La sentenza in commento (pubblicata in questo sito alla pagina http://www.penale.it/page.asp?mode=1&IDPag=93) ha ad oggetto (i) la non applicabilità della legge 675/1996, ora, Codice Privacy, al trattamento svolto per fini esclusivamente personali, e (ii) la non necessità del consenso al trattamento nel caso di utilizzo di dati provenienti da Internet, considerati dalla Suprema Corte, soggetti alla deroga di cui all’art. 24 relativa ai “dati provenienti da registri pubblici, albi o altri documenti di natura pubblica”.

La controversia ha avuto inizio a causa di una serie di lettere anonime contenenti minacce che P., ammiratore e tifoso della giocatrice ZF, le avrebbe trasmesso, e anche per avere P., reiteratamente , senza il consenso dell’interessata, ed al fine di procurarle un danno, comunicato i suoi dati personali (generalità, indirizzo, recapiti telefonici e di posta elettronica, numero di codice fiscale) a soggetti terzi, ed in particolare aprendo a suo nome un dominio internet e due indirizzi di posta elettronica e iscrivendola ad un sito di messaggeria erotica.

La causa in primo grado si chiudeva con la condanna di P. a mesi due di reclusione, sostituita con la corrispondente pena pecuniaria di euro 2.323,80 di multa, in ordine ai reati di cui:

1.  all’articoli 612 cpv. Cp per avere reiteratamente arrecato a Z.F. una minaccia grave di un male ingiusto mediante l’invio di una serie di lettere anonime;

2.  all’articolo 35 della legge 675/96, per avere reiteratamente, senza il consenso dell’interessata ed al fine di procurarle un danno, comunicato i dati personali di Z.F.

Il P ha proposto poi ricorso per Cassazione relativamente all’imputazione di cui al capo b) deducendo erronea interpretazione ed applicazione dell’articolo 35 della legge 675/96, lamentando che erroneamente la sentenza impugnata ha ritenuto configurata l’ ipotesi di un illecito trattamento dei dati della persona offesa. Il P adduceva che il trattamento dei dati personali effettuato da persone fisiche per fini esclusivamente personali non è soggetto all’applicazione della legge, sempre che i dati non siano destinati alla comunicazione sistematica o alla diffusione, ed anche che la comunicazione e diffusione dei dati da parte di privati sono ammesse se i dati provengono da pubblici registri o elenchi di natura pubblica.

Il P., ammiratore e tifoso della giocatrice, avrebbe raccolto le generalità e gli altri dati dal sito della squadra sportiva e dagli altri siti collegati o siti di ricerca, per aprire poi della caselle di posta elettronica. Ciò non integrerebbe, a parere del P., il reato contestato, perché la comunicazione ad un provider dei dati personali per aprire un indirizzo elettronico non implicherebbe che tali dati vengano esposti alla pubblica consultazione, né ad una comunicazione sistematica. Inoltre, continua il P., la persona offesa non ha denunciato il fatto né ha esercitato i diritti di cui all’articolo 13 legge 675/96. Inoltre, sempre a suo parere il Codice Privacy entrato in vigore dal 1° gennaio 2004, avrebbe introdotto una disciplina penale più favorevole, prevedendo l’articolo 167, in continuità logica con l’articolo 35 legge 675/96, la necessità oltre del dolo specifico, anche dell’elemento oggettivo costituito dal fatto di recare un effettivo, e quindi concreto, nocumento.

La Suprema Corte accoglie il ricorso, annullando senza rinvio la sentenza impugnata, per violazione di legge . La Suprema Corte ritiene che la condotta del P. non integrava il reato di cui all’art. 35 della legge 675/96, precisando che attualmente avrebbe semmai dovuto applicarsi l’articolo 167 (Trattamento illecito di dati) del Codice Privacy. Per quel che concerne la sostanza, la Suprema Corte ha ritenuto che essendo i dati in questione stati forniti dall’imputato a quattro provider al fine di aprire un sito internet e tre nuovi indirizzi di posta elettronica, senza una effettiva esposizione alla pubblica consultazione, ma solo consegnati ad un imprenditore privato fornitore del servizio richiesto, la condotta in esame non configura una diffusione di dati o una comunicazione sistematica (requisito necessario per “trasformare” il trattamento da personale a professionale) non essendovi un pubblico accesso ai dati o una loro immediata esposizione.

A parere della Suprema Corte quindi non può quindi ritenersi che l’imputato, in relazione al trattamento dei dati de quibus, fosse soggetto agli obblighi stabiliti dal D. Lgs 196/03, in quanto trattamento di tipo personale.

Inoltre, continua la Suprema Corte, il consenso dell’interessato non è richiesto quando il trattamento (e quindi la comunicazione) riguarda «dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque (articoli 24, comma 1, lettera a) legge 675/96) e recita la sentenza, nella specie, la condotta contestata all’imputato era quella di aver comunicato ad alcuni provider senza consenso la generalità, l’indirizzo, il numero telefonico, l’indirizzo di posta elettronica ed il codice fiscale della ZF., e cioè quella di aver comunicato dati che sono comunque reperibili da chiunque in pubblici registri, pubblici elenchi e siti internet, non essendo stato neanche contestato che alcuni di questi dati, come il numero telefonico, fossero riservati.

In conclusione, la Suprema Corte afferma l’inesistenza del reato di illecito trattamento di dati personali vista l’inapplicabilità della Legge 675/96, ora, Codice e in ogni caso afferma anche la mancanza della violazione di cui all’art. 35, ora 167, in considerazione del fatto che la condotta in questione gode della deroga del consenso per il trattamento di dati provenienti da fonti cosiddette pubbliche.

Al riguardo, si osserva che per quel che concerne l’inapplicabilità della legge 675/96, in virtù della deroga di cui all’art. 3 e art. 5 del Codice, entrambe le norme si riferiscono ai trattamenti svolti da persone fisiche per scopi personali, sempre che i dati in questione non siano soggetti alla comunicazione sistematica o alla diffusione. Qualora invece ci si ritrovi in tali circostanze la legge trova sempre applicazione.

Il caso in questione, a differenza di quanto affermato dalla Suprema Corte, sembra proprio riferirsi alle circostanze di “sistematica comunicazione o diffusione dei dati di ZF”.

Va considerato infatti che il P aveva:

1.  aperto a suo nome un sito internet (www.angarano.it) presso il provider www.paginewww.com;

1.  iscritto la ZF ad un sito di messaggeria erotica denominato www.harem.to e pubblicato a suo nome un messaggio;

2.  aperto a suo nome un indirizzo di posta elettronica presso il provider www.blu.it;

3.  aperto a suo nome un indirizzo di posta elettronica presso il provider www.virgilio.it.

Tali condotte non sembrano costituire solo semplice comunicazione (determinata e circostanziata) a quattro Provider di dati comuni (generalità, l’indirizzo, il numero telefonico, l’indirizzo di posta elettronica ed il codice fiscale) realizzando semmai una vera e propria sostituzione di identità del P. che gli ha permesso di concludere, in nome e per conto di terzi, contratti con il Provider per l’erogazione dei diversi servizi internet, facendo assumere alla ZF le responsabilità conseguenti. Non solo, occorre considerare che il Titolare di un sito a suo nome si espone ad una naturale e intrinseca pubblicità poiché il sito per sua natura è accessibile a tutti. Il sito infatti avrà dovuto sicuramente contenere qualche informazione ulteriore e diversa della ZF, come ad esempio il semplice contatore degli accessi (informazione dalla quale si può rilevare l’eventuale simpatia del pubblico). Inoltre, anche il solo semplice indirizzo di posta elettronica su un sito web è già di per sé da considerarsi diffusione dello stesso, trattandosi di comunicazione a soggetti indeterminati..

Per quel che concerne i 3 indirizzi di posta elettronica aperti a nome della ZF si deve rilevare che questi non potevano che essere gestiti nel concreto dal P., il quale per esempio ne avrebbe potuto leggere l’email in entrata, cioè quelle degli ignari mittenti che credevano di scrivere alla ZF. I messaggi in entrata seppur di proprietà del mittente lo sono anche del destinatario perché gli scritti possono contenere informazioni che lo riguardano o anche fatti realmente accaduti. I dati contenuti nelle email in entrata infatti avrebbero dovuto essere considerate dalla Suprema Corte dati personali se non addirittura sensibili, considerato il fatto che il P aveva iscritto la ZF ad un sito di messaggeria erotica denominato www.harem.to e pubblicato a suo nome un messaggio. Messaggio del quale non ci è dato di sapere ma che avrebbe potuto provocare reazioni diverse e potenziali messaggi di risposta.

Ciò detto, essendo la disciplina privacy applicabile a qualunque tipologia di dato personale, comprese quindi le informazioni riferite alla ZF contenute nei messaggi dei mittenti, e considerate in ogni caso le necessarie operazioni da svolgersi per la conclusione dei diversi contratti sopra esaminati, si conclude che la legge 675/96 o il Codice avrebbe dovuto ritenersi applicabile.

Per quel che concerne poi l’affermata inesistenza della violazione del reato di cui al 35 Legge o 167 Codice, in virtù della natura pubblica dei dati si deve rilevare che la provenienza di un’informazione da Internet non debba ritenersi pubblica in generale. Infatti perché sia davvero fonte pubblica occorre anche un altro requisito che è quello della autorevolezza della fonte, come ad esempio quando si tratti di un sito regolarmente registrato al Tribunale. Peraltro, diversi comunicati e provvedimenti del Garante sull’argomento hanno proprio chiarito che le informazione (compresi gli indirizzi di posta elettronica) reperiti su Internet possono essere riutilizzate solo per gli scopi inerenti e sottese al sito stesso.

Tra questi si segnala il comunicato stampa del 10 febbraio 2003 dal titolo “Privacy su internet. gli indirizzi e-mail non sono pubblici” il quale affermava proprio che “gli indirizzi di posta elettronica non sono liberamente utilizzabili da chiunque per il solo fatto di trovarsi in rete. La vasta conoscibilità degli indirizzi e-mail che Internet consente, non rende lecito l'uso di questi dati personali per scopi diversi da quelli per i quali sono presenti on line. Gli indirizzi e-mail non sono, insomma, "pubblici" come possono essere quelli presenti sugli elenchi telefonici. Ancora sul punto l'Autorità ha sottolineato che l'eventuale disponibilità in Internet di indirizzi di posta elettronica, anche se resi conoscibili dagli interessati per certi scopi (ad esempio su un sito istituzionale o anche aziendale) attraverso siti web o newsgroup, va "rapportata alle finalità per cui essi sono pubblicati sulla rete".Sempre secondo il parere del Garante “gli indirizzi di posta elettronica non provengono, infatti, da pubblici registri, elenchi, atti o documenti formati o tenuti da uno o più soggetti pubblici e non sono sottoposti ad un regime giuridico di piena conoscibilità da parte di chiunque. La circostanza che l'indirizzo e-mail sia conoscibile di fatto, anche momentaneamente, da una pluralità di soggetti non lo rende, infatti, liberamente utilizzabile e non autorizza comunque l'invio di informazioni, di qualunque genere, anche se non specificamente a carattere commerciale o promozionale, senza un preventivo consenso”. Il Garante aveva gia espresso tale concetto in un comunicato stampa del 2001 in materia di propaganda elettorale: “Chi utilizza a fini di comunicazione politica, senza il consenso degli interessati ,indirizzi e-mail reperiti in rete viola la privacy. La mera conoscibilità degli indirizzi non consente di per sé, infatti, l'invio generalizzato di e-mail di qualunque contenuto siano i messaggi, compreso quello politico-elettorale. Ciò tanto più se gli indirizzi vengono raccolti attraverso appositi software di ricerca di coloro che utilizzano la posta elettronica.

Nel Provvedimento del 29 maggio 2003 in materia di posta elettronica il Garante ribadisce di essersi pronunciata più volte sulla questione sostenendo che la circostanza che gli indirizzi di posta elettronica possano essere reperiti con una certa facilità in Internet non comporta il diritto di utilizzarli liberamente per inviare messaggi pubblicitari(ovviamente altro) (cfr. fra l'altro, la decisione dell'11 gennaio 2001 - in Bollettino del Garante n. 16).

La materia oggetto della questione è stata peraltro oggetto di approfonditi studi da parte del Data Protection Working Group, il quale ha adottato, in data 17 maggio 2001, la famosa Raccomandazione “relativa ai requisiti minimi per la raccolta dei dati on line nell’Unione Europea”.

Per quel concerne in ultimo l’ulteriore requisito del requisito oggettivo del nocumento come condizione di punibilità del reato “trattamento illecito di dati personali” di cui all’art. 167 del Codice, si rileva che la stessa Corte di Cassazione con sentenza n. 30134 del 2004 ha affermato che il bene tutelato della privacy deve essere inteso in una duplice valenza, positiva e negativa, quale libertà di escludere l’indiscriminato accesso di terzi ai dati personali e quale libertà di garantire all’interessato il controllo della correttezza e non eccedenza del trattamento al fine di salvaguardare l’identità personale.

Quanto alla mancanza di nocumento, sembra difficile poter affermare nel caso che qui si commenta che non sia stata lesa l’identità personale della ZF ed anche che la condotta non abbia provocato una forma di lesione della sua tranquillità e della sua immagine sociale (si confronti la trattazione di nocumento nella sentenza n. 26680/2004 della Suprema Corte sempre in tema di trattamento illecito di dati personali) soprattutto in considerazione della immagine pubblica della stessa.