di Tommaso Passarelli* –
1. Esigenze criminologiche e stratificazione legislativa.
Dal punto di vista criminologico, fin dall’avvento dell’informatica, siano sorti specifici bisogni di tutela del diritto alla riservatezza e, in particolare, della protezione dei dati personali, sovente gestiti da banche dati pubbliche e private[1]. Da lungo tempo, infatti, l’esigenza maggiormente avvertita è quella di garantire alla persona il controllo sull’utilizzo dei propri dati effettuato mediante i programmatori informatici, poiché il funzionamento della rete internet è basato sulla profilazione degli utenti, che nello spazio virtuale condividono una gran quantità di informazioni personali. Proprio quest’ultimo aspetto riflette una intrinseca tensione tra l’espansione dello spazio digitale, che invade aree sempre maggiori nella vita delle persone a causa dell’elevata diffusione dei dati, e le suddette esigenze di tutela, ciò che ha spinto alcuni autori a teorizzare un moderno habeas data, sulla scia del più classico habeas corpus.
La materia è caratterizzata da frequenti novelle legislative – innervate dai dicta provenienti dal diritto sovranazionale – finalizzate ad adeguare la tutela legale dei dati personali alla costante evoluzione tecnologica, che li espone a sempre più sofisticate forme di illecita diffusione nello spazio web. In questo senso, il Regolamento UE n. 679 del 27 aprile 2016, noto come G.D.P.R. (General data protection regulation), ha sostituito la previgente disciplina dettata dalla dir. 95/46/CE. In Italia, esso è stato recepito col d.lgs. n. 101 del 10 agosto 2018, recante disposizioni per l’adeguamento della normativa nazionale a quella comunitaria. La legislazione domestica, in subiecta materia, era ferma alle statuizioni del d.lgs. n. 196/2003, che a sua volta aveva sostituito la primigenia disciplina di cui alla L. n. 675 del 31 dicembre 1996.
Sul piano sovranazionale, la protezione dei dati personali è riconosciuta e garantita come diritto fondamentale della persona all’art. 8, c. 1, della C.D.F.U.E. (c.d. “Carta di Nizza) e all’art. 16, c. 1, del T.F.U.E. . Anche la Convenzione EDU, all’art. 8, contempla la protezione dei dati personali, che assume rilievo onde garantire il rispetto del diritto alla vita privata e familiare, il quale si alimenta dell’autodeterminazione informativa della persona e consente di rivendicare il diritto alla riservatezza dei dati raccolti, trattati e diffusi in guisa da investirne direttamente gli interessi. Le predette operazioni, pertanto, non devono eccedere la soglia della ragionevole prevedibilità in capo all’utente medio.
Emerge chiara, sulla scorta di questa ricostruzione di sintesi, la dimensione transnazionale del diritto alla privacy, in ragione della globale circolazione dei dati personali, che comporta la necessità di predisporre tutele e garanzie altrettanto ampie, in ossequio al principio di proporzionalità. Seguendo il solco tracciato dal diritto sovranazionale, gli Stati membri, infatti, predispongono, nell’esercizio della loro autonomia legislativa, discipline di protezione coerenti, onde assicurare un livello omogeneo di tutela dei diritti e delle libertà fondamentali delle persone.
2. Il reato di “Trattamento illecito di dati” ex 167 d.lgs. n. 196/2003.
La tutela penale dei dati personali è affidata, nel nostro ordinamento, alla fattispecie di cui all’art. 167 del d.lgs. n. 196/2003[2], che nella sua veste attuale si apre con la clausola di riserva che recita «salvo che il fatto costituisca più grave reato». Quest’ultima evidenzia l’attenuato disvalore penale attribuito al delitto in parola, rimarcato anche dal ridotto editto sanzionatorio, da sei mesi a un anno e sei mesi. Sotto questo profilo, giova fin da subito rilevare come il comma 6 preveda anche una diminuzione di pena per il caso in cui, sulla scorta dell’idem factum, sia applicata e riscossa una sanzione amministrativa pecuniaria. Con questa previsione, il legislatore ha contemperato l’afflittività derivante dalla congiunta irrogazione di sanzioni penali e amministrative, in ossequio al principio del ne bis in idem[3].
Nello specifico, al comma 1 sono sanzionate le condotte finalizzate a produrre un profitto (illecito) in capo agli agenti o a terze persone, ovvero a cagionare un danno all’interessato. Si configura così l’elemento soggettivo del dolo specifico, rappresentato proprio da questa doppia e alternativa finalità. Successivamente, viene individuato l’evento giuridico del reato nel solo nocumento arrecato al soggetto passivo, e non anche nella concreta realizzazione del profitto. A parere di chi scrive, si tratta di una precisa scelta di politica criminale, volta a sanzionare le azioni realmente dannose perpetrate nei confronti dei titolari dei dati personali, in ossequio alla ratio legis sottesa alla disposizione – orientata, sul piano assiologico, a tutelare la riservatezza e la privacy della persona – e al fine di selezionare gli aspetti di maggior disvalore penale.
Il soggetto attivo è individuato in “chiunque”, configurando così un reato comune. Non si condivide, sul punto, la tesi, invero minoritaria, volta a promuovere un’interpretazione restrittiva della fattispecie, declinata alla stregua di un reato proprio, secondo la quale solo i soggetti istituzionalmente deputati alla tenuta dei dati potrebbero integrare il tipo legale. Questa tesi, infatti, introduce per via ermeneutica elementi qualificanti che il legislatore non ha inteso adottare, ciò che escluderebbe indebitamente dal novero dei destinatari del precetto tutti quei soggetti che facciano un uso illecito dei dati altrui senza essere in alcun modo predisposti, professionalmente o istituzionalmente, al loro trattamento, così da aprire la strada ad estese aree di impunità.
Proseguendo, il comma 2 configura una diversa ipotesi di reato, che strutturalmente ricalca il modello di cui al comma 1. In questa sede, tuttavia, è sanzionato il trattamento dei dati sensibili (quali i dati genetici e biometrici) e giudiziari. Rispetto alla previsione di cui al comma precedente, questi dati si presentano dunque “qualificati” da un maggior grado di invasività e involgono aspetti sensibili della personalità del titolare, ciò che connota le condotte offensive di un disvalore penale superiore, rappresentato dalla più elevata pena della reclusione da uno a tre anni.
Ai sensi del comma 3, poi, alla medesima pena soggiace anche colui che trasferisca i predetti dati verso Paesi esteri e organizzazioni internazionali, all’infuori del perimetro tracciato dagli artt. 45, 46 e 49 del GDPR.
Ai commi 4-5, infine, è affidata la disciplina dei rapporti tra l’azione del P.M. e quella del Garante per la protezione dei dati personali in ordine alla gestione delle notizie di reato afferenti al trattamento illecito dei dati.
3. Sulla natura, istantanea o permanente, del reato.
Il più recente orientamento della Cassazione ha interpretato il trattamento illecito di dati come un reato istantaneo d’evento, i cui effetti negativi possono perdurare nel tempo anche dopo la consumazione del fatto tipico, che si verifica col sopraggiungere del nocumento in capo al soggetto passivo[4]. Tuttavia, l’orientamento maggioritario aveva ritenuto, fino a questo momento, che la fattispecie configurasse un reato permanente e di mera condotta, monco di evento dannoso, ove lo stato di permanenza temporale investe non soltanto gli effetti, ma l’intero fatto di reato, rappresentato dalla condotta illecita, e si consuma al cessare di quest’ultima, ragion per cui lo si definisce quale ”illecito di durata”.
Vale la pena di rilevare, fin da subito, come il contrasto ermeneutico sia stato innervato dal significato attribuito al nocumento. Infatti, l’orientamento che declinava il reato come “permanente” lo interpretava in termini di condizione obiettiva di punibilità e il disvalore della fattispecie veniva individuato nella sola condotta delittuosa. Il reato assumeva, per questa via, i caratteri del pericolo concreto. Di contro, l’interpretazione da ultimo espressa dai giudici di legittimità va nella direzione di ritenere il nocumento quale evento giuridico della fattispecie, che, pertanto, si consuma contestualmente al sopravvenire del danno, rappresentato proprio dal nocumento.
3.1. Le caratteristiche strutturali del reato permanente.
Orbene, il reato permanente si caratterizza proprio per la presenza di una fase ulteriore e distinta rispetto a quella iniziale, vale a dire la c.d. ”permanenza”, ove l’azione criminosa perdura in modo continuativo e si sviluppa lungo un’apprezzabile estensione temporale. Questo aspetto segna la differenza principale dal reato istantaneo, che si esaurisce nel momento stesso in cui sorge l’actio criminalis, che integra ed esaurisce, in un frangente temporale preciso, l’offesa al bene giuridico. Sul piano della colpevolezza, esso si protrae per volontà del soggetto attivo, che, pur potendo far cessare gli effetti negativi della propria condotta, decide invece di farli persistere. Questo aspetto evidenzia un ulteriore distinguo dal reato istantaneo, ove il reo non conserva alcuna facoltà di far cessare gli effetti dell’azione delittuosa, poiché essa si consuma nel momento stesso in cui viene ad esistenza. In tal caso, l’eventuale rimedio successivo inciderà solo sugli effetti negativi del reato suscettibili di eliminazione postuma, che tuttavia risultano ininfluenti ai fini della consumazione del reato medesimo.
Con riferimento ai beni giuridici tutelati, generalmente si ritiene che nei reati permanenti questi debbano essere suscettibili di compressione per tutta la durata dello stato di permanenza e successiva ri-espansione al cessare della condotta criminosa, poiché il bene non viene in tali casi distrutto, ma solo ostacolato nel suo pieno dispiegarsi fintanto che perdura il reato. Di contro, laddove il bene venisse fin da subito danneggiato in modo irrimediabile, senza sopportare il peso della permanenza, il reato non potrebbe proiettarsi nel tempo e l’offesa cesserebbe contestualmente alla lesione, consumando la fattispecie, come avviene nel reato istantaneo. Sotto questo profilo, la riservatezza e la privacy non paiono suscettibili di momentanea contrazione, in quanto la loro lesione avviene contestualmente al trattamento illecito dei dati, Ne deriva che il soggetto passivo non potrà, in alcun caso, essere ricondotto nella precedente posizione giuridica e potrà soltanto trovare conforto nel risarcimento del danno in sede civile.
4.Il “nocumento” tra condizione obiettiva di punibilità ed evento giuridico di danno.
È dunque con l’insorgenza dell’evento di danno, rappresentato dal nocumento, che si consuma il reato di cui all’art. 167 del d.lgs. n. 196/2003. Questo deve in ogni caso presentarsi come di «apprezzabile entità» e rappresentare un pregiudizio giuridicamente rilevante, sia di natura patrimoniale che non patrimoniale, in capo al soggetto a cui i dati sono riferibili, ovvero a terze persone[5].
La giurisprudenza, come detto, è oscillante nell’interpretazione di questo elemento della fattispecie: se in alcune pronunce è individuato quale evento giuridico di danno, in altre è invece declinato come condizione obiettiva di punibilità[6]. Orbene, si tratta di un nodo ermeneutico di non poco momento, poiché dalla sua interpretazione dipende innanzitutto la natura del reato: infatti, ove lo si ritenesse un evento dannoso, esso assurgerebbe ad elemento tipico della fattispecie; di contro, ove si accedesse ad una sua interpretazione in termini di condizione obiettiva di punibilità, saremmo in presenza di un reato di pericolo concreto, il cui disvalore sarebbe concentrato nella sola condotta delittuosa, finalizzata a perseguire gli obiettivi di profitto e danno.
A parere di chi scrive, la littera legis palesa la costruzione di un reato d’evento a dolo specifico, ove il legislatore ha tipizzato l’evento dannoso e lo ha previsto come finalisticamente perseguito mediante l’azione delittuosa. Non si condivide, pertanto, la tesi che enuclea il nocumento in termini di condizione obiettiva di punibilità, monca di necessario collegamento causale e psicologico con l’azione tipica del reo. Secondo questa ricostruzione, antitetica al dato legislativo, la doppia finalità perseguita dall’agente, essendo alternativa, consentirebbe astrattamente l’assenza del danno dal dolo dell’agente, ciò che trova una pronta smentita nella previsione del solo nocumento come evento giuridico del reato, e non anche del raggiungimento del profitto. Invero, questa ermeneusi pare rivolta in primis a sottrarre il nocumento all’alveo del dolo specifico, per ragioni di semplificazione probatoria in sede processuale.
5. Il ruolo delle condizioni obiettive di punibilità nell’ordinamento penale italiano.
Lo scopo delle condizioni obiettive ex art. 44 c.p. è quello di agganciare la punibilità del reato, completo in tutti i suoi elementi oggettivi e soggettivi, all’insorgere di determinati avvenimenti, c.d. “condizioni”, tipizzate dal legislatore onde sottrarle alla creazione del giudice, riconducendole così ad una precisa scelta di politica penale. In senso negativo, si afferma che non sono condizioni obiettive di punibilità quegli elementi del modello legale che siano eziologicamente e psicologicamente riconducibili alla condotta dell’agente. Esse si caratterizzano, infatti, per l’assenza di ogni nesso, causale e finalistico, col fatto tipico.
Proprio questa ricostruzione ha suscitato dubbi di compatibilità costituzionale, con riferimento al principio di colpevolezza, poi superati in ragione del fatto che, in ogni caso, le condizioni obiettive accedono ad un reato già completo in tutti i suoi elementi, oggettivi e soggettivi, che è dunque perfezionato e diviene punibile al loro sopravvenire. Fino a tale momento è quindi sterilizzato il solo meccanismo sanzionatorio, ma non la consumazione della fattispecie, ciò che pone le condizioni obiettive in posizione complementare rispetto al principio di tassatività.
5.1. L’ermeneusi oscillante della Cassazione sul concetto di “nocumento” nella fattispecie di “Trattamento illecito di dati”.
A questo punto della trattazione, devono essere ripercorse, in estrema sintesi, le tappe principali dell’elaborazione giurisprudenziale sul concetto di “nocumento”.
Già nel 2004 emergevano i primi dubbi. Infatti, il dato legislativo ne suggeriva, di primo acchito, una declinazione in termini di evento dannoso, causalmente riconducibile alla condotta dell’agente. In questo senso, il nocumento assolveva ad una funzione di selezione delle condotte criminose, così da escludere dal perimetro applicativo della fattispecie le mere violazioni formali e le irregolarità procedurali nelle attività di trattamento che non cagionassero alcun danno alla sfera di interessi giuridici del titolare dei dati. Nell’occasione, tuttavia, la Cassazione, ritenne di interpretare il nocumento quale condizione obiettiva di punibilità, in ragione del fatto che il dolo specifico investiva altri elementi costitutivi della fattispecie, vale a dire il profitto e il danno. Per questa via, si affermava un distinguo ontologico e giuridico tra nocumento e danno che, invero, paiono elementi coincidenti nel caso de quo[7].
Una svolta si è avuta nel 2015, allorquando la Cassazione, valorizzando l’elemento soggettivo, ha individuato nel nocumento l’evento giuridico della fattispecie, che assicura la tutela della riservatezza dei dati personali e garantisce la selezione delle condotte offensive. Ne è stata così esclusa la declinazione come condizione obiettiva di punibilità, sulla scorta del fatto che, in un delitto a dolo specifico, non può ricondursi la conseguenza della condotta, quale è appunto il nocumento, a mera condizione obiettiva, peraltro da imputare – al lume di un’ermeneusi costituzionalmente orientata – almeno a titolo colposo, comunque privo di volizione[8]. Tuttavia, sempre in punto di elemento soggettivo, non convince l’attenuazione proposta dalla Corte di legittimità che, in presenza di una fattispecie articolata sul dolo specifico, ha ammesso la rilevanza penale del nocumento anche a titolo di dolo generico o, addirittura, eventuale, nel caso in cui esso sia soltanto “accettato” dall’agente come conseguenza della propria condotta.
Di recente, la Cassazione ha palesato nuove incertezze nel 2023, allorquando ha enucleato il nocumento nuovamente in termini di condizione obiettiva di punibilità, qualificandolo come «elemento costitutivo oggettivo» del reato[9]. Si tratta, all’evidenza, di un fraintendimento interpretativo, alla luce del fatto che le condizioni obiettive di punibilità giammai possono assurgere ad elementi costitutivi della fattispecie, ma rappresentano elementi esterni al tipo legale.
6. In conclusione, si condivide l’orientamento da ultimo espresso dalla Cassazione secondo cui il trattamento illecito di dati costituisce un reato istantaneo d’evento, che si perfeziona nel momento in cui si verifica il pregiudizio (rectius, il nocumento) nei confronti del soggetto passivo. Paiono dunque superate, per il momento, le interpretazioni di segno contrario, che aprivano la strada alla qualificazione del nocumento come condizione obiettiva di punibilità. L’adesione nasce in ragione dell’aderenza dimostrata alla littera legis e dell’ermeneusi costituzionalmente orientata, al lume del principio di colpevolezza, volta a ricondurre il nocumento sotto l’alveo dell’elemento psicologico del reato, vale a dire il dolo specifico, che pertanto dovrà essere oggetto di specifico accertamento probatorio in sede processuale, in antitesi ad ogni scorciatoia contrastante con l’intentio legislatoris rappresentata dalla previsione dell’evento di danno quale fine dell’azione delittuosa. La portata garantistica di una siffatta interpretazione è di immediata percezione e trova conforto anche nel nesso eziologico che vede il nocumento quale conseguenza necessaria della condotta delittuosa.
In ogni caso, deve prendersi atto di come la materia sia caratterizzata da continui contrasti interpretativi, che non paiono riconducibili all’oscurità del precetto legale. Al legislatore, infatti, va riconosciuto di essersi “accontentato”, ai fini della consumazione del reato, del solo evento dannoso rappresentato dal nocumento, piuttosto che esigere anche l’effettiva realizzazione dell’ingiusto profitto in capo all’agente. Si è trattato, a ben vedere, di una precisa scelta di politica penale, che ha demandato le conseguenze patrimoniali derivanti dal reato ai rimedi civilistici e amministrativi. Non emerge, pertanto, la necessità di una riforma legislativa, ma pare necessario l’intervento nomofilattico e “tassativizzante” della Corte di cassazione, nella sua più autorevole composizione, che dia un’ermeneusi profonda del precetto legale, chiarendone la natura e gli elementi costitutivi, così da superare in via definitiva le attuali contraddizioni e aprire la strada ad interpretazioni stabili e uniformi del precetto legale.
*Avvocato, studente presso l’Università Magna Graecia di Catanzaro
[1] La dottrina, sul punto, parla da lungo tempo di «libertà informatica» e «privacy digitale». Cfr. Destito, Dati personali (tutela penale dei), in Dig. Disc. Pen., I agg., 2008, 1-3, all’indirizzo «Onelegale.it»; Alpa, La disciplina dei dati personali, Roma, 1998. La pionieristica dottrina americana si spinse, fin dal tardo Ottocento, ad elaborare un nuovo right to privacy, la cui paternità è notoriamente attribuita allo studio di Warren – Brandies, The right to privacy, in Harvard Law review, Harvard, 1890/1891, IV, 193 ss. . Si vedano anche Baldassarre, Privacy e Costituzione. L’esperienza statunitense, Roma, 1974, passim e Frosini, Telematica e informatica giuridica, in Enc. Dir., 1992, XLIV, Milano, 1992, 66 ss.
[2] Il riferimento è a Cass., n. 30134/2004, cit., 2-5. In dottrina, cfr. Bisacci, Tutela penale dei dati personali, in Dig. Disc. Pen., 2005, 1-19, all’indirizzo «Onelegale.it» e Vitarelli, Vita privata nel diritto penale, in Dig. Disc. Pen., 1999, all’indirizzo «Onelegale.it», con particolare riferimento al par. 7.
[3] Inizialmente, il legislatore domestico aveva promosso una depenalizzazione della materia, al fine di armonizzare la riforma alle prescrizioni di cui al considerando n. 149 del GDPR, che ammonisce in ordine alle duplicazioni sanzionatorie – amministrative e penale – in subiecta materia, alla luce del principio del ne bis in idem. Tuttavia, la continua espansione degli spazi digitali, favorita dalla costante evoluzione tecnologica, ha fatto naufragare le iniziali intenzioni del legislatore, che ha così mantenuto le soglie di rilevanza penale delle condotte di illecito trattamento dei dati.
[4] Cfr. Cass. pen., 21 ottobre 2024, n. 38511, in www.dejure.it.
[5] Così Bolognini, Decreto legislativo – 30/06/2003 – n. 196, art. 167, cit., 3. In giurisprudenza, cfr. Cass., n. 30134/2004, cit.; Cass., 7 febbraio 2017, n. 29549, all’indirizzo «www.dejure.it».
[6] La giurisprudenza maggioritaria propende per la prima ricostruzione, che ha preso le mosse a partire dalla sentenza Cass., 6 ottobre 2015, n. 40103, all’indirizzo «www.dejure.it». Cfr. sul punto anche Cass., n. 15221/2016, cit., 4. Il secondo orientamento è condiviso invece dalla dottrina. Il riferimento è a Destito, Dati personali, cit., pp. 11-12 e Bolognini, Decreto legislativo – 30/06/2003 – n. 196, art. 167 – (trattamento illecito di dati), p. 3, in ius.giuffrè.it e Id, Aspetti penali, cit., 100-101.
[7] In giurisprudenza, si veda Cass., n. 30134/2004, cit., 2-5.
[8] Cfr. Cass., n. 4013/2015, cit., passim; Cass., 7 febbraio 2017, n. 29549, 2-5; Cass., 29 marzo 2019, n. 23808, 2-5, all’indirizzo «www.dejure.it».
[9] Cfr. Cass., n. 13102/2023, cit., 2-4.
