La Cassazione ha fissato i limiti in cui una violazione della normativa privacy può costituire un reato in Italia.
La Cassazione ha fissato i limiti in cui una violazione della normativa privacy può costituire un reato in Italia, restringendo il campo di applicazione in un regime in cui ci sono già le sanzioni elevate previste dal GDPR.
Con sentenza n. 2243 del 20/01/2022, la sezione III della Corte di Cassazione penale ha accolto il ricorso presentato avverso la sentenza del 13/01/2012 della Corte di Appello di Milano, con la quale il responsabile di un’agenzia di investigazioni era stato condannato alla pena di sei mesi di reclusione per il reato di cui agli artt. 110 c.p. e art. 167, comma 1, del Codice Privacy.
In particolare, il ricorrente rispondeva del suddetto reato perché, in concorso con il committente, aveva effettuato la raccolta e la conservazione dei dati relativi alla moglie dello stesso, senza il consenso dell’interessata e al di fuori dei casi previsti dagli artt. 23 e 24, lett. f) del Codice Privacy (oggi abrogati), nonché oltre i termini stabiliti dal mandato conferito dal committente.
Nella vicenda in questione la Suprema Corte ha fornito alcuni importanti chiarimenti in merito al reato di trattamento illecito di dati di cui all’art. 167, commi 1 e 2, del Codice Privacy, a norma dei quali:
- “Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, operando in violazione di quanto disposto dagli articoli 123, 126 e 130 o dal provvedimento di cui all’articolo 129 arreca nocumento all’interessato, è punito con la reclusione da sei mesi a un anno e sei mesi”; e
- “Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, procedendo al trattamento dei dati personali di cui agli articoli 9 e 10 del Regolamento in violazione delle disposizioni di cui agli articoli 2-sexies e 2-octies, o delle misure di garanzia di cui all’articolo 2-septies arreca nocumento all’interessato, é punito con la reclusione da uno a tre anni”.
In primo luogo, il Giudice di legittimità ha evidenziato come gli illeciti in questione non siano propri del titolare e responsabile del trattamento dei dati, trattandosi di reati comuni che possono essere commessi da “chiunque” e, d’altra parte, come il termine “nocumento” a cui fanno riferimento le disposizioni sopra riportate debba intendersi come un pregiudizio giuridicamente rilevante di qualsiasi natura, patrimoniale o non patrimoniale, che sia subito dalla persona a cui si riferiscono i dati personali protetti, precisando tuttavia che non deve essere confuso con il cd. “danno-conseguenza”, risarcibile ai sensi degli artt. 185 c.p. e 2034 e 2059 c.c..
Tale “noncumento” rappresenta inoltre un elemento costitutivo dei reati di cui si discute, non una condizione oggettiva di punibilità, con la differenza che, per il reato di cui al secondo comma dell’art. 167, l’oggetto materiale della condotta illecita solo i dati di cui agli artt. 9 e 10 del GDPR. Si tratta dunque di reati pericolo concreto, non di pericolo presunto, rispetto ai quali il “noncumento” “assolve alla funzione di dare effettività alla tutela della riservatezza dei dati personali”.
Ma l’affermazione più rilevante che si rinviene nella sentenza in questione consiste nel fatto che, secondo la Suprema Corte, ai fini dell’integrazione del reato di cui all’art. 167 comma 2, la violazione pura e semplice del divieto di trattamento non è sufficiente, essendo altresì necessario che questa avvenga in violazione degli artt. 2-sexies e 2-octies, o delle misure di garanzia di cui all’art. 2-septies del Codice Privacy.
Pertanto, affinché possa configurarsi il rato di cui all’art. 167 comma 2 è necessario che la condotta illecita (i) arrechi nocumento all’interessato; (ii) sia posta in essere con il dolo specifico di trarre profitto, per sé o per altri, o arrecare danno all’interessato; e (iii) concreti la violazione delle disposizioni di cui agli artt. 2-sexies e 2-octies, o delle misure di garanzia di cui all’art. 2-septies del Codice Privacy. In mancanza di questi elementi, la mera violazione delle regole deontologiche di condotta integra l’illecito amministrativo di cui all’art. 166, comma 2, del Codice Privacy.
Questa decisione è rilevante in quanto tiene conto di come le nuove disposizioni del Codice Privacy che sono state introdotte come conseguenza dell’applicabilità del GDPR hanno ristretto la portata dei reati per le violazioni della privacy in Italia, forse anche a causa delle sanzioni amministrative notevolmente più elevate introdotte dal Regolamento UE sulla protezione dei dati personali.
Su di un simile argomento, può essere interessante l’articolo “DLA Piper report su data breach e sanzioni ai sensi del GDPR nel 2021”.