Privacy: Interessantissima sentenza della Corte Cassazione in tema di trattamento di dati personali (18 luglio 2012)

Segnalato da Rino Lo Turco  via Linkedin
La S.C. si esprime sulla famosa vicenda Buogiorno. Con la sentenza 23798 Pres. De Maio Rel. Mulliri si delineano in modo chiaro alcuni comportamenti da tenere in tema di trattamento di dati personali. La S.C. non perde occasione per meglio specificare il nocumento oltre che la frode informatica. La sentenza offre notevoli spunti di analisi sia per i giuristi sia per i tecnici che possono ottenere linee guida precise su determinati trattamenti.
Interessanti sono anche le disquisizioni in tema di danno o nocumento derivato da atti informatici, finalmente viene riconosciuto anche il solo fastidio a fare determinate cose ovvero subire atti informatici cui pochi fanno attenzione.

Corte di Cassazione, SEZ. III Penale , Sentenza 15 giugno 2012 23798 Presidente De Maio, Relatore Mulliri , n.23798

Ricognizione
di Patrizia Trunfio
La terza sezione penale con la sentenza in epigrafe si pronuncia in tema di illecito trattamento di dati personali. Nella vicenda in esame, l’amministratore delegato e il responsabile del trattamento dei dati di una società sono stati condannati per il reato di cui all’art. 167, comma 1, d.lgs. 196/93 perché, in concorso tra loro, con più azioni ed in tempi diversi, al fine di trame un profitto (rappresentato dagli introiti commerciali e pubblicitari derivanti dall'uso, su internet, dei dati informatici i gestiti) hanno effettuato un trattamento dei dati personali in violazione degli artt. 23, 129 e 130 del medesimo d.lgs. In sostanza, la società incriminata ha stipulato un contratto di concessione di spazi pubblicitari con un’altra, che ha creato un sito al quale era abbinato un servizio di newsletter. A seguito della risoluzione unilaterale del contratto, la prima società, senza consenso e senza informare gli iscritti della cessazione della lista, ha continuato a recapitare agli stessi altre newsletter non richieste, pubblicizzando altresì i suoi servizi.
In via preliminare, la Suprema Corte opera la distinzione tra il reato di frode informatica e quello di truffa, ricordando che è pacifico che i due reati presentino i medesimi elementi costitutivi, differenziandosi il primo “solamente perché l'attività fraudolenta dell'agente investe, non la persona (soggetto passivo), di cui difetta l'induzione in errore, bensì il sistema informatico di pertinenza della medesima, attraverso la manipolazione di detto sistema”. Di conseguenza, “anche la frode informatica si consuma nel momento in cui l'agente consegue l'ingiusto profitto con correlativo danno patrimoniale altrui”. Nel caso in esame, la società ha unilateralmente risolto il contratto, sia pur continuando ad accedere al sito: si è verificato un primo passaggio dell'attività artificiosa contestata cui ha fatto seguito l'impiego del database contenenti la lista ed i recapiti degli iscritti alla newsletter, presso i quali, perciò, ha potuto recapitare pubblicità relativa ai prodotti del proprio Sito (senza che i clienti avessero mai espresso il consenso a tale trattamento dei dati). Con ciò perseverando nell’azione di spamming. In tal modo, perciò, la società si è procurata “l'ingiusto profitto” rappresentato dal mancato pagamento degli introiti al legittimo concedente del servizio e dall'abusiva diffusione pubblicitaria del sito propagandato con pari danno della società concedente.
Quanto al trattamento dei dati sensibili, nella normativa vigente il “nocumento” di cui all’art. 167, d. lgs. n. 196/2003, costituisce un elemento obiettivo di punibilità la cui assenza impedisce, appunto, la sottoposizione a sanzione di un reato in sé strutturalmente completo. La natura di condizione obiettiva di punibilità del “nocumento” fa sì che esso sia un fattore esterno alla fattispecie delittuosa che è integralmente realizzata dal verificarsi dei suoi elementi costitutivi (condotta, evento, nesso di causalità ed elemento psichico) ma che diviene punibile solo al verificarsi di questo quid pluris che il legislatore definisce “nocumento” e che deve “discendere dal fatto”. E tale nocumento –soggiunge la Corte-  evoca ed istituzionalizza il principio di offensività. A ben vedere, si è al cospetto di un reato di pericolo effettivo e non meramente presunto con il risultato che la illecita utilizzazione dei dati personali è punibile, non già in sé e per sé, ma in quanto suscettibile di produrre nocumento (cosa che, ovviamente, deve essere valutata caso per caso) alla persona dell'interessato e/o al suo patrimonio. Del resto, come affermato dal giudice di prime cure, il nocumento che consegue all'illecito trattamento di dati personali è di vario genere “non solo economico, ma anche più immediatamente personale, quale ad esempio, la perdita di tempo nel vagliare mail indesiderate e nelle procedure da seguire per evitare ulteriori invii”. Ora, non vi è - e non vi deve essere - alcun bisogno di identificare compiutamente ed interrogare decine (se non centinaia) di migliaia di utenti internautici, i dati personali dei quali siano stati utilizzati in violazione della normativa, perché, in fattispecie di tal fatta, per il numero delle persone e le caratteristiche non certo estemporanee dell'attività di propaganda - attuata e da attuare - il vulnus è di tale entità da potersi quasi definire in re ipsa. E’ dunque innegabile che l'utilizzo in rete da parte della società dei dati personali di almeno 177.090 persone (che a ciò avevano facoltizzato solo la società concedente), ha rappresentato una indubbia e massiccia invasione della libertà personale sotto il profilo del diritto alla riservatezza di un più che significativo numero di persone, un indubbio fastidio, per la necessità di cancellare la posta indesiderata ed anche la messa in pericolo della privacy, attesa la circolazione non autorizzata di dati personali.

ComplianceNet: