Il reato di trattamento illecito di dati personali, previsto dall’art 167 del Codice privacy, sarebbe oggetto di una depenalizzazione contenuta nel decreto legislativo di recepimento del Regolamento Europeo privacy (GDPR) approvato in via preliminare dal Consiglio dei Ministri il 21 marzo 2018.
La norma però ha avuto una discreta fortuna in sede giurisprudenziale, come dimostra l’abbondante produzione di precedenti richiamata anche dalla Corte di Cassazione in una sentenza della fine del 2017, ultimo provvedimento noto sul tema.
La formulazione normativa prevede che “Art. 167 Trattamento illecito di dati 1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell’articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.
2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni.”
La Corte si è trovata ad affrontare un caso nel quale tale trattamento illecito era stato posto in dubbio dalla mancata diffusione o comunicazione dei dati illecitamente carpiti.
Il Supremo Collegio ha quindi ricordato che “ come già affermato da questa Corte, il “nocumento” previsto dall’art. 167, D.Lgs. n. 196 del 2003, indipendentemente dalla sua qualificazione in termini di condizione obiettiva di punibilità ovvero di elemento costitutivo del reato, deve essere inteso come un pregiudizio giuridicamente rilevante di qualsiasi natura, patrimoniale o non patrimoniale, subito dalla persona alla quale si riferiscono i dati o le informazioni protetti.”
E “Alla luce di tale inquadramento, ben può dunque rientrare, nel concetto di nocumento, nella specie in particolare non patrimoniale, come ritenuto dalla sentenza impugnata, la forte preoccupazione per la propria incolumità e per i propri beni derivante dalla comunicazione di dati personali a soggetti sconosciuti in un contesto connotato dal rinvenimento, unitamente alle immagini stese, di un dossier comprendente informazioni sulla propria vettura, già in precedenza oggetto di danneggiamento, e della fotografia di casa con contrassegnati i vari punti di accesso.”
Ciò che, tuttavia, difetta, nella conclusione adottata dalla sentenza impugnata laddove la stessa ha precisato essere stato dimostrato “il trattamento dei dati personali del XXXX, trattamento che comprende la raccolta, la conservazione, l’elaborazione e la comunicazione a terzi delle immagini della p.o., per un fine di profitto e con causazione di un nocumento che non devono necessariamente rivestire natura patrimoniale”, è l’accertamento, considerato correttamente necessario dal primo motivo di ricorso, in particolare di una condotta di destinazione alla diffusione o alla comunicazione sistematica senza le quali il trattamento stesso non potrebbe, infatti, ricadere nell’ambito della normativa in oggetto.”
Come infatti previsto dall’art. 5, comma 3, del d. Igs. n. 196 del 2003, “il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all’applicazione del presente codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione”; ed al riguardo, precisa poi l’art.4, comma 1, lett. m) dello stesso d.lgs., dedicato alle definizioni, che la diffusione deve intendersi come “il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione”. Sicché, in altri termini, affinché il reato sia integrato, anche nella forma della trasmissione o consegna a soggetti determinati, è necessario che i dati siano comunque destinati ad una diffusione”.
La conclusione della Cassazione è che per potersi avere il reato di trattamento illecito di dati sia necessario che tali dati vengano diffusi o comunicati in qualsiasi forma.
