La Cassazione non sembra avallare, nella propria giurisprudenza, la scelta normativa di depenalizzare il trattamento illecito di dati personali, che sembrerebbe emergere dalle intenzioni del Governo Italiano.
Fra i motivi addotti a supporto dell’intenzione di depenalizzare la fattispecie vi è la supposizione in base alla quale la fattispecie avrebbe avuto scarsa fortuna in sede giudiziale.
Ma, in una sentenza della fine di marzo di quest’anno ( successiva dunque alla presentazione da parte del Governo della versione preliminare del decreto legislativo di adeguamento al Regolamento GDPR) il Supremo Collegio, ripercorrendo l’applicazione del reato che il Governo si appresterebbe a cancellare, effettua una lunga dissertazione sulla natura e funzione della fattispecie prevista dal Codice Privacy, a conforto del rigetto di un ricorso presentato da un soggetto condannato in grado di appello per il reato di trattamento illecito di dati personali.
Il Supremo Collegio identifica la presenza di ben 40 ( quaranta) precedenti di legittimità sull’art 167 codice privacy, e ciò per evidenziare non l’intera giurisprudenza di merito e di legittimità formatasi sulla fattispecie, ma solo quella su uno degli elementi del reato, ovvero il nocumento ai diritti dell’interessato.
Nella fattispecie la Cassazione ha ricordato come “ l’art. 167 del d.lgs. 30/06/2003, n. 196 (rubricato Trattamento illecito di dati) punisce, al comma 2, la condotta di colui il quale, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli artt. 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, sempre che dal fatto derivi un nocumento. La struttura del reato, pertanto, prevede, oltre alla clausola di riserva, una condotta di trattamento dei dati personali indicati ai citati articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45; condotta che presuppone la mancanza di un consenso espresso dell’interessato, e che può essere realizzata anche dal privato cittadino, il quale sia, anche solo occasionalmente, venuto a conoscenza di un dato sensibile. Sotto un primo profilo, il “trattamento” è definito dall’art. 4, comma 1, lett. a) del d.lgs. n. 196/2003 come “qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati”. Quanto poi alla nozione di “dato personale”, la successiva lett. b) del citato art. 4, comma 1, lo definisce come “qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”.
Nel caso di specie, inoltre, è rilevante anche la nozione di “dati giudiziari”, che la successiva lett. e) qualifica come “i dati personali idonei a rivelare provvedimenti di cui all’articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale”. Dati giudiziari il cui trattamento costituisce reato, proprio ai sensi del contestato art. 167, comma 2, quando esso sia avvenuto in violazione di quanto disposto dall’art. 27, rubricato “Garanzie per i dati giudiziari”, a mente del quale “il trattamento di dati giudiziari da parte di privati o di enti pubblici economici è consentito soltanto se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichino le rilevanti finalità di interesse pubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili”.
Giova, peraltro, rilevare come secondo la giurisprudenza di questa Corte, il reato di trattamento illecito di dati personali non è integrato se l’utilizzo dei dati avvenga per fini esclusivamente personali, ovvero senza una loro diffusione (definita dalla lett. m dell’art. 4, comma 1 come “il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione”) o una loro destinazione ad una comunicazione sistematica. Ulteriori elementi di fattispecie del reato contestato al XXXXX sono, sul piano soggettivo, il dolo specifico, consistente nel “fine di trarre per sé o per altri profitto o di recare ad altri un danno” attraverso la descritta condotta di trattamento dei dati; nonché, sul piano oggettivo, la circostanza che “dal fatto derivi un nocumento”.
A quest’ultimo proposito è senz’altro opportuno ricordare come la giurisprudenza abbia, in una prima fase, qualificato il verificarsi del nocumento come condizione oggettiva di punibilità “intrinseca”, la quale attualizzerebbe l’offesa dell’interesse tutelato già realizzata dal fatto tipico , il quale costituirebbe una fattispecie di pericolo concreto, integrata dalla condotta di trattamento assistita dal ricordato dolo specifico, punibile solo a condizione del verificarsi del predetto accadimento.
Solo più recentemente – conclude il Supremo Collegio- quest’ultimo è stato ritenuto un elemento costitutivo del reato, avuto riguardo alla sua omogeneità rispetto all’interesse leso e alla sua diretta derivazione causale dalla condotta tipica, con conseguente necessità che esso fosse previsto e voluto o, comunque, accettato dall’agente come conseguenza della propria azione, indipendentemente dal fatto che costituisse o si identificasse con il fine dell’azione stessa.