Già si è detto che suscita particolari perplessità, sul piano strettamente logico, la proroga di un termine già scaduto: prorogare significa prolungare, ossia, nella specie, posticipare una scadenza già fissata. Orbene, come si possa posticipare una scadenza già maturata, rimane un mistero di tecnica legislativa (vedi Misure minime, il Tempo del legislatore).
Va anche precisato che non è la prima volta che il legislatore adotta siffatti provvedimenti: basti pensare a quelli in materia di condoni fiscali, che prevedevano rimessioni in termini di natura straordinaria.
Superato questo primo ostacolo, di natura (non troppo) formale, l'operatore si è imbattuto nel concetto di documento, abbozzato nell'art. 1 della L. 325/2000. In realtà, la norma non contiene uno specifico riferimento alla nozione di documento, forse al fine di non creare sovrapposizioni con il famoso documento programmatico previsto dall'art. 6 del d.p.r. 318/99.
Il vero problema è che difetta qualsiasi specificazione, indicazione, linea guida, circa il contenuto (minimo) di questo documento.

In sostanza, il testo normativo non precisa che cosa si debba necessariamente dichiarare, per potere beneficiare della proroga. Non esiste indicazione quindi di un presupposto sostanziale minimo, necessario e sufficiente.
Se ciò poteva non costituire un problema per il privato, ovvero per la piccola azienda, che non tratta in maniera complessa e articolata notevoli quantità di dati sensibili, l'assoluta genericità della norma senza dubbio rappresenta un ostacolo rilevante per la pubblica amministrazione, l'ente ospedaliero, la grande industria, vale a dire per i soggetti caratterizzati da un'organizzazione complessa di flussi di dati (che rappresentano il paramentro valutativo della L. 675/96).
L'impressione che si ricava è quella di un legislatore incerto, che da un lato impone termini iugulatori - quale sia il senso di una proroga di venti giorni non è dato sapere,- dall'altro appare superficiale e sbrigativo proprio nella sostanza.

Non che il Garante sia stato di particolare aiuto: l'intervento del 5 dicembre - nell'imminenza della scadenza - si è concentrato su di un aspetto importante, ma non del tutto primario, e dalle risposte, come si è visto, lineari, vale a dire la data certa, nonché l'effettiva scadenza del termine (il 10/12 era giorno festivo).
Le precisazioni sul punto non erano superflue, ma sarebbero bastati i principi generali del diritto processuale.
Tutto qui.

Ci sembra poco, vista la innegabile delicatezza della materia.
Tanto più che la redazione del documento è in concreto una vera e propria autodenuncia. L'interessato per ottenere il beneficio, deve confessare di non avere adottato nel termine di legge le misure minime di sicurezza. Le conseguenze di una siffatta dichiarazione non sono irrilevanti.
Ed ora chi, e soprattutto sulla base di quali principi e criteri, potrà sindacare la validità del documento (confessorio) e l'effettiva sussistenza delle esigenze tecniche e organizzative necessarie per ottenere la proroga?
Il documento non contiene una richiesta: il beneficio della proroga è un effetto che la legge fa conseguire alla redazione in data certa dello stesso.
Non esiste alcun destinatario.

Sotto questo aspetto, l'orizzonte è assai oscuro: ciò che invece appare chiaro è che oggi è stata precostituita una prova provata di un illecito penale, scriminato (a discrezione?) dalla valutazione, i cui criteri non sono stati preventivamente stabiliti, dell'effettiva sussistenza delle esigenze tecniche e organizzative citate dall'art. 1 della legge 325/2000.
Ed allora potrà accadere che sia contestato al soggetto interessato di non potere beneficiare della proroga, in quanto il documento redatto non era idoneo a produrre questo effetto legale?
Il rischio esiste, ma ritengo che una siffatta interpretazione condurrebbe a conseguenze assurde.

Nel silenzio del legislatore, che forse non ha valutato appieno le conseguenze dell'art. 1 della legge 325/2000, è preferibile adottare una diversa e opposta interpretazione.
Senza dubbio però, l'opera di coloro che avranno il compito di controllare il rispetto della normativa sarà più semplice, poiché la prova dell'illecito, ove ritenuto sussistente, è stata fornita dal responsabile: una fonte sicura!

Visto che si è fatto ricorso all'illecito penale, nella consapevole intenzione di rafforzare la tutela del bene giuridico della riservatezza dei dati personali, occorreva tenere conto di taluni principi regolatori del diritto penale, ossia quello di legalità e tassatività (art. 1 del codice penale), che in questa situazione appaiono del tutto ignorati.
Queste considerazioni possono essere ripetute tali e quali per l'intera disciplina delle misure di sicurezza.
Il DPR 318/99 introduce un elenco di misure minime - rilevanti per la configurabilità dell'illecito penale - che sono, sotto il profilo tecnico, lettera morta (si veda Misure veramente "minime").

Nella costruzione dell'illecito penale si è fatto ricorso alla tecnica sanzionatoria. La norma incriminatrice nasce conferendo rilevanza penale alla mera violazione di altra norma dell'ordinamento. Si tratta di una pessima abitudine del legislatore, che oggi non costruisce più norme incriminatrici autonome, contenenti tutti gli elementi necessari per configurare un illecito penale, ma si limita, assai spesso, a sanzionare penalmente la violazione di un'altra norma dell'ordinamento, nata e concepita per tutt'altre finalità.
In materia di misure minime di sicurezza è stato raggiunto l'apice, poiché la norma integratrice non è contenuta in un atto avente forza di legge, ma in un regolamento, che per propria natura è privo di forza di legge.

Non è tutto.
Il regolamento è destinato ad essere aggiornato ogni due anni (art. 15 comma 3° della 675/96).
Quindi si avrà una norma incriminatrice che muterà contenuto ogni due anni, mediante l'emanazione di un semplice regolamento, privo di forza di legge.
E ancora. Il riferimento a strumenti di natura tecnica, soggetti ad un continuo mutamento per l'evoluzione tecnologica, non consente di stabilire limiti precisi e tassativi (art. 1 del codice penale) alla fattispecie incriminatrice, e soggiace ad una inammissibile discrezionalità dell'interprete, dell'operatore, del tecnico.
Il giudizio sulla sussistenza di un illecito penale è rimesso ad una valutazione, per natura discrezionale, e soggetta a mutare nel tempo.

Con il che, possiamo augurarci di rivedere al più presto non solo il principio di legalità, ma anche quello di tassatività del precetto penale, ormai lontani all'orizzonte.
Oggi nessuno è in grado di stabilire a priori - la norma penale deve sussistere prima che la condotta che la stessa sanziona venga realizzata - con certezza e quel minimo grado di tassatività, quali siano le condotte sanzionate penalmente dall'art. 36 della legge sulla tutela dei dati personali.

In questo quadro di totale incertezza, e di superficialità legislativa, è costretto a muoversi colui che procede al trattamento di dati personali, il quale, peraltro, non è neppure indotto ad avvertire il disvalore della mancata adozione delle misure minime di sicurezza, e non comprende perché sia stato necessario ricorrere al diritto penale, al quale si potranno attribuire tutte le funzioni politiche e sociali possibili, ma non certo una funzione promozionale della tutela di determinati beni giuridici.

Ora, per coloro che hanno confessato di non avere adottato tempestivamente le misure minime, sta sopraggiungendo il termine del 31 dicembre. Chi avrà redatto il documento per la proroga in modo non sbrigativo, mediante una ricognizione delle banche dati possedute, delle misure adottate e di quelle da adottare, sarà sicuramente sarà avvantaggiato.
Di certo, in questo modo non si sta diffondendo affatto la cultura della riservatezza: l'applicazione della normativa in questione, e i relativi adempimenti non sono percepiti nella sostanza come un plusvalore di civiltà, quanto piuttosto come l'ennesimo adempimento imposto da un legislatore burocrate, ignaro della realtà.
E ciò sicuramente va a scapito del bene che si intende proteggere.