Il trattamento illecito di dati personali, attuato in violazione della normativa sulla privacy, non costituisce reato se dal fatto non è derivato concreto e significativo nocumento all’interesse dei soggetti passivi. Con la sentenza n. 30134 (depositata il 9 luglio e già segnalata sul Sole 24 Ore del giorno successivo) la terza sezione penale della Corte di Cassazione è intervenuta per la prima volta in materia di protezione dei dati personali (decreto legislativo 196/03), escludendo la configurabilità del reato previsto dall’articolo 167 del Codice della privacy in mancanza di danno direttamente riferibile al soggetto i cui dati personali sono stati illecitamente trattati.

Nel caso di specie la Corte, non ritenendo verificata questa condizione, ha assolto un candidato alle elezioni del consiglio comunale che aveva utilizzato i dati di un’associazione umanitaria, traendoli indebitamente dal computer in cui erano stati immessi, per reperire voti “spendendo” la sua appartenenza all’associazione.

Secondo la sentenza, il bene tutelato della privacy deve essere inteso in una duplice valenza, positiva e negativa, quale libertà di escludere l’indiscriminato accesso di terzi ai dati personali e quale libertà di garantire all’interessato il controllo della correttezza e non eccedenza del trattamento al fine di salvaguardare l’identità personale.

In questo ambito non ogni “semplice irregolarità procedimentale può essere ritenuta idonea a costituire reato”, per il mero fatto di determinare una situazione di pericolosità, poiché «una simile estensione sarebbe in contrasto con gli interessi protetti della riservatezza e dell’identità personale».

Questo assunto trova conferma, per la Cassazione, nella modifica apportata dal decreto n. 196/2003 all’originaria previsione incriminatrice dell’articolo 35 della legge n. 375/1996 (trasfusa nell’articolo 167 del decreto n. 196/2003).

La precedente disciplina prevedeva, infatti, un reato di pericolo presunto, solo eventualmente aggravato dall’evento di danno e caratterizzato dal dolo specifico con funzione selettiva delle varie fattispecie criminose, anche se le situazioni di danno e profitto considerate dalla norma potevano intendersi in senso assai ampio e anche non patrimoniale.

L’attuale formulazione («se dal fatto deriva nocumento») ha invece introdotto sul piano strutturale della fattispecie l’ulteriore elemento del danno, che in precedenza costituiva solo una circostanza aggravante, con conseguente trasformazione del delitto da reato di pericolo presunto a quello di pericolo concreto e con maggior tipicizzazione del danno e del profitto. Questo nocumento, come esplicitato nella sentenza, può essere riferito sia alla persona del soggetto i cui dati si riferiscono, sia al suo patrimonio (in termini di perdita patrimoniale o mancato guadagno), derivante dalla circolazione non autorizzata di dati personali.

L’inclusione di questo nuovo elemento nella fattispecie incriminatrice determina per la Corte, accanto alla previsione del dolo specifico, una maggiore tipicizzazione dell’evento di danno inteso quale «direttamente e immediatamente collegabile e documentabile nei confronti dei soggetti i cui dati sono riferiti», sicché deve aversi riguardo solo «a ipotesi concrete di vulnus e di discriminazioni a causa dell’intervenuta violazione della normativa richiamata dal precetto penale». Ciò in quanto lo stesso legislatore ha voluto “selezionare” tra le varie condotte che esprimono già in sé un’offesa al bene giuridico solo quelle che – in relazione all’aspetto soggettivo e oggettivo – assumono un significato più pregnante e non minimale. Ne consegue che restano fuori dall’area di rilevanza penale non solo semplici violazioni formali, ma anche inosservanze che «producano un vulnus minimo all’identità personale del soggetto e alla sua privacy e non determinino alcun danno patrimoniale apprezzabile»