Profili penali del codice della privacy

• Autore: Pasquale Troncone
• Pagine: 1147-1155

Page 1147

@Introduzione

Dopo circa otto anni dalla entrata in vigore della legge n. 675/96 che per la prima volta ha apprestato tutela legale alle attività di trattamento dei dati identificativi della persona, che sia persona fisica o persona giuridica, il legislatore ritorna sulla materia con un intervento normativo particolarmente ampio e significativo.

Nasce in questo modo il «Codice della privacy», un complesso sistema di norme, un vero e proprio Testo Unico, con il quale viene previsto un modello legislativo di tutela integrata, poiché i dati personali diventano contemporaneamente oggetto di protezione da parte degli ordinamenti civile, amministrativo e penale.

L'intervento si pone nel solco delle recenti legislazioni disettore e si caratterizza per il fatto che anche in questo caso viene istituita un'Autorità amministrativa denominata «Garante della privacy». Figura, quest'ultima, che nasce su sollecitazioni delle direttive europee il cui indirizzo di carattere politico-amministrativo è rivolto alla creazione di centri di controllo e di repressione dei fenomeni devianti, con funzioni indipendenti dai poteri centrali dello Stato e dai suoi organi giurisdizionali. L'idea di fondo di questo modello legislativo è di privilegiare finalità di completezza del settore regolamentato, per cui l'intera materia riceve la disciplina di aggiornamento dalle disposizioni attuative e dai provvedimenti del Garante, al quale peraltro sono riconosciuti poteri di vigilanza e di intervento di tipo interdittivo-punitivo nei confronti di coloro che si renderanno responsabili della violazione delle norme e delle procedure standardizzate.

Sul versante penale il legislatore, attraverso le nuove norme incriminatrici previste dall'art. 167 all'art. 171 C.d.p., definisce le varie figure di reato, anche se in parte innovando le precedenti contenute nella legge abrogata. Queste norme assumono la veste di norme di chiusura del sistema, se si vuole di extrema ratio, come l'ultimo avamposto dell'intervento punitivo dello Stato.

Il Codice raccogliendo anche gli inviti della dottrina, ha peraltro apportato significativi correttivi alle diverse fattispecie di reato, anche attraverso il proposito di abbandonare il modello dei reati di pericolo per recepire, anche se solo in parte, quello dei reati con un evento di danno concreto.

@1. La tutela della privacy nella storia della legislazione italiana

Con l'adozione del «Codice della privacy», approvato con D.L.vo 30 giugno 2003 n. 196 ed entrato in vigore il 1º gennaio 2004 il legislatore italiano ha garantito la piena attuazione alle direttive comunitarie in materia di protezione e tutela dei dati personali.

In particolare la prima Direttiva fonte di obbligo per gli Stati membri della Comunità Europea era la n. 95/46/CE del 24 ottobre 1995, adottata dal Parlamento Europeo e dal Consiglio, la quale si limitava a stabilire i criteri di massima per la creazione e la gestione degli archivi contenenti dati personali ¹.

Una seconda importante Direttiva di settore, la n. 2002/ 21/CE del 7 marzo 2002, forniva il primo tentativo di disciplina organica del comparto informatico, oggetto di una continua ed incessante evoluzione tecnologica e che frequentemente impone l'adattamento e l'aggiornamento dei supporti tecnici necessari per le comunicazioni elettroniche e telematiche. In quello stesso anno entrava in vigore la Direttiva n. 2002/58/CE del 12 luglio 2002 ad arricchire ulteriormente il quadro della tutela ².

In realtà il progressivo intervento normativo comunitario non si presentava estraneo alla tradizione del nostro ordinamento giuridico, tenuto conto del fatto che precedentemente la L. 1 aprile 1981 n. 121 aveva già istituito una banca-dati presso il Ministero dell'interno, con compiti di gestione e di conservazione di dati personali relativi a procedimenti penali in corso e ad informazioni assunte dagli organi di polizia giudiziaria ³. Quella legge, peraltro, stabiliva i criteri di opportunità per la conservazione delle informazioni personali ed inoltre conteneva le indicazioni di una specifica procedura per richiederne la cancellazione e la rimozione ⁴. Prevedeva, inoltre, due distinte ipotesi di reato, agli artt. 8 e 12, a carico di chi avesse illegittimamente fatto uso delle informazioni e dei dati ivi contenuti.

Un caso analogo di banca-dati, seppure introdotto molto più tardi, è quello rappresentato dall'archivio informatico istituito presso la Banca d'Italia, con l'art. 36 del D.L.vo 30 dicembre 1999 n. 507, tra i cui compiti rientra la segnalazione degli assegni bancari e postali emessi senza provvista o privi della necessaria autorizzazione del trattato. E, cosa ancora più importante, vengono inseriti i dati personali dei soggetti ai quali è stata revocata l'autorizzazione ad emettere assegni o a fare uso di carte di credito, con l'indicazione dei provvedimenti giudiziari o amministrativi adottati ai loro danni. Viene previsto, altresì, al comma 2, che la Banca d'Italia, quale titolare del trattamento, possa avvalersi per la gestione di un ente esterno ⁵.

Sempre nel solco della storia della legislazione italiana va segnalata la disciplina dello «Statuto dei lavoratori», adottata con L. 20 maggio 1970 n. 300, che agli artt. 4 e 8 contiene disposizioni volte alla tutela della vita privata del lavoratore, della sua condotta di lavoro, con il divieto di installare o di utilizzare sistemi di controllo a distanza con apparecchiature o impianti audiovisivi ⁶. A tale proposito, si vedrà innanzi, come il Codice ha stabilito un rigido rinvio sistematico a quella normativa.

Page 1148

In riferimento, infine, ai cc.dd. interessi procedimentalizzati è degno di nota la rilevanza del contenuto della disciplina dell'art. 24, punto D, della legge 7 agosto 1990 n. 241 che stabilisce il divieto di accesso agli atti qualora vada salvaguardato il diritto alla riservatezza dei dati o delle informazioni relative ad altri soggetti interessati.

Si è già detto che il primo intervento normativo in materia di tutela dei dati personali, anche per adempiere ai doveri di attuazione della prima direttiva comunitaria, seppure intervenuto con ritardo, diede vita alla L. 31 dicembre 1996 n. 675 che apprestava per la prima volta in maniera articolata tutela civile, amministrativa e penale, all'attività di ricerca, raccolta e trattamento di dati riguardanti la persona ⁷.

Dopo alcuni anni quella legge diveniva oggetto di una decisa opera di riforma imposta dalla evoluzione del settore, per cui il legislatore italiano interveniva nuovamente con il D.L.vo 28 dicembre 2001 n. 467 ⁸. Tale iniziativa, soprattutto in relazione alla disciplina penale della legge, aveva come obiettivo due diverse linee di intervento. Il legislatore si proponeva di integrare le vigenti fattispecie di reato introducendo nuove ipotesi di incriminazioni, come si vedrà specificamente in seguito, ed intendeva depenalizzare la fattispecie rubricata sotto l'art. 34 della L. 675/96.

Evidentemente tali modifiche, forse poco meditate e comunque necessitate dalle emergenze comunitarie, avevano trascurato una serie di ulteriori esigenze a cui si sono aggiunti nuovi riferimenti normativi che sono alla base dell'attuale normativa codicistica.

Sul piano generale si aggiunga che il 7 dicembre 2000 è stata varata a Nizza la «Carta dei diritti fondamentali dell'Unione Europea» che rappresenta la prima solenne affermazione dell'attuale compagine della Comunità Europea dopo la «Convenzione europea dei diritti dell'uomo» del 1950 ⁹, con la quale, tra gli altri diritti personali, è stato sancito con l'art. 8 il principio di «Protezione dei diritti di carattere personale» ¹⁰.

Va subito notato che con il «Codice della privacy» il legislatore interviene soprattutto su determinazioni e sollecitazioni normative esterne al sistema legislativo italiano ¹¹. Questa opera di etero-integrazione, o di adempimento di un «impegno normativo», pone certamente problemi di inquadramento sistematico sia dell'intera materia che delle nuove fattispecie incriminatrici. In secondo luogo, si deve costatare ancora una volta l'assenza di un disegno organico e complessivo della tutela della persona, anche a livello sovranazionale, che lasci trasparire attraverso il tessuto legislativo il rispetto dei principi fondamentali della materia penale e quali reali esigenze di offensività hanno dato vita all'intervento del legislatore.

Il primo problema investe esclusivamente il tema delle fonti comunitarie e gli effetti della loro ricaduta automatica nel diritto interno, ma soprattutto quale ruolo riconoscere alle fonti sovranazionali in materia penale. Attualmente l'aspetto della vincolatività della fonte appare superato dal fatto che la direttiva europea deve essere necessariamente recepita da un provvedimento legislativo italiano. Ciò che, invece, riveste comprensibili perplessità è se esiste un vincolo di recepimento per le disposizioni normative comunitarie distoniche rispetto all'assetto del sistema della legislazione interna. In altri termini, la mancanza di una disciplina che regola i principi comuni e fondamentali sovranazionali potrebbe creare, e talora crea, occasione di a-sistematicità della normativa di settore all'interno della legislazione del singolo Stato membro, con il pericolo di legittimare antinomie normative e, dunque, favorire incertezze applicative. Appare evidente che tali effetti negativi si traducono in una ricaduta automatica sui principi fondamentali dell'ordinamento interno che informano la materia penale e che indirettamente possono concretizzare la violazione dei principi di garanzia contenuti nella Carta costituzionale ¹².

@2. La funzione di vigilanza del Garante come oggetto della tutela penale

La seconda questione, direttamente dipendente dalla prima relativa alle fonti normative, è quella dei contenuti e dei caratteri di offensività delle nuove figure di reato previste nel «Codice della privacy».

In verità un primo, sia pure timidissimo, tentativo di...