Sommario: 1. Lineamenti essenziali della nuova struttura del reato composito. - 1.1. La multifocalità delle fonti e la indefinita molteplicità degli elementi nor- mativi intrinseci alla fattispecie penale. Il ruolo normativo dell’Autorità Ga- rante della privacy. - 1.2. La disapplicazione come rimedio contro atti e prov- vedimenti amministrativi illegittimi integrativi delle fattispecie penali della pri- vacy. – 2. La riallocazione del nocumento come evento del reato nel nuovo assetto dei requisiti di tipicità del fatto. - 2.1. Dalla mera trasgressione alla le- sione di un interesse ben determinato e oggettivamente vulnerabile nella rela- zione dicotomica “diffusione-nocumento”. – 3. Le tre diverse ipotesi punibili: struttura e funzione del fatto incriminato. 4. La finalità punitiva come espres- sione pragmatica del principio di proporzionalità di stampo eurounitario. – 5. L’individuazione del soggetto agente. Cenni alla delega di funzioni e respon- sabilità penale derivata. - 5.1. La previsione prescrittiva delle modalità di trat- tamento dei dati personali. – 6. Il trattamento dati contro la sfera personale dell’interessato come ipotesi di violazione della riservatezza. - 6.1. Il bene della riservatezza digitale leso dal profitto per “via indiretta”. - 6.2. Il bene della ri- servatezza digitale leso dal danno per “via diretta”. Le premesse a un inter- vento di contrasto al fenomeno revenge porn. – 7. La categoria del soggetto passivo, il minore e la nozione di dato personale con carattere identificativo della persona. - 7.1. Riflessioni sull’iperprotezione della vittima versus autore- sponsabilità della condotta del soggetto passivo. – 8. La nuova qualificazione offensiva con la previsione dell’evento e i rapporti con il dolo specifico: la so- vrapposizione di volontà punibili. La configurabilità del tentativo in un delitto con evento materiale. - 8.1. Le forme di consumazione del reato e la contro- versa ipotesi del trattamento illecito di dati come reato permanente. – 9. Il pos- sibile concorso di reati o di norme con fattispecie ad effetti prevalenti. La ri- conduzione a razionalità unitaria tra riservatezza e tutela informatica. – 10. La successione delle leggi penali nel tempo e l’enigma dell’abrogazione espressa del delitto di comunicazione e diffusione tout court. – 11. L’auspicio di una
più precisa formulazione alternativa del precetto. Il difetto di proporzione per talune vicende di cronaca. – 12. Consenso e legittimo interesse quale base le- gale dell’autodeterminazione dell’interessato. Lo spazio di intervento della “giu- stificazione procedurale” nei trattamenti automatizzati per chiarire gli spazi del lecito intervento. – 13. Gli interventi di politica criminale per suggestione me- diatica ovvero lo “spreco di fattispecie” con il delitto dell’art. 612-ter c.p.
1. Lineamenti essenziali della nuova struttura del reato
La nuova disposizione dell’art. 167 CdP “Trattamento illecito di dati” sostituisce integralmente la norma abrogata, seppure riprendendone in larga misura la disciplina con il compendio dei requisiti di tipicità opportuna- mente ricomposto e rivisitato1.
La modifica, per altro verso, è stata radicale, nel senso che ha ampliato la base applicativa della norma, attraverso la messa a fuoco degli elementi costitutivi della fattispecie, e in parte correggendo anche talune distorsioni tecniche della vecchia disciplina che ne impedivano un’agevole ricaduta in- terpretativa.
Il nuovo art. 167 CdP stabilisce:
“1. Salvo che il fatto costituisca più grave reato, chiunque, al fine di
trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, operando in violazione di quanto disposto dagli articoli 123, 126 e 130 o dal provvedimento di cui all’articolo 129 arreca nocumento all’interessato, è punito con la reclusione da sei mesi a un anno e sei mesi.
2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, proce- dendo al trattamento dei dati personali di cui agli articoli 9 e 10 del Re- golamento in violazione delle disposizioni di cui agli articoli 2-sexies e 2- octies, o delle misure di garanzia di cui all’articolo 2-septies ovvero ope- rando in violazione delle misure adottate ai sensi dell’articolo 2-quinquie- sdecies arreca nocumento all’interessato, è punito con la reclusione da uno a tre anni.
3. Salvo che il fatto costituisca più grave reato, la pena di cui al comma 2 si applica altresì a chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, procedendo al trasferimento dei dati personali verso un paese terzo o un’organizzazione internazionale al
1 Tra i primi commenti si segnala Aa.Vv., Il Fin Tech e l’economia dei dati. Conside-
razioni su alcuni profili civilistici e penalistici. Le soluzioni del diritto vigente ai rischi per la clientela e gli operatori, a cura di G. Morgante, N. Amore, G. di Vetta, G. Fiorinelli,
di fuori dei casi consentiti ai sensi degli articoli 45, 46 o 49 del Regola- mento, arreca nocumento all’interessato”2.
Va subito notato che, diversamente dalle rubriche che titolano gli altri reati di trattamento illecito, come in passato, anche questa volta manca la specificazione del carattere di “personali” dei dati, lasciando un margine di perplessità sulla mancata precisione legislativa oppure volendola intendere comprensiva anche di dati che non identificano la persona fisica. Del re- sto, la chiara dizione del primo comma, ove non compare la precisa indi- cazione della categoria delle informazioni, lascia supporre il trattamento di dati anche diversi da quelli personali.
La scelta a ben vedere non è casuale, perché nell’enorme archivio della Rete, frammentata in innumerevoli ulteriori sottoinsiemi di archivi, vi sono stivate masse di dati che non si collegano alla persona, sono dati tecnici, dati contabili, dati che identificano settori geografici o strutture naturali- stiche, semplici e complesse, dati elaborati dalla ricerca scientifica3.
La tutela allora è rivolta, proprio come vuole la motivazione all’origine del trattamento in Rete, alla molteplicità delle operazioni di natura com- merciale e di mercato svolte su una massa eterogenea di dati, in cui si ri- trovano, svolgendo opportune indagini di individuazione, anche i dati che si riconnettono e rivelano l’identità della persona fisica. Ad esempio, i dati finanziari, i dati delle transazioni commerciali, i dati della pubblicità o delle offerte commerciali cadono anch’essi sotto la previsione della norma e rien- trano nel raggio di tutela della persona fisica cui sono riconducibili.
Va sottolineato, dopotutto, che già il Regolamento europeo e in ma- niera ancora più marcata il Codice del trattamento dei dati italiano deli-
2 In ragione degli effetti della successione delle leggi penali nel tempo, si riporta la fat-
tispecie incriminatrice sostituita: “1. Salvo che il fatto costituisca più grave reato, chiunque,
al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al tratta- mento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell’articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi.
2. Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in vio- lazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è pu- nito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni”.
3 Basta soltanto immaginare quante cautele dovranno essere adottate per i dati infor-
matici di natura biometrica e sanitaria che viaggeranno un giorno in Rete, per realizzare la stampa del tessuto biologico oppure la preparazione di farmaci a distanza nonché tutto ciò che concerne il settore biomedicale, sul tema M.L. Rizzo - M. Giacomello, La sanità
elettronica in una prospettiva rivoluzionaria: gli aspetti legali della stampa 3D in medicina,
in Strumenti, diritti, regole e nuove relazioni di cura. Il paziente europeo protagonista nel-
neano un indirizzo di protezione dei dati personali con riguardo esclusivo alla persona fisica.
L’art. 1 “Oggetto e finalità” del Regolamento europeo stabilendo in- fatti: “Il presente regolamento stabilisce norme relative alla protezione delle
persone fisiche con riguardo al trattamento dei dati personali, nonché norme relative alla libera circolazione di tali dati”, non lascia alcuno spazio, nep-
pure in termini di interpretazione estensiva, alla tutela dei dati della per- sona giuridica. Prescrizione ribadita negli stessi termini anche dall’art. 4 del CdP. In questo modo è posta al di fuori della categoria normativa quali- ficata come “interessato” qualunque soggetto che sia persona giuridica, ente o associazione.
Va tuttavia precisato che se l’impresa commerciale sia identificabile at- traverso una persona fisica troverà applicazione la legislazione sul tratta- mento di dati, perché ad emergere saranno i dati identificativi della per- sona fisica ad essa collegata, ma si tratta di una individuazione con rile- vanza del tutto indiretta, in qualche misura del tutto casuale.
In realtà l’art. 167 CdP costituisce una disposizione strutturalmente a fattispecie complessa, al cui interno sono riportate tre diverse ipotesi di reato, denominate tutte illecito trattamento di dati e ciascuna condizionata nei suoi effetti applicativi dalla clausola di sussidiarietà per impedire la di- sciplina del concorso materiale con altri reati analoghi e concorrenti4.
Il legislatore non si è discostato con l’attuale riforma dal precedente modello di incriminazione che vedeva il disvalore di questa ipotesi subor- dinato alla possibile applicazione di una fattispecie incriminatrice più grave. L’esordio, infatti, di tutte e tre le ipotesi è con l’incipit “Salvo che il fatto
non costituisca più grave reato” ponendo in ombra l’oggettiva rilevanza au-
tonoma di queste condotte offensive che invece possono risultare assorbite da una fattispecie diversa, più grave sul piano della misura della sanzione e talvolta anche differente per la categoria giuridica di appartenenza del- l’illecito5.
Mai come in questo caso andrebbe rivisto il principio di sussidiarietà in punto di gravità, poiché la legislazione, peraltro, ancora non scioglie il nodo problematico circa la differenza tra il giudizio di gravità in astratto e quello di gravità in concreto.
4C. Cupelli C. - F. Fico, I riflessi penalistici del Regolamento UE 2016/679 e le nuove
fattispecie di reato previste nel Codice privacy dal d.lgs. n. 101/2018, in Aa.Vv., I dati per- sonali nel diritto europeo, Torino 2019, p. 1107.
5 Il caso paradigmatico è quello riportato in Cass. Sez. II pen., Sent. n. 10995 del 18
gennaio 2013 cit.: “Il Tribunale di Torino, con sentenza in data 12 marzo 2010, dichiarava
C.F.M. e B.M. responsabili del delitto di estorsione aggravata, in esso assorbito il reato di cui al D.Lgs. 30 giugno 2003, n. 196, art. 167…”.
L’assetto del catalogo sanzionatorio appartenente all’attuale legislazione penale, dopo aver introdotto nel corso del tempo pene patrimoniali e va- lorizzato tutto il complesso ordine delle sanzioni collaterali, come ad esem- pio, la confisca quale misura di sicurezza nella nuova formulazione del- l’art. 240 c.p. e poi dell’art. 240-bis c.p. per la sua più ampia portata, pone all’interprete un importante dilemma: se non sia più corretto individuare la gravità del reato alla luce di tutto il compendio sanzionatorio, seguendo anche l’impostazione della giurisprudenza convenzionale ovvero tenendo conto soltanto della pena edittale stabilita per la singola figura di reato6.
Nel caso del provvedimento legislativo al nostro esame il tema della gravità è ulteriormente gravato da dubbi, poiché risulta anche contaminato dagli effetti della sovrapposizione punitiva di sanzione penale e sanzione amministrativa. Da qui una netta scissione tra pena in astratto, particolar- mente pesante, e pena in concreto molto più contenuta perché depurata, come vedremo, dagli effetti del principio regolatore del ne bis in idem.
1.1. La multifocalità delle fonti e la indefinita molteplicità degli elementi
normativi intrinseci della fattispecie penale. Il ruolo normativo del- l’Autorità Garante della privacy
Rispetto al passato la riforma della materia della privacy a livello co- munitario, avvenuta con l’adozione del Regolamento europeo al vertice della piramide gerarchica delle fonti e successivamente dei provvedimenti legislativi nazionali per gli elementi di dettaglio, sollecita l’indagine su un quadro di fonti normative molto più ampio e analitico rispetto al passato. In riferimento alla materia penale, considerato che il legislatore italiano ha inteso introdurre norme punitive di tale natura ignote al Regolamento europeo, il tema delle fonti del diritto e soprattutto della conoscibilità della fonte del diritto applicabile, diventa cruciale per il complesso delle ipotesi di rinvio prescritte dalle norme penali in bianco7.
Tutte le ipotesi di reato sono strutturate con rinvii di tipo recettizio la cui prima fonte di riferimento viene espressamente indicata come imme- diata integrazione del precetto penale. La vera questione si pone, invece,
6 La valutazione viene svolta sulla base della misura della pena edittale, quella astratta-
mente prevista dalla norma, principio confermato da Cass., Sez.Un. pen., Sent. n. 25939 del 28 febbraio 2013, in www.cassazione.it. La tesi tradizionale ritiene che l’indicazione della pena sia il momento risolutivo del concorso apparente di norme, in quanto il disvalore del reato punito con pena inferiore si ritiene compreso in quello punito con pena edittale più grave.
7 Sul tema si rinvia, per l’esauriente trattazione che lambisce soprattutto la legislazione
penale speciale, a D. Notaro, Autorità indipendenti e norma penale. La crisi del principio
quando la norma rinviata, già di per sé tecnicamente complessa e frasta- gliata, rinvia a sua volta a fonti diverse nei contenuti e di rango subordi- nato, in quanto collocata nell’ambito della vasta gerarchia delle fonti esi- stente in materia di dati personali.
Questo modello di integrazione normativa pone seri problemi esegetici, nel momento in cui si intende ricercare la precisa regola di condotta che integra la norma penale in esame e che, per effetto dell’eterointegrazione, diventa anch’essa parte della norma punitiva, la cui ricaduta si potrebbe però risolvere nella incerta affermazione del canone di colpevolezza e di prevedibilità8. A rafforzare i termini di incertezza del livello di legalità co-
stituzionale è anche la presenza in queste fattispecie di precetti che non si risolvono in termini puramente descrittivi, ma che attingono da altre norme segmenti prescrittivi, forgiando una nuova e, in futuro, sempre nuova re- gola di condotta9.
Se con le norme penali abrogate il tema della incertezza gravava in que- sta materia sul sistema delle fonti italiane, oggi ad essere esposto alla più assoluta inconoscibilità è l’intero apparato delle mutevoli fonti sovranazio- nali e soprattutto il complesso delle decisioni della giurisprudenza norma- tiva delle Corti europee che intervengono in maniera decisa – si veda il diritto all’oblio – a integrare, modificare o rimodellare la disciplina esi- stente10.
La multifocalità delle fonti, dunque, si dipana su diversi piani, così come diversi e molteplici sono le Autorità legittimate a produrre diritto in am- bito comunitario, in quell’assetto complessivo che può esser definito di “rinvio dinamico”. Va tenuta nel debito conto, infatti, la necessità di qua- lificare come legittima una legislazione provvista di numerosi rinvii, dove trova un preciso spazio la distinzione tra il concetto di “riferimento” e quello di “rinvio” che sono utilizzati spesso indifferentemente ma che as-
8 G. Amato, Sufficienza e completezza della legge penale, in Giur.cost. 1964, p. 486. S.
Fois, Legalità (principio di), in Enc. dir., XXIII, Milano 1973, p. 659. Nello specifico dl diritto penale, si rinvia a S. Bonini, L’elemento normativo nella fattispecie penale. Que-
stioni sistematiche e costituzionali, Napoli 2016. Per le vaste problematiche di carattere ge-
nerale, resta fondamentale sul tema della legalità l’ampio affresco tracciato in Aa.Vv., Prin-
cipio di legalità e diritto penale, in Quaderni fiorentini 2007.
9 V. Maiello, Dommatica e politica criminale nelle interpretazioni in tema di riserva
di legge: a proposito di un’ipotesi di depenalizzazione “giurisprudenziale”, in Arch. pen.
1988, p. 374.
10 V. Maiello, Consulta e CEDU riconoscono la matrice giurisprudenziale del concorso
esterno, in Dir. pen. e proc. 2015. F. Palazzo, La sentenza Contrada e i cortocircuiti della legalità, in Dir. pen. e proc. 2015. Sul tema, anche se a più ampio raggio, M. Donini, Il diritto giurisprudenziale penale. Collisioni vere e apparenti con la legalità e sanzioni dell’il- lecito interpretativo, in www.penalecontemporaneo.it, 6 giugno 2016.
solvono a funzioni legali e regolatrici radicalmente diverse. Va detto, in- fatti, che mentre il primo si utilizza quando genericamente una disposi- zione ne richiama un’altra, con il secondo ci si riferisce ad una vera e pro- pria integrazione del testo della disposizione rinviante, in questo modo mentre il “riferimento” ha un contenuto di carattere informativo, il “rin- vio” ha contenuto chiaramente costitutivo e precettivo11.
La questione interpretativa assume la dimensione di un preciso allarme nel sistema delle fonti del diritto penale, perché sia il contenuto discipli- nare per “riferimento” sia quello per “rinvio” diventano indifferentemente parte del precetto punitivo e cadono sotto la scure del principio di garan- zia della determinatezza del precetto penale, il cui risvolto è la tassatività nella fase applicativa12. Se per altri rami dell’ordinamento la diversa natura
giuridica dell’integrazione assume una differente dinamica precettiva, così non è per il diritto penale dove la norma integratrice finisce per “plasmare” un precetto diverso e nuovo, giungendo alla creazione di una diversa norma: una clausola sanzionatoria finale13.
In definitiva, la legittimità costituzionale e la conformità ai principi di correttezza della formazione della norma vanno controllati con particolare rigore, in quanto, la produzione delle fonti del diritto non resta vincolata soltanto alla Carta fondamentale dello stato nazionale, ma, nel nostro caso con l’art. 117 Cost., il diritto europeo e la giurisprudenza unitaria e con- venzionale entrano direttamente senza filtro alcuno a far parte del nostro ordinamento giuridico.
Pertanto, il primo gradino del sindacato sulle fonti è quello che appar- tiene a tutto il diritto di livello ordinario, alle Autorità centrali europee e alla giurisprudenza creativa delle Corti; scatta poi un secondo livello che comprende tutte le fonti di carattere regolamentare e di soft law14 insediate
11 Sul tema e nei suoi caratteri generali si rinvia a T. Martines, Diritto Costituzio-
nale, Milano 1997, in particolare p. 110. Tradizionalmente il tema appartiene ad altri set-
tori del diritto, si veda G. Balladore Pallieri, Le varie forme di rinvio e la loro appli-
cabilità al diritto internazionale privato, in Annuario di diritto comparato e di studi legi- slativi, vol. XVI, fasc. 4, 1942, p. 331. A. Apa, Alcune considerazioni sulla tecnica del rin- vio nella produzione normativa, in Rassegna parlamentare 1991, p. 282, come osserva G.U.
Rescigno, L’atto normativo, Bologna 1998, p. 107.
12 F.C. Palazzo, Il principio di determinatezza nel diritto penale, Padova 1979. 13 A. Pagliaro, Monografie di parte speciale cit., p. 86: “In più, la legislazione speciale
tende a soffrire di certi difetti tecnici: soprattutto, insufficiente determinatezza, ridondanza di tutela, abuso delle norme in bianco, rinvio ad altre leggi, clausole sanzionatorie finali”.
14 A. Bernardi, Sui rapporti tra diritto penale e soft law, in Scritti in onore di Mario
Romano, Milano 2010, vol. I, p. 31, poi ripreso con A. Bernardi, Sui rapporti tra diritto penale e soft law, in Riv. it. dir. e proc. pen. 2011, p. 536.
a livello sovranazionale e a livello nazionale attraverso la produzione re- golamentare dell’Autorità Garante della privacy15.
Le prime sono direttamente legittimate ad integrare le norme sovrana- zionali e nazionali in quanto appartenenti al medesimo livello gerarchico, dunque anche ad integrare il precetto penale italiano. Resta il fatto che la corretta attività di integrazione è quella avente ad oggetto fonti dell’ob- bligo, normative e non provvedimentali, preesistenti o coeve al precetto in bianco integrato, salvo il limite di quelle fonti che possono essere state suc- cessivamente introdotte nel sistema normativo ancora ignote alle fonti ita- liane16.
Le fonti regolamentari, invece, rappresentano l’ipotesi più problematica, poiché a monte mancherebbe la legittimazione ad integrare il precetto pu- nitivo, in ragione del principio di riserva di legge. La questione si pone in termini di maggiore complessità se nel vasto panorama delle fonti secon-
15Tra i più recenti provvedimenti normativi si consideri: il Codice deontologico dei
giornalisti “Regole deontologiche relative al trattamento dei dati personali nell’esercizio
dell’attività giornalistica” emanato dal Garante per la protezione dei dati personali con De-
libera del 29 novembre 2018 e pubblicato in G.U. n. 3 del 4 gennaio 2019; e il Codice deontologico degli avvocati “Regole deontologiche relative ai trattamenti di dati per-