PRIVACY – Cassazione Penale sez. III, 14.3.2023 n. 13102 – Le nozioni di “dato personale” e “dato sensibile” – Divieto di diffusione di dati sensibili anche se acquisiti casualmente

image_print

La sentenza, in tema di reato ex art. 167 (Trattamento illecito di dati) del D.Lgs. n.. 196 del 2003 (Codice in materia di protezione dei dati personali), offre l’occasione di riepilogare due concetti base in materia di privacy:

– per “dato personale” s’intende “qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale” (lettera b) art. 4 comma 1 Codice Privacy)

– per “dati sensibili” si intendono “i dati personali idonei a rivelare l’origine razziale ed etnica le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni, od organizzazioni a carattere religioso, filosofico politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale” (lettera b) art. 4 comma 1 Codice Privacy)

La pronuncia si segnala però soprattutto per l’affermazione del principio per cui il divieto di diffusione di dati sensibili riguarda anche quelli acquisiti in via casuale: è infatti infondata la tesi per cui l’art. 167 cit. non annovererebbe tra i destinatari del precetto e della sanzione soggetti diversi dalla Pubblica Amministrazione, dai privati appositamente qualificati dalla normativa di riferimento e da altri organismi specificamente preposti al trattamento di dati personali.

Penale Sent. Sez. 3 Num. 13102 Anno 2023
Presidente: SARNO GIULIO
Relatore: NOVIELLO GIUSEPPE
Data pubblicazione: 29/3/2023

(omissis)

RITENUTO IN FATTO

1. Con sentenza del 7 luglio 2021, la Corte di appello di Palermo riformava parzialmente, la sentenza del tribunale di Palermo con la quale (omissis) era stata condannata, previa riqualificazione, in relazione al reato di cui all’art. 615 bis comma 1 e 2 c.p., riqualificando nuovamente il fatto nei termini della originaria contestazione di cui all’art. 167 D.Lgs. n.. 196 del 2003 e rideterminando le pena finale inflitta.

2. Avverso tale sentenza (omissis) ha proposto ricorso mediante il proprio difensore, deducendo un solo motivo di impugnazione.

3. Si deduce la violazione dell’art. 167 del D.Lgs. n.. 196 del 2003, ritenendosi non configurabile tale fattispecie per le ragioni già espresse dal primo giudice, ossia perché il predetto articolo non annovererebbe tra i destinatari del precetto e della sanzione soggetti diversi dalla Pubblica Amministrazione, dai privati appositamente qualificati dalla normativa di riferimento e da altri organismi specificamente preposti al trattamento di dati personali, e perché quindi le condotte come appurate nei due giudizi non potrebbero rientrate nel concetto di trattamento di dati personali di cui al citato articolo.

CONSIDERATO IN DIRITTO

1. Il ricorso è manifestamente infondato.

Va premesso che il trattamento dei dati personali sensibili senza il consenso dell’interessato, dal quale derivi nocumento per la persona offesa, era già punito ai sensi dell’art. 35, comma 3 della L. 31 dicembre 1996, n. 675, ed è tutt’ora punibile ai sensi dell’art. 167, comma 2 del D.Lgs. n. 30 giugno 2003 n. 196, in quanto tra le due fattispecie sussiste un rapporto di continuità normativa, essendo identici sia l’elemento soggettivo caratterizzato dal dolo specifico, sia gli elementi oggettivi, in quanto le condotte di “comunicazione” e “diffusione” dei dati sensibili sono ora ricomprese nella più ampia dizione di “trattamento” dei dati sensibili, ed il nocumento per la persona offesa che si configurava nella previgente fattispecie come circostanza aggravante, rappresenta nella disposizione in vigore una condizione obiettiva di punibilità (cfr. Sez. 3, n. 28680 del 26/03/2004 Rv. 229465 – 01).

Questa corte con riferimento alla sopravvenuta disposizione del citato art. 167 ha poi precisato (cfr. Sez. 3, n. 29549 del 07/02/2017 Ud. (dep. 14/06/2017) Rv. 270458 – 01) che ai sensi dell’art. 167 comma 2 del D.Lgs. n.. 196/03, come articolato prima della riforma del 2018 e quindi riportabile ai fatti come contestati, del 2014, è punito salvo che il fatto costituisca più grave reato, colui il quale, al fine di trarne per sé o per altri profitto o di recare ad altri un danno procede al trattamento di dati personali in violazione di quanto disposto dagli artt. 17, 20, 21, 22, commi 8 e 11, 25, 26, 27, 45, sempre che ne derivi un nocumento.

Il “trattamento”, ai sensi dell’art. 4 comma 1 lett. a) del D.Lgs. n.. citato, corrisponde a “qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati anche se non registrati in una banca dati”.

Quanto al concetto di “dato personale”, esso è definito, ai sensi della successiva lettera b) del citato art. 4 comma 1, come “qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale” mentre per “dati sensibili” si intendono, ai sensi della lettera d), “i dati personali idonei a rivelare l’origine razziale ed etnica le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni, od organizzazioni a carattere religioso, filosofico politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”.

Quanto alla sua struttura il reato, oltre alla clausola di riserva, contempla una condotta di trattamento di dati personali indicati ai citati artt. 17, 20, 21, 22, commi 8 e 11, 25 26, 27, 45, purché ne derivi un nocumento. La predetta condotta presuppone l’assenza di consenso da parte dell’interessato, ed essa può anche essere effettuata dal cittadino privato, il quale sia, anche solo occasionalmente venuto a conoscenza di un dato sensibile.

Di particolare interesse, in questa sede, alla luce del motivo in esame, è quest’ultima precisazione. Questa Suprema Corte ha evidenziato infatti, diversamente da quanto sostenuto in ricorso dalla difesa, che è del tutto infondata la tesi volta ad escludere dal novero dei destinatari della norma punitiva (rappresentata poi dall’art. 167 citato) il privato cittadino che occasionalmente sia venuto in possesso di un dato rilevante appartenente ad altro soggetto, dandogli diffusione indebita.

Ad una semplice lettura della norma punitiva, l’incipit “chiunque” già esclude in radice una interpretazione in senso restrittivo riferita ai destinatari: ma, anche a voler ricollegare l’art. 167 all’art. 4, è evidente che, laddove si parla di persona fisica, ci si intende riferire al soggetto privato in sé considerato, e non solo a quello che svolga un compito, per così dire, istituzionale, di depositario della tenuta dei dati sensibili e delle loro modalità di utilizzazione all’esterno: una interpretazione siffatta finirebbe con l’esonerare in modo irragionevole dall’area penale tutti i soggetti privati, così permettendo quella massiccia diffusione di dati personali che il legislatore, invece, tende ad evitare.

Può quindi affermarsi senza tema di smentita che l’assoggettamento alla norma in tema di divieto di diffusione di dati sensibili riguardi tutti indistintamente i soggetti entrati in possesso di dati, i quali saranno tenuti a rispettare sacralmente la privacy di altri soggetti con i primi entrati in contatto, al fine di assicurare un corretto trattamento di quei dati senza arbitri o pericolose intrusioni.

Ne’ la punibilità – in caso di indebita diffusione dei dati – può dirsi esclusa se il soggetto detentore del dato abbia ciò acquisito in via casuale, in quanto la norma non punisce di certo il recepimento del dato, quanto la sua indebita diffusione.

Va sottolineato, infine, che il concetto di trattamento va inteso in senso ampio per come già lo afferma il legislatore laddove elenca tutta una serie di condotte sintomatiche, non circoscritto quindi ad una raccolta di dati, ma anche – e soprattutto – alla diffusione indebita senza il consenso dell’interessato, del dato acquisito, non importa se casualmente o meno.

E’ poi contemplato, sempre nel quadro strutturale della fattispecie, il dolo specifico di “trarre per sé o per altri profitto di recare ad altri un danno ” attraverso la descritta condotta di trattamento dei dati. Ed è elemento costitutivo oggettivo la circostanza che dal fatto “derivi un nocumento”.

Dunque del tutto destituita di fondamento è la tesi che vorrebbe escludere la ricorrente, siccome privato “non qualificato”, dal novero dei destinatari della norma, alla luce di un ormai acclarato indirizzo giurisprudenziale sul punto.

2. Sulla base delle considerazioni che precedono, la Corte ritiene pertanto che il ricorso debba essere dichiarato inammissibile, con conseguente onere per la ricorrentie ai sensi dell’art. 616 c.p.p., di sostenere le spese del procedimento. Tenuto, poi, conto della sentenza della Corte costituzionale in data 13 giugno 2000, n. 186, e considerato che non vi è ragione di ritenere che il ricorso sia stato presentato senza “versare in colpa nella determinazione della causa di inammissibilità”, si dispone che la ricorrente versi la somma, determinata in via equitativa, di Euro tremila in favore della Cassa delle Ammende.

About The Author

INFO E PREVENTIVI