NEWS

Sostituzione di persona, la falsificazione della patente non viola la privacy della vittima se non c'è comunicazione sistematica o diffusione

La Corte Suprema di Cassazione, II Sez. penale, veniva chiamata a valutare la legittimità della sentenza emessa dalla Corte di Appello di Trieste del 22 novembre 2017, che aveva confermato la pronuncia di primo grado del Tribunale di Gorizia, 28 aprile 2016. Entrambi i tribunali avevano dichiarato l’imputato colpevole dei reati di sostituzione di persona, utilizzo indebito di dati personali (ex art. 167 del D.Lgs 196/2003) e di tentata truffa in quanto questi aveva falsificato la patente di una terza persona, per finanziare l’acquisto di un computer con il nome di questi.


Proponendo ricorso per cassazione la difesa dell’imputato deduceva quattro motivi. In particolare ci soffermeremo nel secondo nel quale la difesa affermava la violazione di legge e il vizio di motivazione rispetto al reato di trattamento illecito di dati, ex art. 167/2003 allora in essere, in quanto sosteneva di essere stato condannato per aver diffuso i dati personali di una persona senza il di lui consenso ma solo nel momento della richiesta di finanziamento per ottenere un personal computer e mentre l’imputato perfezionava il reato di sostituzione di persona. La difesa quindi riteneva che la condotta posta in essere dal suo assistito non integrava gli estremi dell’art. 167/2003 e comunque in subordine doveva essere assorbita nel più grave reato di sostituzione di persone, ex art. 494 c.p. per il quale era stato condannato.

La decisione - L’utilizzo degli altrui dati personali senza il consenso del titolare, in una sola occasione e per uno scopo determinato (stipulare un contratto di finanziamento) non integra un’ipotesi di “diffusione” in quanto la norma che specifica il concetto di diffusione, ex art. 4 lett. m) del D.Lgs. 196/2003 prevede la condotta della comunicazione a più soggetti indeterminati.

Nella Sentenza 19855/2019, la Suprema Corte citando l’art. 5, comma 3, del D.Lgs. 196/2003 e precedente giurisprudenza (Cass. 6587/2016), afferma che una persona fisica commette il reato di trattamento illecito di dati, quando i dati fuoriescano dalla sfera personale e domestica oppure quando questi pur raccolti per fini esclusivamente personali siano diffusi, anche in forma non sistematica.

In considerazione di tali premesse gli ermellini hanno statuito che la condotta dell’imputato non rientra nella nozione di trattamento illecito in quanto i dati non sono stati raccolti dall’imputato perché fossero comunicati sistematicamente o diffusi.

È anche vero che il previgente art. 167 di cui ci stiamo occupando è stato modificato con D.Lgs 101/2018. Dal 19 settembre 2019 la punibilità di tutte le fattispecie incriminatrici contemplate dal nuovo art. 167, è subordinata a due condizioni: il fatto non deve costituire più grave reato; la condotta deve essere sorretta dal dolo specifico, ossia dalla volontà di trarre per sé o per altri profitto ovvero di arrecare danno all'interessato. Quindi anche se il nuovo art. 167 non fa più riferimento al trattamento in quanto introduce l’elemento del danno, ampliando il novero delle condotte punibili, tale ultimo articolo non si applica all’imputato, ex art. 2 c.p. in quanto meno favorevole.

In considerazione di ciò la Cassazione ha annullato senza rinvio la sentenza della Corte di Appello di Trieste limitatamente all’affermazione di responsabilità in ordine al reato di trattamento illecito di dati. Rimangono definitive le condanne per i reati di sostituzione di persona e di tentata truffa.

Conclusione - La sentenza si segnala per aver spiegato l’applicazione del termine trattamento illecito, del previgente art. 167 del D.Lgs 196/2003, nonché nel titolo del nuovo art. 167 “Trattamento illecito di dati”, sostenendo con dovizia di particolari che conservare per poi usare una sola volta un dato personale senza il consenso del titolare, non costituisce la fattispecie di reato de quo quando è effettuato da una persona fisica nell’ambito di attività a carattere esclusivamente personale o domestico e quindi senza una connessione con una attività commerciale o professionale. Le attività a carattere personale comprendono quindi la conservazione di indirizzi e dati anagrafici (considerando 18 del GDPR 679/2016) e usarli per una sola volta (o forse anche sporadicamente) non configura comunicazione né tantomeno divulgazione.

Ad esempio un privato che conservasse nella sua agenda il nome, l’indirizzo, il numero di telefono e la e-mail di un conoscente e lo trasmettesse ad una terza persona senza alcun fine commerciale o professionale non configurerebbe alcuna fattispecie di illecito, a meno che secondo il nuovo art. 167, la trasmissione non sia effettuata al fine di arrecare un danno e l’azione delittuosa non causi un nocumento all’interessato.

Note Autore

Giovanni Cavallo Giovanni Cavallo

Avvocato esperto di privacy

Prev L'amministratore di sistema, questo sconosciuto
Next Pubblica amministrazione e privacy: non si può più temporeggiare, serve una task force

Il furto d'identità con l'intelligenza artificiale

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy