Il problema dell’invio automatico di informazioni dal computer dell’utente al titolare di un trattamento di dati personali solleva una questione di ordine più generale sull’impianto sanzionatorio del Codice in materia di protezione dei dati personali (DLgv 196/03).
Infatti la struttura dell’imputazione dell’illecito è basata sul combinato disposto di tre elementi:
- una serie di articoli (artt. 17, 18, 19, 20, 21, 22, commi 8 e 11, 23, 25, 26, 27, 45, 123, 126, 129, 130) che dettano prescrizioni di varia natura;
- un’affermazione generale di responsabilità sancita nell'art. 167 (trattamento illecito di dati personali) che richiama le norme suindicate;
- la definizione di una rilevante parte della fattispecie affidata ai codici di deontologia predisposti da alcune categorie di titolari.

Nell’occuparsi di sanzioni penali il legislatore sembra dimostrare una approssimativa dimestichezza con il collaudato schema - risalente già al codice del 1930 - modellato sul sanzionamento degli effetti di un’azione preferendo in alcuni casi il ricorso a un più vago e autoritario "divieto". Come per l’art. 122 (Informazioni raccolte nei riguardi dell'abbonato o dell'utente) che, vietando tout-court senza prevedere una sanzione specifica, è palesemente al di fuori del raggio d’azione della sanzione penale.

Eppure la norma in questione si occupa di un problema molto serio, cioè di limitare "l'uso di una rete di comunicazione elettronica per accedere a informazioni archiviate nell'apparecchio terminale di un abbonato o di un utente, per archiviare informazioni o per monitorare le operazioni dell'utente.". Cioè di una modalità di accesso a computer e apparati sempre più diffusa fra software house (vedi l’articolo di Manlio Cammarata) e fornitori di servizi di accesso. Una lacuna che, sperabilmente, il legislatore potrebbe colmare con qualche emendamento successivo all’entrata in vigore del Codice. Analogamente a quanto fece con la L.675/96 che nei primi sei mesi di vita venne "rivista" almeno un paio di volte e circa dieci fino a oggi (vedi i decreti legislativi 9 maggio 1997, n. 123, 28 luglio 1997, n. 255, 8 maggio 1998, n. 135, 13 maggio 1998, n. 171, 6 novembre 1998, n. 389, 26 febbraio 1999, n. 51, 11 maggio 1999, n. 135, 30 luglio 1999, n. 281, 30 luglio 1999, n. 282, e la legge 6 ottobre 1998, n, 344).

Se, tuttavia, il problema dell’art. 122 può essere risolto in vario modo, affermando, ad esempio, che il fatto non sia penalmente rilevante (difficile) o che possa essere sanzionato da altra norma penale già esistente (con qualche problema, peraltro, di compatibilità con l’art. 25 c. II della Costituzione) ben più complessa è la situazione quando si analizza il ruolo dei codici deontologici nella determinazione degli elementi costitutivi la fattispecie.

Il terzo comma dell’art. 12 del DLgv 196/03 recita, infatti, testualmente: "Il rispetto delle disposizioni contenute nei codici di cui al comma 1 costituisce condizione essenziale per la liceità e correttezza del trattamento dei dati personali effettuato da soggetti privati e pubblici.". Ne consegue che, ai fini della verifica di corrispondenza del fatto alla fattispecie, il codice di deontologia - ove presente - sarebbe elemento ineludibile. Ma questo codice di deontologia è scritto proprio dal potenziale destinatario della sanzione penale. Che dunque si trova nella invidiabile condizione di intervenire a priori su una parte non irrilevante delle norme alle quali sarà assoggettato. Come dire: chiedere a chi ruba di riscrivere l’art. 624 (Furto) del codice penale.

Boutade a parte, i problemi sistematici derivanti dal massiccio ricorso ai codici di deontologia come elemento integratore della fattispecie penale non si limitano a quanto appena enunciato. Essendo infatti necessario interrogarsi anche sulle questioni relative all’applicabilità dei codici stessi a chi non li ha sottoscritti.
Se, infatti, il codice deontologico vincolasse soltanto gli aderenti allora si creerebbe una inaccettabile "doppia misura" della responsabilità penale. Che vedrebbe favoriti (o penalizzati) coloro che non accettano di conformarsi allo stato di fatto.

Se, al contrario, il codice deontologico avesse validità erga omnes allora non si capirebbe la ragione del garantire a un gruppo ristretto di aziende private una vera e propria potestà legislativa in materia penale. Creando, ancora una volta, disparità di trattamento e, con buona probabilità, una serio sconvolgimento di quei principi penalistici che, fino a oggi, sembravano oramai jus receptum.