Almeno 19 sentenze in cui è stato applicato l’articolo 167 del codice Privacy, quello che punisce il trattamento illecito dei dati personali (con pene fino a tre anni di reclusione) e che è sparito nella bozza di decreto con cui il governo ha recepito a marzo il nuovo Regolamento europeo sulla Privacy. In pratica, il reato è stato depenalizzato. Al suo posto, solo sanzioni amministrative. L’elenco è di Stefano Aterno, docente di diritto penale dell’informatica alla Luiss. “L’art. 167 – ha scritto invece sul suo sito l’avvocato Giusella Finocchiaro, a capo della commissione che ha elaborato la bozza di decreto – non è stato applicato che in pochissimi procedimenti bagatellari dalle Corti italiane”. Non sembra proprio così.
Nel 2004, ad esempio, un giudice del tribunale di Como ha condannato un uomo a 2 mesi di reclusione (sostituiti con una multa) per aver minacciato una donna con lettere anonime e diffuso i suoi dati (generalità indirizzo, telefono) senza autorizzazione. Aveva aperto a nome della donna un dominio internet e l’aveva iscritta a un sito di messaggi erotici. Nello stesso anno, un ragazzo è stato condannato per aver pubblicato il video dello spogliarello della sua ragazza. Ma ci sono anche casi più grossi. Come Telecom Tiger Team: condanne, patteggiamenti, 70 persone offese, 4 ministeri e la presidenza del Consiglio parte civile. Tiger Team era accusata di aver spiato chi veniva considerato pericoloso per l’azienda attraverso tabulati telefonici, intelligence e intercettazioni. Tra i reati contestati, oltre l’associazione per delinquere e l’accesso abusivo a sistemi informatici, proprio l’articolo 167 “per aver acquisito e comunicato al fine di trarne profitto informazioni… su conti correnti, saldi, giacenze, fidi”. Con le stesse accuse sono stati condannati dal Tribunale di Roma anche diversi investigatori privati.
Enorme, poi, la condanna anche per trattamento illecito dei dati personali nel caso dell’azienda che aveva utilizzato senza consenso e senza informativa 457mila dati personali. Inoltre, l’articolo 167 in questi giorni è contestato nel caso dei fratelli Occhionero (è stata chiesta la condanna a 9 anni di reclusione), accusati di avere spiato per anni personaggi istituzionali e le mail di esponenti politici. “Non proprio una bagatella”, spiega Aterno. Con la depenalizzazione del reato, in caso di violazioni sulla privacy le procure – che procederebbero comunque per altri reati – dovrebbero trasferire gli atti al Garante della Privacy che, senza strumenti investigativi giudiziari, dovrebbe accertare le violazioni e poi, in caso, irrogare le sanzioni. Spesso, però, chi compie il reato o non ha soldi o ne ha di difficilmente aggredibili. Improbabili quindi le sanzioni milionarie. E vale anche per le aziende. “La norma – spiega Aterno – non sembra incompatibile con il regolamento Ue. Potrebbe essere riformulata ma non abrogata”. Chi ha scritto il decreto sostiene che le norme penali non devono essere in contrasto con il principio del cosiddetto ne bis in idem, che vieta un sistema di doppia sanzione e di doppio processo.
“Vero. Ma due sentenze della Corte di giustizia europea (2017 e 2018) hanno sottolineato che il principio vada applicato dal giudice caso per caso e che vada accertato che il fatto sia lo stesso”. Non è un compito del legislatore. Semplificando: due eventi sono comparabili solo se uguali per contenuti e per evoluzione. Il ne bis in idem, poi, sussiste quando la sanzione amministrativa assume natura penale. “Fino ad oggi – spiega Aterno – in Italia i reati privacy che si vogliono abolire hanno previsto sanzioni amministrative collegate a quelle penali e mai si è posto un problema di ne bis in idem. Se non sarà abrogata, la norma potrà continuare ad essere un deterrente efficace”. Sta al legislatore, a questo punto, assumersi la responsabilità politica della scelta.