Anche al privato è inibita l'arbitraria diffusione dei dati personali di terzi
La recente sentenza della terza sezione penale della Corte di Cassazione (la 13102 del 14 marzo 2023), di cui oggi scriviamo, consentirà di ribadire criteri certo non nuovi ma ancora abbondantemente sottovalutati o ignorati.
Il fatto è semplice: Caia era entrata in possesso di informazioni sensibili concernenti una persona e, del tutto arbitrariamente, al fine di recare un danno a colui (o a colei) al (o alla) quale erano riferiti, li aveva diffusi.
Con sentenza del 7 luglio 2021, la Corte di appello di Palermo aveva parzialmente riformato la sentenza di 1° grado e comunque aveva accertato, con conseguente condanna, la violazione penale.
Caia aveva dunque deciso il ricorso per cassazione sulla base di un unico motivo di impugnazione, ossia deducendo che la propria condotta non fosse aderente alla fattispecie incriminatrice dell'art. 167, dal momento che la disposizione non contempla tra gli obbligati “soggetti diversi dalla Pubblica Amministrazione, dai privati appositamente qualificati dalla normativa di riferimento e da altri organismi specificamente preposti al trattamento di dati personali”. Le condotte accertate non rientravano, in poche parole, nel concetto e sotto la disciplina prevista per il trattamento di dati personali, avendo la ricorrente agito in ambito strettamente personale e privato.
La Suprema Corte ha invece ritenuto e confermato la rilevanza penale della condotta oggetto del processo, spiegando che “il trattamento dei dati personali sensibili senza il consenso dell'interessato, dal quale derivi nocumento per la persona offesa, era già punito ai sensi dell'art. 35, comma 3 della L. 31 dicembre 1996, n. 675, ed è tutt'ora punibile ai sensi dell'art. 167, comma 2 del D.Lgs. n. 30 giugno 2003 n. 196, in quanto tra le due fattispecie sussiste un rapporto di continuità normativa, essendo identici sia l'elemento soggettivo caratterizzato dal dolo specifico, sia gli elementi oggettivi, in quanto le condotte di "comunicazione" e "diffusione" dei dati sensibili sono ora ricomprese nella più ampia dizione di "trattamento" dei dati sensibili, ed il nocumento per la persona offesa che si configurava nella previgente fattispecie come circostanza aggravante, rappresenta nella disposizione in vigore una condizione obiettiva di punibilità”.
Cuore della pronuncia è l'affermazione secondo cui, diversamente da quanto sostenuto nel ricorso dalla difesa, “è del tutto infondata la tesi volta ad escludere dal novero dei destinatari della norma punitiva (...) il privato cittadino che occasionalmente sia venuto in possesso di un dato rilevante appartenente ad altro soggetto, dandogli diffusione indebita”.
È aggiunto che “ad una semplice lettura della norma punitiva, l'incipit "chiunque" già esclude in radice una interpretazione in senso restrittivo riferita ai destinatari”. E' evidente che, “laddove si parla di persona fisica, ci si intende riferire al soggetto privato in sé considerato, e non solo a quello che svolga un compito, per così dire, istituzionale, di depositario della tenuta dei dati sensibili e delle loro modalità di utilizzazione all'esterno: una interpretazione siffatta finirebbe con l'esonerare in modo irragionevole dall'area penale tutti i soggetti privati, così permettendo quella massiccia diffusione di dati personali che il legislatore, invece, tende ad evitare”.
Né può rilevare, in favore di Caia, la circostanza della modalità di acquisizione dei dati; ciò che conta è non già che il soggetto detentore del dato lo abbia acquisito occasionalmente e/o casualmente, bensì l'utilizzo che ne abbia poi fatto, dal momento che la disposizione “non punisce di certo il recepimento del dato, quanto la sua indebita diffusione”.
Del tutto destituita di fondamento è dunque la tesi che pretendeva di escludere il privato "non qualificato" dal novero dei destinatari della norma.
Questa pronuncia, se si amplia lo sguardo oltre la condotta che ne è oggetto, offre l'opportunità di ribadire che:
a) reperire dati personali di terzi oggi è più che mai semplice ma la disponibilità dei medesimi non va mai confusa con la liceità/correttezza di qualsivoglia loro utilizzo;
b) l'applicazione delle norme previste dal GDPR in materia di protezione dei dati è esclusa nel caso in cui il trattamento sia effettuato “da una persona fisica per l'esercizio di attività a carattere esclusivamente personale o domestico” (Regolamento UE 2016/679, art. 2.2, lett. c, la cosiddetta 'esenzione domestica');
c) quando la persona fisica come tale, per quanto al di fuori di una qualsiasi attività lavorativa e/o professionale, diffonde i dati acquisiti, ha già varcato la soglia della esenzione domestica perché il concetto di diffusione (cioè di pubblicazione, di procurata accessibilità delle informazioni ad un numero indefinito di persone) è logicamente (e quindi giuridicamente) in contrasto proprio con il requisito del carattere “domestico” della attività;
d) la diffusione di informazioni personali riferibili a terzi, complice la dominanza degli smartphone e di internet nella vita quotidiana, è di fatto eseguibile da chiunque ed in un batter di ciglia, può compiersi oramai quasi inavvertitamente e/o apparire inoffensiva ma tutto questo costituisce un 'ambiente' ingannevole, non già un semaforo verde;
e) in un 'upgrade' di rilevanza delle condotte, se quelli acquisiti e diffusi sono poi dati sensibili (e/o giudiziari) e la loro diffusione è eseguita per trarne profitto o per recare pregiudizio all'interessato, arrecandogli un effettivo nocumento, la condotta non è più rilevante per il solo Regolamento UE 2016/679 ma certamente anche per l'ordinamento penale.