«Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante ai sensi degli articoli 26 comma 2163, 90164, 150, commi 1165 e 2166, e 143, comma 1, lettera c) 167, è punito con la reclusione da tre mesi a due anni».
Tale fattispecie delittuosa era già contemplata e disciplinata nella sua fisionomia e nei suoi assi portanti, dall’art. 37168 della legge n. 675/96, salvo
che per l’ulteriore incriminazione per il caso di inosservanza dell’autorizzazione adottata dall’autorità, ai sensi dell’art. 90 t.u. in relazione al trattamento dei dati genetici, in ragione della «particolare delicatezza della materia disciplinata»169.
163Articolo 26 comma 2 codice privacy: «Il Garante comunica la decisione adottata sulla richiesta di
autorizzazione entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il provvedimento di autorizzazione, ovvero successivamente, anche sulla base di eventuali verifiche, il Garante può prescrivere misure e accorgimenti a garanzia dell'interessato, che il titolare del trattamento è tenuto ad adottare».
164 Articolo 90 codice privacy: «1 Il trattamento dei dati genetici da chiunque effettuato è consentito nei
soli casi previsti da apposita autorizzazione rilasciata dal Garante sentito il Ministro della salute, che acquisisce, a tal fine, il parere del Consiglio superiore di sanità.
2. L'autorizzazione di cui al comma 1 individua anche gli ulteriori elementi da includere nell'informativa ai sensi dell'articolo 13, con particolare riguardo alla specificazione delle finalità perseguite e dei risultati conseguibili anche in relazione alle notizie inattese che possono essere conosciute per effetto del trattamento dei dati e al diritto di opporsi al medesimo trattamento per motivi legittimi.
3. Il donatore di midollo osseo, ai sensi della legge 6 marzo 2001, n.52, ha il diritto e il dovere di mantenere l'anonimato sia nei confronti del ricevente sia nei confronti di terzi».
165 Art. 150 comma 1 codice privacy: «1. Se la particolarità del caso lo richiede, il Garante può disporre
in via provvisoria il blocco in tutto o in parte di taluno dei dati, ovvero l'immediata sospensione di una o più operazioni del trattamento. Il provvedimento può essere adottato anche prima della comunicazione del ricorso ai sensi dell'articolo 149, comma 1, e cessa di avere ogni effetto se non è adottata nei termini la decisione di cui al comma 2. Il medesimo provvedimento è impugnabile unitamente a tale decisione».
166 Articolo 150 comma 2 codice privacy: «Assunte le necessarie informazioni il Garante, se ritiene
fondato il ricorso, ordina al titolare, con decisione motivata, la cessazione del comportamento illegittimo, indicando le misure necessarie a tutela dei diritti dell'interessato e assegnando un termine per la loro adozione. La mancata pronuncia sul ricorso, decorsi sessanta giorni dalla data di presentazione, equivale a rigetto».
167 Art. 143 lett. c codice privacy: « c) dispone il blocco o vieta, in tutto o in parte, il trattamento che
risulta illecito o non corretto anche per effetto della mancata adozione delle misure necessarie di cui alla lettera b), oppure quando, in considerazione della natura dei dati o, comunque, delle modalità del trattamento o degli effetti che esso può determinare, vi è il concreto rischio del verificarsi di un pregiudizio rilevante per uno o più interessati;»
168Art. 37 l. 675/96: 1. Chiunque, essendovi tenuto, non osserva il provvedimento adottato dal Garante
ai sensi dell´articolo 22, comma 2, o degli articoli 29, commi 4 e 5, e 31, comma 1, lettera l), è punito con la reclusione da tre mesi a due anni.
L’illecito di cui all’articolo 170 integra un tipico “delitto di infedeltà”170, che
trova riscontro nella disciplina dell’attività di altre autorità garanti.
La disposizione punisce, con la reclusione da tre mesi a due anni (identica pena prevista dall’articolo 37 della l. 675/96), tre condotte: la prima riguarda il mancato rispetto delle indicazioni che si accompagnano o seguono il rilascio dell’autorizzazione al trattamento dei dati sensibili, e cioè di quelle informazioni che, a causa della loro maggiore capacità offensiva e dei rischi discriminatori che ne scaturiscono, sono soggette a una disciplina più rigorosa rispetto ai dati comuni; la seconda riguarda l’inosservanza delle prescrizioni contente nella decisione finale del ricorso; e la terza l’inosservanza delle misure cautelari infra-procedimentali.
Non è chiara la ragione di questa unificazione legislativa, visto che l’insieme dei provvedimenti del Garante oggetto della disposizione, non sono riconducibili a una stessa tipologia: da una parte, infatti, si incontrano provvedimenti di autorizzazione al trattamento di c.d. dati sensibili e di dati genetici; dall’altra, invece, ci si imbatte in provvedimenti che il Garante adotta, in via definitiva o cautelare, in sede di ricorso o di reclamo proposto dall’interessato.
Già a livello intuitivo si coglie, invero, l’omogeneità della prima tipologia di provvedimenti richiamati, con altri che il Garante può adottare disciplinando le condizioni di liceità del trattamento dati. Poco chiaro, pertanto, il motivo per cui essi non siano stati più correttamente richiamati nella fattispecie di “trattamento illecito”, a meno di non ritenere che al legislatore, anche in questo caso, formulando i contorni della figura criminosa, sia sfuggita di mano la tecnica del rinvio alla normativa di disciplina, sì da generare un’ulteriore ipotesi incriminatrice priva di razionalità e sistematicità.
Quanto alla struttura della norma, notiamo come venga adottata la consueta tecnica redazionale del rinvio a norme extra-penali. Parte della dottrina ha affermato che sia costruita sul modello dell’articolo 388 c.p. che incrimina la mancata esecuzione dolosa di un provvedimento del giudice171. Altra
170MANNA A.,La protezione penale dei dati personali nell’ordinamento italiano, in Atti del quinto
dottrina172 invece ritiene che la norma vada raffrontata con l’articolo 650 c.p., che disciplina l’inosservanza dei provvedimenti dell’Autorità, anche se ciò potrebbe esporre quest’articolo alle medesime critiche in ordine al rispetto dei principi di determinatezza e tassatività della fattispecie e del principio di riserva di legge173, in quanto norma penale in bianco destinata a essere integrata, nel caso de quo, dal provvedimento del Garante174.
Il rilievo che il contenuto precettivo della fattispecie sia individuabile a posteriori attraverso l’emissione del successivo provvedimento del Garante, ha consentito, di rilevare che la norma sarebbe costituzionalmente illegittima, esattamente come l’articolo 650 c.p., mantenuto però nel sistema dalla Consulta con sentenza non convincente.175
Sicuramente la norma in termini di determinatezza non rappresenta un esemplare, ma l’illegittimità costituzionale è conseguenza eccessiva; esiste infatti una profonda differenza tra l’articolo 170 codice privacy e l’articolo 650 del codice penale: tutti i provvedimenti tutelati dal codice di protezione sono atti che raggiungono il destinatario direttamente, che è posto in condizione di conoscerli ed eseguirli; non tutti i provvedimenti legalmente dati all’autorità presentano tale caratteristica, essendo riconducibili alla tipologia dei provvedimenti indicati all’articolo 650, anche atti di natura generale, non necessariamente conosciuti dal destinatario. Perciò si ritiene che l’assimilazione appaia più propria con l’articolo 388 c.p., il quale presidia l’autorità elle decisioni giudiziarie, in settori particolarmente sensibili, con l’intervento supplementare della sanzione penale.176
172 CIRILLO G.P. La tutela della privacy nel sistema del nuovo codice sulla protezione dei dati personali,
Padova, 2004.
173 In tal senso, sebbene in relazione all’analoga formulazione dell’art. 37 della L. 675/1996, VENEZIANI
P. beni giuridici tutelati dalle norme penali in materia di riservatezza informatica e disciplina dei dati
personali, tratto da Il diritto penale dell’informatica nell’epoca di internet, a cura diPICOTTI L., Padova, 2004.
174RAMACCI L., Diritto penale dell’ambiente, Padova, 2009; ANTOLISEI F., Manuale di diritto penale.
Parte speciale II 1997
175 MANNA A., La protezione penale dei dati personali nel diritto italiano, in Rivista trimestrale di
diritto penale dell’economia, 1993
176 CORRIAS LUCENTE G. Sanzioni in GIANNANTONIO E.,LOSANO M.ZENO ZENCOVICH V. (a cura di)
La ratio dell’articolo 170 si può rinvenire nel buon funzionamento e nell’efficacia dell’azione dell’Autorità Garante, pertanto il bene giuridico tutelato dalla norma in esame, che sanziona una mera disobbedienza, si individua proprio nella funzione di controllo del Garante per la protezione dei dati personali177.
L’elemento soggettivo che viene richiesto per la realizzazione del reato è certamente il dolo, per cui l’inosservanza dovrà essere oggetto di rappresentazione e volizione da parte del soggetto attivo, non essendo sufficiente, per il delitto de quo, una semplice inosservanza o negligenza colposa.
Il reato si perfeziona nel momento in cui si sia consumato l’inutile decorso del termine fissato per l’osservanza del provvedimento, o nel caso in cui alla comunicazione dell’atto dell’autorità segua il comportamento vietato, ad esempio, nel caso di blocco o sospensione delle operazioni di trattamento, il soggetto obbligato continui le attività interdette.
La norma in esame prevede una tutela di tipo frammentario, in quanto non vengono penalmente sanzionate tutte le disobbedienze di provvedimenti al Garante, ma solo quelle considerate dal legislatore di una certa gravità; ed infatti si noti come siano presidiate dalla sola sanzione amministrativa le condotte che hanno l’effetto di ostacolare l’attività istruttoria del Garante, quali l’omessa informazione o esibizione di documenti richiesti dal Garante, prevista dall’articolo 164.