La nuova disciplina penale della riservatezza

La disciplina sulla riservatezza è stata oggetto, nel corso dell'ultimo anno, di un profondo ripensamento, ispirato dalle indicazioni del Legislatore europeo, in particolare del regolamento 679/2016/Ue e delle direttiva 680/2016/Ue. Il vecchio impianto del d.lgs. 196/2003 ne è uscito profondamente rinnovato e anche sul piano della tutela penale l'interprete è chiamato a una delicata opera di ricostruzione dell'effettiva portata delle nuove disposizioni e dell'incidenza delle stesse nel sistema in generale.

Ampio e articolato è stato, negli ultimi mesi, il dibattito sulle numerosissime innovazioni che nel sistema italiano sono state apportate dal recepimento del Regolamento Ue 679/2016 – attraverso il d.lgs. 101/2018, che ha profondamente rinnovato l'impianto generale e numerose disposizioni specifiche dal d.lgs. 196/2003. Un rinnovamento che può essere colto già nella modifica della denominazione del d.lgs. 196/2003, che era Codice in materia di protezione dei dati personali oggi divenuto Codice in materia di protezione dei dati personali, recante disposizioni per l'adeguamento dell'ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/Ce

Indicativa anche la modifica dell'art. 2 in tema di finalità; l'ampia formula della vecchia versione «Il presente testo unico, di seguito denominato "codice", garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell'interessato, con particolare riferimento alla riservatezza, all'identità' personale e al diritto alla protezione dei dati personali. Il trattamento dei dati personali è disciplinato assicurando un elevato livello di tutela dei diritti e delle libertà di cui al comma 1 nel rispetto dei principi di semplificazione, armonizzazione ed efficacia delle modalità previste per il loro esercizio da parte degli interessati, nonché per l'adempimento degli obblighi da parte dei titolari del trattamento». diviene oggi sinteticamente «Il presente codice reca disposizioni per l'adeguamento dell'ordinamento nazionale alle disposizioni del regolamento».

Non solo: autonoma disciplina è stata delineata, con il d.lgs. 51/2018, che ha attuato la direttiva 680/2016, che riguarda in particolare la «protezione delle persone fisiche con riguardo al trattamento dei dati personali da parte delle autorità competenti a fini di prevenzione, indagine, accertamento e perseguimento di reati o esecuzione di sanzioni penali».

A fronte di un intervento così ampio, è doveroso soffermarsi in via prioritaria sulla nuova impostazione del sistema sanzionatorio penale posto a tutela della disciplina generale di settore. Un sistema che non rappresenta una “rottura” drastica rispetto alle precedenti indicazioni, ma che impone un'attenta rilettura dei vari aspetti affrontati: rilettura, vedremo, non priva di sorprese e non scevra da criticità ermeneutiche.

Se il principale obiettivo delle disposizioni in tema di riservatezza è la tutela dei dati personali, è rilevante notare come quest'ultimo concetto sia stato significativamente modificato rispetto all'originaria versione, contenuta nel d.lgs. 196/2003; in tale contesto era definito, all'art. 4, comma 1, lett. b), dato personale «qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale».

In termini molto più ampi e dettagliati, l'art. 4 del regolamento 679/2016 definisce dato personale: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

Una formula differente, che non solo considera espressamente anche le modalità identificative on line - così squisitamente caratteristiche della attuali modalità relazionali- ma che “copra” specificamente anche una serie di ulteriori aspetti che hanno assunto, progressivamente e irreversibilmente, una precisa e autonoma connotazione.

Per la verità, la S.C. aveva già interpretato in termini ampi il concetto di dati personali, in qualche modo anticipando i contenuti del Regolamento. In questo senso, ai fini della configurabilità del reato di illecito trattamento di dati personali, sono stati ritenuti tali:

• i nominativi dei clienti di uno studio legale e i documenti delle pratiche che li riguardano (Cass. pen., Sez. V, n. 119942016).
• il numero di targa del veicolo, a nulla rilevando che esso sia visibile a tutti quando il veicolo circola per strada, in quanto ciò che rileva non è il numero in sé ma il suo abbinamento a una persona. (Cass. pen., Sez. V, n. 44940/2011)
• il numero di utenza cellulare. (Cass. pen., Sez. III n. 46203/2008)
• una conversazione documentata mediante registrazione, diffusa per scopi diversi dalla tutela di un diritto proprio o altrui (Cass. pen., Sez. III n. 18908/2011: fattispecie relativa al sequestro di una penna in cui erano incorporati un microfono e una telecamera utilizzata da un investigatore privato per registrare alcune conversazioni all'insaputa dei suoi interlocutori, ha altresì precisato che il reato può configurarsi anche in forma tentata).

Al contrario, non sussisterebbe il reato di cui all'art. 167 d.lgs. 196/2003, quando il dato in questione è divenuto di dominio pubblico per condotta dello stesso interessato. (Cass., Sez.3, n. 38226, 30/3/2017, CED 270949: fattispecie in cui la S.C. ha escluso la sussistenza del reato in un'ipotesi di chiamate ai fini pubblicitari, quando la stessa parte lesa aveva chiesto la registrazione del proprio numero nel registro pubblico delle opposizioni istituito con provvedimento del Garante per la protezione dei dati personali).

La riforma del 2018 è intervenuta drasticamente sui profili penali della tutela della riservatezza. S'impone un confronto tra le vecchie e le nuove fattispecie:

Preliminarmente si rileva che un elemento di continuità tra le fattispecie è rinvenibile nella clausola Salvo che il fatto costituisca più grave reato che caratterizza, ancora, le nuove ipotesi di reato. Una situazione sulla quale la S.C. ha avuto modo di pronunciarsi con riguardo alla condotta di utilizzazione di notizie di ufficio che devono rimanere segrete, che sarebbe tale da integrare il solo reato previsto dall'art. 326, comma 3, c.p.p. e non anche quello di trattamento illecito di dati personali previsto dall'art. 167 citato, avendo quest'ultimo a oggetto il più generale trattamento di dati personali in violazione delle prescrizioni del d.lgs. 196/2003, ritenuta fattispecie residuale rispetto a illeciti più gravi per effetto della clausola di riserva contenuta nella disposizione che lo contempla (Cass. pen., Sez. VI, n. 9726/2013)

Allo stesso modo, non sono (apparentemente) rilevabili variazioni con riguardo all'elemento soggettivo dei delitti in oggetto: è richiesto il dolo specifico, consistente nella volontà di “trarre per sé o per altri profitto ovvero di arrecare danno all'interessato”. “Profitto” che, come è noto, deve essere ritenuto concetto più ampio rispetto al lucro, comprendendo anche forme di “soddisfazione” non meramente patrimoniale, quanto di matura morale o psicologica.

Nondimeno, il tema dell'elemento soggettivo del reato deve essere valutato anche alla luce del concetto di nocumento, che rappresenta una nota costante utilizzata dal legislatore nella materia, in quanto compare nelle tre versioni della fattispecie che si sono susseguite dal 1996 al 2018. Un concetto generale, recentemente definito come “il pregiudizio, anche di natura non patrimoniale subito dalla persona cui si riferiscono i dati quale conseguenza dell'illecito trattamento” (Cass. pen., Sez. III, n. 29549/2017: nel caso di specie si trattava di propalazione da parte dell'indagato di informazioni relative alla vita sessuale della persona offesa alla sua nuova compagna; nocumento da intendersi come un pregiudizio giuridicamente rilevante di qualsiasi natura, cagionato sia alla persona alla quale i dati illecitamente trattati si riferiscono sia a terzi quale conseguenza della condotta illecita: così Cass. pen., Sez. III, n. 15221/2016).

Se il concetto è chiaro, mutevole è stato- o almeno, è stato ritenuto- il “ruolo” di quest'ultimo nella fattispecie. Prima della modifica introdotta dal d.lgs. 101/2018, per un lungo periodo, la S.C. ha ritenuto il nocumento previsto dall'art. 167 citato, quale condizione obiettiva di punibilità (Cass. pen., Sez. III, ord. n. 7504/2013: nella specie, la S.C. aveva individuato nocumento per i congiunti di minore vittima di incidente stradale, la cui fotografia, unitamente ad altri dati identificativi, era stata pubblicata a mezzo stampa; analogamente, per Cass. pen., Sez. III n. 17215/2011, è stato ravvisato, per i familiari di persona deceduta, la cui immagine in stato morente era stata illecitamente diffusa).

Una tesi fondata - in larga misura - sulla considerazione per la quale, ritenendo il nocumento elemento costitutivo del reato, si determinerebbe una notevole riduzione dell'incidenza della tutela penale, a causa della difficoltà di reperire l'elemento intenzionale del delitto, con conseguente violazione della normativa comunitaria e dei diritti fondamentali garantiti dalla Costituzione. Per Cass. pen., Sez. III, n. 30134/2004, in tema di trattamento illecito dei dati personali, mentre il reato a pericolo presunto, di cui al previgente art. 35 l. 675/1996, prevedeva come circostanza aggravante il nocumento per la persona alla quale i dati illecitamente trattati si riferiscono, l'art. 167 avrebbe tipizzato il citato nocumento, da intendersi sia riferito al soggetto stesso che al suo patrimonio, come condizione obiettiva di punibilità, introducendo anche un dolo specifico di danno; di conseguenza, non costituirebbe reato quella violazione della normativa sulla tutela dei dati personali che produce un "vulnus" minimo all'identità personale del soggetto passivo e alla sua "privacy", non in grado di determinare un danno patrimoniale apprezzabile. Nel caso di specie, la S.C. ha escluso la sussistenza del nocumento richiesto dalla fattispecie la trattazione dei dati personali degli appartenenti a un'associazione umanitaria, estratti da un elenco riservato e utilizzati - senza il consenso degli interessati - da parte di uno dei componenti della citata associazione, per l'invio di materiale di propaganda elettorale per la propria candidatura a consigliere comunale.

In tempi più recenti, le indicazioni della S.C. sono state di segno opposto. Il nocumento per la persona alla quale i dati illecitamente trattati si riferiscono, previsto dall'art. 167 citato, costituirebbe - per la sua omogeneità rispetto all'interesse leso, e la sua diretta derivazione causale dalla condotta tipica - un elemento costitutivo del reato, e non una condizione oggettiva di punibilità; lo stesso, pertanto, dovrebbe essere previsto e voluto o comunque accettato dall'agente come conseguenza della propria azione, indipendentemente dal fatto che costituisca o si identifichi con il fine dell'azione stessa (Cass. pen., Sez. III, n. 15221/2016; Cass. pen., Sez. III, n. 40103/2015). Un'interpretazione destinata a ridurre significativamente l'ambito di applicazione della norma, in qualche modo “bilanciando” l'estensione del concetto di dati personali che per altri versi è stata riconosciuta.

Nelle tre nuove fattispecie il legislatore precisa la necessità di arrecare nocumento, così che non possono sorgere dubbi, a fronte di un reato di evento, che si tratta di un elemento costitutivo delle fattispecie; una costruzione che- ovviamente- riduce l'incidenza statistica dell'illecito anche se consente di ravvisare l'ipotesi del tentativo, laddove la condotta non abbia determinato il predetto nocumento per cause indipendenti dalla volontà dell'agente. Elemento sul quale s'impone una valutazione – in relazione alla sussistenza dell'elemento soggettivo- che non poteva essere richiesta ove lo stesso fosse stato ancora considerato quale mera condizione obiettiva di punibilità, in forza della quale l'agente sarebbe potuto essere chiamato a rispondere penalmente della propria condotta anche in assenza di qualsiasi forma di “volizione” rispetto al nocumento subito dal titolare dei dati o da terzi.Al contrario, al riguardo, Cass., Sez. III, 15 giugno 2012, n. 23798 aveva precisato che la natura di condizione obiettiva di punibilità del “nocumento” di cui all'art. 167 citato fa sì che esso sia un fattore esterno alla fattispecie delittuosa che è integralmente realizzata dal verificarsi dei suoi elementi costitutivi (condotta, evento, nesso di causalità ed elemento psichico) ma che diviene punibile solo al verificarsi di questo quid pluris che il legislatore definisce “nocumento” e che deve “discendere dal fatto”.

Particolare attenzione deve essere riservata, individuando in concreto il nocumento, alla sfera privata riguardante le preferenze sessuali delle vittime; sul punto, Cass. pen., Sez III, n. 29549/2017, considera l'utilizzo di informazioni su tali temi per danneggiare la reputazione e l'onorabilità del soggetto- il partner, in questo caso- i cui dati sono diffusi. In questo senso, secondo la S.C., elemento costitutivo del reato di trattamento illecito di dati personali può essere correttamente individuato anche nel pregiudizio della vita di relazione che la condotta illecita può arrecare; nel caso di specie è stato riconosciuto il nocumento sia nella compromissione, seppure temporanea, del rapporto fiduciario tra i due partner, sia nella possibilità per l'ex marito della donna di minacciare, in conseguenza della ricezione delle foto, di farle togliere l'affidamento dei figli, per la sua discutibile moralità, con ciò arrecandole, a prescindere dall'effettiva azione giudiziaria in tal senso, un comprensibile stato di agitazione e tensione.

Impone una riflessione la descrizione della condotta, definita nella pregressa versione della norma con riferimento al fatto di procedere al trattamento di dati personali in violazione di specifiche disposizioni; un riferimento “globale” alle attività di trattamento, la cui definizione è attualmente contenuta nell'art. 4, comma 1, n. 2 della regolamento 679/2016: «qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione».

Le attuali fattispecie contengono la formula operando in violazione di specifiche disposizioni. Una scelta che parrebbe voler svincolare dal “trattamento” - pure ampiamente delineato - in sé la possibilità di integrare la fattispecie.

In effetti, le fattispecie in oggetto non potevano- e non possono - essere ritenute come esclusivamente destinata ai titolari e responsabili della “gestione” dei dati, ossia ai soggetti, cui competono le decisioni in ordine alle finalità e alle modalità del trattamento dei dati personali, ivi compreso il profilo della sicurezza o preposti al trattamento degli stessi. In relazione ai soggetti destinatari della norma occorre inoltre rilevare come la dizione dell'art. 167 (nonché 167-bis, 167-ter e 168 del decreto), a differenza di quanto previsto dalla fattispecie di cui agli artt. 170 non preveda dopo il chiunque la specificazione essendovi tenuto. L'interprete non può ritenere la circostanza come casuale: a fronte di violazioni caratterizzate da componenti “formali”, la norma di cui all'art. 167 citata rappresenta la fattispecie “base” di tutela, destinata certamente a coloro che istituzionalmente - ossia in base ad obblighi gestionali predeterminati, in quanto garanti della banche dati- procedono a una non corretta trattazione di questi ultimi, ma anche di chiunque, incidentalmente o occasionalmente, utilizzi o ponga in essere indebitamente una delle condotte descritte, a prescindere quindi da un rapporto qualificato con una “banca dati”.

Si tratta di un'indicazione sintonica con i principi ermeneutici già elaborati dalla S.C.: il privato cittadino che sia, anche solo occasionalmente, venuto a conoscenza di un dato sensibile rientra tra i titolari deputati, ai sensi dell'art. 4 d.lgs.196/2003, ad assumere le decisioni in ordine alle finalità e alle modalità di trattamento dei dati personali, sicché, ove indebitamente lo diffonda, risponde del reato di trattamento illecito di dati di cui all'art. 167 d.lgs. cit. (Cass. pen., Sez. III, n. 21839/2011: fattispecie di indebita diffusione, attraverso una "chat line" pubblica, del numero di utenza cellulare altrui).

Non mancano, per altro, decisioni che hanno limitato l'estensione delle disposizioni penali alle condotte dei privati: il trattamento dei dati personali, che non siano sensibili né abbiano carattere giudiziario, effettuato da un soggetto privato per fini esclusivamente personali sarebbe soggetto alle disposizioni del d.lgs. 196/2003 solo se i dati siano destinati a una comunicazione sistematica o alla diffusione e sarebbe in tal caso subordinato al consenso dell'interessato, a meno che il trattamento riguardi dati provenienti da pubblici registri o elenchi conoscibili da chiunque (Cass. pen., Sez. III, n. 5728/2004; nel caso di specie la S.C. ha ritenuto che l'aver comunicato ad alcuni "provider" le generalità, l'indirizzo, ivi compreso quello di posta elettronica, il numero di telefono e il codice fiscale di una persona senza il suo consenso, al fine di aprire un sito internet e tre nuovi indirizzi di posta elettronica a nome di tale persona, non integra il reato di cui all'art. 167, comma 1, d.lgs. 196/2003; conf. Cass. pen., Sez. V, n. 46454/2008).

In sintesi, erano ritenute penalmente rilevanti da parte del privato:

• la condotta di utilizzazione di dati che fuoriesca estranea rispetto alla sfera personale e domestica dell'agente e che in quanto tale non può essere ritenuta riconducibile a fini esclusivamente personali
• la condotta che, pur realizzata per fini esclusivamente personali, consista nella diffusione dei dati, ancorché in forma non sistematica. (Cass. pen., Sez. III, n. 6587/2016; per Cass. pen., Sez. III, n. 29071/2013 il reato è stato escluso nei confronti dei delegati alla raccolta delle firme per la presentazione di liste elettorali che avevano formato un elenco di sottoscrittori con firme false, utilizzando nominativi effettivamente esistenti presso l'ufficio anagrafe). La "sistematicità" costituisce un requisito della comunicazione e non anche della diffusione che, in quanto modalità estesa di propagazione del dato, realizza sempre un "vulnus" alle esigenze di protezione del dato personale.

Particolare rilievo hanno assunto, in relazione al delitto in oggetto, le valutazione in ordine allo svolgimento dell'attività giornalistica. In tema di diffusione dei dati personali per tali fini, l'essenzialità dell'informazione riguardo a fatti di interesse pubblico quale presupposto, in assenza del consenso dell'interessato, di liceità della condotta deve essere inquadrata nel generale parametro della continenza, nel senso dell'indispensabile osservanza del limite di contemperamento tra la necessità del diritto di cronaca e la tutela della riservatezza del dato (Cass. pen., Sez. III, n. 17215/2011; fattispecie di pubblicazione di fotografie di minore morente a seguito di evento omicidiario ritenuta eccedente rispetto alla funzione di divulgazione della notizia, pur di interesse pubblico)

Come già nella precedente versione dell'art. 167 citato, le condotte sono state precisate con un riferimento agli articoli contenenti gli specifici obblighi.

I riferimenti, tuttavia, non corrispondono all'attuale versione delle norme.

L'art. 167, comma 1, sanzionava il trattamento in violazione degli obblighi degli artt. 18 (Principi applicabili a tutti i trattamenti effettuati da soggetti pubblici), 19 (Principi applicabili al trattamento di dati diversi da quelli sensibili e giudiziari), 23 (Consenso), 123 (Dati relativi al traffico), 126 (Dati relativi all'ubicazione), 130 (Comunicazioni indesiderate) e del provvedimento di cui all'art. 129 (Elenchi di abbonati, in tema di modalità di inserimento e di successivo utilizzo dei dati personali relativi agli abbonati negli elenchi cartacei o elettronici a disposizione del pubblico). Nella nuova versione non sono previsti le violazioni degli artt. 18,19 e 23.

A sua volta l'art. 167, comma 2, citato, sanzionava il trattamento in violazione degli obblighi – con particolare riferimento ai dati sensibili e a quelli giudiziari- di cui agli artt. 17, (Trattamento che presenta rischi specifici), 20 (Principi applicabili al trattamento di dati sensibili), 21(Principi applicabili al trattamento di dati giudiziari), 22 (Principi applicabili al trattamento di dati sensibili e giudiziari – commi 8 e 11 ), 25 (Divieti di comunicazione e diffusione), 26 (Garanzie per i dati sensibili), 27 (Garanzie per i dati giudiziari), 45 (Trasferimenti vietati).

L'attuale comma secondo dell'art. 167, sanziona il trattamento dei dati di cui agli articoli 9 e 10 del Regolamento, laddove le condotte previste cagionino un nocumento, in violazione, alternativamente:

• delle disposizioni di cui agli articoli art. 2-sexie e 2-octies
• delle misure di garanzia di cui all'art. 2-septies

ovvero di chi opera in violazione delle misure adottate ai sensi dell'articolo 2-quinquiesdecies.

La piena comprensione della norma impone di ricordare che, a decorrere dal 25 maggio 2018 le espressioni dati sensibili e dati giudiziari utilizzate ai sensi dell'articolo 4, comma 1, lettere d) e e), del codice in materia di protezione dei dati personali, di cui al d.lgs. 196/2003, ovunque ricorrano, s'intendono riferite, rispettivamente, alle categorie particolari di dati di cui all'articolo 9 del regolamento (Ue)2016/679 (Trattamento di categorie particolari di dati personali) e ai dati di cui all'articolo 10 del medesimo regolamento (Trattamento dei dati personali relativi a condanne penali e reati).

In concreto, si tratta delle violazioni degli obblighi dell'art. 2-sexies (Trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante) e 2-octies (Principi relativi al trattamento di dati relativi a condanne penali e reati) e delle misure di garanzia di cui all'art. 2-septies (Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute).

Inoltre, è sanzionata la condotta di chi opera in violazione delle misure adottate dall'art. 2-quinquiesdecies (Trattamento che presenta rischi elevati per l'esecuzione di un compito di interesse pubblico).

La nuova fattispecie di cui all'art. 167, comma 3, citato decreto, riprende il contenuto del pregresso comma secondo, laddove quest'ultimo puniva il trattamento effettato in violazione degli obblighi di cui all'art. 45 (prima rubricato “Trasferimenti vietati”). La nuova norma sanzione con la medesima pena prevista per il comma 2, la condotta di chi “procedendo al trasferimento dei dati personali verso un paese terzo o un'organizzazione internazionale al di fuori dei casi consentiti ai sensi degli articoli 45, 46 o 49 del Regolamento, arreca nocumento all'interessato”. Ancora una volta il nocumento deve essere ritenuto elemento costitutivo della fattispecie, mentre la condotta tipizzata riguarda la violazione degli obblighi di cui agli artt. 45 (Trasferimento sulla base di una decisione di adeguatezza), 46 (Trasferimento soggetto a garanzie adeguate) e 49 (Deroghe in specifiche situazioni).

Sul tema, è stata riconosciuta tale da integrare il delitto di cui all'art. 167, comma 2, d.lgs. 196/2003 la divulgazione per finalità giornalistiche di dati personali diversi da quelli sensibili e giudiziari senza il consenso dell'interessato, effettuata in violazione dei limiti del diritto di cronaca e della essenzialità dell'informazione ovvero dei principi stabiliti dal codice deontologico adottato dall'ordine professionale, cui deve riconoscersi natura di fonte normativa (Cass. pen., Sez. III, ord. n. 7504/2013: fattispecie relativa alla pubblicazione, di fotografie e altri dati identificativi, riguardanti un minore vittima di sinistro stradale).

La modifica delle fattispecie di cui all'art. 167 impone una valutazione, ai sensi dell'art. 3 c.p., sulla sussistenza della continuità normativa tra le vecchie e le nuove fattispecie, ai sensi dell'art. 2, comma 4, c.p. Un'operazione ermeneutica che può giovarsi delle indicazioni specifiche che la S.C. aveva fornito a seguito della modifica della fattispecie di cui all'art. 35 l. 675/1996 con l'entrata in vigore dello stesso art. 167 d.lgs. 196/2003.

L'indicazione della S.C. era stata univoca in tal senso: sussiste continuità normativa tra il previgente reato di cui all'art. 35 della legge n. 675 del 1996 (trattamento illecito di dati personali) - abrogato dall'art. 183 d.lgs. n. 196/2003 - e la nuova fattispecie incriminatrice introdotta dall'art. 167 del d.lgs. 196/2003 (trattamento illecito di dati); né rileva in senso contrario che il nocumento della persona offesa - previsto da entrambe le fattispecie di reato- costituisca nel reato previgente di pericolo presunto circostanza aggravante, e condizione obiettiva di punibilità in quello vigente, in quanto quel che rileva è che il fatto (condotta ed elemento psicologico) costituente reato nella normativa previgente lo sia anche in quella vigente (Cass., Sez.5, n. 44940, 28/9/2011: al riguardo la S.C. ha precisato che, ciò nonostante, la legge previgente deve ritenersi più favorevole all'imputato, potendo la circostanza aggravante - a differenza della condizione obiettiva di punibilità - costituire oggetto del giudizio di bilanciamento, "ex" art. 69 c.p.).

Tra le due fattispecie sussiste un rapporto di continuità normativa, essendo identici sia l'elemento soggettivo sia gli elementi oggettivi, in quanto le condotte di "comunicazione" e "diffusione" dei dati sensibili sono ora ricomprese nella più ampia dizione di "trattamento" dei dati sensibili (Cass. pen., Sez. III, n. 16145/2008; conf. Cass. pen., Sez. III, n. 38406/2008) e il nocumento per la persona offesa, che si configurava nella previgente fattispecie come circostanza aggravante, rappresenta, nella nuova disposizione, una condizione obiettiva di punibilità, nonché l'elemento soggettivo caratterizzato dal dolo specifico (Cass. pen., Sez. III, n. 28680/2004).

Nella nuova comparazione è verosimile che si possa giungere a una soluzione analoga, specie considerando che la S.C. aveva intrapreso da alcuni anni una prospettiva diretta a inquadrare il nocumento tra gli elementi costitutivi della fattispecie, di modo che è certamente possibile cogliere una continuità normativa tra le ipotesi considerate. Il mantenimento, poi, delle medesime pene (salvo il caso della comunicazione o diffusione, che dovrebbe essere raffrontato con le nuove fattispecie di cui agli arte 167-bis e -ter del decreto) si pone come ulteriore elemento sintonico rispetto all'ipotesi della continuità.

La l. 101/2018, con l'art. 15, ha introdotto nel d.lgs. 167/2003 due fattispecie apparentemente nuove, che in realtà – in qualche modo- si sostituiscono a quanto era previsto dall'art. 167, comma 1, 2° ipotesi, nella sua precedente versione. Per tale norma: «Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per se' o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell'articolo 129, e' punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi».

I concetti di “comunicazione” e “ diffusione” sono al centro della nuova fattispecie delineata dall'art. 167-bis, rubricata “Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala”. La nuova versione del d.lgs. 196/2003 non prevede più una norma contenente definizioni; la stessa è contenuta nel Regolamento 679/2016, anche se nella stessa non è dato reperire entrambi i concetti; nella precedente versione del decreto erano tratteggiati come segue:

- "comunicazione", il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;

- "diffusione", il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;

Anche in questo caso il legislatore – come per l'art. 167-ter, come vedremo- ha premesso alla descrizione della condotta la clausola Salvo che il fatto costituisca più grave reato, nonché l'indicazione del dolo specifico alternativo rappresentato dalla finalità di trarre profitto per sé o altri ovvero al fine di arrecare danno.

La condotta di comunicazione o diffusione è ripartita su due ipotesi, di pari gravità sul piano sanzionatorio (reclusione da uno a sei anni) ma significativamente più gravi rispetto ai delitti dell'art. 167 citato.

Nel primo comma, in relazione alla violazione degli artt. 2-ter (Base giuridica per il trattamento di dati personali effettuato per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri), 2-sexies (Trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante) e 2-octies (Principi relativi al trattamento di dati relativi a condanne penali e reati).

Nel secondo comma è stigmatizzata negativamente la comunicazione o diffusione, senza consenso, “quando il consenso dell'interessato è richiesto per le operazioni di comunicazione e di diffusione”.

A sua volta l'art. 167 ter (Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala), sanziona in termini di minore gravita (reclusione da uno quattro anni) la condotta di acquisizione con mezzi fraudolenti.

Il tratto comune – e innovativo- delle tre fattispecie è dato dall'oggetto della condotta, indicato come «un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala».

È singolare il fatto che, nell'ambito di un complesso di norma ampio e dettagliato, siano state “costruite” fattispecie con elementi la cui definizione non sia rinvenibile nel sistema. Si tratta di scelta espressiva non grave per il concetto di “parte sostanziale”, trattandosi di richiamo “quantitativo” rimesso alla sensibilità dell'interprete. Resta il fatto che la condotta è delineata considerando un “archivio automatizzato” e il trattamento “ su larga scala”.

Di archivio automatizzato il Legislatore italiano- e quello europeo- non parlano mai. Nella precedente versione del d.lgs. 196/2003 era presente il concetto di “banca di dati"- all'art. 4- ossia “ qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti”. Definizione non più presente nella nuova versione del d.lgs. 196/2003.

L'archivio automatizzato è una banca dati? Verosimilmente sì. Il punto è che se il legislatore ha usato un termine diverso, dobbiamo ipotizzare che abbia inteso qualcosa di diverso, probabilmente di più ampio. Seppure a fatica, si potrebbe pensare che l'archivio automatizzato contenente dati personali potrebbe anche non essere “organizzato”, ossia concepito in termini logico-funzionali per gestire di dati. Più verosimilmente, potrebbe trattarsi di una formula sostanzialmente coincidente con quella già contenuta nel d.lgs. 196/2003.

Ben più ampio – e serio- il problema della comprensione del concetto di “trattamento su larga scala”. Concetto ricorrente nel Regolamento 769/2016 EU, nel medesimo abbinato- tra l'altro al trattamento di "categorie particolari di dati personali" (Art. 9) e di "dati relativi a condanne penali e a reati" (art. 10) nonché alla "sorveglianza di zone accessibili su larga scala". Situazioni tali da determinare, nel Regolamento, specifiche conseguenze, quali l'istituzione della figura del responsabile della protezione dei dati per autorità pubbliche e nel settore provato (art. 37, Cons. 97), la valutazione d'impatto sulla protezione dei dati prima del trattamento (art. 35, Cons. 90-91) e la nomina di un rappresentante, in caso di titolare o responsabile del trattamento non stabilito nell'Unione Europea (art. 27, Cons. 80)

Nonostante le predette conseguenze (e dunque a prescindere dal richiamo effettuato dal legislatore italiano del concetto nell'ambito delle fattispecie penali de quo) il Regolamento citato e il d.lgs. 196/2003 non contemplano una definizione di “trattamento su larga scala”.

Rectius: troviamo una sola indicazione di segno negativo, laddove si stabilisce che "non dovrebbe essere considerato un trattamento su larga scala qualora riguardi dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato" (Cons. 91).

L'interprete, a fronte delle situazioni sopra descritte, può fare riferimento solo a fonti ermeneutiche indirette ( in attesa di indicazioni del Garante), quali le linee guida del Working Party 29 (gruppo di lavoro comune della autorità nazionali di vigilanza e protezione dei dati, organismo consultivo indipendente); indicazioni che, indubbiamente, (art. 2.1.3 "Larga scala" ) da un lato prendendo atto dell'impossibilità di precisare la quantità di dati oggetto di trattamento o il numero di interessati in modo da coprire tutte le eventualità, ipotizzando, al contrario, la possibilità di individuare quantomeno alcuni standard utili a riconoscere la sussistenza delle situazioni in oggetto.

Occorre considerare al riguardo i considerando 91 del Regolamento menzionato , laddove, in relazione a una serie di indicazioni riferibili al trattamento sul larga scala, precisa:

«Ciò dovrebbe applicarsi in particolare ai trattamenti su larga scala, che mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato, ad esempio, data la loro sensibilità, laddove, in conformità con il grado di conoscenze tecnologiche raggiunto, si utilizzi una nuova tecnologia su larga scala, nonché ad altri trattamenti che presentano un rischio elevato per i diritti e le libertà degli interessati, specialmente qualora tali trattamenti rendano più difficoltoso, per gli interessati, l'esercizio dei propri diritti».

Il Working Party 29 aveva individuato una serie di fattori che possono essere considerati ai fini della individuazione:

• numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento;
• volume dei dati e/o le diverse tipologie di dati oggetto di trattamento;
• durata, ovvero la persistenza, dell'attività di trattamento;
• portata geografica dell'attività di trattamento.

L'interprete dovrà, nell'immediato e in assenza di indicazioni giurisprudenziali specifiche, verificare la sussistenza del trattamento su larga scala avvalendosi dei criteri sopra indicati, nonché tenendo conto, per quanto possibile, di pregresse indirette decisioni della S.C.

Utili, al riguardo, possono essere ritenute alcune sentenze in tema di illecito trattamento dei dati personali di cui all'art. 167 d.lgs. 196/2003; è stato così ritenuto trattamento illecito:

• la condotta di chi, acquisiti nel tempo innumerevoli dati personali relativi anche al traffico telefonico, in conseguenza dell'attività svolta come consulente tecnico del pubblico ministero, trattiene e "incrocia" gli stessi senza il consenso né dell'A.G. che aveva conferito l'incarico, né degli interessati, e successivamente li utilizza per lo svolgimento di ulteriori incarichi retribuiti di consulenza e per la pubblicazione di libri e articoli. (Cass. pen., Sez. VI, n. 10618/2014)
• l'indebito utilizzo di un "data-base" contenente l'elenco di utenti iscritti a una "newsletter" ai quali venivano inviati messaggi pubblicitari non autorizzati provenienti da altro operatore (cosiddetto "spamming"), che traeva profitto dalla percezione di introiti commerciali e pubblicitari, con corrispondente nocumento per l'immagine del titolare della banca dati abusivamente consultata e per gli stessi utenti, costretti a cancellare i messaggi di posta indesiderata, a predisporre accorgimenti per impedire ulteriori invii e a tutelare la "privacy" dalla circolazione non autorizzata delle informazioni personali. Cass. pen., Sez. III, n. 23798/2012).
• l'abusivo invio di una pluralità di messaggi pubblicitari indesiderati (cosiddetto spamming) a una moltitudine di utenti iscritti a una "newsletter" senza l'indicazione dei nomi dei destinatari o la descrizione dettagliata del volume e della frequenza del traffico di rete, non essendo esigibile lo sforzo investigativo per risalire ai titolari degli "identificativi" o degli "indirizzi mail", al fine di accertare l'eventuale gradimento della ricezione delle comunicazioni elettroniche. (Cass. pen., Sez. III n. 23798/2012).

La prospettiva investigativa, al riguardo, impone poi di considerare il profilo dell'onere probatorio; in termini generali, sarà ovviamente la pubblica accusa a dover provare, quale elemento costitutivo del reato, l'entità su larga scala del trattamento. In questo senso, è interessante notare come proprio l'ottemperanza a indicazioni normative - sopra richiamate- specifiche del trattamento su larga scala, potranno essere elementi probatori di rilievo, in caso di criticità- per valutare la sussistenza delle fattispecie in oggetto.

In concreto, potrebbero essere esclusi dall'area di rilevanza penale de quo trattamenti di dati relativi a dati giudiziari penali effettuati da un singolo avvocato o di pazienti effettuati da un singolo professionista sanitario. Al contrario, pare difficile escludere al concetto di larga scala il trattamento effettuato da società telefoniche o di trasporti, provider, banche, assicurazioni e dalle strutture ospedaliere.