Versione per la stampa
Un primo commento alla sentenza di Cassazione 17 febbraio 2011 (dep. 1° giugno 2011), n. 21839
Con sentenza n. 21839, depositata il 1° giugno 2011, la Suprema Corte ha confermato la condanna di quattro mesi di reclusione inflitta dalla Corte di Appello di Milano nei confronti di un soggetto che aveva diffuso su di una chat pubblica il numero di telefono cellulare di una persona con cui aveva poco prima intrattenuto una conversazione privata, poi degenerata, e del quale era venuto a conoscenza durante la telefonata stessa.
La Corte, nell’affrontare i passaggi argomentativi del ricorso proposto dalla difesa dell’imputato, analizza alcune questioni giuridiche sottese alla configurabilità del reato di trattamento illecito di dati personali con motivazione che lasciano profondamente perplessi.
Due i profili analizzati in sentenza: la corretta individuazione del soggetto attivo del reato ed il concetto di danno di cui all’art.167 codice privacy.
Il soggetto attivo del reato di cui all’art.167 codice privacy
La prima questione affrontata dalla Suprema Corte concerne l’esatta individuazione del destinatario della norma incriminatrice.
La difesa dell’imputato, nel ricorso per cassazione, aveva infatti sostenuto la tesi secondo cui il soggetto attivo di cui all’art.167 codice privacy debba coincidere con il cd. titolare del trattamento [(art.4, comma 1, lett. f)], ovverosia con la persona fisica, giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento dei dati personali di terze persone (cd. interessati). Secondo questa interpretazione, un privato cittadino che occasionalmente viene in possesso di un dato personale di un soggetto terzo non potrebbe mai essere qualificato come “titolare” ai sensi del codice privacy e, di conseguenza, non sarebbe destinatario delle relative sanzioni penali.
Gli Ermellini rigettano l’argomentazione difensiva, rilevando come l’incipt “chiunque” dell’art.167 escluda in radice la possibilità di inquadrare il delitto de quo tra i reati propri.
Ciò che, tuttavia, non coglie la Corte è che l’assunto difensivo ha una sua dignità giuridica nella misura in cui implicitamente sostiene che il trattamento di dati è un’attività qualificata.
Invero, il diritto alla protezione dei dati personali non nasce come diritto assoluto 1, bensì come la risultanza di un bilanciamento tra la necessità di salvaguardare le informazioni personali rispetto all’esigenza di favorire il mercato all’interno dell’Unione europea. Non a caso, infatti, la prima direttiva di riferimento in materia (95/46/CE) al considerando 4 sottolinea come: “nella Comunità si ricorre sempre più frequentemente al trattamento di dati personali nei vari settori delle attività economiche e sociali” e che, considerando 5: “il divario nei livelli di tutela dei diritti e delle libertà personali, in particolare della vita privata… può impedire la trasmissione dei dati stessi fra territori degli Stati membri e che tale divario può pertanto costituire un ostacolo all’esercizio di una serie di attività economiche su scala comunitaria, falsare la concorrenza e ostacolare, nell’adempimento dei loro compiti, le amministrazioni che intervengono nell’applicazione del diritto comunitario”.
Il contemperamento tra la tutela dei dati personali e la tutela del mercato in ogni sua forma è, dunque, oltre che congenito trattandosi di normativa comunitaria emanata all’interno del secondo pilastro ed in esecuzione dell’art.95 del Trattato CE, anche il fine espressamente dichiarato della direttiva, recepita in Italia con la L.675/96 prima e con il D. Lgs. 196/03 dopo.
L’intera disciplina è frutto del bilanciamento tra la tutela del (nuovo) diritto alla tutela dei dati personali e l’interesse alla libertà di circolazione di merci, persone, servizi e capitali all’interno della UE: l’art.167 codice privacy, dunque, non tutela affatto la privacy2 e neppure la “riservatezza del dato”, come la Suprema Corte scrive, bensì un complesso assetto teso a regolamentare il trattamento dei dati. Il bene protetto dalla norma non è quindi la signoria sul dato personale, ma la tutela di un difficile equilibrio tra diritti ed interessi contrapposti.
In questo senso, le motivazioni della Cassazione paiono davvero assai riduttive; infatti, sebbene sia indubbio che il trattamento illecito di dati personali sia strutturato come un reato comune, non è condivisibile l’assunto secondo cui chiunque effettui un trattamento di dati rientri automaticamente nel reato di cui all’art.167 codice privacy e ciò tanto più se si considera che la definizione di trattamento [(art.4, comma 1, lett. a)] è talmente omnicomprensiva da non escludere praticamente nessuna operazione.
Occorre piuttosto modulare il precetto in base ai variegati concetti introdotti dal codice privacy, in particolare alle nozioni di “titolare”, “responsabile”, “incaricato” 3, “dato personale”, “consenso”, “comunicazione” e “diffusione”. Questi ultimi due concetti sono di fondamentale rilevanza nel caso di specie in quanto rappresentano gli argini entro cui il codice può trovare applicazione quando in trattamento è effettuato da privati a fini personali: l’art.5 del codice 4 prevede, infatti, che “ Il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all’applicazione del presente codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione” (comunemente denominata, con una approssimativa traduzione dell’inglese household exemption, eccezione domestica).
Genera non poco sconcerto, durante la lettura della sentenza, rilevare come nessun cenno venga fatto all’art.5.
Tornando al caso in esame, è infatti evidente che l’imputato, persona fisica, entrato occasionalmente in possesso di un dato personale (numero di cellulare) di un terzo ed avendone fatto un uso personale (inteso come non professionale) rientri nella previsione dell’art.5.
Tuttavia, atteso che l’esclusione non opera allorquando il trattamento del dato è consistito in una comunicazione sistematica, intendendosi per comunicazione [(art.4, comma 1 lett. l)] il dare conoscenza di dati personali ad uno o più soggetti determinati (diversi dall’interessato, dal rappresentante del titolare nel territorio dello Stato, del responsabile e degli incaricati), ovvero in una diffusione, intendendosi per diffusione il dare conoscenza di dati personali a soggetti indeterminati, non vi è dubbio che la condotta di uploadare un dato personale sul web equivalga a diffonderlo.
Nella fattispecie in esame, dunque, a parere di chi scrive, la penale responsabilità dell’imputato discende non tanto da un generico richiamo all’istituto del reato comune, quanto piuttosto dall’art. 5, il quale, se da un lato esclude dalla disciplina i soggetti privati, nello stesso tempo limita detta esclusione a quelle forme di trattamento (comunicazione sistematica e diffusione) potenzialmente maggiormente lesive del diritto alla protezione dei dati personali della persona offesa.
Il concetto di danno nell’art.167 codice privacy
La Cassazione, nella sentenza in commento, afferma che l’elemento del danno è individuabile “nella diffusione non consentita” del numero telefonico, specificando di non ritenere pertinente al caso di specie quell’orientamento giurisprudenziale secondo cui la condotta materiale sarebbe “scriminata” (?) nell’ipotesi di minimo vulnus all’identità personale. Non ritiene rilevante la Corte neppure la circostanza che il tempo di permanenza del numero sulla chat pubblica incriminata non sia stato quantificato dai giudici di merito in quanto … non quantificabile, sottolineando al contrario come “la diffusione allargata avrebbe potuto generare altri contatti indesiderati lesivi della privacy”.
Anche in merito al concetto di danno, la Corte appare alquanto confusa.
L’art.167 codice privacy prevede il danno esclusivamente in relazione all’elemento soggettivo del reato (chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno) mentre parla di nocumento in merito alla condotta materiale.
La Cassazione fa invece un unico fascio dell’uno e dell’altro.
L’impostazione non può assolutamente essere condivisa atteso che il nocumento, a prescindere dal fatto che venga configurato come un elemento costitutivo del reato 5 o una condizione obiettiva di punibilità 6, è un contrassegno di punibilità che necessita di specifica prova in ordine alla sua sussistenza. In altri termini, una volta qualificato come illecito un trattamento (come sopra detto, non in quanto effettuato in violazione della riservatezza di un dato personale, ma in violazione di una congerie di norme la cui risultanza determina la legittimità o meno del trattamento stesso), la condotta potrebbe ancora non essere punibile se dal fatto non deriva nocumento 7. In tale solco si è posta la Cassazione con la pronuncia n.30134 del 2004 8 (citata nella sentenza in commento) osservando come il nocumento si possa riferire sia alla persona che al suo patrimonio, ma debba comunque accedere ad ipotesi di vulnus concreto. In tal senso, non rileverebbero sia le mere violazioni formali e le irregolarità procedimentali, ma anche le violazioni che non determinano un danno patrimoniale apprezzabile ( vulnus minimo all’identità personale). Questo orientamento, confermato anche da altra più recente pronuncia 9, a parere di chi scrive, non solo è più conforme al dettato legislativo ma è interpretazione senz’altro più garantista e rispettosa del principio di legalità.
Affermare, come si legge nella sentenza in esame, che il danno consiste nella diffusione illecita francamente pare tautologico, esattamente come sostenere che il danno (rectius, il nocumento) è intrinseco al trattamento illecito in quanto potenzialmente lesivo della persona offesa. Non solo. L’assenza di motivazione sulla prova del nocumento concretamente cagionato si risolve così nella mancata valutazione circa la conformità del fatto alla tipicità oggettiva reato.
Il concetto di dato sensibile
Ci sia consentito, da ultimo, lamentare un altro passaggio della sentenza che lascia veramente attoniti, ovverosia il passaggio (ribadito più volte) in cui la Cassazione cataloga il dato personale rappresentato dal numero di cellulare nel novero dei dati sensibili.
Orbene, partendo dalla definizione stessa di dato sensibile [(art.4, comma 1, lett. d)], non pare sussistano dubbi sul fatto che un numero di cellulare non sia idoneo a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche, le opinioni politiche né tanto meno lo stato di salute e la vita sessuale: un numero di telefono, quindi, non è un dato sensibile.
Del tutto inconferente poi il rilievo della Corte secondo cui il numero di cellulare è per sua intrinseca natura riservato perché “solitamente negli elenchi telefonici pubblici distribuiti dalla TIM (ma anche in altri elenchi in possesso di soggetti che li tengono a disposizione dei terzi) figura solo il numero telefonico pubblicabile e mai quello dell’utenza cellulare”. Dimenticano infatti gli Ermellini che i numeri telefonici contenuti negli elenchi telefonici da tempo non sono considerati, per univoca e costante interpretazione dell’Autorità Garante 10, dati pubblici e possono quindi essere trattati [non rientrando nell’ipotesi di cui all’art.24, comma 1, lett. c)] solo col consenso espresso dell’interessato. Dimenticano pure che l’intera disciplina è stata interamente rivista agli inizi di quest’anno (anche a causa della percentualmente alta mancanza di riscontro degli utenti alle richieste di informativa e consenso inviate dagli operatori di telecomunicazioni) con il passaggio da un sistema di consenso fondato sull’ opt-in ad un sistema di opt-out11, mediante l’istituzione del Registro delle Opposizioni 12.
Come già detto, non è la riservatezza, intrinseca o meno che sia, del dato è rilevare, ma il trattamento conforme a legge di un dato che, a priori, venga qualificato come personale.
In quest’ottica, assai più utile sarebbe stata una breve argomentazione sul concetto di identificabilità dell’interessato. Infatti, in base all’art.4, comma 1, lett. b), un dato si intende personale solo se costituisce un’informazione relativa ad una persona identificata o identificabile.
Nel parere 4/2007 il Gruppo di lavoro per la protezione dei dati personali (Gruppo Articolo 29) si è molto dilungato nell’analisi di questo elemento fondamentale, sancendo che per stabilire se una persona è identificabile occorre prendere in considerazione tutto l’insieme dei mezzi (considerato lo stato dell’arte della tecnologia al momento del trattamento) che possono essere ragionevolmente utilizzati dal titolare del trattamento per identificare una persona tramite un suo dato 13. Sulla scorta di tale interpretazione l’Europa non ha esitato a configurare come dato personale anche l’indirizzo IP ( Internet Protocol Address), nonostante si tratti di un numero che identifica univocamente un dispositivo (che permette la connessione alla rete) e non una persona 14. Parimenti, anche un numero di cellulare può pertanto essere considerato un dato personale. In tal senso, pare del tutto superfluo, come sostenuto dalla Cassazione nella sentenza n.46203 del 2008 15, che il numero di telefono sia accompagnato dal nome o dalla sigla del nome dell’intestatario in quanto il numero telefonico è un dato personale ex se, sia che concerna un’utenza fissa che mobile e a prescindere dal fatto che sia pubblicato o meno sull’elenco telefonico. La tutela del dato non viene certo meno per effetto della pubblicazione; non essendo, infatti, la riservatezza il bene protetto dall’art.167, il discrimine tra liceità ed illiceità del trattamento non sta nel fattore pubblicazione (che elide la riservatezza) bensì nel consenso o, con l’attuale R.P.O., nella mancata opposizione, che l’intestatario della linea ha espresso nei confronti del trattamento del suo numero di telefono 16. Non a caso l’art.167, sebbene di faticosissima elaborazione, indica chiaramente come illecito il trattamento effettuato in violazione, tra gli altri, dell’art.23, il quale prescrive appunto la disciplina del consenso.
Concludendo, la sentenza in commento non soddisfa.
Essendo connotata da una non approfondita conoscenza del codice privacy e da una palpabile insensibilità per la materia, genera nel giurista lettore un grande sconforto. Soprattutto perché dalla Suprema Corte ci si aspetta sempre in ogni sentenza l’adempimento di quella essenziale funzione nomofillatica che dovrebbe garantire la certezza del diritto.
avv. Monica A. Senor, settembre 2011
(riproduzione riservata)
1 Per quanto oggi ne venga da più parti auspicata una adeguata e specifica protezione costituzionale, sebbene vi sia già, a livello sovranazionale, un riferimento giuridico forte rappresentato dall’art.8 della Convenzione europea per la salvaguardia dei diritti dell’uomo secondi cui ogni persona ha diritto al rispetto della sua vita privata e, più di recente, dall’art.8 della Carta dei diritti fondamentali dell’unione europea
2 Invero il concetto di privacy, nato nel 1890 da una brillante teorizzazione degli statunitensi Warren e Brandeis, come “ right to be alone”, ovvero come diritto di escludere gli altri dalla propria sfera privata secondo una concezione tipicamente privatistica, diventa, nell’elaborazione dottrinaria europea degli anni ‘70, il ben più articolato diritto alla protezione dei dati personali, inteso come diritto di disposizione (e quindi controllo) dei dati relativi alla persona, con relativo inquadramento della tutela tra i diritti fondamentali.
3 Pare opportuno segnalare che il concetto di “incaricato” non è previsto dalla disciplina comunitaria e che in tale sede il nostro “titolare” è definito “controller”, mentre il “responsabile” è definito “processor”. A complicare ulteriormente le cose, la traduzione ufficiale italiana della direttiva 95/46/CE indica come “responsabile” il titolare (alias controller) e come “incaricato” il responsabile (alias processor).
4 L’eccezione viene comunemente denominata, con una approssimativa traduzione dell’inglese household exemption, eccezione domestica.
5 Cfr., Cass. pen., Sez. III, 9 luglio 2008, n.38406, in CED Cass. pen. 2008, rv 241382.
6 Cfr. Cass. pen., Sez. V, 25 giugno 2009, n.40078, in Riv. Pen., 2010, 47.
7 L’elemento era già presente nella formulazione del precedente art.35, L.675/96, ma come circostanza aggravante.
8 Cfr. Cass. pen., Sez. III;28 maggio 2004, n.30134, in Riv. pen., 2005, 52.
9 Cfr. sentenza citata alla nota 6.
10 Cfr. provvedimento del 15 luglio 2004 all’url http://www.garanteprivacy.it/garante/doc.jsp?ID=1032381.
11 Il sistema dell’ opt-out, di matrice americana si contrappone all’ opt-in, inizialmente utilizzato solo in Europa. Quest’ultimo prevede che il trattamento del dato debba essere preceduto dal consenso espresso dell’interessato mentre nell’ opt-out il trattamento si considera legittimo a priori, salva l’eventuale opposizione (che può intervenire in qualsiasi momento) dell’interessato.
12 Per approfondimenti sull’R.P.O., si veda il sito ufficiale all’url http://www.registrodelleopposizioni.it/.
13 Cfr. parere 20 giugno 2007, n. 4 sul concetto di dati personali, pagg. 12 e ss. Per il testo integrale in italiano, cfr. http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp136_it.pdf.
14 Nel parere 30 maggio 2002, n.2, il Gruppo articolo 29 scrive che in tema di indirizzi IP, “l'ISP è sempre in grado di stabilire un nesso tra l'identità dell’utente e gli indirizzi IP e altri possono essere in grado di fare altrettanto, per esempio facendo ricorso a registri disponibili degli indirizzi IP attribuiti o ad altri dispositivi tecnici esistenti”.
15 Cfr. Cass. pen., Sez. III, 23 ottobre 2008, n.46203, in Cass. pen., 2009, 10, 3984
16 Anche il consenso non è concetto univoco, dovendo essere calibrato a seconda delle finalità di trattamento che il titolare ha dichiarato nell’informativa; secondo l’ormai consolidata interpretazione del Garante il consenso non è valido se l’interessato non ha potuto liberamente esprimerlo, laddove con l’avverbio liberamente si intende la possibilità di scegliere tra le varie operazioni di trattamento senza alcun pregiudizio.
|
