Privacy: le condotte penalmente rilevanti alla luce della nuova normativa europea

La Suprema Corte esamina le condotte penalmente rilevanti oggetto del nuovo art. 167 d.lgs. n. 196/2003 a seguito della parziale depenalizzazione operata con il d.lgs. n. 101/2018 di adeguamento del sistema sanzionatorio italiano in materia alla normativa europea .

Questo il contenuto della sentenza della Corte di Cassazione n. 40140/19, depositata il 1° ottobre. Il fatto. La Corte d’Appello di Lecce confermava la sentenza con cui il Tribunale aveva condannato l’imputato anche per il reato di cui all’art. 167 capo b del Codice della privacy d.lgs. n. 196/2003 , per avere egli utilizzato abusivamente i codici di sicurezza di una carta di credito acquisiti per via di un contratto stipulato dal proprietario della stessa con la società di cui egli era dipendente . Avverso tale provvedimento, l’imputato propone ricorso per cassazione, censurandolo, tra le altre cose, per non avere pronunciato la sua assoluzione, visto che il fatto a lui contestato non è più previsto dalla legge come reato in virtù della depenalizzazione operata dal d.lgs. n. 101/2018 dei casi di trattamento illecito che prima assumevano valenza penale ai sensi dell’art. 167 citato. Utilizzo abusivo dei codici di sicurezza della carta di credito. La Corte di Cassazione dichiara fondato il motivo lamentato dal ricorrente, poiché il fatto non è più previsto dalla legge come reato, nonostante sia ormai decorso il termine massimo di prescrizione. Nell’affermare ciò, gli Ermellini osservano che la condotta contestata al ricorrente assumeva valenza penale solo ai sensi del previgente art. 167 Codice della privacy, quando ancora non erano state introdotte le modifiche di cui al d.lgs. n. 101/2018. A tal proposito, l’entrata in vigore del Regolamento UE 2016/679 del Parlamento europeo e del Consiglio ha profondamente innovato la materia, ed in tale quadro è intervenuta poi la l. n. 163/2017, che ha delegato il Governo ad adeguare il sistema sanzionatorio oggetto del Codice della Privacy alla suddetta normativa europea. Il risultato di tale delega è la l. n. 101/2018, che ha notevolmente ridotto l’ambito di applicazione della sanzione penale. In particolare, l’attuale art. 167 sanziona penalmente, ai sensi del primo comma, solo le violazioni delle disposizioni sul trattamento dei dati relativi al traffico, concernenti contraenti ed utenti trattati dal fornitore di una pubblica rete di comunicazioni, nonché quelle riguardanti il trattamento dei dati relativi all’ubicazione dei medesimi soggetti, le violazioni relative alle cd. comunicazioni indesiderate e quelle provenienti dal Garante in materia di inserimento e utilizzo di dati personali all’interno di elenchi cartacei o elettronici a disposizione del pubblico. Al comma successivo, invece, sono previste sanzioni penali per altre condotte ivi elencate. Alla luce di quanto esposto, la Corte evidenzia che tali condotte non comprendono anche quella contestata al ricorrente, imponendosi, di conseguenza, l’annullamento della decisione impugnata limitatamente a tale parte perché il fatto non costituisce reato, e tale causa di proscioglimento prevale sull’estinzione del reato per prescrizione già maturata.

Corte di Cassazione, sez. Feriale Penale, sentenza 13 agosto – 1 ottobre 2019, n. 40140 Presidente Sabeone – Relatore Pazienza Ritenuto in fatto 1. Con sentenza del 22/02/2019, la Corte d’Appello di Lecce ha confermato la sentenza emessa in data 27/04/2016 dal Tribunale di Lecce, con la quale D.M.R.G. era stata condannata alla pena di giustizia in relazione ai reati di cui al D.Lgs. n. 196 del 2003, art. 640-ter così diversamente qualificato il reato sub a e art. 167 capo b . 2. Ricorre per cassazione la D.M. , a mezzo del proprio difensore, deducendo 2.1. Erronea applicazione della legge penale quanto al reato sub b . Si censura la sentenza impugnata per non aver assolto la D.M. perché il fatto non è più previsto dalla legge come reato, alla luce della parziale depenalizzazione, ad opera del D.Lgs. n. 101 del 2018, delle ipotesi di trattamento illecito che in precedenza assumevano rilievo ai sensi del D.Lgs. n. 196 del 2003, art. 167. In particolare, si deduce che l’ipotesi accusatoria trovava fondamento negli artt. 23 per la mancanza di consenso della persona offesa alla comunicazione a terzi dei codici di accesso per l’utilizzo della carta di credito e art. 25, comma 1 lett. b , del predetto decreto legislativo in ragione della comunicazione a terzi dei codici per finalità avulse dalla stipula del contratto con MEDIASET PREMIUM . Alla luce del nuovo testo dell’art. 167, la condotta ascritta alla D.M. deve ritenersi ormai estranea alla norma incriminatrice, che prende in considerazione solo le violazioni degli artt. 123, 126, 129, 130, ovvero il trattamento di particolari categorie di dati personali in violazione delle disposizioni di cui agli artt. 2-sexies, 2.septies, 2-octies e 2-quinquiesdecies del predetto decreto legislativo. 2.2. Violazione di legge e vizio di motivazione con riferimento alla mancata applicazione dell’attenuante di cui all’art. 62 c.p., n. 4. Si censura la sentenza impugnata per non aver conferito rilievo dirimente al modesto valore delle ricariche telefoniche abusivamente effettuate, dovendo ritenersi illegittima la valorizzazione del maggior danno eventualmente verificatosi dopo la consumazione del reato nella specie, le spese necessarie per la sostituzione della carta di credito . Considerato in diritto 1. Il primo motivo di ricorso è fondato, ed impone, ai sensi dell’art. 129 c.p.p., comma 2, l’annullamento senza rinvio della sentenza impugnata quanto al capo b della rubrica, perché il fatto non è previsto dalla legge come reato, nonostante sia ormai decorso il termine massimo prescrizionale di sette anni e sei mesi, decorrente dalla data di consumazione del reato individuata nel 27/08/2011 , anche tenuto conto dei 119 giorni di sospensione conseguenti al rinvio disposto dal giudice di primo grado, dall’udienza del 22/10/2014 a quella del 18/02/2015, per l’adesione dei difensori all’astensione di categoria. Coglie infatti nel segno il rilievo difensivo secondo cui la condotta contestata alla D.M. consistita nell’abusivo utilizzo dei codici di sicurezza della carta di credito di V.S. , acquisiti nella qualità di dipendente della MEDIASET PREMIUM addetta alla lavorazione del contratto che la V. aveva inteso stipulare con la predetta società assumeva rilievo penale - quanto alla violazione delle disposizioni in tema di tutela dei dati personali - solo ai sensi del previgente D.Lgs. n. 196 del 2003, art. 167 c.d. Codice della Privacy , ovvero prima delle modifiche apportate, al predetto Codice, dal D.Lgs. n. 101 del 2018 non anche ai sensi dell’art. 167 attualmente in vigore. 1.1. Può in estrema sintesi osservarsi, al riguardo, che l’entrata in vigore del Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati d’ora in avanti Regolamento , ha profondamente innovato la materia, con disposizioni aventi ovviamente diretta ed immediata applicazione nell’ordinamento interno interessa qui subito evidenziare che il Regolamento ha tra l’altro introdotto art. 83 un sistema di sanzioni amministrative pecuniarie sia per le violazioni degli obblighi da parte dei soggetti investiti del dovere di garantire l’efficace tutela dei dati personali, sia le violazioni dei principi base del trattamento dei dati stessi compresi quelli relativi al consenso e ai diritti degli interessati cfr. artt. 5 ss. del Regolamento . Quest’ultimo ha peraltro anche rimesso alla potestà sanzionatoria degli Stati membri art. 84 la possibilità di introdurre ulteriori sanzioni per la violazione di disposizioni diverse da quelle già sanzionate dal Regolamento stesso, facendo espresso riferimento alla possibilità che tali ulteriori disposizioni sanzionatorie abbiano natura penale, ed afferiscano a violazione di norme nazionali adottate in virtù ed entro i limiti del Regolamento cfr. il Considerando n. 149 . In tale quadro, è intervenuta la L. n. 163 del 2017 legge di delegazione Europea 2016-2017 , che ha delegato il Governo ad intervenire sul Codice della Privacy, anche al fine di adeguare il sistema sanzionatorio ivi previsto alla normativa di matrice Europea. 1.2. Il legislatore delegato, con il D.Lgs. n. 101 del 2018, ha profondamente modificato il predetto Codice, sia abrogando numerosissime disposizioni ormai superate dall’impianto normativo contenuto nel Regolamento, sia intervenendo in termini assai significativi sull’impianto sanzionatorio. Sono state infatti introdotte, da un lato, una serie di ulteriori ipotesi di illecito amministrativo per la violazione di alcune disposizioni del Codice, dettagliatamente indicate nel novellato art. 166. D’altro lato - ed è quel che specificamente interessa in questa sede - il D.Lgs. n. 101 ha considerevolmente ridotto l’ambito della risposta sanzionatoria penale il nuovo testo dell’art. 167 - che nei due commi della previgente formulazione sanzionava anche la violazione delle disposizioni, oggi abrogate, di cui agli artt. 18, 19, 23 comma 1 , 17, 20, 21, 22, 26, 27, 45 comma 2 - ha tenuto ferma la rilevanza penale solo di alcuni specifici comportamenti. In particolare, continuano ad essere penalmente sanzionate, ai sensi del comma 1 dell’art. 167, solo le violazioni - purché sorrette dal dolo specifico di trarre per sé o per altri profitto, o di recare all’interessato un danno, e purché produttive di nocumento a quest’ultimo - delle norme relative al trattamento dei dati relativi al traffico, riguardanti contraenti ed utenti trattati dal fornitore di una rete pubblica di comunicazioni o di un servizio di comunicazione elettronica accessibile al pubblico cd. tabulati, art. 123 del Codice al trattamento dei dati relativi all’ubicazione, diversi da quelli relativi al traffico, riguardanti i medesimi soggetti art. 126 alle cd. comunicazioni indesiderate art. 130 nonché le violazioni dei provvedimenti del Garante in tema di inserimento ed utilizzo dei dati personali negli elenchi cartacei o elettronici a disposizione del pubblico art. 129 . Il novellato comma 2 dell’art. 167 punisce altresì, più gravemente, la violazione delle disposizioni in tema di trattamento dei dati sensibili e dei dati giudiziari, mentre le nuove disposizioni introdotte al comma 3 dell’art. 167, all’art. 167-bis e all’art. 167-ter prevedono, rispettivamente, sanzioni penali per la violazione delle disposizioni in tema di trasferimento dei dati personali verso un paese terzo o un’organizzazione internazionale, in tema di comunicazione e diffusione illecite, e di acquisizione fraudolenta, di un archivio automatizzato o di una sua parte sostanziale, che contenga dati personali oggetto di trattamento su larga scala. 1.3. Risulta evidente che le norme incriminatrici oggi vigenti, e fin qui sommariamente richiamate, non prendono in considerazione la condotta contestata alla D.M. , la cui rilevanza penale - come osservato dal ricorrente - trovava fondamento nella prospettata violazione dell’art. 23 e art. 25, lett. b del Codice Privacy in tema, rispettivamente, di trattamento dei dati senza consenso e per finalità diverse da quelle previste disposizioni peraltro oggi abrogate dal D.Lgs. n. 101, mentre la condotta qui in discussione trova oggi la risposta sanzionatoria nelle disposizioni introdotte dal Regolamento. In tale quadro, si impone l’annullamento della sentenza impugnata, in parte qua, perché il fatto non è previsto dalla legge come reato, dovendo tale causa di proscioglimento prevalere sulla già maturata estinzione del reato per intervenuta prescrizione estinzione che esime dalla trasmissione degli atti all’Autorità amministrativa per l’applicazione della sanzione vigente, ai sensi del D.Lgs. n. 101, art. 24 . 2. È invece manifestamente infondato il secondo motivo di ricorso, concernente la mancata applicazione dell’attenuante di cui al n. 62 n. 4 c.p., con riferimento all’imputazione sub a motivo imperniato sulla modesta entità delle ricariche telefoniche abusivamente effettuate dalla D.M. , e sulla ritenuta illegittimità della valorizzazione delle spese sostenute dalla V. per la sostituzione della carta di credito. 2.1. Al riguardo, deve osservarsi che - come già ripetutamente chiarito da questa Suprema Corte - la concessione della circostanza attenuante del danno di speciale tenuità, presuppone necessariamente che il pregiudizio cagionato sia lievissimo, ossia di valore economico pressoché irrisorio, avendo riguardo non solo al valore in sé della cosa sottratta, ma anche agli ulteriori effetti pregiudizievoli che la persona offesa abbia subito in conseguenza della sottrazione della res , senza che rilevi, invece, la capacità del soggetto passivo di sopportare il danno economico derivante dal reato Sez. 4, n. 6635 del 19/01/2017, Sicu, Rv. 269241 . Ancor più di recente, si è poi ulteriormente precisato che in caso di furto di un portafogli contenente bancomat e documenti di identità non è applicabile la circostanza attenuante del danno di speciale tenuità, in considerazione del valore non determinabile, o comunque di non speciale tenuità, del documento, che non si esaurisce nello stampato, nonché degli ulteriori effetti pregiudizievoli subiti dalla persona offesa, quali le pratiche relative alla duplicazione dei documenti sottratti Sez. 4, n. 16218 del 02/04/2019, Belfiore, Rv. 275582 . La sentenza impugnata ha fatto buon governo dei principi richiamati di qui la manifesta infondatezza del motivo e la conseguente l’inammissibilità, in parte qua, del ricorso della D.M. . 2.2. È appena il caso di precisare che - nonostante la fondatezza del primo motivo - nessun rilievo può attribuirsi al fatto che, anche per il reato di cui al capo a , sia medio tempore maturata la causa estintiva della prescrizione le Sezioni Unite di questa Suprema Corte hanno infatti che in caso di ricorso avverso una sentenza di condanna cumulativa, che riguardi più reati ascritti allo stesso imputato, l’autonomia dell’azione penale e dei rapporti processuali inerenti ai singoli capi di imputazione impedisce che l’ammissibilità dell’impugnazione per uno dei reati possa determinare l’instaurazione di un valido rapporto processuale anche per i reati in relazione ai quali i motivi dedotti siano inammissibili, con la conseguenza che per tali reati, nei cui confronti si è formato il giudicato parziale, è preclusa la possibilità di rilevare la prescrizione maturata dopo la sentenza di appello Sez. U, n. 6903 del 27/05/2016, dep. 2017, Aiello, Rv. 268966 . 3. Le considerazioni fin qui svolte impongono una declaratoria di inammissibilità del ricorso, quanto al capo a , e l’annullamento senza rinvio della sentenza impugnata quanto al reato sub b , con la conseguente necessità di eliminare la pena applicata alla D.M. due mesi di reclusione a titolo di continuazione per il predetto reato a tale eliminazione può provvedere questa Suprema Corte, ai sensi dell’art. 620 c.p.p., lett. l . P.Q.M. Annulla senza rinvio la sentenza impugnata limitatamente al fatto di cui al capo b perché non previsto dalla legge come reato ed elimina la relativa pena di mesi due di reclusione dichiara inammissibile nel resto il ricorso.