Skip to main content

Trattamento illecito dei dati personali via internet

Trattamento illecito dei dati personali via internet - deroga del consenso per il trattamento di dati provenienti da fonticosiddette pubbliche

Trattamento illecito dei dati personali via internet - deroga del consenso per il trattamento di dati provenienti da fonti cosiddette pubbliche (Cassazione , sez. III penale, sentenza 17.11.2005 n. 5728)

SVOLGIMENTO DEL PROCESSO

Con sentenza emessa ai sensi dell’articolo 444 Cpp l’8 gennaio 2004, il giudice del tribunale di Como applicò a Pxxxxxx Fxxxxxxx la pena, concordata tra le parti, di mesi due di reclusione, sostituita con la corrispondente pena pecuniaria di euro 2.323,80 di multa, in ordine ai reati di cui:

a) all’articoli 612 cpv. Cp per avere reiteratamente arrecato a Zxxxxxx Fxxxxxx una minaccia grave di un male ingiusto mediante l’invio di una serie di lettere anonime;

b) all’articolo 35 della legge 675/96, per avere reiteratamente, senza il consenso dell’interessata ed al fine di procurarle un danno, comunicato i dati personali di Zxxxxxx Fxxxxxx (generalità, indirizzo, recapiti telefonici e di posta elettronica, numero di codice fiscale) a soggetti terzi, ed in particolare aprendo a suo nome un dominio internet e due indirizzi di posta elettronica e iscrivendola ad un sito di messaggeria erotica; mentre dichiarò non doversi procedere in ordine al reato di diffamazione per mancanza di querela.

L’imputato propone ricorso per cassazione relativamente all’imputazione di cui al capo b) deducendo erronea interpretazione ed applicazione dell’articolo 35 della legge 675/96.

Lamenta che erroneamente la sentenza impugnata ha ritenuto configurata l’ ipotesi di un illecito trattamento dei dati della persona offesa. Infatti, dagli articoli 3 e 20, lettera b), legge 675/96 emerge che il trattamento dei dati personali effettuato da persone fisiche per fini esclusivamente personali non è soggetto all’applicazione della legge, sempre che i dati non siano destinati alla comunicazione sistematica o alla diffusione, ed emerge che la comunicazione e diffusione dei dati da parte di privati sono ammesse se i dati provengono da pubblici registri o elenchi. Orbene i dati in questione sono liberamente rinvenibili in internet, in elenchi pubblici all’inserimento dei quali l’interessata ha consentito. Inoltre, nella specie la persona offesa è un personaggio pubblico, perché giocatrice della nazionale femminile di pallacanestro, il che determina una maggiore esposizione alla notorietà.

Il P., ammiratore e tifoso della giocatrice, ha quindi potuto raccogliere le sue generalità e gli altri dati dal sito della squadra sportiva e dagli altri siti collegati o siti di ricerca, per aprirsi della caselle di posta elettronica. Ciò non integra il reato contestato, perché la comunicazione ad un provider dei dati personali per aprire un indirizzo elettronico non implica che tali dati vengano esposti alla pubblica consultazione, né una comunicazione sistematica. Del resto la persona offesa non ha denunciato il fatto né ha esercitato i diritti di cui all’articolo 13 legge 675/96, sicché non è integrata la fattispecie del trattamento illecito dei dati personali, né sotto il profilo della condotta materiale né sotto quello del dolo specifico. Inoltre, è successivamente intervenuto il D.Lgs 196/03 che ha introdotto una disciplina penale più favorevole. Infatti, l’articolo 167 del D.Lgs 196/03, pur risultando in continuità logica con l’articolo 35 legge 675/96, è maggiormente favorevole all’imputato perché esige, oltre al dolo specifico, l’elemento oggettivo costituito dal fatto di recare un effettivo, e quindi concreto, nocumento.

MOTIVI DELLA DECISIONE

Il ricorso è fondato.

La condotta contestata all’imputato con l’ imputazione di cui al capo b) è quella di avere, senza il consenso dell’interessata ed al fine di procurarle un danno, comunicato i dati personali di Zxxxxxx Fxxxxxx (generalità, indirizzo, recapiti telefonici e di posta elettronica, numero di codice fiscale) a soggetti terzi, ed in particolare:

    a) aprendo a suo nome un sito internet (www.angarano.it) presso il provider www.paginewww.com;

    b) iscrivendola ad un sito di messaggeria erotica denominato www.harem.to e pubblicando a suo nome un messaggio;

    c) aprendo a suo nome un indirizzo di posta elettronica presso il provider www.blu.it;

    d) aprendo a suo nome un indirizzo di posta elettronica presso il provider www.virgilio.it.

Il giudice a quo ha ritenuto che tale condotta integrasse il reato di cui all’articolo 35 della legge 675/96, e conseguentemente ha applicato la pena richiesta anche per questa contestazione.

Va innanzitutto osservato che la legge 675/96, è stata abrogata dall’articolo 183 del Tu approvato con D.Lgs 196/03 (recante il Codice in materia di protezione dei dati personali), entrato in vigore il 1 gennaio 2004, e cioè in una data anteriore a quella in cui è stata emessa la sentenza impugnata, che quindi erroneamente non lo ha considerato ed applicato, anche se la decisione sarebbe comunque erronea perché i14 fatto non integrava il reato contestato nemmeno alla stregua della precedente e meno favorevole normativa.

Attualmente va comunque applicato l’articolo 167 (Trattamento illecito di dati) del D.Lgs 196/03 il quale, al primo comma, dispone che «Salvo che il fatto costituisca più grave reato, chiunque, alfine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell’articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi», mentre al secondo comma dispone che «Salvo che il fatto costituisca più grave reato, chiunque, alfine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni».

Né il capo di imputazione né la sentenza impugnata specificano quale sarebbe stata la disposizione violata dall’imputato. In ogni modo, poiché non si tratta di dati sensibili o giudiziari, ovvero di dati idonei a rivelare lo stato di salute, non è prospettabile alcuna violazione al disposto dell’articolo 18 (che riguarda i trattamenti effettuati da soggetti pubblici), o dell’articolo 19 (che riguarda il trattamento e la comunicazione da parte di soggetti pubblici di dati diversi da quelli sensibili e giudiziari), o agli articoli 123, 126 e 130 (che riguardano i dati relativi al traffico o all’ubicazione ovvero le comunicazioni indesiderate nell’ambito delle comunicazioni elettroniche), o dell’articolo 129 (che riguarda la formazione degli elenchi di abbonati), o dell’articolo 17 (che riguarda il trattamento di dati che presentano rischi specifici per i diritti e le libertà fondamentali e per la dignità dell’interessato), o dell’articolo 20 (che riguarda il trattamento di dati sensibili), o dell’articolo 21 (che riguarda il trattamento di dati giudiziari), o dell’articolo 22 (che riguarda i dati idonei a rivelare lo stato di salute), o degli articoli 26 e 27 (che riguardano rispettivamente i dati sensibili ed i dati giudiziari) o dell’articoli 45 (che riguarda il trasferimento di dati fuori dal territorio dello Stato).

E’ quindi in astratto ipotizzabile la sola violazione dell’articolo 23, comma 1, il quale dispone che «il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell’interessato» ovvero dell’articolo 25, comma 1, il quale dispone che «la comunicazione e la diffusione sono vietate, oltre che in caso di divieto disposto dal Garante o dall’autorità giudiziaria: a) in riferimento a dati personali dei quali è stata ordinata la cancellazione, ovvero quando è decorso il periodo di tempo indicato nell’articolo 11, comma 1, lettera e); b) per finalità diverse da quelle indicate nella notificazione del trattamento, ove prescritta».

Quanto alla prima ipotesi, infatti, va ricordato che l’articolo 4, comma 1, lettera a), del D. Lgs 196/03, prevede che per «trattamento» si intende «qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati».

L’articolo 23, pertanto, si riferisce non solo al trattamento in senso proprio dei dati, ma anche alla loro comunicazione e diffusione, vietando anche le stesse senza consenso dell’interessato.

Senonché la disposizione di cui all’articolo 23, ed il divieto in essa previsto, vanno interpretati ed integrati tenendo conto anche della disposizione di cui all’articolo 5, che fissa l’oggetto e l’ambito di applicazione della disciplina dettata dal testo unico, nonché dalla disposizione di cui all’articolo 24, che, in deroga all’articolo 23, prevede i casi in cui può essere effettuato il trattamento senza consenso.

L’articolo 5, comma 3, infatti, prevede che il trattamento (e quindi la comunicazione) di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all’applicazione delle disposizioni di cui al testo unico, solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione, ferma restando peraltro la applicazione delle disposizioni in tema di responsabilità e di sicurezza dei dati di cui agli articoli 1 e 31. Pertanto, quando si tratta di persona fisica che effettua il trattamento per fini esclusivamente personali, il soggetto è tenuto a rispettare le disposizioni dei testo unico, ivi comprese quelle in tema di obbligo di consenso espresso dell’interessato per il trattamento e quelle in tema di obbligo di notificazione, solo quando i dati raccolti e trattati sono destinati alla comunicazione sistematica ed alla diffusione.

Ora, secondo la contestazione, i dati in questione sarebbero stati forniti dall’imputato a quattro provider al fine di aprire un sito internet e tre nuovi indirizzi di posta elettronica, e quindi in realtà, sempre secondo il capo di imputazione, non sarebbero stati esposti alla pubblica consultazione, ma solo consegnati ad un imprenditore privato fornitore del servizio richiesto, sicché non può configurarsi una diffusione di dati o una comunicazione sistematica, non essendovi un pubblico accesso agli stessi o una loro immediata esposizione. Non può quindi ritenersi che l’imputato, in relazione al trattamento dei dati de quibus, fosse soggetto agli obblighi stabiliti dal D. Lgs 196/03.

Inoltre, ai sensi dell’articoli 24, comma 1, lettera a), il consenso dell’interessato non è richiesto quando il trattamento (e quindi la comunicazione) riguarda «dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei dati». Nella specie, la condotta contestata all’imputato è quella di aver comunicato ad alcuni provider senza consenso la generalità, l’indirizzo, il numero telefonico, l’indirizzo di posta elettronica ed il codice fiscale della Z., e cioè aver comunicato dati che sono reperibili da chiunque in pubblici registri, pubblici elenchi e siti internet (non essendo stato nemmeno contestato che alcuni di questi dati, come il numero telefonico, fossero riservati).

Nella specie, pertanto, non è configurabile la violazione di quanto disposto dall’articolo 23, e di conseguenza non è nemmeno configurabile la sussistenza del reato di cui all’articolo 167, comma 1, D. Lgs 196/03.

Per quanto concerne invece il divieto di comunicazione e diffusione di cui all’articolo 25, questo stabilisce che la comunicazione e la diffusione dei dati personali sono vietati allorché ricorra una delle seguenti ipotesi:

  a) si tratti di comunicazione o diffusione vietate espressamente dal garante o dall’autorità giudiziaria;

  b) si tratti di comunicazione o diffusione di dati personali dei quali è stata ordinata la cancellazione o quando è decorso il periodo di tempo necessario    agli scopi per i quali essi sono stati raccolti o successivamente trattati;

  c) la comunicazione o la diffusione avvengano per finalità diverse da quelle indicate nella notificazione del trattamento, ove prescritta.

Quindi, quando non si tratta di uno dei primi due casi (divieto espresso del garante o dell’autorità giudiziaria, dati dei quali è stata ordinata la cancellazione o per i quali è decorso il tempo per il quale potevano essere conservati) perché sia applicabile la terza ipotesi, ossia perché sia applicabile il divieto di comunicazione e diffusione è necessario che esse avvengano per finalità diverse da quelle indicate nella notificazione, e pertanto è necessario che si tratti di dati per il cui trattamento è prescritto l’obbligo della notificazione. Se invece la comunicazione e la diffusione riguardano dati per il cui trattamento non è prescritta la notificazione, allora non sussiste il divieto di cui all’articolo 25, comma 1, lettera b), e conseguentemente non è nemmeno configurabile il reato di cui all’articolo 167, comma 2. In altri termini, presupposto per la violazione dell’articolo. 25, comma 1, lettera b), e quindi per l’esistenza del reato, è che la comunicazione o diffusione riguardino dati per il cui trattamento è obbligatoria la notificazione, e pertanto che comunicazione o diffusione siano effettuate da un soggetto sul quale incombe il detto obbligo di notificazione del trattamento.

Solo in tale caso, infatti, comunicazione e diffusione potranno essere fatte per finalità diverse da quelle indicate nella notificazione.

Ora, come si è dianzi osservato, nel caso in esame la comunicazione è stata effettuata da una persona fisica per fini esclusivamente personali e riguardava dati non destinati ad una comunicazione sistematica o alla diffusione, e pertanto, ai sensi dell’articolo 5, comma 3, non trovavano applicazione le disposizioni di cui al D. Lgs 196/03. L’imputato quindi non era soggetto all’obbligo di notificazione e quindi non poteva violare la disposizione di cui all’articolo 25.

Ma la situazione non muterebbe anche se al caso fossero applicabili le disposizioni del testo unico. L’obbligo di notificazione, infatti, è prescritto entro limiti ben precisi e per ipotesi specificamente determinate dall’articolo 37, il quale dispone che il titolare deve notificare al Garante il trattamento di dati personali cui intende procedere, esclusivamente quando il trattamento riguarda: a) dati genetici, biometrici o che indicano la posizione geografica mediante una rete di comunicazione elettronica; b) dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini ivi indicati; c) dati idonei a rivelare la vita sessuale o la sfera psichica trattati dai soggetti ivi indicati; d) dati trattati con l’ausilio di strumenti elettronici volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizi di comunicazione elettronica; e) dati sensibili registrati in banche di dati a fini di selezione del personale per conto terzi, o utilizzati per sondaggi di opinione o ricerche di mercato; f) dati registrati in apposite banche elettroniche relative al rischio sulla solvibilità economica, alla situazione patrimoniale, a comportamenti illeciti o fraudolenti.

E’ quindi evidente che l’imputato non era certamente soggetto all’obbligo di notificazione. Pertanto, non era configurabile la violazione del divieto di cui all’articolo 25, comma 1, lettera b), e di conseguenza nemmeno il reato di cui all’articolo 167, comma 2, D. Lgs 196/03.

Va ancora osservato che, sia il primo sia il secondo comma dell’articolo 167 cit. dispongono - diversamente da quanto prevedeva l’articolo 35 della legge 675/96 - che i reati ivi previsti sono punibili soltanto «se dal fatto deriva nocumento». Nella specie, nel capo di imputazione non è stato nemmeno contestato che dal comportamento dell’imputato sia derivato un qualche nocumento alla Z.. Pertanto, sulla base della stessa descrizione della condotta contenuta nel capo b), era evidente che non sussistevano gli estremi del reato di cui all’articolo 35 legge 675/96, e tanto meno quelli di uno dei reati di cui all’articolo 167 D. Lgs 196/03, vigente all’epoca della pronuncia della sentenza. La sentenza impugnata è quindi affetta da violazione di legge per avere erroneamente ritenuto configurabile il reato contestato al capo b) e per avere applicato la pena anche in relazione allo stesso. La nullità, pur investendo il solo capo b), fa venir meno l’intero accordo raggiunto tra le parti. La sentenza impugnata deve pertanto essere annullata senza rinvio e gli atti vanno trasmessi al giudice a quo per l’ulteriore corso, potendosi verificare o che l’accordo venga riproposto in termini diversi o che non venga riproposto, nel qual caso il procedimento dovrà proseguire con il rito ordinario.

P.Q.M.

la Corte Suprema di Cassazione annulla senza rinvio la sentenza impugnata e dispone trasmettersi gli atti al Tribunale di Como.

Così deciso in Roma il 17 novembre 2004. DEPOSITATA IN CANCELLERIA IL 15 febbraio 2005.