1997: LA LEGGE E LA RETE
Interventi e repliche - 46
La tutela penale dei dati personali nella legge n. 675/96
di Giuseppe Corasaniti (Magistrato, Docente alla LUISS di Diritto dei mezzi di comunicazione di massa)

(In Net_Lex
il testo della legge)

I reati previsti dalla legge del 31 dicembre 1996 n. 675, pubblicata sulla G.U. 31 dicembre 1997 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali) ed entrata in vigore il giorno successivo a quello della pubblicazione si inquadrano nella tutela della riservatezza delle persone e dei gruppi sociali rafforzando la tutela amministrativa indipendente prevista dalla stessa legge e riservata alla autorità "Garante".
Così l'articolo 34 della legge (omessa o infedele notificazione) punisce chiunque, che essendovi tenuto, non provvede alle notificazioni prescritte dagli articoli 7 e 28, ovvero indica in esse notizie incomplete o non rispondenti al vero, è punito con la reclusione da tre mesi a due anni. Se il fatto concerne la notificazione prevista dall'articolo 16, comma 1, la pena è della reclusione sino ad anno. Si tratta di un reato proprio, poiché in sostanza i soggetti interessati sono i "titolari" o i "responsabili" dei dati, intendendosi cioè, in base all'art.1 della legge punto d) per "titolare", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento di dati personali, ivi compreso il profilo della sicurezza, mentre, secondo il punto e) per "responsabile", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali.
Elemento costitutivo del reato, stante la sua qualificazione di delitto, sotto il profilo soggettivo sembrerebbe inoltre essere il dolo generico consistente nella coscienza e volontà di omettere le comunicazioni prescritte dalla legge o di provvedere alla medesime in modo incompleto o non veritiero così precludendo all'autorità di garanzia lo svolgimento delle funzioni di tutela della riservatezza . Ipotesi attenuata (reclusione fino ad un anno) è quella che concerne l'omissione delle comunicazioni riguardanti la cessazione del trattamento dei dati.
Si tratta di una fattispecie criminosa che ricalca in linea di massima ipotesi di reato già in vigore quali ad esempio l'art. 5 bis della legge n. 216 /1974 sulla Consob così come modificato dalla legge n. 281/1985, ferma restando tuttavia la strutturazione di una fattispecie di delitto anziché contravvenzionale, il che lascia ampi margini in sede di applicazione giurisdizionale alla valutazione in concreto del comportamento del titolare o del responsabile dei dati dovendosi dimostrare non solo una mera condotta omissiva ma una condotta omissiva o di incompleta o infedele rappresentazione scientemente posta in essere al fine di eludere precisi obblighi di legge, il che se da un lato aggrava sul piano della sanzione prevista il trattamento penale rispetto ad ipotesi criminose in qualche modo simili (come appunto la legge sulla Consob), rende certamente problematica l'attività di accertamento tanto più se questa è destinata a svolgersi su iniziativa dello stesso Garante. L'errore sul piano della stessa interpretazione normativa o sulle caratteristiche obiettive dei dati trattati o sui termini o i contenuti della stessa comunicazione si prospetterà in modo estremamente frequente, tanto più entro un quadro normativo di non semplice applicazione.
L'art. 35 (trattamento illecito di dati personali) prevede che salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 11, 20 e 27, è punito con la reclusione sino a due anni o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da tre mesi a due anni. Il secondo comma prevede una ulteriore ipotesi, quella per cui salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, comunica o diffonde dati personali in violazione di quanto disposto dagli articoli 21, 22, 23 e 24, ovvero del divieto di cui all'articolo 28, comma 3, è punito con la reclusione da tre mesi a due anni. Se da tali fatti derivi nocumento, la reclusione è da uno a tre anni.
La configurazione di questa ipotesi delittuosa rende evidente il dolo specifico che si inquadra nella coscienza e volontà di compiere un abuso nel trattamento di dati personali, effettuato a scopo di trarvi diretto o indiretto profitto o di recar danno ad altri, che nella ipotesi attenuata incide sui dati personali raccolti senza il consenso dei soggetti interessati o privi dei requisiti posti espressamente dalla legge per la diffusione o la comunicazione a terzi o infine trattati da soggetti pubblici (o nell'ambito di) enti pubblici economici in assenza di espresse norme di legge o di regolamento o la cui raccolta o elaborazione sia non necessaria allo svolgimento delle funzioni istituzionali.
Più grave è la previsione normativa rispetto alle comunicazioni o alle diffusioni abusive di dati "sensibili" (e cioè atti a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale,dati che possono essere oggetto di trattamento solo con il consenso scritto dell'interessato e previa autorizzazione del Garante), di dati inerenti alla salute o di dati relativi a iscrizioni nel casellario giudiziale (come ad esempio la descrizione articolata dei precedenti penali di una determinata persona) o infine trasferiti all'estero in Stati non assicuranti un livello di protezione idoneo. Ulteriore aggravio sul piano sanzionatorio consegue alla effettuazione di danno agli interessati in conseguenza (diretta) della comunicazione o diffusione abusiva.
È quindi doveroso richiamare l'art. 1 della legge che definisce (punto f) per "interessato", la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali; per "comunicazione", (punto g) il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, in qualunque forma, anche mediante la loro messa a disposizione o consultazione; per "diffusione" (punto h), il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione.
È infatti sul terreno dell'elemento oggettivo della condotta criminosa che facilmente si prospetteranno i più frequenti dubbi interpretativi, potendosi da un lato privilegiare una interpretazione "letterale" estensiva e dall'altro prospettare un criterio più restrittivo e limitato alle raccolte di dati o informazioni secondo criteri significativi e rilevanti nella raccolta o nella ricerca, e posto che il trattamento dei dati personali cui la legge si riferisce in base all'art. 5 è anche quello svolto "senza l'ausilio di mezzi elettronici" e che il concetto di "dato personale " e di trattamento cui si riferiscono i punti b) e c) dell'art. 1 della legge intendono per "trattamento", qualunque operazione o complesso di operazioni, svolti con o senza l'ausilio di mezzi elettronici o comunque automatizzati, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati e per per "dato personale", qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale. Secondo l'art. 36 (Omessa adozione di misure necessarie alla sicurezza dei dati) chiunque, essendovi tenuto, omette di adottare le misure necessarie a garantire la sicurezza dei dati personali, in violazione delle disposizioni dei regolamenti di cui ai commi 2 e 3 dell'articolo 15, è punito con la reclusione sino ad un anno. Se dal fatto deriva nocumento, la pena è della reclusione da due mesi a due anni. Se il fatto è commesso per colpa si applica la reclusione fino a un anno.
La disposizione si applicherebbe in base a quanto disposto dal 2 comma dell'art. 3 della legge anche ai dati trattati da persone fisiche per fini esclusivamente personali e, in base al comma 2 dell'art. 4, anche ai trattamenti di dati in ambito pubblico esonerati dall'applicazione della normativa generale sulla riservatezza (CED del Ministero dell'interno in base alla legge 121 /1981, raccolte informative dei servizi segreti, casellario giudiziale,servizi di informatica giudiziaria o gestiti da soggetti pubblici in relazione a finalità di difesa, sicurezza dello Stato,accertamento o repressione di reati in base a specifiche norme di legge regolatrici del trattamento) così di fatto introducendosi una estensione della sanzione penale sia con riguardo alla intenzionale omissione di misure di sicurezza (che peraltro debbono essere prescritte in via regolamentare) sia con riguardo alla semplice omissione colposa, cui consegue una sanzione più lieve.
Dubbi possono fondarsi in ordine alla razionalità e quindi alla costituzionalità della disposizione, poiché essa appare indeterminata quanto alla qualificazione del soggetto effettivamente responsabile sul piano organizzativo e quanto alla sproporzione ed alla manifesta inconguità di una sanzione collegabile anche al mero stato di colpa, tanto più laddove in sede civile la stessa legge in commento prevede (art.18) il ricorso all'art. 2050 C.C. (così equiparandosi di fatto il trattamento dei dati personali o forse soltanto il trattamento dei dati svolto in violazione alla legge ad "attività pericolosa") e quindi con l'inversione dell'onere della prova nei casi di giudizi avviati per il risarcimento dei danni, sicché per natura (dell'attività informativa svolta in concreto) o per la natura dei mezzi adoperati, il titolare o il responsabile è tenuto al risarcimento se non prova di avere adottato tutte le misure idonee a evitare il danno.
Sul piano pratico inoltre è bene rilevare che le misure necessarie a garantire la sicurezza dei dati personali sono quelle individuate dalla fonte regolamentare, che probabilmente dovrà limitarsi ad indicare una serie di cautele tecniche di massima in rapporto alle caratteristiche ed alle dimensioni del sistema informativo di volta in volta interessato, dalla copia di backup dei dati alle protezioni logiche contro gli accessi abusivi (passwords o codici di validazione), alla protezione fisica dei terminali o degli uffici, alla identificazione dei responsabili degli accessi con registrazione di ogni accesso ai dati personali. La regolamentazione dovrà in sostanza limitarsi a prescrivere le protezioni tecniche più adeguate in base all'esperienza comune, trattandosi di "misure minime" e non di "standards" di elevata sicurezza da adottare in via preventiva dai soggetti titolari e responsabili.
Si tratta di una norma di mera proclamazione che richiede una grande sensibilità applicativa sopratutto sul piano tecnico.
È posto a tutela dell'azione del Garante l'art. 37, che sanziona l'inosservanza dei provvedimenti del Garante. Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi dell'articolo 22, comma 2, o dell'articolo 29, commi 4 e 5, è punito con la reclusione da tre mesi a due anni. I provvedimenti del Garante cui la norma si riferisce sono quelli relativi ai diritti di accesso, di certificazione, di cancellazione e di rettifica riconosciuti espressamente all'interessato dall'art. 13 della legge.
L'art. 38 stabilisce infine la pena accessoria della pubblicazione della sentenza nei casi di condanna per uno dei delitti previsti dalla legge.
L'art. 39 pone sanzioni amministrative a carattere pecuniario per chiunque ometta di fornire le informazioni o di esibire i documenti richiesti dal Garante ai sensi degli articoli 29, comma 4, e 32, comma 1, (pagamento di una somma da lire un milione a lire sei milioni). Più attenuata è la sanzione per la violazione delle disposizioni di cui agli articoli 10 e 23, comma 2, (pagamento di una somma da lire cinquecentomila a lire tre milioni). L'organo competente a ricevere il rapporto e ad irrogare le sanzioni di cui al presente articolo è il Garante. Si osservano nel procedimento, in quanto applicabili, le disposizioni della legge 24 novembre 1981, n. 689, e successive modificazioni.
Merita infine attenzione l'art. 40. (Comunicazioni al Garante), in base al quale copia dei provvedimenti emessi dall'autorità giudiziaria in relazione a quanto previsto dalla presente legge e dalla legge 23 dicembre 1993, n. 547, è trasmessa, a cura della cancelleria, al Garante. Si tratta di una norma che si giustifica nell'intento di avviare un vero e proprio monitoraggio tanto dell'applicazione delle sanzioni penali previste nella legge 675 (ma anche - si badi - con riferimento alla giurisprudenza civile o alle decisioni conseguenti alle opposizioni alle sanzioni amministrative), quanto più in generale con riguardo ai reati previsti dalla legge sui reati informatici. La finalità della prescrizione è quella di costituire un "osservatorio" qualificato sia sui problemi giurisprudenziali che sulle problematiche tecnologiche che si legano alla applicazione della nuova disciplina. E non è cosa di poco conto.

(18.02.97)

INTERVENTI E REPLICHE - HOME PAGE