GDPR e diritto di difesa

La dottrina più autorevole (Lupo) tende ad esclude che la “parità delle parti” che la Corte europea dei diritti dell'uomo ha, da tempo, desunto dalla nozione di “processo equo” (art.6 della Cedu) possa esplicarsi a partire delle indagini preliminari in quanto condizioni paritarie tra p.m. ed indagato durante le indagini preliminari debbono essere escluse per ragioni di efficacia di dette indagini. Eppure, proprio partendo dalla constatazione che “la posizione del p.m. nel corso delle indagini preliminari non solo non è paritaria con quella dell'indagato (come è naturale che sia), ma, rispetto a quest'ultimo, è caratterizzata da uno squilibrio eccessivo a proprio favore” vengono auspicati interventi diretti a ridurre tale squilibrio. Interessanti indicazioni in tal senso sono venute assai recentemente dal Garante per la protezione dei dati personali, valorizzando uno dei diritti espressamente riconosciuti all'“interessato”, il cd. diritto di accesso. Accanto a questa linea evolutiva assai interessante del Garante, i giudici di legittimità in riferimento all'attività svolta dall'investigatore privato hanno affermato che la produzione in un giudizio civile di documenti contenenti dati personali, ancorché effettuata al di fuori dei limiti del corretto esercizio del diritto di difesa, non integra il nocumento all'interessato che permette di configurare il reato di cui all'art. 167 d.lgs. 30 giugno 2003, n. 196.

L'art. 15 del Reg. (UE) 2016/679 – concernente il diritto dell'interessato ad ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l'accesso ai dati e alle informazioni riguardanti, tra l'altro, le finalità del trattamento, le categorie di dati in questione, i destinatari o le categorie di destinatari a cui i dati sono stati o saranno comunicati, il periodo di conservazione dei dati previsto, l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati o la limitazione del trattamento dei dati che lo riguardano o di opporsi al loro trattamento, il diritto di proporre reclamo a un'autorità di controllo, qualora i dati non siano raccolti presso l'interessato, tutte le informazioni disponibili sulla loro origine – si sta rivelando un prezioso strumento per l'esplicazione del diritto di difesa nel procedimento penale, contribuendo a ridurre gli squilibri tra p.m. e difesa sopra rilevate.

In particolare, il concetto di “parità delle parti” nel processo penale pare emergere invece con forza da un provvedimento del Garante della Protezione dei dati personali dove si è affermato, con motivazioni giuridicamente ineccepibili, che il difensore che intenda utilizzare in sede giudiziaria i tabulati del proprio cliente per sostenere la propria linea difensiva vanta il diritto di ottenerli dal gestore del suo traffico telefonico, senza che l'ente possa addurre giustificazioni pretestuose a fronte dell'esplicarsi del “diritto di accesso” affermato dal GDPR a favore dell'”interessato”. Il diritto di accesso dell'interessato era già stato affermato dal Garante nei confronti di una società che aveva svolto la funzione di Consulente Tecnico di Parte su mandato ricevuto dal difensore fiduciario e procuratore speciale di una S.p.A. e così veniva incaricata delle operazioni di trattamento dei dati indispensabili per lo svolgimento di una consulenza connessa alle indagini difensive anche preventive nell'interesse della medesima S.p.A.

La necessità di consentire un esercizio effettivo dei diritti riconosciuti in capo agli interessati è stata affermata una prima volta dal Garante in sede di decisione di un reclamo − collegato ad un diverso procedimento relativo al trattamento di dati in ambito lavorativo – avente ad oggetto l'esercizio del diritto di accesso e alla cancellazione di dati riferiti alla reclamante raccolti, esaminando il pc di un soggetto terzo, da una società designata consulente tecnico di parte nell'ambito di un procedimento giudiziario rispetto al quale la reclamante era estranea.

È emerso che la società non ha dato riscontro, se non meramente formale e ingenerando l'aspettativa da parte dell'interessato di una imminente risposta, all'istanza di accesso e di successiva cancellazione dei dati personali presentata in data 19 marzo 2019 dalla reclamante, in ragione della “mancata comprensione tra [la società] e lo studio legale [che rappresenta il committente]”, della mancanza di specifiche istruzioni impartite da parte della committente nonché per non pregiudicare l'esercizio del diritto di difesa della committente stessa.

In tale occasione il Garante, nel precisare che le regole deontologiche relative a trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria (che hanno sostituito il preesistente codice di deontologia) trovano applicazione anche nei confronti di chiunque effettui tali trattamenti − in particolare nei confronti di liberi professionisti o soggetti che in conformità alla legge prestino, su mandato, attività di assistenza o consulenza per le medesime attività −, ha rammentato che le linee guida in materia di trattamento di dati personali da parte di consulenti tecnici e dei periti ausiliari del giudice e del pubblico ministero (adottate dall'Autorità il 26 giugno 2008 e pubblicate in G.U. 31 luglio 2008, n. 178) contengono anche specifiche indicazioni per i trattamenti di dati effettuati da soggetti nominati consulenti tecnici dalle parti private con riferimento a procedimenti giudiziari.

Nel caso di specie l'Autorità ha rinvenuto nella condotta tenuta dalla società che non ha fornito un tempestivo ed effettivo riscontro all'interessata relativamente alle istanze di esercizio dei diritti di accesso e alla cancellazione dei dati una violazione dell'art. 12, parr. 3 e 4, del GDPR con riferimento agli artt. 15 e 17 del GDPR; per tale ragione, ha ammonito la stessa sulla necessita di fornire riscontro tempestivamente alle istanze relative all'esercizio dei diritti, anche nel caso in cui ritenga di non ottemperare alle richieste (provv. 29 ottobre 2020, n. 203, doc. web n. 9487946).

Con Provvedimento del 27 maggio 2021 [9689324], Registro dei provvedimenti n. 216 del 27 maggio 2021 il Garante ha ingiunto a Tim S.p.A. di adottare le misure necessarie a soddisfare la richiesta dell'interessato, comunicando al suo difensore “senza ingiustificato ritardo” – e comunque non oltre il termine perentorio di 7 giorni dalla data di ricevimento del presente provvedimento – copia dei tabulati relativi ai 24 mesi precedenti alla detta data di ricezione, fino al 19-12-19 (data della cessazione dell'utenza in capo al segnalante), salva diversa volontà del medesimo difensore.

L'Autorità, riprendendo quanto già statuito anche con il recente provvedimento 14 maggio 2020, n. 85 (doc. web n. 9442587) adottato nei confronti della stessa Società riguardo ad un analogo reclamo, ha rilevato come risulta in atti che non vi sia stato un fattivo riscontro a ripetute e specifiche richieste di accesso a dati di traffico, relative a periodi sufficientemente circoscritti.

Come già chiarito con il citato provvedimento, in base all'attuale quadro giuridico di riferimento in materia di conservazione dei dati di traffico telefonico, tali dati «sono conservati dal fornitore per ventiquattro mesi dalla data della comunicazione, per finalità di accertamento e repressione dei reati» (v. art. 132, comma 1, Codice Privacy) e, entro il medesimo termine, «…il difensore dell'imputato o della persona sottoposta alle indagini può richiedere, direttamente al fornitore i dati relativi alle utenze intestate al proprio assistito con le modalità indicate dall'art. 391-quater c.p.p.» (132, comma 3, Codice Privacy).

Gli elementi complessivamente acquisiti – anche in base a quanto dichiarato e documentato dalle parti, ai sensi dell'art. 168 del Codice – hanno consentito di ritenere fondata la legittimità delle richieste del segnalante, in ragione del rinvio a giudizio nell'ambito di procedimento penale e della connessa esigenza di svolgere indagini difensive. È stata ravvisata altresì la tempestività della stessa, effettuata la prima volta già il 26-10-2020 e quindi tale da poter ricomprendere i tabulati fino al 26-10-2018; dati, quindi, che Tim al tempo conservava ed avrebbe dovuto ostendere al segnalante, anche perché la richiesta risultava pertinente rispetto al titolo di reato contestato (XX) e poiché il documento d'identità allegato alla stessa – come verificato dall'Ufficio – risultava leggibile.

Inoltre, ad avviso del Garante – ed è questo il “passaggio” più interessante del provvedimento – Tim avrebbe potuto e dovuto dare riscontro positivo alle istanze di accesso rivolte successivamente dal legale, non potendo la compagnia telefonica sindacare il contenuto della strategia difensiva né la necessità e l'utilità dei periodi di traffico richiesti dal difensore e dovendosi limitare alla formale verifica dei termini previsti dall'art. 132 Codice Privacy. In tale ottica, considerato che le indagini possono ragionevolmente riguardare anche condotte ed interazioni connesse a quelle oggetto del procedimento penale pendente, può ben ritenersi che le istanze di accesso possano riguardare anche tabulati diversi da quelli individuati dall'autorità giudiziaria nella contestazione formulata. Non a caso, lo stesso modulo predisposto da Tim per siffatte richieste – come ha osservato il legale del segnalante – invitava l'istante a crociare una delle finalità ivi previste (fra cui quella di accesso ai sensi dell'art. 132 Codice Privacy) e, correttamente, non richiedeva invece di inserire una motivazione specifica a supporto della richiesta di determinati tabulati.

Peraltro, ha l'Autorità chiarito che – differentemente da quanto prospettato da Tim – al fine di non pregiudicare il diritto di difesa, non può rilevare il difetto d'intestazione dell'utenza al momento della domanda di accesso ai tabulati, contando invece la titolarità del numero telefonico durante l'intervallo temporale oggetto della richiesta d'accesso.

Con particolare riguardo alle chiamate in entrata, nel richiamare il provvedimento generale del Garante 3 novembre 2005, "Accesso ai dati telefonici: garanzie per le chiamate in entrata" (doc. web n. 1189488), l'Ufficio del Garante ha ribadito che «le indicazioni, principi, misure e garanzie ivi indicati possono ritenersi valide anche dopo la piena operatività del Regolamento, che, come noto, ha riservato a una distinta prossima fonte regolatoria la disciplina delle comunicazioni elettroniche, ancora riferibile pertanto alla direttiva 2002/58/CE, come recepita dal titolo X del Codice e dunque dal menzionato art. 132 Codice Privacy, non abrogato infatti dal detto Regolamento» (v., in questi stessi termini, il provv. 14 maggio 2020, cit.).

In base a quanto indicato nel citato provvedimento generale, «In via di eccezione …. le richieste di esercizio dei diritti possono essere presentate, ed evase positivamente, quando comprovano che la risposta ad esse da parte del fornitore è necessaria per evitare un pregiudizio effettivo e concreto per lo svolgimento delle investigazioni difensive», pur avendo ad oggetto il traffico telefonico in entrata.

Il Garante ha ritenuto opportuno ricordare anche che l'accesso a siffatti tabulati – non includendo il contenuto delle comunicazioni – comporta un'ingerenza ‘limitata' a dati ‘esterni' (quali utenze chiamanti o anche data e ora del contatto). Inoltre, deve ritenersi chiaro che la compagnia telefonica non può decidere sulla ravvisabilità in concreto di un pericolo effettivo per il diritto alla difesa, intendendosi la valutazione, in tali casi, riservata al legale.

Sicché, nella fattispecie concreta, per quanto documentato in atti, sono risultati ravvisabili un collegamento stretto fra dati di traffico richiesti ed ipotesi di reato (XX) formulate dall'autorità giudiziaria, nonché la necessità dei dati richiesti, inclusi quelli in entrata, per lo svolgimento delle investigazioni difensive volte a tutelare il fondamentale diritto di difesa del segnalante nelle more del pendente giudizio penale.

In base a quanto sopra considerato, l'Ufficio con la menzionata comunicazione del 7 maggio 2021 ha provveduto a contestare alla Società la possibile violazione dell'art. 15 del Regolamento e dell'art. 132 Codice Privacy, ai fini dell'eventuale adozione di provvedimenti correttivi e sanzionatori.

Come già detto sopra, la presente fattispecie è risultata connotata da profili di stretta analogia con il caso oggetto del provvedimento 14 maggio u.s., che è stato impugnato presso l'autorità giudiziaria da Tim, anche sulla base dell'asserita esigenza di ricevere un ordine puntuale da parte dell'Autorità di estrarre i tabulati dal data base riservato alle Autorità giudiziarie per le finalità di antiterrorismo, non disponendo di altra possibile copia, per poter soddisfare l'istanza del reclamante. Orbene, il Tribunale di Milano, con sentenza n. 2939 del 9 aprile 2021, ha rigettato integralmente il ricorso proposto da Tim, in particolare confermando la legittimità dell'impostazione giuridica fornita dall'Autorità.

In sede di definizione della presente doglianza, il Garante ha evidenziato che nel caso in esame (come nel citato precedente), Tim – che non ha dato fattivo riscontro alle istanze di esercizio del diritto di accesso ai tabulati tempestivamente formulate dal segnalante e dal suo legale per investigazioni difensive nell'ambito di un procedimento penale – ha affermato di non aver conservato i tabulati, essendo trascorsi i 24 mesi (previsti dal comma 1, dell'art. 132, Codice Privacy) e di detenerli quindi, esclusivamente, per le esigenze di accertamento e prevenzione dei particolari reati di cui alla legge n. 167/2017, secondo la maggiore durata (72 mesi) ivi disposta.

Al riguardo, ad avviso dell'Autorità, la finalità prevista dalla citata disposizione del Codice è oltremodo specifica e quindi anche la portata applicativa della medesima deve essere ricondotta nei più ristretti alvei interpretativi, al fine di assicurare peraltro il rispetto dei principi di limitazione della finalità e di limitazione della conservazione previsti dall'art. 5, par.1, lett. b) ed e) del Regolamento generale UE, salva restando, chiaramente, l'eventuale volontà del giudicante di procedere all'acquisizione dei dati in questione ai fini del corretto decidere nella causa che coinvolge il segnalante. Per la valorizzazione dei principi di finalità e proporzionalità, tanto più con riguardo alla conservazione e all'accesso dei tabulati, si deve tener conto anche del vincolante orientamento della Corte di Giustizia, Grande Sezione, sent. 2 marzo 2021, causa C-746/18.

Secondo tale pronuncia, l'obiettivo della prevenzione, della ricerca, dell'accertamento e del perseguimento dei reati è ammesso, conformemente al principio di proporzionalità, soltanto per la lotta contro “le forme gravi di criminalità e la prevenzione di gravi minacce alla sicurezza pubblica”, le quali solamente sono idonee a giustificare ingerenze gravi nei diritti fondamentali sanciti dagli artt. 7 e 8 della Carta dei diritti fondamentali dell'Unione Europea, come quelle che comporta la conservazione dei dati relativi al traffico e all'ubicazione. Come osserva il giudice europeo, infatti, l'accesso a un insieme di dati relativi al traffico o all'ubicazione “può effettivamente consentire di trarre conclusioni precise, o addirittura molto precise, sulla vita privata delle persone i cui dati sono stati conservati, come le abitudini della vita quotidiana, i luoghi di soggiorno permanenti o temporanei, gli spostamenti giornalieri o di altro tipo, le attività esercitate, le relazioni sociali di tali persone e gli ambienti sociali da esse frequentati”).

Coerentemente con l'ottica sopra delineata, l'Autorità – nella fattispecie, essendo scaduti i termini previsti dal Codice per finalità contrattuali o di contenzioso civile (art. 123 Codice Privacy) oppure per le finalità difensive dell'imputato (art. 132 Codice Privacy) – ha ritenuto di non poter ordinare alla Società di estrarre copia dei dati in questione dal data base riservato all'A.G. (analogamente si è espresso, relativamente ad un'istanza d'accesso non gestita tempestivamente da un'altra compagnia telefonica, il provv. 8 febbraio 2018, doc. web n. 8256070: «con specifico riferimento ai dati personali riguardanti il traffico telefonico effettuato dalla ricorrente…., tali dati, essendo confluiti nel database detenuto dalla società ai sensi dell´art. 132 Codice Privacy, risultano ora accessibili esclusivamente per le finalità connesse all´accertamento e repressione dei reati, essendo preclusa la loro accessibilità a fini di fatturazione per l´abbonato…; pertanto, il tempo decorso dalle richieste originarie, in assenza di riscontro adeguato da parte del titolare del trattamento, si è tradotto, di fatto, in un´ingiustificata compressione dei diritti dell´interessata»). Ha ritenuto invece il Garante di poter ingiungere alla medesima Società di trasmettere al difensore del segnalante – “senza ingiustificato ritardo” e comunque, date le peculiari circostanze, non oltre il termine perentorio di 7 giorni dalla data di ricevimento del provvedimento (v. art. 12, par.3, Regolamento) – copia dei tabulati relativi ai 24 mesi precedenti alla detta data di ricezione, fino al 19-12-19 (data della cessazione dell'utenza in capo al segnalante). Si tratta infatti di un intervallo temporale parzialmente coincidente con quello oggetto dell'ultima richiesta effettuata (l'8-01-2021) e quindi di presumibile persistente interesse per la strategia investigativa del detto difensore, a meno che questi – nel medesimo suindicato termine – non vi rinunci o presenti richieste ad oggetto più ristretto.

Al contempo, chiarisce il provvedimento anche che – se desta evidenti criticità l'attuazione del diritto di accesso ai tabulati decorsi i termini di conservazione previsti dalla legge – è invece indiscutibile, contrariamente a quanto complessivamente prospettato dalla difesa di Tim, la violazione dell'obbligo di dare un riscontro effettivo alle istanze ricevute.

La Cassazione penale con sentenza 20 gennaio 2022, n. 2243 viene a precisare la nozione di “nocumento” rilevante ex art. 167 Codice Privacy, escludendo che possa configurarsi in caso di produzione di documenti in un giudizio civile, e, allo stesso tempo, conferma la via della depenalizzazione intrapresa con il d.lgs. n. 101/2018.

La massima della sentenza può essere così sintetizzata:la produzione in un giudizio civile di documenti contenenti dati personali, ancorché effettuata al di fuori dei limiti del corretto esercizio del diritto di difesa, non integra il nocumento all'interessato che permette di configurare il reato di cui all'art. 167 d.lgs. 30 giugno 2003, n. 196, in assenza di elementi fattuali oggettivamente indicativi di una effettiva lesione dell'interesse protetto, trattandosi di informazioni la cui cognizione è normalmente riservata ai soli soggetti professionalmente coinvolti nella vicenda processuale sui quali incombe un obbligo di riservatezza. La sottofattispecie di reato di cui all'art. 166, comma 1, relativa alla violazione degli artt. 23 e 24, precedente alle modifiche introdotte dal d.lgs. n. 101/2018, non è più prevista dalla legge come reato.

Il ricorrente rispondeva del reato di cui all'art. 110 c.p., art. 167, comma 1 d.lgs. n. 196/2003, perché, quale responsabile di una agenzia investigativa, in concorso con il committente, aveva effettuato la raccolta e la conservazione dei dati relativi alla moglie di questi senza il consenso della donna e al di fuori dei casi previsti dall'art. 23, art. 24, lett. f), stesso decreto, nonché oltre i termini stabiliti dal mandato.

In particolare, ad insaputa della donna, le aveva scattato fotografie e aveva installato un localizzatore satellitare GPS sulla sua autovettura per il periodo che va dal 20/03/2012 al 02/04/2012, rilevando illecitamente i dati relativi a tutti gli spostamenti della stessa in eccedenza rispetto all'esigenza di consentire al marito committente di tutelare i propri diritti nella causa di separazione; inoltre l'agenzia aveva divulgato tali dati fornendo al committente una copia di tutti i tabulati degli spostamenti e, benché il mandato scadesse il 30/03/2012, le operazioni di rilevazione satellitare ed i pedinamenti erano proseguiti perlomeno fino al 07/04/2012.

La donna, costituitasi parte civile, aveva denunciato il marito che, nel corso della causa civile di separazione, aveva depositato, tramite i difensori, una memoria ex art. 183 c.p.c., alla quale era stato allegato un report confidenziale redatto dall'agenzia investigativa in cui venivano rappresentati i suoi spostamenti quotidiani corredati da varie fotografie.

A seguito delle indagini preliminari era emerso che l'agenzia svolgeva attività autorizzata di investigazioni private avvalendosi a tal fine di una sede secondaria la cui apertura, però, non era stata comunicata. In occasione dell'accesso alla predetta sede secondaria, gli operanti avevano sorpreso un dipendente, amministratore di sistema con autorizzazione a trattare i dati personali dei clienti, che stava tentando di distruggere degli atti attraverso un trita-documenti: si trattava dei fogli relativi all'investigazione commissionata dal marito riguardanti la tracciatura del dispositivo GPS per il periodo dal 20/03/2012 al 02/04/2012. Erano state altresì acquisite le copie del libro giornale attestanti la ricezione dell'incarico di controllare la figlia e l'ex compagna per il periodo dal 20/03/2012 al 03/04/2012. Nello specifico, il marito aveva incaricato l'agenzia investigativa di localizzare la moglie per un periodo di dieci giorni (dal 20/03/2012 al 03/04/2012) per non più di tre ore al giorno, al fine di rilevare un eventuale comportamento non idoneo nei confronti della figlia minore della coppia. All'esito dell'attività investigativa privata erano state acquisite informazioni sulla vita personale e sentimentale della donna, in particolare circa la frequentazione di un nuovo compagno.

Il Tribunale aveva affermato l'illiceità dell'attività investigativa ascritta all'imputato per eccesso del mandato sia perché la donna era stata pedinata e fotografata anche quando non si trovava in compagnia della figlia, sia perché l'attività era stata posta in essere anche in epoca successiva al periodo richiesto dal cliente, al quale però l'agenzia aveva trasmesso il report contenente i dati da lui richiesti salvo trattenere quelli eccedenti il mandato che il dipendente stava distruggendo all'atto dell'accesso della polizia giudiziaria presso la sede secondaria.

La Corte di appello successivamente adita ha poi precisato che la documentazione che costui era intento a distruggere era costituita da 64 fogli, i primi 16 dei quali erano custoditi in una cartelletta denominata "eccedenti" e contenevano i dati relativi alla data del 02/04/2012, i fogli da 17 a 51 si riferivano al periodo dal 24/03/2012 al 02/04/2012, gli altri 13 contenevano informazioni relative alla moglie del committente ed al suo nuovo compagno. Era stata altresì rinvenuta una relazione relativa ad un servizio di pedinamento della donna anche dopo che aveva lasciato la figlia minore in custodia al padre.

Nel disattendere i rilievi difensivi circa l'insussistenza del fatto, la Corte di appello ha ribadito che il materiale rinvenuto presso la sede secondaria (non autorizzata) dell'agenzia di investigazioni documentava senza alcun'ombra di dubbio la violazione del mandato sotto il duplice profilo dell'oggetto e dei limiti temporali. Tale documentazione, annotava la Corte di appello, era allegata alla memoria difensiva depositata in tribunale dai difensori del marito-committtente.

Quanto al nocumento arrecato alla donna, i Giudice distrettuali hanno affermato che le informazioni sulla relazione di costei con un nuovo compagno sono state utilizzate dall'ex marito nella causa civile di separazione: "tali informazioni – sostiene la Corte di appello – avrebbero sicuramente contribuito ad un trattamento più sfavorevole, in sede civile, nei confronti della V.". Tale nocumento era ben presente nella mente dell'imputato, il titolare dell'agenzia investigativa, il quale sapeva l'uso che del dossier illegalmente formato avrebbe fatto il committente.

Tra i motivi di ricorso articolati innanzi ai giudici di legittimità rilevano in questa sede:

• con il secondo ed il terzo motivo veniva dedotta la prescrizione del reato maturata prima della sentenza impugnata che, nell'affermare il contrario, avrebbe violato l'art. 159 c.p., artt. 79 e 484 c.p.p., art. 83 d.l. n. 80/2020;
• con il quarto motivo veniva dedotta l'omessa valutazione di una prova decisiva ed, in particolare, della testimonianza di S.G. il quale aveva dichiarato di essere il responsabile del trattamento dei dati ai sensi della normativa sulla tutela della riservatezza;
• con il quinto motivo veniva dedotta l'inesistenza del nocumento della persona offesa, con conseguente insussistenza del delitto di cui all'art. 167, comma 1 d.lgs. n. 196/2003, reato di pericolo concreto, non di pericolo presunto.

La Suprema Corte, ha in primo luogo, dichiarato l'estinzione del reato per prescrizione, ma ha ritenuto, poi, necessario verificare, anche alla luce della decisione sulle statuizioni civili, l'eventuale sussistenza di cause di proscioglimento nel merito più favorevoli all'imputato.

È stato, dapprima, precisato che il reato di cui all'art. 167, comma 1 d.lgs. n. 196/2003, non è proprio del titolare e responsabile del trattamento dei dati, me è reato comune che può essere commesso da "chiunque". Nel caso di specie, i giudici hanno ritenuto incontestato che il ricorrente aveva avuto mandato dal committente di pedinare la ex-moglie in quanto titolare dell'agenzia investigativa, né questi ha mai dedotto che la violazione del mandato fosse ascrivibile ad autonoma iniziativa di un dipendente posta in essere a sua insaputa. In nessun passaggio dell'atto di appello si rivendicava l'estraneità dell'imputato allo specifico fatto a lui ascritto, con conseguente irrilevanza della questione dedotta.

Il quarto motivo è stato ritenuto perciò del tutto infondato.

È stato invece ritenuto fondato il quinto motivo.

L'art. 167, comma 1 d.lgs. n. 196/2003, intitolato "Trattamento illecito dei dati", nella versione vigente pro-tempore, sanzionava la condotta di chi, al fine di trarne profitto per sé o per altri o di recare ad altri un danno, procedeva al trattamento di dati personali in violazione di quanto disposto dagli artt. 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell'art. 129 "se dal fatto deriva nocumento".

Per "nocumento" deve intendersi un pregiudizio giuridicamente rilevante di qualsiasi natura patrimoniale o non patrimoniale, subito dalla persona alla quale si riferiscono i dati o le informazioni protetti (così, Cass, pen. n. 30134/2004, Barone, Rv. 229472; Cass, pen. n. 51089/2014, Rv. 261726; Cass, pen. n. 23798/2012, n.m. sul punto; Cass, pen. n. 17744/2009, Rv. 243601 - 01; cfr. altresì Cass, pen. n. 44940/2011, Rv. 251448), ovvero da terzi (Cass, pen. n. 17215/2011, Rv. 249991; Cass, pen. n. 7504/2013 Rv. 259261 - 01). Il nocumento può anche coincidere, nei fatti, con il cd. "danno-evento" di matrice civilistica, ma non è giuridicamente sovrapponibile ad esso e, soprattutto, non va confuso con il cd. "danno-conseguenza" risarcibile ai sensi dell'art. 185 c.p., artt. 2043 e 2059 c.c. Cass. pen., sez. III, n. 23798/2012, cit., in particolare, ha articolatamente spiegato che il "nocumento" assolve alla funzione di dare "effettività" alla tutela della riservatezza dei dati personali ed ha un suo nucleo di dannosità che è certamente meno ampio di quello civilistico e non può essere confuso con esso.

La giurisprudenza più recente ha poi affermato che il nocumento previsto all'art. 167 d.lgs. n. 196/2003, costituisce, per la sua omogeneità rispetto all'interesse leso, e la sua diretta derivazione causale dalla condotta tipica, un elemento costitutivo del reato, non una condizione oggettiva di punibilità (Sez. 3, n. 15221 del 23/11/2016, dep. 2017, Rv. 270056 - 01; Sez. 3, n. 40103 del 05/02/2015, Rv. 264798 - 01). Ne è stata tratta la conseguenza che la produzione in un giudizio civile di documenti contenenti dati personali, ancorché effettuata al di fuori dei limiti del corretto esercizio del diritto di difesa, non integra il nocumento all'interessato che permette di configurare il reato di cui all'art. 167 d.lgs. n. 196/2003, in assenza di elementi fattuali oggettivamente indicativi di una effettiva lesione dell'interesse protetto, trattandosi di informazioni la cui cognizione è normalmente riservata ai soli soggetti professionalmente coinvolti nella vicenda processuale sui quali incombe un obbligo di riservatezza (Cass, pen. n. 23808/2019, Rv. 275648 - 01; cfr., altresì, Cass, pen. n. 35553/2017, Rv. 271240 - 01, secondo cui non configura il reato di cui all'art. 167 d.lgs. n. 196/2003, la produzione di un CD contenente foto e filmati ritraenti altre persone nel corso di un giudizio civile - nella specie di separazione personale dei coniugi -, in quanto tale condotta non costituisce una forma di "diffusione", bensì di "comunicazione" di dati destinata a circolare e ad essere conosciuta tra persone determinate).

Il d.lgs. 10 agosto 2018, n. 101, recante "Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)", ha profondamente modificato il Codice in materia di protezione dei dati personali.

L'art. 167, comma 1 d.lgs. n. 196/2003, non ne è rimasto indenne.

Attualmente il comma 1 così recita: «Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all'interessato, operando in violazione di quanto disposto dagli artt. 123, 126 e 130, o dal provvedimento di cui all'art. 129, arreca nocumento all'interessato, è punito con la reclusione da sei mesi a un anno e sei mesi»; il comma 2 prevede che «salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all'interessato, procedendo al trattamento dei dati personali di cui agli artt. 9 e 10 del Regolamento ((UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016) in violazione delle disposizioni di cui agli artt. 2-sexies e 2-octies, o delle misure di garanzia di cui all'art. 2-septies, ovvero operando in violazione delle misure adottate ai sensi dell'art. 2-quinquiesdecies, arreca nocumento all'interessato, è punito con la reclusione da un atto a tre anni"; il comma 3 stabilisce che «Salvo che il fatto costituisca più grave reato, la pena di cui al comma 2 si applica altresì a chiunque, al fine di trarre per sè o per altri profitto ovvero di arrecare danno all'interessato, procedendo al trasferimento dei dati personali verso un paese terzo o un'organizzazione internazionale al di fuori dei casi consentiti ai sensi degli artt. 45, 46 o 49 del Regolamento, arreca nocumento all'interessato».

Nella nuova formulazione dell'art. 167, comma 1 d.lgs. n. 196/2003, il "nocumento" costituisce l'evento cagionato dalla condotta di dolosa violazione "di quanto disposto dagli artt. 123, 126 e 130 o dal provvedimento di cui all'art. 129"; “sparisce” dalla fattispecie incriminatrice ogni riferimento agli artt. 18, 19, 23 e 130 d.lgs. 196/2003. Le relative sottoclassi di condotta poste in essere in violazione delle predette norme sono strutturalmente estranee alla nuova fattispecie. Resta, nel comma 1, il riferimento agli artt. 123, 126 e 130, la cui violazione, però, non è contestata dalla rubrica e che non hanno alcuna attinenza con il caso di specie. L'imputazione, come visto, ipotizzava la violazione degli artt. 23 e 24, lett. f), d.lgs. 196/2003 entrambi abrogati dal d.lgs n. 101/2018. L'art. 24, lett. f), in particolare, escludeva la necessità del consenso dell'interessato quando il trattamento, «con esclusione della diffusione, (fosse) necessario ai fini dello svolgimento delle investigazioni difensive di cui alla l. 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati (fossero) trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento, nel rispetto della vigente normativa in materia di segreto aziendale e industriale».

L'art. 9 Reg. (UE) 2016/679, stabilisce al p.1 il divieto, in assenza di consenso dell'interessato, di trattare dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona. Il p.2 elenca le eccezioni al divieto indicando, alla lettera f), la necessità di «accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali».

Il reato di cui al novellato art. 167, comma 2 d.lgs. n. 196/2003 sanziona la condotta di chi arreca nocumento all'interessato procedendo al trattamento dei dati di cui agli artt. 9 e 10 del regolamento in violazione degli artt. 2-sexies e 2-octies d.lgs. n. 196/2003, o delle misure di garanzia di cui all'art. 2-septies d.lgs. n. 196/2003. La fattispecie prevedeva, quale modalità alternativa della condotta, anche la violazione delle misure adottate ai sensi dell'art. 2-quinquiesdecies, articolo abrogato, però, dall'art. 9, comma 1, lett. c), d.l. 8 ottobre 2021, n. 139, emanato nella more della stesura della motivazione della sentenza in commento e convertito, con modificazioni, dalla l. 3 dicembre 2021, n. 205, che ha soppresso le parole «ovvero operando in violazione delle misure additate ai sensi dell'art. 2-quinquiesdecies» di cui alla seconda parte del comma 2 dell'art. 167 cit.

Anche nel delitto di cui all'art. 167, comma 2 d.lgs. n. 196/2003, il "nocumento" costituisce evento del reato; oggetto materiale della condotta, però, sono solo i dati di cui agli artt. 9 e 10 del regolamento e cioè, quelli che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona (art. 9), e quelli relativi alle condanne penali e ai reati o a connesse misure di sicurezza (art 10). Il divieto di trattare i dati personali indicati dall'art. 9 non si applica quando si tratti di «accertare, esercitare o difendere un diritto in sede giudiziale o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali».

Ai fini dell'integrazione del reato, la violazione pura e semplice del divieto di trattamento non è sufficiente; è altresì necessario che essa avvenga in violazione degli artt. 2-sexies e 2-octies d.lgs. n. 196/2003, o delle misure di garanzia di cui all'art. 2-septies d.lgs. n. 196/2003.

L'art 2-sexies d.lgs. n. 196/2003 disciplina il trattamento dei dati per motivi di interesse pubblico e stabilisce che «i trattamenti delle categorie particolari di dati personali di cui all'art. 9, paragrafo 1, del Regolamento, necessari per motivi di interesse pubblico rilevante ai sensi del paragrafo 2, lett. g), del medesimo articolo, sono ammessi qualora siano previsti dal diritto dell'Unione europea ovvero, nell'ordinamento intero, da disposizioni di legge o, nei casi previsti dalla legge, di regolamento che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato». Il comma 2 della norma elenca i casi nei quali si considera rilevante l'interessa pubblico relativo a trattamenti effettuati da soggetti che svolgono compiti di interesse pubblico o connessi all'esercizio di pubblici poteri nelle seguenti materie. Il comma 3 stabilisce che «per i dati genetici, biometrici e relativi alla salute il trattamento avviene comunque nel rispetto di quanto previsto dall'art. 2-septies».

Le misure di garanzia di cui all'art. 2-septies d.lgs. n. 196/2003, riguardano, anticipato, solo i dati genetici, biometrici e relativi alla salute, non anche quelli relativi alla vita sessuale delle persone.

Sono espressamente escluse dalla nuova fattispecie incriminatrice, quali modalità esecutive della condotta, le violazioni delle regole deontologiche approvate dal Garante ai sensi dell'art. 2-quater d.lgs. n. 196/2003, e dettate, per i trattamenti di dati personali effettuati per svolgere investigazioni difensive o per fare valere o difendere un diritto in sede giudiziaria, con provvedimento del Garante n. 512 del 19/12/2018 allegato al Codice in materia di protezione dei dati personali con d.m. 15 marzo 2019.

In precedenza, l'art. 24d.lgs. n. 196/2003 (abrogato dall'art. 27, comma 1 lett. a) d.lgs. n. 101/2018) escludeva la necessità del consenso dell'interessato quando il trattamento era "necessario ai fini dello svolgimento delle investigazioni difensive di cui alla l. 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento, nel rispetto della vigente normativa in materia di segreto aziendale e industriale" (lett. f).

Rilevano a questo punto i giudici supremi come l'editto accusatorio (e la sentenza di condanna) si basino proprio sulla violazione dei limiti entro i quali poter lecitamente trattare i dati in assenza di consenso.

Anche l'art. 2-quater, comma 4 d.lgs. n. 196/2003, afferma che «Il rispetto delle disposizioni contenute nelle regole deontologiche di cui al comma 1 costituisce condizione essenziale per la liceità e la correttezza del trattamento dei dati personali». Tuttavia, la violazione dell'art. 2 quater, integra l'illecito amministrativo di cui all'art. 166, comma 2, d.lgs. n. 196/2003, e non costituisce modalità esecutiva tipica del delitto di cui all'art. 167, comma 2, d.lgs. n. 196/2003.

Peraltro, la violazione delle disposizioni di cui agli artt. 2 sexies e 2 octies, e delle misure di garanzia di cui all'art. 2-septies, non è di per sé sufficiente ai fini dell'integrazione del reato di cui all'art. 167, comma 2 d.lgs. n. 196/2003: è altresì necessario che la condotta arrechi nocumento all'interessato e che sia posta in essere allo scopo di trarre per sè o per altri profitto ovvero di arrecare danno all'interessato. In mancanza di questi ulteriori elementi, la mera violazione delle regole di condotta integra l'illecito amministrativo di cui all'art. 166, comma 2 d.lgs. n. 196/2003.

In conclusione, deve affermarsi che la sottofattispecie di reato di cui all'art. 166, comma 1, relativa alla violazione degli artt. 23 e 24, precedente alle modifiche introdotte dal d.lgs. n. 101/2018, non è più prevista dalla legge come reato.

Ha poi ulteriormente precisato la Cassazione che la condotta posta in essere dall'imputato non è neppure prevista come reato dall'art. 167, comma 2 d.lgs. n. 196/2003.

Del resto, come già affermato da Cass. pen. n. 40140/2019, «il d.lgs. n. 101/2018, ha considerevolmente ridotto l'ambito della risposta sanzionatoria penale: il nuovo testo dell'art. 167 - che nei due commi della precedente formulazione sanzionatoria anche la violazione delle disposizioni, oggi abrogata, di cui agli artt. 18, 19, 23 (comma 1), 17, 20, 21, 22, 26, 27 e 45 (comma 2) - ha tenuto ferma la rilevanza penale solo di alcuni specifici comportamenti. In particolare, continuano ad essere penalmente sanzionate, ai sensi dell'art. 167, comma 1, solo le violazioni - purché sorretta dal dolo specifico di trarre per sé o per altri profitto, o di recare all'interessato un danno, e purché produttive di "nocumento" a quest'ultimo - delle norme relative al trattamento dei dati relativi al traffico, riguardanti contraenti ed utenti tratti dal fornitore di una rete pubblica di comunicazioni o di un servizio di comunicazione elettronica accessibile al pubblico (cd. tabulati, art. 123 del Codice); al trattamento dei dati relativi all'ubicazione, diversi da quelli relativi al traffico, riguardanti i medesimi soggetti (art. 126); alle cd. comunicazioni indesiderate (art. 130); nonché le violazioni dei provvedimenti del Garante in tema di inserimento ed utilizzo dei dati personali negli elenchi cartacei o elettronici a disposizione del pubblico (art. 129). Il novellato art. 167, comma 2, punisce altresì, più gravemente, la violazione delle disposizioni in tema di trattamento dei dati sensibili e dei dati giudiziari, mentre le nuove disposizioni introdotte al comma 3, dell'art. 167, all'art. 167-bis e all'art. 167-ter prevedono, rispettivamente, sanzioni penali per la violazione delle disposizioni in tema di trasferimento dei dati personali verso un paese terzo o un'organizzazione internazionale, in tema di comunicazione e diffusione illecite, e di acquisizione fraudolenta, di un archivio automatizzato o di una sua parte sostanziale, che contenga dati personali oggetto di trattamento su larga scala» (nello stesso senso, Cass. pen. n. 3050/2020 n.m.).

Nell'ambito degli illeciti amministrativi introdotti dall'art. 83 del Regolamento rientra la violazione dei principi di base del trattamento, comprese le condizioni relative al consenso, a norma degli artt. 5, 6, 7 e 9, che in precedenza erano penalmente sanzionate dall'art. 167, comma 1 d.lgs. n. 296/2003.

Date queste premesse, la sentenza impugnata è stata annullata senza rinvio perché il fatto non è più previsto dalla legge come reato, con conseguente revoca delle statuizioni civili di condanna, fermo restando il diritto della parte civile di agire ex novo nella sede naturale, per il risarcimento del danno da fatto illecito (Cass. pen., sez. un., n. 46688/2016, Rv. 267884 - 01).

I provvedimenti del Garante e la sentenza in commento hanno l'indubbio pregio di aver fugato tutta una serie di dubbi circa il libero dispiegarsi del diritto di difesa.

Se i primi hanno quanto meno incrinato il rigido monopolio di pubblico e ministero e polizia giudiziaria nella ricerca e acquisizione della prova, la Cassazione ha fatto chiarezza, in modo per altro assai convincente, sul nuovo assetto della tutela penale dei dati personali, come ridisegnato a seguito dell'entrata in vigore del GDPR e della normativa italiana di adeguamento.

La sentenza conferma quanto era già stato osservato dai primi commentatori, che, da un lato, avevano parlato di restrizione del “penalmente rilevante” comportata dal d.lgs. n. 101/2018 (Brizzi), e, dall'altro, escludevano la rilevanza penale – ex art. 167 – della condotta del soggetto che proceda al trattamento dei dati personali in assenza del consenso del titolare dei dati medesimi, laddove quest'ultimo sia strettamente strumentale alla tutela giurisdizionale di un diritto della parte che effettua il trattamento (Sellaroli).

Il legislatore ha infatti posto in essere un'ampia depenalizzazione, del tutto coerente con il quadro delineato dal Reg. UE 2016/679 che, da un lato, ha definito in maniera compiuta gli illeciti amministrativi e le relative sanzioni pecuniarie, e dall'altro, ha lasciato che fossero gli Stati membri ad identificare i comportamenti penalmente rilevanti.

L'art. 13 l. n. 163/2017 Legge di delegazione europea 2016-2017 impegnava il Governo ad adeguare il sistema sanzionatorio penale e amministrativo vigente alle disposizioni del Regolamento, con la previsione di sanzioni penali e amministrative efficaci, dissuasive e proporzionate alla gravità della violazione delle disposizioni stesse, andando così a modificare il Codice privacy.

Il legislatore italiano ha esercitato la delega adottando il d.lgs. n. 101/2018: con esso è stato ridefinito l'apparato sanzionatorio, è stata ampliata la gamma degli illeciti amministrativi e, allo stesso tempo, è stata incrementata l'entità delle relative sanzioni.

Sul versante penale, sono state introdotte nuove figure di reato, altre sono state depenalizzate in quanto punite dal Regolamento con sanzioni amministrative.

La scelta del legislatore di muoversi su un doppio binario penale-amministrativo aveva suscitato perplessità sotto il profilo della sua compatibilità con il principio del ne bis in idem convenzionale e comunitario (Deaglio).

Tuttavia proprio la sentenza in commento, che ha distinto con nettezza ciò che è “penale” da ciò che è “amministrativo”, consente di raggiungere una posizione assai più tranquillizzante dovendosi pienamente condividere quanto osservato dalla più recente dottrina: Forse non è peregrino sostenere la possibilità che il presidio dell'articolata disciplina amministrativa del trattamento dei dati personali sia devoluto al più agile strumento dell'illecito punitivo amministrativo, magari non soltanto di natura pecuniaria, lasciando al diritto penale la stigmatizzazione di quelle più aggressive condotte di «indiscrezione» e di «rivelazione» che, in ambiti limitrofi, sono ben conosciute. In questa prospettiva, però, occorre riconoscere che l'utilità pratica di fattispecie come quelle recate dagli artt. 167-bis e 167-ter dipende dalla loro capacità di connotarsi specificamente quanto ai fatti da reprimere, dato che è verosimile che condotte come quelle di «comunicazione» o di «diffusione» illecita di dati personali vadano a pregiudicare, nella più parte dei casi, ulteriori diritti fondamentali della persona, aprendo così all'applicazione di altre e diverse figure di reato (Martiello).

• Ferdinando Brizzi, Privacy. La tutela penale dei dati personali, Giuffrè, Milano, 2020;
• Ernesto Lupo, Le garanzie di contesto: la parità tra le parti, La legislazione penale, 19.10.2020;
• Valentina Sellaroli, I reati familiari e relazionali, in Diritto penale dell'informatica. Reati della rete e sulla rete, a cura di Cesare Parodi e Valentina Sellaroli, Giuffrè, Milano, 2020.