La questione sottoposta al vaglio degli Ermellini era nata dopo che la Corte d’Appello di Firenze aveva deciso di assolvere un uomo, al quale era stato contestato il delitto ex art. 167 del codice privacy, per aver diffuso, nell’ambito di un procedimento civile, dei dati personali concernenti lo stato di salute di un’altra persona, la quale non aveva prestato il suo consenso al loro utilizzo.
Di fronte a tale decisione, il titolare dei dati diffusi, costituitosi parte civile, ricorreva dinanzi alla Corte di Cassazione, evidenziando come, diversamente da quanto ritenuto dalla Corte territoriale, la diffusione di dati sensibili nell'ambito di un procedimento civile, senza il consenso dell'avente diritto alla riservatezza, integrasse, a suo avviso, il necessario presupposto del nocumento della persona offesa, determinando un danno di natura non patrimoniale conseguente alla diffusione di dati afferenti alla sfera intima, nonché un danno patrimoniale, per avere indotto il convenuto opposto a dare il proprio consenso ad una transazione, al fine di evitare l’altrimenti inevitabile soccombenza processuale.
Lo stesso ricorrente denunciava, peraltro, come la diffusione di suoi dati sensibili avesse riguardato una platea indefinita di soggetti, quali il giudice, i cancellieri, gli avvocati ed i praticanti avvocati, con la conseguenza che la stessa aveva determinato, per lui, l’impossibilità di reinserirsi nel mondo del lavoro.
La Suprema Corte ha dichiarato il ricorso inammissibile.
Gli Ermellini hanno, preliminarmente, evidenziato come, all’epoca dei fatti, l’art. 167 del codice privacy, al comma 2, disponesse che “salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni”.
In seguito, tuttavia, il Codice della Privacy, d.lgs. n. 196/2003, è stato modificato dal d.lgs. n. 101/2018, recante “Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”.
In seguito a tale novella, il comma 2 dell’art. 167 del codice privacy dispone ora che “salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all'interessato, procedendo al trattamento dei dati personali di cui agli articoli 9 e 10 del Regolamento in violazione delle disposizioni di cui agli articoli 2 sexies e 2 octies o delle misure di garanzia di cui all'articolo 2 septies ovvero operando in violazione delle misure adottate ai sensi dell'articolo 2 quinquiesdecies arreca nocumento all'interessato, è punito con la reclusione da uno a tre anni”.
Dalla lettera della norma citata si nota come costituisca, dunque, un requisito necessario per la configurazione del reato in esame, la sussistenza di un danno in capo all’interessato.
La stessa giurisprudenza di legittimità ha, peraltro, già avuto modo di chiarire che detto nocumento “è costituito dal pregiudizio, anche di natura non patrimoniale, subito dalla persona cui si riferiscono i dati quale conseguenza dell'illecito trattamento” (Cass. Pen., n. 29549/2017).
Tale nocumento deve, altresì, essere inteso come “un pregiudizio giuridicamente rilevante di qualsiasi natura, patrimoniale o non patrimoniale, subito dalla persona alla quale si riferiscono i dati o le informazioni protetti, o anche da terzi, quale conseguenza dell’illecito trattamento” (Cass. Pen., n. 7504/2013; Cass. Pen., n. 23798/2012).
Secondo gli Ermellini, quindi, la Corte territoriale ha correttamente applicato detti principi, escludendo, nel caso de quo, la sussistenza di un danno, sulla base del fatto che non risultava essere stata dimostrata e neppure prospettata la diffusione dei dati personali al di fuori della ristretta cerchia di soggetti che ne erano venuti a conoscenza per ragioni professionali, restando a loro volta assoggettati al dovere di riservatezza.
Quanto alla facoltà di difendersi in giudizio utilizzando gli altrui dati personali, i Giudici di merito hanno giustamente ricordato che, secondo quanto affermato dalla giurisprudenza di legittimità, essa va esercitata nel rispetto dei doveri di correttezza, pertinenza e non eccedenza stabiliti dalla legge, sicché la legittimità della produzione di documenti contenenti tali dati va valutata in base al bilanciamento tra il contenuto del dato stesso, cui va correlato il grado di riservatezza, e le esigenze di difesa.
Poste tali precisazioni, la Cassazione ha ritenuto opportuno affermare il principio di diritto per cui “il necessario requisito del nocumento richiesto per la configurazione del reato dall'art. 167 d.lgs. 196/2003 non può ritenersi sussistente, in caso di produzione in un giudizio civile di documenti contenenti dati personali, ancorché effettuata al di fuori dei limiti consentiti per il corretto esercizio del diritto di difesa, in assenza di elementi fattuali oggettivamente indicativi di una effettiva lesione dell'interesse protetto, trattandosi di informazioni la cui cognizione è normalmente riservata e circoscritta ai soli soggetti professionalmente coinvolti nella vicenda processuale, sui quali incombe un obbligo di riservatezza”.