Penale

mercoledì 16 febbraio 2005

Diffusione di dati personali in rete. La Cassazione chiarisce gli elementi del reato di trattamento illecito di dati personali

Diffusione di dati personali in rete. La Cassazione chiarisce gli elementi del reato di trattamento illecito di dati personali

Cassazione Sezione terza penale(cc) sentenza 17 novembre 2004-15 febbraio 2005, n. 5728

Presidente Savignano estensore Franco

Ricorrente Paciocco

Svolgimento del processo

Con sentenza emessa ai sensi dellarticolo 444 Cpp l8 gennaio 2004, il giudice del tribunale di Como applicò a Paciocco Francesco la pena, concordata tra le parti, di mesi due di reclusione, sostituita con la corrispondente pena pecuniaria di euro 2.323,80 di multa, in ordine ai reati di cui: a) allarticoli 612 cpv. Cp per avere reiteratamente arrecato a Zara Francesca una minaccia grave di un male ingiusto mediante linvio di una serie di lettere anonime; b) allarticolo 35 della legge 675/96, per avere reiteratamente, senza il consenso dellinteressata ed al fine di procurarle un danno, comunicato i dati personali di Zara Francesca (generalità, indirizzo, recapiti telefonici e di posta elettronica, numero di codice fiscale) a soggetti terzi, ed in particolare aprendo a suo nome un dominio internet e due indirizzi di posta elettronica e iscrivendola ad un sito di messaggeria erotica; mentre dichiarò non doversi procedere in ordine al reato di diffamazione per mancanza di querela.

Limputato propone ricorso per cassazione relativamente allimputazione di cui al capo b) deducendo erronea interpretazione ed applicazione dellarticolo 35 della legge 675/96. Lamenta che erroneamente la sentenza impugnata ha ritenuto configurata l ipotesi di un illecito trattamento dei dati della persona offesa. Infatti, dagli articoli 3 e 20, lettera b), legge 675/96 emerge che il trattamento dei dati personali effettuato da persone fisiche per fini esclusivamente personali non è soggetto allapplicazione della legge, sempre che i dati non siano destinati alla comunicazione sistematica o alla diffusione, ed emerge che la comunicazione e diffusione dei dati da parte di privati sono ammesse se i dati provengono da pubblici registri o elenchi. Orbene i dati in questione sono liberamente rinvenibili in internet, in elenchi pubblici allinserimento dei quali linteressata ha consentito. Inoltre, nella specie la persona offesa è un personaggio pubblico, perché giocatrice della nazionale femminile di pallacanestro, il che determina una maggiore esposizione alla notorietà. Il Paciocco, ammiratore e tifoso della giocatrice, ha quindi potuto raccogliere le sue generalità e gli altri dati dal sito della squadra sportiva e dagli altri siti collegati o siti di ricerca, per aprirsi della caselle di posta elettronica. Ciò non integra il reato contestato, perché la comunicazione ad un provider dei dati personali per aprire un indirizzo elettronico non implica che tali dati vengano esposti alla pubblica consultazione, né una comunicazione sistematica. Del resto la persona offesa non ha denunciato il fatto né ha esercitato i diritti di cui allarticolo 13 legge 675/96, sicché non è integrata la fattispecie del trattamento illecito dei dati personali, né sotto il profilo della condotta materiale né sotto quello del dolo specifico. Inoltre, è successivamente intervenuto il D.Lgs 196/03 che ha introdotto una disciplina penale più favorevole. Infatti, larticolo 167 del D.Lgs 196/03, pur risultando in continuità logica con larticolo 35 legge 675/96, è maggiormente favorevole allimputato perché esige, oltre al dolo specifico, lelemento oggettivo costituito dal fatto di recare un effettivo, e quindi concreto, nocumento.

Motivi della decisione

Il ricorso è fondato.

La condotta contestata allimputato con l imputazione di cui al capo b) è quella di avere, senza il consenso dellinteressata ed al fine di procurarle un danno, comunicato i dati personali di Zara Francesca (generalità, indirizzo, recapiti telefonici e di posta elettronica, numero di codice fiscale) a soggetti terzi, ed in particolare:

a) aprendo a suo nome un sito internet (www.angarano.it) presso il provider www.paginewww.com;

b) iscrivendola ad un sito di messaggeria erotica denominato www.harem.to e pubblicando a suo nome un messaggio;

c) aprendo a suo nome un indirizzo di posta elettronica presso il provider www.blu.it;

d) aprendo a suo nome un indirizzo di posta elettronica presso il provider www.virgilio. it.

Il giudice a quo ha ritenuto che tale condotta integrasse il reato di cui allarticolo 35 della legge 675/96, e conseguentemente ha applicato la pena richiesta anche per questa contestazione.

Va innanzitutto osservato che la legge 675/96, è stata abrogata dallarticolo 183 del Tu approvato con D.Lgs 196/03 (recante il Codice in materia di protezione dei dati personali), entrato in vigore il 1 gennaio 2004, e cioè in una data anteriore a quella in cui è stata emessa la sentenza impugnata, che quindi erroneamente non lo ha considerato ed applicato, anche se la decisione sarebbe comunque erronea perché i14 fatto non integrava il reato contestato nemmeno alla stregua della precedente e meno favorevole normativa.

Attualmente va comunque applicato larticolo 167 (Trattamento illecito di dati) del D.Lgs 196/03 il quale, al primo comma, dispone che «Salvo che il fatto costituisca più grave reato, chiunque, alfine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dellarticolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi», mentre al secondo comma dispone che «Salvo che il fatto costituisca più grave reato, chiunque, alfine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni».

Né il capo di imputazione né la sentenza impugnata specificano quale sarebbe stata la disposizione violata dallimputato. In ogni modo, poiché non si tratta di dati sensibili o giudiziari, ovvero di dati idonei a rivelare lo stato di salute, non è prospettabile alcuna violazione al disposto dellarticolo 18 (che riguarda i trattamenti effettuati da soggetti pubblici), o dellarticolo 19 (che riguarda il trattamento e la comunicazione da parte di soggetti pubblici di dati diversi da quelli sensibili e giudiziari), o agli articoli 123, 126 e 130 (che riguardano i dati relativi al traffico o allubicazione ovvero le comunicazioni indesiderate nellambito delle comunicazioni elettroniche), o dellarticolo 129 (che riguarda la formazione degli elenchi di abbonati), o dellarticolo 17 (che riguarda il trattamento di dati che presentano rischi specifici per i diritti e le libertà fondamentali e per la dignità dellinteressato), o dellarticolo 20 (che riguarda il trattamento di dati sensibili), o dellarticolo 21 (che riguarda il trattamento di dati giudiziari), o dellarticolo 22 (che riguarda i dati idonei a rivelare lo stato di salute), o degli articoli 26 e 27 (che riguardano rispettivamente i dati sensibili ed i dati giudiziari) o dellarticoli 45 (che riguarda il trasferimento di dati fuori dal territorio dello Stato).

E quindi in astratto ipotizzabile la sola violazione dellarticolo 23, comma 1, il quale dispone che «il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dellinteressato» ovvero dellarticolo 25, comma 1, il quale dispone che «la comunicazione e la diffusione sono vietate, oltre che in caso di divieto disposto dal Garante o dallautorità giudiziaria: a) in riferimento a dati personali dei quali è stata ordinata la cancellazione, ovvero quando è decorso il periodo di tempo indicato nellarticolo 11, comma 1, lettera e); b) per finalità diverse da quelle indicate nella notificazione del trattamento, ove prescritta».

Quanto alla prima ipotesi, infatti, va ricordato che larticolo 4, comma 1, lettera a), del D. Lgs 196/03, prevede che per «trattamento» si intende «qualunque operazione o complesso di operazioni, effettuati anche senza lausilio di strumenti elettronici, concernenti la raccolta, la registrazione, lorganizzazione, la conservazione, la consultazione, lelaborazione, la modificazione, la selezione, lestrazione, il raffronto, lutilizzo, linterconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati». Larticolo 23, pertanto, si riferisce non solo al trattamento in senso proprio dei dati, ma anche alla loro comunicazione e diffusione, vietando anche le stesse senza consenso dellinteressato.

Senonché la disposizione di cui allarticolo 23, ed il divieto in essa previsto, vanno interpretati ed integrati tenendo conto anche della disposizione di cui allarticolo 5, che fissa loggetto e lambito di applicazione della disciplina dettata dal testo unico, nonché dalla disposizione di cui allarticolo 24, che, in deroga allarticolo 23, prevede i casi in cui può essere effettuato il trattamento senza consenso.

Larticolo 5, comma 3, infatti, prevede che il trattamento (e quindi la comunicazione) di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto allapplicazione delle disposizioni di cui al testo unico, solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione, ferma restando peraltro la applicazione delle disposizioni in tema di responsabilità e di sicurezza dei dati di cui agli articoli 1 e 31.

Pertanto, quando si tratta di persona fisica che effettua il trattamento per fini esclusivamente personali, il soggetto è tenuto a rispettare le disposizioni dei testo unico, ivi comprese quelle in tema di obbligo di consenso espresso dellinteressato per il trattamento e quelle in tema di obbligo di notificazione, solo quando i dati raccolti e trattati sono destinati alla comunicazione sistematica ed alla diffusione.

Ora, secondo la contestazione, i dati in questione sarebbero stati forniti dallimputato a quattro provider al fine di aprire un sito internet e tre nuovi indirizzi di posta elettronica, e quindi in realtà, sempre secondo il capo di imputazione, non sarebbero stati esposti alla pubblica consultazione, ma solo consegnati ad un imprenditore privato fornitore del servizio richiesto, sicché non può configurarsi una diffusione di dati o una comunicazione sistematica, non essendovi un pubblico accesso agli stessi o una loro immediata esposizione. Non può quindi ritenersi che limputato, in relazione al trattamento dei dati de quibus, fosse soggetto agli obblighi stabiliti dal D. Lgs 196/03.

Inoltre, ai sensi dellarticoli 24, comma 1, lettera a), il consenso dellinteressato non è richiesto quando il trattamento (e quindi la comunicazione) riguarda «dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati». Nella specie, la condotta contestata allimputato è quella di aver comunicato ad alcuni provider senza consenso la generalità, lindirizzo, il numero telefonico, lindirizzo di posta elettronica ed il codice fiscale della Zara, e cioè aver comunicato dati che sono reperibili da chiunque in pubblici registri, pubblici elenchi e siti internet (non essendo stato nemmeno contestato che alcuni di questi dati, come il numero telefonico, fossero riservati).

Nella specie, pertanto, non è configurabile la violazione di quanto disposto dallarticolo 23, e di conseguenza non è nemmeno configurabile la sussistenza del reato di cui allarticolo 167, comma 1, D. Lgs 196/03.

Per quanto concerne invece il divieto di comunicazione e diffusione di cui allarticolo 25, questo stabilisce che la comunicazione e la diffusione dei dati personali sono vietati allorché ricorra una delle seguenti ipotesi:

a) si tratti di comunicazione o diffusione vietate espressamente dal garante o dallautorità giudiziaria;

b) si tratti di comunicazione o diffusione di dati personali dei quali è stata ordinata la cancellazione o quando è decorso il periodo di tempo necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati;

c) la comunicazione o la diffusione avvengano per finalità diverse da quelle indicate nella notificazione del trattamento, ove prescritta.

Quindi, quando non si tratta di uno dei primi due casi (divieto espresso del garante o dellautorità giudiziaria, dati dei quali è stata ordinata la cancellazione o per i quali è decorso il tempo per il quale potevano essere conservati) perché sia applicabile la terza ipotesi, ossia perché sia applicabile il divieto di comunicazione e diffusione è necessario che esse avvengano per finalità diverse da quelle indicate nella notificazione, e pertanto è necessario che si tratti di dati per il cui trattamento è prescritto lobbligo della notificazione. Se invece la comunicazione e la diffusione riguardano dati per il cui trattamento non è prescritta la notificazione, allora non sussiste il divieto di cui allarticolo 25, comma 1, lettera b), e conseguentemente non è nemmeno configurabile il reato di cui allarticolo 167, comma 2. In altri termini, presupposto per la violazione dellarticolo. 25, comma 1, lettera b), e quindi per lesistenza del reato, è che la comunicazione o diffusione riguardino dati per il cui trattamento è obbligatoria la notificazione, e pertanto che comunicazione o diffusione siano effettuate da un soggetto sul quale incombe il detto obbligo di notificazione del trattamento. Solo in tale caso, infatti, comunicazione e diffusione potranno essere fatte per finalità diverse da quelle indicate nella notificazione.

Ora, come si è dianzi osservato, nel caso in esame la comunicazione è stata effettuata da una persona fisica per fini esclusivamente personali e riguardava dati non destinati ad una comunicazione sistematica o alla diffusione, e pertanto, ai sensi dellarticolo 5, comma 3, non trovavano applicazione le disposizioni di cui al D. Lgs 196/03. Limputato quindi non era soggetto allobbligo di notificazione e quindi non poteva violare la disposizione di cui allarticolo 25.

Ma la situazione non muterebbe anche se al caso fossero applicabili le disposizioni del testo unico. Lobbligo di notificazione, infatti, è prescritto entro limiti ben precisi e per ipotesi specificamente determinate dallarticolo 37, il quale dispone che il titolare deve notificare al Garante il trattamento di dati personali cui intende procedere, esclusivamente quando il trattamento riguarda: a) dati genetici, biometrici o che indicano la posizione geografica mediante una rete di comunicazione elettronica; b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini ivi indicati; c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati dai soggetti ivi indicati; d) dati trattati con lausilio di strumenti elettronici volti a definire il profilo o la personalità dellinteressato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare lutilizzo di servizi di comunicazione elettronica; e) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, o utilizzati per sondaggi di opinione o ricerche di mercato; f) dati registrati in apposite banche elettroniche relative al rischio sulla solvibilità economica, alla situazione patrimoniale, a comportamenti illeciti o fraudolenti.

E quindi evidente che limputato non era certamente soggetto allobbligo di notificazione. Pertanto, non era configurabile la violazione del divieto di cui allarticolo 25, comma 1, lettera b), e di conseguenza nemmeno il reato di cui allarticolo 167, comma 2, D. Lgs 196/03.

Va ancora osservato che, sia il primo sia il secondo comma dellarticolo 167 cit. dispongono – diversamente da quanto prevedeva larticolo 35 della legge 675/96 – che i reati ivi previsti sono punibili soltanto «se dal fatto deriva nocumento». Nella specie, nel capo di imputazione non è stato nemmeno contestato che dal comportamento dellimputato sia derivato un qualche nocumento alla Zara.

Pertanto, sulla base della stessa descrizione della condotta contenuta nel capo b), era evidente che non sussistevano gli estremi del reato di cui allarticolo 35 legge 675/96, e tanto meno quelli di uno dei reati di cui allarticolo 167 D. Lgs 196/03, vigente allepoca della pronuncia della sentenza. La sentenza impugnata è quindi affetta da violazione di legge per avere erroneamente ritenuto configurabile il reato contestato al capo b) e per avere applicato la pena anche in relazione allo stesso. La nullità, pur investendo il solo capo b), fa venir meno lintero accordo raggiunto tra le parti. La sentenza impugnata deve pertanto essere annullata senza rinvio e gli atti vanno trasmessi al giudice a quo per lulteriore corso, potendosi verificare o che laccordo venga riproposto in termini diversi o che non venga riproposto, nel qual caso il procedimento dovrà proseguire con il rito ordinario.

PQM

la Corte Suprema di Cassazione annulla senza rinvio la sentenza impugnata e dispone trasmettersi gli atti al Tribunale di Como.