Abusività dell’accesso? Tutto dipende dai poteri conferiti dal titolare del sistema informatico

Costituisce reato di accesso abusivo ad un sistema informatico la condotta del soggetto che, pur essendo in possesso delle credenziali d’accesso, si introduca o rimanga all’interno di un sistema protetto violando le condizioni e i limiti impostigli dal titolare di quest’ultimo. Non assume, invece, alcun rilievo lo scopo o la finalità perseguita dall’agente.

Così ha stabilito la Suprema Corte di Cassazione, Sezione Quinta Penale, con la sentenza n. 11994 depositata il 13 marzo 2017. Spionaggio legale. Alla base della corposa sentenza che oggi commentiamo v’è la condotta di un avvocato che, stando alla ricostruzione dei fatti sparsa tra le pagine scritte dagli Ermellini, ha copiato file contenenti una enorme mole di dati personali di alcuni clienti dello studio legale dove lavorava. Perché? Sembrerebbe che l’immagazzinamento dei dati sia stato funzionale al reimpiego dei dati in un altro studio legale quello proprio. Certo, nella società dei database, degli archivi informatici, delle agende memorizzate negli smartphones può succedere questo ed altro. Condotte illecite figlie del progresso? Sicuramente! Nell’era cartacea non dico che fatti analoghi fossero impossibili da realizzare, ma certamente sarebbero stati più impegnativi fotocopiare o, per gli amanti del vintage, ciclostilare un intero archivio non sarebbe stato di certo una passeggiata. Tribunale e Corte di appello non hanno dubbi la condotta consistita nell’introdursi nel sistema informatico e nel copiarne i dati costituisce due volte reato sia per l’abusività dell’accesso, sia per l’illecito trattamento dei dati così ottenuti in copia. Viene proposto ricorso per cassazione, la cui impalcatura è articolatissima, ma che va incontro ad una decisione di rigetto. Vediamone il perché. Per stabilire se l’accesso è lecito o meno occorre considerare i limiti con cui esso è consentito. Sulla scorta di un consolidato orientamento di legittimità, definito non a caso dalla Corte diritto vivente proprio per sottolinearne la costanza indiscussa e culminato in una decisione a Sezioni Unite del 2011, al fine di escludere il reato oggetto d’esame non basta detenere legittimamente le chiavi per fare ingresso in un determinato sistema informatico. Occorre anche rispettare i limiti e le prescrizioni complessivamente impartite dal titolare del sistema stesso. Va bene che l’agente possedeva le credenziali per accedere al sistema, ma nel caso di specie vi ha fatto ingresso per soddisfare scopi differenti da quelli per i quali era abilitato ad accedervi. Il caso oggetto della decisione in commento non fa pertanto eccezione alla regola l’imputato era stato sorpreso mentre copiava file relativi a pratiche sulle quali non aveva alcuna competenza lavorativa. Quindi, in definitiva, l’accesso a quello specifico settore del sistema il server dello studio ove l’imputato lavorava avveniva in modo illecito. Trattamento abusivo di dati personali concorso apparente o concorso formale? Un’altra questione interessante affrontata nella sentenza in commento è quella relativa alla possibilità che la condotta di copiatura dei file rientri anche nell’alveo della norma incriminatrice in tema di illecito trattamento di dati personali. La disposizione appena citata, che è ospitata nel Codice in materia di protezione dei dati personali, punisce, salvo che il fatto non costituisca più grave reato, chiunque tratti illecitamente dati personali al fine di ricavare un profitto o di recare ad altri un danno. La condizione obiettiva di punibilità è stigmatizzata dall’espressione se dal fatto deriva nocumento . La difesa aveva tentato di sostenere la tesi della impossibilità di ravvisare i connotati della norma citata nei fatti di causa per molteplici ragioni, tra le quali spicca il difetto della destinazione dei dati raccolti ad una comunicazione sistematica . La Suprema Corte non è, però, affatto d’accordo poiché, come anticipato, quei dati sarebbero stati reinvestiti nella nuova attività professionale del ricorrente, tanto è vero che venivano rinvenuti anche nel computer di uno dei suoi collaboratori. Anche questa censura, pertanto, non viene accolta. A sbarrare ogni strada alla tesi del concorso apparente di norme invocato sotto l’etichetta giuridica del principio di specialità è, infine, una osservazione sulla diversità delle condotte contestate l’accesso abusivo al sistema informatico, infatti, è un momento antecedente e ben distinto dalla successiva estrazione di copia dei dati ivi contenuti.

Corte di Cassazione, sez. V Penale, sentenza 5 dicembre 2016 13 marzo 2017, n. 11994 Presidente Palla Relatore Guardiano Fatto e diritto 1. Con la sentenza di cui in epigrafe la corte di appello di Milano riformava solo parzialmente, revocando l’assegnazione della provvisionale disposta in favore delle costituite parti civili, la sentenza con cui il tribunale di Milano, in data 28.4.2014, aveva condannato G.S. alla pena ritenuta di giustizia, in relazione ai reati di cui agli artt. 615 ter, c.p., e 167, 4, 24, d.lgs. 30 giugno 2003, n. 196, a lui rispettivamente ascritti ai capi A e B dell’imputazione, oltre al risarcimento dei danni derivanti da reato, confermando, nel resto, la sentenza impugnata. 2. Avverso la sentenza della corte territoriale, di cui chiede l’annullamento, ha proposto tempestivo ricorso per cassazione l’imputato, a mezzo dei suoi difensori di fiducia, avv. Riccardo Olivo e avv. Raffaele Bergaglio, del Foro di Milano, lamentando 1 violazione di legge e vizio di motivazione, in quanto, premesso che il ricorrente è stato ritenuto responsabile del reato di accesso abusivo al sistema informatico in uso presso lo studio legale A. e Gi. da ora in poi indicato anche con l’acronimo A& amp G , dove lo stesso avv. G. ha svolto la sua attività professionale dal settembre 2008 all’aprile 2012, la corte territoriale ha erroneamente adottato un’interpretazione finalistica della condotta del ricorrente, che fa discendere la penale responsabilità per il reato di cui all’art. 615 ter, c.p., dalla natura di alcuni dei files che l’avv. G. ha salvato su dispositivi esterni, prelevandoli dal server comune, accessibile ad ogni componente dello studio legale, omettendo la necessaria valutazione sia sull’abusiva introduzione, sia sull’indebita permanenza nel sistema informatico, quali uniche condotte che, secondo la giurisprudenza della Suprema Corte, possono avere rilievo penale, a prescindere dall’obiettivo avuto di mira dall’agente, non avendo la corte territoriale chiarito, se non attraverso una motivazione apodittica, per quale ragione l’operazione di copiatura dei files cui il ricorrente aveva libero accesso debba ritenersi ontologicamente non consentita ed in che termini tale operazione, come affermato dal giudice di appello, fosse incompatibile con i limiti contrattuali che evidenziavano il dissenso tacito all’accesso ed al mantenimento in tutta l’ampiezza del sistema informatico dello studio , posto che l’unico accordo tra lo studio in questione e l’imputato è rappresentato da una proposta di collaborazione che non disciplina i limiti alla consultazione dei documenti informatici dell’associazione professionale 2 vizio di motivazione in ordine alla ritenuta condotta di permanenza abusiva nel sistema informatico, non avendo la corte territoriale dimostrato, come avrebbe dovuto, alla luce dell’interpretazione della giurisprudenza di legittimità, in che modo ed in quale momento l’imputato, partendo da un accesso al sistema certamente autorizzato, abbia posto in essere un indebito mantenimento nel sistema stesso, circostanza di fatto che non può certo desumersi, come ritiene la corte territoriale, dal contenuto delle consulenze tecniche, che dimostrano solo l’effettiva apertura e salvataggio dei file, ma non l’indimostrata abusività della permanenza del professionista nel sistema informatico dello studio 3 vizio di motivazione con riferimento al percorso informatico seguito dal ricorrente, che non può integrare il reato di cui all’art. 615 ter, c.p., essendosi limitato l’imputato ad aprire o prelevare file, inserendosi nel sistema informatico dello studio AG, direttamente dal desktop della propria postazione di lavoro, sistema al quale, dunque, aveva libero accesso, nella sua qualità di collaboratore dell’associazione professionale in questione 4 violazione di legge e vizio di motivazione con riferimento al reato di cui all’art. 167, d.lgs. n. 196 del 2003, posto che il trattamento dei dati addebitato al G. avente ad oggetto solo i files Contatti AG e Archivio in corso , è avvenuto per fini esclusivamente personali e non diffusivi, ragione per la quale, ai sensi dell’art. 5 del medesimo testo normativo, non trattandosi, alla luce della previsione normativa che definisce le relative nozioni, di cui all’art. 4, lettere I ed m , del d.lgs. n. 196 del 2003, di dati destinati ad una comunicazione sistematica o alla diffusione, nel caso in esame non è applicabile li cd. Codice della privacy, non potendosi ritenere certamente escluso il fine personale del trattamento dei dati dalla circostanza che esso sia connesso alla sfera lavorativa o professionale dell’autore, senza tacere che i due files in questione, a differenza di quanto affermato dalla corte, non sono stati reperiti sulla chiavetta dell’avv. M. 5 violazione di legge e vizio di motivazione, con riferimento alla ritenuta violazione della regola prevista dall’art. 23, d.lgs. n. 196 del 2003, integrativo del precetto penale di cui al citato art. 167, in quanto i dati di cui si discute costituiti da una rubrica informatica di titolarità dello studio legale contenente i nomi di tutti i clienti, e dall’archivio dello studio non possono considerarsi dati sensibili, trattandosi, da un lato, di dati appartenenti ad una persona giuridica, che, ai sensi dell’art. 4, co. 1, lett. b , d.lgs n. 196 del 2003, non costituiscono dati personali dall’altro, di dati appartenenti ad uno studio legale associato, la cui attività costituisce adempimento di un accordo, ai sensi dell’art. 24, lett. c , d.lgs n. 196 del 2003, del quale ciascun membro è inevitabilmente parte né va taciuto che se la condotta illecita sarebbe consistita anche nel consentire di risalire all’identificazione dei soci titolari A. e Gi. attraverso il trattamento del file contatti , i dati personali degli avvocati A. e Gi. , sono conoscibili da chiunque, in quanto facilmente reperibili on line, per cui, ai sensi dell’art. 24, lett. c , d.lgs. n. 196 del 2003, non è richiesto alcun consenso per il loro trattamento 6 violazione di legge e vizio di motivazione, con riferimento all’individuazione del dolo specifico richiesto dalla norma penale in esame finalità di profitto per sé o per altri , in quanto la corte territoriale, partendo da un evidente errore di diritto nel considerare dati personali gli atti contenuti nel file archivio in corso pareri legali, atti di citazione, comparse di risposta, lettere, contratti , laddove possono ritenersi tali solo una piccola parte di tali atti, consistente nell’indicazione del nome e del cognome degli avv. A. o Gi. , non ha indicato quale fine di lucro avesse di mira l’imputato nel trattare tali dati personali, senza tacere che l’utilizzazione del nome e del cognome degli avvocati A. o Gi. da parte del G. nella sua futura attività professionale, avrebbe costituito piuttosto un ostacolo per il ricorrente, il quale avrebbe potuto soltanto avvantaggiarsi professionalmente dell’utilizzo di determinati schemi di atti forensi, non costituenti dati personali, ma non certo delle generalità dei titolari dello studio 7 vizio di motivazione, in quanto la corte territoriale ha omesso di considerare che, nel momento della commissione dei fatti, il G. lavorava ancora presso lo studio , senza che gli fosse stato espressamente o tacitamente negato l’accesso al sistema informatico e, quindi, il trattamento dei dati in esso contenuti, come si evince dalla circostanza che solo i documenti fiscali relativi alla fatturazione erano contenuti in file non a tutti accessibili, sintomo evidente della volontà dei titolari di limitarne l’accesso e, al contrario, di consentire l’accesso agli altri file da parte di ogni membro dello studio 8 violazione di legge, in quanto, la condanna per il più grave delitto di cui all’art. 615 ter, c.p., avrebbe dovuto condurre, in virtù della clausola di salvaguardia contenuta nell’incipit della formulazione normativa dell’art. 167, d.lgs. n. 196 del 2003 Salvo che il fatto costituisca più grave reato , a ritenere assorbita tale fattispecie di reato in quella codicistica, posto che il bene della riservatezza costituisce oggetto della protezione giuridica accordata da entrambe le menzionate disposizioni normative. 2.1. In data 29.11.2016 è stata depositata memoria a firma dell’avv. Massimo Dinoia, del Foro di Milano, difensore di fiducia delle costituite parti civili, con cui si sviluppano molteplici argomenti a sostegno della richiesta di rigetto del ricorso dell’imputato. 3. Il ricorso va rigettato per le seguenti ragioni. 4. Con riferimento alle doglianze sintetizzate nelle pagine precedenti, ai punti n. 1 , n. 2 , n. 3 , e n. 7 , occorre rilevare che la decisione della corte territoriale, costituente con quella del giudice di primo grado un prodotto unico, avendo entrambi i giudici di merito utilizzato criteri omogenei e seguito un apparato logico argomentativo uniforme cfr. Cass., sez. III, 1.2.2002, n. 10163, rv. 221116 , deve ritenersi assolutamente conforme ai principi da tempo affermati dalla giurisprudenza di legittimità in sede di interpretazione del disposto dell’art. 615 ter, c.p., sui quali appare opportuno soffermarsi brevemente. Come chiarito da un consolidato orientamento, che ormai può definirsi in termini di diritto vivente , integra la fattispecie criminosa di accesso abusivo ad un sistema informatico o telematico protetto, prevista dall’art. 615 ter c.p., la condotta di accesso o di mantenimento nel sistema posta in essere da soggetto che, pure essendo abilitato, violi le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l’accesso, ovvero ponga in essere operazioni di natura antologicamente diversa da quelle per le quali l’accesso è consentito. Non hanno rilievo, invece, per la configurazione del resto, gli scopi e le finalità che soggettivamente hanno motivato l’ingresso al sistema cfr. Cass., sez. un., 27/10/2011, n. 4694 Cass., sez. V, 26/06/2015, n. 44403, rv. 266088 Cass., sez. V, 15/01/2015, n. 15950 Cass., sez. V, 20/06/2014, n. 44390, rv. 260763 Cass., sez. V, 30/09/2014, n. 47105 . Pertanto, come affermato in alcuni condivisibili arresti della Suprema Corte, ai fini della configurabilità del delitto di cui si discute, nel caso di soggetto dotato delle credenziali per accedere ad una banca dati riservata, è necessario accertare se la condotta di copiatura/duplicazione dei files addebitata all’imputato rientri o meno nel perimetro dei suoi poteri, in relazione alle funzioni svolte all’interno della struttura cui fa capo il sistema informatico, vale a dire se la copia e la duplicazione esulino o meno dalle competenze dell’operatore, ponendosi in contrasto con le prescrizioni relative all’accesso e al trattenimento nel sistema informatico, contenute in disposizioni organizzative impartite dal titolare dello stesso cfr. Cassazione penale, sez. V, 31/10/2014, n. 10083 Cass., sez. V, 31/10/2014, n. 10083, rv. 263454 . Nella ricostruzione della fattispecie sottoposta al suo esame, dunque, il giudice di merito deve porsi nella prospettiva indicata, al fine di verificare se l’introduzione o il mantenimento nel sistema informatico, anche da parte di chi aveva titolo per accedervi, sia avvenuto in contrasto o meno con la volontà del titolare del sistema stesso, che può manifestarsi, sia in forma esplicita, che tacita cfr. Cass., sez. V. 7.11.2000, n. 12732, rv. 217743 Cass., sez. V, 10.12.2009, n. 2987, rv. 245842 . Orbene non è revocabile in dubbio che tale sia stata la prospettiva in cui si sono collocati i giudici di merito nel valutare il caso in esame. Essi, infatti, hanno ritenuto integrato il delitto di cui all’art. 615 ter, c.p., non esclusivamente sulla base della natura dei files copiati, come sostenuto dal ricorrente, ma alla luce di un approfondito ragionamento, derivante da una visione complessiva ed unitaria delle risultanze processuali, incentrato su alcuni elementi di fatto che, peraltro, non hanno formato oggetto di specifica contestazione da parte dell’imputato , costituiti 1 dalla particolare qualifica di semplice collaboratore dello studio rivestita dal G. , incaricato solo di gestire il pacchetto di clienti tedeschi dello studio Gi. , mansione che ne aveva motivato l’assunzione, con conseguente destinazione al cd. omissis 2 dalla notevolissima mole di files copiati e trasferiti su altri supporti magnetici ben 33.312 , che avevano ad oggetto contatti, rapporti ed atti estranei alla competenza per materia affidata all’imputato 3 dalla particolare tecnica di copiatura, realizzata attraverso un sofisticato sistema a matrioska , in modo che i files copiati venissero occultati attraverso una serie di sottocartelle, che rimandavano ad una sottocartella del omissis , proprio per nasconderne la provenienza. Il percorso argomentativo seguito dalla corte territoriale non può, dunque, definirsi né illogico, né fondato su di un’erronea interpretazione dell’art. 615 ter. Il giudice di appello, infatti, collocandosi nel solco interpretativo fatto proprio dalla giurisprudenza di legittimità, ha evidenziato, con motivazione lineare ed intrinsecamente coerente, come il G. abbia posto in essere una duplice attività l’accesso e la successiva permanenza, finalizzata alla copiatura dei numerosissimi files in precedenza menzionati, nell’intero archivio del sistema informatico dello studio Gi. , da un lato, ontologicamente incompatibile con le sue circoscritte mansioni di semplice collaboratore e non di partner dell’associazione professionale dall’altro, in violazione di un dissenso tacito dei titolari dello studio legale, implicito nel consentire all’imputato l’accesso al server solo per consultare e copiare files attinenti al omissis , come si evince, non solo dalla sua posizione professionale all’interno dello studio, ma anche dalla circostanza, evidenziata con logico argomentare dalla corte territoriale, che, non appena cominciarono a sospettare del G. , i titolari dello studio gli hanno immediatamente vietato l’accesso al server, consentendogli di acquisire i documenti inerenti al omissis solo per il tramite delle segretarie . A fronte di una motivazione conforme ai criteri fissati dall’art. 192, c.p.p., che impone una valutazione unitaria e non atomistica della prova, principio cardine del processo penale cfr. Cass., sez. VI, 28.9.1992, n. 10642, rv. 192157 , le doglianze difensive sul punto peraltro di natura prevalentemente fattuale , non colgono nel segno, anche perché fondate su di una rappresentazione parcellizzata e parziale delle risultanze processuali, che evita il raffronto con il complessivo quadro istruttorio cfr. Cass., sez. VI, 8.11.2012, n. 45249, rv. 254274 . 4.1. Del pari infondate appaiono le ulteriori censure difensive, articolate nei motivi sinteticamente esposti nelle pagine precedenti sub n. 4 n. 5 n. 6 e n. 8 , a partire dalla pretesa del ricorrente di sottrarre la condotta del G. alla sfera di applicazione del Codice in materia di protezione dei dati personali d.lgs. 30 giugno 2003, n. 196 ed, in particolare, dell’art. 167, co. 1, di tale testo normativo, in base al quale salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell’articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi . Preliminarmente va rilevato che non vi è contestazione, né nel qualificare la condotta del G. come trattamento di dati, alla luce della previsione dell’art. 4, co. 1, lett. a , d.lgs. n. 196 del 2003, secondo cui deve intendersi tale qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati né, tantomeno, in ordine alla consistenza dei dati, contenuti nei documenti informatici copiati, il cui illecito trattamento è stato addebitato al ricorrente, contenenti l’elencazione dei clienti dello studio con i relativi indirizzi, numeri telefonici e fascicoli. Tanto premesso, non può condividersi la tesi difensiva che fa leva sulla previsione di cui all’art. 5, co. 3, d.lgs. n. 196 del 2003 secondo cui il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all’applicazione del presente codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione , per escludere rilevanza penale alla condotta del G. , sul presupposto che tale trattamento sia avvenuto a fini esclusivamente personali e non diffusivi. Ciò in quanto, ad avviso del Collegio, i dati oggetto del trattamento di cui si discute erano destinati a fini comunicativi o diffusivi, alla luce delle nozioni di comunicazione e di diffusione , fornite, rispettivamente, dall’art. 4, co. 1, lett. l ed m , d.lgs., n. 196 del 2003, norma che attribuisce, con effetto vincolante per l’interprete, il significato dei termini tecnici, che integrano il precetto penale. Sulla base di tale previsione deve, dunque, intendersi per comunicazione, il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione per diffusione, il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione . Se ciò è vero, come è vero, non appare revocabile in dubbio che i dati di cui si discute abbiano formato oggetto quanto meno di destinazione ad una comunicazione sistematica , vale a dire di una delle due forme di destinazione alternativamente previste , al cui verificarsi il menzionato art. 5, co. 3, d.lgs. n. 196 del 2003, condiziona l’applicabilità delle disposizioni contenute nel Codice in materia di protezione dei dati personali cfr. Cass., sez. III, 16/05/2013, n. 29071, rv. 256673 . La locuzione sistematica , infatti, fa riferimento ad una comunicazione non occasionale che è destinata a creare un sistema di dati dal quale attingere organicamente e con una tendenziale continuità, come avvenuto in questo caso in cui i dati in questione sono stati rinvenuti dal perito d’ufficio sul personal computer dell’avv. M. , soggetto terzo rispetto all’imputato sul punto la contestazione del ricorrente appare generica e fattuale e suo collaboratore nella nuova attività professionale intrapresa autonomamente dall’avv. G. dopo avere lasciato lo studio Gi. , nonché sui dispositivi informatici pendrive e hard disk del nuovo studio G. e Partners , dove lavorava, per l’appunto, il M. , che, come evidenziato dalla corte territoriale, erano accessibili a tutti i professionisti che ivi lavoravano p. 19 e 15 sentenza di appello . Risulta, pertanto, compiutamente dimostrata la destinazione dei dati, anche mediante messa a disposizione dei dati stessi, ad una conoscenza, da parte di uno o più soggetti determinati, che potevano averne contezza, mediante consultazione, resa possibile attraverso l’accesso dell’avvocato M. al proprio personal computer ovvero dello stesso avvocato M. e degli altri professionisti coinvolti nel nuovo studio fondato dall’avv. G. non a caso, recante, nella sua sigla, uno specifico riferimento ad una pluralità di collaboratori i partners ai dispositivi informatici ivi esistenti. L’accertata destinazione dei dati ad una comunicazione sistematica sufficiente, si badi bene, per rendere la disciplina del Codice applicabile al trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali, non richiedendosi l’effettiva conoscenza dei dati stessi rende, pertanto, priva di ogni rilevanza la questione posta dalla difesa sulla destinazione a scopi esclusivamente personali del trattamento di dati effettuato per finalità professionali. Ed invero, ove anche si ritenesse destinato a scopi esclusivamente personali il trattamento di dati connesso allo svolgimento di una professione liberale, come quella dell’avvocato anche se l’uso dell’avverbio esclusivamente nel testo dell’art. 5, co. 3, d.lgs. n. 196 del 2003, sembra impedire in radice che il trattamento di dati connessi all’esercizio di una professione possa essere inteso come circoscritto alla sola sfera personale dei soggetti interessati , le modalità con cui il suddetto trattamento è stato realizzato nel caso in esame, caratterizzate, come si è detto, dalla destinazione alla comunicazione sistematica dei dati stessi, rende, comunque, penalmente rilevante la condotta dell’imputato, ai sensi dell’art. 23, co. 1, d.lgs. n. 196 del 2003, non consentendo l’operatività della clausola di salvezza desumibile a contrario dal disposto del citato art. 5, co. 3, d.lgs. n. 196 del 2003. 4.2. Con riferimento alla natura dei dati trattati, deve ribadirsi la correttezza della qualificazione operata già nell’imputazione, condivisa dai giudici di merito, in termini di dati personali , che, alla luce di quanto statuito dall’art. 23, co. 1, d.lgs. n. 196 del 2003, possono formare oggetto di trattamento, solo con il consenso espresso dell’interessato , la cui mancanza determina l’applicazione della norma penale prevista dal citato art. 167, co. 1, d.lgs. n. 196 del 2003. Anche in questo caso la relativa nozione è reperibile nell’art. 4, co. 1, lett. b , d.lgs. n. 196 del 2003, secondo cui deve intendersi per dato personale nozione diversa, giova ricordare, da quelle di dati identificativi dati sensibili e dati giudiziari , del pari contenute nel medesimo art. 4 , qualunque informazione relativa a persona fisica identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale . Appare, pertanto, evidente, che i dati oggetto del trattamento, rappresentati dall’elenco dei clienti dello studio , con i relativi indirizzi e numeri telefonici, e dai documenti allegati alle pratiche che li riguardavano pacificamente costituiti, tra l’altro, come rilevato dallo stesso ricorrente, da pareri legali, atti di citazione, comparse di risposta, lettere e contratti , rientrano nella nozione normativamente fissata di dato personale , contenendo una pluralità di informazioni relative a persone fisiche identificate o identificabili, rappresentate, innanzitutto, dai clienti dello studio Gi. . Al riguardo va, inoltre, osservato che la maggior parte dei dati di cui si discute appartengono non allo studio , ma ai singoli soggetti che si sono affidati allo studio in questione per la tutela dei propri interessi e che non hanno prestato alcun consenso esplicito al trattamento dei dati effettuato dal G. , così come del resto, nessun consenso, che, come si è visto, deve essere espresso per rendere legittimo il trattamento di dati personali da parte di privati, risulta essere stato prestato al riguardo dai titolari dello studio , ove si volesse comunque aderire alla tesi invero insostenibile , che si tratta di dati appartenenti al suddetto studio. Né i dati di cui si discute possono considerarsi dati di cui è possibile effettuare il trattamento senza consenso, ai sensi dell’art. 24, lett. b , d.lgs. n. 196 del 2003, dati, cioè, il cui trattamento è necessario per eseguire obblighi derivanti da un contratto del quale è parte l’interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell’interessato, posto che il G. non era certo parte, nemmeno in senso lato, dei singoli contratti di prestazione d’opera intercorsi tra i clienti non riconducibili al omissis e lo studio , né era coinvolto nelle attività volte alla conclusione dei suddetti contratti. Del pari i dati di cui si discute non possono essere considerati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque circostanza che, ove dimostrata, escluderebbe, ai sensi dell’art. 24, lett. c, d.lgs. n. 196 del 2003, la configurabilità del reato cfr. Cass., sez. III, 17/11/2004, n. 5728 , posto che, quanto meno le pratiche legali oggetto del trattamento e la documentazione ad esse allegata, testimoniano l’esistenza di un rapporto professionale tra i clienti e lo studio Gi. , sicuramente non destinato, sia nella sua esistenza che nel suo svolgersi attraverso il compimento di specifici atti lettere schemi di contratti atti giudiziari , ad essere conoscibile da chiunque termine con cui, in tutta evidenza, si allude ad una platea potenzialmente illimitata e non preventivamente definibile di utenti , al di fuori del rapporto di prestazione d’opera instaurato. E ciò a prescindere dalla circostanza evidenziata nella memoria della parte civile che nei documenti di cui si discute vi fossero anche i numeri delle utenze cellulari personali dei soci dello studio Gi. , il cui trattamento, senza consenso, secondo l’orientamento prevalente nella giurisprudenza di legittimità, integra il reato ex art. 167, co. 1, d.lgs. n. 196 del 2003 cfr. Cass., sez. III, 17/02/2011, n. 21839 Cass., sez. III, 23/10/2008, n. 46203, rv. 241787 , a meno che non si dimostri ma tale onere non è stato specificamente assolto dal ricorrente che tali numeri fossero, come si è detto, facilmente conoscibili da chiunque. Una volta risolta nel senso ora indicato la questione della qualificazione dei dati oggetto di trattamento, perde ogni rilievo la censura difensiva riguardante il dolo specifico, costruita intorno all’assunto erroneo secondo cui possono considerarsi dati personali solo quelli contenenti l’indicazione del nome e del cognome degli avvocati A. e Gi. . Si tratta di una questione, anche nella prospettiva fatta propria dal Collegio, manifestamente infondata. Ed invero, posto che, come affermato da un condivisibile arresto della Suprema Corte, ai fini del delitto di trattamento illecito di dati personali, di cui all’art. 167 comma 2 d.lg. n. 196 del 2003, il nocumento su cui, nel caso in esame, il ricorrente non svolge nessuna censura, a fronte di una articolata e condivisibile motivazione sul punto da parte dei giudici di merito cfr. p. 25 della sentenza di primo grado può sussistere anche quando dal trattamento di dati sensibili derivino, per la persona offesa, effetti pregiudizievoli sotto il profilo morale, il profitto, quale oggetto del dolo specifico richiesto dalla norma incriminatrice, può concretarsi in qualsiasi soddisfazione o godimento che l’agente sì ripromette di ritrarre, anche non immediatamente dalla propria azione cfr. Cass., sez. V, 07/03/2013, n. 28280 . Ne consegue che correttamente i giudici di merito hanno ravvisato il profitto oggetto del dolo specifico, desumibile dalla condotta del reo, nella circostanza che i dati in questione vale a dire quelli, numerosissimi, riferibili ai clienti dello studio Gi. erano evidentemente destinati al riutilizzo nella successiva attività professionale dell’imputato, come comprovato dall’effettivo rinvenimento degli stessi su supporti ritrovati nel nuovo studio del G. cfr. p. 24 della sentenza di primo grado p. 20 della sentenza di appello . Può, in conclusione affermarsi, la fondatezza dell’assunto accusatorio nei termini fatti propri dai giudici di merito, dovendosi ribadire il principio secondo cui l’assoggettamento alla norma in tema di divieto di diffusione di dati personali riguarda tutti indistintamente i soggetti entrati in possesso di dati, i quali saranno tenuti a rispettare sacralmente la privacy di altri soggetti con i primi entrati in contatto, al fine di assicurare un corretto trattamento di quei dati senza arbitrii o pericolose intrusioni cfr. Cass. sez. III, 17/02/2011, n. 21839 . 4.3. Manifestamente infondato, appare, infine l’ultimo motivo di ricorso mancando in radice i presupposti dell’invocato assorbimento. Tra le fattispecie in esame, infatti, non sussiste alcun rapporto di specialità che si presenti riconducibile alla nozione accolta nell’art. 15, c.p., in quanto - a parte ogni considerazione sulla identità o meno dei beni giuridici da esse tutelati e - in un reato la condotta presa in considerazione dalla legge è quella di accesso e mantenimento abusivi in un sistema informatico, mentre nell’altro la condotta incriminata è quella del trattamento senza consenso dei dati personali, sicché si riscontra in ciascuna delle due ipotesi criminose una diversità di condotte finalistiche ed una diversità di attività materiali che non lascia sussistere tra esse quella relazione di omogeneità che le rende riconducibili ad unum nella figura del reato speciale ex art. 15, c.p. cfr., in tema di assorbimento, Cass., sez. IL 7.3.1997, n. 2709, rv. 207315 . Inconferente, dunque, appare l’invocata applicazione della clausola di salvezza con cui si apre il testo dell’art. 167, co. 1, d.lgs. n. 196 del 2003, posto che le due fattispecie di reato di cui si discute non hanno ad oggetto il medesimo fatto. 5. Sulla base delle svolte considerazioni il ricorso di cui in premessa va, dunque, rigettato, con condanna del ricorrente, ai sensi dell’art. 616, c.p.p., al pagamento delle spese del procedimento, nonché alla rifusione, in favore delle parti civili costituite delle spese del presente giudizio di legittimità, che si fissano in complessivi Euro 5000,00, oltre accessori come per legge. P.Q.M. rigetta il ricorso e condanna il ricorrente al pagamento delle spese processuali e alla rifusione delle spese di parte civile, liquidate in complessivi Euro 5000,00, oltre accessori di legge.