Illecito trattamento dei dati personali: il verificarsi dell’evento indica l’avvenuta consumazione del reato

Massima

Il reato di illecito trattamento dei dati personali ha natura di reato istantaneo, in quanto esso si perfeziona con il verificarsi del nocumento, da intendersi come un pregiudizio giuridicamente rilevante di qualsiasi natura, patrimoniale o non patrimoniale, subìto dal soggetto cui si riferiscono i dati protetti oppure da terzi quale conseguenza dell'illecito, che, per la sua omogeneità rispetto all'interesse leso e la sua diretta derivazione causale dalla condotta tipica è elemento costitutivo del fatto – e non una condizione oggettiva di punibilità; di conseguenza, il verificarsi dell'evento segna la consumazione del reato.

Il caso

Il caso analizzato riguarda la diffusione non autorizzata di dati personali tramite il social network Facebook. In particolare, la persona offesa dapprima, comunicando con una delle coimputate su Messenger, aveva scambiato riservatamente dei messaggi audio i quali, sono stati successivamente pubblicati sulla pagina Facebook di una cantante unitamente ai propri dati sensibili (quale lo stato di sieropositività in cui versava la persona offesa), senza il suo consenso. Il contenuto del messaggio, tuttavia, rimasto online per un arco di tempo pari a 13 minuti e nel mentre, consultato da almeno 32 persone, non sarebbe stato direttamente appreso dall'interessata ma a questa inviato, tramite screenshot, da un utente del social network. Il Tribunale rappresentando che l'individuazione del giudice territorialmente competente con riferimento al luogo di consumazione del reato risulterebbe ardua, attesa l'estrema scarsità di dati e informazioni impiegabili (posto che non sarebbe mai stato emesso alcun decreto di acquisizione dei file di log inerenti alla creazione dei post in questione), rinvia la questione alla Corte di cassazione.

La questione

Qual è la natura del reato di trattamento illecito di dati? La consumazione di detto reato coincide con il verificarsi dell'evento? Qual è il giudice competente a giudicare la controversia avente ad oggetto il reato di illecito trattamento dei dati?

Le soluzioni giuridiche

La Corte di cassazione, accogliendo il rinvio pregiudiziale per questioni di competenza territoriale ex art. 24-bis c.p.p. sollevato dal Tribunale di Perugia, si è pronunciata sulla natura giuridica del reato di illecito trattamento dei dati personali. Preliminarmente la Corte osserva come mediante l'istituto di cui all'art. 24-bis c.p.p. «viene offerta la possibilità, al giudice procedente, che si trovi a dirimere una controversia inerente al tema della competenza per territorio, di rimettere, d'ufficio o su istanza di parte, la relativa questione alla Corte di cassazione» e come «tale rimessione precluda la possibilità di prospettare nuovamente la medesima questione nel corso del procedimento penale». Si tratta, cioè, «di un nuovo mezzo impugnatorio per la risoluzione in via preventiva dei potenziali conflitti di competenza, attraverso cui si son voluti evitare dei casi, che si sono verificati, in cui l'incompetenza, tempestivamente eccepita, è stata riconosciuta fondata solo in Cassazione, con conseguente necessità di dover iniziare da capo il processo».

Per il Tribunale mentre parrebbero noti esclusivamente il luogo di residenza delle coimputate al momento del fatto nonché quello di residenza della persona offesa, non sarebbero noti né il luogo effettivo dal quale le stesse avrebbero inviato i messaggi audio oggetto di diffusione, né se tale diffusione sia avvenuta per mezzo di una rete Internet fissa oppure mobile. I difensori delle parti a loro volta hanno individuato il parametro di riferimento nel luogo di residenza delle coimputate al momento del fatto, sebbene, ad avviso del tribunale, non vi sarebbe un parametro normativo di riferimento, non essendo questo rinvenibile nell'articolo 8 c.p.p. atteso che la fattispecie de qua è un reato di evento e come tale non potrebbe consumarsi nel luogo di residenza delle coimputate. Né parrebbe correttamente applicabile la regola suppletiva di cui all'articolo 9, comma 2, c.p.p., dovendosi dimostrare previamente l'inapplicabilità della generale regola di cui all'articolo 8 del codice di rito. Né, da ultimo, risulterebbe competente l'autorità giudiziaria perugina quale luogo di residenza della persona offesa, posto che il nocumento subito dalla stessa non si esaurirebbe con la sola consultazione del dato sensibile da parte dell'interessato ma con la conoscenza dello stesso da parte del quisque de populo. Da ultimo, ad avviso del Tribunale, non sarebbe neppure convincente la tesi del difensore della parte civile secondo cui il criterio applicabile al caso de quo sarebbe quello di cui all'art. 9 comma 2 c.p.p. atteso che solo una delle tre coimputate coinvolte per ogni capo di imputazione risiede in Italia. Ciò posto, ad avviso del rimettente, l'unico criterio applicabile parrebbe quello di cui all'articolo 8, comma 3, c.p.p., attesa la natura di reato permanente che investe il reato di illecito trattamento dei dati personali. Tuttavia, laddove si ritenesse inapplicabile l'articolo 8, comma 3, c.p.p. la soluzione sarebbe da rinvenirsi nella sostanziale applicazione dell'articolo 9, comma 2, c.p.p. ovvero nel luogo di residenza delle due coimputate residenti in Italia a ciò non ostando la maggiore pena edittale prevista per il reato di cui all'articolo 167, comma 2, del codice privacy, oggetto del secondo capo di imputazione.

Il Tribunale, si legge nel provvedimento, «nel solco del principio espresso da questa Sezione, secondo cui il reato di illecito trattamento dei dati personali ha natura permanente, caratterizzandosi per la continuità dell'offesa arrecata dalla condotta volontaria dell'agente, il quale ha la possibilità di far cessare in ogni momento la propagazione lesiva dei dati medesimi, osserva che il giudice territorialmente competente potrebbe essere individuato secondo il disposto normativo di cui all'art. 8, comma 3, c.p.p., ai sensi del quale se si tratta di reato permanente, è competente il giudice del luogo in cui ha avuto inizio la consumazione».

La Cassazione ritiene tuttavia, «che il reato di cui all'art. 167 d.lgs. n. 196 del 2003 sia un reato di evento, di natura istantanea». Come autorevolmente affermato dalla Corte costituzionale, «il reato permanente si caratterizza come illecito di durata, nel quale l'offesa al bene protetto, diversamente che nella figura antitetica del reato istantaneo, non si esaurisce nel momento stesso in cui viene prodotta, ma si protrae nel tempo per effetto del perdurare della condotta volontaria del reo, esaurendosi, sul piano della rilevanza penale, soltanto con la cessazione di quest'ultima».

Orbene, affermano i giudici di legittimità, «il delitto in esame ha natura di reato istantaneo, in quanto esso si perfeziona con il verificarsi del nocumento», da intendersi come un pregiudizio giuridicamente rilevante di qualsiasi natura, patrimoniale o non patrimoniale, subìto dal soggetto cui si riferiscono i dati protetti oppure da terzi quale conseguenza dell'illecito, che, per la sua omogeneità rispetto all'interesse leso e la sua diretta derivazione causale dalla condotta tipica è elemento costitutivo del fatto – e non una condizione oggettiva di punibilità; di conseguenza, il verificarsi dell'evento segna la consumazione del reato.

Peraltro, gli effetti del nocumento conseguente all'illecita diffusione di dati personali possono prolungarsi nel tempo, il che si verifica, quando, come nella vicenda in esame, i dati siano illecitamente divulgati tramite un social-network; anche in un caso del genere, tuttavia, il nocumento si realizza istantaneamente e, dunque, nel momento e nel luogo in cui i dati sensibili diventano fruibili, sulla rete, da parte dei terzi, e, dunque, nel luogo e nel momento in cui il collegamento viene attivato, e ciò anche nel caso in cui il sito web sia stato registrato all'estero, purché l'offesa sia stata percepita da più fruitori che si trovano in Italia; «gli effetti nocivi riconducili alla divulgazione del dato sensibile, che rappresentano unicamente il risultato dell'azione criminosa, si protraggono fino a che il dato non viene rimosso».

Una soluzione del genere «è in linea con quanto affermato dalla Corte nell'ipotesi, affine a quella qui al vaglio, di diffamazione commessa tramite la rete internet; anche in tal caso, infatti, le frasi offensive dell'altrui reputazione producono gli effetti fino a che esse non vengono rimosse dal sito web in cui sono state pubblicate; nondimeno, non si è mai messo in dubbio la natura istantanea del reato di diffamazione, e, ai fini della determinazione dell'autorità giudiziaria territorialmente compente, si è fatto ricorso ora al luogo in cui sia stato caricato il contenuto diffamatorio come dato informatico – ove ciò sia stato accertato – e quindi ai sensi dell'art. 9, comma 1, c.p.p., ovvero, in difetto di tale accertamento, al criterio del luogo di domicilio dell'imputato, in applicazione della regola suppletiva stabilita dall'art. 9, comma 2, c.p.p.».  L'unico parametro di riferimento applicabile è perciò quello di cui al comma 3 dell'articolo 9 c.p.p., a tenore del quale la competenza per territorio appartiene al giudice del luogo in cui ha sede l'ufficio del pubblico ministero che ha provveduto per primo a scrivere la notizia di reato nel registro previsto dall'articolo 335. Nel caso di specie, la competenza territoriale deve perciò radicarsi nel Tribunale di Perugia, quale sede in cui ha luogo l'ufficio del pubblico ministero che, appunto, ha proceduto per primo a iscrivere la notizia di reato nel registro previsto dall'articolo 335 c.p.p.

Osservazioni

Il Regolamento Europeo 2016/679 c.d. “GDPR” prevede nel nostro ordinamento giuridico dei profili di responsabilità, tra cui la responsabilità civile da illecito trattamento dei dati personali. Il principale presupposto di questo tipo di responsabilità è rappresentato dal principio di accountability, secondo il quale il Titolare del trattamento è competente per il rispetto degli obblighi prescritti dal GDPR e deve essere in grado di comprovarlo.

Anche il Responsabile del trattamento (fornitore) risponde per il danno cagionato ma solo ove non abbia adempiuto agli obblighi che il GDPR specificatamente prevede per i responsabili del trattamento oppure abbia agito in modo difforme o contrario rispetto alle istruzioni del Titolare del trattamento.

Quando sono coinvolti nello stesso trattamento più Titolari o Responsabili, possono rispondere in solido per l'intero ammontare del danno causato dal trattamento, al fine di garantire il risarcimento effettivo dell'interessato.

Alla luce della giurisprudenza della Corte di giustizia, Il “danno” dovrebbe essere interpretato “in senso lato” vale a dire che l'interpretazione del concetto di danno deve rispecchiare pienamente gli obiettivi del GDPR, senza pregiudicare le azioni di risarcimento di danni derivanti dalla violazione di altre norme del diritto dell'Unione Europea oppure della normativa italiana vigente.

Tra le categorie di danno che possono essere cagionate da un trattamento di dati personali illecito rientrano il danno fisico, materiale o immateriale. Ad esempio, il trattamento illecito può comportare discriminazioni, furto o usurpazione d'identità, perdite finanziarie, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale. Possono, inoltre, essere cagionati danni economici e sociali significativi in seguito ad un trattamento illecito.

Quanto alle azioni legali per l'esercizio del diritto di ottenere il risarcimento del danno subito (ossia proposizione di un ricorso giurisdizionale effettivo e reclamo all'Autorità Garante Privacy) queste devono essere promosse dinanzi alle autorità giurisdizionali competenti.

Nella comminazione di una sanzione si valuterà, ai sensi del GDPR: la natura, la gravità e la durata della violazione, se ricorre dolo, quali erano le misure adottate per attenuare il danno, il grado di responsabilità o eventuali precedenti violazioni pertinenti. Inoltre, vengono tenuti in considerazione generalmente anche altri criteri quali ad esempio la modalità con cui l'Autorità Garante Privacy ha preso conoscenza della violazione, l'adesione a un codice di condotta da parte del Titolare, la recidiva nel non rispettare provvedimenti disposti nei suoi confronti dall'Autorità ecc. Tutti questi elementi verranno valutati quali eventuali fattori aggravanti o attenuanti insieme ad altri.

Il reato di trattamento illecito di dati può essere commesso da qualsiasi soggetto privato, non solo da soggetti "istituzionalizzati" quali società ed enti. Questo è quanto stabilito da un recente provvedimento della Cassazione penale (sentenza n. 13102, depositata il 29 marzo 2023) la quale è intervenuta sul tema dell'illecito trattamento dei dati personali, circoscrivendo l'ambito soggettivo della fattispecie delittuosa disciplinata dall'articolo 167 del Codice privacy. In particolare, l'articolo 167, comma 2, del Codice Privacy dopo la clausola di riserva ("salvo che il fatto costituisca più grave reato") prevede che chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all'interessato, procedendo al trattamento di categorie particolari di dati personali (ex articolo 9, GDPR) e di dati giudiziari (ex articolo 10 GDPR) in violazione degli articoli 2-sexies e 2-octies, o delle misure di garanzia di cui all'articolo 2-septies, arrechi nocumento all'interessato, è punito con la reclusione da uno a tre anni. Il predetto comma è stato modificato dal d.l. n. 139/2021, conv. con modif. con legge n. 205/2021. Ai fini della sussistenza del reato, sotto il profilo dell'elemento soggettivo, la norma richiede la configurazione di un dolo specifico, in quanto il reo deve porre in essere un'azione criminosa finalizzata a "trarre per sé o per altri profitto" ovvero con l'obiettivo di "arrecare un danno all'interessato", attraverso la descritta condotta di trattamento dei dati. Inoltre, è elemento costitutivo oggettivo dell'ipotesi delittuosa in esame la circostanza che dal fatto derivi un nocumento all'interessato, vale a dire un danno al soggetto cui i dati (trattati illecitamente) si riferiscono.