Chiunque può rispondere penalmente di trattamento illecito di dati personali
Questo è sostanzialmente il principio espresso dalla Cassazione penale, terza sezione, la quale è intervenuta sul tema dell'illecito trattamento dei dati personali, circoscrivendo l'ambito soggettivo della fattispecie delittuosa disciplinata dall'articolo 167 del Codice privacy
Il reato di trattamento illecito di dati può essere commesso da qualsiasi soggetto privato, non solo da soggetti "istituzionalizzati" quali società ed enti.
Questo è sostanzialmente il principio espresso dalla Cassazione penale, terza sezione, la quale è intervenuta sul tema dell'illecito trattamento dei dati personali, circoscrivendo l'ambito soggettivo della fattispecie delittuosa disciplinata dall'articolo 167 del Codice privacy (sentenza n. 13102, depositata il 29 marzo 2023).
In particolare, l'articolo 167, comma 2, dlgs 196/2003 dopo la clausola di riserva ("salvo che il fatto costituisca più grave reato") prevede che chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all'interessato, procedendo al trattamento di categorie particolari di dati personali (ex articolo 9, GDPR) e di dati giudiziari (ex articolo 10 GDPR) in violazione degli articoli 2-sexies e 2-octies, o delle misure di garanzia di cui all'articolo 2-septies, arrechi nocumento all'interessato, è punito con la reclusione da uno a tre anni.Si specifica che questo comma è stato così modificato dal dl 139/2021, conv. con modificazioni con legge 205/2021.
Ai fini della sussistenza del reato, sotto il profilo dell'elemento soggettivo, la norma richiede la configurazione di un dolo specifico, in quanto il reo deve porre in essere il reato al fine di "trarre per sé o per altri profitto" ovvero con l'obiettivo di "arrecare un danno all'interessato", attraverso la descritta condotta di trattamento dei dati.Inoltre, è elemento costitutivo oggettivo dell'ipotesi delittuosa in esame la circostanza che dal fatto derivi un nocumento all'interessato, vale a dire un danno al soggetto cui i dati (trattati illecitamente) si riferiscono.
Come anticipato, con la pronuncia citata, la Cassazione penale si concentra su un preciso aspetto: si interroga se la fattispecie delittuosa di cui all'articolo 167 possa definirsi un reato di tipo proprio od improprio. La Suprema Corte si orienta verso la seconda opzione, considerando tale reato come improprio, in quanto suscettibile di essere commesso da "chiunque". I giudici arrivano a tale conclusione valorizzando e riprendendo "semplicemente" il contenuto testuale della norma.
In altre parole, è possibile che il reato si configuri anche attraverso il comportamento di un privato cittadino che diffonda indebitamente un dato appartenente alle categorie particolari di dati personali (in gergo "sensibili") o un dato giudiziario di cui sia solo occasionalmente venuto in possesso, non essendo necessario che l'indebita attività di comunicazione/diffusione del dato sia posto in essere da parte di privati qualificati o da organismi preposti in modo specifico al trattamento dei dati personali.
Appare utile ricordare la distinzione tra reati propri e impropri: mentre i primi si configurano esclusivamente se il soggetto agente possiede una particolare qualifica (come, per esempio, per i reati di peculato e concussione, con riferimento ai quali, la normativa penalistica, ai fini della loro configurabilità, richiede necessariamente che siano commessi da un pubblico ufficiale o un incaricato di un pubblico servizio), i secondi possono essere integrati da chiunque, quindi anche dal "comune" cittadino.
In altre parole, il reato proprio può essere commesso solo da un soggetto che possiede una particolare qualifica soggettiva, una condizione, uno status, una qualità personale. A tale tipologia di reato si contrappone il reato comune o reato improprio, per la cui configurazione non è necessario il possesso di una particolare qualificazione soggettiva.
Appartengono alla categoria dei reati comuni/impropri la maggioranza dei reati contemplati dal nostro ordinamento penale e, salve alcune eccezioni, sono tali i reati la cui la norma penale apre con l'espressione "chiunque" come appunto accade nel caso dell'articolo 167 Codice privacy.
Riprendendo le parole della Cassazione in esame, si legge che: «Ad una semplice lettura della norma punitiva, l'incipit "chiunque" già esclude in radice una interpretazione in senso restrittivo riferita ai destinatari: (…) è evidente che, laddove si parla di persona fisica, ci si intende riferire al soggetto privato in sé considerato, e non solo a quello che svolga un compito, per così dire, istituzionale, di depositario della tenuta dei dati sensibili e delle loro modalità di utilizzazione all'esterno: una interpretazione siffatta finirebbe con l'esonerare in modo irragionevole dall'area penale tutti i soggetti privati, così permettendo quella massiccia diffusione di dati personali che il Legislatore, invece, tende ad evitare. Può quindi affermarsi senza tema di smentita che l'assoggettamento alla norma in tema di divieto di diffusione di dati sensibili riguardi tutti indistintamente i soggetti entrati in possesso di dati, i quali saranno tenuti a rispettare sacralmente la privacy di altri soggetti con i primi entrati in contatto, al fine di assicurare un corretto trattamento di quei dati senza arbitri o pericolose intrusioni».
La Corte prosegue precisando che la punibilità, nel caso di indebita diffusione dei dati, non può venir meno se il soggetto detentore del dato lo abbia acquisito in via casuale, in quanto la norma incriminatrice non punisce specificatamente il recepimento del dato, ma anche la sua indebita diffusione/comunicazione (in generale, il suo indebito trattamento).
A questo proposito, occorre tenere presente che l'articolo 4 GDPR, dedicato alle definizioni, descrive il concetto di "trattamento" comprendendo nella nozione una serie di operazioni ed attività di trattamento in senso molto ampio: si considerano operazioni di trattamento le attività che vanno dalla raccolta del dato, alla sua registrazione, organizzazione, passando per la sua comunicazione e diffusione (attività, esse stesse, interpretate in modo molto esteso), fino alla sua cancellazione e distruzione.Quindi, la Corte di Cassazione, anche sotto questo profilo, specifica che «il concetto di trattamento va inteso in senso ampio per come già lo afferma il Legislatore laddove elenca tutta una serie di condotte sintomatiche, non circoscritto quindi ad una raccolta di dati, ma anche - e soprattutto - alla diffusione indebita senza il consenso dell'interessato, del dato acquisito, non importa se casualmente o meno».
* a cura di Elisa Chizzola
