Annullata la condanna per utilizzo abusivo dei codici di una carta di credito perché, secondo le ultime novità legislative in materia di privacy, il fatto non è più reato
La vicenda
La Corte d’Appello di Lecce aveva confermato la sentenza di condannata alla pena di giustizia pronunciata a carico dell’imputato, dal giudice di prime cure, in relazione ai reati di cui al D.Lgs. n. 196 del 2003 (Codice della Privacy), art. 640-ter e art. 167.
L’accusa era quella di aver utilizzato abusivamente i codici di sicurezza della carta di credito della persona offesa, acquisiti nella qualità di dipendente della società addetta alla lavorazione del contratto che quest’ultimo aveva inteso stipulare con essa.
A detta della ricorrente alla luce del nuovo testo dell’art. 167, la condotta contestata doveva ritenersi ormai estranea alla norma incriminatrice, la quale prende in considerazione solo le violazioni degli artt. 123, 126, 129, 130, ovvero il trattamento di particolari categorie di dati personali in violazione delle disposizioni di cui agli artt. 2-sexies, 2.septies, 2-octies e 2-quinquiesdecies del predetto decreto legislativo (D.Lgs. n. 196 del 2003)
Ebbene, la Cassazione Penale (sentenza n. 40140/2019) ha accolto il ricorso perché fondato.
Coglie infatti nel segno il rilievo difensivo secondo cui la condotta contestata alla ricorrente assumeva rilievo penale – quanto alla violazione delle disposizioni in tema di tutela dei dati personali – solo ai sensi del previgente D.Lgs. n. 196 del 2003, art. 167 (c.d. Codice della Privacy), ovvero prima delle modifiche apportate, al predetto Codice, dal D.Lgs. n. 101 del 2018: non anche ai sensi dell’art. 167 attualmente in vigore.
Al riguardo la Cassazione ha ricordato che l’entrata in vigore del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (d’ora in avanti: Regolamento), ha profondamente innovato la materia, con disposizioni aventi ovviamente diretta ed immediata applicazione nell’ordinamento interno.
Tra le altre novità, il Regolamento ha, tra l’altro, introdotto (art. 83) un sistema di sanzioni amministrative pecuniarie sia per le violazioni degli obblighi da parte dei soggetti investiti del dovere di garantire l’efficace tutela dei dati personali, sia le violazioni dei principi base del trattamento dei dati stessi (compresi quelli relativi al consenso e ai diritti degli interessati: cfr. artt. 5 ss. del Regolamento).
Quest’ultimo ha anche rimesso alla potestà sanzionatoria degli Stati membri (art. 84) la possibilità di introdurre ulteriori sanzioni per la violazione di disposizioni diverse da quelle già sanzionate dal Regolamento stesso, facendo espresso riferimento alla possibilità che tali ulteriori disposizioni sanzionatorie abbiano natura penale, ed afferiscano a violazione di norme nazionali adottate in virtù ed entro i limiti del Regolamento (cfr. il Considerando n. 149).
Le novità legislative in materia di Privacy nel diritto interno
In tale quadro, è intervenuta la L. n. 163 del 2017 (legge di delegazione Europea 2016-2017), che ha delegato il Governo ad intervenire sul Codice della Privacy, anche al fine di adeguare il sistema sanzionatorio ivi previsto alla normativa di matrice Europea.
Il legislatore delegato, con il D.Lgs. n. 101 del 2018, ha profondamente modificato il predetto Codice, sia abrogando numerosissime disposizioni ormai superate dall’impianto normativo contenuto nel Regolamento, sia intervenendo in termini assai significativi sull’impianto sanzionatorio.
In particolare, continuano ad essere penalmente sanzionate, ai sensi del comma 1 dell’art. 167, solo le violazioni – purché sorrette dal dolo specifico di trarre per sé o per altri profitto, o di recare all’interessato un danno, e purché produttive di “nocumento” a quest’ultimo – delle norme relative al trattamento dei dati relativi al traffico, riguardanti contraenti ed utenti trattati dal fornitore di una rete pubblica di comunicazioni o di un servizio di comunicazione elettronica accessibile al pubblico (cd. tabulati, art. 123 del Codice); al trattamento dei dati relativi all’ubicazione, diversi da quelli relativi al traffico, riguardanti i medesimi soggetti (art. 126); alle cd. comunicazioni indesiderate (art. 130); nonché le violazioni dei provvedimenti del Garante in tema di inserimento ed utilizzo dei dati personali negli elenchi cartacei o elettronici a disposizione del pubblico (art. 129).
Il novellato comma 2 dell’art. 167 punisce altresì, più gravemente, la violazione delle disposizioni in tema di trattamento dei dati sensibili e dei dati giudiziari; mentre le nuove disposizioni introdotte al comma 3 dell’art. 167, all’art. 167-bis e all’art. 167-ter prevedono, rispettivamente, sanzioni penali per la violazione delle disposizioni in tema di trasferimento dei dati personali verso un paese terzo o un’organizzazione internazionale, in tema di comunicazione e diffusione illecite, e di acquisizione fraudolenta, di un archivio automatizzato o di una sua parte sostanziale, che contenga dati personali oggetto di trattamento su larga scala.
La decisione
Risulta evidente, quanto al caso in esame, che le norme incriminatrici attualmente vigenti, non prendono in considerazione la condotta contestata all’imputata, la cui rilevanza penale trovava fondamento nella prospettata violazione dell’art. 23 e art. 25, lett. b) del Codice Privacy (in tema, rispettivamente, di trattamento dei dati senza consenso e per finalità diverse da quelle previste), disposizioni oggi abrogate dal D.Lgs. n. 101.
Per queste ragioni, la sentenza impugnata è stata annullata, perché il fatto non è previsto dalla legge come reato.
Avv. Sabrina Caporale
Leggi anche:
BANCA DATI NAZIONALE DELLE DAT, VIA LIBERA DEL GARANTE DELLA PRIVACY