Unione Camere Penali Italiane Osservazioni critiche sul Testo Unico in materia di protezione dei dati personali Deliberato dalla Giunta il 27 luglio 2004

I presupposti
dell’intervento normativo.

Il “diritto alla
protezione dei dati personali”, scaturisce dalla constatazione che il patrimonio
informativo di ciascuno è tendenzialmente un patrimonio circolante
destinato ad essere
utilizzato da parte di altri soggetti, per le finalità più varie. Oggi il
trattamento dei dati personali avviene in massima parte con l’ausilio di
strumenti elettronici, naturalmente caratterizzati da una rapida e incessante
evoluzione tecnologica.
Le esigenze scaturite da questa constatazione hanno provocato la qualificazione
dell’attività di trattamento come attività pericolosa (articolo15), nonchè la
qualificazione della sicurezza come strumento di riduzione al minimo dei rischi
di distruzione o perdita anche accidentale dei dati, di accesso non autorizzato
o trattamento non consentito.
Va precisato che il diritto alla protezione dei dati personali è un’autonoma
prerogativa rispetto al diritto alla riservatezza ed al diritto all’identità
personale ma è ad essi intimamente connessa (articolo 2, c. 1). Gli interventi
legislativi più significativi adottati in materia di trattamento di dati
personali sono:
1) legge 675/96 quale base legislativa di riferimento.
2) In data 2 febbraio 2002 la legge 127/01 ha operato un vero e proprio
restyling della legge 675/96 con correzione delle sanzioni, nel senso di un
inasprimento dei codici deontologici per alcuni settori.
Il legislatore, pertanto, compulsato dalle indicazioni provenienti
dall’esperienza applicativa, dalla legislazione comunitaria e dagli accordi
internazionali in materia, ha avvertito la necessità di giungere alla
elaborazione di un Tu della disciplina (ad una reductio ad unum in subiecta
materia); tant’è che la Commissione di studio presieduta dal Prof. Bianca
si è indirizzata verso la stesura di un testo unico di rango propriamente
legislativo anzichè “misto”, ossia di tipo legislativo – regolamentare,
contrariamente alla prassi invalsa in precedenza.
Viene cosi’ emanato, in data 30 giugno 2003, il D.Lgs 196 (c.d. Codice privacy),
che ha determinato l’assorbimento, o addirittura la eliminazione, di talune
disposizioni di matrice regolamentare ed ha introdotto la previsione di un
disciplinare tecnico per le cosiddette misure minime di sicurezza, che
rappresenta uno strumento sufficientemente duttile, e suscettibile di
adeguamento all’evoluzione del settore di riferimento, mediante l’emanazione di
decreti ministeriali di tipo non regolamentari.
Innovazioni

Per quanto concerne
il novero dei soggetti tutelati, il Tu, all’articolo 1 (Diritto alla protezione
dei dati personali), prevede: “Chiunque ha diritto alla protezione dei dati
personali che lo riguardano”. La dizione adoperata (“chiunque”) presenta un
elemento normativo suscettibile di una più ampia applicazione rispetto a quella
(“persone fisiche o giuridiche”) prevista invece dal primo comma dell’articolo 1
della legge 675/96; essa consente, invero, la tutela di diritti fondamentali a
soggetti senza discriminazione alcuna: persona fisica o giuridica, maggiorenne o
minorenne, che goda o meno di diritti politici.
Altra importante novità concerne l’oggetto e l’ambito di applicazione della
normativa in esame. Infatti, rispetto alla corrispondente previsione della legge
675, di cui al combinato disposto degli articoli 2, 5 e 6, l’articolo 5 del
D.Lgs 196/03 –in tema di diritto nazionale– prevede la regola della vigenza
della legge italiana a prescindere dal luogo nel quale si trovi l’archivio dei
dati personali del titolare del trattamento (ben potendo esso situarsi
all’estero), e cio’ indipendentemente dalla nazionalità o dal luogo di
residenza del titolare del trattamento e dell’interessato, purchè in Italia
venga svolta qualunque operazione riconducibile alla nozione di trattamento.
Impostazione di fondo del Tu
Possiamo affermare che l’impostazione di fondo del Tu si basa sulla creazione di
un sistema di tutela integrato, fondato su una disciplina di settore, il cui
organo di controllo è l’Autorità garante, dotata di ampi poteri, da
esercitarsi tanto in via autonoma, quanto coordinata con paradigmi
“tradizionali” di tutela giurisdizionale ed amministrativa.
Questo spiega il perchè il decreto legislativo in esame, a fronte di un
generale inasprimento delle sanzioni amministrative abbia introdotto modifiche
di non poco momento per quanto concerne gli illeciti penali, già disciplinati
al Capo VIII (articoli da 34 a 38) della legge 675, ed ora racchiusi invece nel
Capo II, Titolo III della Parte Terza del codice privacy, agli articoli 167-172.
Da notare che la legge 675/96 annoverava al capo VIII sotto la dizione
“sanzioni” sia quelle penali che quelle amministrative:
articolo 34- omessa o infedele notificazione ammenda da lire dieci
milioni a lire sessanta milioni
35- trattamento illecito di dati personali
– reclusione sino a due
anni o, se il fatto consiste nella comunicazione o diffusione, da tre mesi a due
anni.
36
– omessa adozione di
misure necessarie alla sicurezza dei dati
– arresto sino a due anni o ammenda da lire dieci milioni a lire ottanta milioni
37- inosservanza dei provvedimenti del Garante
– reclusione da tre mesi
a due anni.
37 bis – falsità
nelle dichiarazioni e nelle notificazioni al Garante
– reclusione da sei mesi a tre anni.
Articolo38 pena accessoria – pubblicazione della sentenza
Art 39 Sanzioni amministrative – omissis
Nel Tu invece si rileva la volontà del Legislatore di graduare, anche sotto
il profilo “qualitativo”, la reazione sanzionatoria in relazione al particolare
disvalore del fatto illecito, ed in omaggio ai principi di sussidiarietà del
precetto penale e di necessaria lesività della condotta incriminata. Cio’
contrariamente alla impostazione delle disposizioni penali introdotte dalla l.
675/1996 che sono state fatte oggetto di condivisibili rilievi critici da parte
delle voci più sensibili della dottrina.
Breve cenno alle violazioni amministrative (Titolo III, capo I)
Articolo 161 (Omessa o inidonea informativa all’interessato)
Articolo 162 (Altre fattispecie) 1. La cessione dei dati in violazione di
quanto previsto dall’articolo 16, comma 1, lettera
Articolo 163 (Omessa o incompleta notificazione)
Articolo 164 (Omessa informazione o esibizione al Garante)
Articolo 165 (Pubblicazione del provvedimento del Garante)
Articolo 166 (Procedimento di applicazione)
Anche la disciplina del procedimento di applicazione delle sanzioni
amministrative appena citate, prevista dall’articolo 166 Tu, appare
sostanzialmente conforme a quella di cui all’articolo 39, comma terzo, legge
675, il quale, in virtù delle modifiche introdotte dal D.Lgs 467/01, normativa
entrata in vigore il 1° febbraio 2002, già contemplava l’assegnazione dei
proventi derivanti dall’irrogazione delle sanzioni de quibus al fondo
appositamente stanziato per le spese di funzionamento dell’ufficio del Garante.
L’unica innovazione di rilievo, introdotta dall’intervento normativo in esame,
concerne l’espressa previsione, all’articolo 165, dell’applicazione facoltativa
della sanzione amministrativa accessoria della pubblicazione
dell’ordinanza-ingiunzione, per intero o per estratto, in uno o più giornali

Giova rilevare come siano presidiate dalla sanzione amministrativa le condotte
che hanno l’effetto di ostacolare l’attività istruttoria del Garante – laddove,
invece, nel caso di inosservanza dei provvedimenti del Garante, di cui
all’articolo 170, si assiste ad un ricorso alla sanzione penale.
Nel nostro ordinamento, a dire il vero, a differenza di quanto verificatosi
negli altri Paesi dell’Unione, si registra, una netta preferenza per il ricorso
allo strumento sanzionatorio penale, anzichè a quello di natura amministrativa.
E cio’ accade proprio in un settore dell’ ordinamento che rappresenta il terreno
tipico di applicazione della sanzione amministrativa proprio perchè affidato al
governo della pubblica amministrazione.
Invero, un’analisi complessiva della normativa di nuovo conio evidenzia
chiaramente la marginalità del ruolo attribuito alla sanzione amministrativa, a
favore, da un lato, di una sorta di “panpenalizzazione” di condotte meramente
ostative del corretto adempimento delle funzioni del Garante, e, dall’altro, per
le violazioni ritenute di più lieve disvalore, di un ampio ricorso a misure
ripristinatorie irrogate dall’ Autorità Garante.
Viene, in tal modo, a delinearsi un sistema “bipolare”: da un lato l’intervento
penale, dall’altro il ricorso agli strumenti coercitivi del Garante, che fanno
registrare uno scarso utilizzo della sanzione amministrativa.
Laddove, invece, una valorizzazione in tal senso della sanzione amministrativa
apparirebbe, peraltro, in linea con i criteri che hanno ispirato il Progetto di
depenalizzazione -elaborato recentemente nell’ambito della c.d. Commissione
Nordio- diretto proprio a trasformare in illeciti amministrativi le fattispecie
contravvenzionali di reato, “sostanzialmente non più conformi all’attuale
sensibilità penale”.
Veniamo adesso alle sanzioni penali:
Articolo 167 T.U. Trattamento illecito di dati – omissis
Articolo 35 L.675/96 Trattamento illecito di dati personali
Giova sottolineare il passaggio, cosi’ determinatosi, da un illecito modellato
sugli stilemi del “delitto aggravato dall’evento” ad un delitto caratterizzato
dalla condizione obiettiva di punibilità di un nocumento ai diritti
dell’interessato cagionato dal fatto illecito.
Nella precedente formulazione prevista dalla L.n. 675/96 vi si è ravvisato un
modello di illecito di pericolo ed il nocumento, ovvero il “danno” quale
circostanza aggravante.
Da notare come il legislatore abbia richiesto la sussistenza sia del dolo
specifico (“al fine di trarre per sè o per altri profitto o per recare ad altri
un danno” …) che della condizione di punibilità .
L’ultimo periodo del primo comma dell’articolo 167 del Tu prevede l’ipotesi
della realizzazione della comunicazione o diffusione di dati personali (“per
comunicazione si intende dare conoscenza dei dati personali ad uno o più
soggetti determinati diversi dall’interessato; per diffusione, invece, dare
conoscenza dei dati a soggetti indeterminati”). Pertanto tale condotta di
trattamento illecito di dati appare di più pregnante offensività, in ragione
della natura “divulgativa” del trattamento. Alla luce di quanto appena
osservato, non è certamente condivisibile una diversa interpretazione della
fattispecie di cui al secondo periodo del primo comma dell’articolo 167, diretta
a configurare l’inciso “se il fatto consiste nella comunicazione o diffusione”
alla stregua di una circostanza aggravante. Siffatta lettura determinerebbe,
infatti, un’inammissibile forzatura del dettato normativo, che, al secondo
periodo del primo comma, non presenta l’inciso “se dal fatto deriva nocumento”.
Cio’ posto, deve ritenersi la previsione di due diverse ipotesi di reato:il
trattamento illecito di dati personali, dal quale derivi un nocumento (primo
periodo del primo comma dell’articolo 167), ed il trattamento illecito di dati
realizzato mediante comunicazione o diffusione (articolo 167, primo comma,
secondo periodo).
In tema di bene giuridico tutelato s’impone, tuttavia, una precisazione
La scelta di subordinare la punibilità del reato alla derivazione di un
nocumento all’interessato evidenzia, indubbiamente, l’intenzione di tutelare il
diritto individuale alla protezione della vita privata ed al controllo dei dati
personali.
Tuttavia, se unico oggetto della tutela nelle incriminazioni de quibus
fosse stato il diritto alla riservatezza tout court, cio’ avrebbe dovuto
indurre il legislatore a prevedere per tali reati la procedibilità a querela
e non d’ufficio .
Ancora una volta, emerge la natura “anfibia” di detti illeciti, in bilico tra la
tutela di mere funzioni e la protezione del bene giuridico individuale.
Ad abundantiam, se l’unico bene tutelato dalla norma in parola fosse
veramente identificabile nella privacy dovrebbe concludersi che, trattandosi di
bene essenzialmente disponibile, “sia da escludere una lesione dello stesso
penalmente rilevante qualora il titolare abbia validamente acconsentito a fatti
idonei a ledere o a mettere in pericolo il bene medesimo”. A tal proposito va
considerato come il consenso dell’interessato non assuma rilevanza quale
scriminante, ai sensi dell’articolo 50 Cp, configurandosi invece come causa di
esclusione della tipicità del fatto.
La norma di cui all’articolo 23 del Tu, richiamata come parametro di liceità
dall’articolo 167, prevede che “il trattamento di dati personali da parte di
privati o di enti pubblici economici è ammesso solo con il consenso espresso
dell’interessato”, e che tale consenso “puo’ riguardare l’intero trattamento
ovvero una o più operazioni dello stesso”, e che infine esso si considera
validamente prestato solo se è espresso “liberamente e specificamente in
riferimento ad un trattamento chiaramente individuato, se è documentato per
iscritto e se sono state rese all’interessato le informazioni di cui
all’articolo 13”.
Ci si chiede, allora, se effettivamente tale fattispecie incriminatrice sia
rivolta alla protezione della vita privata del singolo, ovvero all’
efficientismo dell’ordinamento settoriale facente capo al Garante.
La falsità nelle dichiarazioni e notificazioni al Garante (articolo 168)
La fattispecie di cui all’articolo 168 del Testo Unico, rubricata “Falsità
nelle dichiarazioni e notificazioni”, recita: «Chiunque, nella notificazione di
cui all’articolo 37 o in comunicazioni, atti, documenti o dichiarazioni resi o
esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti,
dichiara o attesta falsamente notizie o circostanze o produce atti o documenti
falsi, è punito, salvo che il fatto costituisca più grave reato, con la
reclusione da sei mesi a tre anni».
Il reato si perfeziona nel momento in cui vengono rilasciate le false
dichiarazioni o in cui vengono prodotti gli atti o i documenti falsificati.