Un unico, indebito, utilizzo di dati personali altrui, peraltro finalizzato a commettere il reato di sostituzione di persona, non è illecito trattamento dei dati ai fini dell’articolo 167 del Codice della Privacy, quanto meno nella formulazione precedente all’entrata in vigore del D.Lgs. 101/2018.

Nella nuova formulazione anche l’unico utilizzo è illecito trattamento occorrendo, sempre, che vi sia un profitto per chi commette la violazione o un danno per l’interessato.

E’ questa la massima che si può trarre analizzando il contenuto della sentenza della Corte di Cassazione n.19855 del 9.05.2019.

Nel caso di specie, una persona, vigendo il Codice della privacy prima del D.Lgs. 101/2018 – che ha introdotto disposizioni di adeguamento dell’ordinamento italiano al Reg. UE 679/2016 (c.d. GDPR) – era stata condannata per aver utilizzato, un’unica volta, i dati di un soggetto terzo per accendere un finanziamento a suo favore.

La difesa aveva eccepito violazione di legge e vizio di motivazione in ordine al reato previsto dall’articolo 167 del D.Lgs. 196/2003, in quanto l’imputato era stato condannato per avere diffuso i dati personali all’atto della richiesta di finanziamento e cioè mentre perfezionava il reato di sostituzione di persona. In estrema sintesi, asseriva non sussistente il reato di cui all’articolo 167 del D.Lgs. 196/2003 (Codice della privacy) e comunque da ritenersi assorbito nell’ambito della più ampia previsione dell’art. 494 codice penale (sostituzione di persona).

Gli Ermellini accolgono la doglianza sebbene argomentando in termini diversi da quelli prospettati dalla difesa.

Dapprima osservano che la Corte “ha avuto modo di precisare in materia di tutela penale della cosiddetta “privacy”, che l’utilizzazione degli altrui dati personali una sola volta, per uno scopo determinato, non integra un’ipotesi di “diffusione”, secondo la definizione di cui all’art. 4, comma primo, lett. m) del D.Lgs. n. 196 del 2003, che richiede che tali dati personali vengano comunicati a più soggetti indeterminati, in qualunque forma”.

E ancora che “L’art. 5, comma 3, d.lgs. n. 196, cit., stabilisce, infatti, che il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto alla applicazione del codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione. E stato inoltre precisato che ai fini della configurabilità del reato di cui all’art. 167 D.Lgs. n. 196 del 2003, costituiscono illecito trattamento di dati personali effettuato da persone fisiche, sia la condotta di utilizzazione di dati che fuoriesca dalla sfera personale e domestica dell’agente e che in quanto tale non può essere ritenuta riconducibile a “fini esclusivamente personali”, sia la condotta che, pur realizzata per fini esclusivamente personali, consista nella diffusione dei dati, ancorchè in forma non sistematica”. 

Secondo quell’orientamento della Suprema Corte, la “sistematicità” costituisce, ai sensi dell’art. 5, comma terzo, del Codice privacy (vecchia formulazione), un requisito della comunicazione e non anche della diffusione che, in quanto modalità estesa di propagazione del dato, realizza sempre un “vulnus” alle esigenze di protezione del dato personale.

Nel caso in esame la condotta posta in essere dall’imputato integra una forma di indebita comunicazione dei dati della persona offesa per fini personali, che non rientrano in quella (precedente) nozione di illecito trattamento.

Ricordiamo, infatti, che l’articolo 167 del Codice della privacy, nella vecchia formulazione, prevedeva che:

1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per se’ o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell’articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.

2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per se’ o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni”.

Nella nuova formulazione, così come risultante dall’effetto del D.Lgs. 101/2018, la condotta sarebbe stata punibile, in astratto, in quanto l’art.167 del Codice della privacy prevede oggi che:

Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sè o per altri profitto ovvero di arrecare danno all’interessato, operando in violazione di quanto disposto dagli articoli 123, 126 e 130 o dal provvedimento di cui all’ articolo 129 arreca nocumento all’interessato, è punito con la reclusione da sei mesi a un anno e sei mesi”.

L’imputato, rispetto a tale condanna, è stato quindi assolto.

Segui e condividi i nostri contenuti anche sui social network...