Sezione I
Gli illeciti penali del trattamento dati svolto su larga scala
Sommario: 1. Il delitto di comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala. – 2. Il dato personale come requisito di tipicità della fattispecie. La netta distinzione con il dato non personale. – 3. I caratteri tipici della condotta punibile costituiti dalla “comunicazione e diffu- sione”. L’assenza dell’evento. – 4. L’archivio di dati personali organizzato quale oggetto di tutela misto tra bene materiale e bene giuridico. – 5. L’elemento soggettivo del reato. – 6. La nozione, la forma e gli effetti autorizzativi del consenso.
1. Il delitto di comunicazione e diffusione illecita di dati personali oggetto
di trattamento su larga scala
La disposizione dell’art. 167-bis CdP è la prima delle novità introdotta dalla riforma del Codice del trattamento di dati:
“1. Salvo che il fatto costituisca più grave reato, chiunque comunica o
diffonde al fine di trarre profitto per sé o altri ovvero al fine di arrecare danno, un archivio automatizzato o una parte sostanziale di esso conte- nente dati personali oggetto di trattamento su larga scala, in violazione de- gli articoli 2-ter, 2-sexies e 2-octies, è punito con la reclusione da uno a sei anni.
2. Salvo che il fatto costituisca più grave reato, chiunque, al fine trarne profitto per sé o altri ovvero di arrecare danno, comunica o diffonde, senza consenso, un archivio automatizzato o una parte sostanziale di esso conte-
nente dati personali oggetto di trattamento su larga scala, è punito con la reclusione da uno a sei anni, quando il consenso dell’interessato è richiesto per le operazioni di comunicazione e di diffusione.
La norma si muove su due diverse linee direttrici che danno luogo a due diverse ipotesi di reato, seppure accomunate dall’unicità dell’oggetto materiale del fatto, vale a dire la comunicazione o la diffusione di un ar- chivio automatizzato o una parte sostanziale di esso contenente dati per- sonali.
La reale differenza tra le due fattispecie è data dal requisito di tipicità previsto dal secondo comma e costituito dalla necessità di acquisire il con- senso dell’interessato. In questo modo l’assenza del consenso rende l’atti- vità di trattamento dei dati personali su larga scala irresolubilmente illecita e punibile.
Ancora una volta il consenso autorizzativo si pone come elemento cen- trale di una fattispecie di reato in questa materia e, ricoprendo il ruolo di elemento costitutivo del fatto necessario alla configurabilità del reato, la fattispecie concreta è lecito e non punibile soltanto in presenza del con- senso prestato dall’interessato. Né può valere un consenso successivo o una riserva di consenso o addirittura un consenso condizionato. È possibile però, come già detto, che vi sia una base legale che consenta il trattamento dell’archivio a prescindere dal consenso esplicito dell’interessato.
Naturalmente vale la regola generale anche in questa ipotesi e trova spa- zio la base legale con doppia fonte, costituita dall’abilitazione legislativa o dal consenso dell’interessato.
Proprio alla luce di questo carattere di tipicità è possibile affermare che tra le due fattispecie della medesima disposizione dell’art. 167-bis CdP esi- ste una diversità strutturale rilevante.
La prima disposizione incriminatrice non è compiuta in sé, ma per tro- vare la completezza del suo precetto, la norma integrativa, deve attingere a prescrizioni normative contenute in leggi diverse, essenzialmente extra-
penali, seguendo il percorso teorico della norma penale in bianco.
L’ipotesi di reato del secondo comma, invece, da un punto di vista po- litico criminale e secondo un profilo di legalità penale, si limita semplice- mente a punire chi comunica o diffonde dati personali di un archivio au- tomatizzato senza richiedere il previo consenso, prescindendo da partico- lari modalità di realizzazione della condotta.
Un punto irriducibile è che la finalità punitiva resta sempre rivolta, se- condo le intenzioni originarie del legislatore sovranazionale, a quell’area di attività di natura commerciale o professionale, segnando anche in questo caso la sua tipicità con un fine economico specifico, di profitto per sé o per altri o per arrecare un danno.
requisito del consenso, è giustificata dalla scelta tecnica di normazione adot- tata in una vasta legislazione con sensibile valore selettivo, nella quale l’au- tosufficienza assicurata alla fattispecie serve a mettere in risalto l’autono- mia dei suoi requisiti costitutivi, secondo il principio di governo della spe- cialità che ne segna la prevalenza rispetto alla fattispecie base dell’art. 167 CdP. Non mancando, tuttavia, di esordire con la consueta clausola di sus- sidiarietà che mortifica il disvalore autonomo del fatto, consegnandolo ad applicazioni vicarie.
Anche in questo caso si replica la scelta coerente del legislatore di am- pliare la categoria dei possibili autori del reato con la locuzione “chiun- que”. Naturalmente si rinvia a quanto già detto per coloro non qualificati istituzionalmente che non svolgono soltanto attività di trattamento di na- tura commerciale e professionale sul mercato, come il titolare e il respon- sabile, ma anche trattamenti di tipo privato o con altre finalità.
Uno dei caratteri di tipicità che rende speciali le due ipotesi di reato ri- spetto alla norma punitiva generale dell’art. 167 CdP è concentrato sul- l’oggetto materiale ossia un archivio automatizzato di dati personali. Tut- tavia, questo riferimento assume un risvolto di tipo quantitativo solo in relazione al destinatario del trattamento, dal momento che il legislatore ha inteso indicare come soggetto passivo un’ampia categoria indeterminata, ti- pica dei reati a soggetto passivo diffuso1.
Gli interessati sono, appunto, tutti i soggetti i cui dati personali iden- titari sono stivati in un “contenitore informatico automatizzato” denomi- nato “archivio”.
Dall’esame dei lavori preparatori si apprende che la denominazione ori- ginaria doveva essere quella del “rilevante numero di persone” danneggiate, vale a dire i destinatari della comunicazione o diffusione dei dati. Il legi- slatore delegato ha ripiegato invece su di una indicazione semantica in ru- brica, sempre di tipo quantitativo, il “trattamento su larga scala”, prefe- rendo utilizzare una terminologia tecnicamente più aderente anche al ma- cro-impatto del settore informatico, piuttosto che affidarsi a un tipo di lo- cuzione definitoria a-tecnica, anche se indicativa di una vasta quantità2.
1 Espressione lesiva tipica della società del rischio che allarga lo sguardo su molti set-
tori legislativi in cui il diritto penale ha trovato spazio, come ritenuto da G. De France- sco, Interessi collettivi e tutela penale. “Funzioni” e programmi di disciplina dell’attuale
complessità sociale, Beni giuridici funzionali versus bene giuridico personalistico, in Studi in onore di Giorgio Marinucci cit., p. 929.
2 L’assenza di una definizione legale ha imposto di ricavare la nozione assumendo dalla
prassi il significato di trattamento su larga scala, così come prescrivono le “Linee guida
concernenti la valutazione di impatto sulla protezione dei dati cit.”, p. 9: “Trattamenti di dati su larga scala: il regolamento non offre definizioni del concetto di “larga scala”, anche
La differenza non sembra di poco conto, dal momento che si perde la declinazione finalistica sulle “persone”, i cui dati vengono utilizzati, per af- fermare un tipo di indicazione che riguarda la caratteristica, la denomina- zione, il presupposto della modalità tecnica seguita nell’attività di tratta- mento.
Probabilmente la scelta, in un vasto provvedimento che coinvolge sem- pre un’intera comunità di persone di vastità globale, è apparsa più oppor- tuna, altrimenti non sarebbe sfuggita alla genericità di un fatto descritto secondo un criterio che avrebbe violato il vincolo della determinatezza.
A ben vedere si sarebbe posto, infatti, un problema di tassatività ad in- vestire un elemento qualificativo del fatto: in che modo sarebbe stato de- terminato in termini di certezza giuridica il “numero rilevante di persone”? Orbene: rispetto a quale parametro quantitativo oggettivo e condiviso avrebbe assunto rilevanza l’elemento di configurabilità e sarebbe diventato punibile il fatto?
È pur vero che il legislatore penale non è nuovo a queste scelte, ha fatto spesso ricorso a clausole generali e dai contorni indefiniti, sia nel co- dice penale, si pensi al concetto di “rilevante quantità di merci” nell’art. 501-bis c.p., sia nelle leggi speciali, si pensi al concetto di “ingente quan-
tità”, come aggravante dell’art. 80 del DPR n. 309/90 in materia di so-
stanze stupefacenti3.
Appare evidente che riferirsi a una larga scala è una scelta mirata e, in realtà, attinge a un preciso referente normativo generato dal settore tecno-
se il considerando 91 fornisce indicazioni in merito. In ogni caso, il Gruppo di lavoro rac- comanda di tenere conto, in particolare, dei fattori seguenti al fine di stabilire se un tratta- mento sia svolto su larga scala: a) numero di soggetti interessati dal trattamento, in termini numerici o di percentuale rispetto alla popolazione di riferimento; b) volume dei dati e/o ambito delle diverse tipologie di dati oggetto di trattamento; c) durata, o persistenza, del- l’attività di trattamento; d) ambito geografico dell’attività di trattamento”.
3 A nostro parere è stato opportuno sostituire la locuzione proposta in origine che non
avrebbe garantito la sufficiente determinatezza, anche se la sostituzione con il “trattamento su larga scala” suscita non meno perplessità. È pur vero che si è raccolto dell’indirizzo le- gislativo eurounitario, ma non può essere trascurato che, soprattutto la Corte costituzio- nale italiana, ha assunto una posizione piuttosto rigida nel ribadire il principio di preci- sione delle norme penali con “alcuni arresti di questa Corte (tra cui le sentenze n. 11 del
1956, n. 23 del 1964, n. 177 del 1980, n. 721 del 1988 e n. 335 del 1996) abbiano dato av- vio ad un percorso “tassativizzante” delle misure di prevenzione”. Il caso era stato susci-
tato dalle prescrizioni “vivere onestamente” e “rispettare le leggi” per l’applicazione della misura di prevenzione, fondata sul sospetto, e diventa ancora più impegnativo per il legi- slatore nell’adozione di una norma incriminatrice, fondata sulla responsabilità penale, si veda le sentenze “gemelle” Corte cost. Sent. n. 24 del 24 gennaio 2019, in www.cortecostitu-
zionale.it, p. 5 e Corte cost. Sent. n. 25 del 24 gennaio 2019, in www.cortecostituzio- nale.it, p. 4.
logico di appartenenza della norma, cui era opportuno rifarsi per garan- tire coerenza giuridica alla prescrizione, non solo sul piano nazionale ma anche su quello transnazionale.
Una prima indicazione di orientamento in questo senso la ritroviamo del Considerando n. 6 del Regolamento europeo: “Sempre più spesso, le
persone fisiche rendono disponibili al pubblico su scala mondiale informa- zioni personali che li riguardano”.
E poi al Considerando n. 91: “Ciò dovrebbe applicarsi in particolare ai
trattamenti su larga scala, che mirano al trattamento di una notevole quan- tità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato, ad esempio, data la loro sensibilità, laddove, in conformità con il grado di conoscenze tecnologiche raggiunto, si utilizzi una nuova tecnologia su larga scala, nonché ad altri trattamenti che pre- sentano un rischio elevato per i diritti e le libertà degli interessati, special- mente qualora tali trattamenti rendano più difficoltoso, per gli interessati, l’esercizio dei propri diritti”.
Le premesse contenute nei due Considerando, infatti, trovano una pun- tuale ricaduta nelle norme precettive successivamente stabilite nella disci- plina del Regolamento europeo.
Il riferimento al trattamento su larga scala, la sua spiegazione norma- tiva con valore vincolante per l’interprete fissa cosa si voglia intendere con questa espressione, la si ritrova, appunto, all’art. 9 “Trattamento di cate-
gorie particolari di dati personali” e poi all’art. 10 “Trattamento dei dati personali relativi a condanne penali e reati”, disposizioni in cui sono in-
dicati i trattamenti per una molteplicità di fini e una generalità indistinta di persone.
2. Il dato personale come requisito di tipicità della fattispecie. La netta di-
stinzione con il dato non personale
Sia la fattispecie in esame che quella successiva dell’art. 167-ter CdP as- sume carattere di specialità rispetto all’ipotesi di reato base dell’art. 167 CdP, perché è posta espressamente ed esclusivamente a tutelare i dati della persona fisica, comuni e appartenente a particolari categorie di dati perso- nali (sensibili), assemblati nello spazio immateriale di un archivio automa- tizzato.
Questa caratterizzazione non manca di suscitare qualche ulteriore ri- flessione.
Soltanto ora, rispetto al passato e soprattutto rispetto alla prima fatti- specie di reato introdotta con l’art. 35 della legge n. 675/96 appare evi-
dente l’intento legislativo. Nel corso del tempo, valorizzando l’utilità di proteggere i dati informatici, le informazioni digitali, non si è inteso limi- tare l’intervento ai dati identificativi della persona. Lo scopo di tipo com- merciale, l’area di interesse del mercato degli scambi economici, all’apice dell’interesse dell’ordinamento sovranazionale aveva in realtà caratterizzato la vecchia versione del delitto di trattamento illecito di dati dell’art. 167 CdP come fattispecie chiamata a tutelare il dato individuale e i dati nella loro pluralità, appartenente a qualsiasi genere, di qualunque natura, tra cui quelli personali.
Con l’introduzione di un successivo Regolamento europeo (UE) 2018/1807 che disciplina la circolazione e la tutela dei dati non personali la fattispe- cie penale in esame si propone come una scelta autonoma compiuta dal legislatore italiano che ha inteso rafforzare la protezione dei soli dati per- sonali contenuti in un archivio automatizzato. Peraltro, si tratta di un par- ticolare contenitore di dati che aggancia la propria funzionalità ad un si- stema dotato di tecnologia avanzata, proprio perché automatizzato.
Vedremo più avanti, infatti, che i dati personali in questione non sono quelli innumerevoli e disordinatamente contenuti nella memoria di Inter-
net, ma una struttura informatica più specifica e dai contorni definiti.
L’opzione legislativa accolta con questa disciplina intende rivolgere le sue istanze di tutela alla riservatezza digitale, a quella online, allorché i dati identificativi, diretti o indiretti, della persona sono compattati in maniera assemblata secondo un criterio di razionalità operativa, volta alla indivi- duazione e all’attingimento rapido dell’informazione. Evidentemente la preoccupazione di una diffusione di massa è alla base delle scelte del legi- slatore, proprio nel senso di ridurre drasticamente i rischi, come suggeri- sce la connotazione tipica del reato a soggetto passivo diffuso.
Il legislatore italiano ha tenuto conto del fatto che non sarebbe apparsa sufficiente e dissuasiva la previsione dei soli illeciti amministrativi, ma si imponeva per il suo forte carattere preventivo un preciso intervento del diritto penale anche in questo caso.
A ben vedere, infatti, molte delle ipotesi che cadono sotto la disciplina repressiva della norma penale sono già contenute nell’art. 83 del Regola- mento europeo “Condizioni generali per infliggere sanzioni amministrative
pecuniarie” a coprire la medesima area di tutela generando un bis in idem.
Tuttavia, la strategia punitiva è ruotata soprattutto intorno alla natura dei dati che, in quanto personali, andavano protetti in misura certamente maggiore dei dati riferiti ad altre attività anonimizzate molto meno signi- ficative, si pensi ai dati statistici e quelli del settore della ricerca.
La nuova ipotesi di reato declinata sul dato personale sottolinea anche le ragioni che la rendono differente la fattispecie di carattere generale e, ol- tre alla clausola di sussidiarietà espressa, mettono in evidenza una precisa
scelta di tipo teleologico, per cui un dato informatico del campo econo- mico o commerciale è certamente meno importante per l’ordinamento di quello che serve ad identificare una persona, violando il suo vissuto e la sua assoluta privatezza.
Questo assetto finisce anche per potenziare la riservatezza digitale e il principio di dignità della persona, proprio perché apre l’orizzonte di tu- tela a una massa di informazioni la cui combinazione si può rivelare utile per una esauriente profilazione dell’individuo. Da questo la possibilità di svelare qualunque circostanza di vita di una persona fisica e di coloro che ruotano intorno al suo quotidiano, i suoi gusti, il suo vissuto e soprattutto in che modo orientarla nella convivenza sociale e nelle aspettative indotte di consumo di beni e servizi.
In definitiva, le informazioni relative a una persona contenute in un ar- chivio ordinato consentono una rapida ed esauriente ricostruzione della sua storia personale e del suo vissuto quotidiano e anche la proiezione in ter- mini predittivi del suo agire. Si pensi ai dati genetici e a quelli anagrafici che interrelati tra loro contribuiscono alla ricerca scientifica sui farmaci per stabilire predittivamente quali malattie e gravi patologie potranno in futuro colpire una persona facilmente individuabile4.
3. I caratteri tipici della condotta punibile costituiti dalla “comunicazione
e diffusione”. L’assenza dell’evento
La condotta punita è la medesima nelle due ipotesi di reato contenute nell’art. 167-bis CdP ed è costituita dalla comunicazione o dalla diffusione di un archivio automatizzato (cioè senza intervento umano) o di una parte sostanziale di esso.
Si tratta del reato di questo microsistema che meglio di ogni altro va- lida la presenza di un bene giuridico super-individuale e afferrabile costi- tuito dalla riservatezza della persona che si rapporta a una indistinta massa di soggetti passivi.
Nella fase della sua consumazione l’ipotesi incriminatrice assume tutti i connotati identificativi di una condotta commissiva istantanea.
4 Appare interessante riportare quanto illustrato dal Presidente dell’Autorità Garante
della privacy nella sua Relazione dell’anno 2018 tenuta alla Camera dei deputati il giorno 7 maggio 2019 a proposito dell’archivio automatizzato gestito dall’INPS che contiene il: “certificato medico riferito al lavoratore, effettuando così un trattamento automatizzato di
dati personali, anche idonei a rivelare lo stato di salute, raffrontando le informazioni con- tenute nel predetto certificato con le altre contenute nell’archivio gestionale delle visite me- diche di controllo ed in ulteriori archivi amministrativi dell’Istituto”, p. 70.
Questa ipotesi di reato, così come la successiva dell’art. 167-ter CdP avrebbe meritato nella fase del progetto legislativo una riflessione maggiore per soddisfare esigenze di protezione in linea di coerenza con tutta l’opera riformatrice della materia.
L’opzione di incriminazione prescelta rivela, invece, un’ambigua conce- zione da parte del legislatore che, se da un lato ha deciso di tutelare con la norma dell’art. 167 CdP la riservatezza personale, declinando il referente in un bene individuale e personalistico, con queste successive norme ha in- trapreso un percorso di definizione incoerente rispetto alle premesse.
Si ritorna in questo modo ad assegnare una tutela penale a un interesse superindividuale e pubblicistico, disancorato da posizioni individuali.
L’assenza di un evento materiale, come il requisito del nocumento re- cuperato al quadro di lesività complessivo dell’orientamento personalistico della norma, rimarca la natura indistinta dei destinatari della protezione. Il riferimento di valore si sposta così nuovamente dal terreno dell’interessato, leso nella sua riservatezza dalla condotta dell’agente, a quello degli innu- merevoli e anonimi interessati della molteplice generalità.
L’evidente contrasto suscitato dalla funzione di tipicità dell’evento po- trebbe essere tuttavia superato, nel senso di ritenere che il legislatore ha as- sicurato una duplice forma di tutela penale, a seconda se la direzione della condotta colpevole intende ledere una singola e specifica posizione sogget- tiva ovvero si rivolge alla indistinta generalità, ricercandone la potenziale le- sività in quegli effetti di macroevento seppure non tipicizzato nel precetto.
Anche in questo caso la condotta coincide con la forma di trattamento e le diverse forme sono puntualmente qualificate e descritte dal Regola- mento europeo, vale a dire la fonte normativa di livello superiore che, allo stesso tempo, assicura il parametro e la base legale di uniformità alla di- sciplina generale.
Stabilisce, sul punto, l’art. 4 che il trattamento può consistere: “in qual-
siasi operazione o insieme di operazioni, compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali o insiemi di dati perso- nali, come… la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione…”.
Si tratta evidentemente di un reato a condotta alternativa, costituiti dalla comunicazione o diffusione, che limita lo spazio dell’intervento punitivo di