Trattamento illecito dei dati personali: articolo 167 del Codice Privacy

L'articolo 167 del decreto legislativo n. 196/2003 prevede il delitto di trattamento illecito dei dati personali145 _{Esso costituisce una delle}

disposizioni cardine dell'intera normativa, che sostituisce, con una 145 _{Trattamento illecito di dati (Art. 167): 1. “Salvo che il fatto costituisca più grave}

reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell'articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi”.

2. “Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o

per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni”.

rubrica identica, il previgente articolo 35 della legge 675/1996, abrogato dall'articolo 183 di tale decreto.

Nonostante le rubriche siano identiche, le fattispecie descritte nel previgente e nel nuovo articolo sono però fra loro diverse e differente è l’ambito di operatività dell’articolo 167 rispetto a quello occupato dall’articolo abrogato.

Il nuovo articolo 167 sanziona infatti una più nutrita serie di possibili condotte costitutive dei delitti di “trattamento illecito di dati”: come si legge testualmente nella Relazione parlamentare di accompagnamento al decreto legislativo 196/2003 “le condotte punibili [richiamate dall’art. 167] riproducono, oltre a quelle già contenute nel citato art. 35 della legge 675/1996, anche quelle punite ai sensi del medesimo articolo 35 dall’art. 11 del decreto legislativo 171/1998146 _{[anche esso abrogato dall’art. 183 del} Codice]”.

La rilevanza e la complessità della norma, dovuta all'ampiezza della sua formulazione e ad una non facile lettura della sua portata causata dai numerosi rinvii ad altri articoli, rende necessario un esame puntuale dei plurimi contenuti normativi. La norma prevede, in primo luogo, una clausola di riserva; la condotta e l'elemento oggettivo, che renderà necessario un approfondimento sulla disciplina del Codice richiamata dall'articolo 167, che, nel caso in cui sia violata, insieme agli altri requisiti presenti nella fattispecie, perfeziona il delitto di trattamento illecito dei dati personali; l'elemento soggettivo, ovvero il dolo specifico; il concetto di 146 _{“Disposizioni in materia di tutela della vita privata nel settore delle}

telecomunicazioni, in attuazione della direttiva 97/66/CE del Parlamento europeo e del Consiglio, ed in tema di attività giornalistica” il cui articolo 11 prevedeva l'applicazione delle sanzioni di cui all'articolo 35 della legge 675/1996 per la violazione delle disposizioni contenute negli articoli 4 (“dati relativi al traffico e alla

fatturazione del servizio”), 9 (“elenco degli abbonati”) e 10 (“chiamate indesiderate”).

“nocumento” e come esso sia mutato dalla previgente disciplina a quella attuale.

4.1 La clausola di riserva

Così come previsto dalla previgente disciplina, anche l'articolo 167 si apre con l'introduzione di una clausola di riserva espressa (“salvo che il fatto costituisca più grave reato...”), la quale sta a significare che le disposizioni di cui ai commi 1 e 2 non trovano applicazione nel caso in cui ricorrano gli estremi di un altro reato punito più severamente147_.

Tale clausola è la stessa clausola di riserva che già era stata inserita in apertura dell'articolo 35 della legge n. 675/1996, a seguito della presentazione di un emendamento da parte dell'Onorevole Salvatore Senese, il quale intendeva salvaguardare l'applicazione delle norme penali sull'abuso d'ufficio e sulla rivelazione ed utilizzazione dei segreti d'ufficio (rispettivamente ex articolo 323 e 326 del codice penale)148_.

Per poter meglio comprendere l'applicazione della clausola di riserva, prendiamo ad esempio il caso in cui un pubblico ufficiale, nello svolgimento delle proprie funzioni, in violazione delle norme che consentono il trattamento pubblico di dati personali, “solo per lo svolgimento di funzioni istituzionali”, arrechi intenzionalmente

147 _{DE FRANCESCO G. A., in Lex specialis. Specialità ed interferenza nel concorso}

di norme penali, Milano, 1980, pag. 141, ritiene che la funzione della clausola di

riserva sia proprio quella di impedire “l'applicazione della norma che la contiene,

quando, pur realizzandosi gli estremi di questa norma si realizzino anche quelli della disposizione cui la clausola rinvia”.

148 _{BUTTARELLI V. G., Banche dati e tutela della riservatezza, Milano, 1997, p.}

un danno di rilevante entità alla persona offesa.

La condotta è inquadrabile nell'articolo 167, comma 2 del Codice della privacy, ma, ricorrendo anche gli estremi per la configurazione del reato di cui all'articolo 323149 _{del codice penale, in questo caso,}

proprio in virtù della clausola di riserva, troverà applicazione solo il reato punito più severamente, ovvero quello contenuto nel codice penale.

4.2 La condotta

4.2.1 Le condotte punibili ai sensi del primo comma dell'articolo

167

La condotta punita ai sensi dell'articolo 167 del Codice della privacy va identificata nel trattamento dei dati personali, ovvero, come stabilito dall'articolo 4, lettera a, “qualunque operazione o complesso di operazioni effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca dati”.

Tale trattamento, sempre secondo quanto riportato nel disposto dell'articolo 167, deve avvenire, affinché si possa definire illecito, in violazione di quanto prescritto in altre norme, contenute nel 149 _{Abuso d'ufficio: “Salvo che il fatto non costituisca più grave reato, il pubblico}

ufficiale o l'incaricato di pubblico servizio che, nello svolgimento delle funzioni o del servizio, in violazione di norme di legge o di regolamento, ovvero omettendo di astenersi in presenza di un interesse proprio o di un prossimo congiunto o negli altri casi prescritti, intenzionalmente procura a sé o ad altri un ingiusto vantaggio patrimoniale ovvero arreca ad altri un danno ingiusto è punito con la reclusione da sei mesi a tre anni”.

Codice, di natura extrapenale.

Occorre dunque analizzare tutti gli articoli richiamati per poter individuare le condotte rilevanti a livello penale.

Per quanto riguarda il primo comma dell'articolo 167, la condotta è punibile se avviene in violazione degli articoli 18, 19, 23, 123, 126, 129 e 130.

L'articolo 18 stabilisce i principi applicabili ai trattamenti compiuti da soggetti pubblici, ad esclusione degli Enti pubblici economici, e prevede che il trattamento consentito è esclusivamente quello svolto nell'ambito delle funzioni istituzionali; i trattamenti svolti al di fuori delle funzioni istituzionali sono da considerarsi sempre illeciti. È inoltre previsto che i soggetti pubblici non debbano richiedere il consenso dell'interessato150_.

I soggetti pubblici devono infine osservare le disposizioni in materia di comunicazione e diffusione di cui all'articolo 25 del Codice il quale prevede che la comunicazione e la diffusione sono vietate in riferimento a dati personali dei quali è stata ordinata la cancellazione, oppure quando è trascorso il tempo limite indicato nell’articolo 11, comma 1, lettera e)151 _{e per finalità diverse da}

quelle indicate nella notificazione del trattamento.

L'articolo 19 riguarda i dati diversi da quelli sensibili e giudiziari, ovvero i dati comuni, che possono essere trattati da parte di un soggetto pubblico, anche in mancanza di una norma di legge o di un regolamento che lo preveda espressamente152_.

150 _{Ad esclusione degli esercenti le professioni sanitarie e gli organismi sanitari}

pubblici che quindi devono sempre ricevere il consenso dell'interessato.

In questo caso l'ordinamento riconosce una prevalenza alla protezione della salute delle persone interessate.

151 _{Ovvero “per un periodo di tempo non superiore a quello necessario agli scopi}

per i quali essi sono stati raccolti o successivamente trattati”.

152 _{L'unico limite e vincolo per il trattamento dei dati comuni è dunque l'osservanza}

delle condizioni sancite dall'articolo 18, cioè che sia svolto nell'ambito delle funzioni istituzionali con correttezza e prudenza.

Nel caso in cui il trattamento consista nella comunicazione o nello scambio di informazioni tra Enti pubblici, è necessario che ci sia una regolamentazione espressa da parte di una norma di legge o di un regolamento; in caso contrario la comunicazione è tassativamente vietata, salvo il caso in cui essa non sia necessaria per lo svolgimento di attività istituzionali.

La comunicazione e la diffusione di dati da parte di un Ente pubblico ad un privato o ad un Ente pubblico economico, sono da considerarsi sempre vietate e dunque illecite, a meno che non siano espressamente previste da una legge o da un regolamento che le autorizzi.

L'articolo 23 riguarda le regole per il trattamento di dati compiuto da privati o da enti pubblici economici i quali devono sempre richiedere ed ottenere il consenso espresso dell'interessato153_.

Affinché sia considerato validamente prestato, il consenso deve essere espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, essere documentato per iscritto, e devono essere state rese all'interessato le informazioni di cui all'articolo 13154_.

Per ottenere un quadro completo in relazione all'articolo 23 del Codice della privacy, dobbiamo ricordare che il legislatore, all'articolo 24, ha previsto una serie di casi155 _{in cui non è necessario}

153 _{Espresso non significa in forma scritta; la forma scritta è necessaria solo nel caso}

in cui il trattamento riguardi dati sensibili.

154 _{L'articolo 13 disciplina l'informativa privacy, requisito essenziale per cui gli}

interessati devono essere informati del fatto che un ente tratti i loro dati personali per determinati scopi e finalità e, laddove richiesto dalla legge, devono poter esprimere il loro consenso informato ovvero libero, espresso e consapevole, inoltre devono essere resi edotti dei loro diritti e di come devono fare per esercitarli, ai sensi dell’art. 7 (richiesta di informazione sui propri dati, aggiornamento o rettifica dei dati, cancellazione dei dati, opposizione al trattamento).

155 _{A titolo esemplificativo si ricorda la lettera a) adempimento di un obbligo previsto}

dalla legge o da un regolamento o una normativa comunitaria; b) se è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste

il consenso al trattamento dei dati.

L'articolo 123 prevede, per quanto riguarda i dati relativi al “traffico” di dati di tipo telefonico e telematico, le condizioni specifiche che ne consentono il trattamento, la durata della loro conservazione ed il contenuto dell’informativa che deve essere esibito al contraente o all’utente.

La norma è molto significativa in quanto, oltre a designare il contenuto degli adempimenti, individua il soggetto attivo del reato. Può trattarsi di un fornitore di una rete pubblica di comunicazioni156 o di un servizio di comunicazione elettronica157 _{accessibile al} pubblico, i quali hanno l'obbligo di svolgere le attività di trattamento dei dati in tempi ragionevolmente brevi e comunque strettamente connessi con le esigenze di fatturazione, documentazione, di eventuali contestazioni delle fatture e per esigerne il relativo pagamento.

La violazione dell'articolo 126 integra il reato relativo ai dati inerenti all'ubicazione. Tale norma impone infatti l’anonimato sui dati relativi all’ubicazione diversi dai dati relativi al traffico, per tutelare cioè l'esigenza che non venga identificato il luogo ove l'interessato si trova attraverso le attività di trattamento dei dati compiute dal gestore di una rete.

La disposizione contenuta nell'articolo 130, relativa alle

dell'interessato.

156 _{Articolo 4, secondo comma, lettera d: “una rete di comunicazioni elettroniche}

utilizzata interamente o prevalentemente per fornire servizi di comunicazione elettronica accessibili al pubblico. La rete in senso stretto è invece l’insieme delle apparecchiature e delle risorse che servono a trasmettere e scambiare informazioni a prescindere dalla tecnologia di volta in volta utilizzata”.

157 _{Articolo 4, secondo comma, lettera a: “ogni informazione scambiata o trasmessa}

tra un numero finito di soggetti tramite un servizio di comunicazione elettronica accessibile al pubblico. Sono escluse le informazioni trasmesse al pubblico tramite una rete di comunicazione elettronica, come parte di un servizio di radiodiffusione, salvo che le stesse informazioni siano collegate ad un abbonato o utente ricevente, identificato o identificabile che possa quindi qualificarsi come interessato”.

comunicazioni indesiderate, è volta a disciplinare in maniera specifica i trattamenti compiuti con posta elettronica, messaggi di testo, mms o altro tipo.

L'articolo 167 punisce le ipotesi in cui il gestore che detiene i dati li utilizzi in modo da veicolare la sua attività di pubblicità e di vendita dei suoi prodotti, approfittando di questa sua posizione di privilegio, contro la volontà dell'interessato.

Viene inoltre preso in considerazione il caso in cui l'originario legittimo detentore dei dati provvede al loro trattamento cedendo a terzi il suo archivio dati.

La previsione contenuta nell'articolo 130 è abbastanza complessa in quanto rinvia praticamente a tutta la legislazione del Codice della privacy in materia del corretto trattamento dei dati personali, ed in particolar modo alle norme che disciplinano il consenso, il quale rappresenta il fondamento di garanzia per la tutela dei diritti dell'interessato158_.

L'ultimo aspetto da prendere in considerazione in merito all'integrazione del reato di trattamento illecito di dati personali contenuto nel primo comma dell'articolo 167, è la previsione contenuta nell'articolo 129 che riguarda gli elenchi dei contraenti. Tale norma stabilisce che il Garante, con proprio provvedimento, individui le modalità di inserimento e di utilizzo dei dati relativi ai contraenti in elenchi cartacei o elettronici a disposizione del pubblico.

Ciò che suscita perplessità in questo caso è il fatto che tale articolo si riferisca più che altro a previsioni di tipo procedurale piuttosto che a condotte che possono assumere una rilevanza di tipo penale. Le considerazioni possibili in riferimento a tale situazione possono 158 _{TRONCONE P., Il delitto di trattamento illecito di dati personali, G. Giappichelli}

essere o che ci sia stato un errore159_{, dal momento che la norma così}

come è appare priva di significato, oppure che tale scelta legislativa si ponga come una espressione di un “diritto penale meramente simbolico”160 _{dove non si coglie alcun disvalore della condotta.}

4.2.2 Le condotte punibili ai sensi del secondo comma

dell'articolo 167

Passando ora all'analisi dell'ipotesi di reato contenuta nel secondo comma dell'articolo 167, osserviamo che per l'integrazione dal punto di vista oggettivo del reato, occorre che la condotta di trattamento venga compiuta in violazione degli articoli 17, 20, 21, 22 comma 8 e comma 11, 25, 26, 27 e 45.

La disposizione prevede per tale fattispecie la pena della reclusione da uno a tre anni e dunque il trattamento sanzionatorio risulta più severo rispetto alla fattispecie di cui al primo comma.

Il primo riferimento è all'articolo 17, che riguarda il trattamento di dati diversi da quelli sensibili e giudiziari, che presenta “rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare”.

In cosa consista il maggiore livello di attenzione del titolare non è espressamente previsto dal Codice: è infatti il Garante che ha il compito di prescrivere le misure e gli accorgimenti necessari in applicazione dei principi sanciti dallo stesso Codice161_.

Sono, di seguito, richiamati gli articoli 20, 21 e 22, comma 8 e 11, concernenti il trattamento dei dati sensibili e giudiziari da parte di 159 _{VOLTAN F. , La nuova Privacy}

160 _{TRONCONE P., Il delitto di trattamento illecito di dati personali, G. Giappichelli}

Editore, Torino, pag. 146.

soggetti pubblici.

In particolare, l'articolo 20 prescrive per i soggetti pubblici una serie di principi applicabili al trattamento dei dati sensibili162_{, dai}

quali si evince come il soggetto pubblico che, senza richiedere l'autorizzazione all'interessato, esegua il trattamento di dati sensibili, integra il reato di trattamento illecito di dati personali, qualora non vi sia una espressa disposizione di legge o un provvedimento del Garante che lo autorizzi.

L'articolo 21 fa anch'esso riferimento al trattamento dei dati da parte di soggetti pubblici, ma riguarda i dati giudiziari163_{, per i quali}

il trattamento “è consentito solo se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichino le finalità di rilevante interesse pubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili”.

Infine, l'articolo 22 detta ulteriori regole alle quali debbono conformarsi i soggetti pubblici, per il trattamento di dati sia sensibili che giudiziari.

In particolare il comma 8 prevede l'impossibilità di diffondere i dati idonei a rivelare lo stato di salute, mentre il comma 11 stabilisce che la diffusione dei dati sensibili e giudiziari è ammessa solo se prevista da espressa disposizione di legge.

L'articolo 25 prevede il divieto di comunicazione e diffusione dei dati quando tale divieto è disposto dal Garante o dall'autorità 162 _{I “dati sensibili” sono quei “dati personali idonei a rivelare l'origine razziale ed}

etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”. Articolo 4, lettera d,del Codice della privacy.

163 _{I “dati giudiziari” sono quelli che possono rivelare l'esistenza di determinati}

provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale (ad esempio, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto od obbligo di soggiorno, le misure alternative alla detenzione) o la qualità di imputato o di indagato.

giudiziaria ovvero quando si tratta di dati personali dei quali è stata ordinata la cancellazione, ovvero in ordine ai quali è decorso il tempo necessario al perseguimento degli scopi per cui i dati sono stati raccolti, o infine quando la comunicazione o la diffusione vengono eseguite per finalità diverse da quelle indicate nella notificazione del trattamento.

L'articolo 26 stabilisce che i soggetti privati possono procedere al trattamento dei dati sensibili solo con il consenso scritto da parte dell'interessato e previa autorizzazione del Garante164_.

L'articolo 27 si riferisce al trattamento di dati giudiziari da parte di soggetti privati ed enti pubblici economici e stabilisce che esso è consentito solo se autorizzato da una legge o da un provvedimento del Garante che individuino le rilevanti finalità di interesse pubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili.

L'ultima norma richiamata dal secondo comma dell'articolo 167 del Codice è l'articolo 45, il quale impone il divieto di trasferimento anche temporaneo, al di fuori dei casi previsti dagli articoli 43 e 44165_{, di dati personali verso un Paese non facente parte dell’Unione}

Europea “quando l’ordinamento del Paese di destinazione o di transito dei dati non assicura un livello di tutela delle persone adeguato”.

È da evidenziare all'interno di tale disposizione la genericità della locuzione “livello di tutela adeguato”, che può prestarsi a interpretazioni non univoche.

Ciò nonostante, è da ritenere che il legislatore abbia voluto evitare, 164 _{Un esempio di condanna per trattamento illecito dei dati personali ex articolo 167,}

comma 2, per violazione dell'articolo 26, è quella inflitta attraverso una famosa sentenza della Corte di Cassazione (Cass.pen., Sez. III, 10 giugno 2008 n. 23086) agli ideatori di un programma televisivo per aver proceduto alla raccolta fraudolenta di dati personali sensibili (nel caso di specie campioni organici) di cinquanta parlamentari, al fine di riscontrare tracce di sostanza stupefacenti.

con tale specificazione, che i dati vengano trasferiti in paesi extra Unione Europea, in cui le garanzie della riservatezza risultino più blande rispetto al Codice della privacy166_.

4.2.3 Ulteriori elementi strutturali del reato: la “comunicazione”

e “diffusione” e il nocumento

Da quello che abbiamo esaminato nei paragrafi precedenti è indubbio che tutte le norme del Codice della privacy che sono richiamate dall'articolo 167 attengono a profili della condotta.

Ciò che occorre sottolineare è che il legislatore vieta il trattamento che avvenga in violazione delle norme precedentemente richiamate, prevedendo, nella seconda parte del primo comma, una sanzione leggermente più severa nel caso in cui il fatto consista nella “comunicazione” o “diffusione” dei dati personali, ed invece una sanzione più lieve, nella prima parte del primo comma, se dal fatto, ovvero dal trattamento dei dati, derivi nocumento.

Queste due diverse proposizioni, contenute nelle due parti del primo comma dell'articolo 167, destano diversi interrogativi sui quali occorre soffermarsi per capire la reale natura e struttura del reato di trattamento illecito.

4.2.3.1 “Comunicazione” e “diffusione”

Occorre passare alla definizione delle condotte di comunicazione e diffusione che sono esplicitate nel primo comma dell'articolo 167.