L’informazione giuridica legittima sempre il trattamento di dati personali relativi a condanne penali e reati? Quali sono i limiti alla diffusione dei dati giudiziari? Con la sentenza n. 3702 del 2022 la Corte di Cassazione ha fatto il punto sul trattamento illecito dei dati giudiziari penali e di natura amministrativa a seguito delle modifiche al Codice Privacy, soffermandosi in particolare sull’ambito di applicabilità dell’art. 167.
La vicenda
Un uomo veniva condannato alla pena di un anno e un mese di reclusione e al risarcimento dei danni in favore della parte civile n relazione ai reati di cui agli artt. 81 cpv. c. p. e 167, commi 1 e 2, D.lgs. 196/2003.
In particolare, l’imputato aveva diffuso dei dati personali giudiziari di altro soggetto contenuti in una sentenza ed in un provvedimento della p.a. “al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato” in assenza di autorizzazione di legge o della Autorità Garante.
La decisione, confermata in 2° grado, veniva sottoposta alla Corte di cassazione per i seguenti motivi:
#1. Sul consenso del titolare dei dati
In prima battuta, l’uomo lamentava l’errata applicazione dell’art. 167 d.lgs. n. 196 del 2003.
Infatti, a suo dire, posta la natura pubblica degli atti giudiziari ed dei provvedimenti amministrativi divulgati – peraltro liberamente consultabili anche online e senza limitazioni – non si configurava alcun trattamento di dati protetti e pertanto veniva meno la necessità di ottenere il consenso del titolare o altra autorizzazione.
A sostegno di queste considerazioni il ricorrente richiamava l’art. 52 Codice Privacy, il quale riconosce espressamente all’interessato la facoltà di “chiedere per motivi legittimi, con richiesta depositata nella cancelleria o segreteria dell’ufficio che procede prima che sia definito il relativo grado di giudizio, che sia apposta a cura della medesima cancelleria o segreteria, sull’originale della sentenza o del provvedimento, un’annotazione volta a precludere, in caso di riproduzione della sentenza o provvedimento in qualsiasi forma, per finalità di informazione giuridica su riviste giuridiche, supporti elettronici o mediante reti di comunicazione elettronica, l’indicazione delle generalità e di altri dati identificativi del medesimo interessato riportati sulla sentenza o provvedimento.”
Inoltre, il 7° comma della stessa disposizione ammette che in difetto di tale richiesta è consentita la diffusione in ogni forma del contenuto, anche integrale, di sentenze e altri provvedimenti giudiziari una volta divenuti definitivi.
Per giunta, anche l’art. 24 (oggi abrogato) del medesimo D.lgs. 196/2003 ammetteva espressamente il trattamento senza consenso di tali dati.
#2. Sul pregiudizio subito dal titolare dei dati
Quanto alla sussistenza del nocumento, che deve consistere nel pregiudizio giuridicamente rilevante, patrimoniale o non patrimoniale, subito dalla persona alla quale si riferiscono i dati o le informazioni quale conseguenza dell’illecito trattamento, secondo il ricorrente non era stato adeguatamente verificato dalla Corte territoriale.
#3. Sulla rilevanza penale delle condotte contestate
L’uomo eccepiva infine l’errata considerazione della disciplina introdotta dal GDPR, recepita nell’ordinamento interno con il D.lgs. n. 101 del 2018, in quanto, per effetto di tale modifica normativa:
“la condotta penalmente rilevante di cui all’art. 167, comma 1, consiste nell’arrecare nocumento operando in violazione delle disposizioni in materia di comunicazioni elettroniche, arrecando danno all’interessato al fine di ottenere un profitto (artt. 123, 126, 129 e 130 del d.lgs. 101/2018), e quella di cui al comma 2 della medesima disposizione deve essere caratterizzata dal dolo specifico di trarre profitto o arrecare danno, escludendo la punibilità delle condotte che siano rimaste del tutto irrilevanti nelle loro conseguenze.”
In altri termini, secondo la difesa del ricorrente tali modifiche avevano determinato una vera e propria abolitio criminis in relazione alle condotte contestate, che quindi dovevano ritenersi non più previste dalla legge come reato.
La decisione della Corte di Cassazione
Con la sentenza n. 3702 del 2022 la terza sezione penale della Corte di Cassazione, pur riconoscendo l’illiceità delle condotte realizzata dal ricorrente rileva la prescrizione dei reati contestatigli nella vicenda, tuttavia coglie l’occasione per fornire alcuni chiarimenti in merito al trattamento dei dati giudiziari.
#1. L’art. 167 Codice privacy
L’art. 167 del d.lgs. 30 giugno 2003, n.196 (Codice in materia di protezione dei dati personali, cd. Codice Privacy), prevedeva, originariamente, nel testo vigente all’epoca di realizzazione delle condotte e sulla base del quale è stata formulata la contestazione, che
“1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli art. 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell’art. 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.
2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli artt. 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni”.
Attualmente la disposizione prevede, per effetto delle modifiche introdotte dal d.lgs. n. 101 del 2018 per adeguare l’ordinamento nazionale al GDPR, che abroga la direttiva 95/46/CE, al 1° comma, che “Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per se’ o per altri profitto ovvero di arrecare danno all’interessato, operando in violazione di quanto disposto dagli artt. 123, 126 e 130 o dal provvedimento di cui all’art. 129 arreca nocumento all’interessato, è punito con la reclusione da sei mesi a un anno e sei mesi”.
Il 2° comma della disposizione prevede, poi, che ” Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per se’ o per altri profitto ovvero di arrecare danno all’interessato, procedendo al trattamento dei dati personali di cui agli artt. 9 e 10 del Regolamento in violazione delle disposizioni di cui agli artt. 2-sexies e 2-octies, o delle misure di garanzia di cui all’art. 2-septies arreca nocumento all’interessato, è punito con la reclusione da uno a tre anni.”
Ora, sulla base di quello che era il quadro normativo applicabile all’epoca di realizzazione delle condotte, e cioè l’art. 167, commi 1 e 2, d.lgs. 196/2003 nel testo originario, il ricorrente – come correttamente rilevato già dal giudice di 1° grado – aveva effettuato un illecito trattamento dei dati, in quanto l’art. 27 (oggi abrogato) del medesimo Codice stabiliva espressamente, proprio a proposito del trattamento dei dati giudiziari da parte di privati o enti pubblici economici, che ne era consentito il trattamento “… soltanto se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichino le rilevanti finalità di interesse pubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili“, evenienze non verificatesi nel caso dei dati diffusi dall’uomo.
#2. L’art. 52 Codice privacy
Il richiamo all’art. 52, commi 1 e 7, d.lgs. 196/2003, operato dal ricorrente é, secondo la Suprema Corte, improprio, in quanto la disciplina dettata da tale norma riguarda esclusivamente l’attività di informazione giuridica, intesa come “attività di riproduzione e diffusione di sentenze o altri provvedimenti giurisdizionali in qualsiasi forma, per finalità di informazione giuridica, ovvero di documentazione, studio e ricerca in campo giuridico, su riviste giuridiche, supporti elettronici o mediante reti di comunicazione elettronica, compresi i sistemi informativi e i siti istituzionali dell’Autorità giudiziaria” (artt. 51 e 52 Codice Privacy), ma NON anche le attività diverse da queste, soggette ai limiti stabiliti dall’art. 27 citato, da ritenere pertanto illecite se poste in essere violando tali limiti, come nel caso in esame.
Analogamente la diffusione, tra i medesimi soggetti, dei provvedimenti amministrativi che hanno riguardato la parte civile, è stata correttamente ritenuta illecita, essendo avvenuta in relazione a dati personali, ai sensi dell’art. 4 (oggi abrogato), comma 1, lett. a) e b), del Codice, e in assenza del necessario consenso dell’interessato, richiesto dall’art. 23 (oggi abrogato) del medesimo Codice.
#3. Gli artt. 9 e 10 GDPR
La Suprema Corte rileva inoltre che l’attuale formulazione del 2° comma dell’art. 167 del Codice si pone in continuità normativa con il testo precedente del medesimo 2° comma, continuando a incriminare le condotte di trattamento dei dati personali di cui agli artt. 9 e 10 GDPR, in violazione delle disposizioni di cui agli artt. 2 sexies e 2 octies, o delle misure di garanzia di cui all’art. 2 septies, che provochino nocumento all’interessato.
L’art. 10 GDPR, infatti, riguarda espressamente il trattamento dei dati personali relativi a condanne penali e reati, prevedendo che:
“il trattamento dei dati personali relativi alle condanne penali e ai reati o a connesse misure di sicurezza sulla base dell’articolo 6, paragrafo 1, deve avvenire soltanto sotto il controllo dell’autorità pubblica o se il trattamento è autorizzato dal diritto dell’Unione o degli Stati membri che preveda garanzie appropriate per i diritti e le libertà degli interessati. Un eventuale registro completo delle condanne penali deve essere tenuto soltanto sotto il controllo dell’autorità pubblica”.
In altre parole, il tenore della disposizione del GDPR conferma la continuità con la previsione precedente della medesima disposizione, continuando a essere incriminato il trattamento dei dati personali relativi a condanne o a reati, come avveniva precedentemente, non essendo escluso neppure in precedenza il trattamento dei dati contenuti in provvedimenti definitivi e non essendo mutati né l’elemento soggettivo (sempre costituito dal fine di profitto o di danno), né l’evento di danno.
Con riferimento alla precedente disposizione, infatti, la giurisprudenza di legittimità aveva chiarito che l’art. 167 d.lgs. 196/2003 aveva tipizzato, quale elemento costitutivo del reato, il nocumento, da intendersi come un pregiudizio giuridicamente rilevante di qualsiasi natura, patrimoniale e non, cagionato sia alla persona alla quale i dati illecitamente trattati si riferiscono sia a terzi quale conseguenza della condotta illecita.
La previsione delle condizioni alle quali, ai sensi degli artt. 2 sexies e 2 octies del Codice, è consentito il trattamento di categorie particolari di dati personali, e cioè per motivi di interesse pubblico rilevante – “qualora siano previsti dal diritto dell’Unione europea ovvero, nell’ordinamento interno, da disposizioni di legge o, nei casi previsti dalla legge, di regolamento che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato” – o se previsto da disposizioni di legge o di regolamento o per le specifiche finalità previste dall’art. 2 octies, e delle misure di garanzia previste per il trattamento lecito dall’art. 2 septies del Codice, non ha determinato alcun mutamento nella struttura del reato, né nella condotta incriminata, che continua a consistere nel trattamento indebito di dati giudiziari, al di fuori delle condizioni previste per la liceità di tale trattamento, a fine di danno e da cui derivi un nocumento per il titolari dei dati oggetto del trattamento, nella specie costituito dalla diffusione.
#4. L’illiceità delle condotte contestate
Per le considerazioni svolte la Corte di Cassazione ritiene che le condotte contestate al ricorrente, sulla base del precedente testo della disposizione, dovevano, come evidenziato, considerarsi penalmente rilevanti.
A tal fine ha precisato che il nuovo testo del 1° comma dell’art. 167 Codice privacy ha limitato l’ambito della illiceità penale, attraverso il riferimento alle sole condotte realizzate nel trattamento dei dati personali connesso alla fornitura di servizi di comunicazione elettronica accessibili al pubblico su reti pubbliche di comunicazioni, comprese quelle che supportano i dispositivi di raccolta dei dati e di identificazione.
La divulgazione di dati personali relativi a sentenze penali, rientra, però, nell’ambito di illiceità penale del 2° comma dell’art. 167 del Codice privacy, in quanto compiuta in violazione dell’art. 10 del GDPR, trattandosi di categorie particolari di dati.
In conclusione
La Suprema Corte annulla senza rinvio la sentenza impugnata per intervenuta prescrizione dei reati, tuttavia stante la perdurante illiceità delle condotte contestate rigetta il ricorso agli effetti civili.
Con questo recente intervento gli ermellini hanno fatto il punto sul trattamento illecito dei dati giudiziari penali e di natura amministrativa dopo le modifiche al Codice della Privacy, soffermandosi sul tenore dell’art. 167 .
In particolare, con riferimento a quest’ultima disposizione normativa, ha evidenziato una continuità normativa tra l’originaria formulazione e quella del nuovo testo, sebbene sia stata circoscritta l’area di illecito penale della condotta incriminata individuata al primo comma di tale previsione normativa.
Ciò chiarito, attesa la particolare natura dei dati personali relativi a condanne penali e reati nonché il forte impatto che la diffusione incontrollata può avere sulla vita dell’interessato a cui tali informazioni fanno riferimento, il loro trattamento non può essere compiuto indiscriminatamente, anche se per attività di informazione giuridica, qualora l’interessato ne abbia chiesto espressamente l’oscuramento.
VP
