Con la sentenza n. 40140/2019, la Cassazione penale ha fatto chiarezza sulle condotte penalmente rilevanti alla luce della nuova normativa europea sulla Privacy.

Nel caso in esame, la Corte d’Appello di Lecce aveva confermato la sentenza di primo grado, con la quale una donna era stata condannata in relazione ai reati di cui all’art. 640-ter c.p. (capo a) e all’art. 167 Codice della Privacy (capo b), per aver utilizzato abusivamente i codici di sicurezza di una carta di credito.

In particolare, l’imputata, dopo esser venuta a conoscenza dei predetti codici (in quanto acquisiti dalla società di gestione del servizio televisivo per la quale lavorava come dipendente), li comunicava ad una società di telefonia senza consenso del legittimo titolare, al fine di effettuare alcune ricariche telefoniche a proprio favore.

L’imputata, condannata anche in secondo grado, aveva quindi proposto ricorso per cassazione, deducendo, tra l’altro, l’erronea applicazione della legge penale quanto al reato sub b) - ossia l’aver comunicato ai terzi i codici di sicurezza della carta di credito in assenza del consenso del suo titolare -, perché il fatto non era più previsto dalla legge come reato, alla luce della parziale depenalizzazione operata dal D.Lgs. n. 101 del 2018 (attuativo del GDPR).

Secondariamente, alla luce del nuovo testo dell’art. 167 Codice della Privacy, quindi, la condotta ascritta alla ricorrente doveva ritenersi ormai estranea alla norma incriminatrice, che prende in considerazione solo le violazioni degli artt. 123, 126, 129, 130, ovvero il trattamento di particolari categorie di dati personali in violazione delle disposizioni di cui agli artt. 2-sexies, 2-septies, 2-octies e 2-quinquiesdecies del predetto decreto legislativo.

La Corte di Cassazione ha ritenuto fondato il ricorso.

La condotta contestata all’imputata, infatti, assumeva rilievo penale - quanto alla violazione delle disposizioni in tema di tutela dei dati personali - solo ai sensi del previgente art. 167 D.Lgs. n. 196 del 2003 (c.d. Codice della Privacy), ovvero prima delle modifiche apportate, al predetto Codice, dal D.Lgs. n. 101 del 2018 (attuativo del Regolamento UE 2016/679 del Parlamento Europeo e del Consiglio, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati).

L’entrata in vigore del predetto Regolamento, invece, ha profondamente innovato la materia, con disposizioni aventi diretta ed immediata applicazione nell’ordinamento interno, ed ha introdotto un sistema di sanzioni amministrative pecuniarie sia per le violazioni degli obblighi da parte dei soggetti investiti del dovere di garantire l’efficace tutela dei dati personali, sia per le violazioni dei principi base del trattamento dei dati stessi (compresi quelli relativi al consenso e ai diritti degli interessati), rimettendo peraltro alla potestà sanzionatoria degli Stati membri la possibilità di introdurre ulteriori sanzioni per la violazione di disposizioni diverse da quelle già sanzionate dal Regolamento stesso.

In tale quadro, è intervenuta la l. n. 163 del 2017 (legge di delegazione Europea 2016-2017), ed il successivo d.Lgs. n. 101 del 2018, che ha profondamente modificato il Codice della Privacy, sia abrogando numerosissime disposizioni ormai superate dall’impianto normativo contenuto nel Regolamento, sia intervenendo in termini assai significativi sull’impianto sanzionatorio.

Il d.Lgs. n. 101/2018, peraltro, ha considerevolmente ridotto l’ambito della risposta sanzionatoria penale: “in particolare, continuano ad essere penalmente sanzionate, ai sensi del comma 1 dell’art. 167, solo le violazioni - purché sorrette dal dolo specifico di trarre per sé o per altri profitto, o di recare all’interessato un danno, e purché produttive di "nocumento" a quest’ultimo - delle norme relative al trattamento dei dati relativi al traffico, riguardanti contraenti ed utenti trattati dal fornitore di una rete pubblica di comunicazioni o di un servizio di comunicazione elettronica accessibile al pubblico (cd. tabulati, art. 123 del Codice); al trattamento dei dati relativi all’ubicazione, diversi da quelli relativi al traffico, riguardanti i medesimi soggetti (art. 126); alle cd. comunicazioni indesiderate (art. 130); nonché le violazioni dei provvedimenti del Garante in tema di inserimento ed utilizzo dei dati personali negli elenchi cartacei o elettronici a disposizione del pubblico (art. 129). Il novellato comma 2 dell’art. 167 punisce altresì, più gravemente, la violazione delle disposizioni in tema di trattamento dei dati sensibili e dei dati giudiziari, mentre le nuove disposizioni introdotte al comma 3 dell’art. 167, all’art. 167-bis e all’art. 167-ter prevedono, rispettivamente, sanzioni penali per la violazione delle disposizioni in tema di trasferimento dei dati personali verso un paese terzo o un’organizzazione internazionale, in tema di comunicazione e diffusione illecite, e di acquisizione fraudolenta, di un archivio automatizzato o di una sua parte sostanziale, che contenga dati personali oggetto di trattamento su larga scala”.

Risulta, quindi, evidente che le norme incriminatrici oggi vigenti non prendono più in considerazione la condotta (contestata alla ricorrente), concernente il trattamento dei dati personali senza il consenso del suo titolare e per finalità diverse da quelle previste.

Per tali ragioni, la Cassazione ha annullato la sentenza impugnata, in parte qua, perché il fatto non è previsto dalla legge come reato.