Tale principio è tradizionalmente inteso come l’attitudine della pena a raggiungere l’obiettivo suo proprio identificato nella (apprezzabile) riduzione degli illeciti a causa dei quali la sanzione è predisposta.

E’ evidente che il principio di effettività non sarebbe certo stato appagato dalla previsione di sanzioni a carattere esclusivamente pecuniario, ben lontane dal realizzare un effetto di prevenzione generale o speciale quantomeno nei confronti delle pubbliche amministrazioni e delle imprese di estese dimensioni.

Prima di calarsi nel dettaglio delle norme interessate giova ribadire che la sfera privata godeva, già anteriormente all’entrata in vigore della legge, di una frammentaria e parziale tutela penale attraverso le norme relative a domicilio e segreti, le quali, seppure contenenti precise indicazioni di natura spaziale, strumentale e di modalità della condotta, dimostrano, nel complesso, la volontà del legislatore di assicurare a segreto e riserbo una particolare tutela che, proprio perché di natura penale, è indice della speciale dignità ad essi attribuita. In questa prospettiva si vedano gli artt. 614 – 615 c.p., esatto pendant dell’art. 14 Cost., che si occupano di garantire l’inviolabilità del domicilio, quale sfera materiale sottratta alle intromissioni altrui; gli artt. 615 ter, quater, quinquies c.p., quali strumenti di tutela specifica contro il dilagante fenomeno della criminalità informatica e a garanzia di "riservatezza informatica" e "domicilio informatico"; l’art. 615 bis c.p., dedicato alle interferenze illecite nella vita privata, che delinea due fattispecie di violazione della riservatezza: il I comma sanziona l’attività diretta a procurarsi, mediante strumenti di ripresa visiva o sonora, notizie o immagini attinenti alla vita privata svolgentesi nei luoghi di cui all’art. 614; il II comma sanziona il comportamento successivo all’acquisizione, cioè il delitto di diffusione o rivelazione delle notizie o immagini ottenute nei modi suindicati. Gli artt. 616 – 623 bis c.p., relativi alla inviolabilità dei segreti, tutelano la corrispondenza, le comunicazioni o conversazioni telegrafiche e telefoniche o attuate con altri mezzi, i documenti segreti, il segreto professionale, scientifico o industriale; l’art. 621 c.p. prevede infine il reato di rivelazione di documenti segreti.

Altra norma a tutela della riservatezza è l’art. 684 c.p., che punisce la pubblicazione arbitraria di atti di un procedimento penale. Esso può essere invocato a garanzia della riservatezza dell’imputato, in raccordo all’art. 27 della Costituzione, relativo alla presunzione di non colpevolezza, coinvolgendo però, in maniera più diretta, onore e reputazione del soggetto.

Infine, l’art. 734 bis c.p. sanziona con la pena dell’arresto chiunque "divulghi, anche attraverso mezzi di comunicazione di massa, le generalità o l’immagine della persona offesa senza il suo consenso" nei casi dei delitti, semplici e aggravati, di violenza sessuale di cui agli artt. 609 ss. c.p.

Nella materia specifica della tutela penale nei confronti dell’attività di trattamento dei dati personali, il sistema previsto nel capo VIII della legge 675/96 si articola nella previsione di alcuni reati (con esclusione di quelli contravvenzionali) configurati secondo alcuni in termini di illeciti di pericolo. E’ opinione di chi scrive che gli artt. 34 – 37, più che reati di pericolo, rientrano nella categoria dei reati di azione quali illeciti in cui la consumazione coincide con il compimento dell’azione o omissione tipizzata, indipendentemente dal verificarsi di un evento dannoso.

Diversamente, i reati di pericolo si perfezionano con la sola lesione potenziale del bene protetto. Hanno dunque in comune con i reati di azione l’elemento naturalistico della mancanza dell’evento ma se ne distinguono perché, mentre nei reati di azione il bene giuridico è effettivamente leso, in quelli di pericolo è esposto solo a lesione potenziale e, spesso, il pericolo rappresenta un elemento costitutivo della stessa fattispecie incriminatrice. Se qualche dubbio residua in ordine alla qualificazione giuridica delle disposizioni in questione, esso riguarda non certo gli artt. 34 e 37: se si assume, come si vedrà in seguito, che il bene oggetto di tutela è nel primo la trasparenza dei trattamenti, nel secondo la funzione di controllo e indirizzo del Garante, è giocoforza ritenere che la realizzazione del fatto tipico concretizza un’offesa attuale e non soltanto la messa in pericolo del bene stesso.

Gli artt. 35 e 36 sono ulteriormente definibili come reati aggravati o qualificati dall’evento, poiché comportano l’inflizione di una pena più grave se, oltre al fatto base, si verifica un evento ulteriore.

Quanto alla prima fattispecie incriminatrice, la scelta di sanzionare penalmente l’omessa o infedele notificazione pone la delicata questione se il diritto penale sia stato utilizzato in maniera propria o meno: cioè, la fattispecie di reato prevista nell’art. 34 concretizza, secondo un’autorevole opinione dottrinale (A. Manna), originariamente rivolta al progetto di legge Mirabelli bis, uno snaturamento del diritto penale, utilizzato non solo in chiave sanzionatoria, ma anche promozionale rispetto a certi comportamenti, mentre invece lo strumento penale dovrebbe essere impiegato solo a protezione diretta di beni giuridici. La questione della corretta funzione del diritto penale quale strumento di protezione diretta di beni giuridici solleva necessariamente problemi di definizione del "bene giuridico" e risulterebbe ultroneo ripercorrere in questa sede la complessa evoluzione storica sull’argomento. Sembra opportuno tuttavia fissare alcuni punti che scaturiscono da irrinunciabili esigenze di garanzia dei destinatari dei comandi penali.

In questa prospettiva si deve escludere che il bene giuridico tutelabile possa coincidere con la ratio legis o con la volontà del legislatore (concezione c.d. metodologica). Occorre invece ribadire il principio secondo cui sono i valori costituzionali a rappresentare il primo e principale parametro per l’individuazione degli oggetti della tutela penale. La dottrina inizialmente citata ritiene problematico individuare l’interesse protetto proprio perché si tratta di fattispecie caratterizzata dalla mera disobbedienza ad un precetto, e che pertanto tutela tutt’al più una funzione, piuttosto che un vero e proprio bene giuridico nella sua concretezza.

Tutto ciò sarebbe in contrasto con il principio di proporzione che impone il sacrificio di libertà e dignità personali solo per tutelare diritti di rango egualmente costituzionale. Il problema centrale sull’art. 34 è dunque questo: si possono considerare oggetto diretto della tutela, disgiuntamente o congiuntamente, i beni costituzionali della dignità, della riservatezza e dell’identità personale, a cagione della loro lesione (potenziale) derivante dalla omessa o infedele notificazione ?

A tale proposito si può osservare che quest’ultima offende direttamente solo l’interesse, pur rilevante, alla trasparenza dei trattamenti di dati personali, la quale funziona da condizione per l’attuazione dei compiti e per l’esercizio dei poteri del Garante e dei diritti dell’interessato. L’unica costruzione teoretica utilizzabile per legittimare tale scelta è quella che ammette che la tutela penale possa estendersi a beni non espressamente considerati in Costituzione, purché strumentali alla salvaguardia dei beni costituzionali espressi. Tale impostazione non è priva di rischi se ci si pone in un’ottica garantistica, soprattutto in relazione agli effetti di dilatamento che essa determina sul rapporto di causalità, giungendosi ad una sua estensione eccessiva fino ad attribuire all’omissione una serie di conseguenze riflesse, secondo una disfunzione tipica della teoria condizionalistica pura, con un effetto tipo "regresso all’infinito".

Il problema sollevato in questi termini ha dunque fondate ragioni di porsi, specie se si considera che la legge 675/96 contiene norme la cui violazione espone a conseguenze veramente dirette i beni giuridici della dignità umana, dell’identità personale e della riservatezza: è la violazione dei principi in materia di requisiti dei dati (art. 9) a causare sicuramente la lesione almeno potenziale della riservatezza e dell’identità personale: i principi di finalità, di esattezza, di pertinenza, di non eccedenza, l’obbligo dell’aggiornamento dei dati e il diritto all’oblio mirano a garantire in maniera veramente immediata l’uso metafunzionale dei dati e la circolazione di notizie difformi rispetto alla situazione reale e attuale di un soggetto. In dispregio di ciò l’art. 9 non rientra nell’ambito della tutela penale della legge, ma, sotto il profilo sanzionatorio, la sua violazione espone soltanto a responsabilità civile e a provvedimenti del Garante.

Secondo alcuni tale esclusione sarebbe opportuna per non creare una sorta di incriminazione a tappeto, forse non necessaria, stante la vigenza di altre norme penali da applicare in via suppletiva: il trattamento eseguito in violazione dell’art. 9 e lesivo di decoro, onore o reputazione dell’individuo è sanzionabile attraverso gli artt. 594 – 595. Tuttavia, essi possono assicurare adeguata tutela solo alla dignità umana, ma per quanto riguarda la riservatezza e l’identità personale non sembra davvero ipotizzabile una adeguata protezione penale suppletiva di altre norme del tutto marginali rispetto alla materia in questione. L’art. 615 bis c.p., infatti, configura una fattispecie di reato molto circoscritta sia in relazione all’impiego di precisi strumenti di apprensione di notizie private ( ripresa visiva o sonora), sia perché limita alla sfera spaziale del domicilio il suo ambito applicativo. Stante la tassatività di ogni norma penale, l’art. 615 bis copre una serie molto limitata di comportamenti diretti all’acquisizione di notizie personali, destinati ad avvolgere un ambito estremamente residuale nella materia del trattamento dei dati personali. A ciò si aggiunga che la comunicazione e diffusione di essi può essere punita ex art. 615 bis solo se si tratta di notizie acquisite nei modi e nei luoghi indicati dal primo comma. Anche gli artt. 616 ss. c.p. sono destinati ad un ruolo poco più che di confine nella materia in esame: dal punto di vista soggettivo, già la dottrina tradizionale (si veda, per tutti, A. Cataudella) ha ben chiarito che non esiste coincidenza alcuna tra segreto e privato, cioè tra notizie che si intende sottrarre del tutto alla circolazione e notizie che si intende comunicare ad una cerchia di soggetti più o meno ampia ma che non corrisponde alla collettività indifferenziata. Obiettivamente è tuttavia innegabile che la violazione del segreto comporta comunque come effetto l’apprensione da parte di terzi di dati non destinati ad essere diffusi.

Le considerazioni che precedono lasciano intuire l’esistenza di un vuoto di tutela penale a garanzia del rispetto dei principi cardine in tema di data protection, la cui violazione permette la risarcibilità del danno anche non patrimoniale apprezzabile in termini di sofferenze, risentimento, dolore, compressioni o turbamenti della personalità. E’ questo, a ben riflettere, un altro indice a favore dell’auspicabile rilevanza penale delle violazioni dell’art. 9: secondo il sistema generale bipolare risultante dagli artt. 2059 c.c. e 185 c.p. il diritto al risarcimento dei danni extrapatrimoniali nasce nei soli casi in cui il fatto illecito presenti anche profili di rilevanza penale, configurandosi perciò come reato. Quindi, il fatto che il legislatore del ’96 abbia ammesso la risarcibilità del danno extrapatrimoniale potrebbe essere interpretato come indicatore implicito della dignità dei beni giuridici tutelati dall’art. 9, meritevoli di essere protetti attraverso lo strumento sanzionatorio più incisivo che l’ordinamento giuridico ordinariamente offre nei casi in cui ammette la ristorabilità dei danni non patrimoniali.

Sono invece in armonia con il principio di proporzione le disposizioni penali previste negli artt. 35 e 36.

Infatti, riguardo al trattamento illecito di dati personali, la mancata richiesta del consenso e la divulgazione illecita dei dati sono tutti eventi idonei a produrre l’immediata lesione del diritto all’autodeterminazione informativa e della riservatezza in senso stretto. Anche questa disposizione, per certi aspetti, non brilla per rigore e coerenza con il complesso delle sanzioni penali della legge: come spiegare, infatti, la necessità del dolo specifico quale ulteriore presupposto per la punibilità se si considera che la fattispecie di cui all’articolo precedente, che sanziona soltanto la lesione del bene giuridico della trasparenza, richiede solo il dolo generico ?

Di estrema importanza risulta l’incriminazione della omessa adozione di misure di sicurezza in quanto tra sicurezza e riservatezza intercorre un rapporto talmente stretto per cui la violazione dell’una comporta ipso facto anche lesione dell’altra. In quanto diretta a prevenire il verificarsi di eventi altamente dannosi per la sfera privata degli individui, la sicurezza appartiene a pieno titolo a quei mezzi preventivi di tutela di efficacia molto maggiore rispetto a quelli che operano successivamente al verificarsi dell’evento dannoso, proprio a causa della scarsa praticabilità di una integrale regressione allo stato anteriore al verificarsi della lesione dei diritti protetti.

Si tratta dunque di strumenti cui, al pari di quelli squisitamente giuridico – preventivi (taluni provvedimenti del Garante, azione inibitoria, misure cautelari reali), è opportuno assicurare la piena ed effettiva operatività per la maggiore attitudine a garantire un’efficace tutela rispetto ai mezzi meramente reattivi. Per questo motivo, molto opportunamente, la materia della sicurezza è rilevante penalmente e può essere fonte di responsabilità civile (ex art. 18, per effetto del quale grava su chi procede al trattamento l’onere di provare l’avvenuta adozione delle misure nonché la loro idoneità ai fini di un eventuale esonero da responsabilità).

Una seria critica all’art. 36 proviene dalla prospettata lesione del principio di tassatività della norma penale (art. 25 Cost.), il quale esprime l’esigenza della sufficiente determinatezza della fattispecie: vincola cioè il legislatore ad una descrizione il più possibile precisa del fatto di reato per consentire ai destinatari del precetto di rappresentarsi con certezza il tipo di comportamento vietato e per prevenire possibili abusi da parte dei giudici in sede di accertamento della corrispondenza della condotta al fatto tipico. Il difetto di tassatività dell’art. 36 risiede nella indeterminatezza, allo stato, delle misure di sicurezza, a causa del rinvio effettuato dall’art. 15 della legge a future norme regolamentari per la determinazione in concreto e nel dettaglio del tipo di misure.

L’art. 37 (inosservanza dei provvedimenti del Garante) prevede una forma di tutela frammentaria nel senso che non tutte le disobbedienze a provvedimenti sono penalmente sanzionate, ma soltanto quelle considerate dal legislatore di una certa gravità. Esso stabilisce tre fattispecie incriminatrici: la prima riguarda il mancato rispetto delle indicazioni che si accompagnano o seguono il rilascio dell’autorizzazione al trattamento dei dati sensibili quale categoria di informazioni che, a causa della loro maggiore capacità offensiva e dei rischi discriminatori che ne scaturiscono, sono soggetti ad una disciplina più rigorosa rispetto ai dati comuni. Così, all’atto dell’autorizzazione al trattamento, o successivamente, il Garante ha il potere di condizionarne la validità al rispetto di accorgimenti dettati per garantire l’interessato. La seconda riguarda l’inosservanza delle prescrizioni contenute nella decisione finale del ricorso; la terza l’inosservanza delle misure cautelari infraprocedimentali.

In merito all’art. 37 si possono ripetere, seppure in forma attenuata, le considerazioni espresse riguardo all’art. 34. Anche in questo caso, infatti, la norma penale sembra tutelare una funzione o sanzionare una mera disobbedienza.

Tuttavia la notificazione, in quanto atto proveniente esclusivamente dal soggetto che intende procedere al trattamento, è di per sé priva di valutazioni o comandi finalizzati alla concreta tutela del soggetto passivo.

Invece, l’inosservanza dei succitati provvedimenti del Garante raggiunge una soglia di potenziale offensività più elevata poiché si disattendono indicazioni dettate dalla Autorità a seguito di una attenta ponderazione in merito alla concreta esistenza di pericoli scaturenti da un trattamento eseguito in un certo modo piuttosto che in un altro.

I rilievi circa un sospetto uso improprio del diritto penale dovrebbero essere temperati dal maggior effetto di garanzia dei provvedimenti del Garante rispetto alla omessa o infedele notificazione.

Per concludere, la selezione dei comportamenti penalmente rilevanti in materia di trattamento di dati personali sembra aver dato luogo ad una applicazione invertita del principio penale di frammentarietà, il quale, se rettamente applicato (il che presuppone una lucida consapevolezza circa gli effetti delle diverse trasgressioni) avrebbe imposto, a modesto parere di chi scrive, la rilevanza penale della violazione dell’art. 9, piuttosto che (o perlomeno a fianco) delle norme in materia di notificazione. Il temuto effetto della "incriminazione a tappeto" poteva agevolmente essere evitato dalla puntuale e specifica descrizione dei comportamenti vietati, evitando una panpenalizzazione monolitica e indifferenziata della violazione dell’art. 9 medesimo

Novembre 1998