Diritto, procedura, esecuzione penale  -  Redazione P&D  -  26/10/2021

Il revenge porn entra nel Codice della privacy - Elena Mandarà

Con l’adozione del c.d. “decreto capienze” (D.L. n. 139 del 8 ottobre 2021) si torna a parlare di “revenge porn”. L’art. 9 del decreto interviene su alcune disposizioni del Codice Privacy, in particolare introducendo il nuovo art. 144bis, che al comma 1 recita: “Chiunque, compresi i minori ultraquattordicenni, abbia fondato motivo di ritenere che immagini o video a contenuto sessualmente esplicito che lo riguardano, destinati a rimanere privati, possano essere oggetto di invio, consegna, cessione, pubblicazione o diffusione senza il suo consenso in violazione dell’art. 612ter del codice penale, può rivolgersi, mediante segnalazione o reclamo, al Garante, il quale, entro quarantotto ore dal ricevimento della richiesta, provvede ai sensi dell’articolo 58 del regolamento (UE) 2016/679 e degli articoli 143 e 144”. 

Viene richiamato esplicitamente l’art. 612ter c.p., con il quale nel 2019 – grazie all’approvazione del cosiddetto Codice Rosso – è stato introdotto nel nostro ordinamento il reato comunemente chiamato revenge porn, ossia la condivisione di immagini a contenuto sessualmente esplicito senza il consenso dell’interessato. Il nuovo intervento legislativo è evidentemente il segno, non soltanto della diffusione del fenomeno, ma anche della attenzione sociale che esso ha destato.

Una valutazione completa e puntuale della nuova disposizione richiede però di fare un passo indietro, a partire dall’analisi dell’espressione “revenge porn” e da considerazioni di più ampio respiro sul fenomeno.

Si tratta infatti di un tema sociale e culturale, prima ancora che rilevante per il diritto, che coinvolge una vastissima parte della popolazione e del quale si parla spesso in termini impropri e guardando da una prospettiva sbagliata. È stato giustamente osservato come l’espressione sia equivoca e fuorviante (1).

L’espressione “revenge porn” è inesatta per due motivi fondamentali. Anzitutto, il termine “revenge” – letteralmente “vendetta” – richiama l’idea di una reazione ad una aggressione altrui, o addirittura di un torto da riparare, riconducendo la causa originaria della condotta ad un presunto comportamento della vittima. Talvolta questo è il primo passaggio che poi conduce alla colpevolizzazione della vittima, con un atteggiamento simile a quello che accompagna spesso gli episodi di violenza sessuale, quando si presta attenzione all’abbigliamento o all’atteggiamento di chi subisce violenza. Parimenti errato è l’utilizzo del termine “porn”, che sembra implicare la natura volutamente trasgressiva delle immagini. In realtà le immagini oggetto di divulgazione sono generalmente estratte da contesti relazionali e intimi di comune esperienza, ove il pregiudizio deriva proprio dal sottrarre le stesse dal contesto naturale e privato al quale appartengono. L’elemento che caratterizza il reato, infatti, consiste proprio nell’assenza del consenso alla diffusione di contenuti destinati a restare privati. In altre parole, andrebbe posto l’accento esclusivamente sulla negatività del comportamento di chi va contro la volontà dell’altra persona, allo scopo di arrecarle un danno. Sarebbe dunque più opportuno parlare di vera e propria violenza, realizzata secondo le modalità descritte dalla norma. 

Ulteriori problemi attengono alla effettività della tutela garantita alle vittime. Nonostante l’introduzione nel codice penale dell’art. 612ter abbia senz’altro rappresentato un notevole passo avanti nella lotta al fenomeno, i limiti della disciplina e la necessità di intervenire ulteriormente si sono subito resi evidenti. 

La norma - che punisce con la reclusione e l’irrogazione di una multa da 5.000 a 15.000 euro l’invio, la consegna, la cessione, la pubblicazione o diffusione di immagini o video a contenuto sessualmente esplicito, destinati a rimanere privati, senza il consenso delle persone rappresentate – non si presta infatti ad arginare efficacemente gli effetti della diffusione di tali contenuti attraverso internet o l’uso dei social network, tenuto conto soprattutto dell’elevato numero di soggetti coinvolti.

Di questi aspetti critici è da tempo consapevole lo stesso Garante della privacy, i cui membri hanno in più occasioni ribadito la necessità di responsabilizzare le piattaforme (e prima ancora gli utenti) ricordando la propria competenza ad intervenire in materia, dal momento che la diffusione di immagini a contenuto sessualmente esplicito costituisce comunque una diffusione illecita di dati personali.

Inoltre il Garante, tenendo conto proprio dell’importanza del ruolo svolto dai social network nella diffusione del fenomeno, ha perfezionato un accordo con Facebook, istituendo un meccanismo attraverso il quale viene data agli utenti la possibilità di segnalare il caso in cui ragionevolmente temano che loro immagini a contenuto sessualmente esplicito siano divulgate attraverso le piattaforme della società (Facebook e Instagram), affinché questa intervenga per proteggerli e criptarli grazie all’utilizzo di un codice hash. Il meccanismo di tutela può essere attivato attraverso il sito del Garante, mediante la compilazione di un form da inviare via e-mail.

Naturalmente, per quanto lo scopo e l’intento di questo accordo siano apprezzabili, la sua portata resta comunque limitata, trattandosi di un meccanismo che coinvolge soltanto i due social succitati.

In questo quadro, occorre dunque interrogarsi su quale sia l’effettiva portata innovativa del nuovo art. 144bis del Codice Privacy e in che misura questo possa contribuire a contrastare concretamente il fenomeno.

In verità, in presenza della fattispecie penale, e dunque di una grave violazione dei dati personali, la norma introdotta ora con il decreto 139 si limita a ribadire i poteri del Garante, evocando la possibilità che egli intervenga ai sensi dell’art. 58 del GDPR. Il Garante potrà quindi esercitare i propri poteri di indagine e correttivi, così come li poteva esercitare in precedenza, al fine di inibire la condotta illecita e/o eliminarne gli effetti negativi. Ad esempio, l’Autorità ha il potere di "imporre una limitazione provvisoria o definitiva al trattamento, incluso il divieto di trattamento" nonché di "ordinare la rettifica, la cancellazione di dati personali o la limitazione del trattamento". 

L’iniziativa potrà essere della stessa vittima, con reclamo (ex art. 142 e art. 143 del Codice della privacy) o con segnalazione (art. 144 del Codice). Una significativa novità si rinviene nella attribuzione della legittimazione ad agire anche ai minori ultraquattordicenni, vittime sempre più frequenti di questo fenomeno. Il secondo comma dell’articolo prevede tuttavia, per il vero pleonasticamente, che il reclamo possa essere proposto anche dai genitori del minore o da chi esercita la responsabilità genitoriale. 

L’interessato può proporre il reclamo o la segnalazione personalmente, ma per il reclamo è altresì riconosciuta la possibilità di conferire mandato ad un ente del terzo settore attivo nella tutela della protezione dei dati personali dell’individuo.

Anche la giurisprudenza aveva osservato come le condotte idonee ad integrare il reato di cui all’art. 612ter c.p. costituissero al contempo una violazione dell’art. 167bis del Codice Privacy, che vieta l’illecita diffusione di dati personali (sul punto, si veda Cass. pen. n. 3050/20). 

La nuova disposizione tende però ad ampliare la tutela riconosciuta alle vittime del reato, consentendo loro di agire anche prima che la condotta criminosa sia posta in essere e mettendo loro a disposizione strumenti ulteriori e più accessibili rispetto al rimedio giurisdizionale.

Ai sensi dell’art. 612ter c.p., infatti, la vittima di revenge porn può rivolgersi all’autorità giudiziaria soltanto dopo che le immagini o video a contenuto sessualmente esplicito siano state inviate, consegnate, cedute, pubblicate o diffuse senza il suo consenso. Una volta, cioè, che il fatto sia commesso. La lettera del nuovo art. 144bis, invece, attribuisce la possibilità di richiedere l’intervento del Garante anche nel momento in cui sussista soltanto il fondato timore che una delle ipotesi sopra descritte si realizzi.

Ci si deve inoltre interrogare sulla possibilità che la nuova norma consenta un’estensione dell’ambito di competenza del Garante, sinora limitato al perimetro dell’applicazione del GDPR.

Occorre, a parere di chi scrive, porre attenzione al rapporto fra il nuovo art. 144bis del Codice privacy e l’art. 2, para 2, lett c) del GDPR, che esclude l’applicazione del Regolamento – e, di conseguenza, la competenza delle Autorità di controllo - per i trattamenti di dati personali “effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico” (c.d. household exemption). La disposizione ha l’effetto di sottrarre alla disciplina del GDPR le attività svolte per ragioni estranee all’esercizio di un’attività professionale o commerciale, o almeno la gran parte di esse. Il considerando 18 ne chiarisce il significato, specificando che, ad esempio, la corrispondenza e gli indirizzari, così come l’utilizzo dei social network, ricadono entro l’esenzione.

Lo sviluppo sempre maggiore delle nuove tecnologie e la capacità degli individui di divulgare facilmente dati personali propri o altrui, ha fatto emergere il problema di reinterpretare l’esenzione e di individuarne l’effettivo perimetro.

Già nel 2013, sotto la vigenza della vecchia Direttiva, ma in commento alla bozza del Regolamento che sarebbe stato successivamente approvato, l’art. 29 WP aveva espresso numerose perplessità in merito all’applicazione di questa disposizione nel contesto dei social network e della nuova realtà digitale. Il problema verte intorno alla necessità di bilanciare l’impatto della diffusione di dati online e la tutela delle attività a carattere strettamente personale, che non possono essere oggetto di supervisione o indagine da parte delle autorità competenti.

Nell’Allegato 2 del 27 febbraio 2013, l’art. 29 WP ha fornito alcuni criteri da tenere in considerazione per determinare se un’attività debba essere considerata o meno a carattere domestico o personale. Ad esempio, rileva l’ipotesi in cui i dati siano diffusi fra un numero di persone indefinite, piuttosto che fra una comunità limitata di amici, familiari o conoscenti. O, ancora, se il soggetto i cui dati personali vengono divulgati non abbia alcun rapporto familiare o domestico con chi diffonde tali dati. Alcune pronunce del Garante sembrano seguire questa stessa impostazione. Un esempio è dato dal provv. N. 04 del 18 aprile 2019, in cui l’autorità ha specificato che la divulgazione di dati su profili Facebook aperti o assimilabili non gode dell’esenzione di cui all’art. 2, para 2, lett. c) del Regolamento.

Tuttavia, anche interpretando restrittivamente l’esenzione personale/domestica, alcune condotte penalmente rilevanti ai sensi dell’art. 612ter c.p. possono ben consistere in attività a carattere domestico o personale, quindi escluse dal GDPR. Basti fare qualche esempio tenendo conto dei parametri illustrati dal suddetto all’Allegato 2. L’invio di un’immagine a contenuto sessualmente esplicito attraverso una chat privata o utilizzando un sistema di messaggistica istantanea, sia rivolto ad una singola persona che ad un gruppo ristretto di amici, non sarebbe rilevante ai sensi del GDPR, pur integrando il reato di revenge porn. Inoltre, nella maggior parte dei casi, le immagini divulgate sono realizzate in un contesto intimo, che presuppone l’esistenza di un rapporto personale fra i soggetti coinvolti. Né, al fine di rivendicare l’applicabilità del Regolamento, ci potrebbe appellare alla natura del dato diffuso, dal momento che il criterio su cui si basa l’esenzione è esclusivamente quello del contesto in cui è posto in essere il trattamento, ossia un’attività a carattere esclusivamente personale o domestico.

Gli stessi membri dell’art. 29 avevano già evidenziato la possibilità che determinate condotte, pur potendo arrecare un danno agli individui, non rendessero invocabile la tutela prestata dal Regolamento, restando comunque rilevanti per altri settori del diritto. 

Ebbene, il nuovo art. 144bis del Codice privacy estende la competenza del Garante anche a fattispecie estranee all’applicazione del GDPR e consente ora agli interessati la possibilità di chiedere e ottenere la tutela da parte del Garante in tutti i casi in cui vi sia il fondato timore che stia per essere realizzata una condotta rilevante ai sensi dell’art. 612ter c.p. 

Gli strumenti attraverso i quali può essere invocata la tutela da parte dell’Autorità sono sia il reclamo che la segnalazione. 

Il reclamo è lo strumento di cui, ai sensi dell’art. 141 del Codice Privacy e dell’art. 77 GDPR, possono avvalersi gli interessati per denunciare la violazione di una delle disposizioni del Regolamento o per far valere i diritti loro riconosciuti. 

Il reclamo, a differenza della segnalazione, deve recare una descrizione dettagliata dei fatti e delle circostanze su cui si fonda, nonché un’indicazione delle norme che si ritiene siano state violate e una formulazione specifica della richiesta rivolta al Garante. Fra gli elementi richiesti figura anche l’indicazione del titolare o del responsabile del trattamento, laddove conosciuto. Si noti che sotto questo profilo la disciplina nazionale è più precisa di quella europea, in quanto l’art. 77 GDPR non individua specificamente i legittimati passivi verso i quali può essere proposto reclamo. Il Codice Privacy, invece, anche alla luce dell’interpretazione che ne è stata data dalla giurisprudenza e alla luce di quanto previsto dal Regolamento 1/2019 che disciplina le modalità concrete di svolgimento della fase istruttoria a seguito di reclamo, sembra riconoscere quest’ultimo quale specifico strumento di reazione alle violazioni del titolare o del responsabile. 

Si vedrà se la nuova disposizione sarà interpretata nel senso di ampliare il novero dei legittimati passivi – in maniera coerente rispetto alla ratio e allo scopo perseguito dalla stessa e facendo riferimento anche al GDPR – o se si tenterà di darne un’interpretazione restrittiva, che finirebbe con limitarne la portata e l’utilità.

Quanto alla segnalazione ex art. 144 del Codice Privacy, si tratta di uno strumento di tutela che consente all’interessato di ottenere l’intervento del Garante senza dover rispettare i vincoli formali richiesti per la presentazione del reclamo (ad esempio, nell’ipotesi in cui il soggetto non disponga di documentazione sufficiente a fornire una descrizione dettagliata dei fatti e delle circostanze). Inoltre, secondo quanto stabilito dal Regolamento 1/2019, tutti gli atti diversi dalle richieste di parere e dai quesiti, volte a sollecitare un controllo del Garante, ma che non presentino i requisiti propri del reclamo, dovranno essere qualificati come segnalazioni ed esaminati in quanto tali. Lo scopo della segnalazione è quello di sollecitare il controllo del Garante, ma in questo caso l’Autorità non è tenuta ad assumere una decisione. Si tratta di uno degli elementi che differenzia il reclamo e la segnalazione. Inoltre, a differenza del reclamo, la legittimazione a proporre una segnalazione spetta a chiunque e non solo al soggetto interessato. Nel caso contemplato dall’art- 144bis, tuttavia, questa possibilità sembrerebbe preclusa dalla presenza della locuzione “che lo riguardano” in riferimento alle immagini a contenuto sessualmente esplicito in riferimento alle quali può essere invocata la tutela prevista dall’articolo. Interpretando letteralmente la norma dovrebbe concludersi che solo il soggetto interessato abbia diritto di chiedere l’intervento del Garante.

Nell’ambito della valutazione complessiva dell’utilità della nuova norma, altri due elementi meritano attenzione. In primo luogo, tanto il reclamo quanto la segnalazione sono strumenti di tutela azionabili dalle vittime gratuitamente. A differenza di quanto avviene per gli ordinari mezzi di giurisdizione, l’interessato non è gravato da alcun onere economico, circostanza che rende senz’altro più agevole e accessibile a tutti il ricorso a questo strumento.

Infine, la norma dispone che il Garante debba pronunciarsi sulla richiesta entro 48 ore dal ricevimento della stessa. Si tratta di una deroga alla disciplina ordinaria, giustificata dall’eccezionalità della situazione e dalla necessità di un intervento immediato. Di regola, infatti, l’art. 143 del Codice Privacy dispone che il Garante debba decidere sul reclamo entro nove mesi dalla presentazione dello stesso (che possono allungarsi fino a dodici in presenza di specifiche esigenze istruttorie), mentre non è indicato alcun termine specifico per le decisioni a seguito di segnalazione. 


 1. Claudia Torrisi, “Perché non dovremmo chiamarlo “revenge porn”, (4 dicembre 2020, Valigia Blu), accessibile dahttps://www.valigiablu.it/revenge-porn-violenza-donne/ (ultimo accesso 13 ottobre 2021); Rosita Rjitano, “Una violenza è una violenza. E non è colpa tua”,(Lavialibera – Nessuna parità oltre la finzione, n. 7/2021) 





Articoli correlati