VIOLAZIONE PRIVACY DATI PERSONALI

D.lgs. 101/2018 dal legislatore nazionale ai sensi dell’art. 84 del GDPR il primo comma punisce la condotta di chi al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, operando in violazione di quanto disposto dagli articoli 123, 126 e 130 del Codice della Privacy (trattamento dei dati personali relativi al traffico e alla ubicazione trattati dal fornitore di una rete pubblica di comunicazione o di un servizio di comunicazione elettronica accessibile al pubblico) o dal provvedimento di cui all’articolo 129 del citato Codice (inserimento e utilizzo degli elenchi dei contraenti), arreca danno all’interessato.

E’ vietato comunicare o diffondere il numero di telefono privato di un soggetto in assenza del suo consenso, configurandosi in caso contrario il reato di trattamento illecito di dati personali

E’ opportuno evidenziare che costituiscono ipotesi di “comunicazione illecita”, tutti quei casi in cui sia data conoscenza delle informazioni personali altrui ad uno o più soggetti determinati, diversi dall’interessato e senza il suo consenso (ad esempio il caso in cui si riveli ad una persona il numero di cellulare di un’altra senza il previo consenso).

La Corte, dopo aver qualificato l’indebita diffusione dell’altrui utenza privata come trattamento illecito, ha evidenziato, che le norme in tema di divieto di diffusione dei dati personali si applicano indistintamente a tutti i soggetti entrati in possesso dei dati personali altrui (siano essi soggetti privati, venuti casualmente od occasionalmente a conoscenza dei dati, ovvero soggetti depositari dei dati e preposti alle loro modalità di utilizzazione all’esterno per motivi istituzionali).

La Corte ha inoltre chiarito che la diffusione non consentita dell’altrui utenza telefonica (specie se ad ampio raggio ed in un ambito generalizzato), permettendo a chiunque di prendere cognizione di un dato riservato, è certamente produttiva di un danno, a prescindere dal tempo più o meno breve di permanenza del messaggio, contenente il dato riservato, sulla chat line. La condanna veniva confermata anche in ragione dell’intento ritorsivo sotteso alla diffusione illecita del numero telefonico.

Su quest’ultimo punto è stato specificato che, seppure la divulgazione sia conseguenza di una provocazione, il reato non può essere escluso giacché oggetto di tutela è un bene costituzionalmente protetto, ossia la riservatezza dei propri dati personali.

Con il Regolamento 2016/679/UE (di seguito GDPR), il legislatore europeo al fine di contemperare il diritto alla libera circolazione dei dati personali, strettamente connesso alle esigenze di sviluppo del mercato economico digitale, ed il diritto alla privacy e alla protezione dei dati personali, ha rinnovato la materia del trattamento dei dati personali, imperniandola sui principi del consenso e della responsabilizzazione dei titolari del trattamento.

Al contempo, ha introdotto più ampi e rafforzati strumenti di tutela, in grado di garantire il diritto alla riservatezza del singolo e, allo stesso tempo, l’interesse della collettività al sicuro e corretto trattamento dei dati personali.

Alla luce di ciò è utile analizzare le fattispecie di illecito penale introdotte con il D.lgs. 101/2018 dal legislatore nazionale ai sensi dell’art. 84 del GDPR e, successivamente, le possibili azioni risarcitorie riconosciute per ottenere il ristoro dei danni a lui cagionati dalla violazione delle norme del GDPR, a prescindere che la condotta integri o meno gli estremi di una fatto penalmente rilevante.

Indice degli argomenti

A fronte della tipizzazione di illeciti amministrativi puniti con sanzioni pecuniarie fortemente dissuasive (art. 83 del GDPR), il legislatore europeo con la previsione dell’art. 84 GDPR ha affidato ai singoli Stati Membri la valutazione sull’opportunità di introdurre altre e diverse sanzioni per le violazioni della norma in tema di protezione dei dati personali, che non siano già soggette alle sanzioni amministrative pecuniarie.

In altri termini, onde evitare di incorrere nella violazione del principio del ne bis in idem, quale interpretato dalla Corte di Giustizia dell’Unione Europea, la normativa europea stabilisce che le violazioni presupposto dei reati, individuate dai legislatori nazionali, siano dotate di una propria caratterizzazione e di un proprio disvalore, che consentano di distinguerle dalle violazioni presupposto degli illeciti amministrativi^[1].

Con il Decreto Legislativo n. 101 del 2018, il legislatore italiano ha innovato il sistema sanzionatorio penale previsto dal D.lgs. 196/2003, c.d. Codice della Privacy, con la previsione di tre principali fattispecie delittuose posta indubbiamente a tutela del diritto alla riservatezza del singolo e della correttezza dei dati personali circolanti, in quanto dirette a sanzionare l’illecito trattamento dei dati personali, la loro illecita comunicazione e diffusione, nonché l’acquisizione fraudolenta.

La fattispecie di illecito trattamento dei dati personali, già prevista nel vecchio Codice della Privacy, ha subito un radicale mutamento rispetto alla formulazione precedente. Per evitare una duplicazione degli illeciti amministrativi di cui all’art. 83 del GDPR, il legislatore, infatti, ha limitato il numero di disposizioni normative, la cui violazione è idonea ad integrare la condotta tipica, con conseguente abrogatio delle precedenti fattispecie penali.

Le condotte idonee ad integrare l’illecito trattamento dei dati personali sono delineate nei primi tre commi dell’art. 167 ed attengono, rispettivamente, alla violazione delle disposizioni in materia di servizi di comunicazione elettronica, alla violazione delle norme dettate per i dati sensibili e giudiziari e, infine, alla violazione della normativa per il trasferimento internazionale dei dati.

In particolare, il primo comma punisce la condotta di chi al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, operando in violazione di quanto disposto dagli articoli 123, 126 e 130 del Codice della Privacy (trattamento dei dati personali relativi al traffico e alla ubicazione trattati dal fornitore di una rete pubblica di comunicazione o di un servizio di comunicazione elettronica accessibile al pubblico) o dal provvedimento di cui all’articolo 129 del citato Codice (inserimento e utilizzo degli elenchi dei contraenti), arreca danno all’interessato.

Il secondo comma, punisce con la pena della reclusione da uno a tre anni il medesimo fatto, commesso procedendo al trattamento dei dati personali giudiziari, sanitari, e, in genere, quelli sensibili, di cui agli articoli 9 e 10 del GDPR, in violazione delle disposizioni di cui agli art. 2-sexies e 2-octies (trattamento di categorie particolari di dati personali necessari per motivi di interesse pubblico rilevante o relativi a condanne penali e reati), o delle misure di garanzia di cui all’articolo 2-septies (misure relative al trattamento dei dati genetici, biometrici e relativi alla salute) ovvero operando in violazione delle misure adottate dal Garante privacy ai sensi dell’articolo 2- quinquiesdecies (misure relative ai trattamenti che presentano rischi elevati per l’esecuzione di un compito di interesse pubblico ai sensi dell’art. 35 del GDPR).

Il terzo comma, infine, punisce con la medesima pena di cui al secondo comma, il trasferimento di dati personali verso un paese terzo o un’organizzazione internazionale al di fuori dei casi consentiti agli articoli 45, 46 o 49 del GDPR.

Le fattispecie sopra analizzate sono tutte accomunate dalla clausola di riserva posta all’incipit di ciascun comma, che, nel fare salva l’applicazione di ipotesi delittuose generali più gravi, fa rientrare le fattispecie di illecito trattamento dei dati personali nella categoria del reato sussidiario.

Analogo è altresì il soggetto attivo ossia “chiunque” commetta un illecito trattamento dei dati secondo le modalità previste dall’art. 167.

Per la configurazione del reato de quo la norma richiede il dolo specifico, ossia, “il fine di trarre per sé o per altri profitto ovvero arrecare danno all’interessato” e che le condotte illecite tipizzate cagionino un’effettiva lesione dei diritti dell’interessato.

In merito all’elemento soggettivo, va rilevato come, a differenza della precedente versione, il danno che il reo intenda cagionare, debba riguardare soltanto il soggetto titolare dei dati, e non terzi individui estranei. Ciò nonostante, la mancata indicazione dell’ingiustizia del danno o del profitto ha di fatto ampliato l’area del penalmente rilevante, venendo oggi ad essere sanzionate anche quelle violazioni compiute per ottenere un mero ritorno in termini di immagine.

Quanto invece alla previsione del nocumento quale evento del reato, va osservato come, essendosi trasformato da reato di pericolo concreto a reato di evento di danno, il delitto di trattamento illecito di dati potrà ritenersi integrato soltanto quando si realizzi un reale pregiudizio agli interessi dell’interessato, con conseguente esclusione dall’area del penalmente rilevante di quelle semplici violazioni formali ed irregolarità procedimentali non idonee a cagionare all’interessato alcun danno apprezzabile né dal punto di vista patrimoniale né dal punto di vista morale.

Il legislatore nazionale, nei successivi commi 4 e 5 dell’art. 167 del Codice della Privacy, ha disciplinato le forme di collaborazione tra il P.M. e il Garante della Privacy in merito all’accertamento di tale delitto, richiamate anche dalle successive fattispecie di cui agli artt. 167bis e 167ter.

Infine, sempre nell’ottica di garantire il rispetto del principio del ne bis in idem, ha stabilito che nel caso in cui a carico dell’imputato o, addirittura, dell’ente sia imposta e riscossa una sanzione pecuniaria per lo stesso fatto, la pena da infliggere per il delitto deve essere diminuita. Anche tale disposizione viene poi richiamata dalle successive disposizioni di cui agli artt. 167bis e 167ter.