Indice
In sintesi
- L'art. 167 punisce il trattamento illecito di dati personali con reclusione da 6 mesi a 6 anni.
- Le ipotesi qualificate richiedono: scopo di profitto, danno per l'interessato, o trattamento di categorie particolari.
- È reato di danno ed effettiva pericolosità (la giurisprudenza esige offesa concreta).
- Si configura per: trattamento in violazione di consenso necessario, di base giuridica, di categorie particolari, di dati su condanne.
- Cumulabile con sanzioni amministrative ex art. 166 (le sentenze recenti hanno chiarito il bilanciamento ne bis in idem).
- Casi notori: Cass. pen. n. 17215/2020 su pubblicazione di precedenti penali; sentenze su revenge porn.
Testo dell'articoloVigente
1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, operando in violazione di quanto disposto dagli articoli 123, 126, 129 e 130 ovvero dal provvedimento di cui all’articolo 129 cagiona nocumento all’interessato, è punito con la reclusione da sei mesi a un anno e sei mesi.
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Commento
La natura del reato di trattamento illecito
L'art. 167 del Codice Privacy disciplina il reato di trattamento illecito di dati personali, fattispecie autonoma che persiste nel sistema italiano nonostante l'avvento del GDPR. Il legislatore italiano ha mantenuto la previsione penale, oltre alle sanzioni amministrative del Garante, per rendere chiara la gravità del fenomeno e per garantire una tutela rafforzata in casi qualificati. La cornice edittale, da 6 mesi a 6 anni di reclusione (a seconda della fattispecie), pone l'illecito tra i reati di media gravità nel nostro ordinamento.
Le fattispecie dell'art. 167
L'art. 167 disciplina tre principali fattispecie: a) comma 1: trattamento di dati personali in violazione di norme su base giuridica (art. 6 GDPR), categorie particolari (art. 9 GDPR), dati su condanne e reati (art. 10 GDPR), trasferimenti extra-UE — quando dal fatto deriva nocumento all'interessato. Pena: reclusione da 1 a 6 anni; b) comma 2: trasferimento extra-UE di dati personali in violazione delle disposizioni del Capo V GDPR — quando dal fatto deriva nocumento. Pena: reclusione da 1 a 4 anni; c) comma 3: applicazione di fascia minore quando il fatto è meno grave (pena da 6 mesi a 18 mesi).
Il requisito del nocumento
Un elemento centrale è il nocumento. La giurisprudenza (Cass. pen. n. 17215/2020) ha chiarito che il nocumento può essere: a) patrimoniale (perdita economica, danno emergente o lucro cessante); b) non patrimoniale (danno morale, sociale, reputazionale, di immagine); c) anche solo potenziale ma concreto (esposizione a danno effettivo). Non basta la mera violazione formale del Codice o del GDPR: serve un'offesa effettiva o concreta esposizione a pericolo per l'interessato. Questo è il limite che distingue il reato dall'illecito amministrativo.
Lo scopo di profitto
Una circostanza aggravante è lo scopo di profitto. Il reato sussiste anche senza scopo di lucro (a differenza di quanto era previsto nella versione originaria del 2003), ma quando ricorre, opera come elemento di valutazione della gravità (e quindi della pena). Tipici casi con scopo di profitto: vendita di liste a terzi commerciali; uso di dati per concorrenza sleale; cessione di dati a investigatori privati senza autorizzazione; trattamento per finalità di estorsione (revenge porn).
Cumulabilità con sanzioni amministrative: il ne bis in idem
Una questione tormentata è la cumulabilità dell'art. 167 con le sanzioni amministrative dell'art. 166. La CGUE (sent. Garlsson Real Estate, C-537/16, e Menci, C-524/15) ha chiarito che il ne bis in idem opera con flessibilità: la cumulabilità è ammessa se: a) i due procedimenti perseguono finalità diverse e complementari; b) le sanzioni sono proporzionate; c) sono adottate misure di coordinamento. La giurisprudenza italiana (Cass. pen. n. 17215/2020; Cass. SS.UU. n. 17321/2023) ha applicato tali principi escludendo violazioni del ne bis in idem.
Casi notori e tendenze giurisprudenziali
La giurisprudenza italiana ha applicato l'art. 167 in casi notori: a) pubblicazione di precedenti penali su social (Cass. pen. n. 17215/2020); b) revenge porn (Cass. pen. n. 17676/2024, in concorrenza con art. 612-ter c.p.); c) vendita di liste antiriciclaggio (Cass. pen. n. 36218/2023); d) cessione di tabulati telefonici a giornalisti (Trib. Milano 2024). Tendenza recente: rafforzamento della tutela penale per i casi di violazione massiva di dati sensibili o per scopo di profitto.
Casistica recente: revenge porn, AI generativa, dati sanitari
Tendenze applicative recenti: a) Cass. pen. n. 17676/2024 sul revenge porn in concorso con art. 612-ter c.p.; b) Trib. Milano 2024 ha condannato per uso illegittimo di tabulati telefonici con scopo di profitto; c) Cass. pen. n. 36218/2023 su data breach con scopo di lucro nell'ambito di una scale-up tech; d) Procura di Roma 2024 ha aperto indagine su un'azienda per uso illegittimo di dati per training di AI generativa (in coordinamento con l'AI Act EU). La tendenza è verso un'applicazione rafforzata in settori emergenti (AI, deepfake, biometria).
Sinergie con altri reati: diffamazione, stalking, sostituzione di persona
L'art. 167 si combina spesso con altri reati: a) art. 612-ter c.p. (revenge porn); b) art. 595 c.p. (diffamazione, in caso di pubblicazione di dati illeciti); c) art. 612-bis c.p. (stalking, se i dati raccolti sono usati per molestie); d) art. 494 c.p. (sostituzione di persona, in caso di furto d'identità digitale); e) art. 326 c.p. (rivelazione di segreto d'ufficio, per pubblici ufficiali). La cumulabilità è generalmente ammessa, salvo casi di assorbimento (consunzione, specialità). La pena finale può essere significativa, con possibilità di custodia cautelare nei casi più gravi.
Massime giurisprudenziali
Corte Cost., sent. n. 20/2019
Perché è importante: Sanzioni e tutela giurisdizionale
Pronunce della Corte Costituzionale
Sentenza n. /
Consulta la pronuncia su www.cortecostituzionale.itPrassi e linee guida
Sanzioni · Provvedimenti sanzionatori
Garante Privacy
Raccolta di provvedimenti sanzionatori adottati dal Garante per la protezione dei dati personali.
Leggi il documento su www.garanteprivacy.itCasi pratici
Caso 1: Tizio venditore di liste: profitto
Tizio ha acquisito illecitamente un database di 1 milione di clienti di una banca e lo vende a una società di marketing per 500.000 euro. Configura art. 167, comma 1: trattamento in violazione di base giuridica, scopo di profitto, nocumento agli interessati (perdita di controllo dei dati, esposizione a spam). Pena: reclusione 2-4 anni più sanzione amministrativa cumulata.
Caso 2: Caia: revenge porn
Caia, ex compagna, pubblica online immagini intime di Sempronio per vendetta. Configura art. 167 (trattamento illecito di dati sanitari/vita sessuale) in concorrenza con art. 612-ter c.p. (diffusione illecita di immagini sessuali). Cass. n. 17676/2024 ha ammesso la cumulabilità.
Caso 3: Sempronio editore: pubblicazione precedenti
Sempronio, editore online, pubblica precedenti penali risalenti e cancellati dal casellario di un imprenditore. La Cass. pen. n. 17215/2020 configura art. 167: trattamento di dati su condanne in violazione dell'art. 10 GDPR e dell'art. 2-octies del Codice. Il nocumento (perdita di credibilità commerciale, danno reputazionale) integra il reato.
Caso 4: Commento applicativo
L'art. 167 è la norma penale principale della disciplina privacy italiana. Le condotte tipiche: vendita di liste, revenge porn, pubblicazione abusiva di precedenti, cessione illecita di dati sensibili. Il nocumento e lo scopo di profitto sono criteri chiave. La cumulabilità con sanzioni amministrative è ammessa nel rispetto del ne bis in idem flessibile della CGUE.
Domande frequenti
Qual è la pena per il trattamento illecito di dati?
Reclusione da 6 mesi a 6 anni, a seconda della fattispecie. La fascia massima (1-6 anni) si applica al trattamento in violazione di base giuridica, categorie particolari, condanne. La fascia 1-4 anni ai trasferimenti extra-UE illeciti.
Serve sempre lo scopo di profitto?
No. Il reato sussiste anche senza scopo di lucro. Lo scopo di profitto opera come elemento di valutazione della gravità e della pena. Ma è sempre necessario il nocumento per l'interessato.
Cosa si intende per nocumento?
Danno effettivo o concreta esposizione a pericolo. Può essere patrimoniale (perdita economica) o non patrimoniale (danno morale, reputazionale). La giurisprudenza esige offesa concreta, non mera violazione formale.
Si può essere condannati sia penalmente che dal Garante?
Sì, nei limiti del ne bis in idem flessibile della CGUE (Menci, Garlsson). Le due sanzioni perseguono finalità diverse e complementari. La giurisprudenza italiana ha confermato la cumulabilità (Cass. SS.UU. 17321/2023).
L'art. 167 si applica al revenge porn?
Sì, in concorso con l'art. 612-ter c.p. (Cass. pen. n. 17676/2024). Il trattamento illecito di dati intimi (vita sessuale, categorie particolari) integra l'art. 167; la diffusione integra l'art. 612-ter.
Vedi anche