Il tuo browser non supporta JavaScript!

Diritto penale e trattamento dei dati personali. Codice della privacy, novità introdotte dal regolamento 2016/679/UE e nuove responsabilità per gli en

28.02.2017

Marta Lamanuzzi

Dottore di ricerca in Diritto penale, Università Cattolica del Sacro Cuore

Diritto penale e trattamento dei dati personali.

I reati previsti dal Codice della privacy e la responsabilità amministrativa degli enti alla luce del regolamento 2016/679/UE.

Sommario: 1. Riservatezza, privacy e diritto alla protezione dei dati personali - 2. I reati previsti dal Codice della privacy - 3. Le novità introdotte dal regolamento 2016/679/UE - 4. Dalla direttiva 95/46/CE al regolamento 2016/679/UE: profili di rilevanza penale - 5. Illecito trattamento dei dati personali e responsabilità amministrativa degli enti

1. Riservatezza, privacy e diritto alla protezione dei dati personali

L’evoluzione tecnologica e cibernetica ha determinato una profonda riorganizzazione economica, politica e sociale e ha fatto insorgere nuove minacce e, di conseguenza, nuove esigenze di tutela[1]. Tra gli interessi così venuti in rilievo vanno annoverati la riservatezza, la privacy e il diritto alla protezione dei dati personali, nozioni affini ma non esattamente sovrapponibili che ci si propone di esaminare sinteticamente nel presente paragrafo.

La riservatezza, secondo una datata ma felice definizione, è «un modo di essere negativo della persona rispetto agli altri soggetti, e più precisamente rispetto alla conoscenza di questi», un modo di essere che «soddisfa quel bisogno di ordine spirituale che consiste nell’esigenza di isolamento morale, di non comunicazione esterna di quanto attiene all’individua persona; costituisce quindi una qualità morale della persona stessa»[2]. Seguendo tale orientamento la riservatezza è stata ricondotta al catalogo dei diritti della personalità e identificata nel diritto a una “vita intima”. In particolare, si è affermato che la riservatezza, in quanto «modo di essere della persona il quale consiste nella esclusione dalla altrui conoscenza di quanto ha riferimento alla persona medesima, segue, nella gerarchia dei modi di essere morali della persona, il bene dell’onore, con cui fu frequentemente confusa[3]; pur spettando a ogni persona in quanto tale, è in relazione con l’incremento che può subire quanto ha riferimento alla persona; è, quindi, al pari dell’onore, l’oggetto, suscettibile di sviluppo, di un diritto innato»[4].

Di recente, parte della dottrina ha osservato come, a fronte dell’intensificarsi delle relazioni e delle attività nel Cyberspace, sia venuta in rilievo una specifica declinazione della riservatezza meritevole di autonoma considerazione, la c.d. riservatezza informatica, intesa come «potestà di escludere terzi e di essere garantiti contro intrusioni indesiderate ed interferenze potenzialmente dannose o comunque non consentite, per salvaguardare un proprio “spazio informatico” libero, autonomo e sicuro, in cui possa svolgersi senza impedimenti la propria personalità, che opera tramite relazioni ed attività dislocate nella rete»[5]. La riservatezza informatica, pur presentando una stretta connessione funzionale con la sicurezza informatica, va distinta concettualmente da essa, in quanto ha portata più ampia. Tutelare la riservatezza informatica, infatti, non significa solo proteggere la persona da accessi abusivi nel suo “domicilio informatico”, inteso come spazio ideale, ma anche fisico, in cui sono contenuti i dati informatici di pertinenza della persona[6], ma garantire «la sicurezza e l’esclusività dell’accesso, della gestione e della disponibilità del suo spazio informatico, o meglio cibernetico[7], vale a dire delle risorse informatiche con l’eventuale insieme di dati di sua pertinenza esclusiva contro ogni interferenza e danneggiamento, essendo l’interesse meritevole di tutela comprensivo della confidenzialità, sicurezza e dunque libertà delle azioni ed elaborazioni, anche solo potenziali o future, realizzabili nel “proprio” ambito esclusivo»[8]. La riservatezza informatica, in quanto presupposto dell’esercizio virtuale di altri diritti individuali e collettivi[9], si può quindi inquadrare nella categoria degli interessi diffusi, ossia delle necessità tangibili che fanno a capo alla maggior parte della popolazione[10].

La nozione di riservatezza è stata mutuata dalla nozione di privacy coniata in altri ordinamenti giuridici e in particolare nei sistemi di common law[11].

Il concetto di privacy è nato negli Stati Uniti alla fine dell’Ottocento. La definizione tradizionale di privacy, che godette a lungo di notevole successo e fu importata anche in Europa, si deve infatti a due giuristi di Boston, Warren e Brandeis, che, in un paper del 1890, ne hanno individuato il nucleo costitutivo nel «diritto di essere lasciati soli (right to be let alone)»[12]. Nel corso degli anni, con l’evoluzione socio-culturale e le sempre nuove esigenze di tutela, i confini della nozione di privacy sono andati estendendosi fino a diventare evanescenti[13]. Sicché ad oggi non vi è, a livello internazionale, una definizione univoca di privacy. Parte della dottrina statunitense[14] propone un approccio definitorio “pragmatico” che consiste nel delineare la nozione di privacy attraverso un elenco “aperto” di tutte le esigenze afferenti alla sfera privata dell’individuo, tra cui: il diritto di essere lasciati soli; la necessità di limitare l’accesso di altri alla propria sfera personale; il diritto di tenere determinate questioni segrete agli altri; la tutela della propria personalità, identità e dignità; il diritto all’intimità, ossia al riserbo circa le proprie relazioni personali o determinati aspetti della propria vita.

Nell’ordinamento italiano, la nozione di privacy è stata studiata soprattutto dai comparativisti[15], che hanno cercato di adattarla alle peculiarità del nostro sistema giuridico trasfondendola nella nozione di riservatezza, con la quale, quindi, tende a coincidere[16]. Tra le definizioni più ricorrenti in dottrina, si può menzionare quella che inquadra la privacy come «diritto di mantenere il controllo sulle proprie informazioni»[17], o meglio come «interesse del soggetto a una esatta percezione sociale della propria personalità, che si concretizza nella libertà di mantenere il controllo sul flusso dei dati e delle informazioni che riguardano e identificano l’individuo, in modo che l’informazione oggetto di trattamento rispecchi fedelmente e, quindi, correttamente, l’attuale, integrale ed effettiva identità personale dell’interessato, aggiornata secondo l’immagine dallo stesso proiettata nel mondo delle relazioni sociali»[18].

Negli ultimi anni, tuttavia, nel nostro ordinamento la nozione di privacy è stata invocata in un’accezione “funzionale”, che tende a distanziarla dalla nozione di riservatezza e a identificarla sostanzialmente con il diritto alla protezione dei dati personali, che consiste nel diritto al corretto trattamento dei dati personali, ossia alla conduzione del trattamento di tali dati in conformità alle norme che lo disciplinano. Hanno contributo all’immedesimazione della nozione di privacy in quella di protezione dei dati personali il fatto che la raccolta delle norme in tema di trattamento dei dati personali abbia preso il nome di “Codice della privacy” e il fatto che, di conseguenza, l’Autorità Garante del trattamento dei dati personali si sia auto-definita “Garante della privacy[19].

Tale impostazione, tuttavia, non merita di essere condivisa, in quanto, la protezione dei dati personali, sebbene riguardi certamente la privacy, non si esaurisce nel diritto al controllo delle “informazioni private”, ma si estende «alla tutela di ogni informazione riferita o riferibile a una persona identificata o identificabile, quale che ne sia il contenuto o l’oggetto»[20]. Pare quindi preferibile, in linea con la recente giurisprudenza della Corte di Giustizia dell’Unione Europea[21], mantenere distinte le nozioni di diritto alla privacy e di diritto alla protezione dei dati personali, inquadrando il primo come diritto ad avere uno spazio privato immune da ingerenze, mentre il secondo come diritto a un corretto trattamento dei propri dati personali, indipendentemente dal fatto che siano dati privati.

Ciò precisato, si comprende come il diritto alla riservatezza e il diritto alla privacy, nozioni che nel nostro ordinamento tendono a coincidere, attenendo alla tutela della “vita privata” e delle “informazioni private”, abbiano una portata esclusivamente individualistica, mentre il diritto alla protezione dei dati personali, che assume importanza centrale ai presenti fini, riflettendo l’interesse generale alla correttezza e liceità del trattamento dei dati, abbia la duplice natura di diritto dell’individuo e interesse della collettività. In tal senso, è stato acutamente osservato dalla dottrina che la disciplina della raccolta e del trattamento dei dati personali si rivela «irriducibile alla sola cifra individualistica»[22], in quanto, andando oltre la sfera privata, finisce per attingere le garanzie di trasparenza e legalità quali presupposti di funzionamento del sistema democratico. Si può quindi concludere sul punto che tra riservatezza o privacy (che si è messo in luce essere sostanzialmente sinonimi) e protezione dei dati personali intercorre un rapporto di specialità bilaterale o reciproca, in quanto la prima tutela la “vita privata” anche al di fuori del contesto del trattamento dei dati, la seconda tutela la correttezza del trattamento dei dati personali, anche a prescindere dalla sua incidenza sulla sfera privata dell’individuo.

Per quanto concerne i fondamenti normativi del diritto alla protezione dei dati personali, si tratta di un diritto da tempo riconosciuto a livello europeo quale diritto fondamentale della persona[23], sancito sia dall’art. 8 della Carta dei diritti fondamentali dell’Unione europea[24] sia dall’art. 16, par. 1, del Trattato sul funzionamento dell’Unione europea[25].

La Corte di Giustizia dell’Unione europea nel noto “caso Snowden”, intervenendo sul difficile rapporto tra diritto fondamentale alla protezione dei dati personali ed esigenze di controllo delle pubbliche autorità per fini di sicurezza e giustizia, ha contribuito a tratteggiare i confini del diritto in esame. Il caso è scaturito dal ricorso presentato dall’austriaco Maximilian Schrems, il quale ha denunciato dinnanzi alla Corte la violazione dei propri diritti fondamentali causata dalle attività di intelligence della National Security Agency (NSA) statunitense, attività rese note dall’ex tecnico della CIA Edward Snowden[26]. Tali attività erano state autorizzate dalla stessa Commissione europea con la decisione 2000/520. La Corte è giunta alla declaratoria di invalidità della predetta decisione della Commissione, in quanto fondata sull’inaccettabile «primato delle “esigenze di sicurezza nazionale, interesse pubblico o amministrazione della giustizia [degli Stati Uniti]” sul diritto fondamentale alla protezione dei dati personali» dei cittadini europei[27]. Si tratta di una decisione particolarmente interessante anche per il fatto di mettere in luce la tensione tra la concezione della privacy e del trattamento dei dati personali presente negli Stati Uniti d’America, soprattutto a partire dal 2001[28], e quella diffusa in Europa o comunque fatta propria dalla Corte di giustizia.

Venendo all’ordinamento italiano, parte della dottrina sostiene la tesi della “costituzionalizzazione” del diritto alla protezione dei dati personali, in virtù della sua connessione con il diritto all’identità personale, a sua volta riconducibile all’art. 2 Cost., fonte di tutela della personalità umana le cui declinazioni vanno colte nell’evoluzione culturale e sociale[29]. Altri autori deducono il rilievo costituzionale del diritto alla protezione dei dati personali dal suo stretto legame con il concetto di dignità, menzionato all’art. 3, co. 1, e ricavabile anche dallo stesso art. 2 Cost., concetto che «aiuta a cogliere (…) il “cuore” essenziale dei diritti universali dell’uomo e soprattutto ha, nella nuova realtà globalizzata, una forza e una “capacità di senso” eccezionalmente importanti»[30]. Secondo tale prospettiva, l’evoluzione cibernetica e la conseguente globalizzazione delle relazioni interpersonali, economiche, finanziarie e sociali hanno portato a un’estensione dei confini del concetto di dignità che oggi ricomprende anche il diritto alla protezione dei dati personali quale diritto fondamentale della persona[31].

Altra parte della dottrina sostiene invece che la rilevanza costituzionale del diritto all’identità personale e del connesso diritto alla protezione dei dati personali vada ricercata nell’art. 21 Cost., che tutelerebbe anche l’interesse a che la manifestazione esterna della propria personalità non venga travisata a causa dell’attribuzione di opinioni mai professate o di condotte mai tenute[32].

Ancora, si è argomentato che il diritto alla protezione dei dati personali abbia un indubbio legame con la tutela della libertà personale e con tutte le altre libertà costituzionalmente garantite[33]. Tanto è vero che dalla raccolta, dall’incrocio e dall’analisi dei dati che riguardano una persona e le sue attività in rete è possibile ricostruire le sue attitudini, la sua personalità, fino a prevederne le scelte future con la possibilità di interferire nella sua libertà religiosa, di pensiero, di scegliere fonti di informazione senza doverne rendere conto, di associazione, di riunione[34]. In altri termini, anche dalla protezione dei diritti personali passa la tutela delle libertà e dei diritti fondamentali dell’uomo moderno.

Premesso questo breve inquadramento delle nozioni di riservatezza, privacy e protezione dei dati personali, nel paragrafo successivo ci si propone di analizzare i reati che nel nostro ordinamento sono stati introdotti a presidio del diritto alla protezione dei dati personali con il d.lgs. 30 giugno 2003, n. 196, c.d. Codice della privacy. A seguire verranno esaminate le principali novità introdotte in tema di trattamento dei dati personali dal regolamento 2016/679/UE, cui gli Stati membri dovranno dare piena applicazione entro il 25 maggio 2018, soffermandosi in particolare sulle possibili conseguenze in materia penale e in termini di responsabilità amministrativa degli enti.

2. I reati previsti dal Codice della privacy

Con il c.d. Codice della privacy, introdotto con il d.lgs. 30 giugno 2003, n. 196 ed entrato in vigore il primo gennaio 2004[35], il legislatore italiano ha integrato e potenziato[36] la tutela del diritto alla protezione dei dati personali sulla scorta delle indicazioni provenienti dall’Unione europea[37].

Il Capo II del Titolo III riguarda gli illeciti penali in materia di trattamento dei dati personali[38].

L’art. 167, su cui si tornerà nel prosieguo, disciplina la fattispecie di trattamento illecito di dati; l’art. 168, rubricato «falsità nelle dichiarazioni e notificazioni al Garante», punisce con la pena della reclusione da sei mesi a tre anni le falsità: a) nelle comunicazioni rese al Garante dal fornitore di servizi di comunicazione elettronica accessibili al pubblico in tema di violazioni nel trattamento dei dati; b) nelle comunicazioni che il titolare del trattamento deve fare al Garante quando il trattamento riguarda le categorie di dati meritevoli di particolare tutela, nonché c) nelle comunicazioni, negli atti, nei documenti o nelle dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti. L’art. 169 prevede l’arresto sino a due anni per «chiunque, essendovi tenuto, omette di adottare le misure minime» previste dal Codice per prevenire illeciti in tema di trattamento dei dati. La norma prevede tuttavia che qualora l’autore del predetto reato adotti, benché tardivamente, le misure prescritte e paghi una determinata somma di denaro, il reato si estingue. Ancora, l’art. 170 disciplina il delitto di inosservanza di provvedimenti del Garante, punito con la reclusione da tre mesi a due anni e integrato da chi, essendo tenuto a rispettarli, violi i provvedimenti adottati dal Garante in materia di dati meritevoli di particolare tutela. L’art. 171 rimanda allo Statuto dei Lavoratori per i reati in materia di impianti audiovisivi e altri strumenti per il controllo a distanza dell’attività dei lavoratori e di strumenti utilizzati dal lavoratore per rendere la prestazione lavorativa e per la registrazione degli accessi e delle presenze[39]. Infine, l’art. 172 prevede, in caso di condanna per uno dei delitti previsti dal Codice, la pena accessoria della pubblicazione della sentenza[40].

Sebbene le norme poc’anzi riportate individuino l’autore dell’illecito mediante la generica dizione “chiunque”, i reati previsti e disciplinati dal Codice devono considerarsi reati propri, in quanto possono essere integrati solo dal titolare del trattamento, vale a dire «la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza»[41]; dal responsabile del trattamento, ossia «la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali»[42] o dall’incaricato del trattamento, cioè la persona fisica autorizzata a compiere operazioni di trattamento dal titolare o dal responsabile[43].

La fattispecie più interessante è quella di cui all’art. 167, che punisce con la reclusione da sei a diciotto mesi, se dal fatto deriva nocumento, o con la reclusione da sei a ventiquattro mesi, se il fatto consiste nella comunicazione o diffusione dei dati, salvo che il fatto costituisca più grave reato, «chiunque, al fine di trarne per sé o per altri profitto o di
recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli artt. 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell’articolo 129». Ancora, sempre che il fatto non costituisca più grave reato, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni, «chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45»[44].

L’articolo in esame prevede due distinte ipotesi di reato che si differenziano per la diversa natura dei dati oggetto di trattamento. Infatti, mediante il rinvio ad altre norme del Codice, il primo comma si riferisce ai “dati comuni”[45], il secondo ai “dati sensibili” e ai “dati giudiziari”,ossia a dati meritevoli di particolare tutela. È bene precisare che nell’ambito dei dati personali, sono “comuni” tutti i dati che il legislatore non ha ritenuto meritevoli di una tutela “rafforzata”, come quella prevista per i dati “sensibili” e ai “dati giudiziari”. Si definiscono invece «dati sensibili» «i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale»[46]. Si definiscono «dati giudiziari» «i dati personali idonei a rivelare provvedimenti in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato»[47].

Il bene giuridico tutelato è il diritto alla protezione dei dati personali, di cui si è detto nel paragrafo precedente, un interesse che, stando alla teoria costituzionalmente orientata del bene giuridico[48], è dotato di rilevanza costituzionale indiretta, in quanto funzionale e strumentale alla tutela dell’identità quale manifestazione della personalità meritevole di tutela a norma dell’art. 2 Cost.[49]. A suffragio di detta tesi, che individua come bene tutelato dalla norma non solo e non tanto la riservatezza, quanto, soprattutto, la protezione dei dati personali, in dottrina è stato osservato che se l’oggetto di tutela della norma fosse la riservatezza, bene giuridico di carattere personale e disponibile, in base a una corretta politica criminale ispirata al principio di extrema ratio la procedibilità del delitto sarebbe a querela di parte. La procedibilità d’ufficio sembra invece suggerire che la vita privata del singolo non rappresenti che, «in un’ottica di “seriazione” degli interessi da tutelare», il “bene finale”, laddove “bene strumentale” tutelato in via diretta e immediata dalla norma è «l’interesse alla sicurezza dei dati, ovvero all’efficientismo dell’ordinamento settoriale facente capo al Garante»[50].

All’incipit di entrambi i commi è posta una clausola di sussidiarietà espressa che risolve il possibile concorso apparente dell’art. 167 Codice della privacy con molte altre norme incriminatrici. Si pensi, ad esempio, all’abuso d’ufficio di cui all’art. 323 c.p.; alla rivelazione e utilizzazione di segreti d’ufficio ex art. 326 c.p. (che prevarrebbe solo sul primo comma dell’art. 167, non sul secondo comma che prevede una pena superiore); all’ipotesi di reato prevista al secondo comma dell’art. 617-quater c.p., che disciplina la rivelazione di comunicazioni informatiche o telematiche, nonché all’art. 621 c.p., che punisce la rivelazione del contenuto di documenti segreti (il quale prevarrebbe solo sul primo comma del 167).

L’art. 167 rinvia, per la compiuta descrizione del fatto tipico, ad altre norme del Codice, che, talora, rinviano a loro volta ad atti e regolamenti dell’autorità amministrativa ossia del Garante della privacy. Il primo comma rimanda, in particolare, a norme del Codice che riguardano i principi in tema di trattamento dei dati comuni (art. 19); le regole per il trattamento di tali dati da parte di soggetti pubblici (art. 18); il consenso al trattamento del soggetto cui i dati si riferiscono (art. 23); il trattamento dei dati relativi alle comunicazioni telefoniche e telematiche (art. 123) e alla localizzazione dell’utente (art. 126); la trasmissione di comunicazioni indesiderate approfittando della disponibilità dei dati (art. 130); il trattamento degli elenchi abbonati compilati prima dell’entrata in vigore del codice (art. 129)[51]. Il secondo comma richiama, invece, le norme in materia di trattamenti che presentano rischi specifici (art. 17) e di principi applicabili al trattamento dei dati sensibili e dei dati giudiziari (artt. 20, 21 e 22).

Tale tecnica legislativa, ispirata a un’esigenza di economia normativa, è di dubbia conformità ai principi fondamentali del diritto penale. In primo luogo, infatti, la norma, richiamando, ai fini della descrizione delle condotte penalmente rilevanti, altre norme del Codice che, spesso, richiamano a loro volta altre disposizioni o provvedimenti, finisce per dare luogo a una molteplicità di fatti punibili tendenti all’indeterminatezza in quanto difficili da ricostruire in maniera precisa e dettagliata[52]. Il rilievo vale, a maggior ragione, se si considera che tale “ricostruzione” della condotta penalmente rilevante deve essere effettuata non solo dai “tecnici”, ma altresì dai cittadini, a garanzia dei quali opera il principio di sufficiente determinatezza, quale corollario del principio di legalità (art. 25 Cost.)[53].

In secondo luogo, molte delle norme richiamate dall’art. 167 rinviano a loro volta a provvedimenti del Garante della privacy secondo il modello di integrazione tra legge e fonte secondaria della cd. “norma penale in bianco”, che consiste nel rinvio da parte della legge a fonti secondarie per la determinazione delle condotte concretamente punibili[54]. Come noto, la Corte costituzionale, chiamata a pronunciarsi sulla legittimità costituzionale delle norme penali in bianco, ne ha affermata la conformità al principio di riserva di legge solo nei casi in cui sia la fonte di rango primario a determinare i caratteri, i presupposti, il contenuto e i limiti dei provvedimenti dell’autorità amministrativa, alla cui trasgressione è riconnessa la sanzione penale[55]. Requisiti, quelli poc’anzi menzionati, che non sempre ricorrono nella fattispecie in esame. La dottrina[56] ha sempre nutrito perplessità sulla compatibilità delle norme penali in bianco con il principio di riserva di legge[57]. Alcuni autori, con riferimento alle norme cui rinviano le norme penali in bianco, distinguono tra “norme regolamento”, generali e astratte, il richiamo delle quali contrasterebbe con la riserva di legge, e “norme provvedimento”, ossia singoli e concreti provvedimenti dell’autorità amministrativa, che, non concorrendo a delineare il contenuto precettivo della fattispecie tendono a risolversi in presupposti di fatto, con la conseguenza che il loro richiamo, ferma restando la possibile violazione del principio di sufficiente determinatezza, non viola il principio di riserva di legge[58]. Seguendo tale orientamento si potrà affermare che l’art. 167 è conforme al principio di riserva di legge nella parte in cui rimanda a norme del Codice della privacy in sé compiute, non invece nella parte in cui rimanda a norme del Codice che, a loro volta, rimandano a provvedimenti generali e astratti del Garante della privacy.

Ancora, in passato sono stati espressi in dottrina dubbi circa la conformità delle norme penali in bianco al principio di offensività. Il rischio sotteso a tali norme, in particolare, sarebbe quello di conferire alla fattispecie la connotazione di previsione non tanto posta a tutela di beni giuridici ritenuti meritevoli di tutela in quanto riconducibili a valori di rango costituzionale, quanto volta ad assicurare l’osservanza di determinate norme e di determinati regolamenti o provvedimenti, finendo per punire la «disobbedienza come tale»[59].

Passando all’analisi degli elementi costitutivi della fattispecie, il soggetto attivo, a discapito della dizione “chiunque” può essere, come anticipato, solo il titolare, il responsabile o l’incaricato del trattamento dei dati. Precisamente gli artt. 28, 29 e 30 del Codice attribuiscono il dovere di assicurare il corretto trattamento dei dati progressivamente al titolare, al responsabile e all’incaricato. Il riflesso di tale previsione sul piano penale è una responsabilità a titolo di concorso delle tre figure poc’anzi menzionate, da cui, in base al modello della delega di funzioni[60], il delegante potrà esonerarsi solo provando di aver impartito precise istruzioni al delegato e, altresì, a norma dell’art. 29, co. 5 del Codice, di aver vigilato, «anche tramite verifiche periodiche» sulla puntuale osservanza delle proprie istruzioni[61].

La condotta tipica consiste nel trattamento di dati, ossia nel compimento di «qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati»[62]. Ai fini dell’integrazione del reato, a detta della Suprema Corte[63], è sufficiente il compimento di un solo atto tipico.

Altro elemento della fattispecie consiste nella mancanza del consenso. Infatti, tra le norme richiamate dall’art. 167 vi sono anche gli artt. 23 (richiamato al primo comma) e 26 (richiamato al secondo comma), che prevedono quale condizione di liceità del trattamento, salvo casi eccezionali tassativamente indicati (art. 24 e alcune norme della Parte II relativi al trattamento effettuato dalle forze di polizia o per fini di ordine pubblico e difesa sociale), il consenso espresso dell’interessato, rilasciato per iscritto se si tratta di dati sensibili. Il consenso dell’interessato opera quindi come elemento negativo della fattispecie, in presenza del quale non si configura il fatto tipico, non invece come scriminante ai sensi dell’art. 50 c.p.[64].

Ai fini della punibilità, alla condotta tipica devono aggiungersi sia la finalità di conseguire per sé o per altri un profitto o di cagionare ad altri un danno, sia il nocumento derivato alla persona offesa o a terzi dall’illecito trattamento dei dati, o, solo nell’ipotesi prevista dalla seconda parte del primo comma, la comunicazione o diffusione dei dati.

Analogamente a quanto è avvenuto, ad esempio, con riferimento alla dichiarazione di fallimento nei reati di bancarotta[65] e alle soglie di punibilità previste nelle false comunicazioni sociali[66] (prima delle ultime modifiche apportate dalla l. 27 maggio 2015, n. 69) e nei reati tributari[67], anche in relazione al nocumento di cui all’art. 167 Codice della privacy si è sviluppato un dibattito circa la sua natura di elemento del reato o di condizione obiettiva di punibilità. Il criterio di distinzione tra le due opzioni ermeneutiche consiste nel rapporto con l’offesa: una circostanza sarà elemento del reato qualora dal suo integrarsi dipenda l’offesa del bene protetto, sarà condizione obiettiva di punibilità qualora, invece, si tratti di una circostanza del tutto estranea all’offesa, alla cui integrazione solo per ragioni di opportunità il legislatore ha inteso subordinare la punibilità. L’opzione ermeneutica adottata ha conseguenze a livello probatorio in quanto gli elementi del reato devono essere oggetto del dolo, mentre le condizioni obiettive di punibilità rilevano oggettivamente (art. 44 c.p.). Parte della dottrina, all’esito di un’attenta analisi delle condizioni obiettive di punibilità, distingue ulteriormente tra condizioni estrinseche, ossia totalmente estranee all’offesa e condizioni intrinseche, che danno attuazione all’«offesa dell’interesse che è già potenzialmente realizzata dal fatto in senso stretto»[68]. In un sistema penale costituzionalmente orientato e imperniato sul principio di colpevolezza in cui tutti e ciascuno degli elementi che concorrono a contrassegnare il disvalore della fattispecie devono essere soggettivamente collegati all’agente e, quindi, a lui imputabili a titolo di dolo o, almeno, di colpa, rispetto alle condizioni intrinseche di punibilità, che concorrono, sebbene limitatamente ed eventualmente, all’offesa, dovrà essere accertato quel coefficiente minimo di colpevolezza che consiste nella colpa e, in particolare, nella prevedibilità[69].

Alla luce di tale ricostruzione, nella fattispecie in analisi, il nocumento, concorrendo al disvalore della fattispecie di illecito trattamento dei dati personali, dovrà opportunamente essere interpretato alla stregua di condizione obiettiva di punibilità intrinseca in quanto, «sebbene partecipi alla caratterizzazione offensiva del fatto incriminato, conserva quella caratteristica di elemento futuro e incerto da cui dipende la punibilità dell’autore del reato»[70]. A sostegno di tale conclusione si può osservare come la scelta del legislatore di qualificare il nocumento come condizione intrinseca di punibilità anziché come elemento del reato paia del tutto sensata in quanto rispondente a una duplice necessità: da una parte, quella di evitare l’intervento della sanzione penale in caso di lesioni di scarsa rilevanza del bene tutelato, dall’altra, quella di non limitare troppo l’ambito della punibilità prevedendo che il nocumento, in quanto elemento del reato, debba rientrare nell’oggetto del dolo[71].

Circa il quantum del nocumento, in alcune pronunce di legittimità viene richiesto, ai fini dell’integrazione del reato, che la condotta cagioni un «vulnus minimo all’identità personale del soggetto passivo e alla sua privacy»[72], in altre si fa riferimento a un «vulnus significativo alla persona offesa»[73]. Il concetto di nocumento non coincide esattamente con il concetto di danno. Il “danno altrui” è l’evento naturalistico del reato collegato eziologicamente alla condotta tipica ai sensi dell’art. 40, co. 1, c.p., il nocumento può essere inteso come l’insieme delle conseguenze negative in senso lato, quali, ad esempio, le ripercussioni sgradevoli o disonorevoli che dal fatto possono derivare anche a persone diverse dal soggetto passivo[74]. Stando a tale prospettiva definitoria, il richiamo alla nozione di nocumento pare particolarmente appropriato in una materia come quella del trattamento dei dati personali in cui «le conseguenze del reato non sono più rapportabili a un singolo soggetto ben individuato o individuabile, ma a una vera e propria platea indistinta, costituita da una molteplicità di vittime, in ciò conferendo la natura di reati a vittima diffusa, che porta con sé un’amplificazione delle conseguenze negative, destinate a determinare i propri effetti ben al di là delle circoscritte aree di tutela e dei soggetti tutelati»[75].

Per quanto concerne la locuzione «se il fatto consiste nella comunicazione o diffusione» contenuta nella seconda parte del primo comma e seguita dalla previsione di una pena più severa, parte della dottrina ritiene che si tratti di una fattispecie aggravata a cui il principio del favor rei impone di estendere i requisiti di fattispecie previsti nella prima parte del primo comma, ossia il dolo specifico di profitto o danno e la condizione obiettiva di punibilità del nocumento[76], altra parte della dottrina, invece, ritiene, in maniera più aderente al dato testuale, che si tratti di un’altra condizione intrinseca di punibilità alternativa al nocumento[77].

Ciò premesso, è bene interrogarsi sulla ratio della previsione, nell’ambito della medesima norma incriminatrice, di un dolo specifico e di una o due alternative condizioni obiettive di punibilità. Tali requisiti sembrano operare, in ossequio al principio di sussidiarietà, in funzione selettiva della punibilità, l’uno sul piano soggettivo, l’altra (o le altre due) su quello oggettivo, consentendo di individuare come meritevoli di pena solo quelle condotte che assurgono a un certo grado di riprovevolezza in quanto volte a conseguire un profitto ingiusto o a cagionare un danno ad altri, e, congiuntamente, a un certo grado di offensività, cagionando un nocumento o consistendo il fatto nella comunicazione o diffusione dei dati[78], se si considera quest’ultima circostanza quale condizione obiettiva di punibilità. Tale conclusione pare in linea con la presumibile intenzione del legislatore di conformare la norma in esame sia al principio di colpevolezza, sia al principio di offensività[79] superando le critiche che avevano colpito la fattispecie nella sua versione precedente, in quanto connotata come reato di pericolo astratto, se non addirittura presunto[80].

Per quanto concerne l’interpretazione giurisprudenziale della fattispecie, rientra nell’ambito applicativo della norma la pubblicazione in rete di un’immagine o di un video che ritrae una persona senza il suo previo ed espresso consenso, salvi casi eccezionali tassativamente previsti. La normativa in materia di privacy, infatti, trova applicazione, ai sensi dell’art. 5, co. 3, Codice della privacy, anche ai trattamenti effettuati da privati per fini esclusivamente personali, se i dati sono destinati a una comunicazione sistematica o alla diffusione[81].

Parimenti integra il reato di trattamento illecito di dati personali l’indebito utilizzo di un data-base contenente l’elenco di utenti iscritti a una newsletter ai quali vengono inviati messaggi pubblicitari non autorizzati provenienti da altro operatore (c.d. spamming), che tragga profitto dalla percezione di introiti commerciali e pubblicitari, con corrispondente nocumento per l’immagine del titolare della banca dati abusivamente consultata e per gli stessi utenti, costretti a cancellare i messaggi di posta indesiderata, a predisporre accorgimenti per impedire ulteriori invii e a tutelarsi rispetto alla circolazione non autorizzata delle proprie informazioni personali[82].

Per quanto concerne la responsabilità dell’internet provider, risponderà di trattamento illecito dei dati personali ai sensi dell’art. 167 Codice della privacy in caso di divulgazione di dati personali inseriti da terzi che li hanno raccolti illecitamente, qualora non abbia dato preventiva e corretta informativa a coloro che hanno consegnato i dati. Infatti, specifica la giurisprudenza, «pur non potendosi parlare di un obbligo preventivo di controllo di tutti i dati immessi e ricevuti, né di un obbligo di richiedere il consenso al trattamento direttamente all’interessato - essendo tali condotte inesigibili - sussiste, invece, un obbligo di corretta e puntuale informazione il cui inadempimento dimostra una chiara accettazione consapevole del rischio concreto di inserimento e divulgazione di dati, anche e soprattutto sensibili, che avrebbero dovuto esser oggetto di particolare tutela»[83]. Al contrario, non integra la fattispecie di illecito trattamento di dati personali la condotta dell’internet service provider che acquisisca, memorizzi, cancelli un video creato, inviato o caricato da terzi, come statuito dalla Corte di Cassazione con riferimento al noto caso Vivi Down Vs Google. Infatti non sussiste in capo all’internet hosting provider un obbligo generale di controllo, in quanto questi si limita a fornire ospitalità ai video inseriti dagli utenti, senza dover fornire alcun contributo nella determinazione del loro contenuto[84].

Ancora, con riferimento all’attività giornalistica, il trattamento di dati personali potrà avvenire senza il consenso dell’interessato senza incorrere nella fattispecie di trattamento illecito di cui all’art. 167, operando la scriminante del diritto di cronaca di cui al combinato disposto degli artt. 51 c.p. e 21 Cost., a patto che siano rispettati i criteri di interesse pubblico della notizia, verità della stessa, continenza espositiva ed essenzialità ai fini della completezza dell’informazione[85].

Infine, con riferimento al rapporto tra l’art. 167 e alcune nuove previsioni legislative, chi abbia integrato il delitto di illecito trattamento dei dati personali e impieghi i proventi così ottenuti in attività economiche o finanziarie potrebbe rispondere del nuovo delitto di autoriciclaggio, di cui all’art. 648-ter c.p., introdotto con la l. 15 dicembre 2014, n. 186[86]. In secondo luogo, rientrando nella cornice edittale prevista dall’art. 131-bis e non essendo riconducibile a nessuna delle ipotesi espressamente escluse dall’ambito applicativo di detta norma, l’art. 167 pare compatibile con il nuovo istituto dell’esclusione della punibilità per particolare tenuità del fatto[87], anche se, la condizione obiettiva di punibilità del nocumento e, qualora la si consideri condizione obiettiva di punibilità, quella della comunicazione o diffusione dei dati rendono improbabile la qualificazione dell’offesa in termini di particolare tenuità. Infine, la previsione edittale di cui all’art. 167 consente all’imputato di illecito trattamento dei dati personali di accedere al nuovo percorso alternativo alla condanna della sospensione del procedimento con messa alla prova di cui agli art. 168-bis e ss. c.p.[88].

3. Le novità introdotte con il regolamento 2016/679/UE

Il rapido moltiplicarsi dei rischi per la privacy che il progresso tecnologico, informatico e telematico ha determinato nell’ultimo ventennio ha fatto sorgere la necessità di una nuova regolamentazione europea della materia. Il 4 maggio 2016, infatti, è stato pubblicato nella Gazzetta Ufficiale dell’Unione Europea il regolamento 2016/679/UE del Parlamento Europeo e del Consiglio del 27 aprile 2016 «relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati», che abroga la direttiva 95/46/CE («regolamento generale sulla protezione dei dati»). Il regolamento è entrato in vigore il 24 maggio 2016 e gli Stati membri dovranno dare “piena applicazione” alle sue disposizioni entro il 25 maggio 2018[89]. Si legge nel regolamento che «la portata della condivisione e della raccolta di dati è aumentata in modo vertiginoso»[90] e ciò ha reso opportuna la riaffermazione a livello europeo del principio in forza del quale «il trattamento dei dati personali dovrebbe essere al servizio dell’uomo»[91].

In estrema sintesi, «il regolamento introduce regole più chiare in materia di informativa e consenso, definisce i limiti al trattamento automatizzato dei dati personali, pone le basi per l’esercizio di nuovi diritti, stabilisce criteri rigorosi per il trasferimento dei dati al di fuori dell’Unione europea e per i casi di violazione dei dati personali (c.d. data breach[92].

Per quanto riguarda l’ambito applicativo, il regolamento non si applica «ai trattamenti di dati personali effettuati da una persona fisica per l’esercizio di attività a carattere esclusivamente personale o domestico»[93], mentre si applica anche «al trattamento interamente o parzialmente automatizzato di dati personali»[94].

I principi cui, a norma del regolamento, il trattamento dei dati deve ispirarsi sono: il principio di trasparenza, la garanzia del diritto all’oblio e il principio di accountability. Il principio di trasparenza impone che le informazioni relative all’identità del titolare del trattamento dei dati e le finalità del trattamento siano facilmente accessibili e di facile comprensione, grazie all’utilizzo di un linguaggio semplice e chiaro, da parte degli interessati, fin dal momento della raccolta dei dati[95].

Il diritto all’oblio consiste nel «diritto di ottenere la cancellazione dei propri dati quando sia venuta meno la finalità per la quale se ne è consentito l’uso e soprattutto quando non sussistano più i motivi che possono aver giustificato la loro diffusione»[96]. Al fine di dare attuazione a tale diritto il regolamento sancisce all’art. 16 il diritto di rettifica, ossia il diritto dell’interessato «di ottenere dal titolare del trattamento la rettifica dei dati personali inesatti che lo riguardano senza ingiustificato ritardo» e, all’art. 17, il diritto alla cancellazione, nei termini di diritto dell’interessato «di ottenere dal titolare del trattamento la cancellazione dei dati personali che lo riguardano senza ingiustificato ritardo», e impone agli operatori, al considerandum n. 59, di «prevedere modalità volte ad agevolare l’esercizio, da parte dell’interessato, (…) consentendo l’inoltro delle richieste per via elettronica, e senza costi a carico del richiedente»[97].

Il principio di accountability (su cui si tornerà nel paragrafo successivo) che può essere tradotto come principio di responsabilizzazione e obbligo di rendicontazione, è nato in ambito aziendale per indicare i doveri di trasparenza, «intesa come garanzia della completa accessibilità alle informazioni agli utenti», di responsività, «intesa come la capacità di rendere conto di scelte, comportamenti e azioni» e di compliance, «intesa come capacità di far rispettare le norme»[98]. Il regolamento recepisce tale principio all’art. 24, in forza del quale «tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, nonché dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche, il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al presente regolamento», tali «misure sono riesaminate e aggiornate qualora necessario»[99].

Il consenso, condizione di liceità del trattamento dei dati personali, a norma degli artt. 7 e ss. e 23 e ss. del regolamento, dovrà essere espresso dall’interessato, come avviene già oggi, preventivamente e inequivocabilmente (anche quando rilasciato attraverso mezzi elettronici), e, quando riguarda dati sensibili, dovrà essere anche “esplicito”, con esclusione di ogni forma di consenso tacito. Il consenso infine potrà essere revocato in qualsiasi momento.

Principi nuovissimi introdotti dal regolamento sono quelli di privacy by design, con il quale si intende la tutela del dato «fin dalla progettazione» e di privacy by default, che riguarda la tutela della vita privata «per impostazione predefinita»[100]. A tali principi è dedicato l’art. 25 del regolamento, il quale prevede che il titolare del trattamento, sia al momento della scelta dei mezzi tecnici per la sua gestione, sia al momento dell’acquisizione dei dati, debba mettere in atto misure tecniche e organizzative adeguate e volte ad attuare i principi in materia di protezione dei dati personali in modo efficace, «tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento, come anche dei rischi aventi probabilità e gravità diverse per i diritti e le libertà delle persone fisiche costituiti dal trattamento». Inoltre, le misure devono garantire che «per impostazione predefinita, non siano resi accessibili dati personali a un numero indefinito di persone fisiche senza l’intervento della persona fisica»[101].

Altro profilo di innovazione introdotto dal regolamento è rappresentato dall’obbligo di “valutazione d’impatto”, che il titolare del trattamento è tenuto a svolgere per determinare «l’origine, la natura, la particolarità e la gravità» del rischio per la tutela del diritto alla protezione del dato[102]. Qualora rilevi un “rischio elevato”, prima di procedere al trattamento, il titolare dovrà effettuare una specifica valutazione, volta a determinare quali misure organizzative e di sicurezza debbano essere adottate per rispettare quanto previsto dal regolamento, da effettuarsi mediante l’analisi della «particolare probabilità e gravità del rischio, tenuto conto della natura, dell’ambito di applicazione, del contesto e delle finalità del trattamento e delle fonti di rischio»[103].

Ancora, per accrescere il livello di sicurezza della protezione dei dati personali, il regolamento ha introdotto un obbligo di notificazione di ogni “data breach”, ossia di ogni violazione o perdita di controllo dei dati personali trattati, o meglio, ai sensi dell’art. 4 del regolamento, ogni «violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l’accesso ai dati personali trasmessi, conservati o comunque trattati»[104]. Ciò sulla base del rilievo che «una violazione dei dati personali può, se non affrontata in modo adeguato e tempestivo, provocare danni fisici, materiali o immateriali alle persone fisiche, ad esempio perdita del controllo dei dati personali che li riguardano o limitazione dei loro diritti, discriminazione, furto o usurpazione d’identità, perdite finanziarie, decifratura non autorizzata della pseudonimizzazione, pregiudizio alla reputazione, perdita di riservatezza dei dati personali protetti da segreto professionale o qualsiasi altro danno economico o sociale significativo alla persona fisica interessata»[105].

4. Dalla direttiva 95/46/CE al regolamento 2016/679/UE: profili di rilevanza penale

Non rientra nell’oggetto della presente trattazione la rassegna di tutte le differenze tra la precedente disciplina europea del trattamento dei dati personali, dettata dalla direttiva 95/46/CE, e la nuova disciplina contenuta nel regolamento 2016/679/UE. Tuttavia, prima di concentrarsi sulle conseguenze di carattere penale che il passaggio dalla direttiva al regolamento potrebbe comportare, che ben rilevano ai presenti fini, è bene mettere in luce anzitutto che la scelta dello strumento normativo del regolamento, in luogo della direttiva, parrebbe volta a soddisfare l’esigenza di assicurare una maggior chiarezza e completezza della disciplina. Infatti, le disposizioni contenute nei regolamenti, a differenza di quelle contenute nelle direttive, si applicano direttamente, senza bisogno di un’intermediazione legislativa da parte degli Stati membri[106]. Nondimeno, i primi commentatori[107] hanno rilevato come il regolamento, prescrivendo agli Stati membri di dare piena applicazione alle disposizioni ivi contenute entro il 25 maggio 2018, assume, quanto agli effetti, la connotazione di una “quasi direttiva”.

È inoltre importante rilevare come l’obiettivo della direttiva fosse principalmente quello di tutelare le persone nei confronti dei titolari del trattamento dei dati personali, mentre l’obiettivo del regolamento, è quello di prevenire e sanzionare severamente i trattamenti dei dati illegittimi, anche a prescindere dalla necessità di tutela del singolo cui i dati si riferiscono. Ciò dimostra come nella nuova normativa europea la protezione dei dati personali non sia concepita solo come diritto fondamentale dell’individuo, ma anche, se non primariamente, come interesse della collettività, in piena sintonia con l’ormai consolidata interpretazione del diritto alla protezione dei dati personali di cui si è detto nel primo paragrafo[108].

Ancora, con riferimento al già menzionato principio di accountability, la direttiva si limita a stabilire che il responsabile del trattamento è tenuto a rispettare le disposizioni di cui all’art. 6[109], volte a garantire la liceità del trattamento dei dati. Il regolamento, invece, attribuisce al titolare o al responsabile o all’incaricato del trattamento un ruolo proattivo, ossia quello di assumere tutte le misure tecniche e organizzative necessarie a prevenire il rischio di violazioni in materia di trattamento dei dati personali e altresì a rilevare queste ultime, in modo tale da poter dimostrare di aver fatto tutto il possibile per assicurare la compliance dei trattamenti[110].

Venendo alle conseguenze penali delle violazioni delle norme in materia di trattamento dei dati personali, la direttiva 95/46/CE si limitava a prescrivere agli Stati membri di adottare «le misure appropriate per garantire la piena applicazione» delle disposizioni ivi contenute e in particolare di stabilire le sanzioni da applicare in caso di violazione delle disposizioni introdotte in ossequio alla direttiva. In attuazione di tale norma, nel nostro ordinamento sono stati introdotti i reati contenuti del Codice della privacy analizzati nel secondo paragrafo.

Il regolamento, invece, al considerandum n. 149 sancisce che «gli Stati membri dovrebbero poter stabilire disposizioni relative a sanzioni penali» per la violazione delle sue disposizioni, nonché «di norme nazionali adottate in virtù ed entro i limiti» del regolamento. «Tali sanzioni penali» - continua - «possono altresì autorizzare la sottrazione dei profitti ottenuti attraverso violazioni del presente regolamento. Tuttavia» - si precisa ancora - «l’imposizione di sanzioni penali per violazioni di tali norme nazionali e di sanzioni amministrative non dovrebbe essere in contrasto con il principio del ne bis in idem come interpretato dalla Corte di giustizia». Tale norma va letta congiuntamente all’art. 84, par. 1, che prescrive agli Stati membri di stabilire le norme relative alle sanzioni per le violazioni del regolamento che non siano già soggette alle sanzioni amministrative pecuniarie previste dall’art. 83 e di adottare tutti i provvedimenti necessari per assicurarne l’applicazione. Ancora, l’art. 84 precisa che tali norme, da adottare entro il 25 maggio 2018, dovranno prevedere sanzioni «effettive, proporzionate e dissuasive».

Con riferimento agli effetti del combinato disposto del considerandum n. 149 e dell’art. 84, par. 1, emerge palesemente la citata natura di “quasi direttiva” del regolamento, in quanto agli Stati membri è prescritto di adottare sanzioni penali non solo per le violazioni del regolamento ma anche, anzi, soprattutto per la violazione delle norme nazionali da adottarsi in virtù del regolamento. A questo riguardo è bene precisare che lo spazio di intervento dell’Unione europea in materia penale è limitato dall’art. 83, par. 2 del TFUE[111] a un’attività di “indirizzo”[112] da esercitarsi mediante lo strumento della direttiva. La ratio è evidente: al fine di non interferire con il principio di riserva di legge vigente negli Stati membri in materia penale, le istituzioni europee non possono introdurre direttamente norme incriminatrici, e quindi intervenire in materia penale con strumenti normativi direttamente produttivi di effetti negli ordinamenti nazionali come i regolamenti, ma devono intervenire con strumenti che necessitano di attuazione, come la direttiva, lasciando così ai legislatori nazionali la prerogativa di introdurre fattispecie incriminatrici, ancorché in attuazione di un “indirizzo” proveniente dall’Unione[113]. Orbene, benché il legislatore europeo in materia di trattamento dei dati personali abbia esercitato una competenza penale, chiedendo agli Stati membri di introdurre sanzioni penali, attraverso lo strumento del regolamento in luogo della direttiva, contravvenendo a quanto previsto dall’art. 83, par. 2, TFUE, tuttavia la predetta ratio della norma pare rispettata in quanto il regolamento in esame è un regolamento sui generis, cui gli Stati dovranno dare piena applicazione entro un determinato termine, tanto che per i suoi effetti, come si è detto, può essere considerato una “quasi-direttiva”.

Ciò precisato, sebbene parte della dottrina[114], facendo leva sul mero potere di “indirizzo” delle istituzioni europee in materia penale, ritenga che in teoria gli Stati membri potrebbero adempiere ai doveri imposti dal regolamento anche limitandosi ad applicare le sanzioni amministrative pecuniarie previste dall’art. 83 e introducendo ulteriori sanzioni amministrative pecuniarie ai sensi dell’art. 84, senza essere tenuti a introdurre norme incriminatrici ad hoc, nel nostro ordinamento un adeguamento della legislazione penale in materia di trattamento dei dati personali alle disposizioni del regolamento pare inevitabile.

In particolare, potrebbero essere introdotte nuove sanzioni penali a carico di persone fisiche. Anche se il regolamento, nel prescrivere agli Stati membri di adottare sanzioni penali in materia di trattamento dei dati personali, non pone alcuna limitazione con riferimento ai soggetti sanzionabili, nel nostro ordinamento, come noto, il principio di personalità della responsabilità penale (art. 27 Cost.) esclude che siano assoggettate a sanzioni penali le persone giuridiche (societas delinquere non potest)[115].

Per quanto riguarda il destino delle norme penali in materia di trattamento dei dati personali già vigenti nel nostro ordinamento (artt. 167 e ss. del Codice della privacy), esaminate al secondo paragrafo, al fine di pronosticare se rimarranno valide o saranno abrogate, occorrerà verificare la compatibilità delle stesse e delle altre norme del Codice della privacy che esse richiamano con il regolamento. Come precedentemente illustrato (v. §2), infatti, si tratta di norme incriminatrici che, per l’individuazione della condotta tipica, richiamano altre norme del Codice. Seguendo tale ragionamento, alcune ipotesi delittuose parrebbero implicitamente abrogate. Si pensi alle ipotesi che derivano dal combinato disposto degli artt. 167, da una parte, e 123 e 126 Codice della privacy (relativi alla legittimità del trattamento dei dati personali comuni o sensibili), dall’altra, in quanto queste ultime due norme sono state superate dalla nuova e più dettagliata disciplina del trattamento di dati personali comuni e sensibili contenuta nel regolamento (artt. 6 e ss.). Altre ipotesi delittuose potrebbero invece rimanere valide. Si pensi al reato disciplinato dal combinato disposto degli artt. 167 e 130 Codice della privacy, che consiste nella violazione di norme in materia di e-privacy e comunicazioni indesiderate compatibili con il regolamento, o all’ipotesi contravvenzionale di cui all’art. 169 del Codice della privacy, che punisce l’omissione delle misure minime di sicurezza di cui all’art. 33 e di cui all’Allegato B al Codice, disposizioni non incompatibili con il nuovo regime di accountability e di sicurezza delineato dal regolamento europeo.

Per concludere sul punto è ragionevole prevedere che il legislatore, per dare piena applicazione al regolamento, decida di abrogare le norme penali vigenti, introducendo nuove norme penali o, secondo la citata dottrina[116], anche solamente nuove sanzioni amministrative (purché effettive, proporzionate e dissuasive), oppure decida di riformare le attuali norme incriminatrici contenute nel Codice della privacy eliminando o sostituendo le ipotesi incompatibili con la nuova normativa europea.

Infine, per quanto concerne la previsione, contenuta nel considerandum n. 149, in forza della quale le sanzioni penali e amministrative per violazioni in tema di trattamento dei dati personali non dovranno essere in contrasto con il principio del ne bis in idem (di cui all’art. 50 della Carta dei diritti fondamentali dell’Unione europea) come interpretato dalla Corte di giustizia, tale limite va letto, in conformità con la giurisprudenza di tale Corte[117], nel senso che l’applicazione di una sanzione penale per violazioni in materia di trattamento dei dati personali applicata in un procedimento divenuto definitivo osterà all’istaurazione di nuovi procedimenti penali per lo stesso fatto, non invece all’applicazione di sanzioni amministrative, purché l’effetto punitivo complessivo non risulti eccessivo.

5. Illeciti in materia di trattamento dei dati personali e responsabilità amministrativa degli enti

Come noto, la l. 18 marzo 2008, n. 48 ha introdotto nel catalogo dei reati-presupposto del d.lgs. 8 giugno 2001, n. 231, in materia di responsabilità amministrativa degli enti, diversi delitti informatici (art. 24-bis)

Lamanuzzi Marta



Download:
Lamanuzzi.pdf
 

Array
(
    [codice_fiscale_obbligatorio] => 1
    [coming_soon] => 0
    [fuori_servizio] => 0
    [homepage_genere] => 0
    [insert_partecipanti_corso] => 0
    [moderazione_commenti] => 0
    [mostra_commenti_articoli] => 0
    [mostra_commenti_libri] => 0
    [multispedizione] => 0
    [pagamento_disattivo] => 0
    [reminder_carrello] => 0
    [sconto_tipologia_utente] => carrello
)

Consulta l'archivio