittimità di svolgere significative considerazioni in merito alla natura istantanea o permanente del delitto in questione. Secondo una distinzione da tempo recepita dalla giurisprudenza di legittimità (v., ad es., Cass. pen., Sez. II, n. 4393/2018, Maniscalco Zuela, Rv. 274902) i reati istantanei sono quelli nei quali l'azione antigiuridica si compie e si realizza definitivamente col verificarsi dell'evento, cosicché in tale momento il reato stesso viene ad esaurirsi. Sono permanenti, invece, i reati in cui, nonostante il realizzarsi dell'evento, gli effetti antigiuridici non cessano, ma permangono nel tempo per l'impulso della intenzionale condotta dell'agente. Nel caso di specie, la condotta di diffusione, in quanto programmaticamente destinata a raggiungere un numero indeterminato di soggetti, si caratterizza per la continuità dell'offesa derivante dalla persistente condotta volontaria dell'agente (che ben avrebbe potuto rimuovere i dati personali resi ostensibili ai frequentatori del social network). Ne discende che l'illecito, perfezionatosi nel momento di instaurazione della condotta offensiva, si è consumato, agli effetti di cui all'art. 158, primo comma, c.p., dal giorno in cui è cessata la permanenza, ossia dal 29 maggio 2010.

Proprio le considerazioni svolte dal Supremo Collegio impongono una precisazione: come rilevato, l'art. 4, comma 1, lett. b) del d.lgs. 196 del 2003, ora abrogato, identificava il dato personale come qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione, identificati o identificabili anche indirettamente.

Il regolamento europeo chiarisce espressamente che tutela i dati delle sole persone fisiche, con esclusione quindi delle persone giuridiche, degli enti e delle associazioni. In tal senso soccorre l'art. 1 del regolamento, il quale precisa che “Il presente regolamento stabilisce norme relative alla protezione delle persone fisiche con riguardo al trattamento dei dati personali nonché norme relative alla libera circolazione di tali dati. Il presente regolamento protegge i diritti e le libertà fondamentali delle persone fisiche in particolare il diritto alla protezione dei dati personali”. In aggiunta l'art. 4 definisce il dato personale come “qualsiasi informazione riguardante una persona fisica identificata o identificabile (interessato). Si considera identificabile la persona fisica...”.

Infine, il Considerando 14 è chiaro nell'affermare: "È opportuno che la protezione prevista dal presente regolamento si applichi alle persone fisiche, a prescindere dalla nazionalità o dal luogo di residenza, in relazione al trattamento dei loro dati personali. Il presente regolamento non disciplina il trattamento dei dati personali relativi a persone giuridiche, in particolare imprese dotate di personalità giuridica, compresi il nome e la forma della persona giuridica e i suoi dati di contatto".

Dal rinnovato quadro normativo emerge chiaramente che solo una persona fisica può essere considerata interessato al trattamento, mentre non sono considerabili tali né le persone giuridiche, né gli enti e nemmeno le associazioni.

Mentre nel caso definito da Corte di Cassazione, Sez. III penale, sentenza n. 42565/19; depositata il 17 ottobre è stata ritenuta la continuità normativa, con la sentenza n. 40140 del 1° ottobre 2019, la Corte di Cassazione Sez. Feriale ha affermato che la condotta contestata al ricorrente, relativa all'utilizzo abusivo dei codici di una carta di credito di un cliente, avrebbe assunto rilievo penale solo in relazione al d.lgs. n. 196 del 2003 e in particolare all'art. 167, prima delle modifiche a questo apportate dal d.lgs. n. 101 del 2018 e non anche ai sensi dell'art. 167 del codice privacy attualmente in vigore. Per tali motivi, la sentenza impugnata è stata annullata, perché il fatto non è previsto dalla legge come reato.

L'imputato era stato condannato in primo grado per aver utilizzato abusivamente i codici di sicurezza della carta di credito del cliente (persona offesa), acquisiti in qualità di dipendente della società addetta alla lavorazione del contratto che quest'ultimo aveva stipulato con essa.

I giudici di appello confermavano la sentenza di condanna pronunciata a carico dell'imputato, in riferimento ai reati di cui all'art. 640-ter c.p. e all'art. 167 del d.lgs. n. 196 del 2003.

Secondo la difesa del soggetto ricorrente, alla luce dell'art. 167 del codice privacy emendato dal d.lgs. n.101/2018, la condotta contestata era da ritenersi estranea alla norma incriminatrice, la quale prende in considerazione solamente le violazioni degli artt. 123, 126, 129, 130, ovvero il trattamento di categorie particolari di dati personali in violazione delle disposizioni di cui agli artt. 2-sexies, 2-septies, 2-octies e 2-quinquiesdecies del rinnovato codice privacy.

Il ricorso è stato accolto dai giudici supremi mostratisi concordi nel ritenere che la condotta contestata al ricorrente assumesse rilievo penale, quanto alla violazione delle disposizioni in tema di tutela dei dati personali, solo in relazione al d.lgs. n. 196 del 2003 e in particolare all'art. 167 (c.d. codice della privacy), prima delle modifiche a questo apportate dal d.lgs. n. 101 del 2018 e non anche ai sensi dell'art. 167 del codice privacy attualmente in vigore. Per tali motivi, la sentenza impugnata è stata annullata, perché il fatto non è previsto dalla legge come reato: nel caso di specie, tale causa di proscioglimento è stata ritenuta prevalente sulla già maturata estinzione del reato per intervenuta prescrizione.

Al fine di fornire un quadro giuridico più chiaro la stessa Corte ha ricordato che l'entrata in vigore del Regolamento europeo 2016/679 (GDPR), ha profondamente innovato la materia in tema di protezione dei dati personali, con disposizioni aventi diretta e immediata applicazione nell'ordinamento interno. Tra le altre novità, il GDPR ha introdotto, con l'art. 83, un sistema di sanzioni amministrative pecuniarie sia per le violazioni degli obblighi da parte dei soggetti investiti del dovere di garantire l'efficace tutela dei dati personali, sia le violazioni dei principi base del trattamento dei dati stessi (compresi quelli relativi al consenso e ai diritti degli interessati). Quest'ultimo ha anche rimesso alla potestà sanzionatoria degli Stati membri (art. 84) la possibilità di introdurre ulteriori sanzioni per la violazione di disposizioni diverse da quelle già sanzionate dal Regolamento stesso, facendo espresso riferimento alla possibilità che tali ulteriori disposizioni sanzionatorie abbiano natura penale, ed afferiscano a violazione di norme nazionali adottate in virtù ed entro i limiti del Regolamento (Considerando n. 149 del GDPR).

In tale quadro, è intervenuta la legge n. 163 del 2017 (legge di delegazione Europea), la quale ha delegato il Governo ad intervenire sul codice privacy, con lo scopo di adeguare il sistema sanzionatorio ivi previsto alla normativa di matrice Europea.

Con il d.lgs. n. 101 del 2018, il legislatore delegato, ha apportato numerose modifiche al predetto codice, sia abrogando le disposizioni ormai superate dalla struttura introdotta dal Regolamento europeo, sia intervenendo profondamente sull'impianto sanzionatorio.

Pur se originariamente ne era stata anticipata l'abolizione, il reato, che prevede la reclusione fino a 3 anni, ai sensi dell'art. 167 del codice privacy, si applica alla violazione di alcune specifiche e limitate disposizioni normative come, ad esempio, alcuni dei requisiti sul trattamento dei dati sensibili, rectius particolari, e sul trasferimento internazionale di dati. Ad ogni modo viene attenuata la sanzione penale nel caso in cui la sanzione amministrativa sia stata già comminata e riscossa (conformità al principio del ne bis in idem).

Ai sensi del comma 1 dell'art. 167 del codice privacy continuano a essere penalmente sanzionate, solo le violazioni (purché sorrette dal dolo specifico di trarre per sé o per altri profitto, o di recare all'interessato un danno e un nocumento) delle norme:

• relative al trattamento dei dati relativi al traffico, riguardanti contraenti ed utenti trattati dal fornitore di una rete pubblica di comunicazioni o di un servizio di comunicazione elettronica accessibile al pubblico (cd. tabulati, art. 123 del codice);
• relative al trattamento dei dati relativi all'ubicazione, diversi da quelli relativi al traffico, riguardanti i medesimi soggetti (art. 126);
• relative alle cd. comunicazioni indesiderate (art. 130);
• alle violazioni dei provvedimenti del Garante in tema di inserimento ed utilizzo dei dati personali negli elenchi cartacei o elettronici a disposizione del pubblico (art. 129).

Il novellato comma 2 dell'art. 167 punisce altresì, più gravemente, la violazione delle disposizioni in tema di trattamento dei dati sensibili, rectius particolari, e dei dati relativi a condanne penali; mentre le nuove disposizioni introdotte al comma 3 dell'art. 167, all'art. 167-bis e all'art. 167-ter prevedono, rispettivamente, sanzioni penali per la violazione delle disposizioni in tema di trasferimento dei dati personali verso un paese terzo o un'organizzazione internazionale, in tema di comunicazione e diffusione illecite, e di acquisizione fraudolenta, di un archivio automatizzato o di una sua parte sostanziale, che contenga dati personali oggetto di trattamento su larga scala.

Nel caso analizzato, i giudici di legittimità hanno evidenziato che le norme incriminatrici attualmente vigenti, non prendono in considerazione la condotta contestata all'imputato, la cui rilevanza penale trovava fondamento nella violazione dell'art. 23 e art. 25, lett. b) del codice privacy (in tema, rispettivamente, di trattamento dei dati senza consenso e per finalità diverse da quelle previste), disposizioni oggi abrogate dal d.lgs. n. 101/2018.

Conclude questo “trittico” di sentenze sostanziali Corte di Cassazione sez. III Penale, sentenza n. 41604/2019, depositata il 10 ottobre, la cui massima è così sintetizzabile: nella pratica dello spamming, «affinché tale condotta assuma rilievo penale, occorre che si verifichi per ciascun destinatario un effettivo “nocumento”, che non può certo esaurirsi nel semplice fastidio di dover cancellare di volta in volta le mail indesiderate, ma deve tradursi in un pregiudizio concreto, anche non patrimoniale, ma comunque suscettibile di essere giuridicamente apprezzato, richiedendosi in tal senso un'adeguata verifica fattuale volta ad accertare, ad esempio, se l'utente abbia segnalato al mittente di non voler ricevere un certo tipo di messaggi e se, nonostante tale iniziativa, l'agente abbia perseverato in maniera non occasionale a inviare messaggi indesiderati, creando così un reale disagio al destinatario».

L'imputato, avvocato di professione, aveva inviato 14 comunicazioni mail differenti a un totale di 93 indirizzi di posta elettronica appartenente ad iscritti dell'Associazione Igienisti Dentali Italiani con cui pubblicizzava propri corsi di aggiornamento, in tal modo agendo al fine di procurarsi un profitto, consistito nell'ottenere la partecipazione a corsi e convegni da lui patrocinati o organizzati nel settore dell'igiene dentale. Si contestava all'imputato il delitto di illecito trattamento di dati in relazione alle cosiddette comunicazioni indesiderate (prive, cioè, del consenso dell'utente), procurando, dunque, agli associati un nocumento.

Intervenuta condanna da parte dei giudici di merito, tale decisione è stata “ribaltata” da quelli di legittimità, che hanno escluso che il comportamento del ricorrente sia suscettibile di essere inquadrato nella fattispecie di cui al d.lgs. n. 196 del 2003, art. 167.

Come già rilevato, la norma è stata riformata dal d.lgs. 10 agosto 2018, n. 101 (art. 15, comma 1, lett. b)) che tuttavia non ha inciso in termini sostanziali sul contenuto della norma incriminatrice, essendo rimasto in particolare invariato l'elemento soggettivo del reato, costituito dal fine dell'agente di trarre per sé o per altri un profitto o di recare ad altri un danno mediante l'illecito trattamento.

Il reato si connota pertanto come delitto a dolo specifico (così Sez. III, n. 3683 del 11 dicembre 2013, dep. 2014, Rv. 258492), la cui struttura finalistica è incompatibile con la forma del dolo eventuale, che postula l'accettazione solo in via ipotetica, seppure avverabile, del conseguimento di un determinato risultato.
Parimenti immutato è rimasto il richiamo alla necessità del verificarsi di un "nocumento", pur dovendosi precisare al riguardo che nell'attuale versione normativa ("salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all'interessato, operando in violazione di quanto disposto dagli artt. 123, 126 e 130 o dal provvedimento di cui all'art. 129 arreca nocumento all'interessato, è punito con la reclusione da sei mesi a un anno e sei mesi"), la determinazione del nocumento si configura come un elemento costitutivo della fattispecie penale.

Viceversa, nella precedente formulazione del reato, peraltro vigente al momento del fatto, è stata invece a lungo prevalente nella giurisprudenza di legittimità, anche in ragione del tenore testuale della norma (l'agente "è punito, se dal fatto deriva nocumento") la tesi che qualificava il nocumento come una condizione obiettiva di punibilità, idonea cioè ad attualizzare l'offesa dell'interesse tutelato già realizzata dal fatto tipico (cfr. Sez. III, n. 7504 del 16 luglio 2013, dep. 2014, Rv. 259261 e Sez. V, n. 44940 del 28 settembre 2011, Rv. 251448). Si è poi delineata una diversa impostazione ermeneutica, invero più condivisibile, secondo la quale il nocumento per la persona alla quale i dati illecitamente trattati si riferiscono costituisce, per la sua omogeneità rispetto all'interesse leso, e la sua diretta derivazione causale dalla condotta tipica, un elemento costitutivo del reato, e non una condizione oggettiva di punibilità, con la conseguenza che esso deve essere previsto e voluto o comunque accettato dall'agente come effetto della propria azione, indipendentemente dal fatto che costituisca o si identifichi con il fine dell'azione (Sez. 3, n. 40103 del 05/02/2015, Rv. 264798). Quanto poi al contenuto del nocumento, è stata richiamata la consolidata giurisprudenza della Corte (cfr. ex multis Sez. III, n. 52135 del 19 giugno 2018, Rv. 275456 e Sez. III, n. 15221 del 23 novembre 2016, dep. 2017, Rv. 270055), secondo cui il nocumento previsto dal d.lgs. 30 giugno 2003, n. 196, art. 167 deve intendersi come un pregiudizio giuridicamente rilevante di qualsiasi natura, patrimoniale o non patrimoniale, subito dal soggetto cui si riferiscono i dati protetti oppure da terzi quale conseguenza dell'illecito trattamento.

La nozione di nocumento, in definitiva, coerentemente con l'etimologia del termine (derivante dal verbo nuocere, ovvero arrecare un danno anche morale), evoca l'esistenza di una concreta lesione della sfera personale o patrimoniale, che, nell'ottica della fattispecie oggetto del procedimento, deve ritenersi direttamente riconducibile a un'operazione di illecito trattamento dei dati protetti.
In applicazione di tale premessa ermeneutica, i giudici di legittimità hanno escluso che nel caso di specie sia ravvisabile un nocumento nel senso appena indicato.

La Cassazione, da un lato, ha ritenuto l'illegittimità del trattamento, stante la violazione del d.lgs. n. 196 del 2003, art. 130, disposizione dedicata alle "comunicazioni indesiderate" (anch'essa integrata con la novella del 2018 ma senza sostanziali variazioni), che subordina al consenso dell'utente interessato la divulgazione di materiale pubblicitario mediante comunicazioni operate tra l'altro anche mediante posta elettronica. Dall'altro, ha osservato che i vari destinatari delle mail inviate dall'avvocato imputato non hanno ricevuto alcun pregiudizio giuridicamente apprezzabile, in quanto ciascun igienista dentale iscritto all'associazione ha in realtà ricevuto dal ricorrente un numero molto contenuto di messaggi, in media non più di tre o quattro, per cui non può affatto parlarsi di una significativa invasione del proprio spazio informatico.

Secondo i supremi giudici, non può essere ignorata la circostanza che, a parte la protesta rivolta alla moglie dell'avvocato imputato durante una cena, dunque in maniera del tutto irrituale, non vi è mai stata alcuna formale rimostranza da parte dei singoli iscritti nei confronti del ricorrente, tale da rendere manifesta la contrarietà all'invio di quelle poche mail. Inoltre, non c'è dubbio che, nell'attuale contesto socio-economico, è molto diffusa la pratica del cd. spamming, ovvero dell'invio in varie forme di una pluralità di messaggi pubblicitari a una vasta platea di utenti senza il consenso di costoro: tuttavia, affinché tale condotta assuma rilievo penale, occorre che si verifichi per ciascun destinatario un effettivo "nocumento", che non può certo esaurirsi nel semplice fastidio di dover cancellare di volta in volta le mail indesiderate, ma deve tradursi in un pregiudizio concreto, anche non patrimoniale, ma comunque suscettibile di essere giuridicamente apprezzato, richiedendosi in tal senso un'adeguata verifica fattuale volta ad accertare, ad esempio, se l'utente abbia segnalato al mittente di non voler ricevere un certo tipo di messaggi e se, nonostante tale iniziativa, l'agente abbia perseverato in maniera non occasionale a inviare messaggi indesiderati, creando così un reale disagio al destinatario.

Nel caso di specie, nessun destinatario delle e-mails aveva manifestato all'avvocato imputato la sua opposizione a ricevere i suoi messaggi promozionali, il cui invio peraltro è avvenuto nel ristretto arco temporale di pochi mesi e in misura contenuta, dovendosi avere riguardo in tal senso non al numero complessivo di messaggi inviati a tutti gli iscritti all'associazione, ma all'entità dei messaggi spediti a ogni singolo associato, posto che la valutazione del nocumento non può che essere riferita alla dimensione individuale dell'utente e non a quella impersonale del gruppo associato di cui ciascuno di essi faceva parte.

In quest'ottica, è stato quindi escluso che la ricezione di tre o quattro mail nell'arco di circa cinque mesi, senza alcuna diffida preventiva rivolta al mittente, possa integrare un "nocumento" idoneo a integrare la fattispecie contestata, non essendo sufficiente in tal senso qualche generica lamentela rivolta da taluno degli associati non direttamente all'avvocato imputato, ma solo alla propria associazione.

È stato altresì escluso che tale soluzione interpretativa si ponga in aperto contrasto con il precedente della stessa suprema Corte richiamato nelle sentenze di merito (Sez. III, n. 23798 del 24 maggio 2012, Rv. 253632), secondo cui integra il reato di trattamento illecito di dati personali l'indebito utilizzo di un "data-base" contenente l'elenco di utenti iscritti a una "newsletter" ai quali venivano inviati messaggi pubblicitari non autorizzati provenienti da altro operatore, che traeva profitto dalla percezione di introiti commerciali e pubblicitari, con corrispondente nocumento per l'immagine del titolare della banca dati abusivamente consultata e per gli stessi utenti, costretti a cancellare i messaggi di posta indesiderata, a predisporre accorgimenti per impedire ulteriori invii e a tutelare la "privacy" dalla circolazione non autorizzata delle informazioni personali.

Il caso trattato nella sentenza sopra citata, infatti, riguardava l'utilizzo in rete dei dati personali di almeno 177.090 persone, tramite l'indebita sottrazione di un "data-base" contenente più di 400.000 nominativi, per cui si era in presenza di un ben diverso livello di invasione dell'altrui sfera di libertà informatica.
Al di là della indubbia diversità delle situazioni trattate, la Cassazione ha tuttavia evidenziato che anche la sentenza n. 23798 del 24 maggio 2012 aveva agganciato la nozione di nocumento a quella di offensività, qualificando la fattispecie in termini di reato di pericolo concreto e non presunto, dovendosi solo ribadire, in ciò sviluppando in parte il percorso argomentativo del precedente citato, che, nell'attuale sistema informativo e commerciale, "nocumento" non può essere il solo disagio di dover cancellare pochi e occasionali messaggi non desiderati, richiedendosi, al fine di attribuire rilevanza penale al fatto, un quid pluris, consistente in un pregiudizio effettivo, che si riveli proporzionato rispetto all'invasività del comportamento di chi invia i contenuti sgraditi, restando magari indifferente a eventuali richieste di porre termine alta spedizione di una determinata tipologia di messaggi.

Ciò che si coglie dalla lettura di queste sentenze è un sostanziale arretramento della soglia di tutela penale per il trattamento illecito dei dati personali: condotte prima penalmente sanzionate – ad. es. raccolta dei dati senza consenso o in violazione dei diritti degli interessati – ora sono state depenalizzate. Nondimeno, sul versante processuale emerge il sacrificio della tutela dei dati personali a favore delle esigenze di accertamento dei reati, anche se in questo caso il trapasso al GDPR non pare essere stato colto in tutta la sua piena portata: come già anticipato, il pensiero corre al delicato tema della videosorveglianza.

La Corte di Cassazione, sez. II Penale, sentenza n. 42022/2019; depositata il 14 ottobre, ha deciso sul ricorso proposto da un imputato avverso la condanna inflitta per due reati di ricettazione in continuazione: venivano denunciati violazione di leggi e vizi di motivazione quanto all'asseritamente illecita acquisizione di videoriprese effettuate da telecamere di sorveglianza presenti in loco

Analizzando il ricorso, il Collegio ricorda che la giurisprudenza ha catalogato le videoregistrazioni in luoghi pubblici ovvero aperti o esposti al pubblico, non effettuate nell'ambito di un procedimento penale, come “documenti” ex art. 234 c.p.p. Le videoregistrazioni effettuate invece dalla polizia giudiziaria vanno invece incluse tra le prove atipiche e sono soggette alla disciplina di cui all'art. 189 c.p.p.. Trattandosi di documentazione di attività investigativa non ripetibile possono inoltre essere allegate al relativo verbale e inserite nel fascicolo per il dibattimento.

Successivamente, è stato chiarito che le videoriprese effettuate nei medesimi luoghi al di fuori e prima dell'instaurazione del procedimento, in quanto documenti, possono essere acquisite senza la necessità del contraddittorio, con la conseguenza che in caso di mancata acquisizione deve ritenersi legittima la testimonianza degli operatori di polizia giudiziaria in ordine al contenuto rappresentato.
Sono invece pienamente utilizzabili in sede di procedimento penale le videoregistrazioni realizzate all'interno o all'esterno di uffici postali e in strada, anche in mancanza dell'apposita segnaletica di cui agli artt. 11 e 13 d.lgs. n. 196/2003, «in quanto la disciplina a tutela della privacy non può costituire uno sbarramento rispetto alle preminenti esigenze di accertamento del processo penale» secondo il precedente costituito da Cass. pen. n. 28367/2017.

L'affermazione dei Supremi Giudici secondo cui la disciplina a tutela della privacy non può costituire uno sbarramento rispetto alle preminenti esigenze di accertamento del processo penale appare frutto di una non approfondita analisi proprio di quella normativa.

Invero, l'art. 2-decies del d.lgs. 196/2003 prevede che i dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati. Tuttavia viene fatta salvo quanto disposto dall'art. 160 bis: la validità, l'efficacia e l'utilizzabilità di atti, documenti e provvedimenti nel procedimento giudiziario basati sul trattamento di dati personali non conforme a disposizioni di legge o di regolamento restano disciplinate dalle pertinenti disposizioni processuali.

Non si tratta di una novità assoluta: infatti nel testo previgente del d.lgs. 196/2003 la norma era contenuta all'art. 160 u.c. che aveva cura di fare riferimento alle pertinenti disposizioni processuali nelle materie civile e penale.

Proprio di tale norma aveva fatto applicazione Cass. pen. Sez. II, Sent., (ud. 12/07/2016) 13-10-2016, n. 43414: veniva eccepita la violazione del d.lgs. n. 196 del 2003, art. 11 e dell'art. 191 c.p.p., comma 1 nonchè degli artt. 179 e 234 c.p.p.., in quanto i fotogrammi delle telecamere a circuito chiuso utilizzate ai fini del riconoscimento degli imputati sarebbero state conservate oltre il termine previsto dalla legge.

Così era disattesa la doglianza: il citato d.lgs. n. 196 del 2003, art. 160, comma 6 nel rinviare la validità e l'efficacia di provvedimenti non conformi alla normativa in tema di privacy alla disciplina delle pertinenti norme di procedura giurisdizionali, siano esse civili o penali, sembrerebbe far salva l'utilizzabilità degli stessi in quanto: a) un conto è la disciplina della tutela della riservatezza, sanzionata anche penalmente nell'ipotesi delle violazioni delle prescrizioni imposte dal garante (d.lgs., art. 170) e tra le quali non vengono indicate le violazioni dell'art. 11 in tema di conservazione dei dati personali oggetto di trattamento per un tempo non superiore a quello necessario, un conto è l'interesse pubblico alla repressione dei reati; b) sulla base della decisione 28 marzo 2006 n. 26795 delle Sezioni Unite di questa Corte le riprese filmate sono assoggettate alla disciplina di cui all'art. 234 c.p.p. per cui applicando la tesi defensionale della inutilizzabilità di tutti i documenti conservati per un tempo superiore alle ventiquattro ore sarebbero inutilizzabili tutte le scritture, le fotografie e le riprese audio in tema di dati personali acquisite agli atti del processo dopo il dianzi indicato termine; c) la richiamata inutilizzabilità delle prove acquisite in violazione della legge (artt. 190 e 191 c.p.p.) ha riguardo, proprio per la collocazione sistematica, alla violazione delle norme processuali che regolano la formazione della prova e non anche le prove acquisite in violazione di divieti nascenti da disposizioni normative a tutela di altri diritti.

La normativa a tutela della privacy non pone dunque alcun sbarramento alle presunte “preminenti esigenze di accertamento del processo penale”, anzi è vero il contrario.

I giudici di legittimità sono costanti nel porre il focus sulla natura di documento delle immagini.

Da ultimo Corte di Cassazione Sez. VI (sentenza 10 aprile 2019, n. 15838) secondo cui la materia delle riprese visive e delle prove che ne conseguono non è regolata specificamente dalla legge, tuttavia le Sezioni unite della Cassazione (Cass. pen. Sez. Unite, n. 26795 del 28/03/2006, Prisco, CED Cass. 234267), hanno stabilito che le immagini tratte da video riprese in luoghi pubblici effettuate al di fuori delle indagini preliminari, cioè̀ al di fuori del procedimento penale ed indipendentemente da esso, non possono essere considerate prove atipiche ex art. 189 c.p.p., ma devono essere qualificate come documenti da utilizzare quali prove documentali nel processo. L'art. 234 c.p.p. dispone che «è consentita l'acquisizione di scritti o di altri documenti che rappresentano fatti persone o cose mediante la fotografia, la cinematografia, la fonografia e qualsiasi altro mezzo», con ciò̀ implicitamente escludendo che possa assumere rilevanza l'utilizzazione della modalità̀ analogica ovvero digitale per mezzo della quale è avvenuta la videoregistrazione e la successiva conservazione. La norma, invero, per mezzo dell'enunciazione di cosa debba intendersi per documento, non si interessa della concreta modalità̀ di conservazione dello stesso, indicandone esclusivamente le caratteristiche oggettive («documenti che rappresentano fatti, persone o cose»). L'evoluzione tecnologica che ha consentito, grazie al processo di digitalizzazione, la minimizzazione fisica del supporto su cui le immagini possono essere conservate e la facilitazione delle modalità̀ di archiviazione e successiva estrapolazione dei documenti, non autorizza a ritenere mutata tale natura, certamente conforme a quanto previsto dall'art. 234 c.p.p. quanto a disciplina delle acquisizioni documentali.

Pare doversi dissentire dall'affermazione secondo cui “la materia delle riprese visive e delle prove che ne conseguono non è regolata specificamente dalla legge”: forse non saranno disciplinate dal codice di rito, ma sicuramente sono disciplinate dal GDPR.

Ai sensi dell'articolo 4, nn. 1 e 14 del GDPR le immagini che identificano o rendono identificabile una persona fisica sono appunto “dati personali”: quando le immagini di un individuo – si pensi all'immagine facciale – a seguito di un “trattamento tecnico specifico relativo alle caratteristiche fisiche di una persona fisica” “consentono o confermano l'identificazione univoca” della persona, siamo altresì in presenza di “dati biometrici” sottoposti allo speciale regime normativo di cui all'articolo 9 del GDPR.

Queste precise indicazioni normative consigliano dunque di spostare l'attenzione dal “contenitore”, il documento, al “contenuto”, l'immagine e di verificare se la sua acquisizione sia avvenuta “legalamente”.

Si tratta, per altro, del percorso interpretativo seguito dalla stessa Cassazione nel caso di un ricorso avverso "decreto di convalida" del sequestro probatorio – avente a oggetto due telefoni, una pen drive, un'agenda, ritagli di carta – emesso dalla Procura della Repubblica del Tribunale di Catania nell'ambito del procedimento penale nei confronti di un appuntato dei carabinieri indagato per i delitti previsti dagli artt. 615-ter, 323 e 326 c.p.. Qui i supremi giudici hanno premesso che il tema attiene al se il procedimento incidentale esaurisca la sua funzione "nell'orizzonte circoscritto della mera reintegrazione del rapporto fisico, materiale, fra il titolare e l'oggetto dell'ablazione (cioè della restituzione del “contenitore” con l'intero “contenuto”)" o, piuttosto, sia strumento dal perimento più ampio, comprendente non solo la tutela del diritto all'esclusiva disponibilità di determinate informazioni, "alla reintegrazione della privacy o del diritto al segreto violati dal provvedimento ablativo, che solo l'eliminazione dei dati acquisiti dal patrimonio d'indagine può realizzare", ma anche e soprattutto la possibilità di mettere in discussione la legalità in sè dell'acquisizione e del prospettico, potenziale uso di ciò che è stato acquisito. E da questa premessa è giunta ad affermare che il principio di proporzione, certamente ancorato alla disciplina delle cautele personali nel procedimento penale ed alla tutela dei diritti inviolabili, ha nel sistema una portata più ampia; esso travalica il perimetro della libertà individuale per divenire termine necessario di raffronto tra la compressione dei diritti quesiti e la giustificazione della loro limitazione. Così Cass. pen. Sez. VI, Sent., (ud. 14 febbraio 2019) 11 ottobre 2019, n. 41974 ha annullato l'ordinanza del Tribunale del riesame di Catania.

Questa breve ricognizione giurisprudenziale conduce a risultati, almeno in parte, sorprendenti per lo scrivente: chi si occupa in modo professionale di tutela della privacy deve usare la massima prudenza nell'indicare ai propri clienti i corretti criteri per il trattamento dei dati. Proprio il tema della videosorveglianza costituisce uno dei temi più delicati: idonea informativa agli interessati e data retention, ovvero periodo di conservazione dei dati, sono i profili più “scottanti” per chi si voglia attenere scrupolosamente alle indicazioni del Garante italiano e dei Garanti europei. Nella sessione plenaria dal 9-10 luglio 2019, il Comitato Europeo per la protezione dei dati personali (nuovo ente previsto dall'art. 68 del GDPR quale organismo indipendente dell'Unione Europea, dotato di personalità giuridica, composto dai Presidenti delle Autorità privacy nazionali ed integrato nella sua composizione dal Garante europeo della protezione dei dati e da un delegato rappresentante della Commissione UE) ha sottoposto a consultazione pubblica le Linee Guida 3/2019 sul trattamento di dati personali effettuato mediante apparati video.

Per i Garanti europei sono difatti “massive” le implicazioni della videosorveglianza sulla protezione dei dati dei cittadini in termini di:

a) significativo sviluppo e uso intensivo di apparati e strumenti di sistematico monitoraggio e ripresa ottica e/o audio-visiva nella sfera individuale delle persone, con tecnologie che – rilevando senza soluzione di continuità la presenza o il comportamento della persona nello spazio ripreso/monitorato – limitano le possibilità di movimento anonimo del cittadino o di un suo utilizzo in anonimato di servizi (“rimanere anonimo o preservare una sfera di riservatezza sta diventando esponenzialmente sempre più difficile”);

b) rischi di “secondary use” (quando non di utilizzo illecito) della grande quantità di dati personali generati da video, unitamente all'impiego combinato di strumenti e tecniche di trattamento avanzate;
c) rischi di “finalità impreviste” (ad esempio, quando la videosorveglianza è finalizzata a scopi di prevenzione e di sicurezza, ma i dati e le informazioni tratti dalle immagini sono poi utilizzati a scopi marketing, o di monitoraggio/profilazione del comportamento del cittadino, o di controllo dei lavoratori, etc);

d) rischi derivanti dalla circostanza che la videosorveglianza è attualmente “altamente performante” se solo si considerano le tecniche di intelligenza artificiale applicate alla video-analisi;
e) rischi connessi a possibili malfunzionamenti dei device che catturano le immagini o dei software/algoritmi e che sono atti a creare pregiudizio e discriminazioni (alcuni ricercatori hanno evidenziato che i software di riconoscimento facciale possono funzionare più o meno efficacemente a seconda dell'età, del sesso e della razza dell'individuo).

Quanto rilevato dal Comitato Europeo per la protezione dei dati personali induce, senza margini di dubbio, ad affermare che tramite la videosorveglianza viene effettuato un trattamento che può essere definito “su larga scala” e che, in caso di utilizzo di tecniche di riconoscimento facciale, comporta il trattamento di dati biometrici. Nel primo caso la comunicazione e diffusione illecita costituisce reato ai sensi dell'art. 167 bis codice privacy, nel secondo caso il trattamento illecito costituisce reato ai sensi dell'art. 167 in relazione agli artt. 2 sexies e septies stesso codice. Tali considerazioni dovrebbero condurre ad una rivisitazione sia della normativa nazionale, sia della giurisprudenza, proprio a partire da quanto efficacemente affermato da Cass. pen. Sez. VI, Sent., (ud. 14/02/2019) 11-10-2019, n. 41974: occorre mettere in discussione la legalità in sè dell'acquisizione e del prospettico, potenziale uso di ciò che è stato acquisito

La norma che dovrebbe essere emendata,a sommesso avviso di chi scrive, è il citato art. 160 bis jn quanto rappresenta un significativo vulnus al complesso delle disposizioni dettate in tema di tutela dei dati personali, per le sue possibili ricadute in sede processualpenalistica, dove massima dovrebbe essere l'attenzione per le prerogative defensionali dell'indagato e/o imputato, ed invece ogni garanzia diventa irrilevante in nome di una indimostrata prevalenza delle esigenze di accertamento e repressione dei reati. Il legislatore ha in tal modo palesato una timidezza che può rivelarsi foriera di gravi ripercussioni: quella stessa condotta che può essere sanzionata dal Garante per violazione della normativa privacy, in sede processualpenalistica potrebbe essere posta a fondamento della prova della responsabilità penale, in tal guisa facendo venir meno la coerenza stessa dell'intero sistema giuridico.

Un esempio può chiarire tali considerazioni. Con Ordinanza ingiunzione - 2 febbraio 2019 [doc. web n. 9100784] il Garante ha condannato al pagamento della somma di euro 11.940,00 (undicimila novecento quaranta) il titolare di un esercizio commerciale in quanto in qualità di titolare del trattamento, ai sensi degli artt. 4, comma 1, lett. f), e 28 del Codice, la violazione prevista dall'art. 162, comma 2-ter, del Codice, per aver conservato immagini registrate dal proprio sistema di videosorveglianza per un tempo superiore a quello prescritto dal Garante al punto 3.4 del Provvedimento generale in materia di videosorveglianza. È stata dunque severamente sanzionata proprio una condotta la cui violazione è stata, invece, ritenuta irrilevante in sede processuale da Cass. pen. Sez. II, Sent., (ud. 12/07/2016) 13-10-2016, n. 43414.

In tal modo i giudici di legittimità attribuiscono dignità processuale ad un “documento” illegittimamente assunto, quanto meno in una branca del diritto.

Ma, per quanto sopra esposto, le immagini della videosorveglianza potrebbero essere anche derivate da un fatto-reato. In tal caso, il noto brocardo male captum bene retentum potrebbe ancora giustificare che un fatto costitutivo di reato venga assunto a prova della commissione di altro reato?