Blog

UNIVERSITÀ DEGLI STUDI DI URBINO
FACOLTA’ DI GIURISPRUDENZA
Corso di Laurea in Giurisprudenza

 
TRATTAMENTO DEI DATI PERSONALI E TUTELA PENALE
Le posizioni di garanzia previste dalla Legge N. 675/96

 
Relatore: Chiar. mo Prof.                                  Tesi di Laurea di:
LUCIO MONACO                                             GABRIELE BRACCIONI

_____________________________

ANNO ACCADEMICO 2001-2002

a mio padre, mia madre e mio fratello Filippo.

 a Marilisa.

_____________________________

 INDICE

CAPITOLO I

  

TUTELA PENALE DELLA PERSONA: UN SETTORE IN EVOLUZIONE

  

1. Considerazioni introduttive

  1

2. Necessità di una tutela costituzionale 

  4

3. Condizionamento tecnico-scientifico e diritto penale “postmoderno” 

  8
   

CAPITOLO II

  

LA NOZIONE DI RISERVATEZZA

  

1. Premessa 

 14

2. Nascita del concetto di privacy 

 16

3. Evoluzione del concetto di riservatezza. Vita privata e individualità. Riservatezza e reputazione 

18

4. Ammissibilità costituzionale del diritto alla riservatezza: le Convenzioni internazionali. Limiti alla tutela penale

 22

5. Evoluzione della riservatezza nel diritto positivo italiano. Dal diritto ad essere lasciato solo all’interesse al controllo dei propri dati personali 

 31
   

CAPITOLO III

  

LA TUTELA DEI DATI PERSONALI (LEGGE 31 DICEMBRE 1996, N. 675) – PROFILI PENALISTICI.

  

1. La disciplina della tutela dei dati personali nell’esperienza degli ordinamenti stranieri 

 38

2. I progetti di legge e l’ansia di adeguamento agli obblighi internazionali

 43

3. Analisi della legge 31 dicembre 1996, n. 675. L’ampio ricorso alla tecnica delle “definizioni legali”

 49

4. Le fattispecie penali introdotte. Tutela di funzioni in luogo della tutela dei beni 

 54

      4.1. Omessa o infedele notificazione

 55

      4.2. Trattamento illecito di dati personali

 58

      4.3. Omessa adozione di misure necessarie alla sicurezza dei dati 

 61

      4.4. Inosservanza dei provvedimenti del Garante 

 62

      4.5. Falsità nelle dichiarazioni e nelle notificazioni al Garante

 63

5. Rilevanza dell’azione nell’ipotesi di omessa notificazione al Garante

 64

6. Rilevanza del consenso come indice della “postmodernizzazione” del diritto penale

 66
   

CAPITOLO IV

  

IL REATO OMISSIVO E I LIMITI DELLE POSIZIONE DI GARANZIA

  

1. Il reato omissivo nell’evoluzione del pensiero giuridico

 71

2. Reato omissivo “proprio” e reato omissivo “improprio”

 73

3. Il reato “commissivo mediante omissione” e le teorie a sua giustificazione (formalistica, sostanzialistico-funzionale e mista)

 75

4. Il superamento della teoria formale-sostanziale, e la ricostruzione dell’obbligo di garanzia alla luce dei principi fondamentali del diritto penale

 78

5. L’obbligo di garanzia, l’obbligo di attivarsi e l’obbligo di sorveglianza

 80

6. I poteri impeditivi del Garante

 85

7. L’obbligo di protezione, di controllo e di impedimento di reato

 86
   
   

CAPITOLO V

  

LE POSIZIONI DI GARANZIA PREVISTE DALLA LEGGE SULLA PRIVACY

  

1. Riconducibilità delle fattispecie omissive previste dalla L. 675/96 alla posizione di garanzia

 92

2. I soggetti destinatari dell’obbligo. Il rapporto tra “titolare” e “responsabile”

 94

3. Il contenuto dell’obbligo: L’impedimento di reato di terzi

102

4. Configurabilità del concorso omissivo nel reato di cui all’art. 35 L. 675/96 

112

5. La questione del rispetto della riserva di legge 

114

6. La tutela dei dati personali in internet. Cenni sulla responsabilità dell’internet service provider. Configurabilità di una posizione di garanzia

121

 

CAPITOLO I

TUTELA PENALE DELLA PERSONA: UN SETTORE IN EVOLUZIONE

1. Considerazioni introduttive – La tematica della tutela della persona umana è sempre stata al centro del dibattito penalistico; sin dall’antichità, affrontando tale questione, la si è risolta considerando i delitti contro l’essere umano come i c.d. “delitti naturali” per eccellenza[1]. Essi appartengono, secondo la miglior tradizione penalistica, alle “costanti” del diritto penale in quanto rappresentano, pur risentendo di mutamenti politico-ideologici e storico-culturali, un nucleo centrale tendenzialmente stabile di tutela giuridica.

Si può così affermare che essi siano una “costante” in senso legislativo-criminologico[2].

I condizionamenti storici[3] hanno comunque determinato delle “variabili”[4] nell’evoluzione del pensiero penalistico, nonché nel diritto penale positivo. Dette “variabili” consistono innanzitutto nella diversa portata e rilevanza delle c.d. scriminanti, le quali incidono notevolmente sul piano della concreta tutela apportata ai beni dell’essere umano; il secondo profilo, che è quello che interessa di più in questa sede, è quello delle tipologie di aggressione: queste hanno determinato diversi regimi giuridici di tutela a seconda delle scelte politiche e, soprattutto, della tempestività con la quale il legislatore ha adeguato il sistema penale contro la continua crescita delle forme di aggressione.[5]

Prima di descrivere i singoli delitti contro l’essere umano è necessario comprendere l’importanza della premessa ideologica: il modo di intendere l’essere umano condiziona le scelte legislative in maniera determinante. A tal proposito è bene citare brevemente un’autorevole dottrina la quale individua due diverse concezioni dell’essere umano: la prima, c.d. concezione utilitaristica, pone l’accento sull’uomo inteso come strumento di elaborazione (uomo-massa, uomo-mezzo); la seconda, c.d. concezione personalistica, considera l’uomo come fine, non in funzione di alcun interesse extrapersonale (uomo-valore, uomo-fine). Dall’accettazione di una o dell’altra concezione deriva un’attenzione ad aspetti diversi dell’agire umano, che porterà ad intendere il concepito, la morte e l’eutanasia come concetti profondamente differenti[6].

Non è però questa la sede per addentrarsi nel merito delle visioni filosofiche implicate nella scelta tra le diverse concezioni, né tantomeno si possono esaminare le conseguenze che ne derivano; ciò che interessava sottolineare è il fatto che il disvalore sotteso ai delitti contro l’essere umano è stato percepito anche dalle società più primitive, tanto che tutti gli ordinamenti giuridici ne hanno previsto una tutela basata sull’irrorazione di una pena.

2. Necessità di una tutela costituzionale. Legittimità della tutela dei nuovi interessi emersi con l’evolversi della società – Il nostro ordinamento, prevedendo una gerarchia delle fonti caratterizzata dalla rigidità, e ponendo al vertice di questa la Costituzione, non solo rende quest’ultima sovraordinata alle altre leggi (risolvendo cioè a suo favore eventuali contrasti normativi), ma la consacra a stella polare, vero e proprio faro guida al quale si deve ispirare la legislazione tutta[7]. Ciò sta a significare che anche (o meglio ancora, soprattutto) l’ambito della tutela penale deve trovare legittimazione, e quindi anche i limiti, nel dettato costituzionale.

 Per rispondere alla domanda – quali interessi debba tutelare il diritto penale – bisogna interrogare la Costituzione. Senza indagare gli aspetti più profondi della questione, è bene però ricordare che l’art. 13 della Costituzione, sancendo il carattere inviolabile della libertà personale, “riprova che l’uso della coercizione penale va limitato in rapporto ai quei soli casi che lasciano apparire inevitabile il costo di una restrizione della libertà come effetto dell’imposizione della sanzione”[8]. Ed è proprio la capacità della pena di incidere su un bene di rango costituzionale (la libertà personale), che ci impone di trovare nello stesso sistema di norme una giustificazione, consistente nella necessità di tutelare un interesse socialmente apprezzabile, dotato di rilevanza costituzionale.

 In altre parole: per limitare la libertà personale (cioè infliggere una sanzione penale) è necessario essere spinti dalla necessità di tutela di un bene anch’esso contenuto nel novero degli interessi contemplati dalla nostra Carta fondamentale.

Come è facile comprendere, nulla quaestio quando l’interesse da tutelare è esplicitamente richiamato dal testo della Costituzione, ma quod accidit per gli interessi di nuova emersione, che non potevano essere inseriti nel novero degli interessi tutelati, per il semplice fatto che quell’esigenza non era ancora avvertita (per una mancata presa di coscienza o perché lo sviluppo tecnologico non l’aveva ancora resa percepibile)?

Il legislatore costituzionale, in previsione di necessarie integrazioni, ha introdotto delle norme che sono delle vere valvole di sicurezza. L’art. 2 della Costituzione ne è un esempio eloquente.

Detto articolo “[…] riconosce e garantisce i diritti inviolabili dell’uomo […]  facendo innanzitutto intendere che i diritti in questione sono preesistenti alla stessa Costituzione; ma ciò che qui più interessa è il fatto che il legislatore Costituzionale, non potendo annoverarli tutti, ha previsto questo polmone che, in virtù della sua elasticità, può essere riempito tenendo particolarmente conto dell’evolversi dei costumi sociali[9].

In estrema sintesi la Costituzione deve fungere da referente ancor di più nell’ipotesi in cui l’interesse da tutelare sia esistente fuori di essa e ivi non previsto, poiché dovrà trovare adeguata sistemazione (mediante il ricorso alle valvole di sicurezza) per poter essere penalmente protetto[10].

 La questione dei “beni di nuovo conio” è uno dei principali temi dell’odierno dibattito fra i penalisti in quanto non coinvolge solo la tematica del bene giuridico, ma anche quella dello scopo della pena. Rimanendo a ciò che qui più interessa è bene far subito rilevare come questi nuovi beni che necessitano di tutela siano il frutto del collegamento della scienza penale con le istanze sociali, la cultura e soprattutto le scienze empiriche. Sin dagli anni settanta il processo di laicizzazione del diritto penale ha reso inevitabile il riferimento alle scienze empirico-sociali[11]. Rimettendo al testo in nota il compito di chiarire in maniera sistematica la questione, è qui sufficiente riportare solo le conclusioni, secondo le quali il problema del ruolo che detto sapere può rivestire è quello di indicare la migliore efficacia di una tecnica di protezione piuttosto che un’altra; oppure segnalare un bisogno di pena di un determinato interesse presso il contesto sociale, ma non potrà scegliere di tutelare o meno quel bene, in quanto questo è compito della politica criminale[12].

 Un esempio illuminante è quello del tema che ci apprestiamo ad esaminare: la riservatezza. E’ evidente che la necessità della sua tutela sia emersa quando lo sviluppo tecnologico ha consentito di percepire alcuni particolari della vita come meritevoli di protezione (la c.d. riservatezza informatica non poteva essere percepita prima dell’utilizzo diffuso delle tecnologie informatiche).

Per concludere, alla luce di tutto ciò oggi si può – o meglio si deve – ricomprendere nel novero dei delitti contro l’essere umano oltre ai tradizionali delitti contro la vita, l’incolumità personale e l’onore anche i delitti contro la libertà (personale, sessuale), i delitti contro la dignità umana (schiavitù, prostituzione) e per quel che rileva in questa sede, i delitti contro la riservatezza[13].

Tutto ciò grazie ad alcune interpretazioni particolarmente creative (ma ormai maggioritarie in dottrina) dell’art. 2 della Costituzione, le quali saranno ampiamente esaminante quando si affronterà la rilevanza costituzionale della privacy[14].

3. Condizionamento tecnico-scientifico e diritto penale “postmoderno” – Come già esposto sopra, nell’attuale momento storico l’integrazione tra diritto penale e scienza sembra trovare più che mai terreno fertile. A tal proposito la dottrina non manca di far rilevare che, mentre in passato l’interazione tra diritto e scienza ha riguardato prevalentemente le scienze sociali, al giorno d’oggi sembra avere un ruolo predominante il sapere scientifico inteso come progresso tecnologico. Per esempio lo studio dei reati di droga chiama in causa la chimica e la farmacologia; lo studio dei reati connessi all’uso dei dati personali richiede la conoscenze delle tecnologie informatiche[15].

Questo tipo di approccio può però determinare un diritto penale disancorato da un concreto disvalore dell’evento, causando un difetto di “afferrabilità” della lesione[16].

A riguardo è sufficiente richiamare alcune osservazioni di F. C. Palazzo, il quale ha rilevato che anche i reati contro la persona (per i quali è sempre storicamente stato facile afferrare il valore umano sotteso alla norma incriminatrice) non si sono sottratti al fenomeno in esame; cioè le nuove esigenze di tutela nei confronti della persona, emerse a seguito della esposizione al progresso tecnologico, fanno partecipare gli stessi delitti contro la persona alla c.d. trasformazione “postmoderna” del diritto penale[17].

La mancanza di “afferrabilità” della lesione ha indotto il nostro legislatore a delle scelte volte a privilegiare il modello della “tutela delle funzioni” rispetto al modello della diretta “tutela dei beni”. Il fenomeno in questione è denominato “artificializzazione” o “formalizzazione” ovvero “amministrativizzazione” o meglio ancora “procedimentalizzazione” del diritto penale[18].

Esso si manifesta, particolarmente nei nuovi reati contro la persona, comminando sanzioni penali come conseguenza di condotte che non ledono direttamente il bene, ma eludono o non rispettano le procedure amministrative previste dalla legge[19]. Il legislatore, verificata l’impossibilità (tecnica) di identificare una attuale lesione, predispone una serie di norme procedurali volte a scongiurare il verificarsi della lesione stessa (una sorta di reato di pericolo astratto), subordinando la legittimità della condotta in questione al rispetto di tale procedura, anticipando di fatto la tutela ed operando un giudizio di metodo non più di merito[20].

Altra dottrina[21] parla di tutela di “beni strumentali” in luogo della tutela dei “beni finali”, ove i primi sono le procedure previste legislativamente, e i secondi il bene giuridico stesso. Il discorso non cambia di molto.

A riguardo è bene far notare che il fenomeno in esame ha largamente interessato la legislazione italiana (ma anche statunitense) in materia di pedofilia e pornografia infantile[22]. Infatti il legislatore, intenzionato a porre un freno al dilagare della pornografia minorile, non ha trovato altra soluzione se non quella di criminalizzare il “consumatore finale”, cioè anche il mero “detentore” di materiale pedo-pornografico. Ma se si tiene conto del fatto che lo scopo della legge è quello di evitare l’assoggettamento del minore a qualsiasi forma di schiavitù, risulta chiaro che anche questa disciplina non fa altro che tutelare in maniera indiretta il “bene finale” (che dovrebbe essere l’integrità psico-fisica del minore), partecipando di fatto al processo di “amministrativizzazione”[23].

Questo processo di “amministrativizzazione” del diritto penale risulta però essere, in ultima analisi, l’unico modo con cui il legislatore può riuscire a reprimere alcune manifestazioni criminose che altrimenti resterebbero impunite, tentando di mediare tra due opposti interessi: quello del bisogno di pena[24], e quello di evitare un’inutile criminalizzazione indiscriminate delle condotte (il che sarebbe evidentemente in contrasto con il principio della necessaria offensività[25])

In altre parole tale processo di “formalizzazione” altro non è se non la risposta del legislatore alla difficoltà di “afferrare” la lesione del bene giuridico tutelato, assimilabile, per certi versi, alla selezione delle condotte penalmente rilevanti nei reati a forma vincolata. Mentre in quest’ultimo caso è il legislatore penale a risolvere il conflitto tra i due interessi sopracitati, nel caso che qui interessa il legislatore, trovandosi nell’impossibilità di risolvere in astratto il problema una tantum, rimette la soluzione a soggetti terzi (esempio una Autorità amministrativa) in ragione della loro qualificazione, limitandosi a prevedere la possibilità che detto controllo si esplichi. Viene cioè rimesso al soggetto terzo il compito di mediare tra i due interessi in ragione delle peculiarità del caso[26].

Il rischio di questa risposta legislativa al condizionamento tecnico-scientifico è quello di assegnare alle norme incriminatrici in questione il ruolo di mere clausole sanzionatorie di precetti extrapenali, riguardanti cioè la disciplina amministrativa[27].

Come vedremo nel capitolo III, l’apparato sanzionatorio previsto dalla disciplina sul trattamento dei dati personali è, in gran parte, riconducibile alla protezione delle mere funzioni, e segnatamente delle funzioni di controllo del Garante[28].

 

CAPITOLO II

LA NOZIONE DI RISERVATEZZA

1. Premessa – Nel contesto delle diverse esperienze positive, dottrinarie e giurisprudenziali, il concetto di riservatezza è stato diversamente individuato e definito a seconda del luogo e del tempo in cui ci si è trovati ad affrontare tale questione. La sua stessa esistenza è stata in passato messa in discussione dalla dottrina italiana[29] (anche se oggi si riconosce l’ammissibilità della tutela della privacy pure nel nostro ordinamento[30]).

Nel processo di riconoscimento di una tutela giuridica al bene della riservatezza, hanno svolto un ruolo di primo piano gli Stati Uniti che per primi hanno avvertito l’esigenza di dare una risposta efficace al problema della privacy. La sensibilità sociale tipica del popolo d’oltre oceano, unito ad un sistema giuridico che come è noto si basa sul precedente giurisprudenziale (il quale consente letture profondamente innovative della Carta Costituzionale senza il continuo richiamo alle norme codicistiche), ha permesso di apportare una tutela concreta molto prima che essa potesse venire anche solo teorizzata negli ordinamenti europei[31].

Dal 1890 (anno della pubblicazione del primo articolo che si occupava di “right to be alone”[32]) ad oggi però il concetto di privacy si è molto evoluto, soprattutto in conseguenza dell’incessante progresso tecnologico, e sono stati introdotti i concetti di vita privata, privatezza, intimità, eccetera, identificando interessi difformi tra loro, ma che ritrovano nella tematica della riservatezza una matrice comune.

Nel nostro ordinamento si è assistito ad un fenomeno inusuale: si è faticosamente riconosciuta cittadinanza ai vari aspetti della riservatezza man mano che lo sviluppo tecnologico e il pensiero dottrinario ne facevano rilevare la necessità, senza però dare una completa definizione del fenomeno in esame[33]. Per dirla meglio, è stata apprestata tutela alle manifestazioni della riservatezza per le quali la dottrina e la giurisprudenza rinvenivano i mezzi ermeneutici che ne garantissero un aggancio al diritto positivo. Ma esamineremo dopo le ragioni che hanno reso difficile l’ammissione nel nostro ordinamento della privacy e particolarmente della possibilità disporre la sua tutela penale.

2. Nascita del concetto di privacy – L’anno in cui prende vita la discussione sulla necessità di tutelare un aspetto della vita umana inedito (quanto meno per il diritto), è il 1890, anno in cui Warren e Brandies pubblicano uno scritto per la Harvard Law Review, rivendicando il “right to be alone” (diritto ad essere lasciato solo)[34].

Il diritto alla privacy di cui si parla nel saggio in questione ha una matrice fortemente privatistica, ed è strettamente connesso al concetto di proprietà privata e ai mezzi di tutela di tale diritto[35]. Questo fatto ha segnato i primi anni del dibattito sul right of privacy, inducendo gran parte della dottrina a considerare questa esigenza come propria di un gruppo sociale, un “diritto tipico della classe borghese”, e non invece (come ormai pacificamente accolto ai giorni nostri) una “realizzazione di una esigenza naturale di ogni individuo”[36]. La dottrina più recente considera la privacy, anche nel suo contenuto minimo di diritto alla conoscenza delle proprie vicende, espressione di un valore della persona nella sua dimensione non solo individuale ma anche sociale[37].

Ma la privacy nel corso dei decenni ha assunto dimensioni nuove, sia perché il dibattito sviluppatosi attorno ad essa ha permesso un evoluzione del pensiero giuridico, sia perché il progresso tecnologico ha creato nuovi beni (pensiamo al bene informatico), rendendo necessarie nuove forme di tutela.

3. Evoluzione del concetto di riservatezza. Vita privata e individualità. Riservatezza e reputazione – Come già brevemente accennato, dal concetto di privacy, nel suo significato originario di right to be alone, si è giunti al diritto alla riservatezza, il quale riassume e ricomprende una vasta problematica attraverso la quale, di volta in volta, sono stati specificati i termini della questione: si sono così introdotti i concetti di vita privata, di intimità personale, eccetera.

Per rimarcare ulteriormente come il progresso tecnologico abbia influito sul tema in questione, è sufficiente notare come i primi tentativi di elaborare una tutela giuridica della privacy si sono avuti coevamente alla diffusione della stampa[38], la quale è stata per prima capace di portare a conoscenza del pubblico una vicenda che riguardi la c.d. sfera privata.

Secondo una dottrina degli anni sessanta[39] “l’individuo, in quanto singolo e partecipe della società, opera in più sfere: in ognuna di esse si pone il problema di tutela della personalità; la sfera individuale […] come componente del più generale diritto della personalità […] si contrappone alla sfera privata, e tra le sue manifestazioni più importanti vanno annoverati il diritto al nome e il diritto alla reputazione”. La sfera privata è costituita dalla riservatezza[40].

In quest’ottica la reputazione, intesa come stima di cui si gode presso la collettività, si contrappone alla riservatezza[41], la quale “attiene unicamente all’aspetto dell’individualità, perché riflette solamente l’aspirazione del soggetto a conservare quella tranquillità d’animo che sarebbe turbata da una pubblicità indesiderata”[42].

Tra le obiezioni a tale assunto, c’è quella che sottolinea come la riservatezza possa incidere anche sul profilo esterno, non soltanto sulla semplice individualità (per esempio: la violazione della riservatezza consistente nella divulgazione di particolari della vita privata, incide sulla vita di relazione, potendo causare una diminuzione della considerazione presso il pubblico, e quindi ledere la reputazione).

L’obiezione è però facilmente superabile, rilevando l’equivoco di fondo: “essa confonde il momento patologico della violazione del diritto con la sua essenza, che è appunto un interesse opposto a quello della vita di relazione”[43].

Il Bricola considera le due entità come contrapposte perché l’una (reputazione) si basa sul presupposto che la collettività abbia conoscenza di elementi sulla persona i quali concorrono a formare l’opinione sulla stessa; l’altra (riservatezza) si basa invece sulla opposta volontà di non rendere conoscibili fatti, che per la loro rilevanza personale, devono rimanere noti solo a pochi.

L’illustre Autore sostiene anche che l’interesse alla riservatezza è successivo rispetto all’interesse della vita privata: infatti l’interesse al rispetto della vita privata consiste nell’impedire l’altrui attività rivolta a venire a conoscere, scoprire le vicende dell’altrui vita privata. Il diritto alla riservatezza invece consiste nell’interesse a mantenere nell’ambito della propria sfera privata quegli atti o quelle vicende che la persona desidera restino tali, impedendo l’attività dei terzi che vogliano divulgarle. In altre parole “[…] la riservatezza difende quindi la sfera privata dalla divulgazione di notizie legittimamente acquisite; il diritto al rispetto della vita privata difende il soggetto da interferenze esterne in questa sfera […]”[44].

Altra dottrina[45] non ha mancato di mettere a confronto il tema in esame con quella della tutela dell’onore, dell’immagine e del nome, considerando quelle norme come riferimento per introdurre nel nostro ordinamento la tutela della privacy. Tutto ciò è reso possibile dal fatto che (nell’ipotesi di questa dottrina) il diritto all’immagine è collegato alla tutela della vita privata; infatti specifiche norme tutelano un serie di fattispecie che coinvolgono aspetti di tutela di interessi generali alla conoscenza (diritto di cronaca), ed aspetti della salvaguardia della persona nelle sue specifiche manifestazioni del suo essere soggetto di diritto (tra le altre, anche l’interesse alla riservatezza).

Ma vanno messi in evidenza elementi di differenziazione tra i due aspetti, i quali non coincidono completamente; la tutela apprestata all’onore e alla reputazione non solo risulta più ampia[46], ma alla luce del fatto che la tutela giurisdizionale presuppone, caso per caso, l’individuazione del grado e dell’intensità della lesione, la rende incompatibile, per certi versi, con il diritto alla riservatezza, la tutela del quale presuppone la repressione e la sanzione di determinati atti e comportamenti solo per il fatto che essi coinvolgono fatti della sfera privata (cioè non destinati alla collettività). In definitiva la dottrina oggi riconosce una matrice comune alla reputazione e alla riservatezza, ma si è accorta della diversità strutturale della tutela da prestare; diversità causata da un diverso interesse di cui consta il diritto alla riservatezza[47].

4. Ammissibilità costituzionale del diritto alla riservatezza (vita privata): le Convenzioni internazionali. Limiti alla tutela penale – La prevalenza delle analisi dottrinarie (molte) e giurisprudenziali (meno) rispetto al dato normativo (pressoché inesistente[48]), è sotto gli occhi di tutti; se si tiene conto che quando sono state emanate norme, queste recepivano di fatto i risultati del dibatto dottrinario, si può comprendere quale sia stato il ruolo della dottrina italiana nel rendere tutelabili situazioni delle quali si percepiva l’esigenza, sia a livello dottrinario che di collettività, ma per le quali non erano previste norme alcune.

Il processo di ammissione della riservatezza nel nostro ordinamento deve forzatamente partire da un’analisi costituzionale.

Sin dagli anni Sessanta (anni in cui il dibattito divenne rilevante tanto da indurre il legislatore a introdurre le prime fattispecie penali a tutela della vita privata[49]) la dottrina si è soffermata sulla possibilità di un aggancio alla Costituzione, soprattutto in previsione di una tutela penale.

Come è noto, nel momento in cui si prevede una fattispecie incriminatrice si determina una limitazione della libertà personale (un bene esplicitamente riconosciuto dalla Costituzione come inviolabile); secondo l’interpretazione prevalente tale libertà, “[…] oltre ai limiti logici derivanti dalla sua natura intrinseca, può subire limiti anche da parte di leggi ordinarie […] a condizione però che esse costituiscano […] espressione di un principio costituzionale esplicitamente o implicitamente affermato”[50]. Ne deriva una riserva assoluta di legge in materia penale[51], e la necessità di rinvenire un fondamento costituzionale, che legittimi la lesione della libertà personale, con la necessità di tutelare un altro interesse costituzionalmente protetto[52]. Questo interesse dovrà tendere (secondo la dottrina più accreditata) a tutelare un bene costituzionale primario, cioè un bene senza il quale l’uomo non può realizzarsi nelle forme minime essenziali[53].

Alla luce di tutto ciò, è facile capire che la questione è: la riservatezza, intesa come interesse alla non diffusione di notizie non destinate a pubblico, è (anche solo implicitamente) richiamata dalla Costituzione?

Dalla risposta a questa domanda deriva la sua tutelabilità tramite fattispecie incriminatrici, altrimenti tutto l’ambito della privacy dovrà rimanere terreno per il diritto civile.

Va segnalata una prima tendenza della dottrina (solo parzialmente seguita dalla giurisprudenza) a ricavare il riconoscimento del diritto alla riservatezza da norme Costituzionali che proclamano diritti affini o che manifestano tratti solo parziali della riservatezza: per esempio l’art. 13 che sancisce l’inviolabilità della libertà personale, l’art. 14 che concerne l’inviolabilità del domicilio, l’art. 15 in tema di libertà e segretezza della corrispondenza e principalmente l’art. 29 che, riconoscendo i “diritti della famiglia come società naturale fondata sul matrimonio”, consacrerebbe il diritto all’intimità familiare. Gli interessi richiamati dalle norme costituzionali in esame attengono a materie solo parzialmente affini e richiederebbero, per poter ricomprendere anche la riservatezza, un’interpretazione analogica che in materia penale non può ritenersi ammissibile.

Negli Stati Uniti il right of privacy, pur non avendo una base costituzionale esplicita, viene riconosciuto facendo appello ad altri diritti costituzionalmente garantiti (libertà di pensiero, libertà personale, diritto di difesa, eccetera) il cui esercizio sarebbe praticamente inoperante se non esistesse una previa tutela della privacy[54].

Ma questo metodo, come rilevato dalla stesso Bricola, “[…] valido per interpretare un documento del diciottesimo secolo come la costituzione americana ed applicarlo ai problemi della società contemporanea, sarebbe criticabile se adattato alla nostra Costituzione più moderna”[55].

Allo scopo di offrire un supporto costituzionale a questo diritto, la dottrina italiana più attenta ricorre oggi alle già citate valvole di sicurezza previste dal Costituente: l’art. 2 e l’art. 3 della Costituzione.

L’art. 2 dispone che “la Repubblica riconosce e garantisce i diritti inviolabili dell’uomo, sia come singolo sia nelle formazioni sociali ove si svolge la sua personalità […]”; nell’espressione “diritti inviolabili dell’uomo” tutelati dalla norma in esame si vuol vedere un richiamo ai diritti della personalità, e segnatamente al diritto al rispetto della vita privata. La dottrina costituzionalistica[56] fa notare però che il costituente optò per l’aggettivo “inviolabili” piuttosto che per “naturali”, allo scopo di evitare un riferimento al diritto naturale, il quale avrebbe permesso un eccessivo allargamento della tutela Costituzionale ad interessi ivi non contenuti. La formulazione della norma consente però di integrare il novero degli beni tutelati mediante l’inserzione di nuovi interessi, ma solo con quelli che, oltre a essere espressione dell’evoluzione della coscienza sociale, trovano consacrazione nelle convenzioni internazionali, le quali riconoscano loro il carattere della “inviolabilità”[57].

Questo tipo di aggancio al diritto internazionale, può essere effettuato nei confronti di due norme contenute in convenzioni molto importanti: l’art. 8 della Convenzione europea dei diritti dell’uomo (resa esecutiva con L. 4 agosto 1955 n. 848) e l’art. 12 della Dichiarazione universale dei diritti dell’uomo (approvata dall’assemblea generale dell’ONU il 10 dicembre 1948)[58].

 L’art. 8 della Convenzione europea dei diritti dell’uomo dispone:
“ogni persona ha diritto al rispetto della sua vita privata e familiare, del suo domicilio e della sua corrispondenza. Non può esservi ingerenza della pubblica autorità nell’esercizio di tale diritto se non in quanto tale ingerenza sia prevista dalla legge e in quanto costituisca una misura che, in una società democratica, è necessaria per la sicurezza nazionale, l’ordine pubblico, il benessere economico del paese, la prevenzione dei reati, la protezione della salute e della morale o la protezione dei diritti o delle libertà altrui”.

 L’art 12 della Dichiarazione universale dei diritti dell’uomo recita invece: “Nessun individuo potrà essere sottoposto a interferenze arbitrarie nella sua vita privata, nella sua casa, nella sua corrispondenza […]. Ogni individuo ha diritto ad essere tutelato dalla legge contro tali interferenze e lesioni”.

Come è evidente, le norme in questione riconoscono il contenuto della riservatezza come diritto inviolabile, ma quale è la rilevanza interna di queste norme? Possono essere considerate parte integrante dell’ordinamento italiano? Alla luce dell’art. 10 della Costituzione[59], il quale dispone: “L’ordinamento italiano si conforma alle norme di diritto internazionale generalmente
riconosciute”, sembra di si. La dottrina si è schierata in questo senso, ed ha riconosciuto alle norme in questione un contenuto interpretativo della nostra Costituzione, consistente nella capacità di specificare la formula “diritti inviolabili” in essa contenuta[60].

L’art. 2 consente poi di arrivare ad un ulteriore risultato: infatti, una volta riconosciuto al diritto alla riservatezza il rango di bene costituzionale, la formulazione dell’articolo in questione consente di ricavarne la dimensione non solo individuale. Il riferimento alle “[…] formazioni sociali ove si svolge la personalità […]” del singolo, rende il bene riservatezza tutelabile non solo per riconoscere al singolo una sfera privata, ma anche per consentirgli un migliore inserimento nella vita sociale.

Va inoltre ricordato l’art. 3 della Costituzione, il quale riconosce alla “[…] Repubblica il compito di rimuovere gli ostacoli […] che impediscono il pieno sviluppo della persona umana […]”; la dottrina tedesca ha ravvisato in alcune disposizioni simili, contenute negli artt. 1 e 2 della Costituzione tedesca, l’affermazione costituzionale del diritto alla vita privata, ma la dottrina italiana non ha fatto altrettanto, ritenendo la disposizione in esame troppo generica[61].

Ciò che l’art. 3 della Costituzione rende palese è che le libertà (e tra queste anche la riservatezza) incontrano dei limiti nella loro tutela: il primo limite è costituito dalle altre situazioni giuridiche attive di altri soggetti privati; il secondo è la presenza di interessi di natura pubblicistica costituzionalmente protetti sia in maniera esplicita che implicita[62].

In fine, è d’obbligo segnalare che la dottrina del Bricola[63], sulla base della distinzione da lui sostenuta tra diritto alla riservatezza e diritto al rispetto della vita privata, ritiene costituzionalizzato solo quest’ultimo, e non anche il diritto alla riservatezza; questo sulla base della formulazione dell’art. 8 della Convenzione europea e dell’art. 12 della Dichiarazione universale dei diritti dell’uomo, che prevedono rispettivamente l’ “ingerenza” e l’ “interferenza arbitraria”. Queste figure richiedono l’intervento di una attività eteronoma, e quindi non possono ricomprendere anche le riservatezza, la quale (come già segnalato supra) “[…] prescinde da ogni ingerenza esterna anzi richiede l’acquisizione legittima delle notizie”[64]. La dottrina più recente ha sconfessato la teoria del Bricola, considerando ormai acquisita la legittimità costituzionale della tutela (anche penale) della riservatezza e di tutte le sue manifestazioni.

In conclusione si può affermare che il diritto sovranazionale ha svolto una funzione fondamentale nel processo di introduzione della tutela della privacy nel nostro ordinamento, spingendo dapprima la dottrina e, successivamente, il legislatore a riconoscere la necessità di apportare una tutela concreta all’interesse in questione. Ma la spinta sovranazionale non si è limitata solamente ai due provvedimenti succitati: infatti la successiva direttiva quadro 95/46/CE, imponendo ai paesi membri dell’Unione Europea l’emanazione di una legge a tutela della privacy, risulta essere, di fatto, la vera fonte originaria di tutte le legislazioni in materia di dati personali dei singoli Stati membri[65].

5. Evoluzione della riservatezza nel diritto positivo italiano. Dal diritto ad essere lasciato solo all’interesse al controllo dei propri dati personali – L’esigenza di una tutela penale della riservatezza avvertita dalla dottrina e alcune prese di posizioni giurisprudenziali non hanno lasciato indifferente il legislatore, il quale per la prima volta nel 1974 ha previsto alcune fattispecie di indiscrezione (gli artt. 615-bis, 617, 617-bis e 617-ter del codice penale). Il maggior sforzo dottrinario di enucleare una autonoma tutela della privacy, si è avuto nel famoso Convegno di Varenna del 1967, ove furono gettate la basi del futuro 615-bis c.p. [66].

Negli Atti di tale convegno sono contenuti interventi dei più illustri penalisti (ma anche esimi civilisti) che si sono occupati della tutela della riservatezza in quegli anni, tra gli altri il Bricola (del quale si è già numerose volte citato il pensiero esposto proprio in questo convegno[67]), Mantovani (anch’esso già citato[68]), ma anche Nuvolone (relazione introduttiva) e Rescigno[69].

Risolto, come già accennato, il problema della costituzionalizzazione della riservatezza, gli illustri Autori ritengono necessaria la previsione di due distinte fattispecie criminose: una di indiscrezione, l’altra di divulgazione.

Come già accennato il Bricola ritiene che il delitto di indiscrezione sarebbe posto a tutela della vita privata, mentre la divulgazione violerebbe la riservatezza; Mantovani sostiene contra, che il bene giuridico tutelato dalle due disposizioni sia unico, in quanto esse costituiscono due modalità di aggressione al medesimo bene: la riservatezza[70].

Appare qui dunque, per la prima volta, la questione se la riservatezza sia un bene finale o un bene strumentale o fittizio, in quanto (secondo alcuni[71]) essa non può essere definita come un bene giuridico, ma come un interesse “[…] neutro, che acquista colore solo in quanto strumentale alla vita privata, di cui costituisce solo un particolare contenuto”[72].

Il legislatore, consapevole di questa difficoltà, non ha introdotto un delitto di indiscrezione puro, ma ha creato una sorta di prolungamento della violazione di domicilio.

In altre parole ha colorato l’interesse alla riservatezza (di per sé neutro) agganciandolo, per così dire, ad un diritto costituzionalmente garantito (il domicilio). La stessa collocazione sistematica all’interno del codice penale è una conferma di tutto ciò: l’art. 615-bis è inserito nella sezione riguardante i “delitti contro l’inviolabilità del domicilio”, e il testo della norma conferma la tutela delle sole “[…] notizie o immagini attinenti alla vita privata che si svolgono nei luoghi indicati dall’art. 614 […]”, cioè il domicilio (abitazione o privata dimora)[73].

In realtà il bene giuridico tutelato viene svelato già dal nomen juris della fattispecie; l’art. 615-bis è infatti rubricato “interferenze illecite nella vita privata”. E’ la vita privata infatti che può essere lesa da comportamenti volti ad acquisire indebitamente[74] notizie o immagini la cui diffusione non è voluta dai soggetti.

Ma non si può qui indugiare oltre sull’analisi della tutela di quella prima dimensione essenziale della riservatezza che è l’interesse alla conoscenza esclusiva delle proprie vicende; si rimanda ai testi in nota il compito di fornire approfondimenti su questo tema, in quanto oggetto della trattazione, da qui in avanti, sarà la nuova dimensione assunta dalla riservatezza e la relativa risposta legislativa.

Infatti, ad un secolo di distanza, il problema aperto con l’invocazione del right to privacy si è profondamente trasformato, giacché esso ha assunto un nuovo significato nella società pervasa dalle informazioni automatizzate. Questa nuova dimensione consiste nell’interesse al controllo sui propri dati personali, determinata per lo più dall’incessante progresso tecnologico che ha messo gli enti più disparati (dalla Pubblica Amministrazione alle società commerciali) in condizione di raccogliere e trattare molto facilmente immensi quantitativi di dati personali[75].

Per primo lo Statuto dei Lavoratori (legge 20 maggio 1970, n. 300) aveva recepito questa istanza, vietando l’uso “[…] di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell’attività dei lavoratori […]” (art. 4) e l’effettuazione di “[…] indagini sulle opinioni politiche, religiose o sindacali del lavoratore […]” (art. 8).

Ma la legge 1 aprile 1981, n. 121 va ancor di più nella direzione auspicata dalla dottrina, anche se disciplina ancora solo parzialmente il tema dei dati personali. La riforma operata dalla legge in questione riguarda l’ordinamento della pubblica sicurezza e, da una parte dispone limiti all’interesse individuale alla conoscenza esclusiva delle proprie vicende private, con l’attribuzione di poteri conoscitivi a determinati soggetti (ufficiali di polizia giudiziaria, ufficiali di pubblica sicurezza, eccetera); dall’altra, attraverso la creazione di fattispecie criminose incentrate sulla violazione del dovere di fedeltà del pubblico ufficiale, attribuisce ulteriore rilievo penale al bene della vita privata.

Infatti, tenendo conto che il Dipartimento di Pubblica Sicurezza ha anche compiti di “classificazione, analisi e valutazione dei dati forniti dalle forze di polizia” (art. 6 lettera a)), e del fatto che i dati in questione (in virtù del loro contenuto personale) possono arrecare danno in caso di diffusione, la legge dispone che “in ogni caso è vietato raccogliere informazioni e dati sui cittadini per il solo fatto della loro razza, fede religiosa o credo politico […]” (art. 7) e che l’accesso ai dati è consentito solo agli ufficiali di polizia giudiziaria e di sicurezza appartenenti alle forze di polizia, all’autorità giudiziaria solo con le modalità e per i fini previsti dalla legge, cioè per accertamenti necessari in relazione ai procedimenti in corso (art. 6 lettera a)).

E’ da notare il fatto che l’art. 10 prevede la possibilità da parte di ciascun soggetto di esercitare un seppur limitato controllo sui dati, consistente nella possibilità di chiedere al giudice procedente degli accertamenti (nel caso venga a conoscenza durante un procedimento giurisdizionale dell’erroneità dei dati in possesso della autorità) ed eventualmente disporre la cancellazione del dato stesso[76].

La legge del 1981 prevede anche alcuni reati volti a scongiurare la violazione degli obblighi imposti dalla stessa legge (es. omessa denuncia dell’esistenza dell’archivio o l’uso dei dati in questione per fini difformi da quelli previsti per legge o ancora la pubblicazione degli stessi da parte del pubblico ufficiale) utilizzando una tecnica sanzionatoria che sarà ripresa dalla successiva e definitiva (almeno per ora) legge 31 dicembre 1996, n. 675.

 

CAPITOLO III

LA TUTELA DEI DATI PERSONALI (LEGGE 31 DICEMBRE 1996 N. 675): PROFILI PENALISTICI

1. La disciplina della tutela dei dati personali nell’esperienza degli ordinamenti stranieri – Prima di addentrarci nell’analisi della legge che nel nostro ordinamento si occupa di disciplinare il trattamento dei dati personali, è d’uopo effettuare un’analisi storico-normativa che evidenzi l’evoluzione e i passaggi essenziali che hanno caratterizzato la disciplina delle banche dati a partire dai primi anni ’70.

Preliminarmente è necessario chiarire brevemente il contenuto delle nozioni di dato personale e di banca dati.

Con la locuzione dato personale ci si riferisce a qualsiasi espressione di opinione riguardante la persona stessa[77].

Con l’espressione banche dati la dottrina indica, pressoché unanimemente, “[…] un sistema automatico di raccolta, conservazione, elaborazione e ricerca di dati di qualsiasi natura, ove per sistema si intende un insieme di dati disponibili organizzato in forme convenienti alle necessità di applicazione”[78].

E’ evidente quindi che per parlare di banca dati non è sufficiente in insieme di dati, ma è necessaria la presenza di un sistema idoneo alla schedatura e alla ricerca degli stessi, in mancanza del quale non sono applicabile le norme a tutela dei dati personali previste dalle legislazioni nazionali.

Dopo aver accennato precedentemente alla nascita del right of privacy nella dottrina[79], si elencheranno di seguito le esperienze di diritto positivo straniero.

L’ordinamento tedesco ha conosciuto per primo una legge sui dati personali: si tratta della legge del Land dello Hesse della Germania Occidentale[80]. Essa anticipa, per alcuni aspetti, la futura legge federale prevedendo già la figura del “garante dei dati”, che costituirà il baricentro di tutte le future legislazioni in materia di dati personali, inserendo di fatto la regolamentazione di questa materia in una dimensione pubblicistica.

Infatti il “garante” altro non è se non un organo amministrativo che si occupa di controllare tutta la gestione e il trasferimento dei dati personali, dei quali ha conoscenza in virtù dell’obbligo di notificazione previsto da tutti gli ordinamenti che lo hanno introdotto nel loro ordinamento.

La legge svedese del 1974 prevede un’applicazione più estesa della tutela in quanto la accorda anche ai dati contenuti nelle banche dati del settore privato[81], introducendo altresì il principio per cui la gestione[82] dei dati da parte di chiunque deve essere autorizzata da un’apposito organo di natura pubblicistica (il “garante” appunto).

Già da queste prime esperienze di diritto positivo si delinea l’interesse diffuso dell’aspirazione al controllo dei dati personali come oggetto della tutela apprestata dall’ordinamento, tutela che si risolve nella previsione di un organo “ad hoc” che rilasci dette autorizzazioni.

Lo stesso Privacy Act, approvato dal Senato e dal Congresso degli Stati Uniti alla fine del 1974, prevede una tutela analoga, incentrata su un organismo di controllo (National Security Council) cui compete il rilascio delle autorizzazioni[83].

La già citata legge federale tedesco-occidentale del 1977 si muove nella stessa prospettiva e riprende molti degli istituti precedentemente introdotti dalla legge del Land dello Hesse; gli elementi di novità sono costituiti dalla estensione della disciplina anche alle banche dati private, e dalla previsione di due figure di “garante”: quello federale (di rilevanza nazionale) e tanti “garanti” locali (uno per ogni Land). La principale novità consiste nella previsione di un “garante” aziendale per le banche dati del settore privato che risponde direttamente al proprietario o ad un dirigente appositamente nominato[84]. La struttura di questa legge risponde al principio del “decentramento amministrativo” ed è chiaramente da mettere in relazione con la struttura federale dell’ordinamento tedesco[85].

Nell’opposta direzione andava invece la politica del governo francese di quei tempi. Il c.d. “Progetto Safari” prevedeva la possibilità di attribuire ad ogni cittadino un numero di identificazione personale, con l’intento di ottenere una sorta di schedatura nazionale. La reazione a questa eventualità portò alla pubblicazione di due rapporti[86], i quali spinsero il legislatore ad emanare, nel 1978,una legge a tutela dei dati personali.

La principale peculiarità della legge francese è la sua applicabilità integrale ai soli dati contenuti in banche dati elettroniche, e non anche agli archivi manuali[87]. Ma ciò che più ha influenzato il futuro legislatore italiano è il sistema della “notifica”, tramite la quale il gestore di una banca di dati comunica all’autorità la propria esistenza, per consentire al “garante” di esercitare i poteri di controllo conferitigli dalla legge.

Il dibattito sulla necessità di una tutela dei dati personali ha finito con l’influenzare le Costituzioni dei paesi che proprio in quegli anni se ne stavano munendo. Così sia la Costituzione portoghese (2 aprile 1976) che quella spagnola (23 dicembre 1978) prevedono esplicite norme a tutela dei dati personali, definiti “sensibili” da quella spagnola, la quale, sull’onda del clamore suscitato dal “Progetto Safari”, vieta esplicitamente l’attribuzione di un numero nazionale unico ai cittadini.

E’ stato necessario citare questi riflessi sui testi costituzionali in quanto anche in Italia si è pensato di introdurre norme a tutela dei dati personali con una modifica dell’art. 21 della Costituzione proposta dalla “Commissione Bozzi” nel 1985, ma che non ha però trovato riscontri nella volontà parlamentare[88].

2. I progetti di legge e l’ansia di adeguamento agli obblighi internazionali – Nel 1968 l’Assemblea Parlamentare del Consiglio d’Europa aveva richiesto al Comitato dei Ministri di verificare in quale misura le legislazioni nazionali e la già citata Convenzione europea dei diritti dell’uomo tutelassero l’individuo in maniera adeguata, di fronte al progresso tecnologico. La risposta negativa fornita da uno studio preliminare indusse lo stesso Comitato dei Ministri a creare nel 1971 un Comitato intergovernativo di esperti, presieduto da Giuseppe Mirabelli (colui che presiederà anche la commissione governativa cui sarà richiesto di preparare il progetto della futura legge italiana a tutela dei dati personali). Detto Comitato elaborò delle Raccomandazioni, contenenti una serie di princìpi guida di carattere generale tesi ad influenzare le future legislazioni in materia di dati personali, e soprattutto costituenti i prodromi degli impegni assunti successivamente nella Convenzione n. 108 sulla protezione delle persone rispetto al trattamento automatizzato dei dati personali, adottata a Strasburgo il 28 gennaio 1981.

L’Italia, pur avendo controfirmato la Convenzione in esame, non ha potuto ratificarla fino al 1997, in quanto mancava di una condizione necessaria: una legge nazionale a protezione dei dati personali, che ne garantisse una adeguata tutela[89].

Alla luce di quanto si è detto, la necessità di una tutela accordata ai dati personali è emersa non solo da un’esigenza interna ma anche da un’esigenza di adeguamento al diritto sovranazionale. Questo ha prodotto una serie di sforzi volti a preparare un Progetto di legge che potesse passare al vaglio del Parlamento.

Il primo Progetto è quello Accame[90] del 1981, che riguardava le banche dati sia pubbliche che private e che si sarebbe applicato anche agli archivi manuali, non solo a quelli elettronici. Dalla lettura del testo non risulta però chiaro quale dovrebbe essere l’organo deputato al controllo della gestione dei dati, anche se una posizione preminente viene accordata all’allora Ministero di Grazia e Giustizia.

Nel 1982 vengono presentati altri due progetti: il Progetto Picano[91], più ampio e meglio formulato del precedente, il quale sulla falsariga dell’esperienza francese prevede un “Comitato nazionale per l’informatica e le libertà”; e il Progetto Stegagnini[92], che prevede addirittura due organismi di controllo (il Consiglio Superiore dell’Informatica e la Direzione Generale dell’Informatica) entrambi dipendenti dalla Presidenza del Consiglio dei Ministri, seppur con compiti differenti.

L’anno successivo viene pubblicato il progetto elaborato da una commissione formata da esperti nominati dal Ministro di Grazia e Giustizia nel 1976 e presieduta da Giuseppe Mirabelli[93]: esso rappresenta il più completo progetto teso alla disciplina dei dati personali mai redatto fino ad allora, applicabile sia ai dati delle persone fisiche che a quelli delle persone giuridiche, provenienti indistintamente da archivi elettronici o manuali.

Oltre ad aver previsto un apparato sanzionatorio composto esclusivamente da sanzioni penali per gli illeciti previsti[94], il progetto in questione porta l’ambito della tutela dei dati personali definitivamente sotto un’ottica pubblicistica in quanto non solo l’organo di controllo (il “garante”) è posto alle dipendenze del Consiglio dei Ministri, ma soprattutto i suoi atti possono essere impugnati davanti al T.A.R.[95].

Questo progetto viene ufficialmente presentato in Parlamento (seppur con qualche modifica riguardo i poteri dell’organo di controllo) nel 1984, ove è rimasto per più di un decennio, finché necessità di ordine internazionale hanno spinto il legislatore a prendere seriamente in considerazione l’emanazione di una legge.

Nel frattempo furono però presentati altri due progetti: il Progetto Martelli nel 1992, ed il Progetto Violante nel 1993; quest’ultimo cercava di introdurre una precisa distinzione tra sanzioni penali ed amministrative, prevedendo sanzioni pecuniarie nei confronti delle persone giuridiche, per illeciti che consistono nella mancata nomina del “responsabile per la protezione di dati personali” o la lacunosa notifica dell’esistenza di della banca dati[96].

Come già detto, la mancata promulgazione di una legge a tutela dei dati personali, impediva all’Italia la ratifica della Convenzione di Strasburgo e, fatto questo ancor più problematico per la politica europeista, dell’accordo di Schengen del 14 giugno 1985, che prevedeva la graduale soppressione dei controlli doganali alle frontiere nazionali[97]. L’Italia certo non poteva permettersi di rimanere fuori del circuito europeo, sia per motivi di politica economica, sia per una questione di impegni presi con accordi liberamente sottoscritti.

Come se non fosse sufficiente tutto ciò, l’emanazione della “direttiva quadro” sulla tutela dei dati personali 95/46/CE del 24 ottobre 1995 (da recepirsi entro il 24 ottobre 1998) la quale richiedeva un grado di protezione dei dati equivalente in tutti gli Stati membri, ha indotto il nostro Parlamento a disciplinare finalmente la materia in esame con una disciplina organica contenuta nella legge del 31 dicembre 1996 n. 675[98].

La legge in questione, non poteva non subire un’influenza dal clima di ansia di adeguamento agli obblighi internazionali sviluppatosi a metà degli anni ’90 nel nostro paese.

Sono almeno due le ripercussioni negative del clima politico sulle norme della legge: innanzitutto la frettolosità con la quale è stato licenziato il testo di legge (dopo che aveva “stagnato” per più di due lustri nelle aule del Parlamento!) ha reso necessari dei ritocchi apportati negli anni successivi[99]; non di meno la necessità di rispettare i vincoli imposti dalla normativa sovranazionale ha indotto un legislatore poco attento ad introdurre un apparato sanzionatorio francamente sbilanciato in favore di sanzioni penali[100] anche quando la logica avrebbe suggerito rimedi alternativi (es. sanzioni amministrative)[101].

Ma tutto ciò dovrebbe risultare più chiaro una volta effettuata l’analisi dell’apparato sanzionatorio della legge 675/96, che sarà svolta nei prossimi paragrafi.

3. Analisi della legge 31 dicembre 1996 n. 675. L’ampio ricorso alla tecnica delle “definizioni legali” – Leggendo il testo della legge, ciò che salta subito all’occhio è un elenco di definizioni volte a chiarire il significato dei termini che saranno ampiamente utilizzati all’interno della stessa.

Nell’ottica del penalista (che è quella che a noi interessa) va messo in evidenza che l’art 1, comma 2, offre delle definizioni significative ai fini della determinazione dei soggetti attivi e delle condotte punibili; mi riferisco alle definizioni di “trattamento”, di “titolare”, di “responsabile”, di “comunicazione”, di “diffusione” e di “garante”.

Questo fatto non fa altro che riprovare che, come già segnalato dalla dottrina più attenta[102], l’uso delle definizioni legali in funzione di certezza è ormai ampiamente adottato dal legislatore (specialmente in materie dai forti connotati di tecnicità come quella di cui ci si occupa qui), ciò non toglie che il diritto penale stia correndo il rischio di diventare sempre più un apparato sanzionatorio di discipline extrapenali[103].

Un inconveniente che non di rado deriva da questa tendenza, è la possibilità che alcune definizioni risultino troppo allargate, finendo col ricomprendere fatti tra loro estremamente eterogenei[104].

Un altro rischio è rappresentato dal fatto che le definizioni non siano pensate per il diritto penale, ma ad esso vengano comunque applicate: ad esempio la definizione di “titolare” contenuta nell’art. 1, comma 2, della legge ricomprende, “la persona fisica, la persona giuridica, la Pubblica Amministrazione o qualsiasi altro ente, associazione od organismo cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento dei dati personali, ivi compreso il profilo della sicurezza”.

In ordine alla possibilità di individuare il “titolare” del trattamento nelle singole persone fisiche che amministrano o rappresentano la persona giuridica (l’amministratore delegato, il legale rappresentante etc.) il Garante ha specificato[105] che nel caso in cui il “trattamento” sia effettuato da una persona giuridica, il “titolare” deve essere identificato con l’entità nel suo complesso, ancorché vi siano persone che concorrano in concreto a determinare ed
esprimere la volontà della stessa all’esterno; semmai, precisa il Garante, tali soggetti potrebbero assumere la qualifica di “responsabile”, cioè “la persona fisica, la persona giuridica, la Pubblica Amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento dei dati personali”. Questo orientamento (confermato da successive decisioni dell’Autorità) ritiene la persona giuridica un soggetto del tutto autonomo ed indipendente dalle persone fisiche che la compongono, imputando quindi ad essa tutte le decisioni in ordine al trattamento.

Tutto ciò ha un senso dal punto di vista del diritto civile, ma che succede quando le norme penali della stessa legge prevedono il “titolare” come soggetto passivo di alcune incriminazioni (es. omessa adozione di misure necessarie alla sicurezza dei dati ex. art. 36)?

Non potendosi configurare una responsabilità penale in capo della persona giuridica, in quanto nel nostro ordinamento “societas delinquere non potest”, sarà comunque necessario procedere all’individuazione del soggetto (persona fisica) destinatario del precetto penale, operazione alla quale la definizione contenuta nella norma in questione e l’esegesi prodotta dal Garante non possono fornire contributo alcuno[106].

Il contrasto è evidente, ma non si vogliono qui illustrare le problematiche sottese alla possibilità di riconoscimento di una responsabilità penale delle persone giuridiche, si vuole invece evidenziare come di fronte a violazioni di norme extrapenali (tra queste, le definizioni contenute nella L. 675/96) siano previste delle sanzioni penali, a volte piuttosto rilevanti.

 D’altronde la legge italiana non ha fatto altro che seguire l’esempio delle legislazioni straniere, senza contare che l’art. 2 della stessa Convenzione di Strasburgo (rubricato “definitions”) e l’art. 2 della Direttiva 95/46/CE (anch’esso rubricato “definizioni”) fanno largo uso di “definizioni legali”, le stesse che sono state riprese dalle normative nazionali.

4. Le fattispecie penali introdotte. La tutela di funzioni in luogo della tutela dei beni – La legge in esame originariamente prevedeva quattro fattispecie incriminatrici, tutte sanzionate con pene detentive, e costruite sullo schema del pericolo[107].

Abbiamo già accennato come la figura del Garante sia centrale nella disciplina dei dati personali: ad esso la legge affida, oltre ad una serie di poteri come la possibilità di decidere in merito alla risoluzione dei conflitti (in alternativa all’autorità giudiziaria), soprattutto il compito di vigilare sulla condotta di tutti i “titolari” di banche dati[108].

Per permettere il regolare esercizio di questo potere di controllo, la legge ha previsto una serie di obblighi a carico dei “titolari”, volti a mettere il Garante in condizione di poter conoscere quante siano le banche dati e chi sia il soggetto che ne effettua il “trattamento”.

Per far rispettare gli obblighi in questione il legislatore inizialmente ha optato per sanzionare penalmente l’eventuale violazione delle procedure volte a portare a conoscenza del Garante una serie di informazioni.

4.1. Omessa o infedele notificazione – Ad esempio l’art. 34 prevedeva l’incriminazione dell’omessa (o infedele) notificazione al Garante dell’inizio del “trattamento” (art. 7), della fine dello stesso (art. 16) o del trasferimento dei dati personali all’estero (art. 28), punendola con la reclusione da tre mesi a due anni[109].

L’obbligo di “notificazione” previsto dalla norma persegue essenzialmente due finalità: in primo luogo consentire al Garante di essere a conoscenza di tutti i “trattamenti” che vengono posti in essere, al fine (come già detto) di poter esercitare tutti i poteri di vigilanza previsti dalla legge, ed inoltre permettere ad ogni interessato di rivolgersi al Garante per essere informato di eventuali trattamenti che lo riguardino ed, eventualmente, esercitare i diritti
che la legge gli riconosce in ordine ai propri dati personali.

E’ evidente che il reato in questione si configurava come “proprio”, cioè poteva essere commesso solo dai soggetti che avessero ricoperto una particolare posizione[110]; il testo dell’art. 34 individua il soggetto passivo con la locuzione “Chiunque, essendovi tenuto, non provvede alle notificazioni prescritte dagli artt. 7, 28 e 16”. Il soggetto che secondo gli articoli richiamati è tenuto alla “notificazione” è il “titolare”.

Ne discende che una eventuale sottoscrizione concorrente del “responsabile” aveva una funzione diversa da quella in esame qui, e una sua responsabilità penale si sarebbe configurata come concorso in reato “proprio”[111]. In caso di radicale violazione dell’obbligo di notificazione, sarebbe stata ipotizzabile la sola responsabilità in capo al “titolare”; in caso di notificazione incompleta od infedele, si sarebbe configurato un concorso del ”responsabile” nel reato “proprio”.

Passando poi all’esame dell’elemento materiale del reato, ci si
accorge subito della moltitudine di disposizioni in merito alla disciplina della “notificazione”; per esempio l’art. 7, comma 1, individua sette categorie di informazioni costituenti il contenuto dell’informativa oggetto della “notificazione”.

La situazione si complica ancora di più tenendo conto della possibilità di disporre una “notificazione” in forma semplificata o addirittura della esenzione dall’obbligo prevista dai commi 5-bis, ter, e quater dell’art. 7 (introdotti dal D. Lgs. 28 luglio 1997, n. 255).

In riferimento al reato in esame è facile comprendere come l’incriminazione derivi da un mancato rispetto delle procedure previste da norme extrapenali (cioè la disciplina della “notificazione” contenuta negli artt. 7, 16 e 28). Ma quale è il bene tutelato dalla norma? La sensazione è che il legislatore si sia preoccupato di apportare una tutela più alle funzioni attribuite al Garante che al bene riservatezza.

Tale situazione di incertezza in ordine la concreta portata del precetto, ha contribuito a determinare le già riferite critiche di “amministrativizzazione” del diritto penale nonché di “panpenalismo”[112] mosse dalla dottrina.

A queste ultime il legislatore ha reagito disponendo una depenalizzazione di alcune fattispecie previste dalla legge sui dati personali; in particolare il nuovo art. 34 (alla luce delle modifiche apportate dal D. Lgs. 28 dicembre 2001, n. 467[113]) non prevede più una sanzione penale ma la sanzione amministrativa del pagamento di una somma da lire dieci milioni a lire sessanta milioni e la sanzione amministrativa accessoria della pubblicazione dell’ordinanza-ingiunzione.

4.2. Trattamento illecito di dati personali – Analoghe considerazioni possono essere effettuate, con ancor maggiore rilievo, in riferimento all’art 35; esso costituisce il cuore delle sanzioni previste dalla legge sul trattamento dei dati personali, in quanto sanziona le violazioni di alcune fra le più importanti prescrizioni imposte dalle norme procedimentali in tema di trattamento di dati personali.

Il comma 1 sanziona la violazione degli obblighi previsti agli artt. 11, 20 e 27 in tema rispettivamente di consenso dell’interessato, procedure per la comunicazione e la diffusione dei dati, e trattamento da parte di soggetti pubblici.

Il comma 2 sanziona la comunicazione e la diffusione dei dati sensibili e giudiziari in violazione degli artt. 21, 22, 23, 24, 24-bis[114] e del comma 3 dell’art. 28.

Qui si ripete lo schema già utilizzato dal legislatore per il vecchio art. 34: si prevede per la mancata osservanza degli obblighi e delle procedure previste dalla legge una sanzione penale detentiva, sbilanciando di fatto la tutela verso le funzioni del Garante, piuttosto che verso una reale lesione di un bene giuridico.

L’aver previsto il dolo specifico (cioè la necessaria presenza del fine di ottenere un profitto o di causare un danno) ha ridotto l’ambito di operatività della incriminazione[115], ma non ha comunque permesso alla scelta legislativa di poter essere considerata coerente e proporzionata.

Infatti se si mette a confronto questa disciplina con quella dell’onore e della reputazione, ci si accorge che, pur vertendo in entrambi i casi nell’ambito di una lesione dei diritti della persona, qui ci si trova nella situazione di tutelare la messa in pericolo del diritto, il che appare meno grave rispetto alla fattispecie classica di diffamazione. La previsione di una pena maggiore per il reato in questione rispetto a quella prevista per la diffamazione e la procedibilità d’ufficio (mentre per la diffamazione è prevista la procedibilità a querela), rendono la scelta legislativa quantomeno discutibile sul piano della uniformità di trattamento.

E’ anche da notare che, nonostante il generico “chiunque” contenuto nel testo dell’art. 35, anche questo è da considerarsi un reato “proprio”, in quanto solo i soggetti obbligati al rispetto delle norme richiamate (artt. 11, 20, 21, 22, 23, 24, 27 e 28 3) possono essere soggetti passivi del reato in questione[116].

Il legislatore non ha ritenuto però di dover depenalizzare anche questa ipotesi criminosa, che (con la previsione del minimo edittale a tre mesi e del massimo fino a due anni), rimane la principale norma penale di questa legge.

4.3. Omessa adozione di misure necessarie alla sicurezza dei dati – L’art. 36 sanziona l’omessa adozione (dolosa o colposa) di misure necessarie a garantire la sicurezza dei dati oggetto del “trattamento”.

Questa è per certi versi la figura criminosa più controversa, in quanto presenta diversi profili di rilevanza cruciale.

E’ evidente che il legislatore si è preoccupato di garantire la sicurezza dei dati trattati dai soggetti “titolari” di banche dati; infatti tutto l’apparato sanzionatorio e la disciplina amministrativa prevista dalla legge sono rivolti a impedire (non sempre efficacemente) la rivelazione dei dati a soggetti terzi[117]; è chiaro anche che impedire ai terzi di accedere alle banche dati risulta l’obiettivo principale della norma contenuta nell’art. 36.

Il legislatore, seguendo la logica che lo aveva ispirato nella formulazione delle norme incriminatrici precedenti, ha previsto un reato che si basa sull’inosservanza dell’obbligo di disporre le misure necessarie a garantire la sicurezza dei dati. Ma quali sono le misure necessarie? La legge non dice nulla o quasi a riguardo, se non richiedendo un Decreto del Presidente della Repubblica (da emanarsi entro centottanta giorni dalla data di entrata in vigore della legge[118]) con il quale dovranno essere specificate dette misure minime di sicurezza.

Anche questa norma è stata modificata dal D. Lgs. 28 dicembre 2001, n. 467, ma le questioni derivanti dalla modifica e le altre sollevate dalla dottrina, come il rispetto della riserva di legge e l’analisi della posizione di garanzia scaturente dalla fattispecie penale, saranno oggetto di una analisi autonoma[119].

4.4. Inosservanza dei provvedimenti del Garante – L’art. 37 prevede una norma che conferma il definitivo passaggio da un diritto penale che sanziona la lesione di un bene giuridico, ad uno che sanziona l’inosservanza di mere discipline amministrative; esso prevede il reato di inosservanza dei provvedimenti del Garante[120].

I provvedimenti in questione sono i già citati provvedimenti di autorizzazione al “trattamento”, ma anche i provvedimenti che impongano un comportamento al quale ci si debba uniformare (ad esempio gli “ accorgimenti a garanzia dell’interessato” previsti dall’art. 22, comma 2).

I destinatari dei provvedimenti di cui all’art. 22, comma 2, possono essere solo i “titolari”, mentre i provvedimenti di cui all’art. 29, commi 4 e 5, possono essere diretti sia al “titolare” che al “responsabile”[121]. In ogni caso anche l’art. 37 configura un reato “proprio”, e tale rimane anche dopo le modifiche apportate dal D. Lgs. 28 dicembre 2001 n. 467, le quali si limitano ad ampliare la spazio applicativo della fattispecie, prevedendo un ulteriore provvedimento la cui inosservanza è punita con una sanzione penale[122].

4.5. Falsità nelle dichiarazioni e nelle notificazioni al Garante – Il legislatore non ha mancato poi di introdurre una nuova fattispecie penale con le succitate modifiche; l’art. 27-bis infatti prevede l’incriminazione della falsità nelle dichiarazioni e nelle notificazioni al Garante: è prevista la pena della reclusione da sei mesi a tre anni, in caso di dichiarazioni o notificazioni con contenuto non corrispondente al vero.

Certo che per una riforma che voleva passare per depenalizzante è piuttosto singolare introdurre una nuova fattispecie incriminatrice.

5. Rilevanza dell’azione nell’ipotesi di omessa notificazione al garante – Pur se depenalizzata dal D. Lgs. 28 dicembre 2001, n. 467, è il caso di mettere in evidenza una peculiarità strutturale della disposizioni di cui all’art. 34. Essa prevedeva infatti due fattispecie delittuose: una attiva (l’infedele notificazione) e una omissiva (l’omessa notificazione).

Se prendiamo in esame la fattispecie omissiva, sembrerebbe a prima vista di trovarsi di fronte ad un modello omissivo proprio: cioè la legge prevede un comando che impone al “titolare” un obbligo giuridico di attivarsi, ponendo in essere la “notificazione”.

Ma se si esaminano attentamente altre norme della legge, come ad esempio l’art. 7, ci si può rendere conto dell’esatta struttura della condotta incriminata.

Gli artt. 7 (comma 2) e 28 (comma 1), stabiliscono che la “notificazione” debba avvenire preventivamente al “trattamento”[123]; mettendo questo in relazione con il momento consumativo del reato, la dottrina ha sottolineato come sia necessario fissare un termine entro il quale il comando deve essere adempiuto, scaduto il quale il reato può dirsi realizzato[124].

Nel caso dell’art 7 il termine entro il quale provvedere alla “notificazione” è un attimo prima dell’inizio del “trattamento”. In questo senso assumerebbe un ruolo determinante, ai fini del momento consumativo del reato, anche la condotta attiva (cioè l’iniziare un “trattamento”), finendo col configurare la fattispecie in esame come mista, di omissione e di azione[125].

E’ chiaro che in realtà il cuore della fattispecie è quello omissivo, in quanto la condotta consiste in una attività di per sé lecita, ma finché il soggetto non inizierà (tramite una condotta attiva) il “trattamento”, il reato non potrà dirsi consumato.

A proposito della determinazione del termine penalmente rilevante ai fini della realizzazione della fattispecie in esame, occorre ricordare che la disposizione transitoria contenuta nell’art. 41, comma 2, prevede che “[…] per i trattamenti di dati personali iniziati prima dell’entrata in vigore della presente legge o nei novanta giorni successivi a tale data, le notificazioni prescritte dagli artt. 7 e 28 devono essere effettuate entro il termine di sei mesi dalla data di pubblicazione nella Gazzetta Ufficiale del decreto di cui all’art. 33 comma 1[…] ovvero, per i trattamenti di cui all’art. 5 riguardanti dati diversi da quelli di cui agli artt. 22 e 24, entro il 31 gennaio 1998”.

Risulta evidente che in questo caso si può parlare senza dubbio di reato omissivo tout court, essendo il termine entro il quale eseguire il comando previsto dalla stessa disposizione transitoria, non lasciando dunque nessuno spazio al momento commissivo dell’inizio del “trattamento” come momento che determina la consumazione.

6. La rilevanza del consenso come indice della “postmodernizzazione” del diritto penale – Per concludere, risulta chiaro ormai che i reati previsti dalla legge sul trattamento dei dati personali sono orientati (come gran parte della più recente produzione normativa penale) a sanzionare il mancato rispetto di una funzione attribuita dall’ordinamento ad un determinato soggetto (segnatamente il Garante).

A riprova di ciò basti sottolineare la scarsa rilevanza accordata al consenso; infatti se il bene giuridico protetto fosse la privacy (cioè un bene della persona, e come tale disponibile), dovrebbe escludersi la lesione dello stesso qualora l’interessato abbia validamente acconsentito a fatti idonei a mettere in pericolo il bene medesimo.

Le fattispecie previste dalla legge sono invece pressoché impermeabili al consenso, in quanto il difetto di una dichiarazione di consapevolezza dell’interessato determina un illecito solo in casi marginali[126]. In realtà gli articoli 11 e 20 (richiamati dall’art. 35 ai fini della determinazione della violazione che integra il reato) prevedono la necessaria presenza del valido[127]consenso espresso.

In questo caso il consenso non opera come causa di giustificazione (ex art. 50 c.p.), ma concorre invece a determinare il fatto tipico, nel senso che non potrà dirsi consumato il reato in questione, se non in mancanza di una dichiarazione di consapevolezza da parte dell’interessato[128].

Gli stessi artt. 11 e 20 (lettere da b ad h) però, forniscono un nutrito elenco di casi in cui il suddetto consenso non è dovuto[129]; la legge cioè permette, in alcuni casi, ai privati (od agli enti pubblici economici) la diffusione dei dati personali a prescindere dal fatto che l’interessato abbia acconsentito.

L’esigua rilevanza concessa al consenso viene ancor più erosa da alcuni atti del Garante, i quali, ai sensi dell’art. 21, comma 3, possono vietare la diffusione di alcuni dati personali relativi ai singoli soggetti “[…] quando la diffusione si pone in contrasto con rilevanti interessi della collettività […]”. Ma a questo punto sorge il dubbio su quale sia il bene giuridico tutelato: non sembra più la funzione del Garante (strumentale alla tutela della privacy dell’individuo), ma i “rilevanti interessi della collettività”, entità del tutto sfuggente e difficile da delimitare.

A conferma della difficoltà di individuare il bene protetto si pone anche la previsione di una sanzione in caso di diffusione dei dati personali in mancanza di autorizzazione del Garante, pure in presenza del consenso dell’interessato. In questo caso la tutela della vita privata dell’interessato soccombe innanzi alla tutela delle funzioni dell’Autorità.

La conclusione, piuttosto singolare per la verità, è che siccome la violazione dell’art. 21 è sanzionata dall’art. 35, comma 2, lo stesso soggetto titolare del bene protetto (l’interessato) può essere penalmente sanzionato se rivela dati che lo riguardano senza l’autorizzazione[130].

A quanto già detto va aggiunto che la modifica apportata dal D. Lgs. n. 467 del 2001 ha ampliato ulteriormente i casi di esenzione del consenso anche per il “trattamento” di alcuni dati definiti “sensibili” dalla stessa legge.

Tutto ciò, assieme alla già evidenziata mancanza di procedibilità a querela, conferma che, nonostante le buone intenzioni manifestate nell’art. 1 (nel quale si proclama l’intenzione di garantire che “[…] il trattamento dei dati personali si svolga nel rispetto dei diritti, delle libertà fondamentali, nonché della dignità delle persone fisiche, con particolare riferimento alla riservatezza e all’identità personale […]”), la tutela apprestata dalla legge è rivolta ad altro, segnatamente alle funzioni da essa attribuite al Garante.

Risulta chiaro d’altronde, come l’alto condizionamento tecnico-scientifico cui è sottoposta la materia dei dati personali determini una difficoltà ad afferrare la lesione[131] del bene giuridico sotteso alla norma (cioè in ultima analisi la riservatezza dei dati personali).

Questa difficoltà ha svolto un ruolo determinante nella scelta del legislatore, inducendolo ad introdurre il modello della tutela preventiva, mediante un controllo del metodo[132] e non più del merito della condotta[133].

Come si era già anticipato la c.d. trasformazione “postmoderna” del diritto penale ottiene dalla tutela dei dati personali una spinta decisiva, in quanto la riservatezza (come riportato nei capitolo precedenti) è considerata un diritto della personalità, determinando così uno sgretolamento del diritto penale dal suo cuore più interno (Kernstrafrecht): i reati a tutela della persona umana[134].

 

CAPITOLO IV

IL REATO OMISSIVO E I LIMITI DELLA POSIZIONE DI GARANZIA

1. Il reato omissivo nell’evoluzione del pensiero giuridico – La tematica del reato omissivo ha conosciuto alterne fortune ed opposte soluzioni a seconda dei regimi giuridici caratterizzanti i diversi periodi storici.

Nel diritto penale liberale, che come noto tendeva a proteggere le sole libertà negative[135], si riteneva di non dover porre limitazioni al cittadino imponendogli degli obblighi, se non quello di astenersi dal violare la sfera degli altrui diritti intangibili; lo Stato liberale di fine ottocento non richiedeva al cittadino di attivarsi per un interesse altrui, relegando di fatto le fattispecie omissive ad ipotesi marginali[136].

Il diritto penale totalitario vedeva nei reati omissivi il mezzo più adeguato per imporre i comandi tipici del diritto propulsivo-costrittivo che caratterizza i regimi totalitari; di conseguenza si assistette ad un aumento considerevole dei reati di omissione.

In questo momento storico la legislazione e la dottrina considerano il reato di azione come il modello tipico di illecito penale, prevedendo però l’eccezione del reato omissivo, giustificata dall’affermarsi del principio “solidaristico”[137], il quale fa obbligo “[…] non solo di astenersi dal compiere azioni lesive, ma anche di intervenire attivandosi per la salvaguardia dei beni altrui posti in pericolo”[138].

Nel dopoguerra si assiste ad un processo di dilatazione degli obblighi positivi di condotta penalmente sanzionati, soprattutto tramite la legislazione speciale, la quale ha introdotto un cospicuo numero di reati incentrati sull’omissione[139]. Questo anche grazie
alla visione della Costituzione come ispiratrice della legislazione, che ha permesso alla dottrina di ipotizzare la funzione promozionale[140] del diritto penale, la quale troverebbe nella responsabilità per omissione lo strumento attuativo più efficace.

2. Reato omissivo “proprio” e reato omissivo “improprio” – La bipartizione del reato omissivo in “proprio” ed “improprio” affonda le proprie radici nel passato; sin dagli anni trenta infatti si sono colte le differenti peculiarità strutturali delle due ipotesi[141].

La teoria classica al riguardo è quella che fonda questa summa divisio sulla base della presenza o meno dell’evento nella fattispecie[142].

Secondo questa impostazione sono da considerarsi “propri” i reati omissivi di pura condotta (cioè che consistono nella mera inosservanza di un comando) e “impropri” o “commissivi mediante omissione” quelli di omesso impedimento dell’evento.

Per dirla con altre parole i reati omissivi “propri” consistono nel mancato compimento di un’azione che la legge comanda di realizzare, mentre i reati omissivi “impropri” consistono nella violazione dell’obbligo di impedire il verificarsi di un evento, a prescindere dalla previsione della singola norma di parte speciale.

Una teoria più recente[143] ricollega la divisione alla diversa tecnica di tipicizzazione, cioè considera “propri” tutti i reati previsti espressamente come omissivi dalla parte speciale, ed “impropri” i reati che necessitano della clausola di equivalenza prevista dall’art. 40 c.p.[144], che consistono cioè nel mancato impedimento di un evento che si aveva l’obbligo di impedire.

Una ulteriore dottrina, mettendo in evidenza le discrasie di entrambe le posizioni di cui sopra, ritiene superfluo risolvere tale questione in questi termini, in quanto “[…] nessuna delle due riesce a cogliere pienamente gli essenziali connotati caratterizzanti il diverso tipo di responsabilità omissiva nascente dalla inosservanza dei distinti obblighi di agire penalmente rilevanti […]”[145]. Si ritiene infatti più pregnante basare la trattazione dei reati omissivi sulla distinzione tra l’obbligo di garanzia (la violazione del quale può dar
luogo ad eventi dannosi per il bene tutelato) e gli altri obblighi di attivarsi e di sorveglianza (la cui mera inosservanza non può mai dare luogo ad un danno per il bene giuridico sotteso alla norma)[146]; di questa ipotesi si darà conto in seguito.

3. Il reato “commissivo mediante omissione” e le teorie a sua giustificazione (formalistica, sostanzialistico-funzionale e mista) – Le problematiche sottese all’ammissibilità del reato “improprio” sono tutte riconducibili alla sua doppia natura commissiva-omissiva (omissiva la condotta e commissivo il reato che si aveva l’obbligo di evitare[147]).

La maggior parte delle legislazioni non ha previsto una disciplina volta a tipizzare espressamente i casi di omissione “impropria”, ma ha introdotto la già citata clausola di equivalenza, mediante la quale si equipara la condotta omissiva a quella commissiva.

Anche l’ordinamento italiano si è limitato a regolamentare l’illecito omissivo improprio nella sola parte generale inserendo la suddetta clausola nell’art. 40 c.p., rimettendo di fatto all’interprete l’identificazione delle condotte omissive che siano suscettibili di essere convertite nelle corrispondenti fattispecie commissive base.

Per la sussistenza della responsabilità omissiva “impropria”, tutta la dottrina (anche straniera) richiede la necessaria presenza di due elementi: la materiale possibilità di impedire l’evento (mediante azione idonea) e l’obbligo giuridico di impedire l’evento.

La concezione formalistica[148], accolta tradizionalmente dalla dottrina classica (nonché dalla giurisprudenza[149]), essendo espressione del liberalismo giuridico, si basa sull’eccezionalità della responsabilità omissiva, e richiede che l’obbligo di agire sia sancito da una fonte giuridica formale come la legge (penale od extrapenale) o il contratto[150].

La teoria in esame ha il merito di esigere un necessario fondamento giuridico-formale della responsabilità omissiva, ma d’altronde essa pecca sia per eccesso, in quanto è tendenzialmente incapace di selezionare le condotte omissive che consistono in una vera posizione di garanzia tra i tanti obblighi di agire previsti dagli
ordinamenti moderni, sia per difetto, in quanto, non distinguendo la mera obbligazione contrattuale da un obbligo di garanzia, determinerebbe l’esclusione di quest’ultima in caso di invalidità del contratto.

La concezione sostanzialistico-funzionale, sorta in Germania negli anni trenta (ed ivi ancora largamente dominante), muovendo dall’esigenza solidaristica di tutelare in maniera rafforzata alcuni beni giuridici che non possono essere tutelati efficacemente dai titolari, richiede la predisposizione di appositi garanti. Come è evidente già ad una prima analisi, questa teoria fa derivare l’obbligo di garanzia non tanto da fonti formali, ma dalla reale assunzione della “posizione fattuale di garanzia del bene che viene assunta in concreto da specifici soggetti”[151].

La teoria sostanzialistico-funzionale offre un contributo notevole alla selezione dei doveri d’agire che costituiscono realmente degli autentici obblighi di garanzia, mediante l’individuazione di un criterio generale che si basa, come visto, sulla concreta assunzione della posizione di garanzia, ma non è immune da critiche. Essa, al contrario della precedente, è totalmente svincolata da requisiti formali, la mancanza dei quali fa nascere dubbi sul rispetto non solo del principio di legalità e di riserva di legge, ma anche di quello di tassatività, in quanto non consente di circoscrivere sufficientemente la responsabilità per non impedimento.

Nella dottrina italiana è attualmente prevalente una concezione mista (formale-sostanziale) la quale tenta uno sforzo di sintesi delle due precedenti, operando una selezione degli obblighi sulla base sia della previsione da parte di una fonte formale, sia di una loro corrispondenza ad una concreta assunzione della posizione.

4. Il superamento della teoria formale-sostanziale, e la ricostruzione dell’obbligo di garanzia alla luce dei princìpi fondamentali del diritto penale – Nella dottrina più attenta non è mancato chi ha messo in luce il fatto che il tentativo di sintesi tra le due concezioni si è però portato dietro anche “[…] certe genericità della vecchia concezione formalistica e le incertezze del criterio sostanzialistico […]”[152].

Questa dottrina propone, dal canto suo, una ricostruzione della responsabilità da reato “commissivo mediante omissione” che sia coerente con i princìpi fondamentali del diritto penale, e che risponda a tutti i requisiti da essi richiesti.

Il principio di legalità-riserva di legge impedisce di trovare la fonte dell’obbligo nelle norme morali[153], e in mere situazioni fattuali di garanzia, in quanto richiede che esso sia giuridico, e quindi previsto da fonti formali (legge o contratto).

Il principio di legalità-tassatività richiede invece la sufficiente specificità dell’obbligo, non potendo il precetto penale essere indeterminato, vago o contraddittorio[154].

Il principio di solidarietà individua i soggetti beneficiari della tutela “rafforzata” di cui consta l’obbligo di garanzia; cioè soltanto quegli individui incapaci di prestare tutela idonea a determinati beni giuridici possono beneficiare della garanzia del controllo da parte di terzi, che con la loro omissione possono rispondere penalmente[155].

A quest’ultimo fa da contraltare il principio di libertà, in base al quale è richiesta una sufficiente specificità dei soggetti destinatari dell’obbligo, il quale non potrà certo gravare sulla generalità dei consociati, ma dovrà essere rivolto a specifiche categorie predeterminate per legge, le quali si trovino in un determinato rapporto giuridico[156] con il bene da proteggere (per esempio i genitori, i medici ospedalieri, ecc.).

Da ultimo, il principio della responsabilità penale personale[157] richiede la sussistenza, in capo al soggetto su cui grava l’obbligo, di specifici poteri impeditivi che consentano al soggetto di vigilare ed eventualmente di intervenire efficacemente; in altri termini il soggetto, per essere gravato dall’obbligo di garanzia, deve essere munito di poteri idonei ad impedire il reato oggetto della posizione stessa. Questo potere-dovere deve però preesistere alla situazione di pericolo, altrimenti non si potrebbero utilizzare efficacemente i poteri stessi.

E’ chiaro poi che, qualora il soggetto garante non abbia avuto la possibilità materiale di compiere l’azione impeditiva, non sarebbe ravvisabile alcuna responsabilità penale in quanto ad impossibilia nemo tenetur.

5. L’obbligo di garanzia, l’obbligo di attivarsi e l’obbligo di sorveglianza – Mediante il ricorso ai princìpi fondamentali del diritto penale si sono definiti i paletti, si sono cioè individuati i requisiti che l’obbligo di garanzia deve avere per poter trovare cittadinanza nel nostro ordinamento[158] e, alla luce di tutto ciò, si può definire l’obbligo di garanzia come “[…] l’obbligo giuridico che grava su specifiche categorie predeterminate di soggetti previamente forniti dagli adeguati poteri giuridici, di impedire eventi offensivi di beni altrui, affidati alla loro tutela per l’incapacità[159] dei titolari di proteggerli adeguatamente”[160].

Va da sé che la posizione di garanzia si configura come la situazione di superiorità potenziale che deriva dall’essere titolari di specifici poteri impeditivi che consentano una reale signoria sugli eventi.

A questo punto giova rilevare quali siano le differenze tra l’obbligo in questione e gli altri obblighi (molto affini, e per questo scarsamente percepiti dalla dottrina) di attivarsi e di sorveglianza.

Un’illustre dottrina[161] non ravvisa nel mero obbligo di attivarsi la suddetta funzione di tutela rafforzata affidata ad un garante (tipico dell’obbligo di garanzia); dalla sua violazione quindi non può che derivare una responsabilità penale per il reato omissivo “proprio” (se previsto dalla parte speciale), in quanto esso consiste nell’obbligo giuridico di agire per la tutela di certi beni, imposto a soggetti privi di poteri impeditivi.

Nell’obbligo di sorveglianza invece si ravvisa l’obbligo giuridico di vigilare sull’altrui attività per conoscere della commissione di reati e informare il titolare del bene, ma anche qui mancano i poteri impeditivi che legittimino la previsione di una sanzione penale per mancato impedimento di reato. Quindi, a meno che non vi sia una previsione da parte della normativa vigente di una fattispecie omissiva “propria” (consistente nel comando di vigilare su un determinato bene giuridico), l’obbligo di sorveglianza dovrebbe risultare penalmente irrilevante.

Risulta evidente che nell’ambito dei doveri giuridici, non tutti risultano avere sempre una rilevanza penale: per esempio l’obbligo di attivarsi, che come visto consiste nel dovere di agire al verificarsi di un determinato presupposto indicato dalla norma, può in certi casi rilevare solo sul piano civilistico (come nel caso del dovere di diligenza del buon padre di famiglia ex art. 1176 c.c.).

L’obbligo penalistico di attivarsi, quando previsto, deriva dalla norma sul reato omissivo “proprio”[162] la quale o richiama un obbligo contenuto in discipline extrapenali o lo pone direttamente essa stessa.

In sintesi, per indicare come si caratterizzi l’obbligo in questione, è sufficiente ricordare che i destinatari dello stesso sono privi di poteri-doveri impeditivi, il che rende quest’obbligo strutturalmente diverso da quello di garanzia (il quale richiede invece la necessaria presenza del complesso poteri-doveri[163]).

Per quel che riguarda il rapporto tra il soggetto obbligato e il bene giuridico tutelato, esso non è preesistente, ma si instaura solo al momento del verificarsi del presupposto, configurandosi come occasionale; anche qui la differenza con gli altri obblighi, che prevedono invece la sussistenza di un dovere costante, appare evidente.

Analogamente, il momento dell’insorgenza dell’obbligo si ha una volta verificatosi il presupposto di fatto indicato nella fattispecie incriminatrice, prima di tale verificarsi non è ravvisabile nessun obbligo.

Risulta così più chiaro quanto già detto in merito all’impossibilità di configurare la sola responsabilità da reato omissivo “proprio”: la mancanza dei poteri impeditivi rende incompatibile la figura dell’obbligo di attivarsi con la responsabilità per omesso impedimento di reato; infatti l’inadempimento dell’obbligo di attivarsi non è considerato dalla legge equivalente alla causazione attiva[164], sicché la sua punibilità richiede una specifica autonoma incriminazione (cfr. art. 593 comma 3 c.p.).

La dottrina ha anche messo in evidenza che l’assenza di un pregresso rapporto tra il soggetto e il bene tutelato, non consente di considerare la norma penale incriminatrice sul reato omissivo “proprio” come il fondamento autonomo dell’obbligo di garanzia, ma solo dell’obbligo di attivarsi, in quanto l’obbligo di garanzia scaturisce da uno specifico rapporto giuridico, preesistente al presupposto di fatto che lo attualizza che vincola il garante alla tutela del bene protetto dalla norma incriminatrice[165].

6. I poteri impeditivi del garante – Giova ora esaminare il contenuto dei suddetti poteri impeditivi, la presenza dei quali è considerata dalla dottrina l’elemento caratterizzante l’obbligo di garanzia, e che determina, diversamente dagli altri obblighi, la responsabilità da omesso impedimento del reato.

Sul contenuto non c’è una presa di posizione univoca della dottrina, ma una serie di indicazioni a volte discordanti. Tutte però tendono ad escludere la mera “impedibilità” dell’evento lesivo[166], la quale non consentirebbe la distinzione tra la posizione del garante e quella del soccorritore occasionale.

Alcune indicano nel “dominio” o nel “potere di signoria” fattuale l’elemento che consentirebbe di distinguere la posizione del garante da quella di terzo estraneo, in quanto “[…] mentre il garante avrebbe il potere di inibire la nascita stessa della situazione di pericolo, il soccorritore occasionale potrebbe soltanto evitare che tale situazione, già manifestatasi, evolva in un evento lesivo”[167]. Ma la teoria in esame incontra dei limiti, primo fra tutti il fatto che la signoria fattuale sul decorso causale non è sempre necessaria per la sussistenza dell’obbligo di garanzia (si pensi a tutti quei casi in cui
il garante non sia in grado di intervenire in prima persona sul decorso causale, e debba ricorrere ad un altro soggetto, ad esempio il medico, affinché questi rimuova la situazione di pericolo).

Altre impostazioni riconoscono ai poteri impeditivi sottesi alla posizione di garanzia una natura solo giuridico-formale che, alla luce di quanto già detto, sembra essere l’unica compatibile con il principio di legalità; l’art. 25 della Costituzione richiederebbe che l’obbligo di garanzia sia già in astratto identificabile mediante il conferimento al garante di specifici poteri giuridici di vigilanza e di intervento sulla situazione di pericolo, preesistenti al verificarsi della stessa. E’ quindi la giuridicità del potere impeditivo che contraddistingue l’obbligo di garanzia dal mero obbligo di attivarsi, caratterizzato da “[…] poteri meramente fattuali e contingenti”[168]. Anzi, sono proprio i poteri riconosciuti al garante che consentono l’attribuzione dell’obbligo e della conseguente responsabilità penale in caso di mancato rispetto dello stesso, rappresentando così la vera ratio della posizione di garanzia.

7. L’obbligo di protezione, di controllo e di impedimento di reato – L’obbligo di garanzia come sopra delineato, può però constare in concreto di tre diversi obblighi.

Si parla di obbligo di protezione quando al garante viene affidata la tutela di determinati beni sui quali possa esercitare tutto quel complesso di poteri di cui si è detto, al fine di proteggerlo da tutte le eventuali fonti di pericolo. La particolarità di questo obbligo è il fatto che esso richiede un particolare legame giuridico tra il garante e il titolare del bene tutelato[169]. La dottrina italiana fa rientrare nella categoria in esame alcuni obblighi derivanti dal diritto di famiglia, come quello dei genitori sui beni della vita e dell’integrità fisica dei figli minori, nonché altri obblighi come quello del personale sanitario appartenente al Servizio Sanitario Nazionale sulla salute dei pazienti.

Per obbligo di controllo su fonti di pericolo ci si riferisce alla situazione in cui al garante è affidata la tutela di tutti i beni altrui che risultino esposti ad una fonte di pericolo. Alla luce di quanto già detto la fonte di pericolo dovrà rientrare nella sfera di signoria del garante, intesa come il complesso di poteri riconosciuti da una fonte giuridico-formale al soggetto titolare dell’obbligo di controllo.

Rientrano in questa categoria, secondo la concezione più restrittiva fatta propria dalla dottrina italiana, gli obblighi connessi alla proprietà, il possesso, detenzione e custodia di cose o animali pericolosi (consistenti nell’obbligo di adottare misure di sicurezza idonee)[170], oltre agli obblighi connessi all’esercizio di attività pericolose (anche questa consistente nell’adozione di idonee misure cautelari preventive a tutela dei beni giuridici dei terzi)[171] e agli obblighi avente oggetto l’impedimento di azioni illecite di terzi, soggetti alla sfera di vigilanza del garante (la cui violazione rileva solo ai fini della configurazione della figura della compartecipazione mediante omissione nel reato omissivo)[172].

La concezione più ampia (sostenuta dalla dottrina tedesca), aggiunge alle tre ipotesi riportate, quella della precedente attività pericolosa propria[173].

Infine l’obbligo dell’impedimento di reato, si ha quando il garante venga dotato sia del potere-dovere di vigilare sull’operato di terzi, sia del potere-dovere di impedire il compimento di azioni penalmente illecite da parte degli stessi.

La dottrina ravvisa nella violazione dell’obbligo in esame, “[…] qualora ne sussistano tutti gli altri requisiti […] una responsabilità concorsuale nel reato non impedito”[174].

Problema cruciale che si pone in relazione a questa figura è lo stabilire, di volta in volta, se si tratti di un vero obbligo di garanzia o di (mero) obbligo di attivarsi. Come già detto supra, il confine tra i due obblighi lo si deve tracciare verificando l’attribuzione di effettivi poteri-doveri impeditivi in capo al garante da parte di una fonte giuridico-formale. Occorrerà quindi distinguere i casi in cui si tratti di poteri realmente impeditivi, che incidono cioè direttamente sull’attività del terzo, da quelli che invece non prevedono l’intervento diretto dell’obbligato sull’atto che integra la fattispecie. Questi ultimi poteri-doveri consistono nella comunicazione da parte del garante dell’attività illecita da parte del terzo.

La categoria degli obblighi di garanzia aventi ad oggetto l’impedimento di azioni illecite di terzi risulta assai più discussa delle due precedenti. La dottrina a riguardo ha sollevato tre ordini di problematiche: per primo viene messa da alcuni in discussione la stessa autonomia concettuale degli obblighi di impedimento di reato (riconducendola al genus degli obblighi di controllo su fonti pericolo); poi ci si chiede se esso operi soltanto nei confronti di soggetti incapaci, assoggettati al potere di controllo e vigilanza del garante, ovvero anche nei confronti di soggetti estranei al rapporto di soggezione; inoltre è discusso se la sfera degli illeciti ricomprenda i soli reati causalmente orientati, o possa estendersi anche le fattispecie di parte speciale[175]. Si rimette al testo citato in nota il compito di fornire le risposte a queste problematiche, essendo sufficiente qui sottolineare come la scarsa produzione legislativa, nonché le contrastanti prese di posizioni dottrinarie, rendano difficile all’interprete l’attività di determinazione della responsabilità penale derivante dalla violazione di un obbligo di garanzia e, più in generale, delle fattispecie omissive “improprie”.

A tal proposito è bene far notare che il progetto di riforma del codice penale della Commissione Grosso[176], interpretando le esigenze di revisione che derivano dalle problematiche evidenziate[177], prevede un intero capo dedicato alla responsabilità per omissione in sostituzione dell’attuale unica e generica previsione dell’art. 40 c.p. comma 2.

 

CAPITOLO V

LE POSIZIONI DI GARANZIA PREVISTE DALLA LEGGE SULLA PRIVACY

1. Riconducibilità delle fattispecie omissive previste dalla L. 675/96 alla figura della posizione di garanzia – Come già visto, l’apparato sanzionatorio della L. 675/96 era originariamente costituito da quattro fattispecie omissive[178], ma in una soltanto si possono ravvisare le peculiarità dell’obbligo di garanzia.

Si è già accennato infatti che le fattispecie di omessa o infedele notificazione di cui all’art. 34 (ora depenalizzata, vedi nota 178), di trattamento illecito di dati personali di cui all’art. 35 e di inosservanza dei provvedimenti del Garante di cui all’art. 37 consistono in un mancato rispetto di un comando (in questo caso extrapenale) e quindi sono riconducibili alla figura del reato omissivo “proprio”.

Nel solo art. 36 possono ravvisarsi gli estremi di una posizione di garanzia in quanto esso, incriminando l’omessa adozione di misure minime di sicurezza, costruisce una tutela rafforzata a favore dei titolari dei dati trattati, e prevede la responsabilità penale del “titolare” del trattamento in merito agli eventi dannosi che possano capitare ai dati stessi.

Per capire meglio questa affermazione è necessario partire da un’analisi della disciplina prevista dalla L. 675/96 in merito alla sicurezza dei dati.

Per comprendere come la legge garantisca delle misure a tutela della sicurezza, è necessario indagare il combinato disposto degli artt. 15 e 36 in quanto, analogamente a quanto previsto per le altre figure criminose, il legislatore ha disciplinato la materia della sicurezza dei dati in una norma extrapenale (art. 15[179]), sanzionandone penalmente il mancato rispetto con la previsione di una fattispecie incriminatrice (art. 36 appunto).

In altre parole, l’art. 36 incrimina l’omessa adozione, dolosa o colposa, delle misure necessarie a garantire la sicurezza dei dati personali in violazione della normativa contenuta nell’art. 15.

L’art. 15 infatti prevede che “I dati oggetto del trattamento devono essere custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, […] in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta”.

La normativa tende a sollecitare, nell’ambito di tutti i trattamenti[180], l’adozione di misure volte a preservare i dati trattati.

Sembra lecito quindi individuare, nella fattispecie di cui all’art. 36, un obbligo di garanzia consistente nell’obbligo di adottare misure minime di sicurezza idonee alla tutela dei dati trattati.

2. I soggetti destinatari dell’obbligo. Il rapporto tra “titolare” e “responsabile” – E’ necessario a questo punto individuare quali siano i soggetti gravati da tale obbligo nella previsione della L. 675/96, e a tale scopo ci soccorrono gli artt. 1, lettera d), e 8 della medesima.

L’art 1, lettera d), definisce il “titolare” del trattamento come il soggetto “[…] cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento di dati personali, ivi compreso il profilo della sicurezza”.

L’art. 8, dopo aver disposto che il “responsabile” viene nominato facoltativamente dal “titolare” tra “soggetti che per esperienza, capacità ed affidabilità, forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento […]”, gli attribuisce rilevanza anche sul “[…] profilo relativo alla sicurezza”.

Il “responsabile” è quindi il soggetto preposto dal “titolare” al fine di garantire un’esecuzione conforme alla legge 675/96 e alle istruzioni impartite da quest’ultimo, il quale è tenuto a vigilare sulla “puntuale osservanza delle disposizioni di cui al comma 1 e delle proprie istruzioni”.

Si può dedurre che in capo al “responsabile” sussiste l’obbligo di conformarsi alle istruzioni del “titolare” nel procedere al trattamento[181], il che mette in luce la centralità di quest’ultimo nell’impianto della legge sulla privacy, essendo il soggetto al quale si demanda il dovere, e la correlativa responsabilità, di assicurare il rispetto delle disposizioni poste a tutela dei dati personali pur quando un responsabile ad hoc sia stato nominato[182].

Resta da definire però la reciproca delimitazione delle sfere di responsabilità tra i due soggetti, qualora il “titolare” decida di avvalersi della facoltà di nominare un “responsabile”.

Sin dalle prime analisi del testo normativo in esame la dottrina, nell’indagare sui rapporti tra “titolare” e “responsabile”, ha riconosciuto in capo al primo un obbligo di sorveglianza, ed ha accostato il loro rapporto a quello intercorrente tra il delegante e il delegato[183], sulla base dell’analogia tra i peculiari requisiti di “capacità” e “affidabilità” richiesti dall’art. 8, comma 1, e l’idoneità del delegato al corretto assolvimento delle funzioni assegnategli, conformemente alle specifiche norme che disciplinano quella materia[184].

Infatti la previsione dell’art. 8, comma 2, in base alla quale residuerebbe in capo al “titolare” un obbligo di vigilanza sull’operato del “responsabile”, ben si armonizza con quelle ricostruzioni dell’istituto della delega che negano un effetto liberatorio per il delegante, ma riconoscono il perdurare di un “residuo non delegabile”[185].

Questa dottrina non ha mancato di evidenziare come la previsione che la specificazione dei compiti affidati al “responsabile” avvenga in forma scritta (art. 8, comma 4), non fa che confermare la correttezza dell’interpretazione, in quanto il prevalente orientamento giurisprudenziale subordina l’efficacia della delega alla sua previsione per iscritto[186].

I primi commentatori della legge sulla privacy hanno sostenuto che la nomina di un “responsabile” da parte del “titolare” causi una restrizione della portata dell’obbligo di garanzia incombente sul garante originario, determinata (e compensata) dalla corrispondente nascita di responsabilità in capo al “responsabile”[187]. Si sosteneva, infatti, che questa restrizione avrebbe operato sul piano oggettivo, riducendo di fatto l’impegno dovuto dal garante originario, e trasformando l’obbligo di garanzia in obbligo di sorveglianza, consistente nell’obbligo di vigilare sull’operato del “responsabile”.

A questo proposito, rivestiva importanza cruciale l’esegesi della parola “anche” contenuta nell’art 8, comma 2, della L. 675/96.

Il testo della norma stabilisce infatti che il “titolare” deve vigilare sulla puntuale osservanza delle disposizioni previste dalla legge, nonché delle proprie direttive “[…] anche tramite verifiche periodiche […]”.

Secondo la dottrina la parola “anche” poteva stare ad indicare una delle possibili forme di adempimento dell’obbligo di vigilanza, oppure si poteva intendere l’espressione nell’accezione concessiva di osservanza dell’obbligo di vigilanza anche solo con “verifiche periodiche”. Cioè nel primo caso le “verifiche periodiche” starebbero ad indicare solamente una delle svariate condotte alle quali è tenuto il soggetto, non esaurendo il novero degli obblighi.

Se si riconosce come valido questo primo significato, la norma non esimerebbe dalla responsabilità il “titolare” che, ove richiesto dalla situazione di fatto, non abbia adempiuto all’obbligo di vigilanza adottando le misure più idonee (le quali potrebbero non consistere nelle sole verifiche periodiche).

Se invece si propende per l’accezione concessiva, l’obbligo in questione si considera adempiuto anche solo con la mera adozione di “verifiche periodiche” da parte del “titolare”.

La questione perde però oggi la sua equivocità in quanto la dottrina, re melius perpensa, ha riconsiderato la sua posizione riguardo la corrispondenza del rapporto tra “titolare” e “responsabile” con quello tra delegante e delegato[188].

Il mutamento prende le mosse dalla (prima sottovalutata) disposizione contenuta nell’art. 8, comma 2, la quale richiede al “responsabile” di attenersi alle istruzioni del “titolare”. Se ne deduce che, nell’assolvere gli obblighi di propria spettanza, il “responsabile” è sprovvisto di qualsivoglia margine di autonomia
rispetto al “titolare”, il che rende questa figura incompatibile con quella del delegato, che fa della sua autonomia decisionale un requisito per la sua stessa esistenza[189].

Alla luce di tutto ciò, si può dire che, almeno sul piano oggettivo, l’obbligo del “titolare” di garantire un trattamento conforme alla L. 675/96, mantiene il suo contenuto originario e non subisce riduzioni per il semplice fatto che venga nominato un “responsabile”[190].

Per quanto riguarda invece la colpevolezza, il legislatore sembra aderire alla teoria che ricollega alla necessaria presenza di requisiti di capacità e affidabilità in capo al garante delegato, una diminuzione del rigore con cui si valuterebbe l’inadempimento dell’obbligo gravante sul destinatario originario. In altre parole, il fatto che il “titolare” si affidi a soggetti che, oltre a fornire idonea garanzia del pieno rispetto delle disposizioni in materia, sono autonomi destinatari degli stessi precetti penali indirizzati al garante originario, determina un ridimensionamento dell’impegno esigibile a quest’ultimo in sede di valutazione della colpevolezza dell’eventuale omissione colposa dell’obbligo di “vigilanza di carattere generale”[191].

A questo punto, la questione dell’esegesi della parola “anche” perde la sua rilevanza; infatti, se è vero che l’obbligo gravante sul destinatario originario non si riduce sul piano oggettivo per la semplice previsione di un collaboratore, è altrettanto vero che sul piano della colpevolezza si richiede una minor attenzione in presenza di responsabilizzazione autonoma del collaboratore prepostovi; si può pertanto concludere che la diligenza esigibile dal garante primario possa consistere anche solo nell’effettuazione di “verifiche periodiche”[192] sull’operato del collaboratore de quo.

Questa tesi è avvalorata dal fatto che il “titolare” può avvalersi anche di altri collaboratori, per i quali, però, non sono richiesti particolari requisiti di professionalità (cfr. la figura dell’incaricato ex art. 8, comma 5, L. 675/96) e, soprattutto, nei confronti dei quali non è prevista nessuna autonoma responsabilità penale. Ne deriva che il loro operato dovrà essere attentamente controllato mediante idonee misure volte a garantirne la conformità alla legge 675/96, nonché alle istruzioni impartite dallo stesso “titolare”.

A contrario, con riferimento al “responsabile”, la contemporanea presenza in capo a quest’ultimo dei requisiti di cui all’art. 8, comma 2, nonché di una autonoma responsabilità penale, determina una diminuzione della diligenza richiesta al “titolare” nel controllare l’operato del “responsabile”, la quale risulta consistere in concreto nelle (mere) “verifiche periodiche”.

3. Il contenuto dell’obbligo: l’impedimento di reato di terzi – Per quanto riguarda il contenuto dell’obbligo di cui all’art. 36, è bene eliminare subito il dubbio che esso consista nel controllo di una fonte di pericoli per il bene della riservatezza. Quest’impostazione vedrebbe nel trattamento dei dati personali una fonte di pericoli, in quanto attività da considerarsi pericolosa, e troverebbe conferma nell’art. 18 L. 675/96, ove il trattamento medesimo viene assoggettato alle regole dettate dall’art. 2050 c.c. in materia di responsabilità civile derivante da danno provocato a terzi mediante attività pericolosa[193].

Tuttavia, ad una lettura più attenta della norma, non può non rilevarsi come il controllo da parte del titolare sull’effettiva osservanza dei precetti posti dalla legge e delle istruzioni da lui impartite, ha la funzione di impedire la realizzazione dei reati[194].

Ancorché non priva di ogni fondamento, la classificazione del “trattamento” come fonte di pericolo, risulta criticabile sotto due distinti aspetti: innanzitutto va sottolineato che il D.P.R. 18 luglio 1999, n. 318 (d’ora in poi D.P.R. 318/99), specificando le misure minime di sicurezza (come previsto dall’art.15, L. 675/95) ha chiarito che l’obbligo del “titolare” di garantire l’effettivo rispetto delle stesse, non si sostanzia nel dovere di provvedere egli stesso alla neutralizzazione dei pericoli immanenti al “trattamento”, ma piuttosto consiste nel dovere di controllare che quanti sono chiamati a dare attuazione alle misure (l’“incaricato” e il “responsabile”), vi provvedano secondo le modalità previste.

Il secondo aspetto riguarda la costruzione della fattispecie e prende spunto dalla constatazione che l’omessa adozione delle misure prescritte è punita, ai sensi dell’art. 36, sia a titolo di dolo che a titolo di colpa[195]. Il comma 2 prevede infatti che “se il fatto di cui al comma 1 è commesso per colpa si applica reclusione fino ad un anno”; il richiamo al comma 1 nella sua totalità sta a significare che, per essere punito a titolo di colpa, non sarà sufficiente la sola omessa adozione di misure di sicurezza, ma a questa dovrà aggiungersi il verificarsi del “nocumento”[196] previsto nel comma 1[197].

Questa affermazione si basa sulla considerazione che il “nocumento” costituisca una circostanza aggravante nel comma 1 e, invece, un elemento costitutivo nel delitto colposo previsto dal successivo comma 2 dell’art. 36, L. 675/96[198]. Il che significa che non sarà punibile l’omissione colposa di misure di sicurezza se non accompagnata anche dal verificarsi di un “nocumento”, configurando di fatto la fattispecie in esame come un reato di omesso impedimento.

La dottrina, pur consapevole del percorso tortuoso tramite il quale si è giunti a questa conclusione, riconosce nell’obbligo di garanzia di cui all’art 36 L. 675/96 un obbligo di impedimento di reati di terzi[199] gravante sul “titolare” nei confronti dell’operato dei suoi subalterni, sulla base del perdurare a suo carico dell’obbligo di vigilare sull’attività di quest’ultimi. Il che equivale a dire che il controllo che si pretende dal “titolare” è finalizzato ad impedire che i suoi subordinati realizzino l’ipotesi delittuosa descritta dall’art. 36, comma 2 (omessa adozione colposa di misure di sicurezza).

La stessa dottrina ha però anche rilevato che, da un’attenta lettura dell’art. 15, risulterebbe a carico del “titolare” l’obbligo di impedimento di reati non solo quando questi provengano dall’interno del sistema (cioè commessi dai sui incaricati), ma anche e soprattutto di quelli provenienti dall’esterno. Per reati provenienti dall’esterno si intendono le possibilità di accesso non autorizzato ai dati personali[200], e di diffusione di programmi diretti a danneggiare o interrompere un sistema informatico.

Questa estensione del dovere di controllo del titolare all’osservanza di un precetto penale non attinente i rischi connessi al trattamento dei dati, ma a comportamenti penalmente rilevanti posti in essere da terzi al di fuori del sistema, avvalora la conclusione che l’oggetto dell’obbligo sia l’impedimento di reati da parte di terzi[201].

Tale conclusione è altresì avvalorata dal fatto che, come visto supra[202], la dottrina richiede, per poter configurare un obbligo di impedimento di reato, un garante cui vengano affidati sia il potere-dovere di vigilare sull’operato di terzi sia quello di impedire il compimento di azioni penalmente illecite da parte degli stessi[203]. Nel caso di specie la funzione di garante sarebbe ravvisabile nella figura del “titolare” il quale, per poter essere destinatario dalla posizione di garanzia in questione, dovrebbe vedersi riconosciuti degli specifici poteri impeditivi, i quali legittimino la responsabilità per omesso impedimento di reato.

La dottrina però non ha indagato sulla presenza o meno di detti poteri impeditivi in capo al “titolare” del trattamento; infatti, seppur nella quasi totalità dei commenti all’art. 36 L. 675/96 si è giunti alla conclusione che esso configuri un obbligo di garanzia, nessun autore si è chiesto se il titolare di detta posizione sia dotato dell’unico requisito che consente di discriminare tra obbligo di garanzia (il quale legittimerebbe una responsabilità penale per reato commissivo mediante omissione) e gli altri obblighi, quello di attivarsi e quello di sorveglianza: la presenza di poteri impeditivi[204].

Si cercherà qui, senza pretese di esaustività, di dar conto delle soluzioni possibili basandosi sulle disposizioni della L. 675/96 e del D.P.R. 318/99, in merito alle misure di sicurezza da adottarsi in materia di trattamento di dati personali.

In riferimento ai reati commessi da terzi estranei, i poteri impeditivi sono facilmente individuabili: innanzitutto l’art. 1 della L. 675/96 conferisce al “titolare” la competenza a decidere “[..] in ordine alle finalità ed alle modalità del trattamento dei dati personali, ivi compreso il profilo della sicurezza”. Ad esso vieni quindi rimesso il potere-dovere di disporre un sistema di protezione dei dati conforme alle disposizioni dell’art. 15, le quali sono state ulteriormente specificate dal D.P.R. 318/99. In virtù di queste disposizioni il “titolare” può spostare i dati da un supporto ad un altro (es. copiare i dati da un computer ad un altro), può prevedere delle password a protezione dei dati stessi (art. 2, lettera a), D.P.R. 318/99), nonché disporre tutte le misure necessarie, “[…] anche in relazione alle conoscenza acquisite in base al progresso tecnologico […]”, volte ad impedire la commissione di reati da parte di terzi, che consistano in un’aggressione ai dati oggetto del trattamento (art. 15, comma 1, L. 675/96).

In questo caso quindi i poteri impeditivi consisterebbero nella possibilità di frapporre tra i dati (rectius, i supporti sui quali i dati sono memorizzati) e i terzi, le barriere che la moderna tecnologia permette di utilizzare, cioè misure ostative volte ad impedire la commissione dei reati contro i dati trattati.

L’individuazione dei poteri impeditivi nell’altra ipotesi, quella dell’eventuale obbligo di garanzia gravante sul “titolare” in relazione all’operato dei suoi subalterni, appare agevole se si prende in esame la figura dell’“incaricato”. Infatti, nei confronti dei “titolare” il D.P.R. 318/99 ha previsto tutta una seri di poteri volti a prevenire eventuali commissioni di reati degli “incaricati”, come ad esempio il potere-dovere di assegnare, in caso di presenza di due o più “incaricati”, una password per ognuno; infatti, nominando per iscritto il soggetto responsabile della custodia della stessa, può sempre essere individuato chi risponda per la mancata adozione di cautele idonee ad impedirne la diffusione (art. 2, lettera b), D.P.R. 318/99). Anche l’art. 5, disponendo delle restrizioni per il trattamento di alcuni dati particolari[205], conferisce al “titolare” e al “responsabile” un potere impeditivo: quello di consentire il trattamento dei suddetti dati solo tramite l’utilizzo di determinati elaboratori assegnati (individualmente o per gruppi di lavoro) a determinati soggetti e previa il rilascio di una autorizzazione, la quale può essere revocata in qualsiasi momento sia dal “titolare” che dal “responsabile”.

Pare quindi potersi dire che, anche in relazione all’obbligo di garanzia consistente nell’impedimento di reati degli “incaricati”, sussistano i poteri impeditivi che ne legittimano l’esistenza.

Appare invece meno agevole l’individuazione dei poteri impeditivi concessi al “titolare” nei confronti dell’operato del “responsabile”, in quanto il legislatore non ha individuato degli specifici poteri a riguardo.

Bisogna rifarsi quindi alla già citata disposizione contenuta nell’art. 8, comma 2, L. 675/96, in base alla quale “il responsabile procede al trattamento attenendosi alle istruzioni impartite dal titolare il quale, anche tramite verifiche periodiche, vigila sulla puntuale osservanza della disposizioni di cui al comma 1 e delle proprie istruzioni”.

Si è altresì già detto della impossibilità di riferire il rapporto titolare/responsabile a quello delegante/delegato, proprio in virtù del disposto dell’art. 8 che nega autonomia al “responsabile”. Infatti secondo alcune ricostruzioni[206], nel caso del delegante l’obbligo di garanzia si affievolirebbe fino a divenire un obbligo di sorveglianza, in virtù della previsione di una responsabilità in capo al delegato. Questo negherebbe l’esistenza di una posizione di garanzia gravante sul “titolare” ma la dottrina, come già segnalato, non ritiene più sostenibile l’ipotesi dell’analogia tra due rapporti così strutturalmente diversi, lasciando ancora aperta la porta per un interpretazione che riconosca in capo al “titolare” un obbligo di garanzia, segnatamente un obbligo di impedimento di reato.

Ma per ritenere sussistente la posizione di garanzia anche in quest’ipotesi, è necessario rinvenire i poteri impeditivi nella disposizione dell’art. 8, comma 2, L. 675/96. Questa infatti prevede che il “responsabile” proceda al trattamento “[…] attenendosi alle istruzioni impartite dal titolare […]”. Questa norma consentirebbe quindi al “titolare” di indirizzare l’operato del “responsabile”, impedendogli di fatto di porre in essere determinate attività che egli ritenga mettano in pericolo la sicurezza dei dati. Il “responsabile” non potrebbe infatti commettere il reato di omessa adozione colposa di misure di sicurezza se il “titolare” pone in essere le “verifiche periodiche” che , come si è visto, sono necessarie per poter ritenere soddisfatto l’obbligo.

Sembra quindi che, anche in quest’ipotesi, possano ritenersi conferiti i poteri impeditivi che legittimino la sussistenza dell’obbligo di impedimento di reati; ma non va dimenticato quanto detto a proposito della delimitazione delle reciproche responsabilità tra “titolare” e “responsabile” riguardo il minor grado di diligenza esigibile dal “titolare”. La posizione di garanzia riconosciuta in capo a quest’ultimo risulterebbe attenuata (sul piano della colpevolezza[207]) dalla previsione di un controllo eseguibile anche solo tramite “verifiche periodiche”, il che sembrerebbe causare una diminuzione della tutela rafforzata di cui consta l’obbligo di garanzia; in realtà la previsione di una autonoma responsabilità del “responsabile”, anch’esso titolare di un autonomo obbligo di garanzia[208], rende sufficientemente garantiti i dati personali oggetto del trattamento, essendo di fatto due i soggetti che possono rispondere penalmente per la mancata adozione di misure di sicurezza.

4. Configurabilità del concorso omissivo nel reato di cui all’art. 35 L. 675/96 – Una tutela rafforzata dei dati personali può però anche prescindere dalla previsione di una posizione di garanzia in capo al “titolare”. Per esempio può derivare anche dalla possibilità di individuare una responsabilità penale per compartecipazione mediante omissione[209].

Si potrebbe, a tal proposito, ravvisare la possibilità di una compartecipazione omissiva nel reato di trattamento illecito di dati personali ex art. 35, L. 675/96.

Questa fattispecie richiede però, per essere concretizzata, la sussistenza del dolo specifico, cioè l’intenzione, da parte di chi commette il delitto, di trarre per sé o per altri un profitto o di recare ad altri un danno (cfr. art. 35, commi 1 e 2). Occuparsi della tematica del concorso nel reato a dolo specifico comporterebbe l’analisi delle numerose problematiche che la dottrina[210] ha evidenziato nell’analizzare attentamente il fenomeno in questione, ma qui è sufficiente riportare le conclusioni cui tale dottrina è giunta: la compartecipazione omissiva nel reato commissivo a dolo specifico, coerentemente con quanto sostenuto dalla giurisprudenza, viene negata se essa consiste, sul piano soggettivo, nella mera consapevolezza dell’illiceità della condotta altrui. Si richiede quindi un quid pluris rispetto alla consapevolezza della commissione, da parte dei collaboratori, del reato di trattamento illecito di dati personali, per fondare una responsabilità in capo al “titolare” o al “responsabile”. Il fatto che questo quid pluris sia però, in concreto, difficilmente dimostrabile (se non ricorrendo a presunzioni), fa scontrare questa ricostruzione della compartecipazione omissiva ad un reato commissivo a dolo specifico con le esigenze probatorie del processo penale.

La dottrina ha però fatto notare che non si creerebbero degli sgradevoli vuoti di tutela, in quanto, “[…] anche se non nella totalità dei casi, quantomeno nella stragrande maggioranza la consapevolezza dell’altrui realizzazione di una condotta riconducibile al paradigma dell’art. 35, potrà accompagnarsi alla (previa) mancata adozione delle misure minime di sicurezza prescritte dal D.P.R. 318/99 […]”[211], in quanto queste sono dirette anche a ridurre i rischi di “trattamento non consentito” (cfr. art. 15, comma 1).

5. La questione del rispetto della riserva di legge. Il D.P.R. 318/99 – Come già accennato, il reato di omessa adozione di misure di sicurezza si configura come appendice sanzionatoria di una disciplina extrapenale, segnatamente quella contenuta nell’art. 15 in materia di misure minime di sicurezza. Si sono già ricordate le critiche avanzate dalla dottrina avverso questa disdicevole tendenza legislativa[212], ma è il caso qui di evidenziare come nella fattispecie in esame il fenomeno assuma dimensioni preoccupanti, accentuate dall’evidente mancato rispetto del principio di riserva di legge.

Infatti le misure minime di sicurezza richieste dall’art. 15 sono individuate in concreto dal D.P.R. 318/99, che certo non è il prodotto di un dibattito parlamentare, il quale dovrebbe invece essere sotteso ad una norma che preveda l’incriminazione di una condotta.

In altre parole, la specificazione delle misure di sicurezza, la mancata attuazione delle quali causa una responsabilità penale in capo al “titolare” del trattamento, è rimandata, dallo stesso art. 15, comma 2, L. 675/96, ad un regolamento contenuto in un D.P.R. da emanarsi successivamente.

La Costituzione prevede invece che la criminalizzazione dei comportamenti umani sia rimessa esclusivamente alla legge[213], in quanto il vaglio parlamentare sarebbe il solo procedimento atto a garantire alle minoranze la facoltà di intervenire.

Certamente non è questo l’unico caso in cui il legislatore ricorre ad una fonte regolamentare per specificare contenuti tecnici di una legge ma, tenendo conto del fatto che parte della dottrina ritiene rispettato il principio di riserva assoluta di legge in materia penale quando la previsione regolamentare è già entrata in vigore nel momento in cui è emanata la norma penale[214], qui ci si trova innanzi un caso ancora più estremo: la legge infatti si affida alla cieca ad una fonte subordinata che dovrà emanare un provvedimento del quale, ovviamente, si ignora il contenuto.

Sembra lecito quindi dubitare del rispetto del principio de quo nella fattispecie in esame, tenendo anche presente l’opinione di chi riconduce l’ipotesi dell’art. 36 L. 675/96, alla figura della norma penale in bianco, la quale “[…] risulta destinata ad essere riempita con la normativa regolamentare […][215].

Indubbiamente il legislatore può essere stato spinto alla scelta della previsione in una fonte regolamentare delle misure minime di
sicurezza, da una indubbio contenuto tecnico delle stesse, il quale rendeva arduo il compito all’Assemblea di descriverle compiutamente;

resta però il fatto che parte della dottrina sostiene, e ci sembra di poter far nostro questo pensiero, che la norma possa essere tacciata di incostituzionalità, e quindi idonea a sollevare la questione di illegittimità innanzi alla Corte costituzionale[216].

Altri autori trovano nella legge sulla privacy una conferma della tendenza legislativa a trascurare il principio di riserva di legge, causandone una sostanziale “scomparsa” dal nostro ordinamento[217].

Questa dottrina mette in evidenza come la convergenza nonché l’integrazione di fonti eterogenee e di differente grado concorrenti alla definizione della disciplina della privacy, rendano la norma penale in questione il frutto dell’operato di più co-legislatori[218]. Considerando il primato che la dottrina ormai quasi unanimemente riconosce alla normativa comunitaria, il primo co-legislatore che si incontra è quello sovranazionale[219]; successivamente si incontra il co-legislatore nazionale. Poi, ed è questo il profilo che la dottrina in esame vuole sottolineare, si incontra un co-legislatore inedito: l’Autorità garante.

L’Autore evidenzia che pur essendo noto “[…] il potere normativo-regolamentare delle Autorità amministrative indipendenti […] il Garante per la protezione dei dati personali si presenta con alcune vistose peculiarità […]”. Queste “peculiarità” sono principalmente costituite dal fatto che i provvedimenti di “autorizzazione” concessi ai soggetti più disparati (liberi professionisti, società, banche, esercenti professioni sanitarie, eccetera), interagendo con la L. 675/96, conferiscono all’Autorità il ruolo di “legislatore a pieno titolo”[220], costituendo, di fatto, la fonte primaria di orientamento per i soggetti interessati. L’interazione consiste nella possibilità, riconosciuta al Garante, di esimere determinati soggetti dalla posizione di garanzia connessa al trattamento di dati personali, con il risultato di rinviare ad una ulteriore fonte subordinata.

In altre parole: le sanzioni penali contenute nella legge sulla privacy richiamano una disciplina extrapenale contenuta in altri articoli della medesima (l’art. 7 in materia di notificazioni, l’art. 15 in materia di sicurezza, eccetera); le singole disposizioni richiamate, a loro volta, vanno integrate con i provvedimenti del Garante; non solo, le stesse norme dettate dal Garante talvolta necessitano di una ulteriore operazione di eterointegrazione normativa, quale figura di rinvio di terzo livello[221].

Questi rinvii a catena, interagendo con le norme penali, finiscono con il compromettere la chiarezza del precetto, nonché violare il principio di riserva di legge.

Nel tentativo di dare una definizione alla L. 675/96, c’è chi ha utilizzato l’efficace espressione di “semilavorato”, sulla base della considerazione che la legge sulla privacy sia una “[…] legge che non è compiuta in sé, ma necessita di essere portata a compimento da altri operatori […]”[222].

Questa natura incompiuta della legge in questione è addirittura sancita formalmente nella legge delega (emanata assieme alla L. 675/96) 31 dicembre 1996, n. 676: essa, come è noto, conferisce la delega al Governo ad adottare provvedimenti atti a precisare e specificare i princìpi della L. 675/96. A tal proposito, l’Autore ha osservato che, oltre al Governo, il compito di rifinire la legge in questione, spetta al Garante e – soprattutto – al giudice[223].

E’ il caso di sottolineare che la filosofia sottesa alla legge in esame può essere considerata come l’intenzione di rassicurare la cittadinanza; la legge vale come simbolo, come immagine, e non come effettivo strumento di tutela. Ecco a cosa serve il manifesto degli scopi[224] di cui all’art. 1: alla funzione mediatica che la legge deve svolgere.

La funzione mediatica di questo elenco di finalità si palesa se si esamina attentamente la struttura delle norme. Si è già visto infatti che le norme penali della L. 675/96 non tutelano la dignità, la riservatezza o altri diritti della personalità, ma piuttosto tutelano la funzione amministrativa dell’Autorità garante[225]; ciò sta a significare che la tutela apprestata dalla legge è inidonea a raggiungere le finalità declamate nell’art. 1, predisponendo solamente sanzioni penali per violazioni di discipline extrapenali.

Tutte queste considerazioni fanno ritenere che il principio di riserva di legge venga spesso ignorato dal legislatore, a favore di una disciplina imperniata sulla tutela delle funzioni di soggetti amministrativi (Consob, Banca d’Italia, eccetera), contenuta molto spesso in provvedimenti emanati da fonti regolamentari, sulla base dell’assunto che la tecnicità della disciplina, nonché l’urgenza che a volte accompagna l’emanazione di una normativa, non collimerebbero con i tempi dell’attività parlamentare.

6. La tutela dei dati personali in internet. Cenni sulla responsabilità penale dell’internet service provider. Configurabilità di una posizione di garanzia – La questione della responsabilità penale degli operatori di internet è largamente dibattuta in dottrina. Come è noto, il fenomeno di internet ha messo a disposizione una vera e propria “autostrada telematica”, sulla quale far viaggiare milioni di dati. L’accesso a questa vera e propria rete è garantito da appositi soggetti che ne consentono l’utilizzo da parte dei privati: questi soggetti sono appunto gli internet service provider[226].

La dottrina si è concentrata sulla possibilità di individuare in capo ai soggetti che mettono a disposizione uno spazio su internet, un obbligo di vigilanza sul contenuto dei siti, ma si è scontrata con l’esigenza di fondare questo tipo di responsabilità su una norma imperativa che ne sancisse formalmente l’esistenza[227], sicché oggi non si ritiene esistente una responsabilità degli internet service provider per i reati commessi tramite la rete[228].

Non si vuole qui esaminare la questione della generale configurabilità di una posizione di garanzia in capo al provider o dell’eventuale compartecipazione a titolo di concorso omissivo (per la quale si rimanda alle lucide analisi presenti nei testi in nota), bensì si vuole evidenziare come, in riferimento alla materia dei dati personali, l’internet provider potrebbe incorrere in responsabilità penali.

La dottrina è infatti unanime nel riconoscere la qualifica di “titolare del trattamento” al provider[229], in quanto esso dispone di una banca dati contenente informazioni riguardo gli utenti, e per tanto deve essere considerato soggetto alla disciplina della 675/96.

L’internet service provider opera il trattamento di diversi tipi di dati: innanzitutto i dati necessari per l’identificazione e l’autenticazione del diritto all’accesso alla rete da parte degli utenti (cioè i dati anagrafici degli abbonati, l’indirizzo IP del computer dalquale si sta operando, lo username e la password[230]); non solo: il provider è in possesso di una seconda serie di informazioni personali relative alle transazioni ed alle comunicazioni effettuate dagli abbonati[231].

Il provider è quindi il “titolare” del trattamento dei dati relativi ai propri clienti e alle attività da loro svolte in Rete. Esso è quindi destinatario di tutti gli obblighi imposti dalla legge sulla privacy (come ad esempio l’obbligo di “notificazione”[232]), nonché di tutte le disposizioni penali.

Questo fatto fa gravare sul provider una posizione di garanzia derivante dall’obbligo di impedimento di reati di terzi prevista dall’art. 36, L. 675/96, nonché la relativa responsabilità penale per omessa adozione di misure di sicurezza.

Come si è anticipato (vedi nota 99), uno dei limiti della legge sulla privacy era quello di non aver differenziato le misure minime di sicurezza da adottarsi ai sensi dell’art. 36, in relazione al grado di pericolosità dovuto, per esempio, agli strumenti utilizzati.

Il D.P.R. 318/99, specificando il contenuto delle misure da adottare, ha in parte spazzato via questo appiattimento, prevedendo un sistema di sicurezza graduato in relazione al tipo di strumento utilizzato, distinguendo nettamente il trattamento effettuato con strumenti elettronici o comunque automatizzati (cfr. artt. da 2 a 7, D.P.R. 318/99) da quello effettuato con altri strumenti (cfr. artt. 9 e 10 D.P.R. 318/99).

La disciplina del regolamento prevede opportunamente una ulteriore differenziazione di tutela tra i dati non accessibili da altri elaboratori (per i quali è sufficiente la previsione di una password, cfr. art. 2, lettera a), D.P.R. 318/99) e quelli che invece sono accessibili in rete e che richiedono delle misure di sicurezza più pregnanti (ad esempio l’attribuzione di un identificativo personale a ciascun utente e la predisposizione di programmi di protezione contro gli accessi abusivi sanzionati dall’art. 615-ter c.p., la cui efficacia ed aggiornamento devono essere verificati con scadenza almeno semestrale: cfr. art. 4, D.P.R. 318/99).

Come già ricordato supra, i poteri impeditivi che legittimano l’esistenza della posizione di garanzia vanno individuati in queste disposizioni che mettono a disposizione del garante (in questo caso il provider) una serie di poteri (leggasi procedure tecniche[233]) idonei a proteggere i dati da aggressioni esterne. Si può quindi affermare che il provider sia titolare di una posizione di garanzia, segnatamente quella derivante dall’art. 36, L. 675/96, in merito alla sicurezza dei dati personali da esso trattati.

Va anche ricordato che l’internet service provider è penalmente responsabile per la violazione dell’integrità della corrispondenza dei suoi utenti. Infatti, ai sensi dell’art. 1 D.P.R. 513/1997 (Regolamento contenente i criteri e le modalità per la formazione, l’archiviazione e la trasmissione di documenti con strumenti informatici e telematici a norma dell’art. 15, comma 2, della legge 15 marzo 1997, n. 59) gli addetti alle operazioni di trasmissione per via telematica di dati o atti formati con strumenti informatici non possono prendere cognizione del contenuto della corrispondenza telematica[234], e se lo fanno integrano il reato di violazione di corrispondenza di cui all’art. 616 c.p., così come novellato dalla legge sulla criminalità informatica n. 547/93. Tale legge ha infatti esteso la nozione di “corrispondenza” fino a ricomprendere anche quella di carattere informatico e telematico o effettuata mediante qualsiasi forma di comunicazione a distanza.

Non tutti gli autori però concordano con questa ricostruzione, ritenendo più pregnante ricondurre la violazione della “corrispondenza telematica” al reato di violazione di comunicazioni informatiche e telematiche di cui all’art. 617-quater c.p., sulla base dell’assunto che il concetto di “corrispondenza telematica” corrisponderebbe a quello di “comunicazione telematica”.

Al contrario, la dottrina dominante e il Garante per la protezione dei dati personali si sono espressi a favore della riconducibilità della posta elettronica alla tutela offerta dall’art. 616 c.p.[235].

In fine, è il caso di sottolineare che la detenzione da parte del provider di dati concernenti le transazioni e le comunicazioni effettuate dagli utenti pone più problemi di quanto non sembri ad un primo sguardo. In primo luogo perché essi possono avere un contenuto estremamente sensibile (ad esempio possono riguardare flussi di denaro, ovvero la frequentazione da parte dell’abbonato di siti a sfondo sessuale, eccetera); in secondo luogo perché la normativa sul “consenso informato” prevista dalla legge sulla privacy può risultare violata.

Riguardo il contenuto dei dati, risulta evidente che la possibilità di controllare gli spostamenti su internet di un abbonato, e quindi conoscere le sue preferenze i suoi gusti, può rivestire un’importanza cruciale per poter predisporre un piano pubblicitario mirato e personalizzato per ogni utente della Rete.

Ma come è possibile tutto ciò? Dal punto di vista tecnico il gestore del sito, ogni qual volta che un utente si connette al suo sito, manda per via telematica una sorta di timbro[236] all’interno del computer connesso. Questo consentirà di riconoscere quel computer quando si connetterà nuovamente a quel sito, così da poter facilmente sapere quante volte quel determinato utente si collega a quel sito. L’informazione in questione non potrà non far gola alle numerose società commerciali operanti su internet che si occupano di pubblicità. L’utente non può però sapere ciò che il gestore fa con questi dati, in quanto nessuno gli ha mai chiesto il “consenso” al trattamento degli stessi[237].

Sembra quindi che l’utente sia privo di tutela efficace di fronte ad un tale accumularsi di dati sensibili da parte del content provider (o un “responsabile” da lui nominato). Questo infatti si trova ad operare il trattamento di dati sensibili senza però aver avuto nessun consenso dall’interessato, e senza avere nessun tipo di rapporto con lo stesso utente.

Infatti il content provider è il soggetto che mette a disposizione uno spazio su internet al titolare del sito che l’utente ha visitato, non è il provider che lo stesso ha contattato per avere accesso alla rete (access provider); questo rende difficilmente identificabile da parte dell’interessato il soggetto che dispone dei dati relativi ai suoi spostamenti su internet.

In definitiva si profila una situazione in cui quantomeno si violano le norme sul “consenso informato” della L. 675/96, ma si potrebbe anche verificare una omissione di notificazione (ex art. 34, L. 675/96) ovvero un trattamento illecito (ex art. 35, L. 675/96) se il provider gestisce “clandestinamente” questi dati.

All’utente non resta quindi che scegliere di non ricevere i cookie[238], nella speranza che la disciplina di internet, rimessa quasi esclusivamente ad accordi deontologici, si dimostri in futuro più sensibile nei confronti della tematica della privacy, richiedendo il consenso dell’utente per l’invio di cookie; il che equivale a dire che devono essere gli stessi provider ad autoregolamentarsi ed a prevedere delle restrizioni dell’uso dei cookie.

 

BIBLIOGRAFIA

AA.VV., Le banche dati in Italia, Napoli, 1985.

ACCINNI G. P., Profili di responsabilità penale dell’internet provider, in Riv. trim. dir. pen. econ., 2000.

AMATO G., Autorità semindipendenti ed autorità di garanzia, in Riv. trim. dir. pubbl., 1996.

AMATO G. – BARBERA A., Manuale di diritto pubblico, Bologna, 1994.

ANTOLISEI F., Manuale di diritto penale – Parte generale, Milano, 1999.

ANTOLISEI F., Manuale di diritto penale – Leggi complementari, Milano, 1983.

BAFFIGO L., Sintesi del regolamento per le misure minime di sicurezza: legge 675/96, in www.privacy.it.

BLAIOTTA R., Le fattispecie penali introdotte dalla legge sulla privacy, in Cass. pen., 1999.

BOBBIO N., Il positivismo giuridico, Torino, 1996.

BRICOLA F., Prospettive e limiti della tutela penale della riservatezza, in Riv. it. dir. proc. pen., 1967.

BUGIOLACCHI L., Principi e questioni aperte in materia di responsabilità extracontrattuale dell’internet provider. Una sintesi di diritto comparato, in Dir. inf., 2000.

BUSIA G., La notifica al garante diventa obbligatoria solo se la riservatezza corre rischi concreti, in Guida al diritto – Il Sole 24 Ore, n. 5 del 9 febbraio 2002.

CADOPPI A., Il reato omissivo proprio, II, Padova, 1988.

CALCAGNO E., Omicidio colposo e obbligo giuridico di impedire l’evento, in Dir. pen. proc., 2002.

CARLASSARE L., voce “Legge (riserva di)”, in Enc. giur. Trecc., 1990, vol. XVIII.

CERULLI IRELLI V., Corso di diritto amministrativo, Torino, 1999.

CONFORTI B., Diritto internazionale, 5a ed., Napoli, 1997.

CORRIAS LUCENTE G., Sanzioni penali e amministrative a tutto campo per aumentare la tutela del cittadino, in Guida al diritto – Il Sole 24 Ore, n. 4 del 1 febbraio 1997.

COSTANZO P., Ancora a proposito dei rapporti tra diffusione in internet e pubblicazione a mezzo stampa (nota a G.U.P. trib. Oristano 25 maggio 2000), in Dir. inf., 2000.

COSTANZO P., La magistratura sfida internet. A margine di un caso francese ma non solo… (nota a trib. Grande Instance Parigi 20 novembre 2000), in Dir. inf., 2001.

CUPELLI C., Rilevanza della delega di funzioni nel diritto penale dell’impresa, in Ind. pen., 2002.

D’ALBERTI M., “Autorità indipendenti (dir. amm.)”, in Enc. giur. Trecc., 1988, vol. IV.

DE SALVIA M., La convenzione europea dei diritti dell’uomo, Napoli, 2001.

DI BENEDETTO U., Diritto penale – Giurisprudenza e casi pratici, Rimini, 1998.

DI SALVATORE P., Lo “spazio di Schengen” a portata di mano con il recepimento della direttiva comunitaria, in Guida al diritto – Il Sole 24 Ore, n. 4 del 1 febbraio 1997.

FADDA S., Commento all’art. 1 comma 2 in AA.VV., La tutela dei dati personali, commentario alla legge 675/1996, Padova, 1999, 2a ed.

FALLETTI G., Il contratto di application service provisioning, in Dir. inf., 2001.

FERRUA P., Procedimento di accertamento e di applicazione delle sanzioni, in Dir. pen. proc., 2001.

FIANDACA G., Reati omissivi e responsabilità per omissione (Urbino 7-8 ottobre 1982) in Arch. pen., 1983.

FIANDACA G. – MUSCO E., voce “persona (delitti contro la)”, in Dig. disc. pen., Torino, 1995, vol. IX.

FIANDACA G. – MUSCO E., Diritto penale – Parte generale, Bologna, 1995, 3a ed.

FIORAVANTI L., Tutela penale della persona: nuove frontiere difficili equilibri, in (a cura di) L. FIORAVANTI, Tutela penale della persona: nuove frontiere difficili equilibri, Milano, 2001.

FROSINI V., voce “Telematica e informatica giuridica”, in Enc. dir., vol. XLIV.

GALDIERI P., L’ampia configurabilità dell’illecito penale rafforza il principio della libertà informatica, in Guida al diritto – Il Sole 24 Ore, n. 4 del 1997.

GIACOBBE G., voce “Riservatezza (diritto alla)”, in Enc. dir., vol. XL, Milano, 1986.

GIANNANTONIO E., Il progetto di legge sulle banche di dati personali e le normative straniere, in Giur. It., 1985, IV.

GOTTI A., Nota a Cass. pen. sez. IV, 13 gennaio 1994, in Riv. trim. dir. pen. econ., 1995.

GROSSO C. F., Per un nuovo codice penale, 2000, in www.giustizia.it.

LEONCINI I., Obbligo di attivarsi, obbligo di garanzia e obbligo di sorveglianza, Torino, 1999.

LOSANO M.G., introduzione al volume AA.VV., La tutela dei dati personali. Commentario alla l. 675/1996, Padova, 1999, 2a ed., p. XXV.

MACCABONI G., La profilazione dell’utente telematico fra tecniche pubblicitarie online e tutela della privacy, in Dir. inf., 2001.

MAGLIO M., Una privacy possibile: la tutela dei dati personali verso la semplificazione, in Dir. pen. proc., 2002.

MANCINI  I., Filosofia della prassi, Brescia, 1986.

MANNA A., Beni della personalità e limiti della protezione penale, Padova, 1989.

MANNA A., La protezione penale dei dati personali nel diritto italiano, in Riv. trim. dir. pen. econ., 1993.

MANNA A., Considerazioni sulla responsabilità penale dell’internet provider in tema di pedofilia, in Dir. inf., 2001.

MANNA A., Il trattamento dei dati personali: le sanzioni penali, in (a cura di ) L. FIORAVANTI, La tutela penale della persona: nuove frontiere difficili equilibri, Milano, 2001.

MANTOVANI F., Diritto alla riservatezza e libertà di manifestazione del pensiero con riguardo alla pubblicità dei fatti criminosi, in AA.VV. Il diritto alla riservatezza e la sua tutela penale, (atti del terzo simposio di studi di diritto e procedura penale, Varenna 5-7 Settembre 1967), Milano, 1970.

MANTOVANI F., Diritto penale – Reati contro la persona, Padova, 1995.

MANTOVANI F., L’obbligo di garanzia ricostruito alla luce dei principi di legalità, di solidarietà, di libertà e di responsabilità personale, in Riv. it. dir. proc. pen., 2001.

MANTOVANI M., Le fattispecie incriminatrici della legge sulla privacy: alcuni spunti di riflessione, in Crit. dir., 1997.

MANTOVANI M., Le fattispecie penali della l. 675/96 e le posizioni di garanzia, in Dir. inf., 2000.

MARCHESI A., I diritti dell’uomo e le Nazioni Unite, Milano, 1998.

MARINUCCI G. – DOLCINI E., Corso di diritto penale, Milano, 1999.

MARRA G., Detenzione di materiale pornografico (in corso di pubblicazione).

MARTINES T., Diritto costituzionale, Milano, 1997.

MONACO L., Commento all’art. 615-bis in (a cura di) A. CRESPI, F. STELLA e G. ZUCCALÁ Commentario breve al codice penale, 1999.

MORTATI C., Istituzioni di diritto pubblico, I, Padova, 1967.

MORTATI C. , Istituzioni di diritto pubblico, Padova, 1991.

OLIVA A., La tutela penale del diritto alla privacy in internet, in Riv. pen., 2002.

PADOVANI T., Diritto penale della prevenzione e mercato finanziario, in Riv. it. dir. proc. pen., 1995.

PALAZZO F. C., Considerazioni in tema di tutela della riservatezza (a proposito del “nuovo” art. 615-bis c.p.), in Riv. it. dir. proc. pen., 1975.

PALAZZO F. C., Tendenze e prospettive nella tutela penale della persona umana, in (a cura di) L. FIORAVANTI, La tutela penale della persona: nuove frontiere difficili equilibri, Milano, 2001.

PARODI C., La tutela penale dei sistemi informatici e telematici: le fattispecie penali, in www.privacy.it. 

PATRONO P., voce “Privacy e vita privata (dir. pen.)” in Enc. Dir., vol. XXXV, Milano, 1986.

PELLICANÒ G., I casi di esclusione del consenso nel trattamento dei dati personali, in Dir. Inf., 1998.

PROSPERI M., La tutela penale delle informazioni personali: luci ed ombre degli artt. 34-37 della legge n. 675/96, in www.privacy.it.

PULITANÒ D., La responsabilità “da reato” degli enti: criteri di imputazione, in Riv. it. dir. proc. pen., 2002.

RAPETTI G. C., Sanzioni e depenalizzazione: rivisto il sistema della violazioni, in Guida agli enti locali – Il Sole 24 Ore, n. 8 del 2 marzo 2002.

RESCIGNO P., Il diritto all’intimità della vita privata, in AA.VV., Il diritto alla riservatezza e la sua tutela penale, (atti del terzo simposio di studi di diritto e procedura penale, Varena 5-7 Settembre 1967), Milano, 1970.

RICCIO G. M., La responsabilità del provider nell’esperienza francese: il caso Hallyday (nota a app. Parigi 10 febbraio 1999), in Dir. inf., 1999.

RICCIO G. M., Anonimato e responsabilità in internet (nota a trib. Grande Instance Nanterre 8 dicembre 1999), in Dir. inf., 2000.

RODOTÁ S., Elaboratori elettronici e controllo sociale, Bologna, 1973.

RODOTÁ S., La “privacy” tra individuo e collettività, in Pol. dir., 1974.

SAFIRE W., Fermate gli spacciatori di cookies, in The New York Times on the Web del 15 giugno 2000, pubblicato anche in www.privacy.it.

SEMINARA S., La pirateria su internet e il diritto penale, in Riv. trim. dir. pen. econ, 1997.

SEMINARA S., Appunti in tema di sanzioni penali nella legge sulla privacy, in Resp. civ. prev., 1998.

SEMINARA S., La responsabilità penale degli operatori su internet, in Dir. inf., 1998.

SGUBBI F., La tutela della riservatezza: profili penalistici, in Riv. trim. dir. proc. civ., 1998.

SGUBBI F., Diritto penale incerto ed efficace, in Riv. it. dir. proc. pen., 2001.

SIEBER U., Responsabilità penali per la circolazione di dati nelle reti internazionali di computers, in Riv. trim. dir. pen. econ., 1997, II.

TOSI E., Prime osservazioni sull’applicabilità della disciplina generale della tutela dei dati personali a internet e al commercio elettronico, in Dir. inf., 1999.

VALASTRO A., La tutela penale delle comunicazioni intersoggettive, fra evoluzione tecnologica e nuovi modelli di responsabilità, in Riv. it. dir. proc. pen., 1999, II.

VALENZANO A. S., Appunti in tema di trasferimento di funzioni, in Riv. trim. dir. pen. econ., 2001.

VASSALLI G., Libertà di stampa e tutela penale dell’onore, in Arch. Pen., 1967.

VENEZIANI P., Beni giuridici protetti e tecniche di tutela penale nella nuova legge sul trattamento dei dati personali: prime osservazioni, in Riv. trim. dir. pen. econ., 1997, I.

VENEZIANI P., I beni giuridici tutelati dalle norme penali in materia di riservatezza informatica e disciplina dei dati personali, in Ind.. pen., 2000.

VENEZIANI P., I beni giuridici penalmente tutelati dalle norme penali in materia di disciplina dei dati personali, in (a cura di) L. FIORAVANTI, La tutela penale della persona: nuove frontiere difficili equilibri, Milano, 2001.

WARREN e BRANDIES, The right to privacy, in The Harvard Law Review, 1890.

ZAMPETTI A., I soggetti del trattamento dei dati: ambito di competenza, esercizio e limiti della delega di funzioni, in www.privacy.it.

[1] Tutte le civiltà hanno conosciuto la contrapposizione tra diritto naturale e diritto positivo e seppure con portate differenti, quasi sempre diritto naturale stava ad indicare un diritto trascendente (che va al di là dell’uomo). Per i greci era “l’insieme delle leggi che dominano il cosmo”, nel pensiero medioevale era la volontà di Dio che si manifestava agli uomini. Per maggiori ragguagli vedi N. BOBBIO, Il positivismo giuridico, Torino, 1996, pp. 3-15; C. MORTATI, Istituzioni di diritto pubblico, Padova, 1991, pp. 47 ss.

[2] Vedi G. FIANDACA-E. MUSCO, voce “persona (delitti contro la)”, in Dig. disc. pen., Torino, 1995, vol. IX, p. 519.

[3] Cioè l’insieme delle variabili inserite dai continui mutamenti istituzionali, morali, religiosi che hanno accompagnato l’uomo nel suo naturale cammino evolutivo.

[4] Vedi F. MANTOVANI, Diritto penale – Reati contro la persona, Padova, 1995, p. 40.

[5] Il tema dell’emersione di nuovi beni o dimensioni dell’essere umano sarà affrontato successivamente, vedi infra.

6 Per maggiori ragguagli in merito, e sulla distinzione tra utilitarismo-collettivistico, utilitarismo-maggioritario e utilitarismo-individualistico vedi F. MANTOVANI, Diritto penale, cit., pp. 41, 128.

[7] Vedi per tutti T. MARTINES, Diritto costituzionale, Milano, 1997, pp. 70 ss.; V. CERULLI IRELLI, Corso di diritto amministrativo, Torino, 1999, pp. 32 ss.

[8] G. FIANDACA-E. MUSCO, Diritto penale – Parte generale, Bologna, 1995, 3a ed., p. 13.

[9] Per un resoconto sul dibattito della dottrina costituzionalista sull’interpretazione dell’art. 2 cost. (anche con ampi riferimenti bibliografici) vedi A. MANNA, Beni della personalità e limiti della protezione penale, Padova, 1989, pp. 23-30.

[10] Per i limiti all’introducibilità di nuovi interessi vedi più dettagliatamente postea Cap. II.

[11] Vedi in questo senso A. MANNA, Beni della personalità, cit., p. 34.

[12] A. MANNA, Beni della personalità, cit., pp. 35 ss.

[13] Per un elenco più esaustivo vedi A. MANNA, Beni della personalità, cit., pp. 133-140.

[14] Vedi Cap. II.

[15] Vedi a questo proposito L. FIORAVANTI, Tutela penale della persona: nuove frontiere difficili equilibri, in (a cura di) L. FIORAVANTI, Tutela penale della persona: nuove frontiere difficili equilibri, Milano, 2001, p. 7.

[16] Il concetto di “afferrabilità” in diritto penale è stato sempre riferito al bene giuridico tutelato; in questo caso L. FIORAVANTI ne da una lettura diversa, riferendolo alla “[…] sua negazione dialettica e cioè alla lesione in cui consiste la violazione penale […]” L. FIORAVANTI, La tutela penale della persona, cit., pp. 7-8.

[17] “Dunque, la trasformazione postmoderna del diritto penale non ha risparmiato neppure il suo nucleo centrale, anzi nemmeno il cuore stesso del Kernstrafrecht costituito dai reati a tutela della persona umana.” F. C. PALAZZO, Tendenze e prospettive nella tutela penale della persona umana, in (a cura di) L. FIORAVANTI, La tutela penale della persona, cit., p. 405.

[18] Questa ultima espressione è indicata come quella che meglio descrive il fenomeno in questione da L. FIORAVANTI, La tutela penale della persona, cit., p. 9.

[19] La legge 31 dicembre 1996 n. 675, che è oggetto di questa trattazione, prevede diverse figure criminose orientate in tal senso, vedi postea Cap. III.

[20] La dottrina ha segnalato un “[…] uso crescente di definizioni legislative e di elementi extrapenali, dovuto al contenuto altamente tecnico della materia dei dati personali; vi è una progressiva anticipazione della soglia di punibilità attraverso fattispecie modellate sull’accollo di un rischio di lesione e sulla discussa figura dei delitti aggravati dall’evento […]”, vedi A. VALASTRO, La tutela penale delle comunicazioni intersoggettive, fra evoluzione tecnologica e nuovi modelli di responsabilità, in Riv. it. dir. proc. pen., 1999, II, p. 1009.

[21] G. MARINUCCI – E. DOLCINI, Corso di diritto penale, Milano, 1999, p. 396. L’Autore riconduce al fenomeno in esame la tutela delle funzioni di vigilanza della Consob e della Banca d’Italia, nonché la tutela dei beni ambientali.

[22] Cfr. L. 3 agosto 1998, n. 269, pubblicata in Gazz. Uff. 10 agosto 1998 n.185. Per un commento alla legge in questo senso vedi L. FIORAVANTI, La tutela penale della persona, cit., pp. 20 ss.; F. C. PATRONO, Tendenze e prospettive, cit., p. 413 ss. Per un’analisi della legislazione, nonché della giurisprudenza statunitense si veda G. MARRA, Detenzione di materiale pornografico (in corso di pubblicazione).

[23] Da molti autori criticato in quanto, in questo caso, risulta evidente l’assenza di un contenuto offensivo della condotta del mero “detentore” di materiale pedo-pornografico nei confronti del minore.

[24] Cioè l’interesse alla repressione dei reati.

[25] Vedi G. FIANDACA-E. MUSCO, Diritto penale – Parte generale, cit., pp. 3, 154, 155; G. MARINUCCI-E. DOLCINI, Corso di diritto penale, cit., p.385.

[26] Vedi in questo senso T. PADOVANI, Diritto penale della prevenzione e mercato finanziario, in Riv. it. dir. proc. pen., 1995, pp. 638 ss.

[27] P. VENEZIANI, I beni giuridici penalmente tutelati dalle norme penali in materia di disciplina dei dati personali, in (a cura di) L. FIORAVANTI, La tutela penale della persona, cit., p. 376.

[28] Cioè si occupa di sanzionare la violazione delle procedure previste da precetti extrapenali, tutelando la funzione di controllo del Garante, piuttosto che la riservatezza dei dati trattati. Per ora basti indicare l’incriminazione dell’inosservanza dei provvedimenti del Garante ex art. 37: vedi Cap. III.

[29] Soprattutto sulla base del “timore che le libertà collettive di stampo liberale come il diritto di stampa, di critica d’arte, potessero essere in qualche modo compromesse da limiti diversi da quelli tradizionali”, vedi F. BRICOLA, Prospettive e limiti della tutela penale della riservatezza, in Riv. it. dir. proc. pen., 1967, p. 1081.

[30] Vedi G. GIACOBBE, voce “Riservatezza (diritto alla)”, in Enc. dir., vol. XL, Milano, 1986, p. 1243.

[31] Ci si riferisce agli ordinamenti europei continentali, in quanto la Gran Bretagna ha un sistema giuridico (common law) analogo a quello statunitense, ed ha per questo percepito e risolto, prima degli altri paesi del vecchio continente, la questione del right of privacy.

[32] Vedi infra.

[33] Almeno fino all’entrata in vigore della legge 31 dicembre 1996 n. 675, che ha disciplinato l’intero settore dei dati personali, vedi Cap. III.

[34] Anche se la dottrina fa risalire al saggio in questione la prima presa di posizione in merito la tutela della privacy, in realtà cinque anni prima dei due nordamericani, un tedesco (Rudolf von Jhering) aveva affrontato il tema in questione; l’occasione gli si era presentata quando una nuova tecnologia (la fotografia) aveva reso avvertibile una necessità di tutela contro la pubblicazione di immagini riservate. Ma a passare alla storia sono stati Warren e Brandies, vedi l’introduzione di M. G. LOSANO al volume AA.VV., La tutela dei dati personali. Commentario alla L. 675/1996, Padova, 1999, 2a ed., p. XXV.

[35] Per capire meglio la reale dimensione del diritto ad essere lasciato solo così come delineato da Warren e Brandies, è necessario ricordare che il saggio prende spunto da alcuni episodi di cronaca mondana apparsi su un giornale locale, il quale riportava dei pettegolezzi riguardo le sontuose feste organizzate dello stesso Warren (figlio di una delle più ricche famiglie di Boston di allora), alle quali partecipavano i personaggi più in vista della città i quali “[…] fornivano al Saturday Evening Gazette argomenti per intrattenere i loro lettori con particolari piccanti […]” WARREN e BRANDIES, The right to privacy, in The Harvard Law Review, 1890, p. 207 ss.; vedi anche P. PATRONO voce “Privacy e vita privata (dir. pen.)” in Enc. dir., vol. XXXV, Milano, 1986, p. 559.

[36] In realtà, secondo la visione tipica del XIX secolo che prevedeva la sola logica economica, tutti i diritti della personalità venivano considerati come volti a disciplinare dei rapporti essenzialmente patrimoniali; solo dopo la seconda guerra mondiale, come reazione ad essa, si percepì l’esigenza (anche a livello internazionale) di “[…] riaffermare, in documenti che impegnassero i singoli stati contraenti, i diritti dell’uomo, troppo spesso in passato disconosciuti. Ciò indusse allo sviluppo dei diritti della personalità quali diritti sganciati dallo schema proprietario, e riferentesi invece all’uomo […]” A .MANNA, Beni della personalità, cit., p. 333.

[37] Per le prese di posizione della dottrina nel senso di considerare la riservatezza come diritto della persona nella sua dimensione sociale vedi S. RODOTÁ, La “privacy” tra individuo e collettività, in Pol. dir., 1974, p. 548.

[38] Lo stesso caso Warren nasceva dalla pubblicazione di un giornale, vedi nota 35.

[39] F. BRICOLA, Prospettive e limiti, cit., pp. 1083,1084.

[40] L’Autore individua tre diverse sfere private, sfera privata “strictu sensu”, sfera confidenziale o della fiducia e la sfera del segreto, descrivendole come tre cerchi concentrici. Il più esterno (sfera privata) ricomprende tutti i comportamenti, fatti, notizie che il soggetto non desidera rendere di pubblico dominio; al suo interno troviamo la sfera confidenziale, la quale ricomprende tutte le notizie, accadimenti, eccetera che il soggetto vuole portare a conoscenza solo alcune persone di particolare fiducia (famigliari, amici, compagni di lavoro); il cerchio più piccolo, inscritto negli altri due, ricomprende notizie, fatti eccetera che per ragioni particolari sono inaccessibili a chiunque non sia titolare del segreto. Per maggiori ragguagli in merito vedi F. BRICOLA, Prospettive e limiti, cit., pp. 1085, 1086. In relazione alla tematica del segreto e delle fattispecie penali a sua tutela vedi anche F. ANTOLISEI, Manuale di diritto penale – Leggi complementari, Milano, 1983, pp. 402 ss.

[41] Un’ulteriore dottrina (soprattutto tedesca) propende per la tesi della progressiva autonomizzazione della riservatezza rispetto i delitti contro l’onore. L’evoluzione del codice penale tedesco è illuminante in questo senso; esso ha riconosciuto autonomia al bene giuridico riservatezza, per distacco dall’onore, cfr. A. MANNA, Beni della personalità, cit., pp. 261 ss.

[42] F. BRICOLA Prospettive e limiti, cit., p. 1084.

[43] Ibidem.

[44] Cfr. F. BRICOLA, Prospettive e limiti, cit., p. 1088. Contra vedi F. MANTOVANI, Diritto alla riservatezza e libertà di manifestazione del pensiero con riguardo alla pubblicità dei fatti criminosi, in AA.VV. Il diritto alla riservatezza e la sua tutela penale, (atti del terzo simposio di studi di diritto e procedura penale, Varenna 5-7 Settembre 1967), Milano, 1970, pp. 405 ss.

[45] P. PATRONO voce “Privacy e vita privata (dir. pen,)”, cit., p. 568-570.

[46] Vedi in questo senso. G. GIACOBBE, voce “Riservatezza (diritto alla)”, cit., p. 1243.

[47] G. GIACOBBE, nel tentativo di ricostruire la storia dell’analisi dottrinaria sull’ammissibilità della tutela della riservatezza, espone il tentativo di considerarla come un diritto soggettivo. L’Autore non manca di sottolineare come questa teoria si fondi sulla possibilità di fruire degli strumenti preesistenti (tutela dell’onore e reputazione), il che come visto nel testo non garantisce una tutela adeguata all’interesse in esame; ma mediante l’utilizzo di specifici strumenti tecnici (i quali consentano la tutela oggettiva del bene prima che avvenga la lesione) è possibile attuare una tutela basata sulla predisposizione di modelli comportamentali che si fondi sul controllo delle modalità e delle tecniche di acquisizione della notizia. G. GIACOBBE, voce “Riservatezza (diritto alla)”, cit., p.1247-1252; per una analisi più approfondita sulle modalità di tutela anticipata vedi postea Cap. III.

[48] Almeno fino alla L. 31 dicembre 1996, n. 675; precedentemente erano state emanante la L. 8 aprile 1974, n. 98 che introduceva agli artt. 615-bis, 617, 617-bis e 517-ter c.p. alcune fattispecie di indiscrezione e la L. 1 aprile 1981, n. 121 sulla amministrazione della pubblica sicurezza. Per un commento a queste norme vedi infra.

[49] Ci si riferisce ai già citati artt. 615-bis, 617, 617-bis 3 517-ter c.p.

[50] F. BRICOLA, Prospettive e limiti, cit., p.1091. Tale principio è sancito anche dalla stessa Corte Costituzionale con sentenza 19 febbraio 1965 n. 9.

[51] Per approfondimenti sulla riserva di legge vedi L. CARLASSARE, voce “Legge (riserva di)”, in Enc. giur. Trecc., 1990, vol. XVIII; T. MARTINES, Diritto costituzionale, cit., pp. 374 ss.; G. AMATO-A. BARBERA, Manuale di diritto pubblico, Bologna, 1994, pp. 246 ss.; con particolare riguardo alla materia penale vedi G. FIANDACA-E. MUSCO, Diritto penale – Parte generale, cit., pp. 51 ss.; F. ANTOLISEI, Manuale di diritto penale – Parte generale, Milano, 1999, pp. 64 ss.

[52] Sulla necessità di un rapporto fra diritto penale e Costituzione di tipo elastico (cioè che tende ad ammettere nuovi interessi da tutelare) vedi A. MANNA, Beni della personalità, cit., p. 69 ss.

[53] Per una disamina completa delle differenze tra beni primari e secondari, e per maggiori delucidazioni su quali debbano essere considerati beni primari vedi A. MANNA, Beni della personalità, cit., p. 72-73.

[54] Per esempio la libertà di pensiero dell’individuo non avrebbe senso se i suoi pensieri potessero essergli carpiti dal governo; il diritto all’assistenza tecnica nel processo non avrebbe senso se il governo potesse ascoltare i colloqui riservati tra difensore ed assistito.

[55] Cfr. F. BRICOLA, Prospettive e limiti, cit., p. 1094. In realtà anche la costituzione americana a volte presenta delle difficoltà esegetiche per quel che riguarda l’introduzione di nuove fattispecie penali; cfr. a proposito il resoconto della giurisprudenza statunitense in merito alla legittimità costituzionale della legge sulla pornografia in G. MARRA, Detenzione di materiale pornografico (in corso di pubblicazione).

[56] C. MORTATI, Istituzioni di diritto pubblico, I, Padova, 1967, p. 137.

[57] Altra dottrina (più recente) propone la c.d. teoria dei beni giuridici costituzionalmente non incompatibili, i quali potrebbero trovare dignità costituzionale in quanto non incompatibili con gli altri beni direttamente richiamati dalla Costituzione. Secondo questa impostazione, anche quei beni emergenti dalle nuove esigenze sociali privi di un diretto aggancio formale potrebbero essere tutelati penalmente. Per ulteriori riferimenti bibliografici, nonché per una posizione che vede meno lontane che un tempo le due concezioni vedi I. LEONCINI, Obbligo di attivarsi, obbligo di garanzia e obbligo di sorveglianza, Torino, 1999, pp. 39, 40.

[58] Per un analisi più dettagliata dei due testi normativi vedi A. MARCHESI, I diritti dell’uomo e le Nazioni Unite, Milano, 1998, pp. 9 ss.; M. DE SALVIA, La convenzione europea dei diritti dell’uomo, Napoli, 2001, pp. 59 ss.

[59] Per un’esegesi completa dell’art 10 della Costituzione vedi B. CONFORTI, Diritto internazionale, 5a ed., Napoli, 1997, pp. 295 ss.

[60] E’ questa la tesi di G. VASSALLI, Libertà di stampa e tutela penale dell’onore, in Arch. pen., 1967, pp. 24 ss. e ripresa da P. PATRONO voce “Privacy e vita privata (dir. pen,)”, cit., p. 576.

[61] Vedi in tal senso (anche per ulteriori riferimenti bibliografici) F. BRICOLA, Prospettive e limiti., cit., p. 1096.

[62] Si è già accennato ai limiti logici e alla possibilità di prevedere limiti legislativi, vedi supra.

[63] Per alcuni aspetti piuttosto datata, F. BRICOLA, Prospettive e limiti., cit., pp. 1103 ss.

[64] Ibidem.

[65] Per gli aspetti di adeguamento al diritto internazionale vedi Cap. III.

[66] AA.VV., Il diritto alla riservatezza e la sua tutela penale (atti del terzo simposio di studi di diritto e procedura penale, Varenna, Villa Monastero, 5-7 settembre 1967), cit.

[67] F. BRICOLA, Prospettive e limiti della tutela penale della riservatezza, pubblicato anche in Riv. it. dir. proc. pen., 1967, p. 1114.

[68] F. MANTOVANI, Diritto alla riservatezza e libertà di manifestazione del pensiero con riguardo alla pubblicità dei fatti criminosi, cit., p. 405.

[69] P. RESCIGNO, Il diritto all’intimità della vita privata, in AA.VV., Il diritto alla riservatezza e la sua tutela penale, cit.

[70] Il problema è di notevole rilevanza, in quanto potrebbero verificarsi fenomeni di concorso di reato fra le due fattispecie. Per le relative posizioni degli Autori vedi AA.VV., Il diritto alla riservatezza e la sua tutela penale, cit.

[71] Tra questi P. PATRONO, voce “privacy e vita privata”, cit., p. 559; A. MANNA, Beni della personalità, cit., p. 300.

[72] A. MANNA, Beni della personalità, cit., p. 300.

[73] Fino a far propendere la dottrina e anche la giurisprudenza per la tesi che il bene giuridico tutelato sia infatti proprio il domicilio. cfr. Trib. Roma, 13 novembre 1985, Rotondo e altri, in Foro. It. , 1986, II, pp. 492 ss.

[74] Sulla necessità che l’acquisizione avvenga indebitamente, e in generale per una attenta e dettagliata analisi delle fattispecie introdotte dalla riforma del 1974 vedi F. C. PALAZZO, Considerazioni in tema di tutela della riservatezza (a proposito del “nuovo” art. 615-bis c.p.), in Riv. it. dir. proc. pen., 1975, p. 126; L. MONACO, Commento all’art. 615-bis in (a cura di) A. CRESPI, F. STELLA e G. ZUCCALÁ Commentario breve al codice penale, 1999, p.1732.

[75] Questa nuova forma dei diritti di libertà non va dunque più intesa, come in origine, quale diritto di rifiutare l’informazione sui propri dati e fatti personali; con essa si intende la libertà, che va accordata e garantita al cittadino, di controllare l’uso che viene fatto dei suoi dati personali. Qualche autore ha indicato il diritto in questione con la formula habeas data, in analogia con quella di habeas corpus utilizzata negli ordinamenti sudamericani (ma non solo) per indicare il diritto all’integrità morale e fisica: tra questi V. FROSINI, voce ”Telematica e informatica giuridica”, in Enc. dir., vol. XLIV, p. 66; A. MANNA, Beni della personalità, cit., p. 335, nota 12.

[76] Vedi P. PATRONO voce “privacy e vita privata”, cit., pp. 572 ss.

[77] Persona fisica o persona giuridica a seconda della scelta del singolo legislatore nazionale.

[78] L’espressione è di S. RODOTÁ, Elaboratori elettronici e controllo sociale, Bologna, 1973, p. 14; e viene ripresa anche da S. FADDA, Commento all’art. 1 comma II in AA.VV., La tutela dei dati personali, cit., p. 20. Non sono mancati in dottrina rilievi critici sull’espressione usata nella legislazione italiana; E. GIANNANTONIO ha sottolineato come essa sia in contrasto con la legge bancaria n. 375 del 1936, la quale riserva ai soli istituti di credito il termine banca. Vedi E. GIANNANTONIO Il progetto di legge sulle banche di dati personali e le normative straniere, in Giur. It., 1985, IV, p. 210.

[79] Ci si riferisce al saggio WARREN e BRANDIES, The right to privacy, cit., pp. 207 ss.

[80] Per ulteriori riferimenti bibliografici riguardo l’analisi della legge tedesca (ma anche quelle degli altri ordinamenti esposte infra) vedi A . MANNA, Beni della personalità, cit., pp. 345 ss.

[81] La legge del Land dello Hesse invece si applicava solo alle banche dati del settore pubblico.

[82] Termine analogo a trattamento, utilizzato nelle più recenti esperienze legislative.

[83] Per il trattamento dei soli dati contenuti nella banche dati pubbliche.

[84] La possibilità di nominare un delegato sarà ripresa anche dalla legge italiana. Questo fatto può avere delle importanti ripercussioni sul piano penalistico, che saranno affrontate successivamente quando si analizzeranno le posizioni di garanzia previste dalla legge 31 dicembre 1996 n. 675, vedi postea, Cap. V.

[85] Lo stesso principio sarà ripreso da LOSANO nel suo progetto di legge sulla protezione dei beni personali, seppur con delle differenze dovute al diverso assetto burocratico-amministrativo del nostro ordinamento, vedi infra.

[86] Rapporto TRICOT e rapporto NORA-MINC, vedi A. MANNA, Beni della personalità, cit., p. 351.

[87] In realtà alcune norme si applicano, seppur in maniera marginale, anche agli archivi manuali, vedi A. MANNA, Beni della personalità, cit., nota 69.

[88] Vedi, anche per ulteriori riferimenti bibliografici, A. MANNA, Beni della personalità, cit., p. 353.

[89] L’art. 10 della Convenzione di Strasburgo richiede infatti l’adozione di “adeguate sanzioni”, ma sulla correttezza dell’esegesi che vede nelle sanzioni penali le più adeguate vedi infra.

[90] Camera dei Deputati, A.C. n. 2553, Proposta di legge d’iniziativa del deputato ACCAME, presentata il 21 aprile 1981: “Norme sulla salvaguardia del diritto al rispetto della vita privata nei confronti dei sistemi di trattamento ed elaborazione automatica dei dati e delle informazioni”.

[91] Camera dei Deputati, A.C. n. 3195, Proposta di legge d’iniziativa dei deputati PICANO, DEGAN, FIORI GIOVANNINO, RUSSO FERDINANDO, ABETE, RUBINO, GRIPPO, LO BELLO, MEROLLI, presentata il 24 febbraio 1982: “Norme per la tutela del diritto alla riservatezza delle persone fisiche nel trattamento automatizzato dei dati e dell’informazione”, il cui testo si trova riportato integralmente in AA.VV., Le banche dati in Italia, Napoli, 1985, pp. 287 ss.

[92] Camera dei Deputati, A.C. n. 3331, Proposta di legge d’iniziativa dei deputati STEGAGNINI, ABBATE, ABETE, ANDREOLI ed altri, presentata l’8 aprile 1982: “Norme per la promozione e il coordinamento delle attività informatiche nell’amministrazione statale”, il cui testo si trova riportato integralmente in AA.VV., Le banche dati in Italia, cit., pp. 270 ss.

[93] Già presidente della commissione europea nominata dal Comitato dei Ministri.

[94] Infatti il progetto, eccettuata una ipotesi del tutto residuale di tutela amministrativa presso il “garante”, opta per una utilizzazione esclusiva della sanzione penale, discostandosi dai progetti precedenti i quali prevedevano solo sanzioni amministrative (progetto PICANO), oppure una tutela mista sia penale che civile (progetto SEPPIA), vedi A. MANNA, Beni della personalità, cit., p. 381.

[95] Nella legge definitiva il “Garante per la protezione dei dati personali” si configurerà invece come Autorità Indipendente dal Governo, vedi infra.

[96] Il Progetto VIOLANTE segna un passo in avanti nel senso di una diretta responsabilizzazione delle persone giuridiche in materia di dati personali, scelta che sarà fatta propria anche dal testo definitivo della legge sui dati personali, per un commento più approfondito della proposta in esame vedi A. MANNA, La protezione penale dei dati personali nel diritto italiano, in Riv. trim. dir. pen. econ., 1993, p. 185.

[97] Cfr. da ultimo P. DI SALVATORE, Lo “spazio di Schengen” a portata di mano con il recepimento della direttiva comunitaria, in Guida al diritto, n. 4/1997, p. 51 ss.

[98] Pubblicata in Gazzetta Ufficiale 8 gennaio 1997, n. 5, S. O.

[99] Per comodità del lettore si riporta un elenco degli atti normativi che hanno apportato delle modifiche alla legge 31 dicembre 1996 n. 675 (d’ora in avanti L. 675/96): la legge 31 dicembre 1996, n. 676 (delega al Governo in materia di tutela delle persone e di altri soggetti in materia di dati personali) ha permesso l’emanazione di tutta una seria di provvedimenti Governativi che hanno ritoccato la disciplina destinata ad una materia ad elevato tasso di tecnicità e soprattutto cangiante. I provvedimenti più rilevanti sono il D. Lgs. 9 maggio 1997, n. 123 (disposizioni correttive ed integrative della L. 675/96); il D. Lgs. 28 luglio, 1997 n. 255 (in materia di notificazione dei trattamenti dei dati personali); il D. Lgs. 13 maggio 1998, n. 171 (disposizioni in materia di tutela della vita privata nel settore delle telecomunicazioni, in attuazione della direttiva 97/66/CE, e in tema di attività giornalistica); D. Lgs. 11 maggio 1999, n. 135 (disposizioni integrative in materia di trattamento di dati sensibili da parte delle soggetti pubblici); e infine il D. Lgs. 28 dicembre 2001, n. 467, il quale è molto rilevante ai fini penali perché, realizzando un restyling della L. 675/96, elimina una fattispecie delittuosa a favore di una sanzione amministrativa. Vedi G. C. RAPETTI, Sanzioni e depenalizzazione: rivisto il sistema delle violazioni, in Guida agli enti locali, n. 8/2002, p. 45.

[100] In realtà il già citato art. 10 della Convenzione di Strasburgo, lascia un margine di discrezionalità nella definizione dell’apparato sanzionatorio “[…] ciascuna parte si impegna a stabilire sanzioni appropriate per le violazioni del diritto interno che danno attuazione ai princìpi fondamentali per la protezione dei dati enunciati nel presente capitolo […]”. Cioè, pur ritenendolo necessario, non richiede esplicitamente che esso sia costituito da sanzioni penali.

[101] Con il Progetto MARTELLI (la cui discussione influenzò non poco il testo definitivo della legge sui dati personali) si era spianata la strada ad un ritorno delle pene detentive brevi, anche in relazione ai reati di carattere “formale”, quali gli omissivi “propri”; vedi A.MANNA, La protezione penale, cit., p. 186.

[102] Tra questi P. VENEZIANI, Beni giuridici protetti e tecniche di tutela penale nella nuova legge sul trattamento dei dati personali: prime osservazioni, in Riv. trim. dir. pen. econ., 1997, I, p. 155.

[103] Cioè che sanziona la violazione di norme estranee al diritto penale, per un’attenta analisi vedi M. MANTOVANI, Le fattispecie incriminatrici della legge sulla privacy: alcuni spunti di riflessione, in Crit. dir., 1997, p. 194; S. SEMINARA, Appunti in tema di sanzioni penali nella legge sulla privacy, in Resp. civ. prev., 1998, p. 911; R. BLAIOTTA, Le fattispecie penali introdotte dalla legge sulla privacy, in Cass. pen., 1999, p. 1642; P. VENEZIANI, I beni giuridici tutelati dalle norme penali in materia di riservatezza informatica e disciplina dei dati personali, in Ind.. pen., 2000, p. 139; A. VALASTRO, La tutela penale delle comunicazioni intersoggettive, cit., p. 1009, 1011; con rilievi particolarmente critici vedi F. SGUBBI, La tutela della riservatezza: profili penalistici, in Riv. trim. dir. proc. civ., 1998, p. 753, e, più specificatamente, 754, 755.

[104]Specialmente riguardo le differenti modalità di aggressione si può avere un fenomeno di appiattimento derivante dall’equiparazione di condotte rilevanti ai fini penali, vedi P. VENEZIANI, Beni giuridici protetti e tecniche di tutela penale, cit., p. 156.

[105] Cfr. pronuncia del 1 dicembre 1997; per un commento vedi E. GIANNANTONIO, Commento all’art 1 comma II, in AA.VV, La tutela dei dati personali, cit., p. 19.

[106] Pur non avendo avuto ripercussioni sulla materia della tutela dei dati personali, è necessario citare il D. Lgs. n. 231 del 2001 in materia di responsabilità penale delle persone giuridiche. Il provvedimento in questione ha previsto dei criteri di imputazione oggettivi e soggettivi in base ai quali sarebbe riconducibile direttamente alla persona giuridica una sanzione penale per la violazione di determinate norme. Ma la disciplina del D. Lgs. 231/01 essendo applicabile solamente a determinate discipline settoriali (ad esempio i reati ambientali), non opera nei confronti della materia dei dati personali (non essendo prevista nessuna disposizione in tal senso), ma è prevedibile che in futuro la sua applicazione venga estesa anche alla privacy. Per un primo commento al D. Lgs. 231/01 vedi P. FERRUA, Procedimento di accertamento e di applicazione delle sanzioni, in Dir. pen. proc., 2001, pp. 1479 ss.; in particolare sui criteri di imputazione vedi D. PULITANÓ, La responsabilità “da reato” degli enti: criteri di imputazione, in Riv. it. dir. proc. pen., 2002, pp. 415 ss.

[107] Tutte le fattispecie, tranne la particolare ipotesi dell’art 35 comma 3, si integrano con la mera messa in pericolo dei dati. L’art. 35 comma 3 invece non ritiene sufficiente un pericolo astratto, bensì richiede la presenza di un “nocumento” per far concretizzare la fattispecie.

[108] Il “Garante per la protezione dei dati personali” si configura infatti come una Autorità amministrativa indipendente. Ad esso vengono contemporaneamente affidati poteri che sono tradizionalmente ripartiti tra organi differenti; esso cumula infatti al potere normativo (tipico del Parlamento), il potere di risolvere le controversie (tipico della Magistratura) e il potere di eseguire le norme stesse mediante un’attività concreta (tipico del Governo). Per una trattazione delle problematiche emergenti dall’introduzione anche nel nostro ordinamento delle Autorità indipendenti, vedi V. CERULLI IRELLI, Corso di diritto amministrativo, cit., pp. 243 ss.; con particolare riguardo all’evoluzione del fenomeno (anche nei paesi di common law), vedi G. AMATO, Autorità semindipendenti ed autorità di garanzia, in Riv. trim. dir. pubbl., 1996, p. 645; M. D’ALBERTI, voce “Autorità indipendenti (dir. amm.)”, in Enc. giur. Trecc., 1988, vol. IV.

[109] E’ necessario riferire che la dottrina più attenta aveva sottolineato che la norma, nella sua formulazione iniziale, equiparava due condotte nettamente diverse tra loro: una omissiva e una commissiva. E’ noto che la Corte Costituzionale, sin dagli anni settanta, ha dichiarato l’illegittimità delle norme incriminatrici che prevedono la stessa cornice edittale per reati così dissimili. Vedi A. MANNA, Il trattamento dei dati personali: le sanzioni penali, in (a cura di ) L. FIORAVANTI, La tutela penale della persona, cit., p. 345, 346; Per un commento all’apparato sanzionatorio originario della legge sulla privacy vedi P. GALDIERI, L’ampia configurabilità dell’illecito penale rafforza il principio della libertà informatica, in Guida al diritto n. 4/1997, p. 49; G. CORRIAS LUCENTE, Sanzioni penali e amministrative a tutto campo per aumentare la tutela del cittadino, ibidem., p. 82; C. PARODI, La tutela penale dei sistemi informatici e telematici: le fattispecie penali, in www.privacy.it.

[110] Vedi G. FIANDACA-E. MUSCO, Manuale di diritto penale – Parte generale, cit., pp. 138 ss., 172 ss.

[111] E di questo avviso R. BLAIOTTA, Le fattispecie penali introdotte dalla legge sulla privacy, cit., p. 1646; più specificatamente sulla possibilità del concorso dell’extraneus nel reato proprio vedi A. GOTTI, Nota a Cass. pen. sez. IV, 13 gennaio 1994, in Riv. trim. dir. pen. econ., 1995, p. 1023; in riferimento alla tematica della riservatezza, vedi A. MANNA, La protezione penale dei dati personali nel diritto italiano, in Riv. trim. dir. pen. econ., 1993, p. 195.

[112] Espressione utilizzata da molti autori per sottolineare la tendenza del legislatore, manifestata in maniera particolare in questa legge, a prevedere fattispecie penali anche quando non vi sia la lesione di alcun bene giuridico. Vedi A. MANNA, Il trattamento dei dai personali, cit., pp. 340, e più specificatamente, 350-353. L’Autore suggerisce, invece, la strada delle sanzioni amministrative, soprattutto interdittive, sul presupposto che la pena detentiva breve non produrrebbe gli effetti desiderati di prevenzione speciale e generale.

[113] Pubblicato in Gazzetta Ufficiale 16 gennaio 2002 n. 13. Per un primo commento vedi G. BUSIA, La notifica al garante diventa obbligatoria solo se la riservatezza corre rischi concreti, in Guida al diritto, n. 5/2002, p. 34; G. C. RAPETTI, Sanzioni e depenalizzazione: rivisto il sistema della violazioni, in Guida agli enti locali n. 8/2002, p. 45; M. MAGLIO, Una privacy possibile: la tutela dei dati personali verso la semplificazione, in Dir. pen. proc., 2002, p. 184.

[114] Introdotto dal D. Lgs. 28 dicembre 2001, n. 467.

[115] La funzione del dolo specifico, nella legislazione più recente, è quella di definire la sfera dell’offesa attraverso meccanismi diversi dall’imputazione causale dell’evento. Nel caso in questione invece la sua funzione è quella di ridurre la portata della fattispecie, arginando la prospettiva di indiscriminata estensione della norma. Vedi R. BLAIOTTA, Le fattispecie penali, cit., p. 1951.

[116] Il soggetto passivo della fattispecie in esame varierà quindi a seconda delle norme extrapenali cui fa riferimento l’art. 35, vedi a tal proposito M. PROSPERI, La tutela penale delle informazioni personali: luci ed ombre degli artt. 34-37 della legge n. 675/96, in www.privacy.it.

[117] Uno dei limiti di questa disposizione, è quello di non aver previsto misure di sicurezza differenti per i trattamenti che abbiano un diverso grado di pericolosità, generando un appiattimento della tutela che causerebbe un eccessivo rigore nel caso di bassa pericolosità e un controllo inefficace nel caso di trattamento ad alto grado di pericolosità, vedi Cap. V.

[118] Vedi art. 15, comma 2, legge 31 dicembre 1996, n. 675.

[119] Vedi Cap. V.

[120] Adottati ai sensi dell’art. 22 comma 2 o dell’art. 29 commi 4 e 5 della legge 31 dicembre 1996, n. 675.

[121] E’ la stessa norma che lo prevede espressamente.

[122] Il provvedimento in questione è quello previsto dall’art. 31, comma 1, lettera l), L. 675/96, il quale vieta il “trattamento” quando, in considerazione della natura dei dati o delle modalità dello “stesso” o degli effetti che esso può determinare, vi è il concreto rischio del verificarsi di un pregiudizio per gli interessati.

[123] Nel caso dell’art. 28 al “trasferimento” dei dati personali oggetto del trattamento all’estero.

[124] Vedi a proposito A. CADOPPI, Il reato omissivo proprio, II, Padova, 1988, pp. 865 ss.; G. FIANDACA, Reati omissivi e responsabilità per omissione (Urbino 7-8 ottobre 1982) in Arch. pen., 1983, p. 36.

[125] E’ di quest’avviso P. VENEZIANI, Beni giuridici protetti e tecniche di protezione penale, cit., pp. 163, 164; l’Autore si spinge fino a suggerire una lettura più pregnante del reato, in chiave di “maggior offensività” dello stesso se si sposti avanti il momento consumativo fino alla condotta attiva “[…] sicché l’inizio del trattamento […] dei dati potrebbe entrare a comporre il fatto illecito”.

[126] Cfr. G. PELLICANÓ, I casi di esclusione del consenso nel trattamento dei dati personali, in Dir. Inf., 1998, pp. 933 ss.

[127] Per essere valido il consenso deve essere espresso liberamente, in forma specifica e documentata per iscritto, ma soprattutto informato (cioè devono essere rese note all’interessato le disposizioni contenute nell’art. 10).

[128] Cfr. P. VENEZIANI, Beni giuridici protetti e tecniche di protezione penale, cit., p. 166.

[129] Questo elenco è stato ulteriormente ampliato dal D. Lgs. 467 del 2001, vedi G. BUSIA, La notifica al garante, cit., pp. 37 ss.

[130] Vedi F. SGUBBI, La tutela della riservatezza, cit., p. 760.

[131] Concetto già spiegato supra, vedi Cap. I.

[132] Cioè un controllo del rispetto delle procedure previste per legge.

[133] A riguardo la dottrina ha però evidenziato come “[…] non sarebbe del resto facile ovviare con altre tecniche di costruzione dei corrispondenti reati […]”, L. FIORAVANTI, La tutela penale della persona: nuove frontiere difficili equilibri, cit., p. 10.

[134] E’ questa la posizione di C. F. PALAZZO, Tendenze e prospettive nella tutela penale della persona umana, cit., pp. 402 e , più specificatamente, 405.

[135] Cioè le libertà “dallo stato” (es. diritto di parola, diritto di stampa, proprietà privata).Vedi a proposito I. MANCINI, Filosofia della prassi, Brescia, 1986, pp. 193 ss.; T. MARTINES, Diritto costituzionale, cit., p. 252.

[136] Il codice Zanardelli del 1889 ne prevedeva una decina, sanzionate per lo più con la sola pena pecuniaria; le principali riguardavano la prestazione del servizio militare, il pagamento delle imposte e l’omissione di soccorso); cfr. G. FIANDACA, Reati omissivi, cit., p. 7.

[137] Per le implicazioni derivanti dalla configurazione dello stato secondo il modello sociale (c.d. welfare state) vedi T. MARTINES, Diritto costituzionale, cit., pp. 252 ss.

[138] Vedi G. FIANDACA, Reati omissivi, cit., p. 3.

[139] Per una più completa disamina dell’evoluzione del pensiero giuridico in merito al reato omissivo dal 1900 in poi vedi G. FIANDACA, Reati omissivi, cit., p. 4-12.

[140] Sulle difficoltà evidenziate dalla dottrina in merito alla realizzazione dell’intento solidaristico-promozionale tramite la minaccia della sanzione penale vedi G. FIANDACA, Reati omissivi, cit., pp. 22, 23.

[141] Il codice Rocco del 1930 aveva infatti introdotto la c.d. clausola di equivalenza di cui all’art. 40 c. p.; in proposito vedi infra.

[142] Questa tesi è ampiamente riportata (assieme ad altre minoritarie) in I. LEONCINI, Obbligo di attivarsi, cit., pp. 2 ss.

[143] Nata sulla spinta della dottrina tedesca, e fatta propria anche da G. FIANDACA-E. MUSCO, Manuale di diritto penale – Parte generale, cit., pp. 528 ss.

[144] L’art. 40 recita “[…] non impedire un evento, che si ha l’obbligo giuridico di impedire, equivale a cagionarlo […]”.

[145] I. LEONCINI, Obbligo di attivarsi, cit., pp. 6-11.

[146] La rilevanza nonché il fondamento delle tre diverse figure verrà esaminato successivamente.

[147] Basti citare l’esempio dell’omicidio: l’art. 575 c. p. incrimina “[…] chiunque cagiona la morte di un uomo […]”. Risulta chiaro come la fattispecie sia commissiva (il verbo “cagionare” è univoco in tal senso), ma in virtù del disposto dell’art. 40 c. p., si può rispondere penalmente anche non impedendo la morte di uomo.

[148] La teoria in esame e quelle esposte successivamente sono oggetto di una attenta analisi in I. LEONCINI, Obbligo di attivarsi, cit., pp. 180 ss., ma anche in F. MANTOVANI, L’obbligo di garanzia ricostruito alla luce dei princìpi di legalità, di solidarietà, di libertà e di responsabilità personale, in Riv. it. dir. proc. pen., 2001, pp. 338 ss.

[149] Vedi G. FIANDACA, Reati omissivi, cit., p. 45, nota 42.

[150] Cfr. I. LEONCINI, Obbligo di attivarsi, cit., pp. 223 ss.; F. MANTOVANI, L’obbligo di garanzia, cit., pp. 345-348.

[151] Espressione usata dalla dottrina per indicare la rilevanza della funzione di protezione sociale dell’obbligo di agire. Vedi F. MANTOVANI, L’obbligo di garanzia, cit., p. 339.

[152] Vedi F. MANTOVANI, L’obbligo di garanzia, cit., p. 340.

[153] In quanto l’inosservanza di mere norme morali non può dar luogo a responsabilità penale, vedi L. CARLASSARE, voce “Legge (riserva di)”, cit. pp. 2 ss.; ma anche G. FIANDACA-E. MUSCO, Diritto penale – Parte generale, cit., pp. 50 ss.

[154] Vedi G. FIANDACA-E. MUSCO, Diritto penale – Parte generale, cit., pp. 65 ss.

[155] Vedi G. FIANDACA-E. MUSCO, Diritto penale – Parte generale, cit., pp. 548 ss.

[156] Come già detto, in base al principio d legalità-riserva di legge, il rapporto giuridico può derivare solo dalla legge o da contratto.

[157] Vedi G. FIANDACA-E. MUSCO, Diritto penale – Parte generale, cit., pp. 163, 267 e, con particolare riferimento alla responsabilità per fatto altrui, pp. 576 ss.

[158] In realtà i princìpi enunciati nel paragrafo precedente sono comuni a quasi tutti gli ordinamenti e, molto spesso, inseriti addirittura nel novero dei princìpi costituzionali (es. riserva di legge).

[159]Per la posizione di tutela rafforzata “[…] volta a riequilibrare la situazione di inferiorità (in senso lato) di determinati soggetti […]” vedi anche G. FIANDACA-E. MUSCO, Diritto penale – Parte generale, cit., pp. 549, 550.

[160] L’espressione è di I. LEONCINI, Obbligo di attivarsi, cit., p. 79; ripresa anche da F. MANTOVANI, L’obbligo di garanzia, cit., p. 342.

[161] F. MANTOVANI, Diritto penale – Parte generale, cit., p. 198.

[162] La dottrina ha individuato anche ipotesi nelle quali l’obbligo di attivarsi dia luogo a responsabilità penale anche per i reati di evento, ma pur sempre al di fuori del meccanismo dell’art. 40 c.p. comma 2. Vedi I. LEONCINI, Obbligo di attivarsi, cit., p. 56.

[163] Vedi infra.

[164] Su questo punto vedi I. LEONCINI, Obbligo di attivarsi, cit., p. 58.

[165] Questo sia che l’obbligo di attivarsi sia destinato alla generalità dei consociati, sia che i destinatari siano specifiche categorie di soggetti, vedi I. LEONCINI, Obbligo di attivarsi, cit., pp. 61-64.

[166] I. LEONCINI, Obbligo di attivarsi, cit., p. 71.

[167] I. LEONCINI, Obbligo di attivarsi, cit., p. 72.

[168] I. LEONCINI, Obbligo di attivarsi, cit., p. 75.

[169] E’ da notare che la dottrina tedesca non richiede in questo caso la giuridicità del vincolo, ma bensì ritiene sufficiente il verificarsi di una di queste situazioni: a) vincolo naturale, b) stretto rapporto comunitario, c) assunzione volontaria, e in ogni caso subordina l’esistenza della posizione di garanzia a requisiti sostanziali (sussistenza di un rapporto di dipendenza, aumento del rischio), vedi I. LEONCINI, Obbligo di attivarsi, cit., p. 82.

[170] Il fondamento formale di questi obblighi viene ravvisato negli artt. 2051, 2052 e 2053 c.c.

[171] Il fondamento formale di questi altri obblighi viene ravvisato invece negli artt. 2050 e 2054 c.c.

[172] Il fondamento formale di questi obblighi viene ravvisato negli artt. 2047, 2048 e 2049 c.c.

[173] Vedi a riguardo I. LEONCINI, Obbligo di attivarsi, cit., p. 98.

[174] I. LEONCINI, Obbligo di attivarsi, cit., p. 122.

[175] Per le prese di posizione della dottrina a riguardo crf. I. LEONCINI, Obbligo di attivarsi, cit., pp. 124 ss.

[176] Cfr. C. F. GROSSO, Per un nuovo codice penale, 2000, pp. 21 ss.; articolato e relazione al Progetto preliminare di riforma del codice penale, Parte generale, in www.giustizia.it.

[177]Per ulteriori rilievi critici vedi, tra gli altri, E. CALCAGNO, Omicidio colposo e obbligo giuridico di impedire l’evento, in Dir. pen. proc., 2002, p. 71.

[178] Il D. Lgs. 28 dicembre 2001, n. 467 ha depenalizzato il reato di omessa o infedele notificazione al Garante (art. 34) ed ha introdotto una nuova fattispecie incriminatrice di tipo commissivo (falsità nelle dichiarazioni e nelle notificazioni al Garante ex art. 37-bis); le fattispecie omissive risultano quindi, alla luce delle modifiche, tre.

[179] In realtà le misure minime di sicurezza saranno contenute in un provvedimento emanato successivamente, il D.P.R. 28 luglio 1999, n. 318 pubblicato in Gazzetta Ufficiale 14 settembre 1999, n. 216; per le questioni attinenti il mancato rispetto della riserva di legge in materia penale, vedi infra.

[180] Le disposizioni in materia di misure di sicurezza preventive si applicano a tutti i trattamenti, anche quelli compiuti da persone fisiche per fini esclusivamente personali (di cui all’art. 3), e ai trattamenti non automatizzati che utilizzino il tradizionale mezzo cartaceo. Questa è la massima espressione dell’intenzione del legislatore di attribuire grande importanza alla sicurezza delle informazioni e, l’estensione dell’obbligo di adozione di misure minime di sicurezza anche ai trattamenti dei dai per fini esclusivamente personali, mette in risalto la volontà di tutelare la riservatezza dei soggetti interessati, non solo il trattamento dei dati in funzione della loro successiva utilizzazione.

[181] Cfr. M. MANTOVANI, Le fattispecie penali della L. 675/96 e le posizioni di garanzia, in Dir. inf., 2000, p. 568.

[182] E’ il caso di evidenziare che il legislatore italiano si è parzialmente discostato dalle indicazioni promananti dalla Direttiva del Parlamento Europeo e del Consiglio dell’Unione Europea 24 ottobre 1995, n. 94/46/CE, la quale, nell’art. 2 lettera d), accennava solamente alla figura del “responsabile”, e nella successiva lettera e) a quella dell’“incaricato”. La stessa direttiva, disciplinando il rapporto tra queste due figure, prevedeva un regime simile a quello previsto nella L. 675/96 per il rapporto tra titolare e responsabile. Cfr. S. FADDA, Commento all’art. 8, in AA.VV. Tutela dei dati personali, cit., p. 88; M. MANTOVANI, Le fattispecie penali, cit., p. 577, nota 21.

[183] Cfr. C. CUPELLI, Rilevanza della delega di funzioni nel diritto penale dell’impresa, in Ind. pen., 2002, p. 176; M. MANTOVANI, Le fattispecie incriminatrici, cit., p. 195; S. SEMINARA, Appunti in tema di sanzioni penali, cit., p. 917; A. VALASTRO, La tutela penale delle comunicazioni, cit., p. 1024.

[184] Vedi A. S. VALENZANO, Appunti in tema di trasferimento di funzioni, in Riv. trim. dir. pen. econ., 2001, p. 961; C. CUPELLI, Rilevanza della delega, cit., p. 142; M. MANTOVANI, Le fattispecie penali della 675/96, cit., p. 572; A. ZAMPETTI, I soggetti del trattamento dei dati: ambito di competenza, esercizio e limiti della delega di funzioni, in www.privacy.it.

[185] Contra questa impostazione che vede il perdurare del residuo obbligo di vigilanza del delegante sull’operato del delegato vedi I. LEONCINI, Obbligo di attivarsi, cit., p. 151, nota 94. L’Autore individua nell’obbligo in esame un obbligo di garanzia, e sostiene che anche l’altra impostazione non si discosti in sostanza dalla sua presa di posizione, essendo condizionata da un mero errore terminologico. Esso sostiene che “la dottrina […] intende riferirsi, con tale espressione, ad un vero e proprio obbligo di garanzia […]”.E’ il caso di sottolineare che una delle dottrine che per prime ha ipotizzato un parallelismo tra il rapporto titolare /responsabile e quello delegante/delegato ha comunque cautamente fatto notare che “[…] tuttavia sarebbe prematuro intravedere nella legge sulla privacy un riconoscimento esplicito della teoria […] del residuo non delegabile”, vedi C. CUPELLI, Rilevanza della delega, cit., p. 177.

[186] M. MANTOVANI, Le fattispecie incriminatrici, cit., p. 195.

[187] M. MANTOVANI, Le fattispecie incriminatrici, cit., p. 196; l’Autore parla di “efficacia liberatoria” (seppure non incondizionata) conseguente alla nomina di un “responsabile”.

[188] Cfr. M . MANTOVANI, Le fattispecie penali della L. 675/96, cit., pp. 574-576.

[189] La giurisprudenza della Corte di Cassazione è pressoché costante nel richiedere che la delega di funzioni, per poter agire quale scriminante della responsabilità penale, debba essere accompagnata dall’effettivo trasferimento di poteri decisionali in capo al delegato. Cfr. Cass., sez. III, 27 marzo 1998, Sodano, in Riv. pen., 1998, p. 776. Per le prese di posizione della dottrina in merito vedi M. MANTOVANI, Le fattispecie penali della L. 675/96, cit., p. 574, nota 15; A. S. VALENZANO, Appunto in tema di trasferimento di funzioni, cit., p. 973.

[190] E’ questa la conclusione a cui giunge M. MANTOVANI, Le fattispecie penali della L. 675/96, cit., p. 574. La stessa dottrina, in sede di primo commento della legge, aveva in realtà già sottolineato che era da escludere “[…] l’effetto liberatorio a favore del titolare […]”nel caso di nomina di un responsabile vedi M. MANTOVANI, Le fattispecie incriminatrici, cit., p. 198; ma anche S. SEMINARA, Appunti in tema di sanzioni penali, cit., p. 917.

[191] M. MANTOVANI, Le fattispecie penali della L. 675/96, cit., p. 575. L’Autore usa quest’espressione per indicare il generale obbligo, che grava sul destinatario originario della posizione di garanzia, di vigilare sull’operato dei suoi subalterni.

[192] Cfr. ibidem.

[193] In questo senso A. VALASTRO, La tutela penale delle comunicazioni, cit., p.1016.

[194] E’ di quest’avviso M. MANTOVANI, Le fattispecie penali della 675/96, cit., p. 569. L’Autore, pur riconoscendo che il “trattamento” dei dati è foriero di una serie di pericoli per i dati trattati, non ritiene rilevante il fatto che lo stesso sia una attività pericolosa in sè, ai fini dell’individuazione del contenuto dell’obbligo di adozione delle misure minime di sicurezza.

[195] L’art. 36 prevede pene molto simili per le due distinte ipotesi, il che aveva fatto propendere la dottrina che per prima aveva commentato la L. 675/96 a considerare la previsione de quo un vera e propria svista del legislatore, che avrebbe dovuto introdurre una fattispecie contravvenzionale, invece di un delitto. Vedi a tal proposito M. MANTOVANI, Le fattispecie incriminatrici, cit., p. 207; per un critica più attenta in merito alla scelta del legislatore di prevedere cornici edittali simili sia per la fattispecie dolosa che per quella colposa vedi M. AMISANO, Privacy e omissione delle misure a tutela della segretezza dei dati, in Riv. it. dir. proc. pen., 2000, p. 1288; A. VALASTRO, La tutela penale delle comunicazioni, cit., p. 1017, nota 57; P. VENEZIANI, Beni giuridici protetti e tecniche di protezione penale, cit., p. 178.

[196] A riguardo la dottrina ha fatto notare che, “[…] il bene giuridico che si vuole tutelare è la riservatezza dei dati personali, pertanto il nocumento non può essere altro che la realizzazione di quanto previsto nella seconda parte del comma 1, art. 15, L. 675/96: cioè la diffusione, il trattamento e così via, non autorizzati dei dati stessi […]”. Non sarebbe quindi richiesto, secondo quest’impostazione, un ulteriore danno per il titolare dei dati trattati in quanto, il solo fatto che il dato sia divenuto accessibile a terzi non legittimati realizza il “nocumento”. Vedi M. AMISANO, Privacy e omissione, cit., p. 1286.

[197] Questa tesi è stata avanzata per la prima volta in M. MANTOVANI, Le fattispecie incriminatrici, cit., p. 208. L’art 36, comma 1 recita infatti “[…] se dal fatto deriva nocumento la pena è della reclusione da due mesi a due anni […]”.

[198] Vedi M. MANTOVANI, Le fattispecie penali della L. 675/96, cit., 570.

[199] La difficoltà nell’accettare questa impostazione, è costituita dal fatto che la posizione di garanzia in questione sia ricavabile direttamente da una norma di parte speciale, al pari dei reati omissivi “propri”, e non già dal combinato disposto dell’art. 40 c.p. con una singola fattispecie di parte speciale contemplata in forma commissiva”. Questo richiederebbe un accettazione della teoria che non fonda più la distinzione tra reato omissivo “proprio” e reato omissivo “improprio” sul tradizionale criterio “[…] fondato sulla necessari presenza, per l’integrazione dei secondi, di un evento”, vedi M. MANTOVANI, Le fattispecie incriminatrici, cit., p. 208. Per i cenni sui criteri di ripartizione tra reato omissivo “proprio” ed “improprio”, e per maggiori riferimenti bibliografici vedi supra Cap. IV.

[200] Ipotesi non coincidente con quella di cui all’art. 615-ter c.p., si veda a tal proposito M. MANTOVANI, Le fattispecie penali della L.675/96, cit., pp. 581 e, più specificatamente, 584 ss.

[201] M. MANTOVANI, Le fattispecie penali della L. 675/96, p. 571.

[202] Vedi Cap. IV.

[203] I. LEONCINI, Obbligo di attivarsi, cit., p. 122.

[204] In realtà M. MANTOVANI aveva posto l’interrogativo se si trattasse di obbligo di garanzia o di obbligo di sorveglianza, evidenziando le differenze sostanziali che deriverebbero dall’optare per una soluzione invece che per l’altra (principalmente la possibilità di rispondere di reato commissivo mediante omissione), ma non aveva risolto il nodo principale, cioè l’individuazione dei poteri impeditivi conferiti al garante “titolare”, vedi M. MANTOVANI, Le fattispecie penali della L. 675/96, cit., p. 571.

[205] L’art. 5 D.P.R. 318/99 si riferisce ai dati di cui agli artt. 22 e 24, L. 675/96. I due articoli dettano la disciplina dei c.d. dati sensibili, cioè idonei a rivelare l’origine razziale, le convinzioni religiose, eccetera, nonché dei c.d. dati giudiziari, che siano cioè idonei a rivelare le vicende giudiziarie dei soggetti interessati.

[206] Vedi M. MANTOVANI, Le fattispecie penali della L. 675/96, cit., p. 572; S. SEMINARA, Appunti in tema di sanzioni penali, cit., p. 917; M. MANTOVANI, Le fattispecie incriminatrici, cit., p. 195; C. CUPELLI, Rilevanza della delega di funzioni, cit., p. 176; A. S. VALENZANO, Appunti in tema di trasferimento di funzioni, cit., p. 973. Contra I. LEONCINI, Obbligo di attivarsi., cit., p. 151, nota 94. Vedi anche supra, nel testo.

[207] Vedi supra.

[208] La posizione di garanzia ravvisabile in capo al “responsabile” consiste nell’obbligo di impedire i reati di terzi, mediante la predisposizione di misure ostative (art. 5, comma 3, D.P.R. 318/99), nonché della messa in pericolo della sicurezza dei dati da parte degli incaricati (art. 9, comma 1, lettera a) D.P.R. 318/99).

[209] E’ questa la tesi di M. MANTOVANI, Le fattispecie penali della L.675/96, cit., pp. 578 ss. Per cenni sulla partecipazione nel reato omissivo, nonché per indicazioni sui presupposti e limiti della partecipazione mediante omissione nel reato commissivo si rimanda a G. FIANDACA – E. MUSCO, Diritto penale – Parte generale, cit., pp. 567 ss.

[210] Sul tema della configurabilità del concorso nel reato a dolo specifico, nonché per indicazioni bibliografiche si rimanda a M. MANTOVANI, Le fattispecie penali della L.675/96, cit., p. 578.

[211] Cfr. M. MANTOVANI, Le fattispecie penali della L. 675/96, cit., p. 580.

[212] Vedi supra Capp. I e III.

[213] La dottrina riconosce, in realtà, la possibilità di prevedere norme incriminatrici anche ai decreti legislativi e ai decreti legge, in virtù del legame intercorrente con il Parlamento costituito dalla legge delega (che deve contenere i princìpi guida) nel primo caso, e dalla conversione in legge entro 60 giorni nel secondo. Vedi T. MARTINES, Diritto costituzionale, cit., pp. 482 ss., 474 ss.

[214] Cioè esamina e fa propria la previsione regolamentare .Vedi a tal proposito, anche per ulteriori riferimenti bibliografici, M. AMISANO, Privacy e omissione, cit., p. 1283.

[215] In questo senso vedi R. BLAIOTTA, Le fattispecie penali, cit., p. 806; P. VENEZIANI, Beni giuridici protetti e tecniche di tutela penale, cit., p. 175. Quest’ultimo Autore ritiene rispettato il principio di riserva di legge nell’ipotesi in cui il precetto penale assume una funzione meramente sanzionatoria rispetto ai provvedimenti del Garante, quando sia la legge ad indicarne limiti e presupposti. Per una trattazione generale della figura della norma penale in bianco, nonché per una nutrita bibliografia, vedi G. FIANDACA-E. MUSCO, Diritto penale – Parte generale, cit., pp. 56 ss.; ma anche L. CARLASSARE, voce “Legge (riserva di)”, cit., p. 5 ss.; L. MORBELLI, Il principio di riserva di legge, in (a cura di) U. DI BENEDETTO, Diritto penale – Giurisprudenza e casi pratici, Rimini, 1998, p. 37.

[216] E’ di quest’avviso anche M. AMISANO, Privacy e omissione, cit., p. 1284. L’Autore, ben consapevole che la maggiore duttilità propria della fonte regolamentare ben si armonizza con alcune materie dai connotati spiccatamente tecnici, ritiene necessario, per non trascurare la riserva di legge e rischiare l’abrogazione della norma da parte della Consulta, la depenalizzazione della fattispecie. Infatti si potrebbero ugualmente tutelare gli interessi sottesi alla norma, mediante la previsione di sanzioni amministrative, ad esempio interdittive.

[217] In particolare F. SGUBBI, La tutela della riservatezza, cit., p. 754. Contra vedi F. MANTOVANI, I beni giuridici protetti e tecniche di tutela penale, cit., p. 174. Quest’ultimo Autore ritiene che il contributo della previsione regolamentare alla specificazione del precetto penale, renda più “tassativi” i confini del precetto stesso. Questa impostazione accetta dunque che sia un regolamento a “[…]integrare il comando penale generale ed astratto, giacché […] la riserva di legge è in funzione di una maggiore determinatezza del precetto”.

[218] Sul punto vedi F. SGUBBI, La tutela della riservatezza., cit., p. 754; ma anche F. SGUBBI, Diritto penale incerto ed efficace, in Riv. it. dir. proc. pen., 2001, p. 1194.

[219] Sulla legittimità della potestà legislativa dell’Unione Europea in materia penale si rimanda, anche per ulteriori riferimenti bibliografici, ad A. PAGLIARO, Limiti all’unificazione del diritto penale europeo (relazione tenuta al congresso “Protezione giuridica degli interessi finanziari delle Comunità Europea. Organizzazioni criminali e strumenti di intervento” Roma, 22-23 aprile 1993), in Riv. trim. dir. pen. econ., 1993, p. 199 ss.

[220] Vedi F. SGUBBI, La tutela della riservatezza., cit., p. 754.

[221]L’Autore propone l’esempio dell’art. 35. Detto articolo, al comma 2, punisce la comunicazione o diffusione di dati personali in violazione degli artt. 21, 22, 23 e 24 (richiamo di primo livello). Tali disposizioni richiamano l’autorizzazione o la regolamentazione del Garante (richiamo di secondo livello). Se si prende in esame l’autorizzazione n. 4 del 1997 concernente il “trattamento dei dati sensibili da parte dei liberi professionisti”, ci si rende conto che gli artt. 2 ss. di tale autorizzazione generale contengono regole dettagliate, osservando le quali è lecito il trattamento dei dati sensibili da parte del libero professionista. A loro volta, le norme dettate dall’Autorità fanno rinvio ad altre fonti: ad esempio l’art. 2 della menzionate autorizzazione stabilisce che il trattamento dei dati sensibili concernenti i terzi estranei al contratto di prestazione d’opera intellettuale, è autorizzato qualora il trattamento sia strettamente indispensabile per l’esecuzione di specifiche prestazioni professionali richieste dai clienti e per scopi determinati e legittimi; inoltre i dati devono essere pertinenti e non eccedenti rispetto agli incarichi conferiti. Il Garante, quindi, rinvia ad altre fonti (richiamo di terzo livello) per la determinazione di che cosa consista la specifica prestazione professionale richiesta dal cliente, segnatamente il contratto di prestazione d’opera intellettuale. Per cogliere il significato della nozione di scopi legittimi, e altresì necessario rifarsi alla normativa vigente che disciplina quel determinato rapporto professionale (l’Autore ritiene possibile, in questo caso, il richiamo anche delle regole deontologiche). La conclusione è che questi continui richiami a catena concorrono a formare una norma penale oscura e dai confini incerti. Vedi F. SGUBBI, La tutela della riservatezza, cit., p. 755.

[222] Vedi F. SGUBBI, La tutela della riservatezza, cit., p. 756.

[223] Sulla base della considerazione che “[…]l’incertezza della legge esalta sempre l’attività interpretativa della magistratura”, vedi Ibidem.

[224] L’espressione è di F. SGUBBI, La tutela della riservatezza, cit., p. 758.

[225] Vedi, a tal proposito, il Cap. III.

[226] In particolare l’access provider è il soggetto che consente all’utente di connettersi alla rete, mentre il content provider è il soggetto che mette a disposizione lo “spazio” su internet su quale pubblicare i propri dati. Per una disamina completa delle diverse funzioni dell’internet service provider vedi U. SIEBER, Responsabilità penali per la circolazione di dati nelle reti internazionali di computers, in Riv. trim. dir. pen. econ., 1997, II, pp. 758 ss.; S. SEMINARA, La responsabilità penale degli operatori su internet, in Dir. inf., 1998, p. 747; G. FALLETTI, Il contratto di application service provisioning, in Dir. inf., 2001, pp. 411 ss.

[227] La norma in questione dovrebbe prevedere esplicitamente un obbligo giuridico sul quale fondare la posizione di garanzia (vedi supra Cap. IV) ma, almeno nel nostro ordinamento, questa norma non esiste. In questo senso anche A. MANNA, Considerazioni sulla responsabilità penale dell’internet provider in tema di pedofilia, in Dir. inf., 2001, nota 11; ma precedentemente anche G. P. ACCINNI, Profili di responsabilità penale dell’internet provider, in Riv. trim. dir. pen. econ., 2000, p. 977; U. SIEBER, Responsabilità penali per la circolazione di dati, cit., pp. 1206 ss.; S. SEMINARA, La responsabilità penale degli operatori, cit., pp. 758 ss; per la possibilità di riconoscere una posizione di garanzia in capo al provider negli ordinamenti stranieri vedi L. BUGIOLACCHI, Princìpi e questioni aperte in materia di responsabilità extracontrattuale dell’internet provider. Una sintesi di diritto comparato, in Dir. inf., 2000, pp. 829 ss. Tutti gli autori hanno sottolineato l’impossibilità di una estensione analogica della disciplina prevista per la stampa, essendo quest’operazione vietata in diritto penale. Rimane il fatto che la figura del content provider manifesta molte similitudini con quella del direttore responsabile, vedi S. SEMINARA, La pirateria su internet e il diritto penale, in Riv. trim. dir. pen. econ, 1997, I, p. 94; ma anche P. COSTANZO, Ancora a proposito dei rapporti tra diffusione in internet e pubblicazione a mezzo stampa (nota a G.U.P. trib. Oristano 25 maggio 2000), in Dir. inf., 2000, pp. 657.

[228] Anche se in realtà alcune pronunce giurisprudenziali (soprattutto francesi), ritengono sussistente una responsabilità del provider nel caso in cui si commettano offese all’onore nelle pagine messe a disposizione degli utenti, vedi G. M. RICCIO, La responsabilità del provider nell’esperienza francese: il caso Hallyday (nota a app. Parigi 10 febbraio 1999), in Dir. inf., 1999, p. 929; G. M. RICCIO, Anonimato e responsabilità in internet (nota a trib. Grande Instance Nanterre 8 dicembre 1999), in Dir. inf., 2000, pp. 307 ss.; P. COSTANZO, La magistratura sfida internet. A margine di un caso francese ma non solo… (nota a trib. Grande Instance Parigi 20 novembre 2000), in Dir. inf., 2001, pp. 209 ss, in www.penale.it. Contra vedi P. COSTANZO, Ancora a proposito dei rapporti tra diffusione in internet e pubblicazione a mezzo stampa, cit., pp. 657 ss.

[229] Vedi G. MACCABONI, La profilazione dell’utente telematico fra tecniche pubblicitarie online e tutela della privacy, in Dir. inf., 2001, p. 428; E. TOSI, Prime osservazioni sull’applicabilità della disciplina generale della tutela dei dati personali a internet e al commercio elettronico, in ibidem, p. 594; A. OLIVA, La tutela penale del diritto alla privacy in internet, in Riv. pen., 2002, p. 93.

[230] L’indirizzo IP è una sorta di “numero di targa” del computer, che permette di riconoscerlo tra tutti i PC presenti in rete; lo username è uno pseudonimo che l’abbonato utilizza per essere identificato nella rete; la password è la chiave che permette di accedere alla rete con quell’abbonamento. In relazione a questo tipo di dati, in dottrina è stato sottolineato che i problemi di applicazione dalla legge sui dati personali non interesserebbero tanto il momento statico del mero trattamento, quanto il momemto dinamico, ossia il passaggio degli stessi tra diversi computer, sia durante lo scambio di posta elettronica, sia durante la consultazione delle informazioni presenti nella rete. Vedi A. OLIVA, La tutela penale del diritto alla privacy in internet, cit., p. 92.

[231] L’utilizzo di questo tipo di dati è finalizzato prevalentemente all’addebito delle tariffe, ma col tempo possono generarsi delle informazioni molto dettagliate che tracciano una vera e propria mappa di quando un soggetto si connette, per quanto tempo e con chi. Per i problemi sollevati dal trattamento di questi dati vedi infra.

[232] A riguardo, è bene far notare che l’obbligo di “notificazione” al Garante dei dati trasferiti all’estero trova difficoltà di applicazione nei confronti dei dati trattati su internet. Infatti il provider (ma anche qualsiasi altro soggetto) che intenda trasferire dati personali tramite internet deve prima notificarlo al Garante; l’obbligo è palese nel caso di dati messi on-line (cioè pubblicati su un sito, e visibili anche dall’estero), ma che succede nell’ipotesi in cui il trasferimento avvenga tra due computer entrambi siti in Italia? L’obbligo non dovrebbe sussistere; ma se si tiene conto del fatto che la trasmissione dei dati sulla Rete non segue un percorso lineare, per cui è probabile che i dati passino attraverso server allocati in Usa prima di arrivare a destinazione, nonché del fatto che la legge considera ai fini del trasferimento non solo il paese di destinazione ma anche i paesi in cui i dati transitano, dovrebbe concludersi che anche le comunicazioni ad personam sono soggette all’obbligo di notificazione al Garante. Vedi in questo senso A. OLIVA, La tutela penale del diritto alla privacy in internet, cit., p. 93.

[233] Per un esame approfondito delle misure tecniche in cui consistono detti poteri impeditivi vedi L. BAFFIGO, Sintesi del regolamento per misure minime di sicurezza: legge 675/96, in www.privacy.it.

[234] Vedi in questo senso A. OLIVA, La tutela penale del diritto alla privacy in internet, cit., pp. 96, 97.

[235] Per un’analisi più dettagliata delle differenze tra “corrispondenza telematica” e “comunicazione telematica” vedi A. OLIVA, La tutela penale del diritto alla privacy in internet, cit., p. 97

[236] Quest’elemento spedito dal sito al computer è tecnicamente denominato cookie: la sua funzione è quella di rintracciare il computer timbrato nella Rete, così da sapere quali sono gli spostamenti dell’utente.

[237] Anzi molto spesso gli utenti ignorano la stessa possibilità di rintracciare i propri spostamenti su internet. Un primo allarme a riguardo era stato lanciato dall’editoriale di W. SAFIRE, Fermate gli spacciatori di cookies, in The New York Times on the Web del 15 giugno 2000, pubblicato anche in www.privacy.it. L’Autore ha messo per primo in evidenza il fatto che gli operatori commerciali su internet ci offrono la possibiltà di scegliere di non ricevere i cookie, ma non ci chiedono il consenso per l’invio degli stessi; cioè non rendono palese la possibilità di non essere timbrati.

[238] Mediante una modifica delle impostazioni del proprio computer che impedisca la ricezione dei cookie.

ARTICOLI RECENTI

Archivi

Categorie

Tags

agenzia alcoltest appropriazione indebita calcetto cybercrime dark web dirigente e-commerce ebbrezza etilometro Farmacista file foto garante hacker incompatibilità influencer infortunio insegnante malware as a service ordine di servizio PEC posizione di garanzia privacy prova digitale provider registrazione rovinata screenshot shopping on line sindaco social tackle telefonata trattamento dati truffa usb vacanza viaggi whatsapp