La crescente diffusione di condotte tali da essere riportate nell’ambito applicativo del delitto di illecito trattamento di dati personali, previsto dall’art.167, d. lgs. n.196/2003, rende utile ricordare i principali indirizzi interpretativi della giurisprudenza di legittimità riguardo a tale fattispecie.
Competenza per territorio
…Cassazione penale, Sez. 3^, sentenza n. 38511/2024, udienza del 18 settembre 2024.
La competenza territoriale per il delitto di illecito trattamento dei dati personali realizzato mediante “social network”, di cui all’art. 167 d.lgs. 30 giugno 2003, n. 196, ove non sia applicabile la regola generale dell’art. 8 cod. proc. pen. per l’impossibilità di individuare il luogo di caricamento dei dati e quello in cui essi sono diventati fruibili nel “web”, si determina in base ai criteri suppletivi, considerati, in via graduale, dall’art. 9 cod. proc. pen., attingendo, da ultimo, a quello residuale sancito dal comma 3, che attribuisce la competenza al giudice del luogo in cui ha sede l’ufficio del pubblico ministero che ha provveduto per primo a iscrivere la notizia di reato.
Elementi costitutivi del reato
…Cassazione penale, Sez. 5^, sentenza n. 37033/2023, udienza del 4 luglio 2023
Quanto all’elemento oggettivo della fattispecie incriminatrice (art. 167 d. lgs. n. 196/2003), occorre evidenziare che il rinvio ad altre fonti, contenuto nella norma, completa il precetto penale del reato in esame attraverso il meccanismo della “norma penale in bianco” e il ricorso ad atti sottordinati nella gerarchia delle fonti (nel caso in esame, con parere del 14 gennaio 2021 – richiesto dal Ministero della Giustizia – l’Autorità per la protezione dei dati personali ha precisato che gli iscritti alla massoneria serbano un diritto alla riservatezza sulla loro appartenenza alla detta associazione. Al momento dei fatti, dunque, non vi erano indicazioni in merito al diritto alla riservatezza quanto alla iscrizione alla massoneria).
Quanto all’elemento soggettivo del reato, la Suprema Corte ha chiarito che nel reato di trattamento illecito di dati personali il nocumento è costituito dal pregiudizio giuridicamente rilevante di qualsiasi natura, patrimoniale o non patrimoniale, subito dal soggetto cui si riferiscono i dati protetti oppure da terzi quale conseguenza dell’illecito trattamento. (Sez. 3, n. 52135 del 19/06/2018).
…Cassazione penale, Sez. 3^, sentenza n. 21191/2023, udienza del 4 aprile 2023
L’art. 167 del d. lgs. n. 196 del 2003 (Codice privacy) è stato modificato dal d.lgs. 10 agosto 2018, n. 101, recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”.
La nuova disposizione di cui all’art. 167 così prevede: “1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, operando in violazione di quanto disposto dagli articoli 123, 126 e 130 o dal provvedimento di cui all’articolo 129 arreca nocumento all’interessato, è punito con la reclusione da sei mesi a un anno e sei mesi. 2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, procedendo al trattamento dei dati personali di cui agli articoli 9 e 10 del Regolamento in violazione delle disposizioni di cui agli articoli 2-sexies e 2-octíes;, o delle misure di garanzia di cui all’articolo 2-septies ovvero operando in violazione delle misure adottate ai sensi dell’articolo 2-quinquiesdecies arreca nocumento all’interessato, è punito con la reclusione da uno a tre anni. 3. Salvo che il fatto costituisca più grave reato, la pena di cui al comma 2 si applica altresì a chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, procedendo al trasferimento dei dati personali verso un paese terzo o un’organizzazione internazionale al di fuori dei casi consentiti ai sensi degli articoli 45, 46 o 49 del Regolamento, arreca nocumento all’interessato“.
La previgente disposizione — per quanto qui rileva con riferimento al caso in esame — al primo comma stabiliva: “1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell’articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, 4 Corte di Cassazione – copia non ufficiale se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi”. E, sempre con riferimento al caso in scrutinio, l’art. 23 comma 1 disponeva che “il trattamento dei dati personali da parte di privati o di enti pubblici economici, è ammesso solo con il consenso espresso dell’interessato“.
A seguito della modifica, la disposizione di cui all’art. 167 comma 1 cit. non fa più riferimento al trattamento, introduce l’elemento del danno all’interessato, danno all’interessato che connota anche il dolo specifico.
Ciò posto, occorre ricordare che, come chiarito dalla giurisprudenza della Suprema Corte, nel reato di trattamento illecito di dati personali previsto dall’art. 167 in esame, il nocumento è costituito dal pregiudizio, anche di natura non patrimoniale, subito dalla persona cui si riferiscono i dati quale conseguenza dell’illecito trattamento (Sez. 3, n. 29549 del 07/02/2017).
Il requisito del nocumento è, tuttora, richiesto, con l’ulteriore specificazione, rispetto al passato, che lo stesso deve essere arrecato all’interessato e costituisce elemento costitutivo del reato, conclusione cui era pervenuta la più recente giurisprudenza di legittimità che aveva superato un risalente orientamento secondo cui il nocumento era condizione obiettiva di punibilità anche se tale giurisprudenza aveva chiarito che l’omogeneità del nocumento con l’interesse leso o concretamente messo in pericolo e la sua diretta derivazione causale dalla condotta tipica inducevano a qualificarlo non come elemento estraneo alla fattispecie criminosa, ma come elemento costitutivo della stessa. Riconosciutane, dunque, la natura di elemento costitutivo del reato, ad avviso della Suprema Corte, ai fini della punibilità non è sufficiente che il nocumento si ponga quale conseguenza non voluta, ancorché prevista o prevedibile della condotta, essendo necessario che esso sia previsto e voluto dall’agente come conseguenza della propria azione o quanto meno previsto ed accettato in tutte quelle ipotesi in cui non si identifichi con il fine dell’azione stessa in quanto finalizzata, ad esempio, a trarre profitto dall’illecito trattamento dei dati (Sez. 3, n. 40103 del 05/02/2015).
Rapporto con il reato di accesso abusivo ad un sistema informatico: le due fattispecie concorrono
…Cassazione penale, Sez. 5^, sentenza n. 1761/2022, udienza del 4 ottobre 2021
Come già affermato (Sez. 5, n. 11994 del 05/12/2016, dep. 2017), con argomentazioni condivisibili, tra il reato di cui all’art. 615-ter, cod. pen., che sanziona l’accesso abusivo ad un sistema informatico, e quello di cui all’art. 167, d. lgs. n. 167 del 2003, concernente l’illecito trattamento di dati personali, non sussiste alcun rapporto riconducibile all’ambito di operatività dell’art. 15 cod. pen., in quanto trattasi di fattispecie differenti per condotte finalistiche e attività materiali, tali da escludere la sussistenza di una relazione di omogeneità idonea a ricondurle “ad unum” ex art. 15 cod. pen.
Nella sentenza indicata, è stato rimarcato come – in disparte ogni considerazione sulla identità o meno dei beni giuridici tutelati dalle norme evocate – le diverse fattispecie si declinano in termini di non sovrapponibilità, in quanto «in un reato la condotta presa in considerazione dalla legge è quella di accesso e mantenimento abusivi in un sistema informatico, mentre nell’altro la condotta incriminata è quella del trattamento senza consenso dei dati personali, sicché si riscontra in ciascuna delle due ipotesi criminose una diversità di condotte finalistiche ed una diversità di attività materiali che non lascia sussistere tra esse quella relazione di omogeneità che le rende riconducibili “ad unum”», in tal modo affermandosi il concorso dei reati.
Del resto, concorso formale e concorso apparente di norme chiamano in gioco, sotto il profilo sostanziale, il rapporto tra fattispecie astratte di reato; e, al riguardo, unico criterio valido di selezione (Sez. U, n. 1963 del 28/10/2010, dep. 2011, Di Lorenzo; Sez. U, n. 20664 del 23/02/2017, Stalla; Sez. U, n. 41588 del 22/06/2017, La Marca; Sez. 5, n. 47683 del 04/10/2016) è quello del confronto strutturale tra le fattispecie in base al principio di specialità, e non già il ricorso ad altri canoni, quali il bene giuridico protetto o la progressione criminosa.
Applicazione casistica: creazione di un falso profilo utilizzato su una piattaforma social
…Cassazione penale, Sez. 5^, sentenza n. 12062/2021, udienza del 5 febbraio 2021
Il reato di illecito trattamento dei dati personali, di cui all’art. 167 del d.lgs. 30 giugno 2003, n. 196 è integrato dall’ostensione di dati personali del loro titolare ai frequentatori di un social network attraverso l’inserimento degli stessi, previa creazione di un falso profilo, sul relativo sito (Sez. 3, n. 42565 del 28/05/2019), posto che il nocumento che ne deriva al titolare medesimo s’identifica in un qualsiasi pregiudizio giuridicamente rilevante di natura patrimoniale o non patrimoniale subito dal soggetto cui si riferiscono i dati protetti oppure da terzi quale conseguenza dell’illecito trattamento (Sez. 3, n. 52135 del 19/06/2018). Donde, i rilievi mossi dal ricorrente in punto di integrazione del detto delitto sono tutti destituiti di fondamento, anche quelli relativi all’essere l’immagine della persona offesa di dominio pubblico: il profilo ‘Facebook’ della persona offesa, in cui l’immagine stessa era postata, non può, infatti, qualificarsi come un luogo virtuale pubblico, in quanto protetto da particolari misure atte a non consentirne l’accesso se non a persone previamente selezionate dal titolare del profilo stesso (Sez. 5, n. 2905 del 02/10/2018 – dep. 22/01/2019; Sez. 3, n. 1647 del 27/09/2018 – dep. 15/01/2019).
Abolitio criminis parziale o continuità normativa dopo le modifiche apportate all’art. 167 dall’art. 15, d. lgs. n. 101/2018?
…Cassazione penale, Sez.1^, sentenza n. 3269/2020, udienza del 3 ottobre 2019
Il giudice dell’esecuzione – riguardo alla prospettazione secondo cui l’art. 167 d.lgs. n. 196 del 2003, in tempo successivo all’emissione della sentenza accertativa di esso, è stato integralmente sostituito dall’art. 15 d.lgs. n. 101 del 2018, essendone risultata, di conseguenza, la fattispecie incriminatrice originariamente prevista nell’ultima parte del comma 1 dell’art. 167 cit., abrogata – ha ritenuto al contrario che sussiste continuità normativa tra l’originaria fattispecie di cui all’art. 167 d.lgs. n. 196 del 2003 e quella di cui all’art. 167-bis dello stesso d.lgs., disposizione introdotta dal novum suindicato, in tal senso affermando che la comunicazione e la diffusione dei dati personali sensibili senza il consenso dell’interessato, assistita dal dolo specifico di trarre profitto o arrecare un danno, con nocumento per la persona offesa, resta oggetto di sanzione penale.
Tale rilievo ha indotto il giudice dell’esecuzione a concludere che non si versa in un caso di abolitio criminis parziale.
Il ragionamento si fonda su un’indicazione non assistita da adeguata spiegazione dimostrativa nel provvedimento impugnato, ossia che la condotta già sussunta sotto il modello incriminatore costituito dall’originario art. 167 d.lgs. n. 196 del 2003, si trovi ora ricompresa nell’ambito della sfera sanzionata dall’art. 167-bis d.lgs. cit., come introdotta dalla riscrittura operata dal successivo d.lgs. n. 101 del 2018.
Invero, si osserva che emerge, in relazione alla questione così enucleata, il profilo di seria criticità logica lì dove il giudice di esecuzione ha predicato, in modo non supportato da argomentazioni radicate nell’analisi richiamata, l’evenienza di una incondizionata continuità normativa fra l’originario art. 167, nella parte applicata dalla sentenza irrevocabile, e il nuovo 167-bis d.lgs. n. 196 del 2003, trascurando che le due fattispecie regolano, per un certo ambito, situazioni nettamente diverse.
In specie, il Tribunale non ha speso adeguate considerazioni per rendere chiaro quale parte della nuova disposizione incriminatrice perpetui la configurazione della penale rilevanza dell’originario art. 167, al fine di far emergere in concreto la continuità normativa, rispetto a quel fatto, fra le due indicate disposizioni, tenuto anche conto che l’art. 167-bis cit. riguarda fenomeni illeciti inerenti al trattamento dei dati su larga scala.
Posta la rubrica della nuova disposizione (riferita alla comunicazione e diffusione illecite di dati personali oggetto di trattamento su larga scala), il comma 1 dell’art. 167-bis individua, infatti, la condotta illecita sanzionata nella comunicazione o diffusione (sempre con il fine di conseguire o far conseguire profitto o di arrecare danno), in violazione di determinati parametri normativi, di un archivio automatizzato o di una parte di esso contenente dati trattati su larga scala. Il secondo comma replica la fattispecie quando la comunicazione o diffusione dei medesimi dati, ossia quelli oggetto di trattamento su larga scala, avvengano senza il consenso di chi ha titolo per darlo.
Tali connotazioni non risultano nel reato ritenuto dalla sentenza irrevocabile con riferimento all’art. 167, primo comma, ultima parte, d.lgs. n. 196 del 2003, al tempo vigente.
Pertanto, l’assunto del giudice dell’esecuzione è contraddittorio o comunque carente al fine di sorreggere la suddetta asserzione di continuità normativa.
È anche corretto il conseguente rilievo che – essendosi concentrato sulla, non adeguatamente giustificata, continuità normativa fra le due disposizioni – il giudice dell’esecuzione non ha operato alcuna esauriente verifica della possibilità che la fattispecie in disamina rientri nell’ambito delle condotte, già incriminate dall’art. 167 ante d. lgs. n. 101 del 2018, nella nuova formulazione dell’art. 167 d.lgs. n. 196 del 2003, verifica da compiersi mediante l’analisi degli elementi costitutivi della precedente e della nuova formulazione della norma, in relazione al fatto concretamente attributo al ricorrente in sede di cognizione.
L’attuale testo dell’art. 167 d.lgs. n. 196 del 2003, invero, nei primi due commi, ha configurato altrettante ipotesi di trattamento illecito di dati personali, i cui elementi di intersezione con le corrispondenti ipotesi previste dalla disposizione prima della sostituzione in virtù dell’art. 15 d.lgs. n. d.lgs. n. 101 del 2018, esigono specifica verifica, da svolgersi – in relazione alla concreta fattispecie accertata e sanzionata con la sentenza emessa durante la vigenza della disposizione sostituita, ma – sulla scorta della comparazione strutturale tra le fattispecie.
Su entrambi i fronti ermeneutici indicati, quindi, il giudice dell’esecuzione avrebbe dovuto stabilire se, per il fatto accertato in sede di cognizione, la sostituzione normativa succitata abbia determinato o meno l’invocata abolitio criminis, con la specificazione di principio in base a cui la delibazione del giudice dell’esecuzione deve riguardare il confronto strutturale tra le fattispecie legali astratte che si succedono nel tempo, senza la necessità di ricercare conferme della eventuale continuità tra le stesse facendo ricorso ai criteri valutativi dei beni tutelati e delle modalità di offesa, in quanto detto confronto permette in maniera autonoma di verificare se l’intervento legislativo posteriore assuma carattere demolitorio di un elemento costitutivo del fatto tipico, alterando così radicalmente la figura di reato, ovvero, non incidendo sulla struttura della stessa, consenta la sopravvivenza di un eventuale spazio comune alle suddette fattispecie (Sez. U, n. 24468 del 26/02/2009, Rizzoli; Sez. 1, n. 36079 del 10/05/2016).
Quanto agli effetti, poi, si tiene per fermo il concetto che, in ipotesi di sussistenza dell’abolitio del reato per il quale è intervenuta condanna, il giudice dell’esecuzione non può modificare l’originaria qualificazione o accertare il fatto in modo difforme da quello ritenuto in sentenza, né sussumere la condotta del condannato sotto una diversa fattispecie, se la riconducibilità della condotta a detta fattispecie non ha mai formato oggetto di accertamento e di formale contestazione nel giudizio di cognizione (Sez. 1, n. 4461 del 19/01/2015).
…Cassazione penale, Sez. 3, sentenza n. 3702/2022, udienza del 24 novembre 2021
L’attuale formulazione del secondo comma dell’art. 167 del Codice si pone in continuità normativa con il testo precedente del medesimo secondo comma, continuando a incriminare le condotte di trattamento dei dati personali di cui agli articoli 9 e 10 del Regolamento, in violazione delle disposizioni di cui agli articoli 2 sexies e 2 octies, o delle misure di garanzia di cui all’articolo 2 septies, che provochino nocumento all’interessato, in quanto, per quanto in questa sede rileva in relazione alle contestazioni formulate nei confronti dell’imputato, l’art. 10 del Regolamento UE 2016/696 riguarda espressamente il trattamento dei dati personali relativi a condanne penali e reati, prevedendo che “il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza sulla base dell’articolo 6, paragrafo 1, deve avvenire soltanto sotto il controllo dell’autorità pubblica o se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati. Un eventuale registro completo delle condanne penali deve essere tenuto soltanto sotto il controllo dell’autorità pubblica“. Il tenore della disposizione del regolamento, alla quale quella interna rinvia, conferma la continuità con la previsione precedente della medesima disposizione, continuando a essere incriminato il trattamento dei dati personali relativi a condanne o a reati, come avveniva precedentemente, non essendo escluso neppure in precedenza il trattamento dei dati contenuti in provvedimenti definitivi e non essendo mutati né l’elemento soggettivo (sempre costituito dal fine di profitto o di danno), né l’evento di danno, in quanto, con riferimento alla precedente disposizione, la giurisprudenza della Suprema Corte aveva chiarito che l’art. 167 d.lgs. 196/2003 aveva tipizzato, quale elemento costitutivo del reato, il nocumento, da intendersi come un pregiudizio giuridicamente rilevante di qualsiasi natura, patrimoniale e non, cagionato sia alla persona alla quale i dati illecitamente trattati si riferiscono sia a terzi quale conseguenza della condotta illecita (Sez. 3, n. 15221 del 23/11/2016, dep. 2017; Sez. 3, n. 52135 del 19/06/2018).
La previsione delle condizioni alle quali, ai sensi degli artt. 2 sexies e 2 octies del Codice, è consentito il trattamento dei dati personali, e cioè per motivi di interesse pubblico rilevante (art. 2 sexies, secondo cui “I trattamenti delle categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, del Regolamento, necessari per motivi di interesse pubblico rilevante ai sensi del paragrafo 2, lettera g), del medesimo articolo, sono ammessi qualora siano previsti dal diritto dell’Unione europea ovvero, nell’ordinamento interno, da disposizioni di legge o, nei casi previsti dalla legge, di regolamento che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato“), o se previsto da disposizioni di legge o di regolamento o per le specifiche finalità previste dall’art. 2 octies, e delle misure di garanzia previste per il trattamento lecito dall’art. 2 septies del Codice, non ha determinato alcun mutamento nella struttura del reato, né, tantomeno, nella condotta incriminata, che continua a consistere nel trattamento indebito di dati giudiziari (nella specie costituiti da una sentenza penale di condanna), al di fuori delle condizioni previste per la liceità di tale trattamento, a fine di danno e da cui derivi un nocumento per il titolari dei dati oggetto del trattamento (nella specie costituito dalla diffusione).
Quanto alle condotte di cui all’art. 167, comma 1, del Codice, contestate al capo 2, e cioè la diffusione, nelle medesime forme e nei confronti dei medesimi soggetti, di dati concernenti provvedimenti amministrativi che hanno riguardato la parte civile, queste, sulla base del precedente testo della disposizione, dovevano, come evidenziato, considerarsi penalmente rilevanti.
Il nuovo testo del primo comma della norma ha limitato l’ambito della illiceità penale, attraverso il riferimento alle sole condotte poste in essere in violazione di quanto disposto dagli articoli 123, 126 e 130 o del provvedimento di cui all’articolo 129 del Codice, dunque alle sole condotte realizzate nel trattamento dei dati personali connesso alla fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazioni, comprese quelle che supportano i dispositivi di raccolta dei dati e di identificazione.
La divulgazione di dati personali relativi a sentenze penali, quali l’ordine di demolizione delle opere di cui è stata accertata in sede penale la abusività e il rigetto della relativa istanza di condono, rientra, però, nell’ambito di illiceità penale del secondo comma dell’art. 167 del codice della privacy, in quanto compiuta in violazione dell’art. 10 del regolamento comunitario, trattandosi di dati relativi a reati.
TERZULTIMA FERMATA 