Datore di lavoro installa una microspia nella vettura usata dai dipendenti, il tribunale lo condanna per un reato non più previsto dal Codice Privacy
Il mistero dell’articolo 167 codice della privacy sul trattamento di dati senza consenso: è ancora reato? Ciò che sembrava estinto ha mostrato la sua vitalità in una sentenza depositata nel 2020. Ma non pare proprio che ciò basti a dimostrare la reviviscenza di una sanzione penale, assorbita dal sistema sanzionatorio amministrativo del Gdpr. In ogni caso, l’interprete si muova con molta cautela e consapevolezza del diritto transitorio (articolo 24 del d.lgs. 101/2018). Ma spieghiamoci meglio, partendo dalla vicenda concreta al centro della sentenza evocata.
Un datore di lavoro installa una microspia all'interno dell'abitacolo di una vettura, usata dai propri dipendenti per gli spostamenti dai vari cantieri di lavoro; registra le conversazioni tra i lavoratori, inconsapevoli, a bordo del veicolo e le usa in pendenti vertenze di lavoro.
Il tribunale nel 2015 condanna, a sette mesi di reclusione, il datore di lavoro ritenendolo colpevole del reato previsto dall’articolo 167, comma 1, del Codice della privacy (versione anteriore al dlgs 101/2018). La corte di appello di Ancona, all’udienza del 7 novembre 2019, conferma la sentenza di primo grado e deposita le motivazioni il 31 gennaio 2020 (sentenza n. 1667).
La contestazione originaria, dunque, regge anche in secondo grado e viene confermato, quindi, che integra il reato di cui all' articolo 167 comma 1, D. Lgs. n. 196 del 2003, il privato che, mediante l'utilizzo di apparecchiature elettroniche utili alla registrazione, conservazione e consultazione, poste all'interno della vettura, abbia, senza il consenso degli interessati, raccolto informazioni utili da utilizzare in ambito di vertenze di lavoro.
Inoltre, i giudici di appello si soffermano a sottolineare che non si possono applicare altre fattispecie di reato, tra cui quello previsto per la violazione dell'articolo 4 dello Statuto dei Lavoratori (legge 300/1970): nota la Corte che l'impianto in questione non era stato installato dal datore di lavoro a fini di controllo a distanza dell'attività lavorativa, ma, essendo in corso una vertenza di lavoro con i dipendenti, per ascoltare le conversazioni intercorse tra i lavoratori all'interno della vettura e conoscere le loro rivendicazioni e potersi così determinare di conseguenza. Argomentazione, queste, peraltro condivisibili. In sostanza, non c’è proprio nessun equivoco: i giudici hanno voluto condannare per il reato di trattamento di dati senza consenso (il famoso articolo 167).
(Nella foto: l'Avv. Antonio Ciccia Messina, autore di Italia Oggi e presidente di Persone & Privacy)
D’altra parte appare condivisibile ed intuitiva anche la rimproverabilità di chi carpisce clandestinamente conversazioni tra altri. A questo punto ci si potrà chiedere dove sta la rilevanza della pronuncia in commento.
La rilevanza sta nel fatto stesso che sia stata pronunciata dopo che nel 2018 è entrato in vigore il decreto legislativo 101/2018, che ha modificato integralmente il sistema sanzionatorio del Codice della privacy. Per effetto di queste modifiche l’articolo 167 del Codice della privacy, nella versione considerata dalla Corte di appello, non esiste più. E, anzi, proprio la possibilità di esistenza di un “sistema sanzionatorio penale privacy” era stata al centro di un dibattito piuttosto accesso, alla luce dell’articolo 84 Gdpr e alla regola del “ne bis in idem”: se c’è una sanzione amministrativa del Gdpr, non ci può essere una sanzione penale della legge nazionale.
E quando è stato sfornato il decreto legislativo 101/2018, che ha bucherellato il Codice della privacy, la relazione al decreto si è affrettata a dire, che a fronte di elevatissime sanzioni amministrative dettate dal regolamento, si è ritenuto di non potere mantenere alcune delle sanzioni penali, le quali si sarebbero sovrapposte a quelle amministrative violando così il già richiamato principio del “ne bis in idem”.
Coerentemente, il citato decreto legislativo 101/2018, all’articolo 24, stabilisce l’applicabilità delle sanzioni amministrative alle violazioni penali anteriormente commesse e, all’articolo 25, dispone le modalità di trasmissione, dall’autorità penale all'autorità amministrativa, degli atti dei procedimenti penali relativi ai reati trasformati in illeciti amministrativi.
Nella stessa relazione citata, a proposito delle “vecchie” disposizioni penali si legge che quasi tutte le (allora) “vigenti disposizioni penali (gli articoli 167 e seguenti del codice privacy) reprimono comportamenti che, in attuazione dell’articolo 83 del Gdpr, dovranno essere puniti con sanzioni amministrative (fa eccezione soltanto il reato di false comunicazioni al Garante). Di conseguenza, è stata evidenziata l’opportunità di adempiere a tale obbligo procedendo direttamente ad una mirata e limitata depenalizzazione, in modo da scongiurare i rischi di violazione del principio del ne bis in idem tra sanzioni penali e sanzioni amministrative affermato nella giurisprudenza delle Corti europee”. E proprio a proposito del “vecchio” articolo 167 codice privacy, si legge che “in luogo di tale fattispecie ne è stata introdotta altra, ben differente, ed alla quale se ne aggiunta una ulteriore, completamente nuova”.
Eppure, la sentenza in esame (del 2019/2020), nel pronunciarsi su un fatto anteriore al 2015, non ha dichiarato che il fatto non è più previsto dalla legge come reato e ha deciso sull'impugnazione agli effetti penali. Nella sentenza si fanno ampie considerazioni sulla rilevanza penale della condotta tenuta e si legge che l’imputato “ha proceduto al trattamento dei dati personali dei propri dipendenti, avendo raccolto dati personali delle vittime, prendendo cognizione delle loro conversazioni private e riservate (attraverso l'installazione di una microspia sull'autovettura da essi usata), in assenza del consenso del titolare dei dati medesimi, come chiaramente desumibile dalle predette modalità di acquisizione, ed usandoli ai fini delle proprie determinazioni circa la condotta da tenere nell'ambito di una vertenza di lavoro che vedeva (... l’imputato...) e i lavoratori contrapposti”. La pronuncia prosegue con considerazioni in diritto: “tale trattamento può ritenersi illecito, poiché operato in violazione del Codice della Privacy, difettando il consenso degli interessati.
Sussistevano, inoltre, gli elementi costitutivi del fine di trarre un profitto e del nocumento per i titolari dei dati, stanti le ragioni e le finalità della condotta, e cioè il fine - dichiarato dall'imputato - di utilizzare i dati conosciuti illecitamente per l'adozione delle determinazioni a lui più favorevoli nella vertenza sindacale in corso con i lavoratori, con conseguente nocumento per gli stessi, avendo i dipendenti subito un vulnus non minimo alla propria personalità e diritto alla riservatezza e un nocumento direttamente ed immediatamente collegabile all'acquisizione ed utilizzo da parte dell'imputato dei loro dati”.
La conseguenza è, per la sentenza, che “alla luce delle risultanze istruttorie, risulta pienamente integrato il reato ascritto, nelle sue componenti oggettive e soggettive” e la conclusione è che: “la sentenza impugnata va integralmente confermata”. La formula è, quindi, una formula di condanna e non di proscioglimento.
Come risulta evidente la sentenza in commento non riferisce nessun argomento a proposito del diritto transitorio. Eppure, sarebbe stato ragionevole aspettarsi qualche deduzione in più, anche perché, francamente, non pare che, nonostante qualche deviazione di percorso nella prassi, ci possa essere possibilità alcuna per una ultrattività del vecchio articolo 167 codice privacy.
