Codici CVV: divulgarli non è più reato
È oramai un dato acquisito che l’entrata in vigore, tramite il d.lgs. 101/2018, del Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (d’ora in avanti, GDPR), ha profondamente innovato la materia un tempo regolata dal c.d. Codice della Privacy (d.lgs. 196/2003).
Il legislatore italiano, con il d.lgs. 101/2018, ha modificato il predetto Codice, sia abrogando numerosissime disposizioni ormai superate dall’impianto normativo contenuto nel GDPR, sia intervenendo in termini assai significativi sull’impianto sanzionatorio.
Infatti, da un lato sono state introdotte una serie di ulteriori ipotesi di illecito amministrativo per la violazione di alcune disposizioni del Codice, dettagliatamente indicate nel novellato art. 166 Codice Privacy; dall’altro lato, il d.lgs. n. 101 ha considerevolmente ridotto l’ambito della risposta sanzionatoria penale: il nuovo testo dell’art. 167 ha tenuto ferma la rilevanza penale solo di alcuni specifici comportamenti.
In particolare, continuano a essere penalmente sanzionate, ai sensi dell’art. 167 (commi 1 e 2), d.lgs. 196/2003, solo le seguenti violazioni, purché sorrette dal dolo specifico di trarre per sé o per altri profitto, o di recare all’interessato un danno, e purché produttive di “nocumento” a quest’ultimo:
- violazione delle norme relative al trattamento dei dati relativi al traffico, riguardanti contraenti e utenti trattati dal fornitore di una rete pubblica di comunicazioni o di un servizio di comunicazione elettronica accessibile al pubblico (c.d. tabulati, art. 123 del Codice);
- violazioni delle norme relative al trattamento dei dati relativi all’ubicazione, diversi da quelli relativi al traffico, riguardanti i medesi soggetti (art. 126);
- violazione delle norme riguardanti le “comunicazioni indesiderate” (art. 130);
- violazioni dei provvedimenti del Garante in tema di inserimento ed utilizzo dei dati personali negli elenchi cartacei o elettronici a disposizione del pubblico (art. 129);
- violazione delle disposizioni in tema di trattamento dei dati sensibili e dei dati giudiziari.
A queste si aggiungono le nuove disposizioni introdotte al terzo comma dell’art. 167, all’art. 167 bis e all’art. 167 ter i quali prevedono, rispettivamente, sanzioni penali per la violazione delle disposizioni in tema di trasferimento dei dati personali verso un paese terzo o un’organizzazione internazionale, in tema di comunicazione e diffusione illecite, e di acquisizione fraudolenta, di un archivio automatizzato o di una sua parte sostanziale, che contenga dati personali oggetto di trattamento su larga scala.
Per effetto della nuova normativa, dunque, sono risultate di fatto depenalizzate diverse delle condotte previste dalla precedente formulazione dell’art. 167 Codice Privacy. Ad esempio, quanto alla violazione delle disposizioni in tema di tutela dei dati personali, non rientra più nella cornice sanzionatoria penale la condotta consistita nell’abusivo utilizzo dei codici di sicurezza della carta di credito (CVC o CVV), senza consenso della persona offesa.
La rilevanza penale di tale condotta trovava in passato fondamento nella prospettata violazione degli artt. 23 e 25 lett b) del “vecchio” Codice Privacy (in tema, rispettivamente, di trattamento dei dati senza consenso e per finalità diverse da quelle previste): disposizioni oggi abrogate dal d.lgs. 101/2018 di introduzione in Italia della normativa del GDPR.
Per effetto del GDPR, dunque, non ha più rilevanza penale, ai sensi dell’art. 167 del Codice Privacy, la condotta dell’operatrice del servizio pay per view che sfrutta, senza consenso e a proprio vantaggio, i dati della carta di credito comunicati dal cliente in occasione della lavorazione del contratto. La comunicazione a terze persone del codice CVV (o CVC), anche se il fatto è commesso dal dipendente dell’istituto di credito che si è occupato del contratto da far sottoscrivere al cliente, non è quindi più reato, ma solo un illecito amministrativo, sanzionabile con una sanzione pecuniaria.
Quanto sopra è stato affermato dalla Corte di Cassazione penale, sezione feriale, con la sentenza n. 40140/2019 con la quale è stata annullata la condanna in appello di un’operatrice bancaria chiamata a rispondere delle violazioni di cui agli – oggi abrogati – artt. 23 e 25, lett b), del Codice Privacy.
Alla luce del nuovo testo dell’art. 167 Codice Privacy, la condotta ascritta all’imputata doveva ritenersi ormai estranea alla norma incriminatrice, che prende oramai in considerazione, ai fini della rilevanza penale, solo le violazioni degli artt. 123, 126, 129, 130, ovvero il trattamento di particolari categorie di dati personali in violazione delle disposizioni di cui agli artt. 2 sexies, 2 septies, 2 octies e 2 quinquiesdecies del Codice Privacy (d.lgs. 196/2003).