Corte di cassazione – Sezione III Penale
Sentenza n. 41604 del 10 ottobre 2019
REPUBBLICA ITALIANA
IN NOME DEL POPOLO ITALIANO
LA CORTE SUPREMA DI CASSAZIONE
SEZIONE TERZA PENALE
composta dagli Ill.mi Sigg.ri Magistrati:
…omissis…
ha pronunciato la seguente
SENTENZA
- sul ricorso proposto da XXXXX, nato a XXXX; avverso la sentenza del 15 novembre 2017 della Corte di appello di Torino;
- visti gli atti, il provvedimento impugnato e il ricorso;
- udita la relazione svolta dal consigliere Fabio Zunica;
- udito il Pubblico Ministero, in persona del Sostituto Procuratore generale dott. Marco Dall’Olio, che ha concluso per l’inammissibilità del ricorso;
- udito per la parte civile l’avvocato Fabrizio Mastro, che depositava conclusioni scritte e nota spese;
- udito per il ricorrente l’avvocato Fabio Maria Cozi, sostituto processuale dell’avvocato Giacomo Francini, che si riportava ai motivi del ricorso e ne chiedeva l’accoglimento.
RITENUTO IN FATTO
1. Con sentenza del 15 novembre 2017, la Corte di appello di Torino confermava la sentenza del 28 aprile 2015, con cui il Tribunale di Aosta aveva condannato XXXXX alla pena, condizionalmente sospesa, di mesi 6 di reclusione, in quanto ritenuto colpevole del reato di cui all’art. 167 in relazione all’art. 130 del d.lgs. n. 196 del 2003, a lui contestato per aver proceduto al trattamento illecito dei dati personali degli iscritti all’Associazione Igienisti Dentali Italiani, inviando reiteratamente agli stessi numerose email provenienti dal suo indirizzo XXXXX@XXXXX.XXX, con cui pubblicizzava propri corsi di aggiornamento, in tal modo agendo al fine di procurarsi un profitto, consistito nell’ottenere la partecipazione a corsi e convegni da lui patrocinati o organizzati nel settore dell’igiene dentale, e procurando altresì agli associati un nocumento, consistente nella necessità di controllare e vagliare le numerose email inviate senza il loro consenso; fatti commessi in Aosta dal maggio al settembre 2013.
Con statuizione del Tribunale confermata in secondo grado, XXXXX veniva altresì condannato al risarcimento dei danni in favore dell’Associazione Igienisti Dentali Italiani (A.I.D.I.), costituitasi parte civile, da liquidare in separata sede.
2. Avverso la sentenza della Corte di appello piemontese, XXXXX, tramite il suo difensore, ha proposto ricorso per cassazione, sollevando quattro motivi.
Con il primo, la difesa deduce l’illogicità e l’apparenza della motivazione della sentenza impugnata, in ordine alla ritenuta sussistenza del nocumento in capo ai destinatari delle e -mail inviate da XXXXX, osservan‘che a tal fine non poteva essere valorizzato il mero dato numerico dei messaggi inviati, posto che quest’ultimo deve essere rapportato all’Associazione e non a ogni singolo iscritto, nessuno dei quali, peraltro, si è costituito parte civile personalmente.
L’illogicità della motivazione in ordine al nocumento involgerebbe inoltre anche il passaggio argomentativo con cui è stato escluso il riconoscimento dell’ipotesi di cui all’art. 131 bis cod. pen., avendo la Corte di appello sostenuto che l’offesa non fosse qualificabile in termini di particolare tenuità, non già all’esito di un’indagine riferita alla singola persona offesa, ma piuttosto in base all’assioma secondo cui dalla ritenuta esistenza di un invio massivo di e -mail non autorizzate a una pluralità di soggetti, conseguirebbe che ogni singolo associato avesse patito un nocumento, pur senza alcuna personalizzazione probatoria.
Con il secondo motivo, oggetto di doglianza è il travisamento del dato processuale costituito dalla documentazione prodotta dalla parte civile, posto che dallo stesso poteva desumersi che in realtà l’imputato aveva inviato 14 comunicazioni differenti a un totale di 93 indirizzi mail appartenenti ad alcuni associati della A.I.D.I. e poi ha questi ultimi inoltrati alla medesima associazione, per cui non si era affatto in presenza dell’invio di “centinaia di comunicazioni”.
In definitiva, ogni associato aveva ricevuto in genere una o due mail da XXXXX, mentre uno solo ne ha ricevuto dieci, per cui doveva escludersi che sia stato arrecato un nocumento ai singoli destinatari delle predette comunicazioni.
Con il terzo motivo, il ricorrente censura, sotto il profilo della mancanza e della illogicità della motivazione, il diniego delle attenuanti generiche, evidenziando che, su tale aspetto, la Corte territoriale aveva rinviato al percorso argomentativo esplicitato nella sentenza di primo grado, nella quale tuttavia nulla era stato esposto sul punto, essendo stata esclusivamente giustificata la scelta compiuta dal Tribunale di contenere la pena nel minimo edittale.
Con il quarto motivo, infine, viene contestato il mancato riconoscimento dell’ipotesi di cui all’art. 131 bis cod. pen., osservandosi che, sul punto, la motivazione della sentenza impugnata, oltre che apparente, era contraddittoria, non avendo la Corte di appello riconosciuto la particolare tenuità del fatto, pur affermando che la condotta e il danno posti in essere da Ruggi erano di rilevanza esigua e che il comportamento contestato era stato occasionale.
CONSIDERATO IN DIRITTO
Sono fondati e assorbenti i primi due motivi di ricorso, relativi al giudizio sulla sussistenza della fattispecie contestata.
1. Preliminarmente, al fine di circoscrivere l’ambito valutativo del presente giudizio, appare utile una sintetica ricostruzione dell’odierna vicenda fattuale che, almeno nei suoi passaggi essenziali, non risulta invero contestata, essendo invece controversa la sola qualificazione giuridica della condotta dell’imputato.
Tale condotta, come emerge dalla lettura delle due conformi sentenze di merito, si inquadra nel rapporto professionale dell’avvocato XXXXX con l’A.I.D.I, ovvero l’Associazione Igienisti Dentali Italiani, di cui all’epoca dei fatti la moglie del ricorrente, YYYYY, era membro del Consiglio direttivo.
Per conto della Presidente dell’Associazione, Marialice Boldi, l’avv. XXXXX aveva assunto il patrocinio legale dell’A.I.D.I. in almeno tre procedimenti, tra i quali uno di particolare importanza avviato nei confronti di Mediaset s.p.a.
Dopo un iniziale periodo in cui le prestazioni professionali dell’imputato avevano trovato l’apprezzamento dell’Associazione, i rapporti si incrinavano nel febbraio 2013, allorquando l’avv. XXXXX assumeva alcune iniziative non gradite dal Consiglio direttivo, come l’offerta di consulenza legale rivolta agli igienisti dentali iscritti, pubblicizzata anche mediante una pagina facebook appositamente creata, e l’organizzazione di convegni su aspetti legali di interesse della categoria, avendo inoltre il ricorrente richiesto il sostegno dell’A.I.D.I. per un libro che intendeva pubblicizzare e per lo svolgimento di corsi aperti agli associati, ai quali venivano inviati delle e-mails con l’indicazione delle varie attività svolte.
Dopo che l’Associazione aveva negato la sua disponibilità a patrocinare le iniziative personali dell’avvocato XXXXX, i rapporti conobbero una definitiva rottura durante una cena tenutasi la sera del 23 maggio 2013, allorquando la Presidente e la Segretaria Nazionale segnalavano alla YYYYY l’inopportunità dei comportamenti del marito, il quale, almeno fino al settembre 2013, continuò tuttavia a inviare alcuni messaggi di posta elettronica agli igienisti dentali iscritti, alcuni dei quali se ne lamentarono poi con l’Associazione.
Orbene, tanto premesso, deve escludersi, a differenza di quanto sostenuto dai giudici di merito, che il comportamento del ricorrente sia suscettibile di essere inquadrato nella fattispecie di cui all’art. 167 del d. Igs. n. 196 del 2003.
In proposito deve premettersi che, al momento del fatto, la norma incriminatrice (rubricata “trattamento illecito di dati personali”) era così formulata:
“1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell’articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.
2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni”.
La norma è stata di recente riformata dal d. Igs. n. 101 del 10 agosto 2018 (art. 15 comma 1 lett. b) che tuttavia non ha inciso in termini sostanziali sul contenuto della norma incriminatrice, essendo rimasto in particolare invariato l’elemento soggettivo del reato, costituito dal fine dell’agente di trarre per sé o per altri un profitto o di recare ad altri un danno mediante l’illecito trattamento. Il reato si connota pertanto come delitto a dolo specifico (così Sez. 3, n. 3683 del 11/12/2013, dep. 2014, Rv. 258492), la cui struttura finalistica è incompatibile con la forma del dolo eventuale, che postula l’accettazione solo in via ipotetica, seppure avverabile, del conseguimento di un determinato risultato. Parimenti immutato è rimasto il richiamo alla necessità del verificarsi di un “nocumento”, dovendosi tuttavia precisare al riguardo che nell’attuale versione normativa (“salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, operando in violazione di quanto disposto dagli articoli 123, 126 e 130 o dal provvedimento di cui all’articolo 129 arreca nocumento all’interessato, è punito con la reclusione da sei mesi a un anno e sei mesi”), la determinazione del nocumento si configura come un elemento costitutivo della fattispecie penale.
Viceversa, nella precedente formulazione del reato, peraltro vigente al momento del fatto, è stata invece a lungo prevalente nella giurisprudenza di legittimità, anche in ragione del tenore testuale della norma (l’agente “è punito, se dal fatto deriva nocumento”) la tesi che qualificava il nocumento come una condizione obiettiva di punibilità, idonea cioè ad attualizzare l’offesa dell’interesse tutelato già realizzata dal fatto tipico (cfr. Sez. 3, n. 7504 del 16/07/2013, dep. 2014, Rv. 259261 e Sez. 5, n. 44940 del 28/09/2011, Rv. 251448), anche se si è poi delineata una diversa impostazione ermeneutica, invero più condivisibile, secondo la quale il nocumento per la persona alla quale i dati illecitamente trattati si riferiscono costituisce, per la sua omogeneità rispetto all’interesse leso, e la sua diretta derivazione causale dalla condotta tipica, un elemento costitutivo del reato, e non una condizione oggettiva di punibilità, con la conseguenza che esso deve essere previsto e voluto o comunque accettato dall’agente come effetto della propria azione, indipendentemente dal fatto che costituisca o si identifichi con il fine dell’azione (Sez. 3, n. 40103 del 05/02/2015, Rv. 264798). Quanto poi al contenuto del nocumento, deve richiamarsi la condivisa affermazione di questa Corte (cfr. ex multis Sez. 3, n. 52135 del 19/06/2018, Rv. 275456 e Sez. 3, n. 15221 del 23/11/2016, dep. 2017, Rv. 270055), secondo cui il nocumento previsto dall’art. 167 del d.lgs. n. 196 del 30 giugno 2003 deve intendersi come un pregiudizio giuridicamente rilevante di qualsiasi natura, patrimoniale o non patrimoniale, subito dal soggetto cui si riferiscono i dati protetti oppure da terzi quale conseguenza dell’illecito trattamento.
La nozione di nocumento, in definitiva, coerentemente con l’etimologia del termine (derivante dal verbo nuocere, ovvero arrecare un danno anche morale), evoca l’esistenza di una concreta lesione della sfera personale o patrimoniale, che, nell’ottica della fattispecie per cui si procede, deve ritenersi direttamente riconducibile a un’operazione di illecito trattamento dei dati protetti.
Orbene, in applicazione di tale premessa ermeneutica, deve escludersi che nel caso di specie sia ravvisabile un “nocumento” nel senso appena indicato. Se infatti deve convenirsi circa la illegittimità del trattamento, stante la violazione dell’art. 130 del d. Igs. n. 196 del 2003, disposizione dedicata alle “comunicazioni indesiderate” (anch’essa integrata con la novella del 2018 ma senza sostanziali variazioni), che subordina al consenso dell’utente interessato la divulgazione di materiale pubblicitario mediante comunicazioni operate tra l’altro anche mediante posta elettronica, occorre tuttavia osservare che i vari destinatari delle mail inviate dall’avv. Ruggi non hanno ricevuto alcun pregiudizio giuridicamente apprezzabile, non potendosi sottacere che ciascun igienista dentale iscritto all’associazione ha in realtà ricevuto dal ricorrente un numero molto contenuto di messaggi, in media non più di tre o quattro, per cui non può affatto parlarsi di una significativa invasione del proprio spazio informatico.
Né può essere ignorata la circostanza che, a parte la protesta rivolta alla moglie dell’avv. Ruggi durante una cena, dunque in maniera del tutto irrituale, non vi è mai stata alcuna formale rimostranza da parte dei singoli iscritti nei confronti del ricorrente, tale da rendere manifesta la contrarietà all’invio di quelle poche mail.
Ora, non c’è dubbio che, nell’attuale contesto socio-economico, è molto diffusa la pratica del cd. spamming, ovvero dell’invio in varie forme di una pluralità di messaggi pubblicitari a una vasta platea di utenti senza il consenso di costoro; tuttavia, affinchè tale condotta assuma rilievo penale, occorre che si verifichi per ciascun destinatario un effettivo “nocumento”, che non può certo esaurirsi nel semplice fastidio di dover cancellare di volta in volta le mail indesiderate, ma deve tradursi in un pregiudizio concreto, anche non patrimoniale, ma comunque suscettibile di essere giuridicamente apprezzato, richiedendosi in tal senso un’adeguata verifica fattuale volta ad accertare, ad esempio, se l’utente abbia segnalato al mittente di non voler ricevere un certo tipo di messaggi e se, nonostante tale iniziativa, l’agente abbia perseverato in maniera non occasionale a inviare messaggi indesiderati, creando così un reale disagio al destinatario.
Ora, nel caso di specie, nessun destinatario delle e -mails aveva manifestato all’avv. XXXXX la sua opposizione a ricevere i suoi messaggi promozionali, il cui invio peraltro è avvenuto nel ristretto arco temporale di pochi mesi e in misura contenuta, dovendosi avere riguardo in tal senso non al numero complessivo di messaggi inviati a tutti gli iscritti all’associazione, ma all’entità dei messaggi spediti a ogni singolo associato, posto che la valutazione del nocumento non può che essere riferita alla dimensione individuale dell’utente e non a quella impersonale del gruppo associato di cui ciascuno di essi faceva parte.
In quest’ottica, deve quindi escludersi che la ricezione di tre o quattro mails nell’arco di circa cinque mesi, senza alcuna diffida preventiva rivolta al mittente, possa integrare un “nocumento” idoneo a integrare la fattispecie contestata, non essendo sufficiente in tal senso qualche generica lamentela rivolta da taluno degli associati non direttamente all’avv. XXXXX, ma solo alla propria associazione.
A ciò deve unicamente aggiungersi che tale soluzione interpretativa non si pone in aperto contrasto con il precedente di questa Corte richiamato nelle sentenze di merito (Sez. 3, n. 23798 del 24/05/2012, Rv. 253632), secondo cui integra il reato di trattamento illecito di dati personali l’indebito utilizzo di un “data-base” contenente l’elenco di utenti iscritti a una “newsletter” ai quali venivano inviati messaggi pubblicitari non autorizzati provenienti da altro operatore, che traeva profitto dalla percezione di introiti commerciali e pubblicitari, con corrispondente nocumento per l’immagine del titolare della banca dati abusivamente consultata e per gli stessi utenti, costretti a cancellare i messaggi di posta indesiderata, a predisporre accorgimenti per impedire ulteriori invii e a tutelare la “privacy” dalla circolazione non autorizzata delle informazioni personali.
Il caso trattato nella sentenza sopra citata, infatti, riguardava l’utilizzo in rete dei dati personali di almeno 177.090 persone, tramite l’indebita sottrazione di un “data-base” contenente più di 400.000 nominativi, per cui si era in presenza di un ben diverso livello di invasione dell’altrui sfera di libertà informatica.
Al di là della indubbia diversità delle situazioni trattate, deve tuttavia evidenziarsi che anche la sentenza n. 23798 del 24/05/2012 ha agganciato la nozione di nocumento a quella di offensività, qualificando la fattispecie in termini di reato di pericolo concreto e non presunto, dovendosi solo ribadire, in ciò sviluppando in parte il percorso argomentativo del precedente citato, che, nell’attuale sistema informativo e commerciale, “nocumento” non può essere il solo disagio di dover cancellare pochi e occasionali messaggi non desiderati, richiedendosi, al fine di attribuire rilevanza penale al fatto, un quid pluris, consistente in un pregiudizio effettivo, che si riveli proporzionato rispetto all’invasività del comportamento di chi invia i contenuti sgraditi, restando magari indifferente a eventuali richieste di porre termine alta spedizione di una determinata tipologia di messaggi.
2. In conclusione, dovendosi escludere nella vicenda oggetto di giudizio l’esistenza di un effettivo “nocumento” sia da parte dell’associazione “A.I.D.I.”, sia da parte dei suoi singoli iscritti, il reato contestato non può ritenersi configurabile, e tanto a prescindere dalla qualificazione del nocumento in termini di elemento costitutivo del reato o di condizione obiettiva di punibilità.
Pertanto, assorbite nell’accoglimento dei primi due motivi di ricorso sulla responsabilità le due ulteriori doglianze sollevate dalla difesa, la sentenza impugnata deve essere annullata senza rinvio, perché il fatto non sussiste.
P.Q.M.
Annulla senza rinvio la sentenza impugnata perché il fatto non sussiste.
Così deciso il 20/06/2019
Possibly Related Posts:
- Chatbot troppo umani, i rischi che corriamo
- Chi ci protegge dal dossieraggio tecnologico?
- Webscraping e Dataset AI: se il fine è di interesse pubblico non c’è violazione di copyright
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le sanzioni UE ad Apple e Google aprono un altro fronte nella guerra contro Big Tech (e incrinano quello interno)