La Corte di Cassazione, anche con una recente sentenza, ha ribadito il principio che la creazione di un account su Facebook usando il nome di una persona inconsapevole configura il reato di sostituzione di persona (Codice Penale art. 494). In particolare la norma punisce la condotta di chiunque, al fine di procurare a sé o ad altri un vantaggio o recare ad altri un danno, induce taluno in errore sostituendo la propria all’altrui persona oppure attribuendo a sé o ad altri un falso nome o un falso stato o eventuali qualifiche cui la legge attribuisce effetti giuridici ( ad esempio spacciarsi per poliziotto è punibile con una pena edittale massima di un anno).

Il reato è oltretutto perseguibile d’ufficio. Non sarà quindi necessario che sia il diretto interessato vittima della creazione di un falso profilo a presentare querela, ma anche un terzo può legittimamente portare a conoscenza del fatto l’autorità giudiziaria in funzione di tutela (ad esempio un conoscente). Nel caso di minori potranno essere i genitori ad agire per tutelare i propri figli.

• Un reato contro la privacy

Numerose le sentenze sul punto che hanno portato alla formazione di una giurisprudenza ormai consolidata e rigorosa che ha visto di volta in volta la condanna di chi crea un profilo Facebook o su altro social utilizzando il nome, magari corredato di immagini, di un’altra persona. Del tutto indifferente il motivo che ha indotto l’autore a compiere il gesto. Infatti, già nel 2014, la Cassazione ha ritenuto che il reato fosse integrato "nell’ipotesi di utilizzo del profilo al fine di intrattenere rapporti con altre persone (solitamente di sesso opposto) oppure per una propria vanità (costituente vantaggio non patrimoniale) o ancora al fine di ledere la immagine e la dignità della persona offesa apparentemente titolare del profilo creato dal reo."

Recentemente la Corte di Cassazione ha ribadito il principio nel caso di un uomo che, per motivi sentimentali, aveva creato un profilo con dati e foto di una ragazza allo scopo di farla allontanare da altri possibili corteggiatori. Nel caso in questione, inoltre, i Giudici di Piazza Cavour hanno confermato - ma per motivi procedurali e senza entrare nel merito-  la condanna dell’imputato al pagamento di una provvisionale di € 2.000,00 a favore della vittima in attesa del giudizio civile per l’effettiva quantificazione del danno. Furono respinte invece tutte le istanze della difesa, la quale si era trincerata dietro un presunto attacco di hacker. Sembra inutile ricordarlo, ma è bene sempre tenere presente che la rete lascia tracce sempre visibili e che difficilmente possono essere cancellate: l’IP da cui si inviano messaggi è facilmente individuabile da chiunque sappia muoversi in rete, figuriamoci dagli organi di Polizia.

Come dimostra l’ultimo caso indicato, oltre alle conseguenze penali, esiste la possibilità per la vittima sia di costituirsi parte civile che di rivolgersi direttamente in detta sede per ottenere il risarcimento del danno. Si tratta di circostanza che, verosimilmente, potrebbe essere molto più deterrente e decisamente punitiva per l’autore del fatto. Difficile che possano essere riconosciuti risarcimenti milionari ma, come nella fattispecie appena citata, una provvisionale di € 2.000,00 in sede penale potrebbe portare ad una quantificazione ben maggiore in sede civile. Si tratta sicuramente di utilizzo e di diffusione di dati personali altrui: dati per i quali, ancorchè noti (ad esempio il nome), il titolare non ha certo autorizzato il trattamento. Si aggraverebbe l’ipotesi in caso di uso di fotografie.

• Un reato contro la fede pubblica

Ultimo interessante aspetto più volte sottolineato dalla Giurisprudenza è che tale reato, oltre a ledere la sfera privata di un individuo, va collocato tra i delitti contro la fede pubblica, in quanto «questa può essere sorpresa da inganni relativi alla vera essenza di una persona o alla sua identità o ai suoi attributi sociali; siccome si tratta di inganni che possono superare la ristretta cerchia d’un determinato destinatario, il legislatore ha ravvisato in essi una costante insidia alla fede pubblica e non soltanto alla fede privata e alla tutela civilistica del diritto al nome». 

Il Regolamento Europeo per la protezione dei dati personali (che, ricordiamo, è già in vigore dalla sua pubblicazione nel 2016 e ha avuto piena applicazione dal 25 Maggio 2018), prevede all’articolo 28 la figura, non presente nelle precedenti normative, del DPO - Data Protection Officer - o Responsabile per la protezione dei dati. Figura che non coincide con quella del Titolare del Trattamento. Si tratta di una figura che deve agire in maniera indipendente e senza vincoli di subordinazione e che deve essere nominata con un atto scritto, che si consiglia sia estremamente dettagliato, dal Titolare del Trattamento Dati. Il nominato, per poter assolvere i compiti di cui è investito,  deve avere una conoscenza specialistica non solo della normativa, ma anche conoscenze di livello tecnico.

A fini non solo terminologici bensì sostanziali, è indispensabile chiarire che per Titolare del Trattamento si intende la persona fisica o giuridica, o la pubblica amministrazione, cui competono le scelte di fondo sulle finalità e modalità del trattamento dati, anche per quanto riguarda la sicurezza degli stessi. Il titolare del trattamento non è, quindi, chi gestisce i dati, ma chi decide il motivo e le modalità del trattamento: è il soggetto responsabile giuridicamente dell'ottemperanza degli obblighi previsti dalla normativa, sia nazionale che internazionale, in materia di protezione dei dati personali, compreso l'obbligo di notifica al Garante nei casi previsti. Tra questi obblighi è importante ricordare che il titolare del trattamento deve porre in essere misure tecniche e organizzative adeguate per garantire, sin dalla fase della progettazione, la tutela dei diritti dell'interessato. Come del resto è intuitivo, è proprio il Titolare ad essere vincolato ai doveri di riservatezza, intendendo non solo il divieto di divulgazione, ma anche la funzione di garanzia.