Sentenza Sentenza Cassazione Penale n. 11994 del 05/12/2016
Penale Sent. Sez. 5 Num. 11994 Anno 2017
Presidente: P.S.
Relatore: A.G.
Data Udienza: 05/12/2016
SENTENZA
sul ricorso proposto da:
G.H.
avverso la sentenza del 15/12/2015 della CORTE APPELLO di MILANO
visti gli atti, il provvedimento impugnato e il ricorso;
udita in PUBBLICA UDIENZA del 05/12/2016, la relazione svolta dal Consigliere
A.G.
Udito il Procuratore Generale in persona del G.C.
che ha concluso per
FATTO E DIRITTO
1. Con la sentenza di cui in epigrafe la corte di appello di Milano
riformava ‘solo
parzialmente,
revocando
l’assegnazione
della
provvisionale disposta in favore delle costituite parti civili, la sentenza
G.H. alla pena ritenuta di giustizia, in relazione ai reati di cui
agli artt. 615 ter, c.p., e 167, 4, 24, d.lgs. 30 giugno 2003, n. 196, a lui
rispettivamente ascritti ai capi A) e B) dell’imputazione, oltre al
risarcimento dei danni derivanti da reato, confermando, nel resto, la
sentenza impugnata.
2.
Avverso la sentenza della corte territoriale, di cui chiede
l’annullamento, ha proposto tempestivo ricorso per cassazione
l’imputato, a mezzo dei suoi difensori di fiducia, avv. Riccardo Olivo e
avv. Raffaele Bergaglio, del Foro di Milano, lamentando: 1) violazione di
legge e vizio di motivazione, in quanto, premesso che il ricorrente è
stato ritenuto responsabile del reato di accesso abusivo al sistema
informatico in uso presso lo studio legale Agnoli e Giuggioli (da ora in
poi indicato anche con l’acronimo “A&G”), dove lo stesso avv. G.H. ha
svolto la sua attività professionale dal settembre 2008 all’aprile 2012, la
corte territoriale ha erroneamente adottato un’interpretazione finalistica
della condotta del ricorrente, che fa discendere la penale responsabilità
per il reato di cui all’art. 615 ter, c.p., dalla natura di alcuni dei files che
l’avv. G.H. ha salvato su dispositivi esterni, prelevandoli dal server
comune, accessibile ad ogni componente dello studio legale, omettendo
la necessaria valutazione sia sull’abusiva introduzione, sia sull’indebita
permanenza nel sistema informatico, quali uniche condotte che, secondo
la giurisprudenza della Suprema Corte, possono avere rilévo penale, a
prescindere dall’obiettivo avuto di mira dall’agente, non avendo la corte
territoriale chiarito, se non attraverso una motivazione apodittica, per
quale ragione l’operazione di copiatura dei files cui il ricorrente aveva
libero accesso debba ritenersi ontologicamente non consentita ed in che
termini tale operazione, come affermato dal giudice di appello, “fosse
con cui il tribunale di Milano, in data 28.4.2014, aveva condannato
incompatibile con i limiti contrattuali che evidenziavano il dissenso tacito
all’accesso ed al mantenimento in tutta l’ampiezza del sistema
informatico dello studio”, posto che l’unico accordo tra lo studio in
questione e l’imputato è rappresentato da una proposta di collaborazione
che non disciplina i limiti alla consultazione dei documenti informatici
ritenuta condotta di permanenza abusiva nel sistema informatico, non
avendo la corte territoriale dimostrato, come avrebbe dovuto, alla luce
dell’interpretazione della giurisprudenza di legittimità, in che modo ed in
quale momento l’imputato, partendo da un accesso al sistema
certamente autorizzato, abbia posto in essere un indebito mantenimento
nel sistema stesso, circostanza di fatto che non può certo desumersi,
come ritiene la corte territoriale, dal contenuto delle consulenze
tecniche, che dimostrano solo l’effettiva apertura e salvataggio dei file,
ma non l’indimostrata abusività della permanenza del professionista nel
sistema informatico dello studio; 3) vizio di motivazione con riferimento
al percorso informatico seguito dal ricorrente, che non può integrare il
reato di cui all’art. 615 ter, c.p., essendosi limitato l’imputato ad aprire o
prelevare file, inserendosi nel sistema informatico dello studio AG,
direttamente dal desktop della propria postazione di lavoro, sistema al
quale, dunque, aveva libero accesso, nella sua qualità di collaboratore
dell’associazione professionale in questione; 4) violazione di legge e
vizio di motivazione con riferimento al reato di cui all’art. 167, d.lgs. n.
196 del 2003, posto che il trattamento dei dati addebitato al GrigfAli
(avente ad oggetto solo i files “Contatti AG” e “Archivio in corso”), è
avvenuto per fini esclusivamente personali e non diffusivi, ragione per la
quale, ai sensi dell’art. 5 del medesimo testo normativo, non trattandosi,
alla luce della previsione normativa che definisce le relative nozioni, di
cui all’art. 4, lettere I) ed m), del d.lgs. n. 196 del 2003, di dati destinati
ad una comunicazione sistematica o alla diffusione, nel caso in esame
non è applicabile li cd. Codice della privacy, non potendosi ritenere
certamente escluso il fine personale del trattamento dei dati dalla
circostanza che esso sia connesso alla sfera lavorativa o professionale
2
dell’associazione professionale; 2) vizio di motivazione in ordine alla
dell’autore, senza tacere che i due files in questione, a differenza di
quanto affermato dalla corte, non sono stati reperiti sulla chiavetta
dell’avv. R.R.; 5) violazione di legge e vizio di motivazione, con
riferimento alla ritenuta violazione della regola prevista dall’art. 23,
d.lgs. n. 196 del 2003, integrativo del precetto penale di cui al citato art.
informatica di titolarità dello studio legale contenente i nomi di tutti i
clienti, e dall’archivio dello studio) non possono considerarsi dati
sensibili, trattandosi, da un lato, di dati appartenenti ad una persona
giuridica, che, ai sensi dell’art. 4, co. 1, lett. b), d.lgs n. 196 del 2003,
non costituiscono dati personali; dall’altro, di dati appartenenti ad uno
studio legale associato, la cui attività costituisce adempimento di un
accordo, ai sensi dell’art. 24, lett. c), d.lgs n. 196 del 2003, del quale
ciascun membro è inevitabilmente parte; né va taciuto che se la
condotta illecita sarebbe consistita anche nel consentire di risalire
all’identificazione dei soci titolari Agnoli e Giuggioli attraverso il
trattamento del file “contatti A&G”, i dati personali degli avvocati Agnoli
e Giuggioli, sono conoscibili da chiunque, in quanto facilmente reperibili
on line, per cui, ai sensi dell’art. 24, lett. c), d.lgs. n. 196 del 2003, non
è richiesto alcun consenso per il loro trattamento; 6) violazione di legge
e vizio di motivazione, con riferimento all’individuazione del dolo
specifico richiesto dalla norma penale in esame (finalità di profitto per sé
o per altri), in quanto la corte territoriale, partendo da un evidente
errore di diritto nel considerare dati personali gli atti contenuti nel file
“archivio in corso” (pareri legali, atti di citazione, comparse di risposta,
lettere, contratti), laddove possono ritenersi tali solo una piccola parte di
tali atti, consistente nell’indicazione del nome e del cognome degli avv.
Agnoli o Giuggioli, non ha indicato quale fine di lucro avesse di mira
l’imputato nel trattare tali dati personali, senza tacere che l’utilizzazione
del nome e del cognome degli avvocati Agnoli o Giuggioli da parte del
G.H. nella sua futura attività professionale, avrebbe costituito
piuttosto un ostacolo per il ricorrente, il quale avrebbe potuto soltanto
avvantaggiarsi professionalmente dell’utilizzo di determinati schemi di
3
167, in quanto i dati di cui si discute (costituiti da una rubrica
atti forensi, non costituenti dati personali, ma non certo delle generalità
dei titolari dello studio; 7) vizio di motivazione, in quanto la corte
territoriale ha omesso di considerare che, nel momento della
commissione dei fatti, il G.H. lavorava ancora presso lo studio “A&G”,
senza che gli fosse stato espressamente o tacitamente negato l’accesso
come si evince dalla circostanza che solo i documenti fiscali relativi alla
fatturazione erano contenuti in file non a tutti accessibili, sintomo
evidente della volontà dei titolari di limitarne l’accesso e, al contrario, di
consentire l’accesso agli altri file da parte di ogni membro dello studio;
8) violazione di legge, in quanto, la condanna per il più grave delitto di
cui all’art. 615 ter, c.p., avrebbe dovuto condurre, in virtù della clausola
di salvaguardia contenuta nell’incipit della formulazione normativa
dell’art. 167, d. Igs. n. 196 del 2003 (“Salvo che il fatto costituisca più
grave reato”), a ritenere assorbita tale fattispecie di reato in quella
codicistica, posto che il bene della riservatezza costituisce oggetto della
protezione giuridica accordata da entrambe le menzionate disposizioni
normative.
2.1. In data 29.11.2016 è stata depositata memoria a firma dell’avv.
Massimo Dinoia, del Foro di Milano, difensore di fiducia delle costituite
parti civili, con cui si sviluppano molteplici argomenti a sostegno della
richiesta di rigetto del ricorso dell’imputato.
3. Il ricorso va rigettato per le seguenti ragioni.
4. Con riferimento alle doglianze sintetizzate nelle pagine precedenti, ai
punti n. 1), n. 2), n. 3), e n. 7), occorre rilevare che la decisione della
corte territoriale, costituente con quella del giudice di primo grado un
prodotto unico, avendo entrambi i giudici di merito utilizzato criteri
omogenei e seguito un apparato logico argomentativo uniforme (cfr.
Cass., sez. III, 1.2.2002, n. 10163, rv. 221116), deve ritenersi
assolutamente conforme ai principi da tempo affermati dalla
giurisprudenza di legittimità in sede di interpretazione del disposto
dell’art. 615 ter, c.p., sui quali appare opportuno soffermarsi
brevemente.
4
al sistema informatico e, quindi, il trattamento dei dati in esso contenuti,
Come chiarito da un consolidato orientamento, che ormai può definirsi in
termini di “diritto vivente”, integra la fattispecie criminosa di accesso
abusivo ad un sistema informatico o telematico protetto, prevista
dall’art. 615 ter c.p., la condotta di accesso o di mantenimento nel
sistema posta in essere da soggetto che, pure essendo abilitato, violi le
dal titolare del sistema per delimitarne oggettivamente l’accesso, ovvero
ponga in essere operazioni di natura antologicamente diversa da quelle
per le quali l’accesso è consentito. Non hanno rilievo, invece, per la
configurazione del resto, gli scopi e le finalità che soggettivamente
hanno motivato l’ingresso al sistema (cfr. Cass., sez. un., 27/10/2011,
n. 4694; Cass., sez. V, 26/06/2015, n. 44403, rv. 266088; Cass., sez.
V, 15/01/2015, n. 15950; Cass., sez. V, 20/06/2014, n. 44390, rv.
260763; Cass., sez. V, 30/09/2014, n. 47105).
Pertanto, come affermato in alcuni condivisibili arresti della Suprema
Corte, ai fini della configurabilità del delitto di cui si discute, nel caso di
soggetto dotato delle credenziali per accedere ad una banca dati
riservata, è necessario accertare se la condotta di copiatura/duplicazione
dei files addebitata all’imputato rientri o meno nel perimetro dei suoi
poteri, in relazione alle funzioni svolte all’interno della struttura cui fa
capo il sistema informatico, vale a dire se la copia e la duplicazione
esulino o meno dalle competenze dell’operatore, ponendosi in contrasto
con le prescrizioni relative all’accesso e al trattenimento nel sistema
informatico, contenute in disposizioni organizzative impartite dal titolare
dello stesso (cfr. Cassazione penale, sez. V, 31/10/2014, n. 10083;
Cass., sez. V, 31/10/2014, n. 10083, rv. 263454).
Nella ricostruzione della fattispecie sottoposta al suo esame, dunque, il
giudice di merito deve porsi nella prospettiva indicata, al fine di
verificare se l’introduzione o il mantenimento nel sistema informatico,
anche da parte di chi aveva titolo per accedervi, sia avvenuto in
contrasto o meno con la volontà del titolare del sistema stesso, che può
manifestarsi, sia in forma esplicita, che tacita (cfr. Cass., sez. V.
5
condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite
7.11.2000, n. 12732, rv. 217743; Cass., sez. V, 10.12.2009, n. 2987,
rv. 245842).
Orbene non è revocabile in dubbio che tale sia stata la prospettiva in cui
si sono collocati i giudici di merito nel valutare il caso in esame.
Essi, infatti, hanno ritenuto integrato il delitto di cui all’art. 615 ter, c.p.,
files copiati, come
sostenuto dal ricorrente, ma alla luce di un approfondito ragionamento,
derivante da una visione complessiva ed unitaria delle risultanze
processuali, incentrato su alcuni elementi di fatto (che, peraltro, non
hanno formato oggetto di specifica contestazione da parte
dell’imputato), costituiti: 1) dalla particolare qualifica di semplice
collaboratore dello studio rivestita dal G.H., incaricato solo di gestire il
pacchetto di clienti tedeschi dello studio Giuggioli, mansione che ne
aveva motivato l’assunzione, con conseguente destinazione al cd.
“German Desk”; 2) dalla notevolissima mole di files copiati e trasferiti
su altri supporti magnetici (ben 33.312), che avevano ad oggetto
contatti, rapporti ed atti estranei alla “competenza per materia” affidata
all’imputato; 3) dalla particolare tecnica di copiatura, realizzata
attraverso un sofisticato sistema “a matrioska”, in modo che i files
copiati venissero occultati attraverso una serie di sottocartelle, che
rimandavano ad una sottocartella del “German Desk”, proprio per
nasconderne la provenienza.
Il percorso argomentativo seguito dalla corte territoriale non può,
dunque, definirsi né illogico, né fondato su di un’erronea interpretazione
dell’art. 615 ter.
Il giudice di appello, infatti, collocandosi nel solco interpretativo fatto
proprio dalla giurisprudenza di legittimità, ha evidenziato, con
motivazione lineare ed intrinsecamente coerente, come il G.H. abbia
posto in essere una duplice attività (l’accesso e la successiva
permanenza, finalizzata alla copiatura dei numerosissimi
files
in
precedenza menzionati, nell’intero archivio del sistema informatico dello
studio Giuggioli), da un lato, ontologicamente incompatibile con le sue
(circoscritte) mansioni di semplice collaboratore e non di
6
partner
non esclusivamente sulla base della natura dei
dell’associazione professionale; dall’altro, in violazione di un dissenso
tacito dei titolari dello studio legale, implicito nel consentire all’imputato
l’accesso al
server solo per consultare e copiare files
attinenti al “German
Desk”, come si evince, non solo dalla sua posizione professionale
all’interno dello studio, ma anche dalla circostanza, evidenziata con
cominciarono a sospettare del G.H., i titolari dello studio “gli hanno
immediatamente vietato l’accesso al server, consentendogli di acquisire i
documenti inerenti al German Desk solo per il tramite delle segretarie”
A fronte di una motivazione conforme ai criteri fissati dall’art. 192,
c.p.p., che impone una valutazione unitaria e non atomistica della prova,
principio cardine del processo penale (cfr. Cass., sez. VI, 28.9.1992, n.
10642, rv. 192157), le doglianze difensive sul punto (peraltro di natura
prevalentemente fattuale), non colgono nel segno, anche perché fondate
su di una rappresentazione parcellizzata e parziale delle risultanze
processuali, che evita il raffronto con il complessivo quadro istruttorio
(cfr. Cass., sez. VI, 8.11.2012, n. 45249, rv. 254274).
4.1. Del pari infondate appaiono le ulteriori censure difensive, articolate
nei motivi sinteticamente esposti nelle pagine precedenti sub n. 4); n.
5); n. 6) e n. 8), a partire dalla pretesa del ricorrente di sottrarre la
condotta del G.H. alla sfera di applicazione del Codice in materia di
protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196) ed, in
particolare, dell’art. 167, co. 1, di tale testo normativo, in base al quale
“salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne
per sé o per altri profitto o di recare ad altri un danno, procede al
trattamento di dati personali in violazione di quanto disposto dagli
articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell’articolo
129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a
diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con
la reclusione da sei a ventiquattro mesi”
Preliminarmente va rilevato che non vi è contestazione, né nel
qualificare la condotta del G.H. come “trattamento” di dati, alla luce
della previsione dell’art. 4, co. 1, lett. a), d.lgs. n. 196 del 2003,
7
logico argomentare dalla corte territoriale, che, non appena
secondo cui deve intendersi tale “qualunque operazione o complesso di
operazioni, effettuati anche senza l’ausilio di strumenti elettronici,
concernenti la raccolta, la registrazione, l’organizzazione, la
conservazione, la consultazione, l’elaborazione, la modificazione, la
selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco,
anche se non registrati in una banca di dati”; né, tantomeno, in ordine
alla consistenza dei dati, contenuti nei documenti informatici copiati, il
cui illecito trattamento è stato addebitato al ricorrente, contenenti
l’elencazione dei clienti dello studio “A&G” con i relativi indirizzi, numeri
telefonici e fascicoli.
Tanto premesso, non può condividersi la tesi difensiva che fa leva sulla
previsione di cui all’art. 5, co. 3, d.lgs. n. 196 del 2003 (secondo cui “il
trattamento di dati personali effettuato da persone fisiche per fini
esclusivamente personali è soggetto all’applicazione del presente codice
solo se i dati sono destinati ad una comunicazione sistematica o alla
diffusione”), per escludere rilevanza penale alla condotta del G.H., sul
presupposto che tale trattamento sia avvenuto a fini esclusivamente
personali e non diffusivi.
Ciò in quanto, ad avviso del Collegio, i dati oggetto del trattamento di
cui si discute erano destinati a fini comunicativi o diffusivi, alla luce delle
nozioni di “comunicazione” e di “diffusione”, fornite, rispettivamente,
dall’art. 4, co. 1, lett. I) ed m), d.lgs., n. 196 del 2003, norma che
attribuisce, con effetto vincolante per l’interprete, il significato dei
termini tecnici, che integrano il precetto penale.
Sulla base di tale previsione deve, dunque, intendersi per
“comunicazione, il dare conoscenza dei dati personali a uno o più
soggetti determinati diversi dall’interessato, dal rappresentante del
titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in
qualunque forma, anche mediante la loro messa a disposizione o
consultazione; per “diffusione, il dare conoscenza dei dati personali a
soggetti indeterminati, in qualunque forma, anche mediante la loro
messa a disposizione o consultazione”.
8
la comunicazione, la diffusione, la cancellazione e la distruzione di dati,
Se ciò è vero, come è vero, non appare revocabile in dubbio che i dati di
cui si discute abbiano formato oggetto (quanto meno) di destinazione ad
una “comunicazione sistematica”, vale a dire di una delle due forme di
destinazione (alternativamente previste), al cui verificarsi il menzionato
art. 5, co. 3, d.lgs. n. 196 del 2003, condiziona l’applicabilità delle
disposizioni contenute nel Codice in materia di protezione dei dati
personali (cfr. Cass., sez. III, 16/05/2013, n. 29071, rv. 256673).
La locuzione “sistematica”, infatti, fa riferimento ad una comunicazione
non occasionale che è destinata a creare un sistema di dati dal quale
attingere organicamente e con una tendenziale continuità, come
avvenuto in questo caso in cui i dati in questione sono stati rinvenuti dal
perito d’ufficio sul personal computer dell’avv. R.R., soggetto terzo
rispetto all’imputato (sul punto la contestazione del ricorrente appare
generica e fattuale) e suo collaboratore nella nuova attività professionale
intrapresa autonomamente dall’avv. G.H. dopo avere lasciato lo studio
Giuggioli, nonché sui dispositivi informatici (pendrive e hard disk) del
nuovo studio “G.H. e Partners”, dove lavorava, per l’appunto, il
R.R., che, come evidenziato dalla corte territoriale, “erano accessibili
a tutti i professionisti che ivi lavoravano” (p. 19 e 15 sentenza di
appello).
Risulta, pertanto, compiutamente dimostrata la destinazione dei dati,
anche mediante messa a disposizione dei dati stessi, ad una conoscenza,
da parte di uno o più soggetti determinati, che potevano averne
contezza, mediante consultazione, resa possibile attraverso l’accesso
dell’avvocato R.R. al proprio personal computer ovvero dello stesso
avvocato R.R. e degli altri professionisti coinvolti nel nuovo studio
fondato dall’avv. G.H. (non a caso, recante, nella sua sigla, uno
specifico riferimento ad una pluralità di collaboratori: i partners) ai
dispositivi informatici ivi esistenti.
L’accertata destinazione dei dati ad una comunicazione sistematica
(sufficiente, si badi bene, per rendere la disciplina del Codice applicabile
al trattamento di dati personali effettuato da persone fisiche per fini
esclusivamente personali, non richiedendosi l’effettiva conoscenza dei
9
t
dati stessi) rende, pertanto, priva di ogni rilevanza la questione posta
dalla difesa sulla destinazione a scopi esclusivamente personali del
trattamento di dati effettuato per finalità professionali.
Ed invero, ove anche si ritenesse destinato a scopi esclusivamente
personali il trattamento di dati connesso allo svolgimento di una
dell’avverbio “esclusivamente” nel testo dell’art. 5, co. 3, d.lgs. n. 196
del 2003, sembra impedire in radice che il trattamento di dati connessi
all’esercizio di una professione possa essere inteso come circoscritto alla
sola sfera personale dei soggetti interessati), le modalità con cui il
suddetto trattamento è stato realizzato nel caso in esame,
caratterizzate, come si è detto, dalla destinazione alla comunicazione
sistematica dei dati stessi, rende, comunque, penalmente rilevante la
condotta dell’imputato, ai sensi dell’art. 23, co. 1, d.lgs. n. 196 del
2003, non consentendo l’operatività della clausola di salvezza desumibile
a contrario dal disposto del citato art. 5, co. 3, d.lgs. n. 196 del 2003.
4.2. Con riferimento alla natura dei dati trattati, deve ribadirsi la
correttezza della qualificazione operata già nell’imputazione, condivisa
dai giudici di merito, in termini di “dati personali”, che, alla luce di
quanto statuito dall’art. 23, co. 1, d.lgs. n. 196 del 2003, possono
formare oggetto di trattamento, “solo con il consenso espresso
dell’interessato”, la cui mancanza determina l’applicazione della norma
penale prevista dal citato art. 167, co. 1, d.lgs. n. 196 del 2003.
Anche in questo caso la relativa nozione è reperibile nell’art. 4, co. 1,
lett. b), d.lgs. n. 196 del 2003, secondo cui deve intendersi per “dato
personale” (nozione diversa, giova ricordare, da quelle di “dati
identificativi”; “dati sensibili” e “dati giudiziari”, del pari contenute nel
medesimo art. 4), “qualunque informazione relativa a persona fisica
identificata o identificabile, anche indirettamente, mediante riferimento
a qualsiasi altra informazione, ivi compreso un numero di identificazione
personale”.
Appare, pertanto, evidente, che i dati oggetto del trattamento,
rappresentati dall’elenco dei clienti dello studio “A&G”, con i relativi
10
professione liberale, come quella dell’avvocato (anche se l’uso
indirizzi e numeri telefonici, e dai documenti allegati alle pratiche che li
riguardavano (pacificamente costituiti, tra l’altro, come rilevato dallo
stesso ricorrente, da pareri legali, atti di citazione, comparse di risposta,
lettere e contratti), rientrano nella nozione normativamente fissata di
“dato personale”, contenendo una pluralità di informazioni relative a
dai clienti dello studio Giuggioli.
AI riguardo va, inoltre, osservato che la maggior parte dei dati di cui si
discute appartengono non allo studio “A&G”, ma ai singoli soggetti che si
sono affidati allo studio in questione per la tutela dei propri interessi e
che non hanno prestato alcun consenso esplicito al trattamento dei dati
effettuato dal G.H., così come del resto, nessun consenso, che, come
si è visto, deve essere espresso per rendere legittimo il trattamento di
dati personali da parte di privati, risulta essere stato prestato al riguardo
dai titolari dello studio “A&G”, ove si volesse comunque aderire alla tesi
(invero insostenibile), che si tratta di dati appartenenti al suddetto
studio.
Né i dati di cui si discute possono considerarsi dati di cui è possibile
effettuare il trattamento senza consenso, ai sensi dell’art. 24, lett. b),
d.lgs. n. 196 del 2003, dati, cioè, il cui trattamento è necessario per
eseguire obblighi derivanti da un contratto del quale è parte l’interessato
o per adempiere, prima della conclusione del contratto, a specifiche
richieste dell’interessato, posto che il G.H. non era certo parte,
nemmeno in senso lato, dei singoli contratti di prestazione d’opera
intercorsi tra i clienti non riconducibili al “German Desk” e lo studio
“A&G”, né era coinvolto nelle attività volte alla conclusione dei suddetti
contratti.
Del pari i dati di cui si discute non possono essere considerati
provenienti da pubblici registri, elenchi, atti o documenti conoscibili da
chiunque (circostanza che, ove dimostrata, escluderebbe, ai sensi
dell’art. 24, lett. c, d.lgs. n. 196 del 2003, la configurabilità del reato:
cfr. Cass., sez. III, 17/11/2004, n. 5728), posto che, quanto meno le
pratiche legali oggetto del trattamento e la documentazione ad esse
persone fisiche identificate o identificabili, rappresentate, innanzitutto,
allegata, testimoniano l’esistenza di un rapporto professionale tra i
clienti e lo studio Giuggioli, sicuramente non destinato, sia nella sua
esistenza che nel suo svolgersi attraverso il compimento di specifici atti
(lettere; schemi di contratti; atti giudiziari), ad essere conoscibile da
chiunque (termine con cui, in tutta evidenza, si allude ad una platea
di fuori del rapporto di prestazione d’opera instaurato.
E ciò a prescindere dalla circostanza evidenziata nella memoria della
parte civile che nei documenti di cui si discute vi fossero anche i numeri
delle utenze cellulari personali dei soci dello studio Giuggioli, il cui
trattamento, senza consenso, secondo l’orientamento prevalente nella
giurisprudenza di legittimità, integra il reato ex art. 167, co. 1, d.lgs. n.
196 del 2003 (cfr. Cass., sez. III, 17/02/2011, n. 21839; Cass., sez. III,
23/10/2008, n. 46203, rv. 241787), a meno che non si dimostri (ma
tale onere non è stato specificamente assolto dal ricorrente) che tali
numeri fossero, come si è detto, facilmente conoscibili da chiunque.
Una volta risolta nel senso ora indicato la questione della qualificazione
dei dati oggetto di trattamento, perde ogni rilievo la censura difensiva
riguardante il dolo specifico, costruita intorno all’assunto erroneo
secondo cui possono considerarsi dati personali solo quelli contenenti
l’indicazione del nome e del cognome degli avvocati Agnoli e Giuggioli.
Si tratta di una questione, anche nella prospettiva fatta propria dal
Collegio, manifestamente infondata.
Ed invero, posto che, come affermato da un condivisibile arresto della
Suprema Corte, ai fini del delitto di trattamento illecito di dati personali,
di cui all’art. 167 comma 2 d.Ig. n. 196 del 2003, il nocumento (su cui,
nel caso in esame, il ricorrente non svolge nessuna censura, a fronte di
una articolata e condivisibile motivazione sul punto da parte dei giudici
di merito: cfr. p. 25 della sentenza di primo grado) può sussistere anche
quando dal trattamento di dati sensibili derivino, per la persona offesa,
effetti pregiudizievoli sotto il profilo morale, il profitto, quale oggetto del
dolo specifico richiesto dalla norma incriminatrice, può concretarsi in
qualsiasi soddisfazione o godimento che l’agente sì ripromette di ritrarre,
12
potenzialmente illimitata e non preventivamente definibile di utenti), al
anche non immediatamente dalla propria azione (cfr. Cass., sez. V,
07/03/2013, n. 28280).
Ne consegue che correttamente i giudici di merito hanno ravvisato il
profitto oggetto del dolo specifico, desumibile dalla condotta del reo,
nella circostanza che “i dati in questione” (vale a dire quelli,
evidentemente destinati al riutilizzo nella successiva attività
professionale” dell’imputato, “come comprovato dall’effettivo
rinvenimento degli stessi su supporti ritrovati nel nuovo studio del
G.H.” (cfr. p. 24 della sentenza di primo grado; p. 20 della sentenza
di appello).
Può, in conclusione affermarsi, la fondatezza dell’assunto accusatorio nei
termini fatti propri dai giudici di merito, dovendosi ribadire il principio
secondo cui l’assoggettamento alla norma in tema di divieto di diffusione
di dati personali riguarda tutti indistintamente i soggetti entrati in
possesso di dati, i quali saranno tenuti a rispettare sacralmente la
privacy di altri soggetti con i primi entrati in contatto, al fine di
assicurare un corretto trattamento di quei dati senza arbitrii o pericolose
intrusioni (cfr. Cass. sez. III, 17/02/2011, n. 21839).
4.3. Manifestamente infondato, appare, infine l’ultimo motivo di ricorso
mancando in radice i presupposti dell’invocato assorbimento.
Tra le fattispecie in esame, infatti, non sussiste alcun rapporto di
specialità che si presenti riconducibile alla nozione accolta nell’art. 15,
c.p., in quanto – a parte ogni considerazione sulla identità o meno dei
beni giuridici da esse tutelati e – in un reato la condotta presa in
considerazione dalla legge è quella di accesso e mantenimento abusivi in
un sistema informatico, mentre nell’altro la condotta incriminata è quella
del trattamento senza consenso dei dati personali, sicché si riscontra in
ciascuna delle due ipotesi criminose una diversità di condotte finalistiche
ed una diversità di attività materiali che non lascia sussistere tra esse
quella relazione di omogeneità che le rende riconducibili “ad ununn” nella
figura del reato speciale ex art. 15, c.p. (cfr., in tema di assorbimento,
Cass., sez. IL 7.3.1997, n. 2709, rv. 207315).
13
numerosissimi, riferibili ai clienti dello studio Giuggioli) “erano
Inconferente, dunque, appare l’invocata applicazione della clausola di
salvezza con cui si apre il testo dell’art. 167, co. 1, d.lgs. n. 196 del
2003, posto che le due fattispecie di reato di cui si discute non hanno ad
oggetto il medesimo fatto.
5. Sulla base delle svolte considerazioni il ricorso di cui in premessa va,
c.p.p., al pagamento delle spese del procedimento, nonché alla rifusione,
in favore delle parti civili costituite delle spese del presente giudizio di
legittimità, che si fissano in complessivi euro 5000,00, oltre accessori
come per legge.
P.Q.M.
rigetta il ricorso e condanna il ricorrente al pagamento delle spese
processuali e alla rifusione delle spese di parte civile, liquidate in
complessivi euro 5000,00, oltre accessori di legge.
Così deciso in Roma il 5.12.2016
dunque, rigettato, con condanna del ricorrente, ai sensi dell’art. 616,