Comunicare dati personali altrui rinvenuti su Internet senza consenso dell’interessato per concludere contratti e pubblicare messaggi a nome di quest’ultimo non costituisce trattamento illecito di dati secondo una recente sentenza della Corte di Cassazione.
La Suprema Corte è tornata recentemente ad occuparsi del reato di “trattamento illecito di dati” personali oggi previsto e punito dall’art. 167 del Codice della privacy[1] con una nuova, interessante, decisione (Cass., sez. III pen., sent. 17/11/2004-15/02/2005 n. 5728)[2].
La Corte ha stabilito infatti che la comunicazione di dati personali altrui rinvenuti su Internet senza consenso dell’interessato – per le ragioni che si vanno ad illustrare – non è idonea a configurare il reato di cui al richiamato art. 167.
Con l’impugnata sentenza emessa ai sensi dell’art. 444 c.p.p., il Tribunale di Como, in data 8 gennaio 2004, aveva applicato all’imputato la pena, concordata tra le parti, di due mesi di reclusione[3] in ordine ai reati di cui
a) all’art. 612 cpv. c.p. per aver reiteratamente arrecato una minaccia grave di un male ingiusto mediante l’invio di una serie di lettere anonime;
b) all’art. 35 legge 675/1996[4] previgente per avere reiteratamente, senza il consenso dell’interessata ed al fine di procurarle un danno, comunicato i dati personali di quest’ultima (generalità, indirizzo, recapiti telefonici e di posta elettronica, numero di codice fiscale) a soggetti terzi, ed in particolare aprendo a suo nome un dominio internet e due indirizzi di posta elettronica e iscrivendola ad un sito di messaggeria erotica[5].
L’imputato proponeva dunque ricorso per cassazione contro la suddetta sentenza relativamente all’imputazione di cui al capo b), deducendo erronea interpretazione ed applicazione dell’art. 35 L. 675/1996[6].
La condotta contestata all’imputato, rileva preliminarmente la Corte, è quella di avere, senza il consenso dell’interessata e al fine di procurarle un danno, comunicato i dati personali di costei a soggetti terzi per aprire a suo nome un sito internet, per iscriverla a un sito di messaggeria erotica e ivi pubblicare a suo nome un messaggio, nonché per aprire a suo nome due indirizzi di posta elettronica presso due distinti provider.
Il Tribunale aveva in proposito ritenuto che tale condotta integrasse il reato di cui all’art. 35 L. 675/1996, applicando conseguentemente la pena richiesta anche in ordine a tale contestazione.
In primo luogo, la Corte correttamente evidenzia che la L. 675/1996 è stata, com’è noto, abrogata a seguito dell’entrata in vigore del Codice della privacy (D.L.vo 196/2003), avvenuta in data primo gennaio 2004, e cioè in data anteriore a quella di emissione della sentenza impugnata (8/01/2004)[7].
Detta sentenza, prosegue la Corte, ha pertanto erroneamente mancato di considerare e applicare il Codice; anche se, rileva, la decisione sarebbe comunque erronea perché il fatto non integrava il reato contestato nemmeno alla stregua della precedente e meno favorevole normativa[8].
Ciò posto, la Corte osserva che né il capo di imputazione né la sentenza impugnata specificano quale, tra le disposizioni contemplate dal vigente art. 167 del Codice ai fini del reato di trattamento illecito di dati, sarebbe stata violata dall’imputato.
Procedendo per esclusione[9], la Suprema Corte giunge comunque ad affermare che, nella fattispecie, risulta astrattamente ipotizzabile la sola violazione dell’art. 23, comma 1, del Codice, il quale dispone che il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell’interessato ovvero dell’art. 25, comma 1, il quale prevede i casi in cui la comunicazione e la diffusione dei dati sono vietate.
Quanto precede, secondo la Corte, perché, tra l’altro, non sarebbe ravvisabile nel caso di specie un trattamento di dati sensibili[10].
Considerato però che, tra i fatti contestati all’imputato, vi è anche quello di aver pubblicato su un sito di messaggeria erotica un messaggio a nome dell’interessata, sorge il dubbio se i dati personali contenuti in tale messaggio, o quelli forniti per l’iscrizione al sito in questione, possano essere ricondotti alla categoria dei dati idonei a rivelare la vita sessuale di quest’ultima e, quindi, alla categoria dei dati sensibili, con conseguente rilevanza delle specifiche norme dettate a loro protezione[11].
Con riguardo all’art. 23, comma 1, sopra richiamato, la Corte rileva che per trattamento ai fini del Codice della privacy (art. 4) si intende “qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati”.
Il consenso richiesto dall’art. 23 si riferisce pertanto, argomenta la Corte, non solo al trattamento in senso proprio dei dati, ma anche alla loro comunicazione e diffusione, vietando anche le stesse senza consenso dell’interessato[12].
Tale disposizione – prosegue la Corte – nonché il divieto in essa previsto devono essere però interpretati e integrati tenendo conto anche di quanto stabilito dagli artt. 5, comma 3, e 24 del D.L.vo 196/2003.
La prima delle norme appena citate stabilisce che il trattamento – e quindi, ribadisce la Corte, anche la comunicazione dei dati – effettuato da persone fisiche per fini esclusivamente personali è soggetto all’applicazione delle disposizioni di cui al testo unico solo se i dati sono destinati ad una comunicazione sistematica[13] o alla diffusione, ferma restando peraltro l’applicazione delle disposizioni in tema di responsabilità e di sicurezza dei dati di cui agli artt. 15 e 31.
Nella fattispecie, secondo la contestazione, i dati personali sarebbero stati forniti dall’imputato a quattro provider al fine di aprire un sito internet e tre nuovi indirizzi di posta elettronica, e quindi in realtà, sempre secondo il capo di imputazione, non sarebbero stati esposti alla pubblica consultazione, ma solo consegnati a un imprenditore privato quale fornitore del servizio richiesto, sicché, rileva la Corte, non può configurarsi una diffusione di dati o una comunicazione sistematica, non essendovi un pubblico accesso agli stessi o una loro immediata esposizione.
Da ciò consegue, secondo la Corte, che l’imputato, in relazione al trattamento in discorso, non era soggetto agli obblighi di cui al D.L.vo 196/2003, proprio in virtù del richiamato art. 5. Egli pertanto, in particolare, non avrebbe avuto l’obbligo di procurarsi il preventivo consenso informato dell’interessata per procedere alla comunicazione – non sistematica – dei dati di costei.
La conclusione cui giunge la Suprema Corte, così come sopra esposta, lascia però molto perplessi laddove si consideri che tra i fatti contestati all’imputato vi sono anche quelli di aver iscritto l’interessata a un sito di messaggeria erotica, ivi pubblicando un messaggio a suo nome, nonché di avere aperto un sito web a suo nome.
Con particolare riferimento al messaggio, pare infatti plausibile ritenere che esso, oltre a contenere dati personali dell’interessata – giacché in caso contrario non sarebbe stato possibile ricollegarlo alla medesima – fosse anche disponibile on-line a tutti i visitatori del sito erotico in questione o quantomeno agli utenti registrati di esso.
La pubblicazione su un sito web di dati personali realizza certamente una diffusione di dati, quale messa a disposizione degli stessi a soggetti indeterminati, o quantomeno una loro comunicazione sistematica.
A parere dello scrivente, l’imputato doveva dunque intendersi soggetto alle disposizioni del Codice della privacy.
D’altra parte, in una diversa occasione, la Suprema Corte ha confermato la condanna di un uomo che aveva diffuso su Internet, tramite pubblicazione su un sito web di carattere pornografico, un video della ex fidanzata che la ritraeva in uno spogliarello, contestualmente al suo numero di telefono.
In tale circostanza, la Corte di Cassazione ha ritenuto senz’altro applicabile il Codice della privacy, considerando i dati trattati quali dati sensibili poiché idonei a rivelare la vita sessuale dell’interessata[14].
Sarebbe d’altronde singolare ammettere la possibilità di invocare utilmente il “fine esclusivamente personale” del trattamento in casi come quello in esame, in cui la raccolta e la comunicazione dei dati ben difficilmente possono ritenersi effettuate per soddisfare interessi culturali o altre normali esigenze della vita di relazione[15].
Siamo del resto di fronte ad un caso riconducibile al “furto d’identità” (identity theft), considerato che l’imputato ha utilizzato i dati personali dell’interessata di cui è venuto in possesso per sostituirsi a quest’ultima nella conclusione di contratti e nel compimento di altre attività[16].
Con riferimento all’altra disposizione rilevante in relazione all’art. 23, vale a dire l’art. 24, che disciplina i casi nei quali può essere effettuato il trattamento senza consenso, la Corte osserva poi quanto segue.
Ai sensi dell’art. 24, comma 1, lett. c), il consenso dell’interessato non è richiesto quando il trattamento – e quindi la comunicazione – riguarda “dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati”.
La Corte rileva che, nel caso sottoposto al suo esame, i dati comunicati dall’imputato a terzi erano “reperibili da chiunque in pubblici registri, pubblici elenchi e siti internet (non essendo stato nemmeno contestato che alcuni di questi dati, come il numero telefonico, fossero riservati)”.
La conseguenza è quella, secondo la Corte di Cassazione, che nella specie – anche a voler ritenere applicabile il testo unico – in virtù della sussistenza della richiamata ipotesi di esclusione del consenso, non sarebbe pertanto configurabile la violazione di quanto disposto dall’art. 23, e quindi non sarebbe nemmeno configurabile la sussistenza del reato di cui all’art. 167, comma 1, D.L.vo 196/2003.
Occorre in proposito evidenziare che con la sentenza in esame la Suprema Corte pare accogliere una nozione di dato pubblico piuttosto diversa da quella sinora fatta propria dal Garante per la protezione dei dati personali e ricavabile, a giudizio dello scrivente, da una corretta lettura dell’art. 24.
Nel vigore della precedente disciplina, l’ipotesi di esclusione del consenso in parola aveva suscitato infatti diverse questioni applicative, con riferimento soprattutto ai dati (indirizzo e-mail, fax…) rinvenuti su siti web o newsgroup e utilizzati per l’invio di messaggi promozionali non richiesti.
Con diversi provvedimenti, il Garante aveva comunque stabilito il principio, più volte riaffermato, secondo cui la previsione della lettera c) dell’art. 12 L. 675/1996 previgente, oggi confluita nell’art. 24, lett. c), D.L.vo 196/2003, non doveva intendersi come riferita a qualunque dato personale di fatto consultabile da una pluralità di persone, bensì ai soli dati personali che, oltre ad essere desunti da registri, elenchi, atti o documenti “pubblici”, fossero sottoposti anche ad un regime giuridico di piena conoscibilità, da parte di chiunque[17].
Nella fattispecie, la persona offesa è un personaggio pubblico, giocatrice di pallacanestro. I dati trattati, secondo la difesa dell’imputato, erano “liberamente rinvenibili in internet, in elenchi pubblici all’inserimento nei quali l’interessata ha consentito”.
L’imputato, ammiratore e tifoso della giocatrice, aveva potuto raccogliere le generalità dell’atleta e gli altri suoi dati dal sito della squadra sportiva di appartenenza e dagli altri siti collegati o siti di ricerca.
Stante quanto sopra illustrato, l’ipotesi di esclusione del consenso di cui all’art. 24 lett. c) non pare però possa trovare applicazione nella specie rispetto a quei dati semplicemente rinvenuti su Internet che non fossero anche soggetti ad un regime giuridico di piena conoscibilità.
La Corte passa poi ad esaminare se ricorra nella fattispecie la violazione dell’altra disposizione ritenuta astrattamente rilevante, vale a dire l’art. 25 del Codice della privacy, giungendo anche in questo caso ad escludere la sussistenza di una tale violazione.
Ciò in quanto la comunicazione dei dati, secondo la Corte, come già visto, è stata effettuata da una persona fisica per fini esclusivamente personali, in ordine a dati non destinati né a diffusione né a comunicazione sistematica; trattamento dunque sottratto dall’applicazione del Codice ex art. 5.
Anche allorché si volesse considerare applicabile il Codice, l’art. 25, prosegue la Corte, non risulterebbe comunque violato, in quanto non ricorre alcuno dei divieti in esso previsti, in particolare quello correlato all’obbligo di notificazione del trattamento[18].
Infine, la Suprema Corte osserva che nel capo di imputazione non è stato nemmeno contestato che dal comportamento dell’imputato sia derivato un qualche nocumento all’interessata.
L’art. 167 prevede infatti che i reati ivi previsti siano punibili soltanto “se dal fatto deriva nocumento”. A tale locuzione deve essere attribuita natura giuridica di condizione obiettiva di punibilità[19].
Anche sotto tale ultimo profilo la decisione della Corte lascia però perplessi. La condotta dell’imputato, come sopra descritta, pare infatti fonte di un apprezzabile nocumento per l’interessata, con riferimento, in particolare, alla lesione del diritto alla protezione dei dati personali e del diritto all’identità personale di cui agli artt. 1 e 2 del Codice.
D’altronde, come già accennato, in una diversa occasione è stato ritenuto sussistere un nocumento ai fini dell’art. 167, comma 2, D.L.vo 196/2003 in relazione alla lesione della tranquillità e dell’immagine sociale subita dall’interessata in conseguenza della condotta dell’ex fidanzato, il quale aveva diffuso sul web immagini della donna tratte da una videocassetta contenente un suo spogliarello, unitamente al suo numero telefonico[20].
In conclusione, la Corte ritiene dunque che nel caso sottoposto al suo esame, per tutte le ragioni sopra esposte e in larga parte criticate, non sussistevano gli estremi del reato di trattamento illecito di dati, e con la sentenza in commento annulla senza rinvio la decisione impugnata, disponendo per la prosecuzione del giudizio.
--------------------------------------------------------------------------------
[1] L’art. 167 D.L.vo 196/2003 dispone quanto segue.
“1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell’articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.
2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni”.
Il testo integrale del Codice della privacy può essere consultato su www.iusreporter.it all’indirizzo www.iusreporter.it/Testi/codiceprivacy.htm.
[2] Il testo della sentenza è disponibile su www.altalex.com all’indirizzo www.altalex.com/index.php?idnot=29220&asnofrt=true. Si veda ivi anche il commento di M. Gobbato, le cui argomentazioni, come meglio si esporrà nel prosieguo, sono in larga parte condivisibili.
[3] Sostituita con la corrispondente pena pecuniaria di euro 2.323,80 di multa.
[4] Il testo della legge 675/1996, con le modifiche apportate dal D.L.vo 467/2001, è disponibile su www.iusreporter.it all’indirizzo www.iusreporter.it/Testi/legge675-1996.htm.
[5] Il Tribunale aveva dichiarato altresì di non doversi procedere in ordine al reato di diffamazione per mancanza di querela.
[6] Si legge nella decisione che l’imputato “lamenta che erroneamente la sentenza impugnata ha ritenuto configurata l’ipotesi di un illecito trattamento dei dati della persona offesa. Infatti, dagli articoli 3 e 20, lettera b), legge 675/96 emerge che il trattamento dei dati personali effettuato da persone fisiche per fini esclusivamente personali non è soggetto all’applicazione della legge, sempre che i dati non siano destinati alla comunicazione sistematica o alla diffusione, ed emerge che la comunicazione e diffusione dei dati da parte di privati sono ammesse se i dati provengono da pubblici registri o elenchi. Orbene i dati in questione sono liberamente rinvenibili in internet, in elenchi pubblici all’inserimento dei quali l’interessata ha consentito. Inoltre, nella specie la persona offesa è un personaggio pubblico, perché giocatrice della nazionale femminile di pallacanestro, il che determina una maggiore esposizione alla notorietà”.
Secondo la difesa dell’imputato, dunque, quest’ultimo “ammiratore e tifoso della giocatrice, ha quindi potuto raccogliere le sue generalità e gli altri dati dal sito della squadra sportiva e dagli altri siti collegati o siti di ricerca, per aprirsi della caselle di posta elettronica. Ciò non integra il reato contestato, perché la comunicazione ad un provider dei dati personali per aprire un indirizzo elettronico non implica che tali dati vengano esposti alla pubblica consultazione, né una comunicazione sistematica. Del resto la persona offesa non ha denunciato il fatto né ha esercitato i diritti di cui all’articolo 13 legge 675/96, sicché non è integrata la fattispecie del trattamento illecito dei dati personali, né sotto il profilo della condotta materiale né sotto quello del dolo specifico. Inoltre, è successivamente intervenuto il D.Lgs 196/03 che ha introdotto una disciplina penale più favorevole. Infatti, l’articolo 167 del D.Lgs 196/03, pur risultando in continuità logica con l’articolo 35 legge 675/96, è maggiormente favorevole all’imputato perché esige, oltre al dolo specifico, l’elemento oggettivo costituito dal fatto di recare un effettivo, e quindi concreto, nocumento”.
[7] Artt. 183 e 186 D.L.vo 196/2003.
[8] Sulla continuità normativa tra vecchia e nuova disciplina, v. Cass., sez. III pen., sent. 26680/2004, disponibile su www.criminologia.it all’indirizzo www.criminologia.it/giustizia/sms_reato.htm.
[9] “Poiché non si tratta di dati sensibili o giudiziari, ovvero di dati idonei a rivelare lo stato di salute, non è prospettabile alcuna violazione al disposto dell’articolo 18 (che riguarda i trattamenti effettuati da soggetti pubblici), o dell’articolo 19 (che riguarda il trattamento e la comunicazione da parte di soggetti pubblici di dati diversi da quelli sensibili e giudiziari), o agli articoli 123, 126 e 130 (che riguardano i dati relativi al traffico o all’ubicazione ovvero le comunicazioni indesiderate nell’ambito delle comunicazioni elettroniche), o dell’articolo 129 (che riguarda la formazione degli elenchi di abbonati), o dell’articolo 17 (che riguarda il trattamento di dati che presentano rischi specifici per i diritti e le libertà fondamentali e per la dignità dell’interessato), o dell’articolo 20 (che riguarda il trattamento di dati sensibili), o dell’articolo 21 (che riguarda il trattamento di dati giudiziari), o dell’articolo 22 (che riguarda i dati idonei a rivelare lo stato di salute), o degli articoli 26 e 27 (che riguardano rispettivamente i dati sensibili ed i dati giudiziari) o dell’articoli 45 (che riguarda il trasferimento di dati fuori dal territorio dello Stato)”.
[10] Per dati sensibili, ai sensi dell’art. 4, comma 1, lett. d), del Codice, devono intendersi “i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”.
[11] Si ricorda altresì che il testo unico accoglie una nozione molto ampia di dato personale, da intendersi come “qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale” (art. 4, comma 1, lett. b)).
[12] Si ricorda che per comunicazione s’intende il “dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione” (art. 4, comma 1, lett. l)); per diffusione s’intende invece “il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione” (art. 4, comma 1, lett. m)).
[13] Una comunicazione quindi non saltuaria o episodica.
[14] Si tratta della già richiamata Cass., sez. III pen., 26680/2004. In proposito si veda G. Briganti, Pubblica su un sito web un video della ex fidanzata con il suo numero di telefono: condannato per trattamento illecito di dati personali, in www.iusreporter.it, www.iusreporter.it/Testi/trattamentoillecito.htm; F.G. Catullo, Sulle molestie telefoniche via sms, in Diritto dell’Internet, Milano, Ipsoa, n. 1/2005, pp. 51 ss.
[15] Cfr. Riccardo e Rosario Imperiali, Codice della privacy. Commento alla normativa sulla protezione dei dati personali, Milano, Il Sole 24 Ore, 2004, p. 85.
[16] Sull’identity theft, con riferimento all’ordinamento statunitense, v. www.consumer.gov/idtheft; www.idtheftcenter.org.
[17] Si vedano in proposito G. Briganti, Privacy, codice comunicazioni e commercio elettronico: quando si hanno le idee chiare, 2004, disponibile nella sezione “Internet” degli e-book di www.iusondemand.com, e autori ivi citati.
La formulazione attuale della disposizione in parola prevede d’altronde espressamente che siano fatti comunque salvi i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati.
[18] “Per quanto concerne invece il divieto di comunicazione e diffusione di cui all’articolo 25, questo stabilisce che la comunicazione e la diffusione dei dati personali sono vietati allorché ricorra una delle seguenti ipotesi:
a) si tratti di comunicazione o diffusione vietate espressamente dal garante o dall’autorità giudiziaria;
b) si tratti di comunicazione o diffusione di dati personali dei quali è stata ordinata la cancellazione o quando è decorso il periodo di tempo necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati;
c) la comunicazione o la diffusione avvengano per finalità diverse da quelle indicate nella notificazione del trattamento, ove prescritta.
Quindi, quando non si tratta di uno dei primi due casi (divieto espresso del garante o dell’autorità giudiziaria, dati dei quali è stata ordinata la cancellazione o per i quali è decorso il tempo per il quale potevano essere conservati) perché sia applicabile la terza ipotesi, ossia perché sia applicabile il divieto di comunicazione e diffusione è necessario che esse avvengano per finalità diverse da quelle indicate nella notificazione, e pertanto è necessario che si tratti di dati per il cui trattamento è prescritto l’obbligo della notificazione. Se invece la comunicazione e la diffusione riguardano dati per il cui trattamento non è prescritta la notificazione, allora non sussiste il divieto di cui all’articolo 25, comma 1, lettera b), e conseguentemente non è nemmeno configurabile il reato di cui all’articolo 167, comma 2. In altri termini, presupposto per la violazione dell’articolo. 25, comma 1, lettera b), e quindi per l’esistenza del reato, è che la comunicazione o diffusione riguardino dati per il cui trattamento è obbligatoria la notificazione, e pertanto che comunicazione o diffusione siano effettuate da un soggetto sul quale incombe il detto obbligo di notificazione del trattamento. Solo in tale caso, infatti, comunicazione e diffusione potranno essere fatte per finalità diverse da quelle indicate nella notificazione.
Ora, come si è dianzi osservato, nel caso in esame la comunicazione è stata effettuata da una persona fisica per fini esclusivamente personali e riguardava dati non destinati ad una comunicazione sistematica o alla diffusione, e pertanto, ai sensi dell’articolo 5, comma 3, non trovavano applicazione le disposizioni di cui al D. Lgs 196/03. L’imputato quindi non era soggetto all’obbligo di notificazione e quindi non poteva violare la disposizione di cui all’articolo 25.
Ma la situazione non muterebbe anche se al caso fossero applicabili le disposizioni del testo unico. L’obbligo di notificazione, infatti, è prescritto entro limiti ben precisi e per ipotesi specificamente determinate dall’articolo 37, il quale dispone che il titolare deve notificare al Garante il trattamento di dati personali cui intende procedere, esclusivamente quando il trattamento riguarda: a) dati genetici, biometrici o che indicano la posizione geografica mediante una rete di comunicazione elettronica; b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini ivi indicati; c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati dai soggetti ivi indicati; d) dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica; e) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, o utilizzati per sondaggi di opinione o ricerche di mercato; f) dati registrati in apposite banche elettroniche relative al rischio sulla solvibilità economica, alla situazione patrimoniale, a comportamenti illeciti o fraudolenti.
E’ quindi evidente che l’imputato non era certamente soggetto all’obbligo di notificazione. Pertanto, non era configurabile la violazione del divieto di cui all’articolo 25, comma 1, lettera b), e di conseguenza nemmeno il reato di cui all’articolo 167, comma 2, D. Lgs 196/03”.
[19] Cass., sez. III pen., sent. 26680/2004 cit.; Cass., sez. III pen., sent. 28/05-9/07 2004, 1134 (30134/2004).
Nell’ultima sentenza citata si osserva che la modifica più evidente apportata dal Codice della privacy all'art. 35 L. 675/1996 (ora art. 167 del testo unico) consiste sul piano strutturale nella previsione nella fattispecie criminosa base dell'elemento del nocumento attraverso la locuzione "se dal fatto deriva nocumento", precedentemente costituente soltanto una circostanza aggravante, sicché il delitto è stato trasformato da reato di pericolo presunto a quello di pericolo concreto con un'ulteriore maggiore tipicizzazione del danno e del profitto.
La nozione di nocumento, secondo l'elaborazione dottrinale già effettuata sotto il vigore della pregressa normativa per la circostanza aggravante di cui all’art. 35, comma 3, L. 675/1996, può essere riferita, prosegue la Corte, sia alla persona del soggetto cui i dati si riferiscono sia al suo patrimonio in termini di perdita patrimoniale o di mancato guadagno, derivante dalla circolazione non autorizzata di dati personali.
Peraltro, l'inclusione di detto concetto nella fattispecie penale, in uno con la previsione del dolo specifico, ad avviso della Corte, sembra maggiormente tipizzare un evento di danno direttamente ed immediatamente collegabile e documentabile nei confronti di soggetti cui i dati raccolti sono riferiti, sicché deve aversi riguardo ad ipotesi concrete di vulnus e di discriminazioni a causa dell'intervenuta violazione della normativa richiamata nel precetto penale.
Dunque devono essere senza dubbio escluse, secondo la sentenza in parola, le semplici violazioni formali ed irregolarità procedimentali, ma anche quelle inosservanze che producano un vulnus minimo all'identità personale del soggetto ed alla sua privacy come ivi definite sia nell'aspetto negativo sia positivo e non determinino alcun danno patrimoniale apprezzabile.
In proposito, si rimanda a G. Briganti, Trattamento illecito di dati personali solo in presenza di un apprezzabile nocumento per l’interessato. Nota a Cass., sez. III pen., sent. 28/05-9/07 2004, 1134 (30134/2004), in www.iusreporter.it, www.iusreporter.it/Testi/sentenza167.htm e autori ivi citati.
[20] Cass., sez. III pen., sent. 26680/2004 cit.; G. Briganti, Pubblica su un sito web un video della ex fidanzata con il suo numero di telefono: condannato per trattamento illecito di dati personali cit.
La Suprema Corte è tornata recentemente ad occuparsi del reato di “trattamento illecito di dati” personali oggi previsto e punito dall’art. 167 del Codice della privacy[1] con una nuova, interessante, decisione (Cass., sez. III pen., sent. 17/11/2004-15/02/2005 n. 5728)[2].
La Corte ha stabilito infatti che la comunicazione di dati personali altrui rinvenuti su Internet senza consenso dell’interessato – per le ragioni che si vanno ad illustrare – non è idonea a configurare il reato di cui al richiamato art. 167.
Con l’impugnata sentenza emessa ai sensi dell’art. 444 c.p.p., il Tribunale di Como, in data 8 gennaio 2004, aveva applicato all’imputato la pena, concordata tra le parti, di due mesi di reclusione[3] in ordine ai reati di cui
a) all’art. 612 cpv. c.p. per aver reiteratamente arrecato una minaccia grave di un male ingiusto mediante l’invio di una serie di lettere anonime;
b) all’art. 35 legge 675/1996[4] previgente per avere reiteratamente, senza il consenso dell’interessata ed al fine di procurarle un danno, comunicato i dati personali di quest’ultima (generalità, indirizzo, recapiti telefonici e di posta elettronica, numero di codice fiscale) a soggetti terzi, ed in particolare aprendo a suo nome un dominio internet e due indirizzi di posta elettronica e iscrivendola ad un sito di messaggeria erotica[5].
L’imputato proponeva dunque ricorso per cassazione contro la suddetta sentenza relativamente all’imputazione di cui al capo b), deducendo erronea interpretazione ed applicazione dell’art. 35 L. 675/1996[6].
La condotta contestata all’imputato, rileva preliminarmente la Corte, è quella di avere, senza il consenso dell’interessata e al fine di procurarle un danno, comunicato i dati personali di costei a soggetti terzi per aprire a suo nome un sito internet, per iscriverla a un sito di messaggeria erotica e ivi pubblicare a suo nome un messaggio, nonché per aprire a suo nome due indirizzi di posta elettronica presso due distinti provider.
Il Tribunale aveva in proposito ritenuto che tale condotta integrasse il reato di cui all’art. 35 L. 675/1996, applicando conseguentemente la pena richiesta anche in ordine a tale contestazione.
In primo luogo, la Corte correttamente evidenzia che la L. 675/1996 è stata, com’è noto, abrogata a seguito dell’entrata in vigore del Codice della privacy (D.L.vo 196/2003), avvenuta in data primo gennaio 2004, e cioè in data anteriore a quella di emissione della sentenza impugnata (8/01/2004)[7].
Detta sentenza, prosegue la Corte, ha pertanto erroneamente mancato di considerare e applicare il Codice; anche se, rileva, la decisione sarebbe comunque erronea perché il fatto non integrava il reato contestato nemmeno alla stregua della precedente e meno favorevole normativa[8].
Ciò posto, la Corte osserva che né il capo di imputazione né la sentenza impugnata specificano quale, tra le disposizioni contemplate dal vigente art. 167 del Codice ai fini del reato di trattamento illecito di dati, sarebbe stata violata dall’imputato.
Procedendo per esclusione[9], la Suprema Corte giunge comunque ad affermare che, nella fattispecie, risulta astrattamente ipotizzabile la sola violazione dell’art. 23, comma 1, del Codice, il quale dispone che il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell’interessato ovvero dell’art. 25, comma 1, il quale prevede i casi in cui la comunicazione e la diffusione dei dati sono vietate.
Quanto precede, secondo la Corte, perché, tra l’altro, non sarebbe ravvisabile nel caso di specie un trattamento di dati sensibili[10].
Considerato però che, tra i fatti contestati all’imputato, vi è anche quello di aver pubblicato su un sito di messaggeria erotica un messaggio a nome dell’interessata, sorge il dubbio se i dati personali contenuti in tale messaggio, o quelli forniti per l’iscrizione al sito in questione, possano essere ricondotti alla categoria dei dati idonei a rivelare la vita sessuale di quest’ultima e, quindi, alla categoria dei dati sensibili, con conseguente rilevanza delle specifiche norme dettate a loro protezione[11].
Con riguardo all’art. 23, comma 1, sopra richiamato, la Corte rileva che per trattamento ai fini del Codice della privacy (art. 4) si intende “qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati”.
Il consenso richiesto dall’art. 23 si riferisce pertanto, argomenta la Corte, non solo al trattamento in senso proprio dei dati, ma anche alla loro comunicazione e diffusione, vietando anche le stesse senza consenso dell’interessato[12].
Tale disposizione – prosegue la Corte – nonché il divieto in essa previsto devono essere però interpretati e integrati tenendo conto anche di quanto stabilito dagli artt. 5, comma 3, e 24 del D.L.vo 196/2003.
La prima delle norme appena citate stabilisce che il trattamento – e quindi, ribadisce la Corte, anche la comunicazione dei dati – effettuato da persone fisiche per fini esclusivamente personali è soggetto all’applicazione delle disposizioni di cui al testo unico solo se i dati sono destinati ad una comunicazione sistematica[13] o alla diffusione, ferma restando peraltro l’applicazione delle disposizioni in tema di responsabilità e di sicurezza dei dati di cui agli artt. 15 e 31.
Nella fattispecie, secondo la contestazione, i dati personali sarebbero stati forniti dall’imputato a quattro provider al fine di aprire un sito internet e tre nuovi indirizzi di posta elettronica, e quindi in realtà, sempre secondo il capo di imputazione, non sarebbero stati esposti alla pubblica consultazione, ma solo consegnati a un imprenditore privato quale fornitore del servizio richiesto, sicché, rileva la Corte, non può configurarsi una diffusione di dati o una comunicazione sistematica, non essendovi un pubblico accesso agli stessi o una loro immediata esposizione.
Da ciò consegue, secondo la Corte, che l’imputato, in relazione al trattamento in discorso, non era soggetto agli obblighi di cui al D.L.vo 196/2003, proprio in virtù del richiamato art. 5. Egli pertanto, in particolare, non avrebbe avuto l’obbligo di procurarsi il preventivo consenso informato dell’interessata per procedere alla comunicazione – non sistematica – dei dati di costei.
La conclusione cui giunge la Suprema Corte, così come sopra esposta, lascia però molto perplessi laddove si consideri che tra i fatti contestati all’imputato vi sono anche quelli di aver iscritto l’interessata a un sito di messaggeria erotica, ivi pubblicando un messaggio a suo nome, nonché di avere aperto un sito web a suo nome.
Con particolare riferimento al messaggio, pare infatti plausibile ritenere che esso, oltre a contenere dati personali dell’interessata – giacché in caso contrario non sarebbe stato possibile ricollegarlo alla medesima – fosse anche disponibile on-line a tutti i visitatori del sito erotico in questione o quantomeno agli utenti registrati di esso.
La pubblicazione su un sito web di dati personali realizza certamente una diffusione di dati, quale messa a disposizione degli stessi a soggetti indeterminati, o quantomeno una loro comunicazione sistematica.
A parere dello scrivente, l’imputato doveva dunque intendersi soggetto alle disposizioni del Codice della privacy.
D’altra parte, in una diversa occasione, la Suprema Corte ha confermato la condanna di un uomo che aveva diffuso su Internet, tramite pubblicazione su un sito web di carattere pornografico, un video della ex fidanzata che la ritraeva in uno spogliarello, contestualmente al suo numero di telefono.
In tale circostanza, la Corte di Cassazione ha ritenuto senz’altro applicabile il Codice della privacy, considerando i dati trattati quali dati sensibili poiché idonei a rivelare la vita sessuale dell’interessata[14].
Sarebbe d’altronde singolare ammettere la possibilità di invocare utilmente il “fine esclusivamente personale” del trattamento in casi come quello in esame, in cui la raccolta e la comunicazione dei dati ben difficilmente possono ritenersi effettuate per soddisfare interessi culturali o altre normali esigenze della vita di relazione[15].
Siamo del resto di fronte ad un caso riconducibile al “furto d’identità” (identity theft), considerato che l’imputato ha utilizzato i dati personali dell’interessata di cui è venuto in possesso per sostituirsi a quest’ultima nella conclusione di contratti e nel compimento di altre attività[16].
Con riferimento all’altra disposizione rilevante in relazione all’art. 23, vale a dire l’art. 24, che disciplina i casi nei quali può essere effettuato il trattamento senza consenso, la Corte osserva poi quanto segue.
Ai sensi dell’art. 24, comma 1, lett. c), il consenso dell’interessato non è richiesto quando il trattamento – e quindi la comunicazione – riguarda “dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati”.
La Corte rileva che, nel caso sottoposto al suo esame, i dati comunicati dall’imputato a terzi erano “reperibili da chiunque in pubblici registri, pubblici elenchi e siti internet (non essendo stato nemmeno contestato che alcuni di questi dati, come il numero telefonico, fossero riservati)”.
La conseguenza è quella, secondo la Corte di Cassazione, che nella specie – anche a voler ritenere applicabile il testo unico – in virtù della sussistenza della richiamata ipotesi di esclusione del consenso, non sarebbe pertanto configurabile la violazione di quanto disposto dall’art. 23, e quindi non sarebbe nemmeno configurabile la sussistenza del reato di cui all’art. 167, comma 1, D.L.vo 196/2003.
Occorre in proposito evidenziare che con la sentenza in esame la Suprema Corte pare accogliere una nozione di dato pubblico piuttosto diversa da quella sinora fatta propria dal Garante per la protezione dei dati personali e ricavabile, a giudizio dello scrivente, da una corretta lettura dell’art. 24.
Nel vigore della precedente disciplina, l’ipotesi di esclusione del consenso in parola aveva suscitato infatti diverse questioni applicative, con riferimento soprattutto ai dati (indirizzo e-mail, fax…) rinvenuti su siti web o newsgroup e utilizzati per l’invio di messaggi promozionali non richiesti.
Con diversi provvedimenti, il Garante aveva comunque stabilito il principio, più volte riaffermato, secondo cui la previsione della lettera c) dell’art. 12 L. 675/1996 previgente, oggi confluita nell’art. 24, lett. c), D.L.vo 196/2003, non doveva intendersi come riferita a qualunque dato personale di fatto consultabile da una pluralità di persone, bensì ai soli dati personali che, oltre ad essere desunti da registri, elenchi, atti o documenti “pubblici”, fossero sottoposti anche ad un regime giuridico di piena conoscibilità, da parte di chiunque[17].
Nella fattispecie, la persona offesa è un personaggio pubblico, giocatrice di pallacanestro. I dati trattati, secondo la difesa dell’imputato, erano “liberamente rinvenibili in internet, in elenchi pubblici all’inserimento nei quali l’interessata ha consentito”.
L’imputato, ammiratore e tifoso della giocatrice, aveva potuto raccogliere le generalità dell’atleta e gli altri suoi dati dal sito della squadra sportiva di appartenenza e dagli altri siti collegati o siti di ricerca.
Stante quanto sopra illustrato, l’ipotesi di esclusione del consenso di cui all’art. 24 lett. c) non pare però possa trovare applicazione nella specie rispetto a quei dati semplicemente rinvenuti su Internet che non fossero anche soggetti ad un regime giuridico di piena conoscibilità.
La Corte passa poi ad esaminare se ricorra nella fattispecie la violazione dell’altra disposizione ritenuta astrattamente rilevante, vale a dire l’art. 25 del Codice della privacy, giungendo anche in questo caso ad escludere la sussistenza di una tale violazione.
Ciò in quanto la comunicazione dei dati, secondo la Corte, come già visto, è stata effettuata da una persona fisica per fini esclusivamente personali, in ordine a dati non destinati né a diffusione né a comunicazione sistematica; trattamento dunque sottratto dall’applicazione del Codice ex art. 5.
Anche allorché si volesse considerare applicabile il Codice, l’art. 25, prosegue la Corte, non risulterebbe comunque violato, in quanto non ricorre alcuno dei divieti in esso previsti, in particolare quello correlato all’obbligo di notificazione del trattamento[18].
Infine, la Suprema Corte osserva che nel capo di imputazione non è stato nemmeno contestato che dal comportamento dell’imputato sia derivato un qualche nocumento all’interessata.
L’art. 167 prevede infatti che i reati ivi previsti siano punibili soltanto “se dal fatto deriva nocumento”. A tale locuzione deve essere attribuita natura giuridica di condizione obiettiva di punibilità[19].
Anche sotto tale ultimo profilo la decisione della Corte lascia però perplessi. La condotta dell’imputato, come sopra descritta, pare infatti fonte di un apprezzabile nocumento per l’interessata, con riferimento, in particolare, alla lesione del diritto alla protezione dei dati personali e del diritto all’identità personale di cui agli artt. 1 e 2 del Codice.
D’altronde, come già accennato, in una diversa occasione è stato ritenuto sussistere un nocumento ai fini dell’art. 167, comma 2, D.L.vo 196/2003 in relazione alla lesione della tranquillità e dell’immagine sociale subita dall’interessata in conseguenza della condotta dell’ex fidanzato, il quale aveva diffuso sul web immagini della donna tratte da una videocassetta contenente un suo spogliarello, unitamente al suo numero telefonico[20].
In conclusione, la Corte ritiene dunque che nel caso sottoposto al suo esame, per tutte le ragioni sopra esposte e in larga parte criticate, non sussistevano gli estremi del reato di trattamento illecito di dati, e con la sentenza in commento annulla senza rinvio la decisione impugnata, disponendo per la prosecuzione del giudizio.
--------------------------------------------------------------------------------
[1] L’art. 167 D.L.vo 196/2003 dispone quanto segue.
“1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell’articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.
2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni”.
Il testo integrale del Codice della privacy può essere consultato su www.iusreporter.it all’indirizzo www.iusreporter.it/Testi/codiceprivacy.htm.
[2] Il testo della sentenza è disponibile su www.altalex.com all’indirizzo www.altalex.com/index.php?idnot=29220&asnofrt=true. Si veda ivi anche il commento di M. Gobbato, le cui argomentazioni, come meglio si esporrà nel prosieguo, sono in larga parte condivisibili.
[3] Sostituita con la corrispondente pena pecuniaria di euro 2.323,80 di multa.
[4] Il testo della legge 675/1996, con le modifiche apportate dal D.L.vo 467/2001, è disponibile su www.iusreporter.it all’indirizzo www.iusreporter.it/Testi/legge675-1996.htm.
[5] Il Tribunale aveva dichiarato altresì di non doversi procedere in ordine al reato di diffamazione per mancanza di querela.
[6] Si legge nella decisione che l’imputato “lamenta che erroneamente la sentenza impugnata ha ritenuto configurata l’ipotesi di un illecito trattamento dei dati della persona offesa. Infatti, dagli articoli 3 e 20, lettera b), legge 675/96 emerge che il trattamento dei dati personali effettuato da persone fisiche per fini esclusivamente personali non è soggetto all’applicazione della legge, sempre che i dati non siano destinati alla comunicazione sistematica o alla diffusione, ed emerge che la comunicazione e diffusione dei dati da parte di privati sono ammesse se i dati provengono da pubblici registri o elenchi. Orbene i dati in questione sono liberamente rinvenibili in internet, in elenchi pubblici all’inserimento dei quali l’interessata ha consentito. Inoltre, nella specie la persona offesa è un personaggio pubblico, perché giocatrice della nazionale femminile di pallacanestro, il che determina una maggiore esposizione alla notorietà”.
Secondo la difesa dell’imputato, dunque, quest’ultimo “ammiratore e tifoso della giocatrice, ha quindi potuto raccogliere le sue generalità e gli altri dati dal sito della squadra sportiva e dagli altri siti collegati o siti di ricerca, per aprirsi della caselle di posta elettronica. Ciò non integra il reato contestato, perché la comunicazione ad un provider dei dati personali per aprire un indirizzo elettronico non implica che tali dati vengano esposti alla pubblica consultazione, né una comunicazione sistematica. Del resto la persona offesa non ha denunciato il fatto né ha esercitato i diritti di cui all’articolo 13 legge 675/96, sicché non è integrata la fattispecie del trattamento illecito dei dati personali, né sotto il profilo della condotta materiale né sotto quello del dolo specifico. Inoltre, è successivamente intervenuto il D.Lgs 196/03 che ha introdotto una disciplina penale più favorevole. Infatti, l’articolo 167 del D.Lgs 196/03, pur risultando in continuità logica con l’articolo 35 legge 675/96, è maggiormente favorevole all’imputato perché esige, oltre al dolo specifico, l’elemento oggettivo costituito dal fatto di recare un effettivo, e quindi concreto, nocumento”.
[7] Artt. 183 e 186 D.L.vo 196/2003.
[8] Sulla continuità normativa tra vecchia e nuova disciplina, v. Cass., sez. III pen., sent. 26680/2004, disponibile su www.criminologia.it all’indirizzo www.criminologia.it/giustizia/sms_reato.htm.
[9] “Poiché non si tratta di dati sensibili o giudiziari, ovvero di dati idonei a rivelare lo stato di salute, non è prospettabile alcuna violazione al disposto dell’articolo 18 (che riguarda i trattamenti effettuati da soggetti pubblici), o dell’articolo 19 (che riguarda il trattamento e la comunicazione da parte di soggetti pubblici di dati diversi da quelli sensibili e giudiziari), o agli articoli 123, 126 e 130 (che riguardano i dati relativi al traffico o all’ubicazione ovvero le comunicazioni indesiderate nell’ambito delle comunicazioni elettroniche), o dell’articolo 129 (che riguarda la formazione degli elenchi di abbonati), o dell’articolo 17 (che riguarda il trattamento di dati che presentano rischi specifici per i diritti e le libertà fondamentali e per la dignità dell’interessato), o dell’articolo 20 (che riguarda il trattamento di dati sensibili), o dell’articolo 21 (che riguarda il trattamento di dati giudiziari), o dell’articolo 22 (che riguarda i dati idonei a rivelare lo stato di salute), o degli articoli 26 e 27 (che riguardano rispettivamente i dati sensibili ed i dati giudiziari) o dell’articoli 45 (che riguarda il trasferimento di dati fuori dal territorio dello Stato)”.
[10] Per dati sensibili, ai sensi dell’art. 4, comma 1, lett. d), del Codice, devono intendersi “i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”.
[11] Si ricorda altresì che il testo unico accoglie una nozione molto ampia di dato personale, da intendersi come “qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale” (art. 4, comma 1, lett. b)).
[12] Si ricorda che per comunicazione s’intende il “dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione” (art. 4, comma 1, lett. l)); per diffusione s’intende invece “il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione” (art. 4, comma 1, lett. m)).
[13] Una comunicazione quindi non saltuaria o episodica.
[14] Si tratta della già richiamata Cass., sez. III pen., 26680/2004. In proposito si veda G. Briganti, Pubblica su un sito web un video della ex fidanzata con il suo numero di telefono: condannato per trattamento illecito di dati personali, in www.iusreporter.it, www.iusreporter.it/Testi/trattamentoillecito.htm; F.G. Catullo, Sulle molestie telefoniche via sms, in Diritto dell’Internet, Milano, Ipsoa, n. 1/2005, pp. 51 ss.
[15] Cfr. Riccardo e Rosario Imperiali, Codice della privacy. Commento alla normativa sulla protezione dei dati personali, Milano, Il Sole 24 Ore, 2004, p. 85.
[16] Sull’identity theft, con riferimento all’ordinamento statunitense, v. www.consumer.gov/idtheft; www.idtheftcenter.org.
[17] Si vedano in proposito G. Briganti, Privacy, codice comunicazioni e commercio elettronico: quando si hanno le idee chiare, 2004, disponibile nella sezione “Internet” degli e-book di www.iusondemand.com, e autori ivi citati.
La formulazione attuale della disposizione in parola prevede d’altronde espressamente che siano fatti comunque salvi i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati.
[18] “Per quanto concerne invece il divieto di comunicazione e diffusione di cui all’articolo 25, questo stabilisce che la comunicazione e la diffusione dei dati personali sono vietati allorché ricorra una delle seguenti ipotesi:
a) si tratti di comunicazione o diffusione vietate espressamente dal garante o dall’autorità giudiziaria;
b) si tratti di comunicazione o diffusione di dati personali dei quali è stata ordinata la cancellazione o quando è decorso il periodo di tempo necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati;
c) la comunicazione o la diffusione avvengano per finalità diverse da quelle indicate nella notificazione del trattamento, ove prescritta.
Quindi, quando non si tratta di uno dei primi due casi (divieto espresso del garante o dell’autorità giudiziaria, dati dei quali è stata ordinata la cancellazione o per i quali è decorso il tempo per il quale potevano essere conservati) perché sia applicabile la terza ipotesi, ossia perché sia applicabile il divieto di comunicazione e diffusione è necessario che esse avvengano per finalità diverse da quelle indicate nella notificazione, e pertanto è necessario che si tratti di dati per il cui trattamento è prescritto l’obbligo della notificazione. Se invece la comunicazione e la diffusione riguardano dati per il cui trattamento non è prescritta la notificazione, allora non sussiste il divieto di cui all’articolo 25, comma 1, lettera b), e conseguentemente non è nemmeno configurabile il reato di cui all’articolo 167, comma 2. In altri termini, presupposto per la violazione dell’articolo. 25, comma 1, lettera b), e quindi per l’esistenza del reato, è che la comunicazione o diffusione riguardino dati per il cui trattamento è obbligatoria la notificazione, e pertanto che comunicazione o diffusione siano effettuate da un soggetto sul quale incombe il detto obbligo di notificazione del trattamento. Solo in tale caso, infatti, comunicazione e diffusione potranno essere fatte per finalità diverse da quelle indicate nella notificazione.
Ora, come si è dianzi osservato, nel caso in esame la comunicazione è stata effettuata da una persona fisica per fini esclusivamente personali e riguardava dati non destinati ad una comunicazione sistematica o alla diffusione, e pertanto, ai sensi dell’articolo 5, comma 3, non trovavano applicazione le disposizioni di cui al D. Lgs 196/03. L’imputato quindi non era soggetto all’obbligo di notificazione e quindi non poteva violare la disposizione di cui all’articolo 25.
Ma la situazione non muterebbe anche se al caso fossero applicabili le disposizioni del testo unico. L’obbligo di notificazione, infatti, è prescritto entro limiti ben precisi e per ipotesi specificamente determinate dall’articolo 37, il quale dispone che il titolare deve notificare al Garante il trattamento di dati personali cui intende procedere, esclusivamente quando il trattamento riguarda: a) dati genetici, biometrici o che indicano la posizione geografica mediante una rete di comunicazione elettronica; b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini ivi indicati; c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati dai soggetti ivi indicati; d) dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica; e) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, o utilizzati per sondaggi di opinione o ricerche di mercato; f) dati registrati in apposite banche elettroniche relative al rischio sulla solvibilità economica, alla situazione patrimoniale, a comportamenti illeciti o fraudolenti.
E’ quindi evidente che l’imputato non era certamente soggetto all’obbligo di notificazione. Pertanto, non era configurabile la violazione del divieto di cui all’articolo 25, comma 1, lettera b), e di conseguenza nemmeno il reato di cui all’articolo 167, comma 2, D. Lgs 196/03”.
[19] Cass., sez. III pen., sent. 26680/2004 cit.; Cass., sez. III pen., sent. 28/05-9/07 2004, 1134 (30134/2004).
Nell’ultima sentenza citata si osserva che la modifica più evidente apportata dal Codice della privacy all'art. 35 L. 675/1996 (ora art. 167 del testo unico) consiste sul piano strutturale nella previsione nella fattispecie criminosa base dell'elemento del nocumento attraverso la locuzione "se dal fatto deriva nocumento", precedentemente costituente soltanto una circostanza aggravante, sicché il delitto è stato trasformato da reato di pericolo presunto a quello di pericolo concreto con un'ulteriore maggiore tipicizzazione del danno e del profitto.
La nozione di nocumento, secondo l'elaborazione dottrinale già effettuata sotto il vigore della pregressa normativa per la circostanza aggravante di cui all’art. 35, comma 3, L. 675/1996, può essere riferita, prosegue la Corte, sia alla persona del soggetto cui i dati si riferiscono sia al suo patrimonio in termini di perdita patrimoniale o di mancato guadagno, derivante dalla circolazione non autorizzata di dati personali.
Peraltro, l'inclusione di detto concetto nella fattispecie penale, in uno con la previsione del dolo specifico, ad avviso della Corte, sembra maggiormente tipizzare un evento di danno direttamente ed immediatamente collegabile e documentabile nei confronti di soggetti cui i dati raccolti sono riferiti, sicché deve aversi riguardo ad ipotesi concrete di vulnus e di discriminazioni a causa dell'intervenuta violazione della normativa richiamata nel precetto penale.
Dunque devono essere senza dubbio escluse, secondo la sentenza in parola, le semplici violazioni formali ed irregolarità procedimentali, ma anche quelle inosservanze che producano un vulnus minimo all'identità personale del soggetto ed alla sua privacy come ivi definite sia nell'aspetto negativo sia positivo e non determinino alcun danno patrimoniale apprezzabile.
In proposito, si rimanda a G. Briganti, Trattamento illecito di dati personali solo in presenza di un apprezzabile nocumento per l’interessato. Nota a Cass., sez. III pen., sent. 28/05-9/07 2004, 1134 (30134/2004), in www.iusreporter.it, www.iusreporter.it/Testi/sentenza167.htm e autori ivi citati.
[20] Cass., sez. III pen., sent. 26680/2004 cit.; G. Briganti, Pubblica su un sito web un video della ex fidanzata con il suo numero di telefono: condannato per trattamento illecito di dati personali cit.
