1. I presupposti dell'intervento normativo

Su proposta del Presidente del Consiglio, e dei Ministri per la funzione pubblica e per le politiche comunitarie, in data 27 giugno 2003 è stato definitivamente approvato dal Consiglio dei Ministri il decreto legislativo n. 196, Testo Unico in materia di protezione dei dati personali, denominato significativamente "Codice"¹ della privacy - pubblicato nella Gazzetta Ufficiale del 29 luglio 2003, Serie generale n. 174, Supplemento ordinario n. 123/L -, dichiaratamente "ispirato all'introduzione di nuove garanzie per i cittadini, alla razionalizzazione delle norme esistenti e alla semplificazione"².

Com'è noto, nel 1996, in seguito ad un iter normativo che ha interessato l'arco di diverse legislature, il legislatore italiano ha varato il primo testo di legge (l. 31 dicembre 1996, n. 675) di carattere generale, in materia di tutela della persona rispetto al trattamento dei dati personali, approvando contestualmente un'articolata legge delega - la n. 676 - finalizzata a rendere possibile la successiva integrazione e, qualora necessario, la modificazione delle relative disposizioni normative.

Tale delega ha rappresentato, per sei anni, la base legislativa di riferimento, la quale ha permesso il graduale completamento del sistema normativo di disciplina della tutela dei dati personali, nonché la parziale correzione di taluni suoi punti, resasi necessaria per l'attuazione dei principi affermati nel 1996, alla luce delle indicazioni provenienti dall'esperienza applicativa, nonché dalla legislazione comunitaria e dagli accordi internazionali in materia, successivamente intervenuti.

Il termine previsto per l'adozione dei decreti legislativi integrativi e correttivi della delega è poi scaduto in data 31 dicembre 2001, pertanto il legislatore ha investito l'esecutivo del compito di adottare un testo unico delle norme in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali, e delle disposizioni "connesse", coordinando la normativa previgente, ed apportandovi le necessarie integrazioni e/o modificazioni, al precipuo fine di "assicurarne la migliore attuazione" (art. 1, comma quarto, legge 24 marzo 2001, n. 127).

Tale ultimo richiamo alle integrazioni e modificazioni delle norme riunite nel Testo Unico - necessarie alla migliore attuazione sia delle disposizioni strettamente concernenti la protezione dei dati personali, sia di quelle ad esse connesse - rappresenta l'esatto pendant dei criteri enunciati dall'art. 2 della l. 676/1996, i quali avrebbero orientato il legislatore delegato nel predisporre i vari interventi di adeguamento delle norme di cui alla legge 675/1996, in relazione alle questioni di diritto sostanziale, agli aspetti sanzionatori degli illeciti ivi previsti, nonché ai profili organizzativo-istituzionali dell'Ufficio del Garante.

Veniva in tal modo a configurarsi la necessità di giungere ad una reductio ad unum della disciplina in subiecta materia, la quale, lungi dall'esaurirsi in una ricognizione meramente compilativa delle disposizioni previgenti, presupponesse ponderati interventi di armonizzazione ed adeguamento delle stesse, nel rispetto delle scelte di fondo operate dall'organo legislativo, dei principi enunciati dalla legge delega, della normativa internazionale e comunitaria³ di riferimento, nonché con adeguata considerazione dei risvolti applicativi, derivanti dalle modifiche normative.

Conformemente agli orientamenti⁴ espressi dal disegno di legge di semplificazione 2001⁵, in tema di riassetto normativo e di codificazione - già approvato dalle Camere, ed attualmente in fase di nuovo esame, in seguito al rinvio da parte del Presidente della Repubblica - il lavoro della Commissione di studio, autorevolmente presieduta dal Prof. Cesare Massimo Bianca, si è indirizzato verso la stesura di un testo unico di rango propriamente legislativo - anziché "misto" (ossia di tipo legislativo-regolamentare), contrariamente all'uso invalso in precedenza - con la conseguente esigenza di assorbimento, o di eliminazione, di talune disposizioni di matrice regolamentare e con la contestuale previsione di un disciplinare tecnico per le c.d. misure minime di sicurezza, il quale rappresenta uno strumento sufficientemente duttile, e suscettibile di adeguamento, in relazione all'evoluzione del settore di riferimento, mediante l'emanazione di decreti ministeriali non regolamentari.

In sede di relazione al decreto legislativo in parola, si precisa, peraltro, come il rango legislativo della fonte di recente conio non venga intaccato dalla prevista allegazione, - imposta, del resto, dalla disposizione di cui all'art. 20, comma quarto, del d.lgs. n. 467/2001 - alla fine dell'articolato, ed a scopo conoscitivo, degli esistenti codici deontologici e di "buona condotta", il rispetto delle cui disposizioni restando, per espressa previsione introdotta da precedenti decreti legislativi, essenziale al fine di accertare la liceità del trattamento dei dati personali ivi disciplinato.

Alla stregua dell'opinione espressa dal medesimo legislatore delegato, nella relazione al testo normativo de quo, l'adozione di un testo unico di matrice puramente legislativa, anziché "mista", oppure, a fortiori, regolamentare tout court, si rivelerebbe più consona al rango del bene giuridico protetto dalle norme introdotte, nonché alle finalità perseguite dall'intervento normativo in questione.

In relazione al primo aspetto testé accennato, appare opportuno sottolineare come la portata della norma di cui all'art. 1, significativamente intitolato "Diritto alla protezione dei dati personali", sia stata oggetto di una particolare "enfasi declamatoria" da parte del legislatore delegato.

Ed infatti, in sede di commento al citato articolo, all'interno della relazione, si afferma che "l'art. 1 introduce nell'ordinamento il "diritto alla protezione dei dati personali", diritto fondamentale della persona, autonomo rispetto al più generale diritto alla riservatezza, già richiamato dall'art. 1 della legge n. 675/1996".

Si precisa, poco più oltre, che siffatto diritto "tiene conto delle molteplici prerogative legate al trattamento dei dati personali, anche oltre quelle attinenti al riserbo ed alla tutela della vita privata", allineando pertanto la disciplina italiana al quadro normativo comunitario che, all'interno della Carta di Nizza all'art. 8, già sancisce espressamente tale diritto fondamentale⁶.

Per quanto concerne il secondo profilo cui si accennava supra, l'art. 2 del d.lgs. 196/2003 statuisce che il codice è diretto a garantire che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell'interessato, ed in particolare del diritto alla riservatezza e del "nuovo" diritto alla protezione dei dati personali.

Il diretto riferimento, operato dalla disposizione in esame, all''iinteressato, elemento normativo suscettibile di una più ampia applicazione rispetto alla dizione '"persone fisiche o giuridiche" di cui al primo comma dell'art. 1 della legge n. 675/1996, consentirebbe pertanto la tutela di diritti fondamentali eventualmente riconosciuti in altra sede dall'ordinamento, anche a soggetti diversi da persone fisico-giuridiche.

Nella medesima prospettiva, l'art. 3 introduce il "principio di necessità" nel trattamento dei dati personali, alla stregua del quale, sin dal momento della loro configurazione, i sistemi informativi ed i software devono essere predisposti in modo da assicurare che i dati personali o identificativi siano utilizzati solo allorché indispensabili per il perseguimento delle finalità consentite, e non, invece, quando sussista la possibilità di raggiungere i medesimi obiettivi mediante l'uso di dati anonimi, o che comunque permettano di identificare l'interessato in una maniera meno "invasiva", più circoscritta.

Tale principio sembra integrare, con specifico riferimento alla configurazione stessa dell'ambiente nel quale i dati sono trattati, il principio di pertinenza e non eccedenza, già operante in relazione al trattamento dei medesimi dati, ai sensi dell'art. 9 l. n. 675/1996, e previsto, in termini simili, anche all'interno dell'ordinamento tedesco.

Rispetto alla corrispondente previsione della legge 675, di cui al combinato disposto degli artt. 2, 5 e 6, l'art. 5 del d. lgs. 196 introduce una novità di non poco momento, per quanto concerne il diritto nazionale applicabile.

Ed infatti, come autorevolmente osservato in relazione all'art. 5 della legge 675, il dettato normativo di tale disposizione appariva inequivocabilmente diretto a ribadire che "il legislatore...ha optato per una prospettiva territoriale tout court, di dubbia compatibilità con il sistema comunitario, non solo per la vocazione "universale" della legge italiana, (tendenzialmente in conflitto con i principi di libera prestazione dei servizi in ambito comunitario), ma soprattutto per il contrasto con la normativa comunitaria...ove si consideri che la Direttiva 95/46...proprio al fine di evitare il possibile cumulo delle leggi applicabili e facilitare al contrario la libera circolazione di dati all'interno della comunità, dispone che ciascuno Stato membro debba prevedere che la propria legge si applichi al trattamento di dati personali soltanto laddove questo sia effettuato da un soggetto stabilito nel proprio territorio (art. 4.1 Direttiva 95/46) "⁷.

Del resto, non si è mancato di rilevare⁸ come la regola che prevedeva l'applicazione della legge italiana a prescindere dal luogo nel quale si trovasse l'archivio di dati personali - ben potendo esso situarsi all'estero - ed indipendentemente dalla nazionalità o dal luogo di residenza del titolare del trattamento e dell'interessato, purché in Italia si fosse svolta una qualunque operazione riconducibile alla nozione di "trattamento", apparisse "perfettamente in linea con l'asse portante della legge (...), che ruota istituzionalmente attorno alla figura del Garante (...), organo ad hoc chiamato a svolgere il compito di protezione dei dati, ed istituito per far fronte alla "necessità di un controllo sociale delle banche-dati, imperniato sulla trasparenza dei flussi di informazione e su altri valori-tipo propri di una società democratica", in considerazione anche del fatto che "la frammentarietà dei controlli individuali non permette una visione d'insieme degli effetti che la circolazione delle informazioni personali determina sulle libertà dei singoli".

Maggiore consapevolezza del carattere transnazionale, sovente assunto dalle operazioni disciplinate dalla normativa in esame, mostra invece il legislatore delegato del 2003, il quale, chiarendo, all'art. 5, che il codice disciplina il trattamento di dati personali, effettuato da chiunque sia stabilito nel territorio dello Stato (oppure effettuato in un luogo comunque soggetto alla sovranità dello Stato), anche qualora riguardi dati detenuti all'estero, completa il recepimento - già avviato con il d.lgs. n. 467/2001 - del principio comunitario di "stabilimento" del titolare del trattamento, indicato dall'art. 4 della direttiva 95/46/CE, quale criterio di applicazione della normativa nazionale.

2. Tecniche di tutela penale

L'impostazione di fondo del Testo Unico - in linea di principio condivisibile - si basa sulla creazione di un sistema di tutela integrato, fondato su una disciplina di settore, il cui organo di controllo è l'Autorità Garante, dotata di ampi poteri, da esercitarsi, tanto in via autonoma, quanto coordinata con paradigmi "tradizionali" di tutela giurisdizionale ed amministrativa.

Al di là di talune innovazioni, pur di notevole rilievo, ma che non interessano strettamente la presente relazione⁹, in questa sede appare significativo sottolineare come il decreto legislativo in esame, a fronte di un generale inasprimento delle sanzioni amministrative - già contemplate dall'art. 39 della legge n. 675/1996, e ritenute, anche in rapporto al livello di altre sanzioni amministrative pecuniarie introdotte in altri settori dell'ordinamento, tanto esigue da non costituire un efficace deterrente¹⁰, sol che si considerino le particolari condizioni economiche dei titolari cui, sovente, sono irrogate le sanzioni medesime" - abbia introdotto modifiche di non poco momento per quanto concerne gli illeciti penali, già disciplinati al Capo VIII (artt. da 34 a 38) della legge 675, ed ora racchiusi invece nel Capo II, Titolo III della Parte Terza del codice privacy, agli artt. 167-172.

Appare certamente condivisibile la scelta, operata dal legislatore delegato, di graduare - anche sotto il profilo "qualitativo", inerente al tipo di sanzione prevista - la reazione sanzionatoria, in relazione al particolare disvalore del fatto illecito, ed in omaggio ai principi di sussidiarietà del precetto penale e di necessaria lesività della condotta incriminata.

In proposito, appare opportuno osservare come le disposizioni penali introdotte dalla l. 675/1996 siano state oggetto di condivisibili rilievi critici da parte delle voci più sensibili della dottrina¹², in particolare, si è sottolineato¹³ come le predette norme disattendessero in misura notevole le Raccomandazioni formulate all'esito del XV Congresso Internazionale di Diritto Penale, tenutosi a Rio de Janeiro dal 4 al 10 settembre 1994¹⁴.

In tali Raccomandazioni si è avuto modo di ribadire espressamente - a fronte del preliminare riconoscimento dell'importanza della protezione della privacy¹⁵ dai nuovi pericoli scaturienti dalla diffusione della tecnologia digitale - la necessità di orientare l'intervento penale in materia alla luce dei principi di sussidiarietà ed extrema ratio: "Le previsioni penali dovrebbero essere usate soltanto quando il diritto civile o il diritto della protezione dei dati non garantiscano adeguati rimedi giuridici (...). L'Associazione internazionale di diritto penale propone (...) che le previsioni penali nel settore della privacy debbano, in particolare: essere usate solo in casi gravi, in specie quelli relativi a dati altamente sensibili o concernenti informazioni confidenziali, già tradizionalmente protette dalla legge", raccomandando inoltre di "stabilire una differenza fra i vari livelli di gravità delle offese e rispetto all'elemento della colpevolezza, e di consentire alle autorità procedenti di tenere conto, per taluni tipi di questi reati, della volontà della vittima circa la loro perseguibilità".

3. Violazioni amministrative

In merito agli illeciti presidiati da sanzioni amministrative, ora previsti dal Capo I, Titolo III, Parte III del Testo Unico, agli artt. 161-166¹⁶, devesi osservare come il decreto legislativo n. 196 non abbia operato - come invece auspicato in dottrinat¹⁷ - alcun mutamento nell'impostazione di fondo, cui già si ispirava la legge n. 675.

Ed infatti, la disposizione di cui all'art. 39 di tale legge - significativamente rubricata "Sanzioni amministrative" - pur conservando pressoché intatto il dettato normativo, è stata "scorporata" nelle autonome fattispecie di omessa o inidonea informativa all'interessato (art. 161 T. U., ex art. 39, comma secondo, primo periodo, l. 675), di violazione della disposizione di cui all'art. 84, comma primo, T. U. - relativa alla disciplina della comunicazione di dati idonei a rivelare lo stato di salute dell'interessato - (art. 162, comma secondo, T. U., ex art. 39, comma secondo, l. 675, come modificato dal d.lgs. 467/2001), e di omessa informazione o esibizione al Garante (art. 164 attuale, ex art. 39, comma secondo, secondo periodo,l. 675).

La fattispecie di cessione dei dati in violazione della disposizione di cui all'art. 16, comma primo, lett. b) - concernente la disciplina della cessione dei dati per finalità compatibili con quelle per i quali gli stessi erano stati raccolti -, o "di altre disposizioni in materia di disciplina del trattamento dei dati personali", ora prevista dal primo comma dell'art. 162, è stata integralmente ripresa dalla disposizione di cui all'art. 16, terzo comma, l. 675, salvo per quanto riguarda la sanzione civile della nullità, precedentemente comminata per l'ipotesi di cessione illecita di dati, che non figura invece nell'attuale formulazione della norma.

Anche la disciplina del procedimento di applicazione delle sanzioni amministrative appena citate, prevista dall'art. 166 T. U., appare sostanzialmente conforme a quella di cui all'art. 39, comma terzo, l. 675, il quale, in virtù delle modifiche introdotte dal d.lgs. 467/2001, già contemplava l'assegnazione dei proventi derivanti dall'irrogazione delle sanzioni de quibus al fondo appositamente stanziato per le spese di funzionamento dell'ufficio del Garante, ai sensi del previgente art. 33, comma secondo (ora 156, comma decimo).

L'unica innovazione di rilievo, introdotta dall'intervento normativo in esame, concerne l'espressa previsione, all'art. 165, dell'applicazione facoltativa della sanzione amministrativa accessoria della pubblicazione dell'ordinanza-ingiunzione, per intero o per estratto, in uno o più giornali indicati nel provvedimento che applica la stessa, nelle ipotesi, appena evidenziate, di cui agli artt. 161, 162 e 164. Detta previsione non riguarda, ovviamente, la fattispecie di omessa o incompleta notificazione, di cui all'attuale art. 163, ove la sanzione accessoria è già contemplata come obbligatoria.

In linea generale, giova rilevare come siano presidiate dalla sanzione amministrativa le condotte che hanno l'effetto di ostacolare l'attività istruttoria del Garante - laddove, invece, nel caso di inosservanza dei provvedimenti del Garante, di cui all'art. 170, la previsione della sanzione penale sembra diretta a rafforzare la coercitività dei poteri provvedimentali dell'Autorità - nonché talune violazioni di disposizioni procedurali, poste a tutela dei diritti degli interessati, ipotesi rispettivamente riconducibili all'art. 164 da un lato, ed agli artt. 161 e 162, secondo comma.

Muovendo da una concezione non afflittiva della sanzione amministrativa¹⁸, è possibile configurare la sanzionabilità degli illeciti ricondotti all'interno della prima categoria, appena evidenziata, come diretta a tutelare l'interesse pubblico ad un compiuto svolgimento del procedimento istruttorio affidato al Garante, sia in sede amministrativa, sia in sede di tutela paragiurisdizionale dei diritti, dallo stesso esercitata; laddove la repressione delle violazioni inscritte all'interno della seconda categoria appare finalizzata alla salvaguardia del diritto dell'interessato a ricevere le dovute informazioni al momento della raccolta dei dati personali, ed a vedere rispettate le modalità di comunicazione dei dati che riguardano il proprio stato di salute, e, solo in via mediata, alla tutela di interessi di ascendenza meta-individuale¹⁹.

La norma di cui all'art. 162, primo comma, invece, pur potendosi sussumere all'interno della prima delle categorie appena menzionate, presenta tuttavia peculiari profili, dal momento che in tale ipotesi la sanzione amministrativa non concerne una mera violazione di regole procedurali - come nei casi, previsti rispettivamente dagli artt. 161 e 162, secondo comma, di violazione della disciplina in materia di informazioni che devono essere rese al momento della prestazione del consenso, e di modalità di comunicazione all'interessato dei dati personali idonei a rivelare lo stato di salute - ma appare piuttosto diretta a reprimere le condotte di cessione dei dati in violazione delle disposizioni in materia di trattamento dei dati; non solo, pertanto, nel caso di cessazione del trattamento, ipotesi per la quale, in aggiunta, è espressamente richiesto che venga rispettata la destinazione dei dati ceduti, ad un trattamento improntato a scopi analoghi alle finalità per le quali i medesimi erano stati raccolti.

Per quanto concerne il profilo strettamente sanzionatorio, appare opportuno osservare come il legislatore delegato abbia notevolmente inasprito le cornici edittali relative agli illeciti appena esaminati, sulla scia della scelta già operata dal d.lgs. 467/2001 - il quale aveva già attuato un notevole aumento del carico sanzionatorio nelle medesime ipotesi²⁰ -, al fine precipuo di potenziare l'efficacia deterrente delle norme in parola.

Se un intervento in tal senso era stato auspicato, anche in dottrina, in sede di primi commenti sulla l. 675²¹, spiace tuttavia rilevare come non sia stato accolto il suggerimento, avanzato da autorevoli voci dottrinali²², di prevedere sanzioni accessorie di tipo interdittivo, oltre a quelle pecuniarie; previsione che avrebbe presumibilmente determinato conseguenze maggiormente risolutive sul piano dell'efficacia generalpreventiva delle sanzioni, oltre che specialpreventiva, in relazione a soggetti i quali operano abitualmente il trattamento di dati personali.

La scelta operata dal legislatore delegato potrebbe forse spiegarsi, con riferimento alla peculiare natura dei poteri affidati al Garante²³, i quali, potendo esplicarsi non solo nelle fasi prodromiche alla lesione dell'interesse tutelato, ma anche in momenti successivi, al fine di evitare il prodursi di conseguenze ulteriori di eventuali violazioni, adottando persino, se del caso, misure di tipo risarcitorio-reintegrativo, mostrano una spiccata tendenza ad una funzionalizzazione dell'intervento di tale autorità a fini precipuamente specialpreventivi.

In tale contesto, la disciplina delle attribuzioni del Garante denota chiaramente il momento propulsivo-promozionale che caratterizza le stesse, non solo in sede di esercizio, da parte dell'Autorità, dei propri poteri normativo-regolamentari, ma anche in materia di controllo in merito all'osservanza della normativa di settore, e di repressione di condotte ritenute contrastanti con gli interessi a tutela dei quali è preposta - in tal senso appare particolarmente efficace la pubblicizzazione dei propri orientamenti -, esercitando, pertanto, una incisiva azione di indirizzo, che appare, rispetto al singolo comportamento "conformativa, ripristinatoria, repressiva, sanzionatoria e, rispetto ai possibili futuri comportamenti dei consociati, di moral suasion"²⁴.

Da un esame complessivo dell'apparato sanzionatorio di natura amministrativa, approntato dall'intervento normativo in esame, e dalla circostanza che solamente cinque fattispecie di violazione - a fronte dei ben più numerosi obblighi incombenti in capo ai soggetti tenuti all'osservanza delle disposizioni del Testo Unico - siano sanzionate sul piano amministrativo, peraltro con la sola sanzione pecuniaria, cui può eventualmente accedere la pubblicazione della ordinanza-ingiunzione, ai sensi dell'art. 165, emerge chiaramente l'intenzione del legislatore delegato di assegnare a tale tipo di tutela un ruolo (ancora) marginale nell'economia del sistema.

La necessità di prevedere adeguate sanzioni per le ipotesi di violazioni di norme di diritto interno, in materia di trattamento dei dati personali, è notoriamente imposta dalla normativa nazionale di rango primario e derivato.

Sul punto, l'art. 10 della Convenzione di Strasburgo, n. 108, del 28 gennaio 1981, in materia di protezione delle persone in relazione all'elaborazione automatica dei dati personali, impegna gli Stati firmatari a stabilire sanzioni e procedimenti - non necessariamente di natura giurisdizionale -di tutela dei diritti degli interessati, appropriati per le ipotesi di violazione della normativa interna di recepimento della medesima Convenzione.

Parimenti, l'art. 24 della direttiva 95/46/CE - sul punto non derogata dalla successiva direttiva 2002/58/CE, della quale la prima continua, pertanto, a rappresentare la base giuridica -, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei medesimi, impone di stabilire le sanzioni da applicare in caso di violazione della normativa di attuazione della stessa, rimettendo, pertanto, alla discrezionalità del legislatore nazionale la scelta concernente la natura delle sanzioni da adottare.

Nel nostro ordinamento, a differenza di quanto verificatosi negli altri Paesi dell'Unione, si registra, nel contesto normativo de quo, una netta preferenza per il ricorso allo strumento penale, anziché a quello di natura amministrativa, proprio in un settore dell'ordinamento che, in quanto affidato al governo della pubblica amministrazione, rappresenterebbe il terreno tipico di estrinsecazione di siffatto tipo di sanzione, per antonomasia diretto a tutelare gli interessi pubblici specifici, assegnati alla cura dell'amministrazione pubblica.

In dottrina, la preferenza accordata all'intervento penale, rispetto a quello di natura amministrativa, per le ipotesi di violazioni di disposizioni procedurali, è stata spiegata con riferimento al tipo di disciplina approntata dall'ordinamento per contemperare i diversi e confliggenti interessi coinvolti nell'attività di trattamento dei dati personali: in quanto tesa non ad attribuire diritti, ma a creare, piuttosto, un sotto-sistema subordinato a regolamentazione amministrativa, nel quale interessi contrapposti possano essere contemperati secondo parametri e procedure predeterminati - con la conseguente anticipazione della tutela degli interessi di riferimento, e la procedimentalizzazione della garanzia degli stessi - tale disciplina, ed il rispetto delle procedure di determinazione dei contrapposti interessi, assurgerebbero ad un rango tale da legittimare il ricorso alla reazione penale²⁵.

Tale soluzione comporta un'inevitabile erosione dell'apparato sanzionatorio amministrativo, non solo a favore delle sanzioni penali, ma anche a favore di misure di reazione dell'ordinamento "aventi funzione più che afflittiva, ripristinatoria dell'interesse leso"²⁶, tra le quali possono annoverarsi anche sanzioni civilistiche, quali, ad es., quelle di cui agli artt. 15 e 16, comma secondo, le quali rispettivamente prevedono una forma di responsabilità oggettiva per il risarcimento del danno e l'ineffficacia della cessione illecita.

Siffatte caratteristiche ricorrono, con sempre maggiore frequenza, nei contesti normativi di implementazione del diritto comunitario derivato, i quali presentano la tendenza a creare ambiti di disciplina settoriale, dalla logica quasi auto-referenziale, "nei quali il compito di sovrintendere alla correttezza dei procedimenti di composizione degli interessi potenzialmente configgenti, nonché di integrare con disposizioni regolamentari la disciplina degli stessi, e di verificarne l'attuazione, è affidato ad una figura atipica, ma non più inedita, nel nostro ordinamento, un'Autorità amministrativa indipendente"²⁷.

In tale contesto, assume un rilievo determinante, specialmente se confrontata con la portata applicativa del momento sanzionatorio, l'enfatizzazione - particolarmente evidente nel settore che ci occupa - della fase di vigilanza sull'attività oggetto di disciplina, tradizionalmente propria dell'apparato amministrativo, e che si sostanzia in primo luogo nell'adozione di misure limitative dell'attività vigilata, al fine di prevenire la causazione di danni sociali.

Se notoriamente la sanzione amministrativa rappresenta il momento della reazione a violazioni di un precetto - ed in ciò si distinguerebbe dalle altre misure di coazione di competentenza dell'amministrazione²⁸ - giova tuttavia ricordare come, specialmente in seguito all'entrata in vigore della l. 689/1981, sia prevalsa in dottrina un'accezione marcatamente restrittiva di detta nozione, tale da configurarla in termini afflittivi, ascrivendole pertanto natura di pena, come tale non assimilabile a misure aventi funzioni ulteriori, quale quella conservativa o ripristinatoria dell'interesse sostanziale leso dall'illecito²⁹.

Tale orientamento comporterebbe l'inevitabile ascrizione di un ruolo predominante alla sanzione amministrativa, intesa nei termini appena illustrati, soprattutto nei contesti nei quali il legislatore si preoccupi, in primis, di adottare misure idonee a garantire la soddisfazione dell'interesse protetto, in un momento prodromico all'infrazione ovvero, in un momento successivo, a fini reintegrativo-ripristinatori.

Tuttavia, il sistema sanzionatorio del Testo Unico sembra ispirato a criteri del tutto opposti rispetto a quelli posti a fondamento dell'impostazione testé richiamata.

Invero, un'analisi complessiva della normativa di nuovo conio evidenzia chiaramente la marginalità del ruolo, ivi attribuito, alla sanzione amministrativa, a favore, da un lato, di una "panpenalizzazione" di condotte meramente ostative del corretto adempimento delle funzioni del Garante, e, dall'altro, per le violazioni ritenute di più lieve disvalore, di un ampio ricorso a misure ripristinatorie, la cui irrogazione è rimessa alla medesima Autorità Garante.

Il complesso sanzionatorio che ne risulta appare, pertanto, caratterizzato, per un verso, dall'affidamento, ad un'Autorità indipendente, della tutela degli interessi protetti, mediante l'esercizio di poteri di intervento, preventivi o successivi - questi ultimi con valenza reintegrativa -, e, per l'altro, dal ricorso allo stigma penale per le ipotesi di violazione di norme di disciplina, di un settore rimesso al governo della pubblica amministrazione.

Viene, in tal modo, a delinearsi un sistema "bipolare" - scisso tra i due opposti "fuochi" dell'intervento penale, da un lato, e del ricorso agli strumenti coercitivi del Garante, dall'altro - al cui interno la sanzione amministrativa è invece scarsamente utilizzata.

In una prospettiva de jure condendo, sarebbe quindi opportuno un ripensamento di siffatta demarcazione delle diverse sfere di tutela, valorizzando il nucleo originario ed essenziale della sanzione amministrativa, intesa come reazione alla violazione di norme di un settore rimesso al governo della pubblica amministrazione, nell'ipotesi in cui le altre misure cautelari ripristinatorie non siano state efficaci, nonché introducendo sanzioni accessorie di tipo interdittivo, oltre a quelle pecuniarie.

Una valorizzazione, in tal senso, della sanzione amministrativa apparirebbe, peraltro, in linea con i criteri che hanno ispirato il Progetto di depenalizzazione - elaborato recentemente nell'ambito della c.d. Commissione Nordio³⁰ diretto a trasformare in illeciti amministrativi le fattispecie contravvenzionali di reato "sostanzialmente non più conformi all'attuale sensibilità penale"³¹.

Detto Progetto di depenalizzazione è dichiaratamente ispirato ad una accentuazione del principio di specialità che, in quanto esteso, dall'art. 9 della legge n. 689 del 1981, anche a norme appartenenti a settori diversi dell'ordinamento, comporterebbe "a prevalenza e quindi l'esclusiva applicabilità della disposizione punitiva amministrativa (statale) se "speciale" rispetto a quella penale; con la conseguenza che già oggi deve ritenersi esistente, in quanto normativamente sancito a livello legislativo, un unico sistema punitivo "integrato" di diritto pubblico, di cui il sistema penale in senso stretto e il sistema punitivo amministrativo costituiscono "sottosistemi"³².

4. L'omessa o incompleta notificazione (art. 163)

Alla luce di quanto appena osservato, devesi certamente salutare con favore la scelta, operata dal legislatore delegato nell'intervento normativo de quo, di proseguire³³ nell'opera di depenalizzazione³⁴ della fattispecie di omessa o incompleta notificazione³⁵, (rubricata dal previgente art. 34 l. 675 come "omessa o infedele notificazione"), attraendola pertanto nell'alveo della tutela amministrativa, come dimostra l'inserimento di tale norma, disciplinata all'art. 163, all'interno del Capo I del Titolo III della Parte Terza del Codice Privacy, intitolato significativamente "Violazioni amministrative".

La previgente disciplina della fattispecie de qua ha suscitato condivisibili critiche in dottrina³⁶, afferenti principalmente al deficit di offensività congenito al modello, ivi adottato, di reato omissivo proprio, nonché all'utilizzo del precetto penale in chiave meramente "sanzionatoria" di disposizioni extra-penali³⁷.

I due profili, apparentemente distinti, mostrano in realtà interessanti elementi di connessione.

In relazione alla fattispecie di omessa notificazione, devesi rilevare come la situazione tipica, dalla quale promana l'obbligo di attivarsi, effettuando la notifica al Garante secondo determinate modalità, ravvisasse i propri lineamenti essenziali nelle disposizioni di cui ai primi due commi dell'art. 7, al primo comma dell'art. 28 ed all'art. 16, comma primo.

La circostanza secondo cui dalla legge parrebbe potersi derivare un comando, che impone al titolare un obbligo giuridico di attivarsi, ponendo in essere gli adempimenti richiesti, sembrerebbe prima facie indicativa dell'objectiva voluntas legis di adottare un modello di reato omissivo proprio.

Sennonchè, dal momento che l'art. 7, cpv., disponeva che la notificazione dovesse essere effettuata preventivamente rispetto all'inizio del trattamento - con la conseguente identificazione del termine penalmente rilevante, entro il quale il soggetto avrebbe dovuto effettuare la notificazione, nell'attimo immediatamente precedente l'inizio del trattamento38 - dovrebbe concludersi nel senso che la fattispecie de qua "tendesse a porsi come mista di omissione e di azione, finendo per rilevare (anche) la condotta attiva, consistente nel(l'iniziare a) trattare dati in mancanza di previa notificazione al Garante"³⁹.

Comunque, il momento apicale della fattispecie, ora depenalizzata, restava quello omissivo, trattandosi di ipotesi nella quale "l'attività del soggetto è lato sensu lecita, ma vi è un onere di attivarsi per mettere in moto possibili meccanismi di controllo"⁴⁰.

Anche in relazione all'obbligo di notificazione al Garante del trasferimento di dati all'estero, di cui al "vecchio" art. 28, sino al 2001 penalmente sanzionato, ai sensi dell'art. 34 della legge 675, appare significativo rilevare come fosse la stessa condotta attiva del soggetto obbligato (il titolare) a rendere punibile l'omessa notifica: qualora, infatti, essa non fosse stata adempiuta, il titolare non pareva potersi ritenere responsabile ai sensi della norma in esame, sinché non fosse intervenuto il trasferimento.

Pertanto, in via di ricostruzione ermeneutica del fatto tipico, le fattispecie di omessa notificazione potevano essere lette "in chiave di più pregnante offensività, addirittura spostando in avanti il momento consumativo, all'inizio della condotta attiva, per così dire non previamente legittimata da tempestiva notificazione"⁴¹.

In siffatta maniera, sarebbe stato possibile ricondurre l'inizio del trattamento (o del trasferimento all'estero) dei dati all'interno della struttura tipica del fatto illecito, restituendo pertanto alla stessa, sia pure sul piano ermeneutico, quel minimum di offensività necessario all'interno di un sistema penale orientato, quale è (rectius: dovrebbe essere) il nostro, secondo i paradigmi della necessaria lesività della fattispecie oggetto di incriminazione, e che non potrebbe, del resto, tollerare illeciti costruiti sul modello della "mera disobbedienza" ad un comando legislativo⁴².

Il mancato assolvimento dell'obbligo di notificazione, equiparato, quanto al trattamento sanzionatorio, all'adempimento del medesimo, tuttavia mediante notificazione di "notizie incomplete o non rispondenti al vero", veniva inscritto all'interno di una medesima cornice edittale (reclusione da tre mesi a due anni)⁴³, eccetto per l'ipotesi di omessa o infedele notificazione della destinazione dei dati al momento della cessazione del trattamento, per la quale si prevedeva la più tenue sanzione della reclusione sino ad un anno.

L'ambito oggettivo di applicazione della fattispecie di cui all'art. 34 l. 675 - come modificato dall'art. 12 d.lgs. 467/2001 - viene sostanzialmente ripreso dalla nuova disposizione, in virtù del richiamo, in essa contenuto, alle norme di cui agli artt. 37 e 38 del Testo Unico, la violazione delle quali delinea il perimetro di oggettiva illiceità della condotta.

Tali norme, rubricate rispettivamente "Notificazione del trattamento" e "Modalità di notificazione" tracciano, in maniera sostanzialmente corrispondente alle previsioni di cui ai previgenti artt. 7 e 28, la disciplina degli adempimenti procedurali relativi alla notificazione del trattamento dei dati personali, inserendovi, altresì, talune innovazioni, resesi necessarie in conseguenza dell'intervento di semplificazione e razionalizzazione del sistema delle notificazioni, avviato dal decreto legislativo n. 467/2001, rivelatosi, peraltro, alla luce dell'esperienza applicativa, per taluni aspetti non strettamente indispensabile rispetto agli obiettivi di trasparenza perseguiti dalla direttiva 95/46/CE.

Le modifiche apportate dal combinato disposto degli artt. 37 e 38 del Testo Unico appaiono dirette a snellire gli adempimenti cui sono tenuti tanto i soggetti privati, quanto la Pubblica Amministrazione, restringendo il novero dei trattamenti soggetti a notificazione⁴⁴, e modificando l'impianto della precedente disciplina, la quale, com'è noto, prevedeva un obbligo di notificazione di più ampia estensione, individuando, contestualmente, talune ipotesi di esonero da detto obbligo⁴⁵, nonché forme semplificate di notificazione.

Al secondo comma dell'art. 37 si dispone, inoltre, che il Garante possa prevedere, con proprio provvedimento adottato in sede di controllo preliminare, ai sensi dell'art. 17, che siano soggetti a notificazione anche altri trattamenti, suscettibili di recare pregiudizio ai diritti dell'interessato, come è del resto in facoltà dell'Autorità individuare, nell'ambito dei trattamenti di cui al primo comma dell'art. 37, eventuali trattamenti inidonei, in concreto, a pregiudicare i diritti dell'interessato, sottraendoli pertanto all'obbligo di notificazione.

Un significativo elemento di semplificazione, rispetto alla disciplina di cui al "vecchio" art. 28, può riscontrarsi nell'eliminazione dell'obbligo di effettuare una specifica notificazione dei dati destinati all'estero.

Il titolare del trattamento, pertanto, deve provvedere alla notifica nei soli casi previsti dall'art. 37, con un adempimento richiesto una tantum - salvo, ovviamente, l'obbligo di notificare le eventuali modifiche del trattamento, ovvero la sua cessazione - e con unico atto, anche qualora il trattamento comporti un trasferimento di dati all'estero (art. 37, comma terzo).

Infine, una norma di chiusura completa l'attuazione del principio di massima trasparenza del trattamento - previsto, oltre che dal diritto comunitario derivato, dalla Convenzione del Consiglio d'Europa n. 108 del 1981 - disponendo che, in ogni caso, il titolare del trattamento il quale non sia tenuto all'obbligo di notificazione, ai sensi dell'art. 37, deve fornire all'interessato, qualora questi lo richieda, le notizie contenute nel modello predisposto per le notificazioni, salvo che il trattamento concerna registri od elenchi pubblici.

5. Il trattamento illecito di dati (art. 167)

In relazione alla fattispecie di trattamento illecito di dati - che resta invece presidiata dalla sanzione penale -, ora disciplinata dalla norma di cui all'art. 167 del Testo Unico, giova sottolineare il passaggio, così determinatosi, da un illecito modellato sugli stilemi del "delitto aggravato dall'evento" ad un delitto caratterizzato dalla condizione obiettiva di punibilità (intrinseca) della derivazione, dal fatto illecito, di un nocumento ai diritti dell'interessato.

Per quanto, in ordine alla precedente formulazione della fattispecie in esame, attenta dottrina⁴⁶ si sia pronunciata nel senso di riconoscervi un modello di illecito di pericolo, e nonostante in tal senso deponga la circostanza che il nocumento, ovvero il "danno" risultasse tipizzato quale circostanza aggravante - che, in quanto tale, dovrebbe accedere ad un fatto non circostanziato di pericolo, rafforzato dalla previsione del dolo specifico dell'agente - non si è tuttavia mancato di rilevare⁴⁷ come condotte quali, ad esempio, la comunicazione o la diffusione di dati sensibili⁴⁸ in mancanza del consenso dell'interessato, potessero apparire "già di per sé idonee a ledere la privacy dell'interessato stesso: con l'ulteriore conseguenza che, in tali casi, o l'aggravante di cui al comma 3 dell'art. 35 ("Se dai fatti...deriva nocumento...") dovrebbe sempre e comunque ricorrere in relazione a talune manifestazioni del fatto-base (quasi un'aggravante in re ipsa), oppure il "nocumento" ivi menzionato dovrebbe essere interpretato - ma non si vede quali spazi vi possano essere per una siffatta operazione ermeneutica - come un danno diverso ed ulteriore rispetto a quello insito nel fatto stesso della divulgazione contra legem del dato personale".

Tale actio finium regundorum, compiuta dal legislatore delegato, nell'ambito di una fattispecie previamente caratterizzata da una notevole anticipazione dell'intervento penale (Vorfeldkriminalisierung) - almeno qualora si acceda alla tesi della configurabilità del "vecchio" art. 35 quale reato di pericolo - sembra tuttavia non pienamente compiuta, dovendosi ritenere il requisito del nocumento non incluso nella struttura tipica del fatto, quale suo elemento costitutivo, ma riconducibile piuttosto alla controversa figura delle condizioni obiettive di punibilità intrinseche; categoria, quest'ultima, la cui adozione comporta conseguenze di notevole rilievo in tema di disciplina dell'elemento soggettivo.

Da un lato, infatti, qualora si ritenga che il "nocumento" rappresenti un elemento costitutivo del reato - sulla base dell'assunto che esso concorra a definire l'interesse penalmente rilevante, sotteso alla fattispecie incriminatrice - dovrebbe concludersi che tale elemento debba essere investito dal fuoco del dolo⁴⁹. Siffatto orientamento ermeneutico soddisfa certamente, nella maniera più completa, le esigenze di adeguamento della norma in esame al principio di colpevolezza⁵⁰.

Tuttavia, a sostegno della configurabilità del requisito del "nocumento" quale condizione obiettiva di punibilità, pare deporre la previsione del dolo specifico ("al fine di trarre per sé o per altri profitto o per recare ad altri un danno") .

Apparirebbe, infatti, quantomeno incongruo prevedere quale evento del reato proprio il fine (rectius: uno dei fini) perseguito dal soggetto, che, in quanto riconducibile agli stilemi del dolo specifico, non è, notoriamente, necessario che si realizzi ai fini della consumazione del reato.

La previsione, nell'ambito della medesima fattispecie, del dolo specifico e della condizione di punibilità potrebbe spiegarsi con la volontà, del legislatore delegato, di individuare, nel novero delle condotte che esprimono già, in sé, un'offesa al bene giuridico - e come tali, pertanto, meritevoli di pena - quelle che rivelano, in maniera più pregnante, il "bisogno di pena". In tale prospettiva, sarebbe possibile riscontrare un "rapporto sinergico" tra condizioni obiettive di punibilità e dolo specifico.

Laddove, infatti, si preveda che il soggetto agisca al fine di raggiungere un obiettivo situantesi al di là del fatto-base, e, contestualmente, il medesimo fine sia dal legislatore dedotto in condizione, si da riconnettervi la punibilità, a fronte di un fatto già ex se meritevole della pena inscritta nella cornice edittale, il dolo specifico e la condizione di punibilità assolvono ad una duplice funzione selettiva della punibilità del fatto - l'uno sul piano soggettivo, l'altra su quello oggettivo - in relazione al "bisogno di pena", ed in ossequio ad istanze di politica criminale⁵¹.

Come opportunamente osservato⁵², l'assioma tradizionale, secondo cui la verificazione del fine, perseguito in termini di dolo specifico, non è necessaria per la consumazione del reato caratterizzato da tale forma di dolo, dovrebbe intendersi con l'aggiunta della clausola: "salvo che la concretizzazione di ciò che forma oggetto dell'intenzione non sia dedotto in condizione dal legislatore"⁵³. In altri termini, laddove la realizzazione del fine perseguito dal soggetto coincida con l'evento ex art. 44 c.p., la consumazione del reato dovrebbe "essere necessariamente posticipata al suo verificarsi"⁵⁴.

In proposito, appare significativo richiamare l'impostazione, autorevolmente sostenuta in dottrina⁵⁵, 3 secondo la quale devono ritenersi condizioni obiettive di punibilità, e non elementi costitutivi del reato, quelle circostanze richieste sì per l'esistenza del reato, ma tali "che noi quel reato potremmo logicamente concepire come fatto contrario all'interesse protetto dalla norma senza bisogno di pensarlo subordinato all'avverarsi della condizione richiesta"⁵⁶.

L'istituto in esame, infatti, pare innestarsi sulla distinzione tra perfezione ed efficacia del reato, tra rilevanza giuridica e necessario prodursi delle conseguenze giuridiche⁵⁷, al fine di isolare e selezionare, a fini repressivi, unicamente certe condotte, all'interno di una più ampia categoria di comportamenti omogenei.

Al fine di consentire una più completa prospettazione delle questioni sottese all'utilizzo del modello in esame, giova ricordare la distinzione, che si deve ad uno studioso dell'autorevolezza di Nuvolone⁵⁸, tra condizioni intrinseche ed estrinseche: la ratio delle prime dovrebbe individuarsi nella necessità di qualificare ed attualizzare la lesione dell'interesse protetto dalla norma incriminatrice; le seconde esaurirebbero, invece, la propria funzione nel determinare un fatto esterno, cui il legislatore intenda subordinare la rilevanza penale della condotta, nulla aggiungendo, dal punto di vista giuridico, alla lesione di un interesse già, di per sé, compiutamente definito⁵⁹.

In tale prospettiva, la natura delle condizioni di punibilità intrinseche spiega come rientri in una valutazione di opportunità di politica criminale, demandata, nella sua più piena discrezionalità, al legislatore, la scelta di attivare la reazione penale solo qualora l'offesa agli interessi protetti dalla norma incriminatrice raggiunga una certa intensità, ovvero quando venga cagionata una lesione ulteriore e più intensa, ma inscindibilmente connessa con quella espressa dagli elementi costitutivi del reato.

A favore dell'esistenza di condizioni legate da un rapporto di progressione criminosa con l'interesse tutelato dalla norma incriminatrice depongono, inoltre, ragioni di tecnica legislativa.

Ed infatti, in siffatte situazioni si versa normalmente in situazioni nelle quali l'accertamento del dolo nei confronti dell'offesa più grave presenta notevoli difficoltà, per cui si pone al legislatore l'alternativa tra un eccessivo allargamento dell'ambito di applicazione della fattispecie, mediante l'incriminazione della mera condotta dell'agente, ovvero un'eccessiva limitazione della operatività della norma incriminatrice, che conseguirebbe ove il danno o il pericolo collegati al fatto di reato venissero costruiti come eventi tipici, con conseguente ampliamento, di riflesso, dell'oggetto del dolo.

In tal senso, l'istituto in esame, nella peculiare forma della condizione intrinseca, consente un equilibrato bilanciamento tra questi due estremi⁶⁰.

La nuova formulazione della fattispecie di trattamento illecito di dati personali appare, pertanto, conforme al canone delle condizioni intrinseche, strutturate secondo una vera e propria progressione criminosa sul terreno dell'offesa; ipotesi nelle quali il legislatore costruisce "la maggiore gravità della lesione agli interessi interni al reato sotto forma di condizione obiettiva di punibilità, sì da non essere costretto, da un lato, a fare intervenire la sanzione penale ogni qualvolta si realizza una lesione di scarsa rilevanza dell'interesse tutelato, dall'altro a costruire l'elemento più grave come elemento costitutivo del reato, oggetto di imputazione psicologica"⁶¹.

In tal senso, implicando la nuova formulazione letterale della norma un rapporto di derivazione causale tra il fatto e la condizione - peraltro espressa da una locuzione, significativamente inserita nella parte stricto sensu sanzionatoria della disposizione -, deve ritenersi che quest'ultima rifletta un piano d'interessi omogeneo all'offesa, e con la quale si ponga in un rapporto di progressione criminosa.

Pur trattandosi di condizione obiettiva, l'elemento del "nocumento" rivela la sua natura "intrinseca" rispetto al bene giuridico tutelato - da individuarsi, almeno per la maggior parte delle condotte incriminate dalla norma de qua⁶², nel diritto dell'interessato alla privary, intesa nella sua duplice valenza, positiva e negativa⁶³ - di modo che si avrà "meritevolezza di pena" ogni qualvolta tale diritto dell'interessato sia messo in pericolo⁶⁴; si determinerà, invece, "bisogno di pena" allorché tale bene subisca un'effettiva e tangibile lesione, dimostrata, appunto, dal verificarsi del nocumento.

Tuttavia, dal momento che tale elemento rappresenta un momento di offesa rispetto all'oggettività giuridica tutelata dalla norma, nei confronti della quale rivela un'intima connessione teleologica, nei termini del pericolo concreto, deve ritenersi, conformemente alla giurisprudenza costituzionale in tema di error juris, che esso debba essere investito, quantomeno, dal fuoco della colpa⁶⁵.

Analogamente, pare doversi configurare alla stregua di condizione obiettiva di punibilità intrinseca l'elemento - previsto dall'ultimo periodo del primo comma dell'art. 167 del Testo Unico - della realizzazione della comunicazione o diffusione di dati personali⁶⁶.

Ed infatti, tale elemento, già previsto nella precedente formulazione della fattispecie de qua, adempie alla funzione di restringere l'area della punibilità a quelle condotte particolarmente offensive dell'oggettività giuridica protetta dalla norma, determinando il discrimine tra "meritevolezza" e "bisogno" di pena, e configurando una fattispecie - autonoma rispetto a quella contemplata dal primo periodo del primo comma dell'art. 167 - che si pone in rapporto di progressione criminosa- cui corrisponde, parallelamente, sul piano esecutivo, una progressione sanzionatoria - con l'interesse tutelato, in ragione delle ripercussioni, particolarmente pregiudizievoli, che su di esso determina detta ipotesi, caratterizzata, appunto, dall'ampiezza dell'ambito di esplicazione della condotta.

In tal senso depone, inoltre, l'aumento del massimo edittale previsto per tale fattispecie, rispetto alla condotta di trattamento illecito di cui al primo periodo del primo comma, dal momento che la condotta di trattamento illecito di dati, realizzata mediante comunicazione o diffusione degli stessi, appare incentrata su una condotta di più pregnante offensività, in ragione della natura "divulgativa" del trattamento, tale da conferire alla fattispecie una carica lesiva ben maggiore, rispetto a quella che caratterizza il trattamento illecito di cui al primo periodo del medesimo comma.

Alla luce di quanto appena osservato, non apparirebbe certamente condivisibile una diversa interpretazione della fattispecie di cui al secondo periodo del primo comma dell'art. 167, diretta a configurare l'inciso "se il fatto consiste nella comunicazione o diffusione" alla stregua di una circostanza aggravante, che acceda ad una fattispecie-base, già caratterizzata, ai sensi del primo periodo del primo comma dell'art. 167, dalla derivazione causale di un nocumento, quale "limite esegetico" del bisogno di pena.

Siffatta lettura determinerebbe, infatti, un'inammissibile forzatura del dettato normativo, che, al secondo periodo del primo comma, non presenta l'inciso "se dal fatto deriva nocumento".

Pertanto, argomentando dal noto principio secondo cui "ubi lex dixit voluit, ubi noluit tacuit", deve ritenersi che la clausola "se il fatto consiste nella comunicazione o diffusione", che si legge al secondo periodo del primo comma della disposizione in esame, configuri un'ulteriore condizione obiettiva di punibilità, anch'essa inserita nella parte strettamente sanzionatoria della norma, la quale, dunque, si presenterebbe "scissa" in due sotto-fattispecie autonome, e, precisamente: il trattamento illecito di dati personali, dal quale derivi un nocumento (primo periodo del primo comma dell'art. 167), ed il trattamento illecito di dati realizzato mediante comunicazione o diffusione (art. 167, primo comma, secondo periodo).

In tema di bene giuridico s'impone, tuttavia, una precisazione

Già nell'impianto originano della l. 675⁶⁷, la disciplina del trattamento illecito di dati personali esprimeva un parziale spostamento dell'oggetto della tutela, dal mero rispetto delle funzioni a beni giuridici di maggiore pregnanza, come la vita privata quale "diritto fondamentale della persona"⁶⁸, innanzi al fenomeno del trattamento dei dati.

La scelta di subordinare la punibilità del reato alla derivazione di un nocumento⁶⁹ - ovvero alla altrettanto pregiudizievole comunicazione o diffusione di dati personali, effettuata con modalità contrarie a quanto previsto dalle disposizioni extra-penali richiamate⁷⁰ _ evidenzia, indubbiamente, l'intenzione del legislatore delegato di polarizzare la reazione repressiva anche sulla tutela di "ben afferrabili" interessi, incentrati sul diritto individuale alla protezione della vita privata ed al controllo dei dati personali.

Se tali modifiche possono configurarsi alla stregua di indici di una parziale "curvatura privatistica" impressa alla fattispecie, nella direzione di un tendenziale, e tuttavia incompleto recupero di offensività del tipo delittuoso, si spiega allora la mancata previsione di ipotesi di procedibilità a querela per l'illecito in esame.

Invero, se unico oggetto della tutela nelle incriminazioni de quibus fosse stato il diritto alla riservatezza tout court, una corretta politica criminale ispirata al principio di sussidiarietà avrebbe certamente dovuto valorizzare, sul piano della promovibilità dell'azione penale, la natura spiccatamente personale di tale diritto, nonché la sua natura certamente disponibile, ricorrendo alla procedibilità a querela della persona offesa, quale congruo strumento selettivo della lesività di determinate condotte, mediante la remissione al titolare della scelta in ordine all'azionabilità dell'intervento penale. Il mantenimento della procedibilità d'ufficio, nelle ipotesi in esame, conferma, pertanto, la natura "anfibia" di detti illeciti, in bilico tra la tutela di mere funzioni e la protezione di un assai più pregnante bene giuridico individuale.

Ed inoltre, ove l'unico bene tutelato dalla norma in parola fosse identificabile nella privacy, ovvero in una delle sue possibili esplicazioni, dovrebbe concludersi che, trattandosi di bene essenzialmente disponibile, "sia da escludere una lesione dello stesso penalmente rilevante qualora il titolare abbia validamente acconsentito a fatti idonei a ledere o a mettere in pericolo il bene medesimo"⁷¹. Tuttavia, appare opportuno precisare come, nelle ipotesi delittuose nelle quali si struttura la novellata fattispecie di trattamento illecito di dati personali - la quale appare orientata ad una più immediata e perspicua tutela della vita privata, rispetto alle altre fattispecie incriminatrici presenti nel Testo Unico - il consenso dell'interessato non assuma rilevanza quale scriminante, ai sensi dell'art. 50 c.p., configurandosi invece come causa di esclusione della tipicità del fatto.

Ed infatti, poiché la norma di cui all'art. 167 del Testo unico dispone che il trattamento (ovvero la comunicazione o diffusione) di dati personali è illecito proprio in quanto effettuato in assenza di valido consenso prestato dall'interessato, nelle ipotesi nelle quali detto consenso è necessariamente richiesto, se ne desume che la sua mancanza rappresenta, propriamente, un elemento del fatto tipico.

In tal senso, in linea generale, la norma di cui all'art. 23 del Testo Unico, richiamata come parametro di liceità dall'art. 167, prevede che "il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell'interessato, che tale consenso "può riguardare l'intero trattamento ovvero una o più operazioni dello stesso", e che infine esso si considera validamente prestato solo se è espresso "liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto e se sono state rese all'interessato le informazioni di cui all'art. 13".

Ai fini della rilevanza penale, laddove sussista un valido consenso - tale validità dovendosi evincere dalla conformità ai parametri di cui all'appena richiamato art. 23, ed all'art. 13, quanto alla correttezza delle informazioni rese all'interessato - non si può ritenere in radice realizzato il fatto tipico, il consenso non pare, pertanto, operare quale causa di giustificazione, ai sensi e per gli effetti di cui all'art. 50 c.p., poiché è necessaria l'assenza di un valido consenso ai fini della medesima sussistenza del fatto di reato.

Appare significativo evidenziare, inoltre, come il quarto comma dell'art. 18, il medesimo comma dell'art. 26 ed il quarto comma - ancora una volta - dell'art. 130 individuino un novero di ipotesi nelle quali il consenso non è richiesto, in ragione di peculiari caratteristiche del trattamento.

Detti casi possono ritenersi veri e propri limiti esegetici del fatto tipico di cui all'art. 167, primo comma, m relazione all'art. 23.

Appare inoltre evidente come punire, ai sensi del combinato disposto degli artt. 167 e 23, l'inosservanza delle modalità di documentazione del consenso, lungi dall'approntare tutela alla riservatezza individuale, comporti invece la sanzionabilità della mera disobbedienza alla normativa di settore.

Ci si chiede, allora, se effettivamente tale fattispecie incriminatrice sia rivolta alla protezione della vita privata del singolo, o se detto bene giuridico rappresenti, piuttosto, in un'ottica di "seriazione" degli interessi da tutelare, il "bene finale"⁷², laddove "bene strumentale" sarebbe l'interesse alla sicurezza dei dati, ovvero all'efficientismo dell'ordinamento settoriale facente capo al Garante.

Condivisibile dottrina giunge altresì alle medesime conclusioni argomentando, tuttavia, dalla presenza, all'interno della fattispecie de qua, del dolo specifico, in funzione selettiva della rilevanza penale di condotte illecite⁷³.

Invero, si osserva che, se i beni giuridici fossero correttamente selezionati, alla luce del principio di frammentarietà e sussidiarietà, la loro consapevole aggressione, anche in relazione alle modalità offensive, dovrebbe apparire, in linea di principio, sufficiente a legittimare la sanzione penale; il ricorso al dolo specifico come aggiuntivo di un disvalore soggettivo, che consenta di "varcare la soglia della rilevanza penale, sembra tradire una certa "debolezza" del bene sul piano della protezione penalistica"⁷⁴.

La clausola di riserva "salvo che il fatto costituisca più grave reato", con la quale si apre la norma in esame - già presente nella vecchia formulazione del trattamento illecito di dati personali - sancisce l'assorbimento di detta ipotesi in altra che la contenga e che appaia, rispetto ad essa, più grave⁷⁵. Inoltre, in proposito, appare doveroso rilevare come, in tale ultima ipotesi, un'eventuale assorbimento sia suscettibile di incidere sulla disciplina anche sotto il profilo del bene giuridico di riferimento; di modo che, nel caso in cui il trattamento di dati appaia essere funzionale alla più grave condotta, esso ne costituirebbe parte integrante, "presupposto fattuale e logico, poiché la classificazione o la discriminazione appare funzionale alla violazione più grave", consentendone la realizzazione in maniera programmata, e facilitandone la ripetizione su vasta scala⁷⁶.

Salvo dette modifiche, le condotte punibili riproducono, oltre a quelle già contenute nella norma di cui all'art. 35 della legge 675, anche quelle punite ai sensi del medesimo art. 35 dall'art. 11 del d.lgs. 171/1998.

Ai sensi del comma primo, pertanto, è ora punibile il trattamento effettuato in violazione delle disposizioni di cui agli artt. 18 e 19 (trattamenti effettuati da soggetti pubblici in relazione a dati diversi da quelli sensibili e giudiziari), 23 (il quale disciplina le modalità di prestazione del consenso), 126 (trattamento di dati relativi all'ubicazione), 130 (comunicazioni indesiderate), ovvero in applicazione dell'art. 129 (elenchi di abbonati).

Si segnala un lieve aumento del minimo edittale previsto per la reclusione (da tre a sei mesi), qualora il fatto consista nella comunicazione o diffusione di dati.

Ai sensi del comma secondo, è punibile il trattamento effettuato in violazione delle disposizioni di cui agli artt. 17 (trattamento che presenta rischi specifici), 20, 21 e 22, commi 8 e 11 (trattamento di dati sensibili e giudiziari effettuato da soggetti pubblici), 25 (divieto di comunicazione e diffusione di dati), 26 e 27(trattamento di dati sensibili o giudiziari da parte di privati) e 45 (trasferimento di dati all'estero). In tali ultimi casi si registra, altresì, un aumento del massimo edittale, da tre a quattro anni di reclusione.

6. La falsità nelle dichiarazioni e notificazioni al Garante (art. 168)

La fattispecie di cui all'art. 168 del Testo Unico, rubricata "Falsità nelle dichiarazioni e notificazioni" riprende in toto il dettato normativo di cui all'art. 37-bis della l. 675 - introdotto dall'art. 16 del d.lgs. 467/2001 - salvo la previsione integrativa della incriminazione anche del mendacio commesso nelle comunicazioni dovute al garante, ai sensi dell'art. 39 del medesimo Testo Unico.

La norma recita: "Chiunque, nella notificazione di cui all'art. 37 o in comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni".

Il reato si perfeziona nel momento in cui vengono rilasciate le false dichiarazioni o in cui vengono prodotti gli atti o i documenti falsificati.

La norma appare chiaramente posta a tutela dell'azione del Garante, tesa a precludere l'utilizzazione di atti o documenti suscettibili di (rectius: destinati a) fuorviarne le relative determinazioni, sulla base di erronei presupposti.

Il dolo generico, sotteso all'illecito in esame, richiede la consapevolezza in capo all'agente, della falsità delle notizie e dei documenti o delle attestazioni utilizzate e la relativa idoneità in concreto a rivestire di un'apparenza ingannevole fatti e circostanze il cui accertamento o la cui esistenza assuma rilevanza nel contesto procedimentale.

7. (Omessa adozione di) misure di sicurezza (art. 169)

Anche in relazione alla fattispecie di omessa adozione di misure di sicurezza, ora disciplinata dall'art. 169 del Codice Privacy, non sembrano rilevabili modifiche di rilievo, rispetto alla formulazione del corrispondente art. 36 l. 675, come sostituito dall'art. 14 del d.lgs. 467/2001, salvo l'aumento quantitativo previsto per l'ammenda.

Dal combinato disposto degli artt. 169, comma primo, e 33, nella parte in cui richiama l'art. 58, comma terzo, del medesimo Testo Unico, può chiaramente evincersi come - in relazione ai trattamenti effettuati dai servizi di informazione e di sicurezza previsti dalla legge n. 801/1977 e da altri soggetti pubblici per finalità di difesa o di sicurezza dello Stato, ovvero coperti dal segreto di Stato - le misure minime, che rappresentano il parametro alla cui stregua valutare la penale rilevanza della condotta in esame, corrispondano a quelle individuate dal Governo con apposito decreto del Presidente della Repubblica, ai sensi del citato comma terzo dell'art. 58, secondo un discutibile modello di tecnica legislativa, già adottato dal legislatore del 1996, e mantenuto nei successivi interventi normativi.

La previsione di una norma ad hoc per la materia in esame è stata motivata con l'esigenza di assicurare "anche in sintonia con orientamenti giurisprudenziali internazionali in materia di diritti dell'uomo, la necessaria trasparenza alle tipologie di trattamenti effettuati per tali finalità, in relazione ai tipi di operazioni e di dati oggetto di trattamento e alle esigenze di aggiornamento e conservazione dei dati medesimi"⁷⁷.

In proposito, devesi rilevare come, afferendo la disciplina in parola ad un settore caratterizzato da una costante evoluzione tecnologica, a contenuto spiccatamente specialistico, essa rappresenta indubbiamente una delle sedi privilegiate per forme di integrazione tra fonte primaria e fonte regolamentare, anche sotto il profilo delle disposizioni penali, ove il relativo affievolimento della riserva di legge può ritenersi legittimato dal fine di assicurare maggiore duttilità e dinamicità, nonché sufficiente determinatezza alla normativa.

Tuttavia, la giurisprudenza costituzionale⁷⁸, in materia di riserva di legge, ha avuto modo di chiarire come il principio di legalità non possa ritenersi eluso ove sia una legge dello Stato - anche se diversa da quella incriminatrice - a stabilire "i caratteri, i presupposti, i limiti dell'atto o del provvedimento non legislativo che concorra a determinare la condotta illecita".

In dottrina, si è sostenuto che la fonte sub-legislativa, "in settori particolarmente tecnici ed in 3 rapporto per esempio a precise esigenze di aggiornamento" possa legittimamente, nella misura in cui si mantenga nei limiti tracciati dalla legge, conferire alla descrizione dell'illecito "quella precisione di espressione e quella puntualizzazione della regola di condotta che emergono quali obiettivi di uno sviluppo obbligato del principio di legalità rettamente inteso"⁷⁹.

Orbene, il mero rinvio operato, dalla norma in esame, alla fonte regolamentare non sembra soddisfare i requisiti richiesti dalla citata giurisprudenza costituzionale, dal momento che il contenuto del detto decreto appare del tutto svincolato da ogni tipo di predeterminazione legislativa, e poiché la "deroga", in tal modo operata, al principio della riserva di legge, non sembra nella specie bilanciata, e legittimata, da una finalizzazione della stessa alla garanzia di una maggiore determinatezza del precetto penale. Si consideri, inoltre, che l'utilizzazione, da parte del legislatore delegato, della nozione di "misure minime di sicurezza", quale parametro di liceità della condotta penalmente sanzionata, comporta un inevitabile, quanto inammissibile vulnus al principio di precisione della norma penale.

Come opportunamente rilevato,⁸⁰ in relazione all'analogo rinvio a fonte regolamentare, da parte dell'art. 36 l. 675 - sostanzialmente corrispondente all'attuale art. 169 - infatti, "sarà probabilmente necessario, anche in questo settore, il ricorso a clausole di riserva di carattere generale, facenti riferimento, ad esempio, allo stato di evoluzione della tecnica (...) o a parametri fondati su criteri di esperienza" e, in ogni caso, sarà inevitabile un prevalente riferimento al tipo di obiettivi (impedire gli "accessi", le "manipolazioni", la "dispersione", ecc. dei dati), piuttosto che alle misure concrete da adottare, difficili da descrivere ed estremamente variabili in relazione al tipo, alle dimensioni, alle modalità di accesso, ecc. delle banche dati.

Appare prevedibile, in altri termini, che il "cedimento" della riserva di legge non sarà adeguatamente bilanciato da un recupero di determinatezza della fattispecie, che finirà, anzi, per frantumarsi nella prassi in applicazioni assai eterogenee.

Giova tuttavia sottolineare come, da una lettura delle norme, (precisamente gli artt. 16 e 17), comprese nella ottava sezione della Direttiva 95/46/CE, in tema di "tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati" - sul punto, non modificata dalla successiva Direttiva 2002/58/CE - emerga una prospettiva radicalmente diversa rispetto alla normativa italiana, in merito alla individuazione di un livello di sicurezza determinato in funzione del tipo di trattamento effettuato in concreto, nonché alla particolare natura dei dati da proteggere⁸¹.

La Direttiva non richiede, pertanto, l'obbligatoria adozione di misure "minime", prospettando, al contrario, l'esigenza dell'adozione di articolate misure, individuate non già "in una ottica burocratica di comunicazioni e controlli"⁸², ma in rapporto a parametri obiettivamente verificabili nell'esperienza, quali il tipo tecnico di trattamento prescelto in concreto e la qualificazione del dato da proteggere, con riferimento alle caratteristiche del sistema e delle applicazioni di elaborazione.

La prospettata diversità di impostazione tra il Testo Unico e la Direttiva - rispetto alla quale la normativa italiana appare, ancora una volta, "overbreadth"⁸³ - sembra "ulteriormente confermare quanto la "via italiana alla riservatezza"sia stata caricata di formalità amministrative improprie, poste per di più in rapporto integrativo della stessa norma penale" - nel caso di specie, l'art. 169 del Codice Privacy - "e comunque obiettivamente determinanti una significativa incertezza tra gli operatori"⁸⁴.

Infine, appare opportuno rilevare come l'art. 18 del Progetto di depenalizzazione, elaborato nell'ambito della Commissione Nordio, preveda la depenalizzazione dell'illecito contravvenzionale di cui all'art. 36 l. 675, la cui struttura viene pressoché integralmente ripresa, come abbiamo appena avuto modo di osservare, dall'art. 169 del Testo Unico. La trasformazione di detta contravvenzione, in una violazione amministrativa, punita con la sanzione amministrativa pecuniaria "da euro 12.000 ad euro 60.000", appare, del resto, perfettamente in linea con la parallela depenalizzazione - prevista dall'art. 8 del medesimo Progetto di depenalizzazione - dell'ipotesi contravvenzionale di cui all'art. 650 c.p.⁸⁵, proprio in ragione dell'affinità strutturale delle due norme, le quali entrambe dispongono un rinvio, pressoché in toto, ad una fonte sottordinata⁸⁶.

La scelta, nel senso della depenalizzazione, della fattispecie codicistica, viene espressamente motivata, al par. 14 della Relazione al citato Progetto di depenalizzazione, con riferimento alla particolare natura della stessa, tale da integrare "una classica ipotesi di norma penale in bianco a carattere sussidiario, in cui la genericità del precetto doveva necessariamente essere specificata da atti normativi di grado inferiore"⁸⁷.

Nella medesima sede si osserva come detta contravvenzione abbia determinato "un generalizzato ricorso alla sanzione penale in tutti i casi in cui la violazione di un provvedimento legalmente dato dall'Autorità per ragioni di giustizia, di sicurezza, d'ordine pubblico o di igiene non trovasse una sua specifica sanzione, anche non penale, in altra norma di legge".

In conclusione, l'indicazione, fornita da tale prospettiva di riforma, nel senso della depenalizzazione dei predetti illeciti contravvenzionali, dovrebbe a fortiori far propendere per l'inopportunità di continuare a prevedere la sanzione penale, all'interno della normativa sul trattamento dei dati personali, di nuovo conio, per un illecito dai contorni così sfumati, e che presenta dubbi di costituzionalità di non poco momento.

In tal senso depone, del resto, la medesima filosofia cui s'ispira il citato Progetto di depenalizzazione, da cui possono evincersi chiare indicazioni, in una prospettiva de jure condendo, in favore della depenalizzazione "per quei reati che, ancora oggi, o sono astrattamente sanzionati con la sola pena pecuniaria (multa o ammenda) ovvero che, per il possibile intervento di meccanismi che danno luogo a quel fenomeno definito - non a caso - di "depenalizzazione di fatto", come l'oblazione, sono punibili in concreto col semplice pagamento di una somma di denaro. Se infatti il legislatore dovesse ritenere che un certo comportamento può essere adeguatamente sanzionato, in considerazione della sua -evidentemente sentita- scarsa gravità, solo con una pena pecuniaria o comunque, in concreto, col mero pagamento di una somma di denaro, tanto varrebbe allora senz'altro depenalizzarlo, e considerarlo ab origine illecito amministrativo punibile con una sanzione pecuniaria di natura amministrativa"⁸⁸.

In quest'ottica, la depenalizzazione di tali fattispecie contravvenzionali viene ritenuta strettamente funzionale alla concreta attuazione dei principi "di frammentarietà, sussidiarietà ed extrema ratio del diritto penale: nel senso che il ricorso alla pena criminale è giustificato solo quando risulti strettamente necessario, ossia quando gli altri strumenti sanzionatori offerti dall'ordinamento - di natura civile, amministrativa, disciplinare o altro - appaiano insufficienti in vista di un'adeguata ed effettiva tutela di quei beni ritenuti, in un certo momento storico, fondamentali per la vita in comune e quindi meritevoli della massima protezione"⁸⁹.

8. L'inosservanza dei provvedimenti del Garante (art. 170)

L'art. 170 punisce, con la reclusione da tre mesi a due anni, "chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi degli articoli 26, comma 2, 90, 150, commi 1 e 2, e 143, comma 1, lett. c)".

La disposizione in parola riprende integralmente il dettato normativo della corrispondente fattispecie di cui all'art. 37 l. 675, salvo per la ulteriore incriminazione dell'inosservanza dell'autorizzazione adottata dall'Autorità, ai sensi dell'art. 90 del Testo Unico, in relazione al trattamento dei dati genetici, in ragione della "particolare delicatezza della materia disciplinata"⁹⁰.

La norma in esame, chiaramente posta a tutela dell'azione del Garante, incrimina l'inosservanza dei provvedimenti del Garante, relativi alle autorizzazioni al trattamento di dati sensibili, o genetici, e di quelli assunti a seguito di reclamo o ricorso dell'interessato, volto a far valere i diritti riconosciutigli dall'art. 7 del Testo Unico - diritti di accesso, certificazione, cancellazione, rettifica dei dati - .

In tali, particolari contesti, il legislatore ha inteso rafforzare, ad evidenti fini general-preventivi, il valore delle decisioni del Garante, garantendone l'autorità e la coercitività con il presidio della sanzione penale.

In ordine alla questione della rilevanza, ai fini della integrazione della norma penale, del provvedimento del Garante oggetto di inosservanza, non appare condivisibile quanto affermato in dottrina, nel senso che tale decisione sia in ogni caso un provvedimento concreto, "dettato per il caso singolo, col che possono considerarsi superabili eventuali obiezioni alla formulazione delle fattispecie penali che lo richiamino, che dovessero essere sollevate nella prospettiva dei principi della riserva di legge ovvero della tassatività"⁹¹, ricorrendo anche in subjecta materia la particolare tecnica dei continui rinvii alle norme extrapenali di settore, tale da determinare una preoccupante oscurità del disposto normativo, ed in relazione alla quale si è parlato di "vertigine combinatoria"⁹².

Invero, la formulazione della norma in esame, e le problematiche sollevate dall'analisi ermeneutica della stessa, paiono richiamare le note questioni ermeneutiche, legate all'interpretazione del dettato normativo dell'art. 328 c.p.⁹³, nella versione successiva alla riforma dei reati contro la P. A., entrata in vigore nel 1990.

Ed infatti, come nel caso della fattispecie di rifiuto di atti di ufficio, anche con riferimento all'art. 170 del Testo Unico, la formulazione della norma appare chiaramente modellata sul paradigma di cui all'art. 650 c.p..

La scelta appare assai criticabile, sol che si considerino i profili di illegittimità costituzionale⁹⁴ - in particolare, per l'aspetto del vulnus al principio di determinatezza (in materia penale) - evidenziati, da autorevole dottrina, con riferimento alla norma di cui all'art. 650 C.p.95, e dai quali, pertanto, non pare andare esente neppure la disposizione dell'art. 170 del Testo Unico. In conclusione, dalla struttura che presenta la norma in parola - modellata sul paradigma dei reati omissivi propri - la quale incrimina una condotta di mera inosservanza, da parte del privato, di un provvedimento del Garante, può chiaramente evincersi un'ulteriore conferma della generale tendenza, caratterizzante l'intero sistema di tutela penale approntato dal Testo Unico - tranne, e solo in parte, come già osservato al par. 5, per la fattispecie di trattamento illecito di dati personali, nella quale emerge, timidamente, il limite teleologico della protezione del diritto individuale al controllo dei propri dati personali - a presidiare con la sanzione penale la corretta funzionalità dell'Autorità Garante⁹⁶, riconducendo, pertanto, la ratio legis alla tutela di mere funzioni⁹⁷, e non già di assai più pregnanti beni giuridici di ascendenza individuale, come invece "proclamato" nella stessa intitolazione del "Codice Privacy".

9. L'art. 171

L'art. 171 punisce - con la sanzione prevista dall'art. 38 della l. 300/1970 - il trattamento effettuato in violazione delle disposizioni di cui agli artt. 113, comma primo ("Raccolta di dati e pertinenza"), e 114 ("Controllo a distanza") del Testo Unico, i quali riproducono, sostanzialmente, le norme di cui agli artt. 4 e 8 dello Statuto dei lavoratori.

A tale disposizione del "Codice Privacy", possono essere certamente estesi i rilievi critici, testé formulati, in rapporto alla norma di cui all'art. 171, al cui commento, pertanto, si rinvia.

10. La pubblicazione della sentenza di condanna (art. 172)

L'art. 172 prevede, infine, la pena accessoria della pubblicazione della sentenza nei casi di condanna per uno dei delitti previsti dal codice.

La formulazione della norma riprende quella dell'art. 38 della l. 675, ma ne viene ridotto l'ambito applicativo, essendo la disposizione limitata alle sole ipotesi delittuose residue, e precisamente: il trattamento illecito di dati personali (art. 167), la falsità nelle dichiarazioni e notificazioni al Garante (art. 168); l'inosservanza dei provvedimenti del Garante (art. 170).

Pertanto, l'esposizione pubblica quale pena accessoria, mediante l'inserimento dei dati del condannato in un contesto informativo ricorrente, viene prevista indipendentemente dal comportamento criminoso in concreto tenuto, non essendo concesso al giudice di valutarne l'opportunità, caso per caso, al fine di limitarne l'irrogazione, ad esempio, nei casi più gravi, con profili di dubbia legittimità costituzionale, con riferimento al terzo comma dell'art. 27, nonché all'art. 3, della Carta fondamentale⁹⁸. Invero, tale pena accessoria è generalmente motivata dall'esigenza di evidenziare alla collettività la soggettività dell'autore di un reato in qualche modo relativo allo svolgimento di attività economiche ripetitive (frodi, sofisticazioni alimentari, contraffazioni), rispetto alle quali la pubblicità della condanna risponde a finalità di tutela e prevenzione della reiterazione di specifiche attività organizzate⁹⁹.

È pur vero che il medesimo regime ricorre nell'art. 9 della legge n. 47/1948, sulla stampa; col che potrebbe ritenersi che esso sia un meccanismo intrinseco all'intervento penale nel contesto della comunicazione, applicandosi pertanto la pubblicazione della sentenza anche ad attività di tipo occasionale e non organizzate, quali, ad esempio, quelle informative.

11. Garante Privacy ed Autorità Giudiziaria: rapporti ed intersezioni

Il Testo unico in materia di protezione dei dati personali, sulla linea di quanto già disposto dalla legge 31 dicembre 1996, n. 675, nonché dal successivo d.lgs. 467/2001, presenta profili di notevole interesse, anche e soprattutto con riferimento ai rapporti tra il Garante della privacy e l'Autorità Giudiziaria.

In proposito, giova rilevare preliminarmente come, all'interno dell'impianto normativo del nuovo Testo Unico, permanga la previsione di procedimenti a tutela dei diritti per illegittimo trattamento dei dati personali, alternativi rispetto a quelli tradizionalmente instaurati dinanzi all'autorità giudiziaria ordinaria.

Il disegno che emerge riprende, nelle sue linee generali, la trama intessuta dalle disposizioni introdotte dalla legge 675, ed in particolare dall'art. 29, cui corrisponde l'attuale art. 152, norma attorno alla quale si innesta il sistema di "doppio binario" di tutela, tracciando le linee di demarcazione - oscillanti tra alternatività e controllo successivo - tra la sfera delle attribuzioni dell'Autorità giudiziaria e l'alveo di competenza dell'Authority, forte delle funzioni paragiurisdizionali alla stessa attribuite già dall'intervento legislativo del 1996.

Se, pertanto, in relazione agli aspetti civilistici, la figura del Garante - dinanzi alla quale si incardina un procedimento alternativo a quello giurisdizionale - pare profilarsi quale "baricentro di una tutela forte"¹⁰⁰ dei diritti sanciti dal Testo Unico, estrinsecando un potere di natura strutturalmente amministrativa, e funzionalmente giurisdizionale, per quanto concerne il versante penalistico, il ruolo dell'Authority assume particolare rilevanza soprattutto con riferimento all'attività di collaborazione, dalla stessa esplicata, con l'Autorità giudiziaria.

Ed invero, l'art. 153, primo comma, lett. g), del Testo Unico, sancisce, in capo al Garante, l'obbligo di denunciare ogni fatto configurabile quale reato perseguibile d'ufficio, del quale abbia conoscenza in sede di esercizio delle proprie funzioni, ovvero a causa delle medesime.

Certamente non può omettersi di rilevare come, anche in assenza di tale espressa previsione, l'obbligo in questione si sarebbe potuto evincere dal dettato normativo di cui agli artt. 361 c.p. e 331 del codice di rito. La scelta operata, nel senso della previsione espressa ed ulteriore, può presumibilmente attribuirsi alla volontà del legislatore di ribadire con maggiore evidenza l'obbligo in parola, in ragione dell'importanza, nonché della delicatezza degli interessi coinvolti.

Al Garante sono, altresì, attribuite potestà sanzionatorie di non poco momento, peraltro quantitativamente accresciute in seguito alla depenalizzazione, operata dalla normativa di recente conio, di numerose fattispecie delittuose contemplate dalla legge 675.

Ed infatti, le norme di cui agli artt. 161-166 del Testo Unico consentono al Garante, applicando in quanto compatibili le disposizioni di cui alla legge 689/1981, di irrogare sanzioni amministrative pecuniarie nelle seguenti ipotesi:

- omessa od inidonea informativa all'interessato, ex art. 161, norma la quale attribuisce, inoltre, al Garante, la facoltà di aumentare sino al triplo del massimo edittale la sanzione prevista, qualora risulti inefficace in ragione delle condizioni economiche del contravventore;

- cessione illegittima dei dati personali, ai sensi dell'art. 162;

- omessa od incompleta notificazione, ex art. 163, norma che prevede, congiuntamente all'irrogazione della sanzione amministrativa pecuniaria, la sanzione accessoria della pubblicazione dell'ordinanza-ingiunzione, per intero o per estratto, in uno o più giornali indicati nel provvedimento che la applica;

- omessa informazione od esibizione al Garante, ai sensi dell'art. 164.

Le violazioni vengono contestate al trasgressore, qualora possibile, immediatamente, ovvero si procede, entro novanta giorni, alla notificazione degli estremi dell'illecito.

La notificazione tardiva determina l'estinzione dell'obbligo di pagare la somma dovuta in ragione della violazione.

È ammesso il pagamento della somma in misura ridotta sino alla terza parte del massimo edittalmente previsto per l'illecito commesso, o, se più favorevole, in misura pari al doppio del minimo, oltre le spese del procedimento, entro sessanta giorni dalla contestazione, ovvero dall'avvenuta notificazione.

Qualora il pagamento in misura ridotta non sia stato effettuato, l'agente che abbia accertato la violazione è tenuto a presentare rapporto al Garante, al quale, inoltre, il trasgressore può presentare, entro trenta giorni dalla data della contestazione o della notificazione degli estremi dell'illecito, scritti difensivi e/o documenti, potendo altresì chiedere di essere ascoltati.

Il Garante, esaminata la documentazione ed eventualmente sentiti gli interessati, qualora ritenga fondato l'accertamento, determina la somma dovuta per l'illecito con ordinanza motivata, ingiungendone il pagamento all'autore della violazione; in caso contrario, emette ordinanza motivata di archiviazione.

Il pagamento è effettuato entro trenta giorni dalla notificazione del provvedimento; avverso l'ordinanza-ingiunzione è ammessa l'opposizione dinanzi al Tribunale in composizione monocratica.

Evidente appare, inoltre, il rafforzamento delle funzioni di accertamento e di controllo assegnate al Garante.

Analogamente a quanto previsto in relazione ad altre Authorities, la norma di cui all'art. 157 dispone che il Garante possa richiedere al titolare, al responsabile, all'interessato od a terzi di esibire documenti e di fornire informazioni, con il solo limite teleologico della connessione tra tale richiesta e lo svolgimento delle funzioni del Garante.

Pur non essendo sussumibile all'interno dell'alveo degli "accertamenti" che l'art. 158 rende obbligatori per i soggetti interessati, la richiesta di informazioni o di esibizione di documenti determina comunque una posizione di soggezione in capo al destinatario, dal momento che, in caso di inottemperanza, il Garante può applicare una sanzione amministrativa pecuniaria, potendo altresì procedere ex officio a controlli tesi ad appurare le circostanze oggetto della mancata verifica. Appare inoltre opportuno rilevare come al Garante non possa essere opposto il segreto professionale o d'ufficio.

Qualora ne ricorra la necessità ai fini del controllo del rispetto della disciplina in materia di trattamento dei dati personali, il Garante può disporre accessi alle banche dati, ovvero altre ispezioni e verifiche nei luoghi ove si svolga il trattamento, o nei quali occorra effettuare rilevazioni comunque utili al medesimo controllo, avvalendosi, se del caso, della collaborazione di altri organi dello Stato.

Nell'ipotesi in cui gli accertamenti di cui sopra vadano effettuati in un'abitazione ovvero in altro luogo di privata dimora o nelle relative appartenenze, si rende necessario, ai sensi del terzo comma dell'art. 158, l'assenso informato del titolare o del responsabile, ovvero l'autorizzazione del presidente del Tribunale competente per territorio in relazione al luogo dell'accertamento, il quale provvede con decreto motivato senza ritardo, al più tardi entro tre giorni dal ricevimento della richiesta del Garante, ove sia documentata l'indifferibilità dell'accertamento.

Se l'interazione, da tale norma determinata, tra attività di garanzia ed attività giurisdizionale, demandata al Tribunale competente per territorio, da un lato rafforza l'esercizio delle funzioni di garanzia e di protezione dei diritti del singolo interessato, ad ottenere accesso e rettifica di informazioni che lo riguardano, dall'altro non sembra adeguatamente tutelato il diritto del controinteressato ad ottenere, con particolare riferimento all'ipotesi di pendenza di un ricorso dinanzi al giudice ordinario, una equa valutazione del caso di specie, specialmente di fronte a richieste pretestuosei¹⁰¹.

Profili di notevole interesse ai nostri fini emergono, inoltre, in relazione alla fattispecie di omessa adozione di misure di sicurezza, ora disciplinata dall'art. 169 del Codice Privacy, il cui dettato normativo non presenta modifiche di rilievo, rispetto alla formulazione del corrispondente art. 36, l. 675, come sostituito dall'art. 14 del d.lgs. 467/2001, salvo l'aumento quantitativo previsto per l'ammenda.

La norma in esame prevede che chiunque, "essendovi tenuto, omette di adottare le misure minime¹⁰² previste dall'articolo 33 è punito con l'arresto sino a due anni o con l'ammenda da diecimila euro a cinquantamila euro".

Il comma secondo prevede, conformemente a quanto già disposto dall'art. 14 d.lgs. 467/2001, che all'autore del reato, contestualmente all'atto di accertamento, o, nei casi complessi, anche con successivo atto del Garante, è impartita una specifica prescrizione nella quale è fissato un termine per la regolarizzazione, non eccedente il periodo di tempo tecnicamente necessario - prorogabile in caso di particolare complessità o per l'oggettiva difficoltà dell'adempimento- e comunque non superiore a sei mesi.

Nei sessanta giorni successivi allo scadere del termine, se risulta l'adempimento alla prescrizione, l'autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo dell'ammenda stabilita per la contravvenzione. Si prevede espressamente che l'adempimento ed il pagamento estinguono il reato. L'organo competente ad impartire la prescrizione ed il rappresentante della Pubblica Accusa provvedono nei modi di cui agli artt. 21, 22, 23 e 24 del d.lgs. 19 dicembre 1994, n. 758, in quanto applicabili.

La disciplina richiamata (Modificazioni alla disciplina sanzionatoria in materia di lavoro) afferisce, in particolare, all'estinzione delle contravvenzioni e prevede, all'art. 21, che entro e non oltre sessanta giorni dalla scadenza del termine fissato nella prescrizione, l'organo di vigilanza - nella specie il Garante - ha il compito di verificare se la violazione è stata eliminata secondo le modalità e nel termine indicati dalla prescrizione.

In seguito all'adempimento della prescrizione, l'organo di vigilanza ammette il contravventore a pagare in sede amministrativa, nel termine di trenta giorni, una somma pari al quarto del massimo dell'ammenda stabilita per la contravvenzione commessa.

Entro centoventi giorni dalla scadenza del termine fissato nella prescrizione, l'organo di vigilanza comunica, infine, al pubblico ministero, l'avvenuto adempimento alla prescrizione, nonché l'eventuale pagamento della predetta somma.

Qualora, invece, risulti l'inadempimento alla prescrizione, l'organo di vigilanza è tenuto a darne comunicazione al Pubblico Ministero ed al contravventore, entro novanta giorni dalla scadenza del termine fissato nella prescrizione.

Si richiama altresì l'art. 22, che disciplina l'ipotesi delle notizie di reato non pervenute all'organo di vigilanza. Nel caso in cui il Pubblico Ministero abbia contezza di una notizia di contravvenzione sulla base di un proprio accertamento, o per comunicazione da parte di privati o pubblici ufficiali o incaricati di pubblico servizio diversi dall'organo di vigilanza- e quindi, nel caso di specie, dal Garante - ne informa immediatamente tale organo, per le determinazioni concernenti la prescrizione, che si renda necessaria al fine di eliminare la contravvenzione.

In detta ipotesi spetta al Garante il compito di informare il Pubblico Ministero delle proprie determinazioni entro sessanta giorni dalla data in cui ha ricevuto la comunicazione della notizia di reato dallo stesso Pubblico Ministero.

L'art. 23 inerisce, invece, alla sospensione del procedimento penale per la contravvenzione, con decorrenza dal momento dell'iscrizione della notitia criminis nel registro di cui all'art. 335 del codice di rito penale, sino al momento in cui il Pubblico Ministero riceva una delle comunicazioni relative all'adempimento delle prescrizioni.

Nell'ipotesi in cui le notizie di reato provengano da terzi, il procedimento riprende il nuovo corso quando l'organo di vigilanza informa il Pubblico Ministero della propria determinazione di non impartire una prescrizione, e comunque, se alla scadenza del termine l'organo di vigilanza ometta di informare il Pubblico Ministero delle proprie determinazioni inerenti alla prescrizione.

Qualora, nel predetto termine, l'organo di vigilanza informi il Pubblico Ministero di aver impartito una prescrizione, il procedimento rimane cosi sospeso sino a tale data.

La sospensione del procedimento non preclude, tuttavia, la richiesta di archiviazione.

Si è inoltre sostenuto, in dottrina, che essa non impedisca l'assunzione delle prove con incidente probatorio, né gli atti urgenti di indagine preliminare, né il sequestro preventivo ai sensi degli artt. 321 ss. del c.p.p.¹⁰³.

In proposito, appare opportuno ricordare come la fattispecie originaria, di cui all'art. 36 l. 675, prevedesse un delitto, derubricato a contravvenzione solo successivamente, ai sensi dell'art. 14 d.lgs. 467/2001, sul modello delle ipotesi contravvenzionali previste in materia di sicurezza degli ambienti di lavoro; tale intervento aveva eliminato la sanzionabilità dell'ipotesi colposa¹⁰⁴, introducendo un regime "concordato" tra Garante ed autorità giudiziaria ordinaria, trascurando il rilievo, tutt'altro che ovvio, "che altro è il regime delle contravvenzioni in materia infortunistica, ove le norme che integrano il precetto penale sono esse stesse determinative di caratteri tecnici o di condizioni specifiche in materia di sicurezza o di prevenzione degli infortuni, in via di diretta attuazione di normative comunitarie di standardizzazione, mentre le misure di sicurezza a tutela dei dati personali attengono ad un quadro complesso e di non semplice individuazione (...). S'intravede una sorta di commissariamento delle condizioni tecniche di fondo di strutture pubbliche e private al di fuori e forse in contrasto con la garanzia minima di oggettività e di determinatezza propria delle prescrizioni tecniche"¹⁰⁵, proprio in ragione della circostanza che nel caso in esame le prescrizioni tecniche non sono individuate direttamente dalla norma richiamata - nel caso di specie l'art. 33 del Testo Unico - la quale si limita ad individuare "condizioni minime di sicurezza" in termini assolutamente generali, demandando la determinazione delle modalità di applicazione delle stesse alle disposizioni contenute nel disciplinare tecnico allegato al codice.

Profili di notevole interesse in relazione al tema in esame emergono, altresì, dalla lettura del Capo secondo del Titolo Terzo del Codice Privacy.

Le norme ivi contemplate delineano, invero, un articolato sistema di disciplina del trattamento dei dati personali da parte dei soggetti pubblici, ed in particolare in ambito giudiziario.

La normativa disposta dal legislatore delegato ha apportato talune innovazioni rispetto a quanto previsto dalla legge 675 del 1996, resesi necessarie dall'intervento, medio tempore, della direttiva 95/46/CE, la quale ha imposto agli Stati membri l'obbligo dell'adozione di significative misure in subjecta materia.

In particolare, gli artt. 20, 21 e 22 contengono la disciplina del trattamento dei dati sensibili e giudiziari, la quale, com'è noto, presentava, alla stregua della normativa previgente al Testo Unico, notevoli affinità, soprattutto sotto il profilo delle modalità del trattamento (art. 22, commi 3 e 3-bis, l. 675, art. 5, comma quinto, d.lgs. 135/1999).

Siffatta omogeneità sostanziale è stata accentuata ed evidenziata dal legislatore delegato - pur con la precisazione di taluni aspetti peculiari e specifici della disciplina del trattamento concernente le due categorie di dati - mediante un più puntuale raccordo delle relative norme.

In proposito, appare opportuno sottolineare, preliminarmente, come, ai sensi dell'art. 4, comma primo, lett. e), per "dati giudiziari" debbano intendersi "i dati personali idonei a rivelare provvedimenti di cui all'art. 3, comma 1, lettere da a) a o) e da r) a u), del d.p.r. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o indagato ai sensi degli articoli 60 e 61 del codice di procedura penale".

Orbene, sul punto dispone l'art. 20 che il trattamento dei dati sensibili da parte di soggetti pubblici è consentito unicamente ove autorizzato da espressa disposizione di legge, nella quale siano specificate le tipologie di dati suscettibili di trattamento, le categorie di operazioni legittimamente eseguibili e le finalità di rilevante interesse pubblico perseguite.

Il secondo comma della medesima norma precisa, altresì, che l'atto con il quale i soggetti pubblici effettuanti il trattamento individuano i tipi di dati e le operazioni da espletare ha natura regolamentare, in ragione della particolare delicatezza dell'oggetto trattato, disponendo inoltre che i regolamenti in questione devono essere adottati in conformità al parere reso dal Garante sui relativi schemi, ai sensi dell'art. 154, comma primo, lett. g).

Il parere può essere reso anche su schemi-tipo, al fine di agevolare il più possibile l'omogeneità degli atti regolamentari adottati dalle Pubbliche Amministrazioni, e la celerità della relativa adozione. Tale disposizione si applica, giusto il disposto di cui al secondo comma dell'art. 21, anche al trattamento di dati giudiziari, da parte dei soggetti pubblici.

Con specifico riferimento al trattamento di dati giudiziari da parte di soggetti pubblici, dispone l'art.21 che esso è consentito solo se autorizzato da espressa disposizione di legge o provvedimento del Garante, che specifichino le finalità di rilevante interesse pubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili.

Infine, la disciplina di cui all'art. 22, rubricato "Principi applicabili al trattamento di dati sensibili e giudiziari" - norma al cui interno sono confluite, in maniera coordinata, le disposizioni dettate dal d.lgs. 135/1999, sulle modalità di trattamento dei dati in esame - ha approntato taluni interventi diretti a realizzare la migliore attuazione dei principi in tale importante materia, e precisamente:

- il primo comma dispone che i soggetti pubblici devono conformare il trattamento dei dati sensibili e giudiziari secondo modalità volte a prevenire violazioni dei diritti, delle libertà fondamentali e della dignità dell'interessato;

- il terzo comma sancisce i principi di proporzionalità e sussidiarietà nel trattamento dei dati sensibili e giudiziari, con il riferimento alla indispensabilità - e non più alla mera necessità, ovvero alla meno pregnante essenzialità - dell'uso di essi, rispetto ad attività istituzionali le quali non potrebbero essere adempiute mediante il ricorso a dati anonimi, ovvero a dati personali di diversa natura;

- il quinto comma prescrive che i soggetti pubblici verifichino periodicamente l'esattezza e l'aggiornamento dei dati sensibili e giudiziari, nonché la loro pertinenza, completezza, non eccedenza e indispensabilità rispetto alle finalità perseguite nei singoli casi, anche con riferimento ai dati che l'interessato fornisca di propria iniziativa, imponendo altresì la prestazione di specifica attenzione per la verifica dell'indispensabilità dei dati sensibili e giudiziari relativi a soggetti diversi da quelli cui si riferiscono direttamente gli adempimenti;

- il sesto comma prevede che i dati sensibili e giudiziari contenuti in elenchi, registri o banche dati, tenuti con l'ausilio di strumenti elettronici, siano trattati con tecniche di cifratura ovvero mediante il ricorso a codici identificativi od altre soluzioni, le quali li rendano temporaneamente inintelligibili persino a chi sia autorizzato ad accedervi, consentendo l'identificazione degli interessati unicamente in caso di necessità;

- il settimo comma precisa che i dati idonei a rivelare lo stato di salute e la vita sessuale sono conservati separatamente da altri dati personali trattati per finalità non richiedentine l'utilizzo,

- ai sensi del comma nono, i soggetti pubblici sono autorizzati ad effettuare, con riferimento ai dati sensibili e giudiziari indispensabili ai sensi del terzo comma, unicamente le operazioni di trattamento parimenti indispensabili per il perseguimento delle finalità per le quali il trattamento è consentito, anche qualora i dati siano raccolti nello svolgimento di compiti di vigilanza, di controllo o ispettivi;

- l'ultimo comma dispone che le disposizioni di cui al medesimo articolo recano principi applicabili, in conformità ai rispettivi ordinamenti, ai trattamenti disciplinati dalla Presidenza della Repubblica, dalla Camera dei deputati, dal Senato della Repubblica e dalla Corte Costituzionale.

Il Titolo Primo della Parte Seconda del Testo Unico detta disposizioni specifiche in merito al trattamento di dati personali in ambito giudiziario.

In proposito, l'art. 46 dispone che gli uffici giudiziari di ogni ordine e grado, il CSM, "gli altri organi di autogoverno" ed il Ministero della Giustizia sono titolari dei trattamenti di dati personali relativi alle rispettive attribuzioni conferite per legge o regolamento.

Il successivo art. 47 individua le disposizioni del testo unico applicabili ai trattamenti in esame, dalle quali rimangono escluse quelle non compatibili con un efficace perseguimento dell'interesse pubblico (artt. 9, 10, 12, 13 e 16, da 18 a 22, 37, 38, commi da 1 a 5, e da 39 a 45; artt. da 145 a 151), definendo l'ambito di applicabilità della particolare disciplina in parola in relazione alle "ragioni di giustizia", di cui è approntata una specificazione, sulla base dell'esperienza applicativa.

Il secondo comma del medesimo articolo precisa, invero, doversi intendere effettuati per ragioni di giustizia i trattamenti di dati personali direttamente correlati alla trattazione giudiziaria di affari e controversie, o che, in materia di trattamento giuridico ed economico del personale della magistratura, hanno una diretta incidenza sull'espletamento della funzione giurisdizionale.

Le medesime ragioni di giustizia non ricorrono, ex art. 47, comma secondo, per l'ordinaria attività amministrativo-gestionale di personale, mezzi o strutture, quando non è pregiudicata la segretezza di atti direttamente connessi alla predetta trattazione.

Ai sensi del combinato disposto degli artt. 8, comma terzo, e 47, in relazione ai trattamenti di dati personali in ambito giudiziario, il Garante effettua, ove necessario, i relativi accertamenti, anche su segnalazione dell'interessato, con le particolari modalità di cui agli artt. da 157 a 160.

In proposito, appare opportuno rilevare come l'art. 160 disponga che "nell'effettuare gli accertamenti di cui al presente articolo nei riguardi di uffici giudiziari (e pertanto quelli effettuati per il tramite di un componente designato dal Garante, circa la conformità alle disposizioni di legge o regolamento, ai sensi dei primi due commi dell'art. 160, n.d.r.), il Garante adotta idonee modalità nel rispetto delle reciproche attribuzioni e della particolare collocazione istituzionale dell'organo procedente. Gli accertamenti riferiti ad atti di indagine coperti dal segreto sono differiti, se vi è richiesta dell'organo procedente, al momento in cui cessa il segreto", e che "la validità, l'efficacia e l'utilizzabilità di atti, documenti e provvedimenti nel procedimento giudiziario basati sul trattamento di dati personali non conforme a disposizioni di legge o di regolamento restano disciplinate dalle pertinenti disposizioni processuali nella materia civile e penale".

Orbene, come può evincersi dal riferimento ad accertamenti su "indagini ancora coperte dal segreto" ovvero dal richiamo agli effetti degli accertamenti medesimi sulla non conformità a legge di atti o provvedimenti "nel procedimento giudiziario", nel senso che la validità, l'efficacia e l'utilizzabilità di tali atti restano disciplinate dalle "pertinenti disposizioni processuali", appare evidente che le norme succitate autorizzino il Garante ad effettuare accertamenti, in merito alla conformità alle norme sulla protezione dei dati personali, persino sull'attività giudiziaria stricto sensu intesa, benché secondo le "idonee modalità" relative "alla particolare collocazione istituzionale dell'organo procedente", potendo il Pubblico Ministero avanzare unicamente un'istanza di differimento della messa a disposizione degli atti di indagine al Garante, in merito ai cui poteri di accoglimento o rigetto della richiesta non si dispone, incomprensibilmente, alcunché.

Fuori dalle ipotesi testé descritte, e pertanto nelle altre fasi del procedimento penale, ovvero ancora nei procedimenti civili o in quelli innanzi alle giurisdizioni amministrative, i rilevanti poteri del Garante, di accessi e verifiche dei luoghi, rilevazioni e controlli, richiesta di informazioni e di esibizione di documenti, ex artt. 157, 158 e 160, non incontra alcun tipo di ostacoli.

Qualora, all'esito di siffatto controllo, il Garante ritenga l'attività del magistrato non conforme alle disposizioni di legge o di regolamento, indica al magistrato procedente le modificazioni ed integrazioni necessarie, verificandone l'attuazione, ai sensi dell'art. 160, comma secondo.

Ed invero, se è espressamente previsto che l'illegittimità dell'attività giudiziaria soggiace alla disciplina processuale per quanto concerne la validità, l'efficacia e l'utilizzabilità dell'atto o del provvedimento illegittimo, non appaiono affatto chiare le conseguenze dell'omesso adeguamento, da parte del magistrato procedente, alle indicazioni del Garante, concernenti le modifiche e/o le integrazioni da adottare.

Ed infatti, all'interno della formulazione normativa dell'art. 170, disciplinante il delitto di inosservanza dei provvedimenti del Garante, non è contemplato, tra siffatti provvedimenti, anche quello di cui all'art. 160, indirizzato al magistrato procedente.

Da ciò deve, pertanto, desumersi, la non configurabilità di un tale delitto da parte del magistrato inosservante, salvo che la non conformità a legge, come accertata dal Garante, non costituisca, di per sé, altro illecito penale.

La disciplina testé descritta appare, peraltro, assolutamente conforme al dettato normativo di cui all'art. 8, comma secondo, il quale, nel disporre le modalità di esercizio dei diritti del titolare dei dati personali oggetto di trattamento, precisa che i diritti di cui all'art. 7 non possono essere esercitati con richiesta al titolare del trattamento, ovvero al responsabile, od ancora con ricorso al garante, ai sensi dell'art. 145, qualora il medesimo trattamento sia effettuato, tra l'altro:

- ai sensi dell'art. 24, comma primo, lett. f)¹⁰⁶, limitatamente al periodo durante il quale potrebbe derivarne un pregiudizio effettivo e concreto per lo svolgimento delle investigazioni difensive o per l'esercizio del diritto in sede giudiziaria,

- per ragioni di giustizia, presso uffici giudiziari di ogni ordine e grado, o il CSM o altri organi di autogoverno o il Ministero della Giustizia,

- ai sensi dell'art. 53¹⁰⁷, fermo restando quanto disposto dalla legge 121/1981.

Infine, ai sensi dell'art. 49, con decreto del Ministero della giustizia sono adottate, anche ad integrazione del decreto del Ministero di Grazia e Giustizia n. 334/1989, le disposizioni regolamentari necessarie per l'attuazione dei principi del testo Unico nella materia penale e civile.

12. Osservazioni in tema di sanzioni penali.

In ordine ai profili sanzionatori degli illeciti penali disciplinati dal Testo Unico, appare di dubbia opportunità il ruolo predominante ivi assegnato alle pene detentive brevi sulla base del consolidato convincimento che esse determinino effetti "più desocializzanti che rieducativi"¹⁰⁸; laddove sarebbe stato invece auspicabile un ampio ricorso a sanzioni accessorie a contenuto interdittivo - da utilizzarsi anche quali pene principalì¹⁰⁹ -, tali da rafforzare, in chiave tanto generale quanto special-preventiva, l'efficacia delle fattispecie delittuose"¹¹⁰.

Altresì opportuna sarebbe stata l'introduzione della confisca della banca-dati, al fine di garantire in modo particolarmente efficace i diritti degli interessati nelle ipotesi più gravi.

Appare opportuno sottolineare come l'intervento normativo in esame non abbia del tutto omesso di introdurre disposizioni significative in materia di risarcimento del danno¹¹¹, sulla scia, peraltro, di quanto previsto dall'art. 18 della legge 675.

Sancisce, infatti, l'art. 15 del Testo Unico, che "chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell'art. 2050 del codice civile", precisando, altresì, che "il danno non patrimoniale è risarcibile anche nei casi di violazione dell'art. 11" (norma, quest'ultima, che disciplina le modalità di trattamento dei dati).

Tuttavia, sarebbe stato auspicabile il recepimento di quella impostazione dottrinale tesa a favorire l'introduzione di soluzioni di collegamento tra sanzioni penali e civili, "nell'ambito di un procedimento sulla falsariga, magari, del § 153 StPO, ovverosia della possibilità di giungere ad un' archiviazione (Einstellung), sull'accordo delle parti e con il consenso del giudice, se, ovviamente, quest'ultimo ritenga che l'ammontare del risarcimento possa in concreto soddisfare la vittima, e, dunque, essere tale da rendere tale da rendere superflua l'inflizione della pena detentiva"¹¹².

Tale soluzione permetterebbe, infatti, di realizzare una certa deflazione del carico giudiziario penale, garantendo altresì l'efficacia general-preventiva dell'incriminazione, a fronte di una rinuncia alla sola componente di "stigmatizzazione morale "¹¹³ della pena.

NOTE
1 La scelta di tale denominazione viene motivata, in sede di Relazione al decreto legislativo in esame, con l'esigenza, da parte del legislatore delegato, di accogliere le indicazioni promananti dal disegno di legge di semplificazione 2001, in tema di riassetto normativo e di codificazione, già approvato dalle Camere, ed attualmente in fase di nuovo esame, in seguito al rinvio da parte del Presidente della Repubblica.
2 Come può evincersi dalla Relazione di accompagnamento al d.lgs. 30 giugno 2003, n. 196, nonché dall'intervento dell'On. Mormino, alla Seconda Commissione Giustizia, nella seduta del 17 giugno 2003, che può leggersi nel Bollettino delle giunte delle Commissioni, 17 giugno 2003, pubblicato a cura della Camera dei deputati, p. 77.
3 L'intervenuta approvazione, medio tempore, della direttiva 2002/58/CE del 12 luglio 2002, ha reso necessario un differimento di sei mesi - con scadenza, pertanto, al 30 giugno 2003 - del termine per l'esercizio della delega, come può evincersi dalla disposizione di cui all'art. 26 della legge 3 febbraio 2003, n. 14.
4 In virtù di precipue disposizioni transitorie in detta sede previste, tali orientamenti risultano applicabili anche a talune deleghe legislative in corso al momento della stesura del disegno di legge citato.
5 Può leggersi al sito ufficiale del Parlamento, alla voce "Atto del Senato, 776-B/bis".
6 Il riferimento ai principi espressi dalla Carta di Nizza deve ritenersi tanto più importante in considerazione degli attuali sviluppi della CIG di Roma. Ed infatti, il Governo italiano ha espresso l'intenzione, allo stato condivisa da gran parte dei Paesi dell'Unione, di attuare la proposta, avanzata nel contesto della Convenzione presieduta da Giscard d'Estaing, di inserire nel Trattato, precisamente nel capo dedicato ai diritti dei cittadini dell'Unione, le previsioni della Carta di Nizza, rendendole pertanto giuridicamente vincolanti, e dotate altresì di efficacia non solo verticale, ma addirittura orizzontale (il che comporta la diretta azionabilità delle stesse, anche nell'ambito di contestazioni inerenti a rapporti interprivati), al pari di ogni altra norma del diritto comunitario c.d. super-primario. Come può infatti evincersi dall'art. II-8 del draft di Costituzione Europea, trasmesso, in data 20 giugno 2003, al Consiglio Europeo riunito a Salonicco, tale diritto comporta la necessità che i dati di carattere personale che riguardano ogni individuo siano "trattati secondo il principio di lealtà, per finalità determinate, ed in base al consenso della persona interessata, o (in base) a un altro fondamento legittimo previsto dalla legge". Si precisa inoltre, all'ultimo periodo del secondo comma, che "ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica", ed al terzo comma, infine, si statuisce che "il rispetto di tali regole è soggetto al controllo di un'autorità indipendente".
7 Così S. Del Corso, Commento agli artt. 34-38, in Le nuove leggi civili commentate, 1999, n. 2-3, p. 730.
8 S. DEL CORSO, op. loc. ult. cit.
9 Degna di nota appare, ad esempio, la previsione di cui all'art. 50, la quale estende anche ai procedimenti giudiziari vertenti in materie diverse da quella penale il divieto - già presente nell'ambito di tale ultimo settore dell'ordinamento giuridico - di divulgazione e pubblicizzazione, con qualunque mezzo effettuate, di immagini o notizie idonee a consentire l'identificazione del minore coinvolto in vicende giudiziarie. Parimenti, la norma di cui all'art. 52 definisce le modalità con le quali garantire il diritto all'anonimato delle parti in giudizio nel caso di diffusione di una decisione giudiziaria - ivi compreso il lodo arbitrale rituale - in qualunque forma (su riviste giuridiche, mediante compact-disk, attraverso la rete internet), ferma restando, com'è ovvio, la pubblicazione della sentenza nelle forme previste dai codici di rito.
Si segnala, inoltre, la previsione, di cui all'art. 165, della possibilità di applicazione, nelle ipotesi di cui agli artt. 161, 162 e 164 (omessa o inidonea informativa all'interessato; omessa o incompleta notificazione; omessa informazione o esibizione al Garante), della sanzione amministrativa accessoria della pubblicazione dell'ordinanza-ingiunzione, per intero o per estratto, in uno o più giornali indicati nel provvedimento che la applica. La disposizione non riguarda, com'è ovvio, la fattispecie dell'omessa o incompleta notificazione, ove la sanzione accessoria è già prevista come obbligatoria. Seppur in relazione all'analoga previsione della pubblicazione della sentenza di condanna, di cui al previgente art. 38, osserva opportunamente P. VENEZIANI, Beni giuridici protetti e tecniche di tutela penale nella nuova legge sul trattamento dei dati personali: prime osservazioni, in RTDPE, 1997, p. 169, come talvolta la pubblicazione della sentenza (nel caso che ci occupa, del provvedimento) potrebbe risultare indesiderata alla vittima, nel timore che si risolva "in un ulteriore intervento invasivo e lesivo della propria vita privata".
10 Per quanto, come abbiamo già in altra sede osservato, "l'efficacia deterrente di una sanzione non aumenta in rapporto diretto con l'inasprimento della sanzione medesima" (A. MANNA, La protezione penale dei dati personali nell'ordinamento italiano, in RTDPE, 1993, p. 186).
11 In tal senso si esprime l'On. Mormino, nel suo intervento alla Seconda Commissione Giustizia, nella seduta del 17 giugno 2003, che può leggersi nel Bollettino delle giunte e delle Commissioni, 17 giugno 2003, pubblicato a cura della Camera dei deputati, p. 77.
12 Sul punto cfr., ex plurimis, P. VENEZIANI, Beni giuridici, cit., p. 135 ss; nonché G. CORRIAS LUCENTE, Profili penali della recente legge sul trattamento dei dati personali, in Studium Juris, 1998, I, p. 1ss.
13 Da parte di P. VENEZIANI, op. ult. cit., p. 177.
14 Il testo di tali Raccomandazioni è pubblicato alle pp. 1286 ss. del n. 3 del 1995 della Rivista trimestrale di diritto penale dell'economia
15 Intendendo, peraltro, la nozione di privacy nella sua duplice valenza: da un lato, una libertà a contenuto negativo (libertà da), comprensiva del fondamentale diritto a mantenere riserbo su determinati dati, escludendone l'accesso indiscriminato a terzi (il che afferisce alla riservatezza, stricto sensu intesa); dall'altro, una libertà a contenuto positivo (libertà di), tale da garantire al titolare le diverse modalità (ad es. accesso, rettifica) necessarie al controllo della correttezza e non eccedenza del trattamento, al fine di salvaguardare, in primis, il diritto all'identità personale dell'interessato. In argomento, cfr. P. PATRONO, voce Privacy e vita privata (diritto penale), in Enciclopedia del diritto, vol. XXXV, Milano, 1986, p. 557 ss; A. PAGLIARO, Informatica e crimine organizzato, in Indice penale 1990, p. 414 ss; A. MANNA, Beni della personalità e limiti della protezione penale, Padova, 1989, passim; ID., Tutela penale della personalità, Bologna, 1993, p. 11 ss; ID., La protezione penale dei dati personali cit., p. 179 ss.; D. FONDAROLI, La tutela penale dei beni informatici, in Diritto dell'informazione e dell'informatica, 1996, p. 291 ss; S. RODOTÀ, La "privacy" tra individuo e collettività, in Politica del diritto, 1974, p. 557 ss; V. FROSINI, voce Telematica e informatica giuridica, in Enciclopedia del diritto, vol. XLIV, 1992, p. 66.
16 Una riflessione particolare merita la fattispecie di omessa o incompleta notificazione, mutuata dall'art. 34 della legge 675, ed ora prevista dall'art. 163 del Testo Unico. Pertanto, detta disposizione sarà oggetto di trattazione separata, nel paragrafo successivo.
17 Cfr., ex plurimis, E. BANI, Commento all'art. 39 L. 675/1996, in Le nuove leggi civili commentate, 1999, n. 2-3, p. 750 ss; nonché S. DE RADA, Commento all'art. 39, in E. GIANNANTONIO - M.G. LOSANO - V. ZENO ZENCOVICH, La tutela dei dati personali. Commentario alla l. 675/1996, 2°, Padova, 1999, p. 376.
18 In argomento cfr., per tutti, A. M. SANDULLI, voce "Sanzione" in Enc Giur. Treccani, vol. XXVIII, Roma, 1993, p.3.
19 In tal senso, cfr. I. TRICOMI, Sanzioni penali ed amministrative ad ampio raggio, in Guida del Sole 24 ore alla Tutela della Privacy, dicembre 1997, p. 52.
20 Tale decreto legislativo aveva inoltre introdotto, al secondo comma dell'art. 39, la possibilità di aumentare sino al triplo la sanzione, prevista per l'ipotesi di omessa o inidonea informativa all'interessato, "quando essa risulti inefficace in ragione delle condizioni economiche del contravventore". La previsione compare ora, nei medesimi termini, all'art. 161 del Testo Unico.
21 Cfr., ad es., E. BANI, op. cit., p. 753. In proposito, giova rilevare come i limiti edittali delle sanzioni previste dall'originaria formulazione degli artt. 39 e 16, comma terzo, l. 675, apparissero effettivamente esigui, rispetto alla gravità delle violazioni, ed al livello di altre sanzioni amministrative pecuniarie introdotte in diversi settori dell'ordinamento, tali da non costituire un efficace deterrente, anche in considerazione delle peculiari condizioni economiche dei titolari cui, sovente, vengono comminate le sanzioni in parola. Peraltro, il ridotto excursus tra minimo e massimo edittale rendeva la sanzione amministrativa non sufficientemente graduabile con la dovuta flessibilità, in relazione alle diverse fattispecie concrete, nonché in applicazione dei criteri generali di cui all'art. 11 della l. 689/1981, richiamata in virtù del rinvio formale operato dall'art. 39, comma terzo, l. 675.
22 In tal senso, cfr. G. Buttarelli, Banche dati e tutela della riservatezza, Milano, 1997, p. 541; nonché P. VENEZIANI, Beni giuridici, cit., p. 176. Sia inoltre consentito il rinvio a A. MANNA, Il trattamento dei dati personali: le sanzioni penali, in L FIORAVANTI (a cura di), La tutela penale della persona Nuove frontiere, difficili equilibri, Milano, 2001, p. 351, per il riferimento all'introduzione di sanzioni interdittive e di carattere inibitorio, assurte al rango di pene principali nel progetto di riforma del codice penale, elaborato dalla Commissione Grosso.
23 In tal senso, cfr. E. BANI, op. cit., p. 759.
24 Cosi, testualmente, E. BANI, op. cit., p. 759.
25 Così E. BANI, op. cit., p. 757.
26 L'espressione è di E. BANI, op. cit., loc. ult. cit..
27 Così, testualmente, E. BANI, op. cit., loc. ult. cit..
28 In tal senso, cfr. C. E. PALIERO- S. TRAVI, La sanzione amministrativa, Milano, 1988, p. 2.
29 Cosi C. E. PALIERO- S. TRAVI, op. cit., p. 4; nonché F. DE ROBERTO, Le sanzioni amministrative non pecuniarie, in Atti del XXVI Convegno di studi di scienza dell'amministrazione, Milano, 1982, p. 126.
30 Incaricata, com'è noto, di redigere, in questa legislatura, un progetto di nuovo codice penale, nell'ambito della quale, il progetto in questione è stato elaborato dalla sottocommissione coordinata dal Prof. Mario Trapani.31 Cosi può leggersi al paragrafo quinto della Relazione al citato Progetto di depenalizzazione.
32 Cfr. Relazione al Progetto Nordio di depenalizzazione, loc ult. cit.
33 L'art. 12 del d.lgs. 467/2001 ha rideterminato la pena di cui all'originario art. 34 l. 675 (reclusione da tre mesi a due anni) nella sanzione amministrativa del pagamento "di una somma da lire dieci milioni a lire sessanta milioni" e con la sanzione amministrativa accessoria della pubblicazione dell'ordinanza di ingiunzione.
34 Nel senso di ricorrere all'utilizzazione di una tecnica di tutela alternativa a quella penale. In argomento, per gli opportuni riferimenti di legislazione e dottrina comparata, cfr. eventualmente A. MANNA, Beni della personalità, cit., p.708 ss.
35 Depenalizzazione auspicata da attenta dottrina, in relazione tanto alla fattispecie di omessa o infedele notificazione quanto a quella di omessa custodia dei dati, proprio in ragione della loro finalità di protezione di mere funzioni anziché di beni giuridici (in tal senso, cir. P. VENEZIANI, Beni giuridici, cit., p. 166. In tale prospettiva si è da noi già osservato come "l'illecito amministrativo ben possa essere previsto in dipendenza di violazioni di un obbligo di fare, quindi di carattere omissivo (proprio), cioè, in definitiva, di violazioni di carattere "procedimentale", che, a ben considerare, non ledono, né mettono in pericolo alcun "concreto" bene giuridico, ma solo "disturbano" la "regolarità" del procedimento di elaborazione dei dati" (A. MANNA, La protezione penale dei dati, cit., p. 188).
36 Cfr., per tutti, gli acuti rilievi in proposito effettuati da P. VENEZIANI, op. cit., p. 163.
37 Come in altra sede da noi rilevato, (A. MANNA, La protezione penale dei dati personali, cit., p. 181), tale tecnica legislativa comporta difficoltà di non lieve entità, anzitutto sul piano probatorio, le quali emergono in tutta la loro evidenza nell'ipotesi in cui si debba accertare se il fatto contestato sia stato commesso "anche al di là dei fini della legge medesima(...), in quanto si costringe in pratica l'interprete ad individuare la ratio, o, meglio, le rationes legis, e poi a confrontarle con la fattispecie concreta, per stabilire se quest'ultima vi corrisponda, o no".
38 Tale momento contribuisce a comporre, pertanto, la tatbestandmäßige Situation dalla quale scaturisce l'obbligo, per il titolare del trattamento, di attivarsi, notificando.
39 Cosi, testualmente, P. VENEZIANI, Beni giuridici, cit., loc. ult. cit.
40 P. VENEZIANI, op. ult. cit., p. 163 .
41 Cosi, P. VENEZIANI, op. ult. cit., p. 164.
42 Del resto, la scelta di arretrare la soglia dell'intervento penale a momenti "funzionali" appare sconsigliabile in presenza di beni "scarsamente materiali", in quanto, nella misura in cui ci si allontani dal bene giuridico "finale" si affievolisce la possibilità di legittimare l'incriminazione sulla base del riferimento al rango costituzionale dell'interesse tutelato, dal momento che il necessario requisito dell'offensività sfuma a tal punto da coincidere con una mera ratio di tutela, "del tutto inidonea, secondo la prospettiva, costituzionalmente vincolante, del diritto penale del fatto, a sostenere da sola le ragioni di una incriminazione" (cosi S. FIORE, voce Riservatezza (diritto alla) IV) diritto penale, in Enc. giur., Aggiornamento, VIII, 2000, p. 12).
Per ulteriori approfondimenti critici sul punto, si rinvia all'ampia trattazione di A. MANNA, I reati di pericolo astratto e presunto e i modelli di diritto penale, in Questione Giustizia, 2001, n. 3, p. 439 ss.
43 Come in altra sede già osservato, (A. MANNA, Il trattamento dei dati personali: le sanzioni penali, in L FIORAVANTI op. cit.„ p. 345, cui ci si permette di rinviare anche per i riferimenti alla giurisprudenza costituzionale sul tema), tale disposizione presentava profili di illegittimità costituzionale di non scarso rilievo, in relazione all'irragionevole equiparazione - quanto al trattamento sanzionatorio - nell'ambito della medesima fattispecie, di condotte nettamente distinte tra loro, quali una omissiva propria ed una di falso; nonché sotto il profilo del vulnus al principio di precisione, secondo la terminologia utilizzata da Marinucci e Dolcini (G. MARINUCCI-E. DOLCINI, Corso di diritto penale, 1, Milano, 1999, p. 57)
44 Soggetti all'obbligo di notificazione sono, pertanto, adesso, i trattamenti relativi a:
- dati genetici, biometrici, o concernenti l'ubicazione di persone ed oggetti, da chiunque effettuati;
- dati idonei a rivelare lo stato di salute e la vita sessuale, trattati per particolari finalità sanitarie (a fini di procreazione assistita; prestazione di servizi sanitari, per via telematica, relativi a banche dati o alla fornitura di beni, indagini epidemiologiche ecc.);
- dati idonei a rivelare la vita sessuale o la sfera psichica, trattati da organismi non-profit;
- dati trattati con l'ausilio di strumenti elettronici volti a definire il profilo o la personalità dell'interessato, oppure ad analizzare abitudini o scelte di consumo, ovvero a monitorare l'utilizzo di servizi di comunicazione elettronica, con esclusione, tuttavia, dei trattamenti tecnicamente indispensabili per fornire i medesimi servizi agli utenti;
- dati sensibili registrati in banche dati a fini di selezione del personale, ma unicamente nelle ipotesi nelle quali ciò avvenga per conto di terzi; nonché dati sensibili utilizzati per sondaggi di opinione e simili;
- dati registrati in apposite banche dati gestite con strumenti elettronici e relative al rischio sulla solvibilità economica e simili (c.d. "centrali rischi").
45 Ipotesi, al contrario, dettagliatamente descritte dal comma 5-ter dell'art. 7 della legge 675, in ordine alle quali si era tuttavia osservato in dottrina (I. TRICOMI, Doppio binario per la comunicazione al Garante: precedenza ai dati su mezzi elettronici, in Guida al diritto, n. 31, 1997, p. 43) come fosse estremamente difficile ravvisare una ratio comune, per quanto si potesse tentare di identificarne le caratteristiche comuni nella "usualità e necessità del trattamento, (nel)la generale conoscibilità dei dati, (nel)l'assenza di lucro, (nel)la connessione con obblighi di legge".
46 Cfr., per tutti, G. CORRIAS LUCENTE, Sanzioni penali e amministrative a tutto campo per aumentare la tutela del cittadino, in Guida al diritto 1997, n. 4, p. 82.
47 Cl Si riferisce a P. VENEZIANI, Beni giuridici, cit., p. 144.
48 In merito alla previsione, di cui al comma secondo dell'art. 35 della l. 675, diretta ad equiparare - quanto al trattamento sanzionatorio - due condotte radicalmente diverse l'una dall'altra - e cioè, da un lato, la comunicazione illecita di dati, che in quanto tale concerne un singolo soggetto od una pluralità di soggetti, comunque determinati, e, dall'altro, la diffusione, la quale, proprio in quanto rivolta in incertam personam, di per sé riguarda una pluralità indeterminata di destinatari - si è da noi in altra sede rilevato come detta parificazione, all'interno di una medesima cornice edittale di pena, di due condotte, delle quali una, la diffusione, appare certamente più grave dell'altra, presenti profili di dubbia legittimità costituzionale. Per gli opportuni riferimenti bibliografici sul punto, sia consentito il rinvio ad A. MANNA, Il trattamento dei dati personali, etc., cit., p. 348.
49 Ad una soluzione in tal senso orientata perviene P. VENEZIANI, Commento all'art. 3, in I. CARACCIOLI - A. GIARDA - A. LANZI - Diritto e procedura penale tributaria Commento al Decreto Legislativo 10 marzo 2000 n. 74, Padova, 2001, p. 131 ss., e, quivi, p. 161, in relazione ad un'analoga questione di definizione esegetica della natura delle soglie di rilevanza, introdotte dal d.lgs. 74/2000, all'interno della fattispecie di dichiarazione fraudolenta mediante "altri artifici".
Anche in tal caso, si poneva l'alternativa tra la configurazione delle predette soglie di rilevanza in termini di condizioni di punibilità, valorizzando l'elemento del dolo specifico, ovvero in termini di elementi costitutivi della tipicità del fatto, con la conseguente qualificazione del dolo come generico (rectius: intenzionale), ad onta della locuzione "al fine di", adottata dal legislatore del 2000, che sarebbe solo apparentemente evocativa del dolo specifico, mentre in realtà assolverebbe la funzione di restringere la rilevanza del dolo alla sola forma intenzionale, in rapporto all'evasione d' imposta. L'opzione in favore di quest'ultima impostazione esegetica viene dall'A. motivata, nella specie, con riferimento alla voluntas legislatoris - espressa in sede di Relazione alla riforma - diretta ad intendere le soglie di rilevanza quali "elementi costitutivi del reato", con conseguente ampliamento, di riflesso, dell'oggetto del dolo. Ad avviso dell'A., la prospettiva di recupero di offensività delle fattispecie de quibus, cui sarebbe improntata la riforma, proprio in quanto incentrata sull'evasione come momento di disvalore penale, comporterebbe la necessita di inscrivere il dato quantitativo, espresso dai tetti di punibilità, all'interno della struttura tipica del fatto di reato, dovendo così essere investito dal dolo.
La soluzione adottata da Veneziani appare, tuttavia, non condivisibile - né in relazione alle soglie di rilevanza, introdotte dal legislatore del 2000 nella fattispecie di dichiarazione fraudolenta mediante "altri artifici", né rispetto all'elemento della derivazione del nocumento, presente nella fattispecie di trattamento illecito dei dati personali - dal momento che presuppone una surrettizia trasformazione del dolo specifico in dolo intenzionale. Ma sul punto, qui soltanto accennato, dovremo tornare in seguito.
50 Per i profili dommatici relativi alla natura giuridica delle soglie di rilevanza in materia di reati tributari, ci permettiamo di rinviare ad A. MANNA, Prime osservazioni sulla nuova riforma del diritto penale tributario, in Rivista trimestrale di diritto penale dell'economia, 2000, n. 1, p. 125 ss., sede in cui si è avuto modo di dimostrare come l'impostazione, richiamata nella nota precedente, tendente a configurare le soglie di rilevanza in termini di elemento costitutivo della struttura tipica, sia difficilmente sostenibile, sol che si consideri l'estraneità del superamento delle soglie rispetto ad uno stretto rapporto di lesività con il bene giuridico finale - nella specie, l'interesse del Fisco alla effettiva corresponsione della prestazione tributaria, con riferimento al quale si determina non una lesione stricto sensu intesa, ma soltanto una sua messa in pericolo - rapporto che caratterizza, invece, l'evento all'interno della fattispecie criminosa. Nella medesima sede si è precisato, inoltre, come i delitti de quibus si presentino quali ipotesi di pericolo concreto, in quanto, ai fini della consumazione del reato, è necessario che la condotta infedele, avente ad oggetto la dichiarazione, appaia idonea, alla stregua di un giudizio ex ante ed in concreto, a realizzare il risultato dell'evasione (ibidem, e specialmente p. 127).
In argomento, vedasi anche A. LANZI, Illeciti penali in A. LANZI - P. ALDROVANDI, L'illecito tributario, Padova, 2001, pp. 129-130, il quale ravvisa, nelle soglie di punibilità di cui all'art. 3 del D. Lgs. 74/2000, delle condizioni obiettive di punibilità, "ossia degli elementi oggettivi, di per sé staccati dalla colpevolezza dell'agente, al cui obiettivo verificarsi la condotta tenuta acquista rilevanza penale ed è punibile" (ibidem). L'A. osserva, inoltre, come in tale contesto, la colpevolezza non abdichi al suo ruolo essenziale, dal momento che, attraverso il dolo specifico richiesto, si individua e si tipicizza una condotta teleologicamente orientata alla evasione d'imposta; e del resto, mediante il dolo generico, necessario ma non sufficiente per la punibilità di tale condotta, "si richiede che l'indicazione di ogni elemento attivo inveritiero o passivo fittizio, che concorre a formare il dato quantitativo delle soglie di punibilità, sia accompagnata dalla piena consapevolezza e rappresentazione sia della specifica falsità che dell'ammontare di tali elementi mendaci; in modo tale che la colpevolezza pienamente investe ogni elemento che caratterizza la condotta tipica, relativamente alla quale le soglie di punibilità non sono altro che degli elementi meramente consequenziali sul piano oggettivo, e dunque staccati, solo di per sé, dalla colpevolezza" (ivi, p. 130).
51 Cfr., in argomento, P. VENEZIANI, Spunti per una teoria del reato condizionato, Padova, 1992, p. 37 ss.; nonché, per analoghi rilievi in riferimento alle soglie di punibilità nei reati tributari, sia consentito il rinvio - anche per ulteriori riferimenti bibliografici - ad A. MANNA, Prime osservazioni, cit., loc. ult. cit..
52 Da G. SALCUNI, Natura giuridica e funzioni delle soglie di punibilità nel nuovo diritto penale tributario, in RTDPE 2001, n. 1 /2, p. 148.
53 Il criterio diagnostico-formale,( formulato da F. BRICOLA, voce Punibilità, in Noviss. Dig. It., XIV, 1967, pp. 593 e 597) in virtù del quale non potrebbe configurarsi in termini di condizione obiettiva l'elemento che rientri nell'ambito della rappresentazione del soggetto, è stato sottoposto a critica (da F. ANGIONI, Condizioni di punibilità e principio di colpevolezza, in RIDPP, 1989, p. 1453), sulla base del rilievo secondo cui la locuzione "anche se", contenuta nell'art. 44 c.p., avrebbe valore concessivo ipotetico, e non concessivo semplice; ammettendo, quindi, la presenza di condizioni legate anche da un rapporto di causalità materiale con il fatto, riconducendo alla disciplina di cui all'art. 44 c.p. anche eventi i quali siano previsti, dalla fattispecie astratta, come voluti dall'agente.
54 Cosi G. SALCUNI, op. loc. ult. cit.
55 Cfr., in argomento, E. SCHMIDHÄUSER, Objeitive Strafbarkeitsbedingungen, in Zst R., LXXI, 1959, p. 548 ss., H. STRATENWERTH, Strafbarkeifstedingungen in Entwurf eines Strafgesetzbuchs, in ZStW, vol. 71, 1959, p. 570; O. VANNINI, Le condizioni estrinseche di punibilità nella struttura del reato, in ID., Raccolta di alcuni scritti minori Milano, 1952, p. 12 ss.; G. NEPPI MODONA, voce Condizioni obiettive di punibilità, in Enc. giur., vol. VII, Roma, 1997,p. 5
56 Cosi O. VANNINI, op. cit., loc. ult. cit.
57 In tal senso, v. M. GALLO, Il concetto unitario di colpevolezza, Milano, 1951, p. 24.
58 P. NUVOLONE, Il diritto penale del fallimento e delle altre procedure concorsuali Milano, 1955, p. 14.
59 Analogamente, l'art. 47 del Progetto Preliminare del codice penale del 1930, distingueva tra condizioni necessarie all'esistenza del reato - cioè quegli elementi più strettamente riconducibili alla sua struttura - e condizioni per la sua punibilità - quali elementi afferenti alla mera esecuzione della pena -, secondo un'impostazione risalente a MASSARI, Le dottrine generali del diritto penale, Spoleto, 1928, p. 67.Come già da noi in altra sede sottolineato (A. MANNA, Prime osservazioni cit., p. 127), nonostante tale distinzione scompaia nel testo definitivo dell'art. 44 c.p., ciò non può certamente imputarsi "al preciso intento di un superamento concettuale della medesima, quanto all'incertezza che allora regnava in dottrina, circa il criterio differenziale". In argomento, cfr. F. BRICOLA, op. ult. cit., p. 590, il quale auspica, al fine di superare le perplessità di ordine costituzionale che investono non poche condizioni obiettive, una revisione, in una prospettiva de jure condendo, di tale istituto, in senso processuale. In una diversa prospettiva, de jure condito, G. FIANDACA - E. MUSCO, Diritto penale. Parte generale, 4^a ed., Bologna, 2002, p. 747 ss., pur affermando che l'elemento della punibilità accede ad un reato già di per sé perfetto, ritengono che non sia ancora stata "fornita la prova decisiva circa l'inesistenza nell'attuale ordinamento penale di condizioni c.d. intrinseche".Altra parte della dottrina più recente (vedansi, per tutti, G. MARINUCCI - E. DOLCINI, Corso di diritto penale. Le fonti. Il reato: nozione, struttura e sistematica, Milano, 1999, p. 498), limita, invece, la categoria in esame alle sole condizioni di punibilità estrinseche. In proposito, giova sottolineare come l'art. 13 del c.d. Progetto Pagliaro (in Documenti Giustizia, 1992, 3, p. 339), affermando che le condizioni di punibilità dovessero ritenersi quali accadimenti estranei all'offesa tipica, escludesse da tale categoria e dalla relativa disciplina le condizioni intrinseche. L'art. 35 del c.d. Progetto Grosso (pubblicato in www.giustizia.it), pur nel rispetto del principio di colpevolezza, si limitava a richiedere al legislatore, qualora avesse voluto ricorrere all'elemento condizionale, l'espressa indicazione nella fattispecie, dovendovisi altrimenti applicare il regime di imputazione degli elementi costitutivi.
60 Come opportunamente osservato (da G. NEPPI MODONA, op. cit., p. 11), le condizioni di punibilità permetterebbero di trasferire all'interno del modello legale - sottoponendole pertanto alla garanzia del principio di stretta legalità - "quelle ragioni di opportunità e di convenienza che in altri ordinamenti trovano sbocco nella discrezionalità dell'azione penale".
61 G. NEPPI MODONA, op. cit., p. 5. Nell'ambito della dottrina tedesca, G. STRATENWERTH, Objektive Strafbarkeitsbedingungen im Entwurf eines Strafgesetzbuchs, cit., p. 567 ss., ammette l'esistenza di condizioni obiettive che esprimono la necessita di fare intervenire la sanzione penale solo qualora il comportamento dell'agente, già di per sé carico di disvalore, abbia cagionato una lesione particolarmente grave, giungendo addirittura a sostenere che detto istituto risponda sempre a tale esigenza.
62 Come si avrà modo di chiarire più avanti, infatti, pur potendosi ritenere il diritto alla riservatezza quale comun denominatore dell'oggettività giuridica protetta dalla norma in esame - la quale si articola in più fattispecie, individuate dalla violazione di altrettante, diverse, disposizioni extra-penali ivi richiamate - non vanno trascurate talune varianti, previste da ciascuna ipotesi delittuosa, tali da influire sensibilmente sull'identificazione del bene giuridico.
63 Sul duplice aspetto della nozione di privacy, come libertà di escludere l'indiscriminato accesso di terzi ai dati personali, e come libertà di rettificare, integrare, limitarne il trattamento, cfr. quanto osservato supra, par. 2.
64 Ipotesi corrispondente alla fattispecie-base di cui al previgente art. 35 l. 675, ora ritenuta, pertanto, non sufficiente al promovimento dell'azione penale, se disgiunta dalla derivazione di un "nocumento" al diritto dell'interessato.
In tema di condizioni obiettive di punibilità, i criteri letterale e semantico di interpretazione assumono una valenza euristica di non poco momento, in sede di ricostruzione esegetica dell'istituto. Invero, è con riferimento al diverso significato degli incisi "se è dichiarato fallito", di cui all'art. 216, comma primo, n. 1, R. D. 267/1942, e "se hanno cagionato (...) il fallimento", di cui all'art. 223, comma secondo, n. 2, R D. 267/1942, che attenta dottrina ( C. PEDRAZZI, I reati fallimentari, in C. PEDRAZZI - A. ALESSANDRI - L. FOFFANI - S. SEMINARA - G. SPAGNOLO, Manuale di diritto penale dell'impresa, Bologna, 1999, pp. 107 e 170), riconosce nella prima espressione una condizione obiettiva di punibilità, e nella seconda un evento del reato, in senso tecnico.
Ed infatti, nella fattispecie di bancarotta fraudolenta prefallimentare, la mancanza di derivazione causale della dichiarazione di fallimento dai fatti di bancarotta- che di fatto può sussistere, ma che non è richiesta dalla norma -, ne escluderebbe la qualificazione in termini di evento, non essendo neppure necessario un collegamento eziologico tra i fatti di bancarotta e lo stato di insolvenza o dissesto, presupposto della dichiarazione di fallimento. Le conseguenze pregiudizievoli dei fatti di bancarotta non coincidono, del resto, con il danno complessivo dei creditori, intrinseco al dissesto fallimentare, "che non trova nelle condotte delittuose un necessario antecedente causale, potendo risultare imputabile anche a fattori accidentali o comunque incolpevoli" (ibidem). Ciò significa che il disvalore penale dei fatti di bancarotta "non è un riflesso retrospettivo del fallimento, ma si radica in una carica offensiva ad essi immanente, nella violazione di regole gestionali poste a protezione delle ragioni creditorie" (ivi p. 107). Ne consegue la configurazione della dichiarazione di fallimento nei termini di condizione obiettiva di punibilità, secondo il paradigma di cui all'art. 44 c.p.
Al contrario, all'interno del dettato normativo dell'art. 223, comma secondo, n. 2, R. D. 267/1942, la dichiarazione di fallimento assume rilevanza come conseguenza causale della condotta, focalizzando l'intervento penale sul momento del danno, pertanto in una fase più avanzata dell'offesa, rispetto all'ipotesi, appena trattata, dell'art. 216, primo comma, n. 1, che concerne invece la fase dell'esposizione a pericolo delle ragioni creditorie. La causazione del fallimento implica, infatti, la sussistenza delle premesse necessarie a tale declaratoria, con la conseguenza che, nell'ipotesi in esame, l'evento fallimento deve essere previsto e voluto dall'agente quale effetto della sua azione od omissione.
Pertanto, la circostanza che all'art. 167, primo comma, del Testo Unico in materia di protezione dei dati personali, ricorra l'esplicita previsione della derivazione di un nocumento dalla condotta di trattamento illecito di dati - espressa dall'inciso "se dal fatto deriva nocumento" -, rappresenta un'ulteriore conferma della natura di condizione obiettiva di punibilità di tale elemento. Qualora, infatti, il legislatore delegato avesse voluto configurare detto elemento alla stregua di evento della fattispecie, avrebbe certamente utilizzato l'inciso "se il fatto cagiona un nocumento", sul modello, sopra richiamato, dell'art. 223, comma secondo, n. 2, del R. D. 267/1942.
65 Precisa la Consulta, nella "storica" sentenza 364/1988 (pubblicata, ad es., in RIDPP, 1988, p. 686 ss., con nota di D. PULITANÒ, Una sentenza storica che restaura il principio di colpevolezza), che il principio di colpevolezza, sancito dall'art. 27 Cost., lungi dal limitarsi ad imporre un mero divieto di responsabilità per fatto altrui, postula invece che il fatto proprio - inteso come l'insieme degli elementi che incentrano l'offensività della fattispecie rispetto al bene tutelato - sia ascrivibile al soggetto, "ma anche, e soprattutto, al momento subiettivo, costituito, in presenza della prevedibilità ed evitabilità del risultato vietato, almeno dalla "colpa" in senso stretto".
In dottrina, peraltro, si deve a F. ANGIONI, op. ult. cit., p. 1510 ss., il rilievo secondo cui le condizioni obiettive intrinseche devono essere coperte almeno dalla colpa. Nell'ambito della dottrina tedesca, cfr., sul punto, SCHWEIKERT, Strafrechtliche Haftung fur riskantes Verhalten?, in ZStW, 1958, p. 394 ss.
66 Condizione che determina, peraltro, un aggravio del massimo edittale da diciotto a ventiquattro mesi, ma da intendersi quale titolo autonomo di reato, non riscontrandosi un rapporto di genus ad speciem, rispetto all'ipotesi di cui al primo periodo del primo comma, della medesima norma.
67 Illeciti quali, ad es., l'originaria omessa o infedele notificazione (art. 341. 675), o l'inosservanza di provvedimenti del Garante (art. 37 1.cit.), dimostrano chiaramente come, nella normativa previgente, il bene della privacy fosse relegato, effettivamente, in una posizione subalterna, essendo stato privilegiato il modello della tutela delle funzioni: "la tutela delle molteplici funzioni di controllo del Garante nelle ipotesi di omessa (o infedele) notificazione, poiché è la corretta notificazione che (...) pone il Garante nella condizione di espletare i compiti assegnatigli dall'art. 31 e di effettuare gli accertamenti ed i controlli di cui all'art. 32; la tutela delle funzioni di intervento nel caso singolo, in rapporto alla fattispecie di inosservanza dei provvedimenti del Garante" (così P. VENEZIANI, Beni giuridici cit., p. 137).
In proposito, giova ricordare come, con riferimento al "primo Progetto Mirabelli", del 1984, fosse già stata da noi criticata, (A. MANNA, La protezione penale dei dati, cit., p. 182, cui si rinvia anche per l'approfondito esame di altre iniziative de lege ferenda in materia, relative a passate legislature: in particolare, Progetto Picano, Progetto Seppia, Secondo Progetto Mirabelli, d.d.l. Martelli) la previsione di fattispecie incriminatici della omessa o incompleta notificazione, dell'inosservanza dei provvedimenti dell'ufficio di controllo, dell'omessa custodia dei dati, proprio in ragione della diffficoltà di individuarne il bene tutelato, non parendo le stesse accordare protezione a pregnanti ed "afferrabili" interessi, quali la privacy o i segreti, e rivelando piuttosto la loro natura di illeciti incentrati sulla mera disobbedienza ad un precetto.
68 Parafrasando la relazione del Sen. Senese, alla Commissione Giustizia del Senato, nella seduta del 20 novembre 1996 (Diciassettesimo resoconto stenografico, p. 3 ss.).
69 Da intendersi come qualsiasi forma di pregiudizio, non necessariamente patrimoniale, arrecato a terzi; parallelamente all'oggetto del dolo specifico, per il quale, analogamente, si fa riferimento al "danno" tout court.
70 Nell'ipotesi in cui si acceda all'impostazione che riconosce nell'elemento in esame una condizione di punibilità intrinseca.
71 Rinviando a quanto testualmente affermato, a suo tempo, da P. VENEZIANI, Beni giuridici, cit. p. 166.
72 Sulla "seriazione" dei beni giuridici, da cui deriva la distinzione tra beni strumentali e finali, cfr. A. FIORELLA, voce Reato in generale, in Enc. dir., XXXVIII, 1987, p. 770 ss.
73 S. FIORE, voce Riservatezza (diritto alla), cit., p. 13, ovviamente in relazione agli analoghi aspetti della l. 675, rimasti invariati nel Testo Unico.
74 S. FIORE, op. loc. ult. cit.
75 La gravità rappresenta un elemento che, di norma, va valutato con riferimento alla possibilità di sussumere la fattispecie sub judice all'interno di una "più grave" fattispecie astratta.
76 Cosi G. CORASANITI, Sanzioni penali e depenalizzazione degli illeciti nella normativa a tutela dei dati personali in R. PARDOLESI, (a cura di), Diritto alla riservatezza e circolazione dei dati personali Milano, 2003, p. 516
77 Cfr. quanto affermato nella Relazione al d.lgs. 196/2003, cit., p.33.
78 Nel senso che debba ritenersi compatibile con il principio di riserva di legge l'ipotesi nella quale il precetto penale assuma una valenza lato sensu sanzionatoria rispetto a provvedimenti emanati dall'autorità amministrativa, ove la legge ne indichi presupposti, carattere, contenuto e limiti, di modo che il precetto penale riceva "intera la sua enunciazione con l'imposizione del divieto", cfr. Corte costituzionale, sent. n. 113 del 1972; nonché sent. n. 282/1990.In tale ultima sentenza (pubblicata in RIDPP, 1991, p. 989 ss., con nota di G. VICICONTE, Nuovi orientamenti della Corte costituzionale sulla vecchia questione delle norme "in bianco", p. 996 ss), si riafferma l'orientamento secondo cui debba essere la legge a determinare con sufficiente specificazione il fatto cui è riferita la sanzione, fornendo un'indicazione normativa sufficiente ad orientare la condotta dei consociati. In dottrina, vedasi M. ROMANO, Repressione della condotta antisindacale, Milano, 1974, p. 157, secondo il quale non si verifica integrazione - non potendosi pertanto considerare la norma penale "in bianco" - ove "l'elemento della fattispecie penale si può comprendere soltanto in relazione ad una regola di condotta di carattere non generale, ma individuale, secondo un riferimento astratto o concreto"; nonché F. C. PALAZZO, voce Legge penale, in Dig. Disc. pen.,, vol. VII, Torino, 1993, p. 353 ss.
79 Cosl M. ROMANO, Commentario sistematico del codice penale, vol. I, Milano, 1995, p. 36.
80 Da S. FIORE, voce Riservatezza (diritto alla), cit., p. 15. In senso conforme, cfr. P. VENEZIANI, Beni giuridici, cit., p. 73.
81 Il considerando n. 46) della Direttiva precisa infatti che si richiede alle normative nazionali di recepimento di prevedere un adeguato livello di sicurezza del trattamento, in rapporto alla natura dei dati da proteggere ed ai rischi connessi alle operazioni poste in essere, tenendo conto delle caratteristiche tecniche del sistema e dei costi necessitati, richiamando pertanto parametri di non difficile rilevazione in base alle comuni regole di esperienza del settore.
82 Con tali parole si esprimeva G. CORASANITI, op. cit., p. 550, in relazione al recepimento della medesima direttiva, come attuato dal d.lgs. 467/2001, ma spiace doversi sottolineare come i profili rilevati dall'A. si ripresentino, in tutta la loro problematicità, nella normativa attuale.
83 Il termine è frequentemente utilizzato nelle osservazioni della Commissione Europea in sede di pareri motivati, nel contesto di procedure d'infrazione ai sensi dell'art. 226 TCE, nonché dagli Avvocati Generali, nelle conclusioni presentate per la fase di trattazione dei ricorsi pregiudiziali, ex art. 234 TCE, con riferimento a provvedimenti interni di implementazione della normativa comunitaria di diritto derivato, che appaiano "sovrabbondanti", "eccessivamente restrittivi" rispetto all'obiettivo prefissato dal legislatore comunitario.
84 In tal senso, cfr. G. CORASANITI, op. loc. ult. cit..
85 Devesi precisare come la modifica, di cui all'art. 8 del citato Progetto di depenalizzazione, preveda una clausola di sussidiarietà (se il fatto non costituisce reato), per le ipotesi nelle quali l'inosservanza sia, comunque, specificamente prevista come reato da altra norma.
86 Per ulteriori approfondimenti sul punto, ci permettiamo di rinviare ad A. MANNA, Il trattamento dei dati personali etc., cit., p. 349.
87 Così, testualmente, può leggersi al par. 14 della Relazione al Progetto di depenalizzazione, elaborato nell'ambito della Commissione Nordio.
88 Così, testualmente, si afferma al par. 1 della Relazione al citato Progetto di depenalizzazione.
89 Cfr. Relazione, loc. ult. cit.
90 Con tali ragioni viene motivata, nella citata Relazione al d.lgs. 196/2003, (p. 63), l'introduzione della disposizione incriminatrice cui si accennava nel testo.
91 Cosi P. VENEZIANI, Beni giuridici, cit., p. 175, in relazione all'analoga formulazione dell'art. 37 l. 675.
92 La significativa espressione è di G. CORRIAS LUCENTE, Commento all'art. 34, cit., p. 484.
93 Sul punto, cfr. A. MANNA, Commento all'art. 328, in T. PADOVANI (coord. da), I delitti dei pubblici ufficiali contro la Pubblica Amministrazione, Torino, 1996, p. 340 ss., e quivi, 342, cui sia consentito il rinvio per i riferimenti alla letteratura ed alla giurisprudenza, italiana e straniera.
94 E per quanto la Consulta, chiamata a pronunciarsi sulla questione, abbia respinto l'eccezione di incostituzionalità della norma in parola, la motivazione, proposta nel caso di specie, non appare, tuttavia, persuasiva (sentenza n. 168 del 1971, che può leggersi in Giur. Cost., suppl. 1971, I, p. 578).
Invero, come ha opportunamente rilevato F. BRICOLA (Legalità e crisi: l'art. 25, commi 2 e 3 della Costituzione rivisitato alla fine degli anni '70, in QC, 1980, 179 ss., e, quivi, 247 ss.), la riserva assoluta di legge non comporta solo un vincolo quanto al "modo di disciplina", ma anche quanto aI c.d. "campo di materia".
95 In argomento, cfr., per tutti, CARBONI, L'inosservanza dei provvedimenti dell'autorità, Milano, 1970, spec. 314 ss.
96 Rilievi in tal senso erano stati già da noi avanzati, con riferimento all'analoga fattispecie di cui all'art. 37 l. 675 (A. MANNA, Il trattamento dei dati personali etc., cit., p. 351, cui ci permettiamo di rinviare per gli opportuni riferimenti bibliografici).
97 Da taluni individuate nel concetto di "trasparenza". In tal senso, seppur con riferimento al delitto di omessa o infedele notificazione, cfr. G. BUTTARELLI, op. cit., p. 532; più in generale, si osserva (G. PICA, Diritto penale delle tecnologie informatiche, Torino, 1999, p. 285), come tale nozione rappresenti uno dei principi generali posti a fondamento già della l. 675.
98 In tal senso, con riferimento all'analoga previsione di cui all'art. 38 l. 675, cfr. G. CORASANITI, op. cit., p. 557.
99 Come può evincersi dagli artt. 165 e 186 c.p., la ratio della pena accessoria si identifica in finalità di tutela dei consumatori e della fede pubblica, come nelle ipotesi di usurpazione di pubbliche funzioni (art. 347 c.p.); delitti di comune pericolo mediante frode (art. 448 c.p.); falsità in sigilli, strumenti, o segni di autenticazione o certificazione (art. 475 c.p.); usurpazione di titolo od onori (art. 498 c.p.); manovre speculative su merci (art. 501-bis c.p.); delitti contro l'industria ed il commercio (artt 513/517 c.p., tra i quali frode in commercio, vendita di sostanze non genuine o con segni mendaci), ai sensi dell'art. 518 c.p.; per l'ipotesi di gioco d'azzardo (art. 722 c.p.), o nei casi di vendita di prodotti audiovisivi o informatici abusivamente duplicati (artt. 171-bis e ter, della l. 633/1941, come novellati dai dd.lgs. 518/1992 e 685/1994, nonché dalla legge 248/2000).
100 Cfr. Ia Relazione governativa al d.d.l. n. 1580, presentato alla Camera il 20 giugno 1996, in CAMERA DEI DEPUTATI (a cura della), Banche dati e tutela della riservatezza, n. 14, Roma, 1996, 52.
101 In tal senso, vedasi G. CORASANITI, Sanzioni penali e depenalizzazione degli illeciti nella normativa a tutela dei dati personali, in R PARDOLESI (a cura di), Diritto alla riservatezza e circolazione dei dati personali, v. II, Milano 2003, 531.
102 La formulazione precedente si riferiva alle "misure necessarie a garantire la sicurezza dei dati personali".
103 Il rilievo si deve a G. CORASANITI, op. cit, p. 531.
104 L'originaria formulazione della norma è stata oggetto di giustificate critiche in dottrina (cfr., ad es., S. FIORE, voce Riservatezza (diritto alla) IV) diritto penale, in Enc. giur., Aggiornamento, VIII, 2000, p. 15); ed eventualmente, A. MANNA, Il trattamento dei dati personali: le sanzioni penali in L FIORAVANTI (a cura di), La tutela penale della persona Nuove frontiere, difficili equilibri, Milano, 2001, 345), inerenti principalmente all'irragionevole equiparazione, quanto al trattamento sanzionatorio (reclusione sino ad un anno), dell' ipotesi di dolosa omessa adozione delle misure di sicurezza, alla corrispondente fattispecie colposa, di cui al secondo comma dell'art. 36 l. 675.
105 Così G. CORASANITI, op. cit., p. 532.
106 Tale norma sancisce che il trattamento di dati personali può essere effettuato senza consenso, benché con esclusione della diffusione, qualora necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità, e per il periodo strettamente necessario al loro perseguimento, nel rispetto della vigente normativa in materia di segreto aziendale o industriale.
107 Il primo comma di tale norma dispone che al trattamento di dati personali effettuato dal CED del Dipartimento di pubblica sicurezza o da forze di polizia sui dati destinati a confluirvi in base alla legge, ovvero da organi di pubblica sicurezza o altri soggetti pubblici per finalità di tutela dell'ordine e della sicurezza pubblica, prevenzione, accertamento o repressione dei reati, effettuati in base ad espressa disposizione di legge che preveda specificamente il trattamento, non si applicano le seguenti disposizioni del codice:
- artt.9, 10, 12, 13 e 16, da 18 a 22, 37, 38, commi da l a 5, e da 39 a 45;
- artt. da 145 a 151.
108 In tal senso, sia consentito il rinvio ad A. MANNA, La protezione penale dei dati personali, cit., p. 183, con riferimento alle iniziative delle passate legislature in materia; nonché, in relazione alla legge 675, cfr. P. VENEZIANI, Beni giuridici, cit., p. 176.
109 Nell'ottica già evidenziata nell'ambito del Progetto Grosso, di riforma del codice penale, cit..
110 Non può, inoltre, omettersi di sottolineare come l'introduzione massiva di illeciti nella forma delittuosa, anziché contravvenzionale, escluda in radice la possibilità di oblazione.
111 Giova ricordare come il legislatore tedesco, in sede di riforma della legge federale a tutela dei dati personali (BDSG, del 1977), abbia previsto un diritto all'indennizzo, da corrispondere anche a prescindere dalla prova della colpa, nonché, in ipotesi di particolare gravità, la facoltà di richiedere il risarcimento del danno non patrimoniale, benché da liquidarsi in via equitativa. Per ulteriori approfondimenti sul punto, ci permettiamo di rinviare ad A. MANNA, Tutela penale della personalità, cit., p. 137.
112 Come già da noi osservato in altra sede, A. MANNA, La protezione penale dei dati personali, cit., p. 189.In proposito, devesi inoltre rilevare come, l'art. 1, n. 1 della legge tedesca per la lotta alla criminalità, del 28.10.1994 (BGBI., I, 3186) abbia introdotto, al § 46 a dello StGB, la possibilità, per il giudice, di diminuire la pena, ai sensi del § 49, comma primo, o di astenersi dall'applicarla - quando si tratti di una pena detentiva non superiore ad un anno, o di pena pecuniaria non superiore a trecentosessanta tassi giornalieri, nelle ipotesi in cui l'autore abbia riparato, in tutto o per la maggior parte, il fatto da lui commesso, "nello sforzo di raggiungere una conciliazione con la vittima", ovvero abbia indennizzato, in tutto od in gran parte, i danni dalla stessa sofferti, mediante rilevanti prestazioni, o rinunce personali. Tale scelta di politica criminale ci induce a riflettere in ordine alla possibilità di introdurre, anche da noi, simili istituti, diretti a risolvere i conflitti in un'ottica orientata all'"intesa" tra autore dell'illecito penale e vittima. Sul punto, cfr. H. H. JESCHECK, Introduzione, in S. VINCIGUERRA, (a cura di), Il codice penale tedesco, 2' ed., Padova, 2003, p. 10.
113 Così A. MANNA, op. loc. ult. cit.