La Cassazione precisa le condotte rimaste penalmente rilevanti a seguito della parziale depenalizzazione dell'art. 167 Codice Privacy operata dal d.lgs. n. 101/2018 di adeguamento al GDPR

di Lucia Izzo - Cosa è cambiato, alla luce della nuova normativa europea sul trattamento dei dati personali, circa le condotte penalmente rilevanti alla luce dell'art. 167 del d.lgs. n. 196/2003? In effetti, il GDPR ha inciso notevolmente sulla materia e lo stesso ha fatto il d.lgs. n. 101/2018 di adeguamento del sistema sanzionatorio italiano in materia alla normativa europea.


Per effetto della nuova normativa, sono risultate di fatto depenalizzate diverse delle condotte previste nella formulazione precedente del predetto art. 167. Ad esempio, quanto alla violazione delle disposizioni in tema di tutela dei dati personali, non rientra più nella cornice sanzionatoria penale la condotta consistita nell'abusivo utilizzo dei codici di sicurezza della carta di credito, senza consenso della persona offesa.


Per effetto del GDPR, dunque, non ha più rilevanza penale, ai sensi dell'art. 167 del Codice Privacy, la condotta dell'operatrice del servizio pay per view che sfrutta, senza consenso, i dati della carta di credito comunicati dal cliente in occasione della lavorazione del contratto. Ciononostante, la donna dovrà comunque rispondere di "frode informatica" ai sensi dell'art. 640-ter del codice penale.

Tanto emerge dalla sentenza 40140/2019 (sotto allegata) resa dalla sezione feriale penale della Corte di Cassazione.


GDPR e modifiche al codice privacy

[Torna su]

Sfugge alla condanna per trattamento illecito di dati, ex art. 167 d.lgs. n. 196/2003, l'operatrice telefonica della pay tv che aveva abusivamente utilizzato i codici di sicurezza della carta di credito di una cliente acquisiti nel corso della lavorazione del contratto.

In effetti, sottolinea la Cassazione, tale ipotesi non è più prevista dalla legge come reato a seguito delle modifiche apportate al Codice della Privacy dal d.lgs. n. 101/2018 che ha adeguato la normativa italiana alle modifiche recate dal Regolamento (UE) 2016/679 (GDPR).

Il Regolamento ha tra l'altro introdotto un sistema di sanzioni amministrative pecuniarie sia per le violazioni degli obblighi da parte dei soggetti investiti del dovere di garantire l'efficace tutela dei dati personali, sia le violazioni dei principi base del trattamento dei dati stessi.

Il legislatore italiano, intervenendo in maniera significativa sul Codice Privacy, ha considerevolmente ridotto l'ambito della risposta sanzionatoria penale, tenendo ferma la rilevanza solo di alcuni comportamenti.

Quali condotte restano penalmente rilevanti?

[Torna su]

In particolare, continuano ad essere penalmente sanzionate, ai sensi del primo comma dell'art. 167, solo le violazioni delle norme relative al trattamento dei dati relativi al traffico, riguardanti contraenti ed utenti trattati dal fornitore di una rete pubblica di comunicazioni o di un servizio di comunicazione elettronica accessibile al pubblico (cd. tabulati), nonché dei dati relativi all'ubicazione, diversi da quelli relativi al traffico, riguardanti i medesimi soggetti e relativi alle cd. comunicazioni indesiderate.

Ancora, sono penalmente rilevanti le violazioni dei provvedimenti del Garante in tema di inserimento ed utilizzo dei dati personali negli elenchi cartacei o elettronici a disposizione del pubblico.

Tuttavia, per perseguire penalmente tali condotte è necessario che le stesse siano sorrette dal dolo specifico di trarre per sé o per altri profitto, o di recare all'interessato un danno, e purché produttive di "nocumento" a quest'ultimo.

Il novellato secondo comma dell'art. 167 punisce altresì, più gravemente, la violazione delle disposizioni in tema di trattamento dei dati sensibili e dei dati giudiziari, mentre le nuove disposizioni introdotte al terzo comma dell'art. 167, all'art. 167-bis e all'art. 167-ter prevedono, rispettivamente, sanzioni penali per la violazione delle disposizioni in tema di trasferimento dei dati personali verso un paese terzo o un'organizzazione internazionale, in tema di comunicazione e diffusione illecite, e di acquisizione fraudolenta, di un archivio automatizzato o di una sua parte sostanziale, che contenga dati personali oggetto di trattamento su larga scala.

Sanzione amministrativa

[Torna su]

Tra le condotte summenzionate non rientra (più) quella contestata all'operatrice, la cui rilevanza penale trovava fondamento nella violazione degli artt. 23 e 25 lett b) del Codice Privacy (in tema, rispettivamente, di trattamento dei dati senza consenso e per finalità diverse da quelle previste), disposizioni peraltro oggi abrogate dal d.lgs. n. 101.

Invece, tale condotta trova oggi la risposta sanzionatoria nelle disposizioni introdotte dal Regolamento pertanto va "cancellata" la pena di mesi due di reclusione, stante la "depenalizzazione" dell'art. 167 del Codice Privacy.

Essendosi il reato estinto per intervenuta prescrizione, l'operatrice sfugge anche alla trasmissione degli atti all'Autorità amministrativa per l'applicazione della sanzione vigente, ai sensi dell'art. 24 d.lgs. n. 101.

Frode informatica

[Torna su]

Resta invece la sanzione nei confronti della donna per il reato di cui all'art. 640 c.p che punisce la "Frode informatica" ovvero la condotta di chi "intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno".

Inutile per l'operatrice chiedere l'attenuante di cui all'art. 62 n. 4 c.p. stante il "modesto valore delle ricariche telefoniche abusivamente effettuate" sfruttando i dati acquisiti e stante l'irrilevanza delle spese sostenute dalla cliente per la sostituzione della carta di credito.

Per la Cassazione, la concessione della circostanza attenuante del danno di speciale tenuità, presuppone necessariamente che il pregiudizio cagionato sia lievissimo, ossia di valore economico pressoché irrisorio, avendo riguardo non solo al valore in sé della cosa sottratta, ma anche agli ulteriori effetti pregiudizievoli che la persona offesa abbia subìto in conseguenza della sottrazione della "res", senza che rilevi, invece, la capacità del soggetto passivo di sopportare il danno economico derivante dal reato.

Scarica pdf Cass., penale feriale, sent. 40140/2019

Foto: 123rf.com
Altri articoli che potrebbero interessarti:
In evidenza oggi: