Ai fini della configurabilità del delitto di accesso abusivo a sistema informatico nel caso di soggetto dotato delle credenziali per accedere ad una banca dati riservata, è necessario accertare se la condotta di copiatura/duplicazione dei files addebitata all'imputato rientri o meno nel perimetro dei suoi poteri, in relazione alle funzioni svolte all'interno della struttura cui fa capo il sistema informatico, vale a dire se la copia e la duplicazione esulino o meno dalle competenze dell'operatore, ponendosi in contrasto con le prescrizioni relative all'accesso e al trattenimento nel sistema informatico, contenute in disposizioni organizzative impartite dal titolare dello stesso.
I dati contenuti in un archivio informatico di uno studio legale ed oggetto del trattamento (elenco dei clienti con i relativi indirizzi e numeri telefonici, pareri legali, atti di citazione, comparse di risposta, lettere e contratti), rientrano nella nozione normativamente fissata di "dato personale", contenendo una pluralità di informazioni relative a persone fisiche identificate o identificabili e il loto trattamento indebito costituisce reato.
CORTE SUPREMA DI CASSAZIONE
SEZIONE QUINTA PENALE
Sez. V, Sent., (data ud. 05/12/2016) 13/03/2017, n. 11994
Composta dagli Ill.mi Sigg.ri Magistrati:
Dott. PALLA Stefano - Presidente -
Dott. GORJAN Sergio - Consigliere -
Dott. SCOTTI Umberto Luigi - Consigliere -
Dott. GUARDIANO Alfredo - rel. Consigliere -
Dott. AMATORE Roberto - Consigliere -
ha pronunciato la seguente:
SENTENZA
sul ricorso proposto da:
G.S. nato il (OMISSIS);
avverso la sentenza del 15/12/2015 della CORTE APPELLO di MILANO;
visti gli atti, il provvedimento impugnato e il ricorso;
udita in PUBBLICA UDIENZA del 05/12/2016, la relazione svolta dal Consigliere ALFREDO GUARDIANO;
Udito il Procuratore Generale in persona del GIUSEPPE CORASANITI che ha concluso per il rigetto del ricorso;
Uditi i difensori di fiducia del ricorrente Avv. BRC e Avv. OR che hanno concluso per l'accoglimento del ricorso;
Udito il difensore delle costituite parti civili Avv. MD, che ha concluso per il rigetto del ricorso depositando conclusioni e nota spese.
Svolgimento del processo - Motivi della decisione
1. Con la sentenza di cui in epigrafe la corte di appello di Milano riformava solo parzialmente, revocando l'assegnazione della provvisionale disposta in favore delle costituite parti civili, la sentenza con cui il tribunale di Milano, in data 28.4.2014, aveva condannato G.S. alla pena ritenuta di giustizia, in relazione ai reati di cui all'art. 615 ter c.p., e D.Lgs. 30 giugno 2003, n. 196, artt. 167, 4 e 24, a lui rispettivamente ascritti ai capi A) e B) dell'imputazione, oltre al risarcimento dei danni derivanti da reato, confermando, nel resto, la sentenza impugnata.
2. Avverso la sentenza della corte territoriale, di cui chiede l'annullamento, ha proposto tempestivo ricorso per cassazione l'imputato, a mezzo dei suoi difensori di fiducia, avv. ROo e avv. RB, del Foro di Milano, lamentando: 1) violazione di legge e vizio di motivazione, in quanto, premesso che il ricorrente è stato ritenuto responsabile del reato di accesso abusivo al sistema informatico in uso presso lo studio legale A. e Gi. (da ora in poi indicato anche con l'acronimo "A&G"), dove lo stesso avv. G. ha svolto la sua attività professionale dal settembre 2008 all'aprile 2012, la corte territoriale ha erroneamente adottato un'interpretazione finalistica della condotta del ricorrente, che fa discendere la penale responsabilità per il reato di cui all'art. 615 ter, c.p., dalla natura di alcuni dei files che l'avv. G. ha salvato su dispositivi esterni, prelevandoli dal server comune, accessibile ad ogni componente dello studio legale, omettendo la necessaria valutazione sia sull'abusiva introduzione, sia sull'indebita permanenza nel sistema informatico, quali uniche condotte che, secondo la giurisprudenza della Suprema Corte, possono avere rilievo penale, a prescindere dall'obiettivo avuto di mira dall'agente, non avendo la corte territoriale chiarito, se non attraverso una motivazione apodittica, per quale ragione l'operazione di copiatura dei files cui il ricorrente aveva libero accesso debba ritenersi ontologicamente non consentita ed in che termini tale operazione, come affermato dal giudice di appello, "fosse incompatibile con i limiti contrattuali che evidenziavano il dissenso tacito all'accesso ed al mantenimento in tutta l'ampiezza del sistema informatico dello studio", posto che l'unico accordo tra lo studio in questione e l'imputato è rappresentato da una proposta di collaborazione che non disciplina i limiti alla consultazione dei documenti informatici dell'associazione professionale; 2) vizio di motivazione in ordine alla ritenuta condotta di permanenza abusiva nel sistema informatico, non avendo la corte territoriale dimostrato, come avrebbe dovuto, alla luce dell'interpretazione della giurisprudenza di legittimità, in che modo ed in quale momento l'imputato, partendo da un accesso al sistema certamente autorizzato, abbia posto in essere un indebito mantenimento nel sistema stesso, circostanza di fatto che non può certo desumersi, come ritiene la corte territoriale, dal contenuto delle consulenze tecniche, che dimostrano solo l'effettiva apertura e salvataggio dei file, ma non l'indimostrata abusività della permanenza del professionista nel sistema informatico dello studio; 3) vizio di motivazione con riferimento al percorso informatico seguito dal ricorrente, che non può integrare il reato di cui all'art. 615 ter c.p., essendosi limitato l'imputato ad aprire o prelevare file, inserendosi nel sistema informatico dello studio AG, direttamente dal desktop della propria postazione di lavoro, sistema al quale, dunque, aveva libero accesso, nella sua qualità di collaboratore dell'associazione professionale in questione; 4) violazione di legge e vizio di motivazione con riferimento al reato di cui al D.Lgs. n. 196 del 2003, art. 167, posto che il trattamento dei dati addebitato al G. (avente ad oggetto solo i files "Contatti AG" e "Archivio in corso"), è avvenuto per fini esclusivamente personali e non diffusivi, ragione per la quale, ai sensi dell'art. 5 del medesimo testo normativo, non trattandosi, alla luce della previsione normativa che definisce le relative nozioni, di cui al D.Lgs. n. 196 del 2003, art. 4, lettere l) ed m), di dati destinati ad una comunicazione sistematica o alla diffusione, nel caso in esame non è applicabile li cd. Codice della privacy, non potendosi ritenere certamente escluso il fine personale del trattamento dei dati dalla circostanza che esso sia connesso alla sfera lavorativa o professionale dell'autore, senza tacere che i due files in questione, a differenza di quanto affermato dalla corte, non sono stati reperiti sulla chiavetta dell'avv. M.; 5) violazione di legge e vizio di motivazione, con riferimento alla ritenuta violazione della regola prevista dal D.Lgs. n. 196 del 2003, art. 23, integrativo del precetto penale di cui al citato art. 167, in quanto i dati di cui si discute (costituiti da una rubrica informatica di titolarità dello studio legale contenente i nomi di tutti i clienti, e dall'archivio dello studio) non possono considerarsi dati sensibili, trattandosi, da un lato, di dati appartenenti ad una persona giuridica, che, ai sensi del D.Lgs. n. 196 del 2003, art. 4, comma 1, lett. b), non costituiscono dati personali; dall'altro, di dati appartenenti ad uno studio legale associato, la cui attività costituisce adempimento di un accordo, ai sensi del D.Lgs. n. 196 del 2003, art. 24, lett. c), del quale ciascun membro è inevitabilmente parte; nè va taciuto che se la condotta illecita sarebbe consistita anche nel consentire di risalire all'identificazione dei soci titolari A. e Gi. attraverso il trattamento del file "contatti (OMISSIS)", i dati personali degli avvocati A. e Gi., sono conoscibili da chiunque, in quanto facilmente reperibili on line, per cui, ai sensi del D.Lgs. n. 196 del 2003, art. 24, lett. c), non è richiesto alcun consenso per il loro trattamento; 6) violazione di legge e vizio di motivazione, con riferimento all'individuazione del dolo specifico richiesto dalla norma penale in esame (finalità di profitto per sè o per altri), in quanto la corte territoriale, partendo da un evidente errore di diritto nel considerare dati personali gli atti contenuti nel file "archivio in corso" (pareri legali, atti di citazione, comparse di risposta, lettere, contratti), laddove possono ritenersi tali solo una piccola parte di tali atti, consistente nell'indicazione del nome e del cognome degli avv. A. o Gi., non ha indicato quale fine di lucro avesse di mira l'imputato nel trattare tali dati personali, senza tacere che l'utilizzazione del nome e del cognome degli avvocati A. o Gi. da parte del G. nella sua futura attività professionale, avrebbe costituito piuttosto un ostacolo per il ricorrente, il quale avrebbe potuto soltanto avvantaggiarsi professionalmente dell'utilizzo di determinati schemi di atti forensi, non costituenti dati personali, ma non certo delle generalità dei titolari dello studio; 7) vizio di motivazione, in quanto la corte territoriale ha omesso di considerare che, nel momento della commissione dei fatti, il G. lavorava ancora presso lo studio "(OMISSIS)", senza che gli fosse stato espressamente o tacitamente negato l'accesso al sistema informatico e, quindi, il trattamento dei dati in esso contenuti, come si evince dalla circostanza che solo i documenti fiscali relativi alla fatturazione erano contenuti in file non a tutti accessibili, sintomo evidente della volontà dei titolari di limitarne l'accesso e, al contrario, di consentire l'accesso agli altri file da parte di ogni membro dello studio; 8) violazione di legge, in quanto, la condanna per il più grave delitto di cui all'art. 615 ter c.p., avrebbe dovuto condurre, in virtù della clausola di salvaguardia contenuta nell'incipit della formulazione normativa del D.Lgs. n. 196 del 2003, art. 167, ("Salvo che il fatto costituisca più grave reato"), a ritenere assorbita tale fattispecie di reato in quella codicistica, posto che il bene della riservatezza costituisce oggetto della protezione giuridica accordata da entrambe le menzionate disposizioni normative.
2.1. In data 29.11.2016 è stata depositata memoria a firma dell'avv. MD, del Foro di Milano, difensore di fiducia delle costituite parti civili, con cui si sviluppano molteplici argomenti a sostegno della richiesta di rigetto del ricorso dell'imputato.
3. Il ricorso va rigettato per le seguenti ragioni.
4. Con riferimento alle doglianze sintetizzate nelle pagine precedenti, ai punti n. 1), n. 2), n. 3), e n. 7), occorre rilevare che la decisione della corte territoriale, costituente con quella del giudice di primo grado un prodotto unico, avendo entrambi i giudici di merito utilizzato criteri omogenei e seguito un apparato logico argomentativo uniforme (cfr. Cass., sez. 3^, 1.2.2002, n. 10163, rv. 221116), deve ritenersi assolutamente conforme ai principi da tempo affermati dalla giurisprudenza di legittimità in sede di interpretazione del disposto dell'art. 615 ter c.p., sui quali appare opportuno soffermarsi brevemente.
Come chiarito da un consolidato orientamento, che ormai può definirsi in termini di "diritto vivente", integra la fattispecie criminosa di accesso abusivo ad un sistema informatico o telematico protetto, prevista dall'art. 615 ter c.p., la condotta di accesso o di mantenimento nel sistema posta in essere da soggetto che, pure essendo abilitato, violi le condizioni ed i limiti risultanti dal complesso delle prescrizioni impartite dal titolare del sistema per delimitarne oggettivamente l'accesso, ovvero ponga in essere operazioni di natura antologicamente diversa da quelle per le quali l'accesso è consentito. Non hanno rilievo, invece, per la configurazione del resto, gli scopi e le finalità che soggettivamente hanno motivato l'ingresso al sistema (cfr. Cass., sez. un., 27/10/2011, n. 4694; Cass., sez. 5^, 26/06/2015, n. 44403, rv. 266088; Cass., sez. 5^, 15/01/2015, n. 15950; Cass., sez. 5^, 20/06/2014, n. 44390, rv. 260763; Cass., sez. 5^, 30/09/2014, n. 47105).
Pertanto, come affermato in alcuni condivisibili arresti della Suprema Corte, ai fini della configurabilità del delitto di cui si discute, nel caso di soggetto dotato delle credenziali per accedere ad una banca dati riservata, è necessario accertare se la condotta di copiatura/duplicazione dei files addebitata all'imputato rientri o meno nel perimetro dei suoi poteri, in relazione alle funzioni svolte all'interno della struttura cui fa capo il sistema informatico, vale a dire se la copia e la duplicazione esulino o meno dalle competenze dell'operatore, ponendosi in contrasto con le prescrizioni relative all'accesso e al trattenimento nel sistema informatico, contenute in disposizioni organizzative impartite dal titolare dello stesso (cfr. Cassazione penale, sez. 5^, 31/10/2014, n. 10083; Cass., sez. 5^, 31/10/2014, n. 10083, rv. 263454).
Nella ricostruzione della fattispecie sottoposta al suo esame, dunque, il giudice di merito deve porsi nella prospettiva indicata, al fine di verificare se l'introduzione o il mantenimento nel sistema informatico, anche da parte di chi aveva titolo per accedervi, sia avvenuto in contrasto o meno con la volontà del titolare del sistema stesso, che può manifestarsi, sia in forma esplicita, che tacita (cfr. Cass., sez. 5^, 7.11.2000, n. 12732, rv. 217743; Cass., sez. 5^, 10.12.2009, n. 2987, rv. 245842).
Orbene non è revocabile in dubbio che tale sia stata la prospettiva in cui si sono collocati i giudici di merito nel valutare il caso in esame.
Essi, infatti, hanno ritenuto integrato il delitto di cui all'art. 615 ter c.p., non esclusivamente sulla base della natura dei files copiati, come sostenuto dal ricorrente, ma alla luce di un approfondito ragionamento, derivante da una visione complessiva ed unitaria delle risultanze processuali, incentrato su alcuni elementi di fatto (che, peraltro, non hanno formato oggetto di specifica contestazione da parte dell'imputato), costituiti: 1) dalla particolare qualifica di semplice collaboratore dello studio rivestita dal G., incaricato solo di gestire il pacchetto di clienti tedeschi dello studio Gi., mansione che ne aveva motivato l'assunzione, con conseguente destinazione al cd. "(OMISSIS)"; 2) dalla notevolissima mole di files copiati e trasferiti su altri supporti magnetici (ben 33.312), che avevano ad oggetto contatti, rapporti ed atti estranei alla "competenza per materia" affidata all'imputato; 3) dalla particolare tecnica di copiatura, realizzata attraverso un sofisticato sistema "a matrioska", in modo che i files copiati venissero occultati attraverso una serie di sottocartelle, che rimandavano ad una sottocartella del "(OMISSIS)", proprio per nasconderne la provenienza.
Il percorso argomentativo seguito dalla corte territoriale non può, dunque, definirsi nè illogico, nè fondato su di un'erronea interpretazione dell'art. 615 ter.
Il giudice di appello, infatti, collocandosi nel solco interpretativo fatto proprio dalla giurisprudenza di legittimità, ha evidenziato, con motivazione lineare ed intrinsecamente coerente, come il G. abbia posto in essere una duplice attività (l'accesso e la successiva permanenza, finalizzata alla copiatura dei numerosissimi files in precedenza menzionati, nell'intero archivio del sistema informatico dello studio Gi.), da un lato, ontologicamente incompatibile con le sue (circoscritte) mansioni di semplice collaboratore e non di partner dell'associazione professionale; dall'altro, in violazione di un dissenso tacito dei titolari dello studio legale, implicito nel consentire all'imputato l'accesso al server solo per consultare e copiare files attinenti al "(OMISSIS)", come si evince, non solo dalla sua posizione professionale all'interno dello studio, ma anche dalla circostanza, evidenziata con logico argomentare dalla corte territoriale, che, non appena cominciarono a sospettare del G., i titolari dello studio "gli hanno immediatamente vietato l'accesso al server, consentendogli di acquisire i documenti inerenti al (OMISSIS) solo per il tramite delle segretarie".
A fronte di una motivazione conforme ai criteri fissati dall'art. 192 c.p.p., che impone una valutazione unitaria e non atomistica della prova, principio cardine del processo penale (cfr. Cass., sez. 6^, 28.9.1992, n. 10642, rv. 192157), le doglianze difensive sul punto (peraltro di natura prevalentemente fattuale), non colgono nel segno, anche perchè fondate su di una rappresentazione parcellizzata e parziale delle risultanze processuali, che evita il raffronto con il complessivo quadro istruttorio (cfr. Cass., sez. 6^, 8.11.2012, n. 45249, rv. 254274).
4.1. Del pari infondate appaiono le ulteriori censure difensive, articolate nei motivi sinteticamente esposti nelle pagine precedenti sub n. 4); n. 5); n. 6) e n. 8), a partire dalla pretesa del ricorrente di sottrarre la condotta del G. alla sfera di applicazione del Codice in materia di protezione dei dati personali (D.Lgs. 30 giugno 2003, n. 196) ed, in particolare, dell'art. 167, comma 1, di tale testo normativo, in base al quale "salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sè o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli artt. 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell'articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi".
Preliminarmente va rilevato che non vi è contestazione, nè nel qualificare la condotta del G. come "trattamento" di dati, alla luce della previsione del D.Lgs. n. 196 del 2003, art. 4, comma 1, lett. a), secondo cui deve intendersi tale "qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati"; nè, tantomeno, in ordine alla consistenza dei dati, contenuti nei documenti informatici copiati, il cui illecito trattamento è stato addebitato al ricorrente, contenenti l'elencazione dei clienti dello studio "(OMISSIS)" con i relativi indirizzi, numeri telefonici e fascicoli.
Tanto premesso, non può condividersi la tesi difensiva che fa leva sulla previsione di cui al D.Lgs. n. 196 del 2003, art. 5, comma 3, (secondo cui "il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all'applicazione del presente codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione"), per escludere rilevanza penale alla condotta del G., sul presupposto che tale trattamento sia avvenuto a fini esclusivamente personali e non diffusivi.
Ciò in quanto, ad avviso del Collegio, i dati oggetto del trattamento di cui si discute erano destinati a fini comunicativi o diffusivi, alla luce delle nozioni di "comunicazione" e di "diffusione", fornite, rispettivamente, dal D.Lgs., n. 196 del 2003, art. 4, comma 1, lett. l) ed m), norma che attribuisce, con effetto vincolante per l'interprete, il significato dei termini tecnici, che integrano il precetto penale.
Sulla base di tale previsione deve, dunque, intendersi per "comunicazione, il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione; per "diffusione, il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione".
Se ciò è vero, come è vero, non appare revocabile in dubbio che i dati di cui si discute abbiano formato oggetto (quanto meno) di destinazione ad una "comunicazione sistematica", vale a dire di una delle due forme di destinazione (alternativamente previste), al cui verificarsi il menzionato D.Lgs. n. 196 del 2003, art. 5, comma 3, condiziona l'applicabilità delle disposizioni contenute nel Codice in materia di protezione dei dati personali (cfr. Cass., sez. 3^, 16/05/2013, n. 29071, rv. 256673).
La locuzione "sistematica", infatti, fa riferimento ad una comunicazione non occasionale che è destinata a creare un sistema di dati dal quale attingere organicamente e con una tendenziale continuità, come avvenuto in questo caso in cui i dati in questione sono stati rinvenuti dal perito d'ufficio sul personal computer dell'avv. M., soggetto terzo rispetto all'imputato (sul punto la contestazione del ricorrente appare generica e fattuale) e suo collaboratore nella nuova attività professionale intrapresa autonomamente dall'avv. G. dopo avere lasciato lo studio Gi., nonchè sui dispositivi informatici (pendrive e hard disk) del nuovo studio " G. e Partners", dove lavorava, per l'appunto, il M., che, come evidenziato dalla corte territoriale, "erano accessibili a tutti i professionisti che ivi lavoravano" (p. 19 e 15 sentenza di appello).
Risulta, pertanto, compiutamente dimostrata la destinazione dei dati, anche mediante messa a disposizione dei dati stessi, ad una conoscenza, da parte di uno o più soggetti determinati, che potevano averne contezza, mediante consultazione, resa possibile attraverso l'accesso dell'avvocato M. al proprio personal computer ovvero dello stesso avvocato M. e degli altri professionisti coinvolti nel nuovo studio fondato dall'avv. G. (non a caso, recante, nella sua sigla, uno specifico riferimento ad una pluralità di collaboratori: i partners) ai dispositivi informatici ivi esistenti.
L'accertata destinazione dei dati ad una comunicazione sistematica (sufficiente, si badi bene, per rendere la disciplina del Codice applicabile al trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali, non richiedendosi l'effettiva conoscenza dei dati stessi) rende, pertanto, priva di ogni rilevanza la questione posta dalla difesa sulla destinazione a scopi esclusivamente personali del trattamento di dati effettuato per finalità professionali.
Ed invero, ove anche si ritenesse destinato a scopi esclusivamente personali il trattamento di dati connesso allo svolgimento di una professione liberale, come quella dell'avvocato (anche se l'uso dell'avverbio "esclusivamente" nel testo del D.Lgs. n. 196 del 2003, art. 5, comma 3, sembra impedire in radice che il trattamento di dati connessi all'esercizio di una professione possa essere inteso come circoscritto alla sola sfera personale dei soggetti interessati), le modalità con cui il suddetto trattamento è stato realizzato nel caso in esame, caratterizzate, come si è detto, dalla destinazione alla comunicazione sistematica dei dati stessi, rende, comunque, penalmente rilevante la condotta dell'imputato, ai sensi del D.Lgs. n. 196 del 2003, art. 23, comma 1, non consentendo l'operatività della clausola di salvezza desumibile a contrario dal disposto del citato D.Lgs. n. 196 del 2003, art. 5, comma 3.
4.2. Con riferimento alla natura dei dati trattati, deve ribadirsi la correttezza della qualificazione operata già nell'imputazione, condivisa dai giudici di merito, in termini di "dati personali", che, alla luce di quanto statuito dal D.Lgs. n. 196 del 2003, art. 23, comma 1, possono formare oggetto di trattamento, "solo con il consenso espresso dell'interessato", la cui mancanza determina l'applicazione della norma penale prevista dal citato D.Lgs. n. 196 del 2003, art. 167, comma 1.
Anche in questo caso la relativa nozione è reperibile nel D.Lgs. n. 196 del 2003, art. 4, comma 1, lett. b), secondo cui deve intendersi per "dato personale" (nozione diversa, giova ricordare, da quelle di "dati identificativi"; "dati sensibili" e "dati giudiziari", del pari contenute nel medesimo art. 4), "qualunque informazione relativa a persona fisica identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale".
Appare, pertanto, evidente, che i dati oggetto del trattamento, rappresentati dall'elenco dei clienti dello studio "(OMISSIS)", con i relativi indirizzi e numeri telefonici, e dai documenti allegati alle pratiche che li riguardavano (pacificamente costituiti, tra l'altro, come rilevato dallo stesso ricorrente, da pareri legali, atti di citazione, comparse di risposta, lettere e contratti), rientrano nella nozione normativamente fissata di "dato personale", contenendo una pluralità di informazioni relative a persone fisiche identificate o identificabili, rappresentate, innanzitutto, dai clienti dello studio Gi..
Al riguardo va, inoltre, osservato che la maggior parte dei dati di cui si discute appartengono non allo studio "(OMISSIS)", ma ai singoli soggetti che si sono affidati allo studio in questione per la tutela dei propri interessi e che non hanno prestato alcun consenso esplicito al trattamento dei dati effettuato dal G., così come del resto, nessun consenso, che, come si è visto, deve essere espresso per rendere legittimo il trattamento di dati personali da parte di privati, risulta essere stato prestato al riguardo dai titolari dello studio "(OMISSIS)", ove si volesse comunque aderire alla tesi (invero insostenibile), che si tratta di dati appartenenti al suddetto studio.
Nè i dati di cui si discute possono considerarsi dati di cui è possibile effettuare il trattamento senza consenso, ai sensi del D.Lgs. n. 196 del 2003, art. 24, lett. b), dati, cioè, il cui trattamento è necessario per eseguire obblighi derivanti da un contratto del quale è parte l'interessato o per adempiere, prima della conclusione del contratto, a specifiche richieste dell'interessato, posto che il G. non era certo parte, nemmeno in senso lato, dei singoli contratti di prestazione d'opera intercorsi tra i clienti non riconducibili al "(OMISSIS)" e lo studio "(OMISSIS)", nè era coinvolto nelle attività volte alla conclusione dei suddetti contratti.
Del pari i dati di cui si discute non possono essere considerati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque (circostanza che, ove dimostrata, escluderebbe, ai sensi del D.Lgs. n. 196 del 2003, art. 24, lett. c, la configurabilità del reato: cfr. Cass., sez. 3^, 17/11/2004, n. 5728), posto che, quanto meno le pratiche legali oggetto del trattamento e la documentazione ad esse allegata, testimoniano l'esistenza di un rapporto professionale tra i clienti e lo studio Gi., sicuramente non destinato, sia nella sua esistenza che nel suo svolgersi attraverso il compimento di specifici atti (lettere; schemi di contratti; atti giudiziari), ad essere conoscibile da chiunque (termine con cui, in tutta evidenza, si allude ad una platea potenzialmente illimitata e non preventivamente definibile di utenti), al di fuori del rapporto di prestazione d'opera instaurato.
E ciò a prescindere dalla circostanza evidenziata nella memoria della parte civile che nei documenti di cui si discute vi fossero anche i numeri delle utenze cellulari personali dei soci dello studio Gi., il cui trattamento, senza consenso, secondo l'orientamento prevalente nella giurisprudenza di legittimità, integra il reato D.Lgs. n. 196 del 2003, ex art. 167, comma 1, (cfr. Cass., sez. 3^, 17/02/2011, n. 21839; Cass., sez. 3^, 23/10/2008, n. 46203, rv. 241787), a meno che non si dimostri (ma tale onere non è stato specificamente assolto dal ricorrente) che tali numeri fossero, come si è detto, facilmente conoscibili da chiunque.
Una volta risolta nel senso ora indicato la questione della qualificazione dei dati oggetto di trattamento, perde ogni rilievo la censura difensiva riguardante il dolo specifico, costruita intorno all'assunto erroneo secondo cui possono considerarsi dati personali solo quelli contenenti l'indicazione del nome e del cognome degli avvocati A. e Gi..
Si tratta di una questione, anche nella prospettiva fatta propria dal Collegio, manifestamente infondata.
Ed invero, posto che, come affermato da un condivisibile arresto della Suprema Corte, ai fini del delitto di trattamento illecito di dati personali, di cui al D.Lgs. n. 196 del 2003, art. 167, comma 2, il nocumento (su cui, nel caso in esame, il ricorrente non svolge nessuna censura, a fronte di una articolata e condivisibile motivazione sul punto da parte dei giudici di merito: cfr. p. 25 della sentenza di primo grado) può sussistere anche quando dal trattamento di dati sensibili derivino, per la persona offesa, effetti pregiudizievoli sotto il profilo morale, il profitto, quale oggetto del dolo specifico richiesto dalla norma incriminatrice, può concretarsi in qualsiasi soddisfazione o godimento che l'agente sì ripromette di ritrarre, anche non immediatamente dalla propria azione (cfr. Cass., sez. 5^, 07/03/2013, n. 28280).
Ne consegue che correttamente i giudici di merito hanno ravvisato il profitto oggetto del dolo specifico, desumibile dalla condotta del reo, nella circostanza che "i dati in questione" (vale a dire quelli, numerosissimi, riferibili ai clienti dello studio Gi.) "erano evidentemente destinati al riutilizzo nella successiva attività professionale" dell'imputato, "come comprovato dall'effettivo rinvenimento degli stessi su supporti ritrovati nel nuovo studio del G." (cfr. p. 24 della sentenza di primo grado; p. 20 della sentenza di appello).
Può, in conclusione affermarsi, la fondatezza dell'assunto accusatorio nei termini fatti propri dai giudici di merito, dovendosi ribadire il principio secondo cui l'assoggettamento alla norma in tema di divieto di diffusione di dati personali riguarda tutti indistintamente i soggetti entrati in possesso di dati, i quali saranno tenuti a rispettare sacralmente la privacy di altri soggetti con i primi entrati in contatto, al fine di assicurare un corretto trattamento di quei dati senza arbitrii o pericolose intrusioni (cfr. Cass. sez. III, 17/02/2011, n. 21839).
4.3. Manifestamente infondato, appare, infine l'ultimo motivo di ricorso mancando in radice i presupposti dell'invocato assorbimento.
Tra le fattispecie in esame, infatti, non sussiste alcun rapporto di specialità che si presenti riconducibile alla nozione accolta nell'art. 15 c.p., in quanto - a parte ogni considerazione sulla identità o meno dei beni giuridici da esse tutelati e - in un reato la condotta presa in considerazione dalla legge è quella di accesso e mantenimento abusivi in un sistema informatico, mentre nell'altro la condotta incriminata è quella del trattamento senza consenso dei dati personali, sicchè si riscontra in ciascuna delle due ipotesi criminose una diversità di condotte finalistiche ed una diversità di attività materiali che non lascia sussistere tra esse quella relazione di omogeneità che le rende riconducibili "ad unum" nella figura del reato speciale ex art. 15 c.p. (cfr., in tema di assorbimento, Cass., sez. 2^, 7.3.1997, n. 2709, rv. 207315).
Inconferente, dunque, appare l'invocata applicazione della clausola di salvezza con cui si apre il testo del D.Lgs. n. 196 del 2003, art. 167, comma 1, posto che le due fattispecie di reato di cui si discute non hanno ad oggetto il medesimo fatto.
5. Sulla base delle svolte considerazioni il ricorso di cui in premessa va, dunque, rigettato, con condanna del ricorrente, ai sensi dell'art. 616 c.p.p., al pagamento delle spese del procedimento, nonchè alla rifusione, in favore delle parti civili costituite delle spese del presente giudizio di legittimità, che si fissano in complessivi Euro 5000,00, oltre accessori come per legge.
P.Q.M.
rigetta il ricorso e condanna il ricorrente al pagamento delle spese processuali e alla rifusione delle spese di parte civile, liquidate in complessivi Euro 5000,00, oltre accessori di legge.
Conclusione
Così deciso in Roma, il 5 dicembre 2016.
Depositato in Cancelleria il 13 marzo 2017