Il reato di trattamento illecito di dati personali

La sentenza in argomento è di notevole pregio scientifico posto che ricostruisce, nei suoi elementi costitutivi, la norma incriminatrice prevista dall’art.167 del d.lgs., 30 giugno 2003, n. 196.

Com’è noto tale disposizione legislativa prevede al comma I, che salvo “che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli artt. 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell’art. 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi” mentre, al comma II, statuisce che salvo che il fatto costituisca più grave reato, “chiunque, alfine di trame per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli artt. 17, 20 e 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni”.

Di talchè è evidente come sia richiesto il dolo specifico in quanto il soggetto deve agire "al fine di trarne per sé o per altri profitto o di recare ad altri un danno" ” [1].

Inoltre si tratta, a parere dello scrivente, di un reato commissivo poiché “l’art. 4 del D.Lgs. in oggetto “contiene proprio una definizione legislativa del termine "trattamento", che è, per l’appunto, definito come "qualunque operazione o complesso di operazioni effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzazione, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distribuzione di dati, anche se non registrati in una banca di dati"”[2].

Per giunta l’illecito penale de quo può esaurirsi in una unica condotta come emerge dalla sentenza n. 21839 emessa dalla Cassazione, sez. III, in data 17/02/11.

In quella occasione, infatti, gli Ermellini hanno affermato che il “privato cittadino che sia, anche solo occasionalmente, venuto a conoscenza di un dato sensibile rientra tra i titolari deputati, ai sensi dell’art. 4 d.lg. n. 196 del 2003, ad assumere le decisioni in ordine alle finalità e alle modalità di trattamento dei dati personali, sicché, ove indebitamente lo diffonda, risponde del reato di trattamento illecito di dati di cui all’art. 167 d.lg. cit.”.

Peraltro se, da un lato, il consenso dell’interessato non è richiesto qualora il trattamento (e di conseguenza, a maggior ragione, pure la comunicazione) riguardi "dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati"[3], dall’altro, "nessun atto o provvedimento giudiziario o amministrativo che implichi una valutazione del comportamento umano può essere fondato unicamente su un trattamento automatizzato di dati personali volti a definire il profilo o la personalità dell’interessato" [4].

Inoltre “il trattamento di dati personali sensibili senza il consenso dell’interessato non configura alcun reato se non ne deriva un nocumento per la persona offesa” [5].

In effetti l’ “introduzione all’art. 167 del d.lg. 30 giugno 2003 n. 196 della previsione del "nocumento" quale elemento della fattispecie comporta che, in caso di sua nel trattamento illecito dei dati personali, il reato non sussiste” posto che tale pregiudizio costituisce “condizione intrinseca di punibilità” [6].

Difatti “in assenza della verificazione dell’altrui nocumento, derivante dal fatto, non sussistono gli estremi del reato di cui all’art. 35 l. n. 675 del 1996, né tantomeno quelli di uno dei reati di cui all’art. 167 d.lg. n. 196 del 2003” [7].

Per giunta la Cassazione ha altresì sottolineato che, con il d.l.vo n.196 del 2003, l’inserimento della locuzione "se dal fatto deriva nocumento", che costituiva prima soltanto una circostanza aggravante, ha trasformato tale illecito penale da reato di pericolo presunto a quello di pericolo concreto [8].

Il nocumento inteso “come perdita patrimoniale o di mancato guadagno derivante dalla circolazione non autorizzata di dati personali” [9], inoltre, può non essere “esclusivamente riferibile a quello derivato alla persona fisica o giuridica cui si riferiscono i dati, ma anche a quello causato a soggetti terzi quale conseguenza dell’illecito trattamento” [10] sempreché si concreti in un “ "vulnus" significativo alla persona offesa” [11].

La dottrina, dal canto suo, ritiene il nocumento riferibile “sia alla persona del soggetto i cui dati si riferiscono sia al suo patrimonio in termini di perdita patrimoniale o di mancato guadagno, derivante dalla circolazione non autorizzata di dati personali” [12].

Tale approdo ermeneutico, inoltre, comporta, come ulteriore conseguenza, che la condizione, proprio perché intrinseca, deve essere accertata in “sede giudiziale” per quanto riguarda l’elemento psicologico almeno sotto il profilo della colpa.

Infatti autorevole dottrina ha rilevato non solo come non possano sottrarsi al principio di colpevolezza “le condizioni di punibilità cosiddette intrinseche, quali accadimenti capaci appunto di incidere sull’offesa insita nel fatto tipico” [13], ma ha dichiarato altresì che “il principio di colpevolezza potrà considerarsi rispettato ove le condizioni predette siano, sul piano soggettivo, coperte quantomeno dalla colpa” [14].

Peraltro la stessa Corte Costituzionale, nella sentenza 13 dicembre 1988, n. 1085, ha evidenziato come “soltanto gli elementi estranei alla materia del divieto (come le condizioni estrinseche di punibilità) si sottraggono alla regola della rimproverabilità ex art. 27 comma 1° Cost.”.

Va da sé quindi che tale elemento del reato deve essere valutato anche sotto il profilo soggettivo.

Inoltre affinchè possa sussistere questo illecito penale, è necessario che il pregiudizio subito dalla parte offesa non sia irrisorio dato che “non costituisce reato quella violazione della normativa sulla tutela dei dati personali che produce un vulnus minimo all’identità personale del soggetto passivo ed alla sua privacy, non in grado di determinare un danno patrimoniale apprezzabile” [15] quali ad esempio “le semplici violazioni formali ed irregolarità procedimentali e quelle inosservanze che producano un "vulnus" minimo all’identità personale del soggetto ed alla sua "privacy" ” [16].

La ricostruzione della norma in questi termini, infine, sembra essere quella più aderente alla ratio del legislatore dato che lo spirito della riforma del "diritto penale della riservatezza", avviata sin dal d.lgs. n. 467/2001, “persegue la policy del ricorso alla soluzione penalistica come extrema ratio rispetto al fallimento dei rimedi preventivi, di cui vi è molteplice presenza nel Codice e nel suo impianto” [17].

Ciò premesso la Suprema Corte di Cassazione, chiamata nel caso di specie a verificare la legittimità di un sequestro probatorio convalidato in relazione ad una ipotesi criminosa eguale a quella in argomento, ha ritenuto non configurabile alcuna censura di legittimità posto che non era “prospettabile alcuna violazione al disposto dell’art. 18 (che riguarda i trattamenti effettuati da soggetti pubblici), o dell’art. 19 (che riguarda il trattamento e la comunicazione da parte di soggetti pubblici di dati diversi da quelli sensibili e giudiziali), o agli artt. 123, 126 e 130 (che riguardano i dati relativi al traffico o all’ubicazione ovvero le comunicazioni indesiderate nell’ambito delle comunicazioni elettroniche), o dell’art. 129 (che riguarda la formazione degli elenchi di abbonati), o dell’art. 17 (che riguarda il trattamento di dati che presentano rischi specifici per i diritti e le libertà fondamentali e per la dignità dell’interessato), o dell’art. 20 (che riguarda il trattamento di dati sensibili), o dell’art. 21 (che riguarda il trattamento di dati giudiziali), o dell’art. 22 (che riguarda i dati idonei a rivelare lo stato di salute), o degli artt. 26 e 27 (che riguardano rispettivamente i dati sensibili e i dati giudiziali) o dell’art. 45 (che riguarda il trasferimento di dati fuori dal territorio dello Stato) o dell’art. 25, comma 1, il quale dispone che "la comunicazione e la diffusione sono vietate, oltre che in caso di divieto disposto dal Garante o dall’autorità giudiziaria: a) in riferimento a dati personali dei quali è stata ordinata la cancellazione, ovvero quando è decorso il periodo di tempo indicato nell’art. 11, comma 1, lett. e); b) per finalità diverse da quelle indicate nella notificazione del trattamento, ove prescritta”.

Inoltre la Corte Suprema, sempre in quella occasione, ha avuto modo di osservare che, alla luce del combinato disposto ex artt. 5 e 23 del d.lgs., 30 giugno 2003, n. 196, non solo è vietato il trattamento, la comunicazione e la diffusione dei dati personali senza il consenso dell’interessato, ma è necessario, affinchè possa perfezionarsi questo illecito penale, che i dati raccolti e trattati siano “destinati alla comunicazione sistematica e alla diffusione”.

Per giunta tale enunciazione giuridica non rappresenta un episodio isolato nel panorama giurisprudenziale dato che, in casi eguali, la Cassazione ha parimenti evidenziato come il “trattamento dei dati personali, pur attinenti a fatti di interesse pubblico in relazione al necessario profilo di essenzialità per l’informazione, non può prescindere, come testualmente richiesto dalla legge, dalla circostanza che detti fatti siano stati resi noti direttamente dagli interessati o attraverso loro comportamenti in pubblico” [10] “a meno che il trattamento riguardi dati provenienti da pubblici registri od elenchi conoscibili da chiunque” [11].

Viceversa è perfettamente lecito “il trattamento dei dati personali effettuato acquisendo i dati in rete e utilizzandoli nella medesima sede” [12].

Nel caso di specie i Giudici di legittimità sono giunti dunque alla conclusione secondo cui “è violata la privacy se si diffonde la conversazione per scopi diversi dalla tutela di un diritto proprio o altrui”.

Del resto la Suprema Corte, già in precedenza, ha precisato che chiunque “quindi anche un soggetto privato in sé considerato, e non solo chi svolga un compito istituzionale di depositario della tenuta dei dati sensibili e delle loro modalità di utilizzazione all’esterno, può essere chiamato a rispondere del reato di cui all’art. 167 d.lg. 30 giugno 2003 n. 196, se e in quanto dia indebita diffusione di un dato sensibile appartenente ad altro soggetto” dato che tutti sono indistintamente “tenuti a rispettare sacralmente la privacy altrui, al fine di assicurare un corretto trattamento di quei dati senza arbitrii o pericolose intrusioni” [13].

Nella fattispecie in esame la Corte di Cassazione, pertanto, pur ravvisando, come anzi detto, la legittimità del sequestro disposto in sede di merito, ha rilevato come la registrazione audiovisiva di conversazioni intercorse tra degli interlocutori a loro insaputa, integrasse la fattispecie di trattamento di dati personali senza autorizzazione posto che “l’attività d’investigatore privato svolta dall’indagato portava a ritenere che i dati indebitamente acquisiti fossero destinati alla diffusione a terzi”.

Gli Ermellini sono pervenuti difatti a tale qualificazione giuridica dato che sia “il primo sia l’art. 167 cit., comma 2 dispongono - diversamente da quanto prevedeva la L. 31 dicembre 1996, n. 675, art. 35 - che i reati ivi previsti sono punibili soltanto "se dal fatto deriva nocumento" ”.

La Cassazione, nella pronuncia in esame, dunque, preso atto di tale novella legislativa e della ricostruzione giuridico - dogmatica dell’istituto nei termini suesposti, ha ipotizzato in astratto solo il reato in questione posto che non era stato ancora accertato se si fosse verificato un effettivo pregiudizio a danno della persona offesa e quindi, come logica conseguenza, se l’indagato avesse agito al fine di recare un danno altrui.

Nella fattispecie in analisi, quindi, la “proiezione” compiuta dalla Cassazione in ordine al possibile perfezionarsi del reato (una volta concluse le indagini) ha trovato una sua ragionevole spiegazione perchè quei dati sensibili, laddove fossero stati divulgati, avrebbero potuto cagionare sicuramente un concreto pregiudizio alla parte offesa.

In conclusione, nella sentenza in commento il delitto di cui all’art. 167 del d.l.vo n. 196 del 2003 viene scolpito in maniera minuziosa e dettagliata e soprattutto, da quel tracciato motivazionale, emerge chiaramente come la norma incriminatrice su emarginata rappresenti un efficace presidio di legalità per garantire il diritto alla riservatezza.

[1] A. Manna, “I soggetti in posizione di garanzia”, Dir. informatica, 2010, 06, 779;

[2] ibidem;

[3] art. 24, co. I, lett. a), d.lgs., 30 giugno 2003, n. 196;

[4] art.14, d.lgs., 30 giugno 2003, n. 196;

[5] Cass. pen., sez. III, 26/3/04, n. 28680;

[6] Cass. pen., sez. III, 28/05/04, n. 30134;

[7] Cass. pen., sez. III, 17/11/04, n. 5728;

[8] Cass. pen., sez. III, 28/05/04, n. 30134;

[9] Cass. pen., sez. III, 28/05/04, n. 30134;

[10] Cass. pen., sez. III, 17/02/11, n. 17215;

[11] Cass. pen., sez. V, 25/06/09, n. 40078;

[12] Michele Iaselli, “Aggressioni informatiche e tutela della privacy”, D&G, 2004, 36, 48;

[13] Fiandaca – Musco, “Diritto penale Parte generale”, Bologna, Zanichelli Editore, 2004, pag. 753;

[14] ibidem;

[15] Cass. pen., sez. III, 28/05/04, n. 30134;

[16] ibidem;

[17] S. Sica, "Danno" e "nocumento" nell’illecito trattamento di dati personali, Riv. inf. e informatica 2004, 4-5, 0715;

[18] Cass. pen., sez. III, 24/04/08, n. 23806;

[19] Cass. pen., sez. III, 17/11/04, n. 5728;

[20] ibidem;

[21] Cass. pen., sez. III, 17/02/11, n. 21839.

La sentenza in argomento è di notevole pregio scientifico posto che ricostruisce, nei suoi elementi costitutivi, la norma incriminatrice prevista dall’art.167 del d.lgs., 30 giugno 2003, n. 196.

Com’è noto tale disposizione legislativa prevede al comma I, che salvo “che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli artt. 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell’art. 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi” mentre, al comma II, statuisce che salvo che il fatto costituisca più grave reato, “chiunque, alfine di trame per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli artt. 17, 20 e 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni”.

Di talchè è evidente come sia richiesto il dolo specifico in quanto il soggetto deve agire "al fine di trarne per sé o per altri profitto o di recare ad altri un danno" ” [1].

Inoltre si tratta, a parere dello scrivente, di un reato commissivo poiché “l’art. 4 del D.Lgs. in oggetto “contiene proprio una definizione legislativa del termine "trattamento", che è, per l’appunto, definito come "qualunque operazione o complesso di operazioni effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzazione, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distribuzione di dati, anche se non registrati in una banca di dati"”[2].

Per giunta l’illecito penale de quo può esaurirsi in una unica condotta come emerge dalla sentenza n. 21839 emessa dalla Cassazione, sez. III, in data 17/02/11.

In quella occasione, infatti, gli Ermellini hanno affermato che il “privato cittadino che sia, anche solo occasionalmente, venuto a conoscenza di un dato sensibile rientra tra i titolari deputati, ai sensi dell’art. 4 d.lg. n. 196 del 2003, ad assumere le decisioni in ordine alle finalità e alle modalità di trattamento dei dati personali, sicché, ove indebitamente lo diffonda, risponde del reato di trattamento illecito di dati di cui all’art. 167 d.lg. cit.”.

Peraltro se, da un lato, il consenso dell’interessato non è richiesto qualora il trattamento (e di conseguenza, a maggior ragione, pure la comunicazione) riguardi "dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati"[3], dall’altro, "nessun atto o provvedimento giudiziario o amministrativo che implichi una valutazione del comportamento umano può essere fondato unicamente su un trattamento automatizzato di dati personali volti a definire il profilo o la personalità dell’interessato" [4].

Inoltre “il trattamento di dati personali sensibili senza il consenso dell’interessato non configura alcun reato se non ne deriva un nocumento per la persona offesa” [5].

In effetti l’ “introduzione all’art. 167 del d.lg. 30 giugno 2003 n. 196 della previsione del "nocumento" quale elemento della fattispecie comporta che, in caso di sua nel trattamento illecito dei dati personali, il reato non sussiste” posto che tale pregiudizio costituisce “condizione intrinseca di punibilità” [6].

Difatti “in assenza della verificazione dell’altrui nocumento, derivante dal fatto, non sussistono gli estremi del reato di cui all’art. 35 l. n. 675 del 1996, né tantomeno quelli di uno dei reati di cui all’art. 167 d.lg. n. 196 del 2003” [7].

Per giunta la Cassazione ha altresì sottolineato che, con il d.l.vo n.196 del 2003, l’inserimento della locuzione "se dal fatto deriva nocumento", che costituiva prima soltanto una circostanza aggravante, ha trasformato tale illecito penale da reato di pericolo presunto a quello di pericolo concreto [8].

Il nocumento inteso “come perdita patrimoniale o di mancato guadagno derivante dalla circolazione non autorizzata di dati personali” [9], inoltre, può non essere “esclusivamente riferibile a quello derivato alla persona fisica o giuridica cui si riferiscono i dati, ma anche a quello causato a soggetti terzi quale conseguenza dell’illecito trattamento” [10] sempreché si concreti in un “ "vulnus" significativo alla persona offesa” [11].

La dottrina, dal canto suo, ritiene il nocumento riferibile “sia alla persona del soggetto i cui dati si riferiscono sia al suo patrimonio in termini di perdita patrimoniale o di mancato guadagno, derivante dalla circolazione non autorizzata di dati personali” [12].

Tale approdo ermeneutico, inoltre, comporta, come ulteriore conseguenza, che la condizione, proprio perché intrinseca, deve essere accertata in “sede giudiziale” per quanto riguarda l’elemento psicologico almeno sotto il profilo della colpa.

Infatti autorevole dottrina ha rilevato non solo come non possano sottrarsi al principio di colpevolezza “le condizioni di punibilità cosiddette intrinseche, quali accadimenti capaci appunto di incidere sull’offesa insita nel fatto tipico” [13], ma ha dichiarato altresì che “il principio di colpevolezza potrà considerarsi rispettato ove le condizioni predette siano, sul piano soggettivo, coperte quantomeno dalla colpa” [14].

Peraltro la stessa Corte Costituzionale, nella sentenza 13 dicembre 1988, n. 1085, ha evidenziato come “soltanto gli elementi estranei alla materia del divieto (come le condizioni estrinseche di punibilità) si sottraggono alla regola della rimproverabilità ex art. 27 comma 1° Cost.”.

Va da sé quindi che tale elemento del reato deve essere valutato anche sotto il profilo soggettivo.

Inoltre affinchè possa sussistere questo illecito penale, è necessario che il pregiudizio subito dalla parte offesa non sia irrisorio dato che “non costituisce reato quella violazione della normativa sulla tutela dei dati personali che produce un vulnus minimo all’identità personale del soggetto passivo ed alla sua privacy, non in grado di determinare un danno patrimoniale apprezzabile” [15] quali ad esempio “le semplici violazioni formali ed irregolarità procedimentali e quelle inosservanze che producano un "vulnus" minimo all’identità personale del soggetto ed alla sua "privacy" ” [16].

La ricostruzione della norma in questi termini, infine, sembra essere quella più aderente alla ratio del legislatore dato che lo spirito della riforma del "diritto penale della riservatezza", avviata sin dal d.lgs. n. 467/2001, “persegue la policy del ricorso alla soluzione penalistica come extrema ratio rispetto al fallimento dei rimedi preventivi, di cui vi è molteplice presenza nel Codice e nel suo impianto” [17].

Ciò premesso la Suprema Corte di Cassazione, chiamata nel caso di specie a verificare la legittimità di un sequestro probatorio convalidato in relazione ad una ipotesi criminosa eguale a quella in argomento, ha ritenuto non configurabile alcuna censura di legittimità posto che non era “prospettabile alcuna violazione al disposto dell’art. 18 (che riguarda i trattamenti effettuati da soggetti pubblici), o dell’art. 19 (che riguarda il trattamento e la comunicazione da parte di soggetti pubblici di dati diversi da quelli sensibili e giudiziali), o agli artt. 123, 126 e 130 (che riguardano i dati relativi al traffico o all’ubicazione ovvero le comunicazioni indesiderate nell’ambito delle comunicazioni elettroniche), o dell’art. 129 (che riguarda la formazione degli elenchi di abbonati), o dell’art. 17 (che riguarda il trattamento di dati che presentano rischi specifici per i diritti e le libertà fondamentali e per la dignità dell’interessato), o dell’art. 20 (che riguarda il trattamento di dati sensibili), o dell’art. 21 (che riguarda il trattamento di dati giudiziali), o dell’art. 22 (che riguarda i dati idonei a rivelare lo stato di salute), o degli artt. 26 e 27 (che riguardano rispettivamente i dati sensibili e i dati giudiziali) o dell’art. 45 (che riguarda il trasferimento di dati fuori dal territorio dello Stato) o dell’art. 25, comma 1, il quale dispone che "la comunicazione e la diffusione sono vietate, oltre che in caso di divieto disposto dal Garante o dall’autorità giudiziaria: a) in riferimento a dati personali dei quali è stata ordinata la cancellazione, ovvero quando è decorso il periodo di tempo indicato nell’art. 11, comma 1, lett. e); b) per finalità diverse da quelle indicate nella notificazione del trattamento, ove prescritta”.

Inoltre la Corte Suprema, sempre in quella occasione, ha avuto modo di osservare che, alla luce del combinato disposto ex artt. 5 e 23 del d.lgs., 30 giugno 2003, n. 196, non solo è vietato il trattamento, la comunicazione e la diffusione dei dati personali senza il consenso dell’interessato, ma è necessario, affinchè possa perfezionarsi questo illecito penale, che i dati raccolti e trattati siano “destinati alla comunicazione sistematica e alla diffusione”.

Per giunta tale enunciazione giuridica non rappresenta un episodio isolato nel panorama giurisprudenziale dato che, in casi eguali, la Cassazione ha parimenti evidenziato come il “trattamento dei dati personali, pur attinenti a fatti di interesse pubblico in relazione al necessario profilo di essenzialità per l’informazione, non può prescindere, come testualmente richiesto dalla legge, dalla circostanza che detti fatti siano stati resi noti direttamente dagli interessati o attraverso loro comportamenti in pubblico” [10] “a meno che il trattamento riguardi dati provenienti da pubblici registri od elenchi conoscibili da chiunque” [11].

Viceversa è perfettamente lecito “il trattamento dei dati personali effettuato acquisendo i dati in rete e utilizzandoli nella medesima sede” [12].

Nel caso di specie i Giudici di legittimità sono giunti dunque alla conclusione secondo cui “è violata la privacy se si diffonde la conversazione per scopi diversi dalla tutela di un diritto proprio o altrui”.

Del resto la Suprema Corte, già in precedenza, ha precisato che chiunque “quindi anche un soggetto privato in sé considerato, e non solo chi svolga un compito istituzionale di depositario della tenuta dei dati sensibili e delle loro modalità di utilizzazione all’esterno, può essere chiamato a rispondere del reato di cui all’art. 167 d.lg. 30 giugno 2003 n. 196, se e in quanto dia indebita diffusione di un dato sensibile appartenente ad altro soggetto” dato che tutti sono indistintamente “tenuti a rispettare sacralmente la privacy altrui, al fine di assicurare un corretto trattamento di quei dati senza arbitrii o pericolose intrusioni” [13].

Nella fattispecie in esame la Corte di Cassazione, pertanto, pur ravvisando, come anzi detto, la legittimità del sequestro disposto in sede di merito, ha rilevato come la registrazione audiovisiva di conversazioni intercorse tra degli interlocutori a loro insaputa, integrasse la fattispecie di trattamento di dati personali senza autorizzazione posto che “l’attività d’investigatore privato svolta dall’indagato portava a ritenere che i dati indebitamente acquisiti fossero destinati alla diffusione a terzi”.

Gli Ermellini sono pervenuti difatti a tale qualificazione giuridica dato che sia “il primo sia l’art. 167 cit., comma 2 dispongono - diversamente da quanto prevedeva la L. 31 dicembre 1996, n. 675, art. 35 - che i reati ivi previsti sono punibili soltanto "se dal fatto deriva nocumento" ”.

La Cassazione, nella pronuncia in esame, dunque, preso atto di tale novella legislativa e della ricostruzione giuridico - dogmatica dell’istituto nei termini suesposti, ha ipotizzato in astratto solo il reato in questione posto che non era stato ancora accertato se si fosse verificato un effettivo pregiudizio a danno della persona offesa e quindi, come logica conseguenza, se l’indagato avesse agito al fine di recare un danno altrui.

Nella fattispecie in analisi, quindi, la “proiezione” compiuta dalla Cassazione in ordine al possibile perfezionarsi del reato (una volta concluse le indagini) ha trovato una sua ragionevole spiegazione perchè quei dati sensibili, laddove fossero stati divulgati, avrebbero potuto cagionare sicuramente un concreto pregiudizio alla parte offesa.

In conclusione, nella sentenza in commento il delitto di cui all’art. 167 del d.l.vo n. 196 del 2003 viene scolpito in maniera minuziosa e dettagliata e soprattutto, da quel tracciato motivazionale, emerge chiaramente come la norma incriminatrice su emarginata rappresenti un efficace presidio di legalità per garantire il diritto alla riservatezza.

[1] A. Manna, “I soggetti in posizione di garanzia”, Dir. informatica, 2010, 06, 779;

[2] ibidem;

[3] art. 24, co. I, lett. a), d.lgs., 30 giugno 2003, n. 196;

[4] art.14, d.lgs., 30 giugno 2003, n. 196;

[5] Cass. pen., sez. III, 26/3/04, n. 28680;

[6] Cass. pen., sez. III, 28/05/04, n. 30134;

[7] Cass. pen., sez. III, 17/11/04, n. 5728;

[8] Cass. pen., sez. III, 28/05/04, n. 30134;

[9] Cass. pen., sez. III, 28/05/04, n. 30134;

[10] Cass. pen., sez. III, 17/02/11, n. 17215;

[11] Cass. pen., sez. V, 25/06/09, n. 40078;

[12] Michele Iaselli, “Aggressioni informatiche e tutela della privacy”, D&G, 2004, 36, 48;

[13] Fiandaca – Musco, “Diritto penale Parte generale”, Bologna, Zanichelli Editore, 2004, pag. 753;

[14] ibidem;

[15] Cass. pen., sez. III, 28/05/04, n. 30134;

[16] ibidem;

[17] S. Sica, "Danno" e "nocumento" nell’illecito trattamento di dati personali, Riv. inf. e informatica 2004, 4-5, 0715;

[18] Cass. pen., sez. III, 24/04/08, n. 23806;

[19] Cass. pen., sez. III, 17/11/04, n. 5728;

[20] ibidem;

[21] Cass. pen., sez. III, 17/02/11, n. 21839.