Decreto legislativo - 30/06/2003 - n. 196 art. 167 bis - (Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala). 1

Inquadramento

L'art. 167- bis (rubricato «Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala»), dispone al primo comma che, salvo che il fatto costituisca più grave reato, chiunque comunica o diffonde, al fine di trarre profitto per sé o altri ovvero al fine di arrecare danno, un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala, in violazione degli artt. 2-ter (in materia di base giuridica per il trattamento di dati personali effettuato per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri), 2-sexies (in materia di trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante) e 2-octies (in materia di principi relativi al trattamento di dati relativi a condanne penali e reati), è punito con la reclusione da uno a sei anni.

Si tratta di un reato a dolo specifico, tanto quanto quelli previsti dall'art. 167, ma con la differenza che il danno da arrecarsi non si riferisce, in questo caso, al solo interessato: ben potrà riguardare, tale intenzione di danneggiamento, anche terzi diversi dall'interessato – come era, un tempo, la vecchia formulazione del delitto ex art. 167. Inoltre, questo delitto non prevede la condizione obiettiva di punibilità del nocumento per l'interessato: il legislatore, nel disegnare questa fattispecie criminosa di condotta, presume dunque implicitamente la nocività dell'illecito.

Per meglio comprendere la condotta rilevante, ha senso qui richiamare le definizioni di “comunicazione” e “diffusione” di cui all'art. 2-ter, e cioè:

a) “comunicazione”, il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dell'Unione europea, dal responsabile o dal suo rappresentante nel territorio dell'Unione europea, dalle persone autorizzate, ai sensi dell'art. 2-quaterdecies, al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile, in qualunque forma, anche mediante la loro messa a disposizione, consultazione o mediante interconnessione;

b) “diffusione”, il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.

Per “archivio automatizzato” dovremo intendere qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico, che sia trattato in forma elettronica. Più ostica la definizione di “parte sostanziale” dell'archivio, concetto imprendibile e vago, che contribuisce al rischio di contrasto con il principio di tassatività delle norme penali insito in questo articolo e nel successivo. È sostanziale una parte, pur minima in termini quantitativi, ma riguardante elementi-chiave o particolarmente sensibili dell'archivio? È, questa sostanza, da reperirsi solo, invece, in una dimensione quantitativa dei dati oggetto di trattamento illecito? Se di mera quantità si fosse trattato, sarebbe probabilmente bastato il criterio – pur inadeguato – della larga scala di trattamento, che invece pare riferirsi al trattamento di dati a monte e non, necessariamente, alla parte oggetto di diffusione o comunicazione illecite.

Proprio in merito al concetto di “larga scala” del trattamento, va detto che anch'esso è un requisito oggettivo connotante della condotta; requisito, invero, ben difficile da determinare con precisione e, come tale, massimamente esposto, a sua volta, a possibili critiche d'infrazione del principio di tassatività delle norme penali. Qualche indicazione utile alla definizione di “larga scala” del trattamento dei dati è stata fornita dal Gruppo di Lavoro art. 29 e fatta propria dal Comitato Europeo per la Protezione dei Dati, con le Linee guida sul Responsabile della Protezione dei Dati del 13 dicembre 2016 (versione emendata e adottata il 5 aprile 2017). Per espressa constatazione del Gruppo di Lavoro art. 29, il Regolamento non definisce cosa rappresenti un trattamento “su larga scala”. Il Gruppo di lavoro si limita a raccomandare di tenere conto, in particolare, dei seguenti fattori al fine di stabilire se un trattamento sia effettuato su larga scala: il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento; il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento; la durata, ovvero la persistenza, dell'attività di trattamento; la portata geografica dell'attività di trattamento. Nulla di così preciso da poter superare la critica di eccessiva indefinitezza del reato, in ogni caso, ad avviso di chi scrive. La larga scala del trattamento, ad ogni buon conto e come già accennato sopra, sembra essere incastonata dal legislatore non già come requisito della diffusione o della comunicazione illecite, ma come prerequisito del trattamento di dati contenuti nell'archivio: l'archivio contiene dati personali trattati su larga scala, la comunicazione o la diffusione potrebbero riguardarne una “parte sostanziale” ma, come evidenziato, anche solo sotto il profilo qualitativo e non quantitativo.

Al secondo comma dell'art. 167-bis è previsto che, salvo che il fatto costituisca più grave reato, chiunque, al fine trarne profitto per sé o altri ovvero di arrecare danno, comunica o diffonde, senza consenso, un archivio automatizzato o una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala, è punito con la reclusione da uno a sei anni, quando il consenso dell'interessato è richiesto per le operazioni di comunicazione e di diffusione. Questo comma è l'erede dell'ultimo periodo del comma 1 del vecchio art. 167, con evidenti differenze che risentono della condizione del trattamento su larga scala e del più limitato perimetro di violazione (mancanza della base giuridica del consenso). Vale quanto già commentato sopra in ordine ai requisiti oggettivi e alle definizioni connotanti del reato, che lo espongono a possibili censure per insufficiente tassatività.

I sei anni di reclusione nel massimo – previsti nell'art. 167-bis – hanno come conseguenza, a norma dell'art. 266 c.p.c., che si possa operare, nella ricerca della prova per questi delitti, l'intercettazione di conversazioni o comunicazioni telefoniche e di altre forme di telecomunicazione nonché l'intercettazione di comunicazioni tra presenti. Non solo: è ammesso, a norma dell'art. 381 c.p.c., l'arresto facoltativo in flagranza di reato da parte di ufficiali e agenti di polizia giudiziaria.

Anche per le fattispecie di reato ex artt. 167-bis e 167-ter si applicano i commi 4, 5 e 6 dell'art. 167, cioè le norme in materia di riduzione della pena in caso di pagamento della sanzione amministrativa pecuniaria e quelle relative allo scambio di informazioni fra Pubblico Ministero e Garante.

Bibliografia

Bolognini, Pelino, Codice privacy: tutte le novità del D.lgs. n. 101/2018, Milano, 2018; Bolognini, Pelino, Bistolfi, Il regolamento privacy europeo. Commentario alla nuova disciplina sulla protezione dei dati personali, Milano, 2016.