home  Pubblicazioni

Trattamento illecito di dati personali solo in presenza di un apprezzabile nocumento per l’interessato.
Nota a Cass., sez. III pen., sent. 28/05-9/07 2004, 1134 (30134/2004)

di Giuseppe Briganti, avvocato

 

La Suprema Corte ha avuto modo recentemente di intervenire con una interessante decisione in merito al reato di “trattamento illecito di dati” personali oggi previsto e punito dall’art. 167 del Codice della privacy[1].

La sentenza (Cass., sez. III pen., sent. 28/05-9/07 2004, 1134 (30134/2004))[2], afferma che – in relazione alla nozione di “nocumento” contemplata dal richiamato art. 167 quale condizione obiettiva di punibilità – dall’ambito della fattispecie penale devono essere senza dubbio escluse le semplici violazioni formali ed irregolarità procedimentali, ma anche quelle inosservanze che producano un ‘vulnus’ minimo all'identità personale del soggetto ed alla sua privacy […] sia nell'aspetto negativo sia positivo e non determinino alcun danno patrimoniale apprezzabile”.

La vicenda trae origine dal trattamento di dati personali svolto dall’imputato senza consenso degli interessati per scopi di propaganda elettorale. Nella specie si trattava dei dati contenuti in un elenco di iscritti ad una associazione, alla quale egli stesso apparteneva. La Corte di Appello, con riferimento alla previgente disciplina di cui alla legge 675/1996[3], aveva condannato l’imputato per trattamento illecito di dati personali (art. 35 L. 675/1996).

In considerazione della sopravvenuta disciplina di cui al Codice della privacy, la Corte di Cassazione accoglie invece il ricorso proposto avverso la suddetta sentenza della Corte di Appello, annullando senza rinvio il provvedimento impugnato.

La precedente normativa – art. 35, comma 1, L. 675/1996[4] – anche dopo le modifiche introdotte con il D.L.vo 467/2001, prevedeva un reato di pericolo presunto, aggravato dall'evento nell'ipotesi contemplata al terzo comma della predetta disposizione, caratterizzato dal dolo specifico con funzione selettiva delle varie fattispecie criminose, anche se i termini profitto e danno, evidenzia la Suprema Corte, devono essere intesi nella massima estensione, comprendendo tutte le situazioni di pregiudizio e vantaggio anche non patrimoniale[5].

L'interesse protetto, rileva ancora la Corte, “non è solo ‘strumentale’ o formale cioè, in un reato di mera disobbedienza, posto a presidio della tutela penale di disposizioni civilistiche quale rimedio ordinamentale volto al riequilibrio di un interesse privato violato per l'assenza della manifestazione di volontà dei soggetti interessati o per contrasto con gli indirizzi dell'Autorità di garanzia, ma, in relazione alle differenti condotte, si atteggia diversamente con un grado differente, ma da ricondurre nel più generale profilo della riservatezza e nel quadro della nozione di trattamento” di cui all’art. 1 L. 675/1996[6] sicché si riferisce ad ogni attività inquadrabile nella rilevazione e nella catalogazione dei dati, in qualsiasi forma, purché produttiva di un risultato informativo coerente e significativo[7].

Pertanto, proprio con riferimento al dolo specifico, non ogni semplice irregolarità procedimentale può essere ritenuta idonea a costituire reato, poiché determina una condizione di pericolosità, giacché una simile estensione sarebbe in contrasto con gli interessi protetti della riservatezza e dell'identità personale cioè della privacy intesa nella duplice valenza positiva e negativa quale libertà di escludere l'indiscriminato accesso di terzi ai dati personali e libertà di garantire all'interessato il controllo della correttezza e non eccedenza del trattamento al fine di salvaguardare l'identità personale.

Tuttavia, prosegue la Corte, esclusa la necessità della comunicazione sistematica e della diffusione, relativa ad altra condotta criminosa ex art. 20 L. 675/1996, l'utilizzazione di dati per fini elettorali non può ritenersi effettuata per fini esclusivamente personali, ma per motivi di profitto e vantaggio, la cui sussistenza determina l'assoggettamento alle sanzioni previste dalla legge in virtù del combinato disposto degli artt. 11 e 12 L. 675/1996[8], né essere scriminata dalla lettera h-bis) dell'art. 12 L. 675/1996, come introdotta dal D.L.vo 467/2001[9], poiché non è prevista fra i casi individuati dall'Autorità garante e non attiene ad un interesse pubblico (la libera determinazione del voto), ma privato (la ricerca di consenso personale elettorale).

Rispetto al quadro suesposto, ricavabile dalla precedente disciplina, la Suprema Corte giustamente rileva che la modifica più evidente apportata dal Codice della privacy all'art. 35 L. 675/1996 (ora art. 167 del testo unico) consiste sul piano strutturale nella previsione nella fattispecie criminosa base dell'elemento del nocumento attraverso la locuzione "se dal fatto deriva nocumento", precedentemente costituente soltanto una circostanza aggravante, sicché il delitto è stato trasformato da reato di pericolo presunto a quello di pericolo concreto con un'ulteriore maggiore tipicizzazione del danno e del profitto.

La nozione di nocumento, secondo l'elaborazione dottrinale già effettuata sotto il vigore della pregressa normativa per la circostanza aggravante di cui all’art. 35, comma 3, L. 675/1996, può essere riferita sia alla persona del soggetto cui i dati si riferiscono sia al suo patrimonio in termini di perdita patrimoniale o di mancato guadagno, derivante dalla circolazione non autorizzata di dati personali.

Peraltro, l'inclusione di detto concetto nella fattispecie penale, in uno con la previsione del dolo specifico, ad avviso della Corte, sembra maggiormente tipizzare un evento di danno direttamente ed immediatamente collegabile e documentabile nei confronti di soggetti cui i dati raccolti sono riferiti, sicché deve aversi riguardo ad ipotesi concrete di vulnus e di discriminazioni a causa dell'intervenuta violazione della normativa richiamata nel precetto penale.

Dunque, come già accennato, devono essere senza dubbio escluse le semplici violazioni formali ed irregolarità procedimentali, ma anche quelle inosservanze che producano un vulnus minimo all'identità personale del soggetto ed alla sua privacy come sopra definite sia nell'aspetto negativo sia positivo e non determinino alcun danno patrimoniale apprezzabile.

Ciò posto, la Corte rileva che, nel caso sottoposto al suo esame, appare insussistente un nocumento individuato sotto tale profilo, perché gli interessati-denuncianti appaiono “indispettiti dall'utilizzazione a fini diversi da quelli statutari, altamente umanitari, dei propri dati personali per piegarli all'interesse personale di un singolo, che riteneva di reperire voti di preferenza per la tornata elettorale dell'elezione al Consiglio Comunale di […], spendendo la sua appartenenza a detta associazione, sicché, al limite, il nocumento non attiene ai singoli, ma all'immagine della benemerita istituzione, la quale ne potrebbe restare sminuita per l'appartenenza di soggetti pronti a strumentalizzare un'adesione disinteressata ed altamente solidale”. Tuttavia, prosegue la Corte, anche sotto questo profilo chi ne resta sminuito è l’imputato, tanto più che i dati sono stati, secondo la ricostruzione della Corte di Appello, indebitamente tratti dal computer, in cui erano immessi per inviarli ad istituzioni pubbliche.

Rilevata così l'assenza di un nocumento, la Corte si sofferma poi sulla natura giuridica da attribuire a detta locuzione, se elemento costitutivo della fattispecie oppure condizione obiettiva di punibilità, concludendo nel senso che appare preferibile la configurazione del nocumento quale condizione obiettiva di punibilità ex art. 44 cod. pen.[10], in quanto questa appare essere l’esegesi costituzionalmente orientata.

Una diversa soluzione esporrebbe infatti la norma penale, secondo la Corte, a possibili censure di legittimità costituzionale, sotto il profilo della tassatività e determinatezza della fattispecie incriminatrice (art. 25 Cost.)[11].

Anche in altra occasione la Corte è d’altro canto pervenuta alla medesima conclusione, qualificando – con riferimento all’art. 167, comma 2 – il verificarsi di un nocumento quale condizione obiettiva di punibilità cd. intrinseca, perché aggrava l’offesa insita nel fatto tipico del reato[12].

“Del resto – sottolinea la Corte nella sentenza in commento – la stessa nozione di ‘nocumento’ su individuata e le ragioni ad essa sottese dimostrano come il legislatore abbia voluto ‘selezionare’ tra le condotte che esprimono già in sé un'offesa al bene giuridico su indicato quelle che, in relazione all'aspetto soggettivo ed a quello oggettivo, assumono un significato più pregnante e non minimale”[13].

Le ipotesi delittuose contemplate dall’art. 167 devono pertanto essere circoscritte ai casi in cui il bene tutelato subisca una effettiva e tangibile lesione, dimostrata dal verificarsi del nocumento[14].

Affinché il reato giunga a consumazione, non è d’altronde necessario che l’evento specificamente perseguito dall’autore si realizzi, essendo viceversa sufficiente che dal fatto derivi nocumento[15]. La natura di condizione obiettiva di punibilità implica inoltre, naturalmente, che l’evento da cui trae origine il nocumento non deve essere stato specificamente oggetto della coscienza e volontà dell’autore[16].

Giova infine segnalare che, in una diversa occasione, la Suprema Corte ha ritenuto sussistere un nocumento ai fini dell’art. 167, comma 2, D.L.vo 196/2003 in relazione alla lesione della tranquillità e dell’immagine sociale subita dall’interessata in conseguenza della condotta dell’ex fidanzato, il quale aveva diffuso su un sito web, senza consenso, immagini della donna tratte da una videocassetta contenente un suo spogliarello, nonché il di lei numero telefonico[17].


[1] L’art. 167 D.L.vo 196/2003 dispone quanto segue.

“1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell’articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.

2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni”.

Il testo integrale del Codice della privacy può essere consultato su www.iusreporter.it all’indirizzo www.iusreporter.it/Testi/codiceprivacy.htm.

[2] Il testo della sentenza è disponibile su www.penale.it all’indirizzo www.penale.it/giuris/cass_024.htm.

[3] Il testo della legge 675/1996, con le modifiche apportate dal D.L.vo 467/2001, è disponibile su www.iusreporter.it all’indirizzo www.iusreporter.it/Testi/legge675-1996.htm.

[4] L’art. 35 L. 675/1996 prevedeva quanto segue.

“1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 11, 20 e 27, è punito con la reclusione sino a due anni o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da tre mesi a due anni.

2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 21, 22, 23, 24 e 24-bis, ovvero del divieto di cui all'articolo 28, comma 3, è punito con la reclusione da tre mesi a due anni.

3. Se dai fatti di cui ai commi 1 e 2 deriva nocumento, la reclusione è da uno a tre anni”.

[5] La qualificazione del dolo in termini di intenzionalità “specifica”, mantenuta dalla vigente disciplina, mira probabilmente ad evitare il ricorso da parte del giudice, nell’ambito del giudizio di colpevolezza, al dolo eventuale. Così Riccardo e Rosario Imperiali, Codice della privacy. Commento alla normativa sulla protezione dei dati personali, Milano, Il Sole 24 Ore, 2004, p. 695.

[6] Oggi art. 4 D.L.vo 196/2003.

[7] In relazione al bene giuridico tutelato dall’odierno art. 167 D.L.vo 196/2003 A. Manna efficacemente osserva quanto segue.

“La scelta di subordinare la punibilità del reato alla derivazione di un nocumento - ovvero alla altrettanto pregiudizievole comunicazione o diffusione di dati personali, effettuata con modalità contrarie a quanto previsto dalle disposizioni extra-penali richiamate - evidenzia, indubbiamente, l'intenzione del legislatore delegato di polarizzare la reazione repressiva anche sulla tutela di ‘ben afferrabili’ interessi, incentrati sul diritto individuale alla protezione della vita privata ed al controllo dei dati personali.

Se tali modifiche possono configurarsi alla stregua di indici di una parziale ‘curvatura privatistica’ impressa alla fattispecie, nella direzione di un tendenziale, e tuttavia incompleto recupero di offensività del tipo delittuoso, si spiega allora la mancata previsione di ipotesi di procedibilità a querela per l'illecito in esame.

Invero, se unico oggetto della tutela nelle incriminazioni de quibus fosse stato il diritto alla riservatezza tout court, una corretta politica criminale ispirata al principio di sussidiarietà avrebbe certamente dovuto valorizzare, sul piano della promovibilità dell'azione penale, la natura spiccatamente personale di tale diritto, nonché la sua natura certamente disponibile, ricorrendo alla procedibilità a querela della persona offesa, quale congruo strumento selettivo della lesività di determinate condotte, mediante la remissione al titolare della scelta in ordine all'azionabilità dell'intervento penale. Il mantenimento della procedibilità d'ufficio, nelle ipotesi in esame, conferma, pertanto, la natura ‘anfibia’ di detti illeciti, in bilico tra la tutela di mere funzioni e la protezione di un assai più pregnante bene giuridico individuale” (A. Manna, Prime osservazioni sul Testo Unico in materia di protezione dei dati personali: profili penalistici, in www.privacy.it, www.privacy.it/manna20031125.html).

L’Autore – osservando altresì che nella novellata fattispecie di trattamento illecito di dati personali il consenso dell’interessato non assume rilevanza quale scriminante ex art. 50 cod. pen. bensì quale causa di esclusione della tipicità del fatto – si chiede pertanto “se effettivamente tale fattispecie incriminatrice sia rivolta alla protezione della vita privata del singolo, o se detto bene giuridico rappresenti, piuttosto, in un'ottica di ‘seriazione’ degli interessi da tutelare, il ‘bene finale’, laddove ‘bene strumentale’ sarebbe l'interesse alla sicurezza dei dati, ovvero all'efficientismo dell'ordinamento settoriale facente capo al Garante”.

[8] Cfr. oggi gli artt. 23 e 24 del Codice della privacy.

[9] Cfr. oggi l’art. 24, lett. g), D.L.vo 196/2003.

[10] Com’è noto, l’art. 44 cod. pen. prevede che “Quando, per la punibilità del reato, la legge richiede il verificarsi di una condizione, il colpevole risponde del reato, anche se l’evento, da cui dipende il verificarsi della condizione, non è da lui voluto”.

Nello stesso senso della sentenza in esame: A. Manna, Prime osservazioni sul Testo Unico in materia di protezione dei dati personali: profili penalistici cit.; Riccardo e Rosario Imperiali, Codice della privacy. Commento alla normativa sulla protezione dei dati personali cit., p. 695; G. Briganti, Privacy, codice comunicazioni e commercio elettronico: quando si hanno le idee chiare, 2004, disponibile nella sezione “Internet” degli e-book di www.iusondemand.com, cap. V. Si veda anche Unione Camere Penali Italiane, Osservazioni critiche sul Testo Unico in materia di protezione dei dati personali, deliberato dalla Giunta il 27 luglio 2004, in www.litis.it, www.litis.it/privacynews/news.asp?id=72.

[11] In relazione al medesimo principio di cui nel testo, questioni di costituzionalità potranno porsi anche con riferimento alla carenza definitoria che caratterizza la disposizione penale in parola, letta unitamente alle altre disposizioni del testo unico da essa richiamate.

Ciò accade, in particolare, con l’art. 130 del Codice, il quale disciplina le “comunicazioni indesiderate”: manca infatti nel testo unico una puntuale definizione di molti dei concetti ivi contemplati, quali ad esempio “vendita diretta” e “comunicazioni commerciali”. Sul punto, M.A. Senor, Comunicazioni indesiderate: tecniche commerciali, spamming e consenso dell’interessato, in www.ordineavvocatitorino.it, www.ordineavvocatitorino.it/deon/relazoni_consiglio/RelazioneSenor.pdf.

[12] Cass., sez. III pen., sent. 26680/2004, disponibile su www.criminologia.it all’indirizzo www.criminologia.it/giustizia/sms_reato.htm, la quale si occupa anche della questione della continuità normativa tra vecchia e nuova disciplina.

[13] Cfr. A. Manna, Prime osservazioni sul Testo Unico in materia di protezione dei dati personali: profili penalistici cit., secondo cui “La previsione, nell'ambito della medesima fattispecie, del dolo specifico e della condizione di punibilità potrebbe spiegarsi con la volontà, del legislatore delegato, di individuare, nel novero delle condotte che esprimono già, in sé, un'offesa al bene giuridico - e come tali, pertanto, meritevoli di pena - quelle che rivelano, in maniera più pregnante, il ‘bisogno di pena’. In tale prospettiva, sarebbe possibile riscontrare un ‘rapporto sinergico’ tra condizioni obiettive di punibilità e dolo specifico.

Laddove, infatti, si preveda che il soggetto agisca al fine di raggiungere un obiettivo situantesi al di là del fatto-base, e, contestualmente, il medesimo fine sia dal legislatore dedotto in condizione, si da riconnettervi la punibilità, a fronte di un fatto già ex se meritevole della pena inscritta nella cornice edittale, il dolo specifico e la condizione di punibilità assolvono ad una duplice funzione selettiva della punibilità del fatto - l'uno sul piano soggettivo, l'altra su quello oggettivo - in relazione al ‘bisogno di pena’, ed in ossequio ad istanze di politica criminale”.

[14] Cfr. A. Manna, Prime osservazioni sul Testo Unico in materia di protezione dei dati personali: profili penalistici cit., il quale afferma che “la natura delle condizioni di punibilità intrinseche spiega come rientri in una valutazione di opportunità di politica criminale, demandata, nella sua più piena discrezionalità, al legislatore, la scelta di attivare la reazione penale solo qualora l'offesa agli interessi protetti dalla norma incriminatrice raggiunga una certa intensità, ovvero quando venga cagionata una lesione ulteriore e più intensa, ma inscindibilmente connessa con quella espressa dagli elementi costitutivi del reato”.

L’Autore osserva inoltre che anche l’elemento della realizzazione della comunicazione o diffusione di dati personali, previsto dall’ultimo periodo del primo comma dell’art. 167, pare doversi configurare quale condizione obiettiva di punibilità intrinseca. La norma si presenterebbe dunque “scissa” in due sotto-fattispecie autonome: il trattamento illecito di dati personali, dal quale derivi un nocumento (primo periodo del primo comma dell’art. 167), ed il trattamento illecito di dati realizzato mediante comunicazione o diffusione (art. 167, primo comma, secondo periodo).

[15] Riccardo e Rosario Imperiali, Codice della privacy. Commento alla normativa sulla protezione dei dati personali cit., p. 695.

[16] Riccardo e Rosario Imperiali, Codice della privacy. Commento alla normativa sulla protezione dei dati personali cit., p. 695.

L’istituto pone problemi in relazione al principio della responsabilità penale personale, intesa nell’accezione di responsabilità per un fatto proprio colpevole. Sul punto, G. Fiandaca e E. Musco, Diritto penale. Parte generale, Bologna, Zanichelli.

Una interpretazione costituzionalmente orientata impone dunque di ritenere necessario che la condizione intrinseca di punibilità sia coperta, quanto meno, dalla colpa (cfr. Cass. 26680/2004 cit.).

[17] Cass. 26680/2004 cit. Si trattava di violazione dell’art. 26 del Codice della privacy, relativo ai dati sensibili. Nella fattispecie, la Corte ha ritenuto altresì sussistere la contravvenzione di cui all’art. 660 cod. pen. in ordine ad un SMS inviato dall’ex fidanzato, ricomprendendo così anche gli SMS tra i mezzi idonei a configurare una molestia punibile ai sensi della norma predetta.

di Giuseppe Briganti, avvocato

torna alla lista