La tutela delle informazioni personali

Franca Maria Fratto (*) - Tullio Gerardo Palumbo (**)

1. La disciplina sanzionatoria prevista dalla legge 675/96

L’entrata in vigore della legge 31 dicembre 1996, n. 675 (“Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali”) e dei successivi decreti di attuazione ha segnato un momento di svolta nella tradizione giuridica italiana, per il diffondersi di una vera e propria “cultura” della riservatezza e del rispetto per la vita privata di ogni cittadino. Obiettivo primario del provvedimento è, infatti, quello di garantire che il trattamento dei dati personali si svolga nel rispetto dei diritti, delle libertà fondamentali, nonché della dignità delle persone fisiche, con particolare riferimento alla riservatezza e all’identità personale e di tutelare, altresì, i diritti delle persone giuridiche e di ogni altro ente o associazione(1).

L’importanza della nuova disciplina deriva, in misura non trascurabile, dal suo vastissimo ambito di applicazione, posto che, ai fini della stessa legge, si intende, per “dato personale”, qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione e, per “trattamento”, qualunque operazione o complesso di operazioni aventi ad oggetto i dati personali così definiti(2).

Nell’intento di attribuire un carattere di effettività ai propri obiettivi di tutela, la normativa in esame ha predisposto, per la violazione delle disposizioni in essa contenute, un sistema sanzionatorio particolarmente efficace, che si articola su tre livelli: la sanzione civile del risarcimento del danno; la sanzione amministrativa del pagamento di una somma di denaro; la sanzione penale della reclusione(3).
Il sistema sanzionatorio penale previsto dalla legge 675/96 si incentra, sostanzialmente, su quattro fattispecie di delitto, dal momento che il legislatore ha preferito inquadrare i comportamenti di minore offensività sociale negli illeciti amministrativi puniti con la sola sanzione pecuniaria, anziché nell’ambito dei reati contravvenzionali.

L’art. 34 della legge punisce il delitto di “omessa o infedele notificazione”, commesso da chiunque, essendovi tenuto, non provvede alle notificazioni prescritte ..., ovvero indica in esse notizie incomplete o non rispondenti al vero.
Soggetto attivo del reato in esame è, in primo luogo, il “titolare” del trattamento, che viene definito dalla legge come la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono le decisioni in ordine alle finalità e alle modalità del trattamento di dati personali; in secondo luogo ed in via eventuale, rileva la figura del “responsabile”, che è il soggetto individuale o collettivo preposto dal titolare al trattamento(4).

L’obiettivo delle notificazioni in oggetto è di rendere note le principali informazioni riguardanti il trattamento al “Garante per la protezione dei dati personali”, che è l’Autorità amministrativa indipendente, istituita dall’art. 30 della legge, al fine di garantirne l’esatta applicazione e di promuovere la piena attuazione dei principi in essa contenuti(5).

In particolare, gli adempimenti prescritti sono: la notificazione generale preventiva, riguardante ogni trattamento di dati personali soggetto al campo di applicazione della legge(6); la notificazione speciale, relativa alla destinazione dei dati personali, in ogni caso in cui abbia fine il relativo trattamento(7); la notificazione preventiva del trasferimento, anche temporaneo, fuori dal territorio nazionale, di informazioni personali oggetto di trattamento(8).

Per il delitto in esame, lo stesso art. 34 prevede l’applicazione di una pena detentiva da tre mesi a due anni (un anno, se la notificazione omessa riguarda la cessazione di un trattamento).
Analogo regime sanzionatorio è contemplato, all’art. 37, per il reato di “inosservanza dei provvedimenti del Garante”, commesso da coloro i quali non ottemperino ad alcuni provvedimenti dell’Autorità, espressamente indicati dalla norma, di cui sono destinatari.

Il primo provvedimento rilevante per la configurazione del reato è quello previsto dalla legge a garanzia di tutela dei c.d. “dati sensibili”, che sono definiti come i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale(9).
Le suddette informazioni, per la loro attitudine a rivelare i profili più intimi della personalità di un individuo, possono diventare oggetto di trattamento solo se interviene, accanto al consenso scritto dell’interessato, uno specifico provvedimento di autorizzazione del Garante: quest’ultimo, infatti, può indicare particolari misure e accorgimenti da applicare, quale ulteriore garanzia di riservatezza, nei confronti del soggetto cui si riferiscono i dati.

Il secondo tipo di provvedimento è quello che lo stesso Garante può adottare, sulla base del ricorso proposto dall’interessato, al fine di far valere il proprio “diritto all’autodeterminazione informativa”, vale a dire il personale ed esclusivo potere di controllo su tutte le informazioni che lo riguardano, sulla loro utilizzazione, sui soggetti legittimati ad accedervi e a farne uso(10). Al termine del procedimento, infatti, se ritiene fondato il ricorso, il Garante emana un provvedimento con il quale ordina la cessazione del comportamento illegittimo e indica le misure da adottare, a tutela dei diritti del ricorrente.

Per l’applicazione del regime sanzionatorio di cui all’art. 37 rilevano, altresì, i provvedimenti che l’Autorità può emanare nel corso del procedimento, al fine di disporre, in via provvisoria, il blocco dei dati personali, ovvero l’immediata sospensione di una o più operazioni del trattamento.
L’art. 35 della legge 675/96 sanziona il reato di “trattamento illecito di dati personali”, commesso da chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede a un trattamento di dati personali, o alla loro comunicazione e diffusione, in violazione di alcuni specifici divieti contemplati dalla normativa in esame.

Lo stesso articolo prevede l’irrogazione di una pena detentiva fino a due anni (a partire da un minimo edittale di tre mesi, se il comportamento vietato consiste nella comunicazione e diffusione), salvo che il fatto costituisca più grave reato; la stessa pena è compresa fra uno e tre anni, se dalla condotta deriva il verificarsi di un danno.
Passando all’esame delle specifiche norme la cui violazione configura il delitto in oggetto, l’art. 11 prevede il principio fondamentale secondo cui il trattamento di dati personali, da parte di privati o di enti pubblici economici, è ammesso solo con il consenso espresso dell'interessato(11). Il consenso stesso è validamente prestato soltanto se espresso liberamente e in forma specifica e documentata per iscritto e se sia stata resa all’interessato un’adeguata informativa circa il trattamento(12).
Per quanto riguarda la comunicazione e la diffusione di dati personali(13), l’art. 20 prevede, quale requisito fondamentale per il compimento delle suddette operazioni da parte di privati e di enti pubblici economici, il consenso espresso dell’interessato, salve alcune ipotesi, espressamente indicate, nelle quali si può prescindere dal consenso, in vista dell’esigenza di salvaguardare interessi individuali o collettivi di rango prevalente(14).

L’art. 27 indica alcune condizioni particolari per il trattamento dei dati personali ad opera di soggetti pubblici, esclusi gli enti pubblici economici, che è consentito soltanto per lo svolgimento delle funzioni istituzionali, nei limiti stabiliti dalla legge o dai regolamenti. Le medesime condizioni sono richieste per la comunicazione e la diffusione di dati a soggetti pubblici, mentre la comunicazione e diffusione nei confronti di privati deve essere espressamente prevista da norme di legge o di regolamento.

L’art. 21 detta specifici divieti di comunicazione e diffusione dei dati personali, in determinati casi: quando le suddette attività si svolgano per fini diversi da quelli indicati nella notificazione generale preventiva; quando sia stata ordinata la cancellazione dei dati; quando sia decorso il periodo di tempo necessario alla realizzazione degli scopi del trattamento; quando, infine, a giudizio del Garante, la comunicazione e la diffusione siano in contrasto con rilevanti esigenze della collettività.

L’art. 23 richiede che il trattamento dei dati idonei a rivelare lo stato di salute dell’interessato avvenga, ad opera degli esercenti le professioni sanitarie e degli organismi sanitari pubblici, limitatamente ai dati e alle operazioni indispensabili per il perseguimento di finalità di tutela dell’incolumità fisica e della salute dell’interessato. Se le stesse finalità riguardano un terzo o la collettività e non ricorre il consenso scritto dell’interessato, il trattamento può avvenire unicamente previa autorizzazione del Garante. La diffusione dei medesimi dati è consentita, nelle sole ipotesi in cui risulti necessaria per finalità di prevenzione, accertamento o repressione dei reati, con l’osservanza delle norme che regolano la materia.
L’art. 24 ammette il trattamento dei dati personali idonei a rivelare la sottoposizione dell’interessato a provvedimenti penali, iscritti nel Casellario giudiziale ai sensi dell’art. 686 c.p.p., soltanto se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichino le rilevanti finalità di interesse pubblico del trattamento, i tipi di dati trattati e le precise operazioni autorizzate.

Infine, rientra nella previsione dell’art. 35 la violazione del divieto di trasferimento all’estero dei dati, quando l’ordinamento dello Stato di destinazione o di transito non assicuri un livello di tutela delle persone adeguato, ovvero, se si tratta dei dati di cui agli articoli 22 e 24, di grado pari a quello assicurato dall’ordinamento italiano.
L’art. 36 della legge prevede il reato di “omessa adozione di misure necessarie alla sicurezza dei dati”, commesso da chiunque, essendovi tenuto, omette di adottare le misure necessarie a garantire la sicurezza dei dati personali, in violazione delle disposizioni dei regolamenti di cui ai commi 2 e 3 dell’art. 15.
L’adozione delle suddette misure rientra nei compiti del titolare o, in via sussidiaria, del responsabile di un trattamento di dati personali: l’inottemperanza al relativo obbligo comporta l’applicazione di una pena detentiva fino a un anno, se il fatto, anche commesso per colpa, non cagiona alcun evento lesivo; da due mesi a due anni, se dal fatto deriva il verificarsi di un danno.

Le disposizioni regolamentari cui fa riferimento la norma sono state recentemente approvate, con d.P.R. 28 luglio 1999, n. 318(15).
Il provvedimento in esame, nell’individuare le singole misure di sicurezza che i soggetti privati e pubblici devono adottare, al fine di assicurare un minimo grado di protezione ai dati personali in loro possesso, fissava nel 29 marzo 2000 la data entro la quale il relativo processo di adeguamento avrebbe dovuto concludersi. Ma, la brevità dei termini concessi dal legislatore e la constatazione delle notevoli difficoltà tecniche ed organizzative che le aziende private e le pubbliche amministrazioni hanno riscontrato, nell’applicare tali regole, hanno indotto alcuni parlamentari a proporre, ancor prima dell’entrata in vigore del decreto presidenziale, una proposta di legge-proroga: scopo dell’iniziativa era di evitare che un gran numero di amministratori delegati o presidenti di grandi società potessero incorrere in sanzioni penali, a causa di trattamenti di dati personali non sufficientemente sicuri.

In seguito all’entrata in vigore della legge 3 novembre 2000, n. 325, pertanto, le aziende che, a causa di particolari esigenze tecnico-organizzative, non fossero state in regola con l’adozione delle indicate misure di sicurezza, hanno usufruito di una proroga (fino al 31 dicembre 2000), per adottare le misure minime di cui al d.P.R. 318/99.

Potevano essere incluse nel novero delle esigenze tecnico-organizzative richieste dalla legge, in particolare, la complessità dell’organizzazione dell’azienda, l’elevato numero di banche dati presenti nel sistema, i gravosi ed imprevisti oneri imposti al bilancio aziendale dall'adozione delle misure(16).
La proroga è stata ammessa a condizione che, entro 30 giorni dall’entrata in vigore della stessa legge, fosse redatto il c.d. “Documento di adeguamento”, vale a dire un atto scritto, fornito di data certa e conservato presso un ufficio della sede dell’azienda espressamente indicato, che attestasse i motivi per cui non fosse stato possibile adottare tempestivamente le misure obbligatorie previste dal decreto, descrivendo specificamente gli accorgimenti già predisposti e quelli ancora mancanti o in corso di adozione. Il documento doveva indicare, altresì, le fasi previste e i tempi necessari a consentire il perfetto adeguamento alla normativa, nonché le linee-guida per la sicurezza seguite dall’azienda.

Le misure minime di sicurezza individuate nel d.P.R. 318/99 si differenziano in base alla natura dei dati raccolti, alle modalità di trattamento (cartaceo, automatizzato, con l’ausilio di reti disponibili o non disponibili al pubblico), nonché in base allo scopo perseguito.

Lo schema scelto dal legislatore permette di individuare alcune misure meno onerose, applicabili a tutti i trattamenti ed altre, più incisive, da applicare a quelle operazioni che si ritengono potenzialmente più rischiose per la sicurezza dei dati: il massimo grado di protezione, infatti, è assicurato ai trattamenti di dati sensibili con elaboratori elettronici accessibili in rete.

Le concrete misure da adottare, in rapporto alle caratteristiche e alle dimensioni del sistema informativo di volta in volta interessato, vanno dalle semplici cautele tecniche necessarie alla tutela dei dati, alle protezioni logiche contro gli accessi abusivi (password o codici di validazione); dalla protezione fisica dei terminali o degli uffici, all’identificazione dei responsabili degli accessi, fino alla registrazione di ogni forma di accesso ai dati personali presenti nel sistema(17).

L’adozione delle misure minime di sicurezza relative a trattamenti automatizzati richiede il necessario coordinamento con la disciplina prevista dagli artt. 615-ter e ss. c.p., introdotti dalla legge 23 dicembre 1993, n. 547: tale normativa ha inteso predisporre una più efficace tutela ai c.d. beni informatizzati, allo scopo di reprimere il dilagante fenomeno dei reati informatici (o computer crimes), individuati quali condotte illecite aventi ad oggetto i sistemi di archiviazione o elaborazione di dati e informazioni, ovvero la trasmissione automatica degli stessi(18).
Il sistema sanzionatorio penale predisposto dalla legge 675/96 si completa con la previsione dell’art. 38, che recita:

  • La condanna per uno dei delitti previsti dalla presente legge importa la pubblicazione della sentenza.

Ai sensi degli artt. 19 e 36 c.p., pertanto, il giudice deve ordinare la pubblicazione della sentenza penale di condanna, a titolo di pena accessoria: la pubblicazione avviene, di regola, per estratto e una sola volta, in uno o più giornali individuati dallo stesso giudice, a spese del condannato(19).

2. Aspetti problematici delle fattispecie di reato contro la riservatezza dei dati personali

La scelta di ricorrere alla sanzione penale e, in particolare, alla pena detentiva, per la repressione delle principali figure d’illecito contemplate dalla legge 675/96, è stata criticata, da parte di alcuni autori(20), perché in contrasto con la tendenza dell’ordinamento alla progressiva decriminalizzazione degli illeciti di minore offensività sociale.

Al fine di arginare la c.d. “ipertrofia” del diritto penale, infatti, i più recenti interventi legislativi hanno perseguito un duplice obiettivo: da un lato, la tendenziale delimitazione dell’area della rilevanza penale entro lo spazio segnato dall’esigenza di prevenire e reprimere le lesioni più gravi, arrecate a beni essenziali per la collettività; dall’altro e contemporaneamente, l’estromissione dal sistema penale dei reati incentrati su lesioni di scarso rilievo, che non rivestono un carattere di offensività tale da giustificare il ricorso alla pena. E’ espressione compiuta di questa tendenza la legge 25 giugno 1999, n. 205 (“Delega al Governo per la depenalizzazione dei reati minori e modifiche al sistema penale e tributario”) che, con i relativi decreti di attuazione, rappresenta il punto culminante di un ampio progetto di riforma, avviato con la legge 24 novembre 1981, n. 689 (“Modifiche al sistema penale”) e, secondo la dottrina più attenta, non ancora concluso(21).

È stato rilevato, altresì, che la direttiva comunitaria in materia di trattamento dei dati personali, cui la legge italiana ha dato attuazione nell’ordinamento interno, non impegnava gli Stati membri in merito al tipo di sanzione applicabile nelle ipotesi d’inosservanza delle normative nazionali, limitandosi a richiedere l’adozione di misure appropriate per garantire la piena applicazione delle disposizioni della presente direttiva(22).

Le critiche evidenziate, tuttavia, non tengono in adeguata considerazione il fatto che, per potersi considerare appropriata, ogni misura sanzionatoria deve essere in grado di determinare, quanto meno, un’apprezzabile riduzione degli illeciti a causa dei quali viene predisposta, in ossequio ad una delle esigenze prioritarie di ogni sistema sanzionatorio, che è quella dell’effettività. Un simile risultato non poteva essere conseguito attraverso le mere sanzioni pecuniarie, i cui effetti non sarebbero stati avvertiti da ampie categorie di destinatari, quali le pubbliche amministrazioni o le imprese di grandi dimensioni, che rivestono un ruolo di primo piano nella disciplina del trattamento di dati personali: il ricorso alla sanzione penale risultava, dunque, inevitabile, al fine di scoraggiare le condotte illecite di tutti i soggetti chiamati a dare applicazione alla nuova normativa.

La scelta sanzionatoria di cui alla legge 675/96, pertanto, si conforma alle principali finalità che legittimano il ricorso alla pena in un moderno Stato di diritto e, dunque, agli obiettivi di prevenzione generale, volti a distogliere la generalità dei cittadini dal commettere reati e di prevenzione speciale, volti ad impedire che il singolo autore del reato torni a delinquere(23).

I delitti di omessa o infedele notificazione (art. 34), di omessa adozione di misure necessarie alla sicurezza dei dati (art. 36) e di inosservanza dei provvedimenti del Garante (art. 37), sotto il profilo soggettivo, si configurano come tipiche fattispecie di reato proprio che, in quanto ricollegate alla violazione di determinati e specifici comportamenti, possono essere commesse solo da quei soggetti che, per espressa indicazione della legge, sono obbligati ad adottarli: autore dei suddetti reati, infatti, può essere unicamente l’individuo rivestito di una particolare qualifica soggettiva, dato lo stretto rapporto intercorrente fra tale qualifica e il bene giuridico assunto ad oggetto di tutela dalla norma incriminatrice(24).

La problematica giuridicamente più interessante, in merito alle fattispecie in esame, è quella relativa all’individuazione dei soggetti chiamati ad attivarsi per l’adempimento degli obblighi la cui violazione integra tali ipotesi di reato.
Non vi sono dubbi circa l’attribuzione della relativa responsabilità penale per la condotta omissiva adottata dal titolare del trattamento, in quanto soggetto tenuto, in via primaria, all’adempimento degli obblighi di notificazione, all’adozione delle misure di sicurezza preventive, all’osservanza dei provvedimenti del Garante(25).

Anche nell’ipotesi di nomina di uno o più responsabili del trattamento di dati personali, il titolare mantiene, nei riguardi di tali soggetti, una responsabilità in vigilando, oltre che in eligendo. La stessa legge, infatti, impone che la scelta dell’eventuale responsabile avvenga tra soggetti che, per esperienza, capacità ed affidabilità, forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza(26). In secondo luogo, il titolare è tenuto a vigilare sulla puntuale osservanza delle norme di legge e delle proprie istruzioni, da parte del responsabile, anche tramite verifiche periodiche, specificando analiticamente e per iscritto i compiti a lui affidati(26).

Pacificamente, dunque, il titolare rimane (almeno in parte) responsabile, anche quando demanda l’adempimento dei propri compiti ai suoi collaboratori, se omette di vigilare sull’operato di questi ultimi o non impartisce loro adeguate istruzioni.
Il responsabile, invece, nei limiti delle proprie competenze e del proprio raggio d’azione, può incorrere in sanzioni penali per il proprio comportamento omissivo, qualora non abbia ottemperato in maniera adeguata alle istruzioni impartitegli dal titolare.

Per quanto riguarda gli incaricati del trattamento, che sono definiti dalla legge come le persone incaricate per iscritto di compiere le operazioni del trattamento dal titolare o dal responsabile e che operano sotto la loro diretta autorità, tali soggetti non possiedono alcun margine di discrezionalità, ma devono attenersi rigidamente alle istruzioni ricevute(27). Per costoro, pertanto, si può configurare una responsabilità penale, qualora siano destinatari di istruzioni idonee, specifiche e dettagliate, riguardanti un trattamento di dati personali, alle quali non abbiano ottemperato.

La collocazione delle fattispecie in esame nell’ambito dei reati propri solleva rilevanti problematiche, in merito al principio di personalità della responsabilità penale, sancito dall’art. 27, I comma Cost., nell’ipotesi in cui la qualifica di titolare o responsabile non sia rivestita da singoli individui, bensì da soggetti collettivi. Nell’ambito di tali organismi, infatti, non è sempre agevole individuare la persona fisica chiamata a rispondere dei reati commessi nello svolgimento dell’attività facente capo all’ente, mentre lo stesso principio di personalità e il suo corollario societas delinquere non potest non consentono di delineare una responsabilità “per posizione”, sganciata da specifici comportamenti penalmente sanzionati(28).

Nella maggior parte dei casi, inoltre, il soggetto sul quale ricadono i numerosi obblighi di condotta previsti dalla legge non è in grado di adempiervi personalmente, il che lo induce a delegarne l’adempimento ad altri soggetti, suoi collaboratori. Si pone, pertanto, il problema dell’ammissibilità di un’eventuale delega di funzioni e, in particolare, della sua rilevanza penale, sia sotto il profilo di un’esenzione da responsabilità del titolare, sia sotto quello di un’assunzione della medesima responsabilità, da parte della persona fisica di fatto preposta all’adempimento(29).

La giurisprudenza prevalente ammette la rilevanza della delega funzionale, ad alcune condizioni e, cioè: che l’ente collettivo sia un organismo di grandi dimensioni; che la ripartizione di funzioni non abbia carattere fraudolento; che i collaboratori delegati possiedano una provata competenza tecnica e siano dotati dei poteri e dei mezzi necessari per svolgere efficacemente i compiti loro affidati(30). Quest’impostazione mantiene la sua validità, per gli illeciti in materia di dati personali, purché l’individuazione del soggetto responsabile sia effettuata sulla base di un criterio di effettiva corrispondenza tra poteri e responsabilità e, quindi, sulla base della funzione in concreto esercitata nell’ambito dell’ente.

Sempre sotto il profilo soggettivo, le fattispecie di reato fin qui esaminate richiedono, quale elemento psicologico, il dolo generico, che si specifica nella coscienza e volontà di omettere gli adempimenti prescritti dalla legge, o di provvedere agli stessi in modo incompleto o non veritiero, ovvero di non eseguire i provvedimenti del Garante, precludendo all’Autorità di garanzia le proprie funzioni di tutela. Per la configurazione dei delitti in esame, infatti, è sufficiente la realizzazione degli elementi costitutivi del fatto tipico, mentre non rilevano ulteriori fini particolari, eventualmente perseguiti dal soggetto agente.

L’art. 35 (“Trattamento illecito di dati personali”) si distingue dalle altre norme incriminatrici di cui alla legge 675/96, poiché individua un’ipotesi di reato comune, che può essere commessa da chiunque, non richiedendosi il possesso di alcuna qualifica soggettiva da parte dell’autore. Si tratta, inoltre, dell’unica fattispecie che richiede, quale elemento psicologico, il dolo specifico: perché si configuri il reato, infatti, è necessario che l’agente persegua un fine ben preciso e determinato, che è quello di realizzare un profitto o di arrecare un danno a terzi, anche se è del tutto irrilevante che tale finalità, in concreto, si realizzi(31).

Sotto il profilo oggettivo, le fattispecie di cui agli artt. 35 e 36 si caratterizzano quali reati aggravati o qualificati dall’evento, in quanto subiscono un aumento di pena, per il verificarsi di un evento ulteriore rispetto al fatto tipico, di per sé idoneo a delineare un reato di azione: le conseguenze dell’evento lesivo, infatti, vengono attribuite all’agente sulla base del mero nesso di causalità con la condotta, a prescindere da qualsiasi requisito di colpevolezza(32).

Le fattispecie di cui agli artt. 34 e 37 si caratterizzano, invece, quali reati omissivi propri, in quanto si perfezionano con il mancato compimento dell’azione che la legge impone di realizzare: all’autore, infatti, si fa carico di non aver posto in essere il comportamento previsto dalla norma, indipendentemente dai risultati dannosi eventualmente riconducibili alla condotta omissiva(33).

È incerto l’inquadramento dei delitti in oggetto fra gli illeciti di danno o fra quelli di pericolo: tale distinzione si fonda essenzialmente sulle conseguenze della condotta criminosa e, in particolare, sulla sua attitudine a determinare l’offesa, o lesione attuale, ovvero la messa in pericolo, o lesione potenziale, del bene protetto(34). Il corretto inquadramento delle fattispecie in esame, pertanto, deriva dall’esatta individuazione del bene giuridico che si assume oggetto di tutela, da parte delle rispettive norme.

Secondo una prima impostazione, il bene tutelato è, nell’art. 34, la trasparenza dei trattamenti di dati personali, che è condizione indispensabile per l’esercizio dei diritti riconosciuti all’interessato dalla legge e per l’assolvimento dei compiti del Garante; nell’art. 37, la funzione di controllo e di indirizzo esercitata dall’Autorità. Se si accoglie questa prospettiva, la realizzazione del fatto tipico comporta, senza dubbio, una lesione effettiva e attuale del bene protetto, che impedisce di inquadrare le relative fattispecie fra i reati di pericolo.

Se, invece, si ritiene che gli artt. 34 e 37 assumano ad oggetto immediato di tutela i beni della riservatezza, della dignità e dell’identità personale, si deve propendere per la loro qualificazione in termini di reati di pericolo, dal momento che la disobbedienza agli obblighi di notificazione o ai provvedimenti del Garante concretizza la mera messa in pericolo degli stessi beni.

Qualunque sia l’impostazione accolta, sorgono dubbi in merito alle corrette modalità di utilizzazione della sanzione penale quale strumento di tutela dei beni giuridici, vale a dire dei beni socialmente più rilevanti, considerati, in ragione della loro importanza, meritevoli di protezione da parte dell’ordinamento(35).
La teoria costituzionalmente orientata del bene giuridico, oggi dominante, fonda le sue premesse sul fatto che la sanzione penale sacrifica valori costituzionali di fondamentale rilievo: non solo la libertà personale, sancita dall’art. 13, ma anche la dignità sociale e il diritto dell’individuo a una piena realizzazione della propria personalità, tutelati dagli artt. 2 e 3 della Costituzione(36). L’attitudine ad incidere su beni di rango costituzionale primario impone di individuare un criterio di legittimazione dello strumento penalistico che sia ricavabile dalla stessa Costituzione, per cui il ricorso alla pena si giustifica unicamente se diretto a tutelare beni dotati di rilevanza costituzionale espressa o, quanto meno, implicita. Si ammette, infatti, la tutela penale di posizioni giuridiche che, pur non essendo menzionate espressamente nel testo scritto, rientrano nel sistema sociale dei valori che rappresenta la dimensione effettuale dell’ordinamento costituzionale.

Partendo da queste premesse, per giustificare la sanzione penale delle condotte che offendono unicamente la trasparenza dei trattamenti o le funzioni del Garante, bisogna ammettere la legittimità del ricorso alla pena nei riguardi di beni giuridici che, pur non essendo tutelati dalla Costituzione neppure in forma implicita, siano finalizzati alla salvaguardia di altri beni, senz’altro di rango costituzionale: fra questi, il diritto alla riservatezza(37).

Si tratta di un’impostazione non priva di inconvenienti, se ci si colloca in un’ottica garantista, in quanto rischia di criminalizzare la mera disobbedienza a un precetto, al di là di una reale offensività della condotta sanzionata nei riguardi di un bene specifico: tutto ciò contrasta con il principio di necessaria lesività-offensività, che impone il ricorso alla sanzione penale nei soli casi in cui un determinato comportamento materiale realizzi la lesione effettiva o potenziale di un altrettanto determinato bene giuridico(38).

Il problema si pone, altresì, con riferimento al principio di proporzione, che impone la necessaria corrispondenza tra gravità del fatto ed entità della pena(39), soprattutto ove si consideri che la stessa legge 675/96 contiene altre norme, la cui inosservanza espone a gravi conseguenze i beni fondamentali della dignità, della riservatezza e dell’identità personale e, ciò nonostante, non risulta penalmente sanzionata. Ci si riferisce, in particolare, ai principi in materia di modalità della raccolta e requisiti dei dati, previsti dall’art. 9(40), la cui violazione, che presenta effetti certamente più gravi della mera disobbedienza agli obblighi di notifica, espone il titolare all’applicazione di mere sanzioni civili o di provvedimenti del Garante.

Nell’intento del legislatore, probabilmente, si è voluta evitare un’incriminazione eccessiva e indifferenziata, dal momento che, nella previsione dell’art. 9, rientra una vastissima gamma di comportamenti, ma lo stesso effetto poteva essere conseguito attraverso la corretta applicazione di altri postulati fondamentali del diritto penale: in primo luogo, il principio di frammentarietà, il quale comporta che il bene oggetto di protezione giuridico-penale sia tutelato non contro ogni forma di aggressione proveniente da terzi, bensì contro specifiche offese, considerate più gravi e insidiose(41); in secondo luogo e di conseguenza, il principio di tassatività, che vincola il legislatore a una descrizione il più possibile precisa e particolareggiata del fatto di reato, onde consentire ai destinatari del precetto di rappresentarsi con esattezza il tipo di comportamento vietato e prevenire, così, i possibili abusi del potere giudiziario, in sede di accertamento della corrispondenza della condotta al fatto tipico(42). Una puntuale e specifica descrizione dei comportamenti vietati, infatti, costituisce la migliore applicazione del principio di legalità del precetto e della sanzione penale, sintetizzato dalla formula nullum crimen, nulla poena sine lege, che è finalizzato a tutelare i diritti di libertà del cittadino contro ogni possibile arbitrio del potere statuale(43).

Le considerazioni appena svolte, in realtà, si attenuano con riferimento alla fattispecie di cui all’art. 37, ove si consideri che l’inosservanza dei provvedimenti del Garante raggiunge una soglia più elevata di potenziale offensività, dal momento che le indicazioni di quest’organo di garanzia devono essere dettate in seguito a un’attenta ponderazione di tutti i possibili rischi derivanti da un trattamento di dati personali.

Resta, comunque, l’impressione che, in entrambe le fattispecie, lo strumento penalistico sia stato utilizzato in chiave promozionale, nel senso di favorire l’adozione di determinati comportamenti da parte di specifiche categorie di soggetti: una prospettiva in netto contrasto con l’ottica garantista e costituzionalmente orientata, che impone di utilizzare lo strumento penale unicamente per il suo scopo precipuo e, cioè, la protezione dei beni giuridici.

I delitti di cui agli artt. 35 e 36 non sollevano problemi, in merito al rispetto del principio di proporzione, dal momento che si tratta di fattispecie che producono l’immediata ed effettiva lesione dei beni giuridici della riservatezza e dell’identità personale. Il trattamento illecito di dati personali, infatti, concretizza, di per sé, la lesione del diritto all’autodeterminazione informativa, che riveste un ruolo primario nell’ambito di tutta la normativa in esame: si pongono, semmai, dubbi di ragionevolezza, in merito al rapporto fra questa previsione e quella di cui all’art. 34 che, pur sanzionando la lesione di un bene giuridico di minore entità, applica un trattamento sanzionatorio più severo, richiedendo, per di più, il semplice dolo generico.

Per quanto riguarda l’adozione di idonee misure di sicurezza, anch’essa riveste un’importanza fondamentale, ai sensi dell’art. 15, comma 1 della legge, che recita: “I dati personali oggetto di trattamento devono essere custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta”.

Le misure di sicurezza preventive hanno il compito di evitare ogni possibile intrusione nella sfera privata degli individui, per cui è necessario assicurare la loro piena operatività, vista anche l’impossibilità di ripristino della situazione antecedente, nel momento in cui si verifica una lesione effettiva dei diritti protetti: in altri termini, ogni attentato alla sicurezza si traduce ipso facto in una violazione della riservatezza dei dati, rendendo estremamente opportuna la tutela penale apprestata per questa ipotesi.

La responsabilità per la relativa condotta illecita impone di rinvenire un criterio distintivo fra misure di sicurezza minime e idonee, dal momento che l’applicazione del meccanismo sanzionatorio di cui all’art. 36 è riconducibile unicamente all’omissione delle misure minime, oggi individuate dal d.P.R. 318/99; per le misure idonee, invece, può ritenersi applicabile la previsione generale di cui all’articolo 18 della legge, relativo al risarcimento dei danni cagionati per effetto di un trattamento di dati personali(44).

Mentre le misure minime garantiscono un livello particolarmente basso, (per l’appunto minimo) di protezione, che il legislatore ha ritenuto necessario e sufficiente ad escludere rischi particolarmente gravi per la sicurezza dei dati(45), le misure idonee non sono indicate da un provvedimento legislativo, ma devono essere individuate dallo stesso soggetto che intende procedere al trattamento, sulla base di quattro elementi specificamente indicati e, cioè: progresso tecnico; natura dei dati; caratteristiche del trattamento; specifici rischi.

Il principale elemento di distinzione tra misure minime e idonee deve ravvisarsi, dunque, nel diverso margine di discrezionalità che si attribuisce al titolare del trattamento nella scelta delle stesse, tenendo conto del fatto che lo stesso concetto di misura idonea è estremamente dinamico, in quanto fortemente condizionato dalla tipologia di trattamento realizzato.

L’adozione delle misure minime di sicurezza entro i tempi indicati dal legislatore, pertanto, non determina l’esaurirsi dell’attenzione verso la delicata problematica della sicurezza dei dati, sia per l’obbligo di vigilanza e revisione delle misure adottate, sia per la necessità di monitorare costantemente l’andamento dei rischi e i necessari adempimenti, in funzione dell’evoluzione tecnologica.

Per quanto riguarda il disposto dell’art. 38, solleva perplessità l’applicazione della sanzione accessoria ivi prevista ad alcune delle fattispecie di reato contemplate dalla legge e, in particolare, ai delitti di omessa o infedele notificazione.
La pubblicazione della sentenza penale di condanna persegue obiettivi di prevenzione generale e di difesa sociale difficilmente riconducibili alle fattispecie di delitto contemplate dall’art. 34: gli obblighi di notificazione, infatti, sono adempimenti di notevole complessità, che richiedono un’adeguata preparazione tecnico-giuridica, per cui non è da escludere che la maggior parte delle condanne conseguenti alla loro violazione sia determinata dalla semplice colpa dell’agente. È lecito, pertanto, sollevare dubbi, in ordine all’adeguatezza e congruità di una sanzione dal contenuto evidentemente afflittivo, riconducibile al mero stato di colpa.


(*) - Tutor dell’area disciplinare penalistica della facoltà di giurisprudenza dell’Università di Catanzaro. Autore del 2° paragrafo.
(**) - Capitano dei Carabinieri, comandante della Compagnia di Girifalco (CZ). Autore del 1° paragrafo.
(1) - Cfr.: art. 1, comma 1 della legge in esame. Per una trattazione organica del provvedimento, si segnalano: Aa.Vv., La disciplina del trattamento dei dati personali, a cura di Cuffaro e Ricciuto, Torino, 1997; Cattaruzza-Galbiati-Panieri-Zampetti, La tutela dei dati personali, Roma, 1998; Alpa, La normativa sui dati personali. Modelli di lettura e problemi esegetici, Milano, 1999; Aa.Vv., La tutela dei dati personali, a cura di Maglio, Napoli, 1999; Giannantonio-Losano-Zeno Zencovich, La tutela dei dati personali. Commentario alla legge 675/96, Padova, 1999; Busnelli, Trattamento dei dati e tutela della persona, Milano, 1999; Aa.Vv., La privacy. Guida all’applicazione della legge 675/96, a cura di Minella, Napoli, 2000.
(2) - Cfr.: art. 1, comma 2, lett. b) e c).
(3) - Per una visione d’insieme dei meccanismi di tutela introdotti dalla legge 675/96: Guerra, Gli strumenti di tutela, in Aa.Vv., La disciplina del trattamento dei dati personali, a cura di Cuffaro e Ricciuto, cit.; Castronovo, Situazioni soggettive e tutela, nella legge sul trattamento dei dati personali, Milano, 1999; Di Majo, Il trattamento dei dati personali tra diritto sostanziale e modelli di tutela, Milano, 1999.
(4) - Cfr.: art. 1, comma 2, lett. d) e f). Per l’analisi delle figure indicate: Bozzi, I soggetti coinvolti nell’attività di trattamento, in Aa.Vv., La disciplina del trattamento dei dati personali, a cura di Cuffaro e Ricciuto, cit.
(5) - Per l’approfondimento dei numerosi poteri e compiti del Garante: Carusi, Il Garante per la protezione dei dati personali, in Aa.Vv., La disciplina del trattamento dei dati personali, a cura di Cuffaro e Ricciuto, cit..
(6) - Ai sensi dell’art. 7, la suddetta notificazione deve essere effettuata una sola volta e contenere i seguenti elementi: i dati necessari all’identificazione del titolare e dell’eventuale responsabile; le finalità e modalità del trattamento; la natura dei dati, il luogo in cui sono custoditi e le categorie di interessati ai quali si riferiscono; i previsti trasferimenti all’estero; le misure tecnico-organizzative adottate per garantirne la sicurezza; le banche dati cui si riferisce il trattamento e la loro eventuale connessione con altre banche dati, anche estere.
(7) - Cfr.: art. 16, comma 1.
(8) - Cfr.: art. 28, commi 1 e 2.
(9) - Cfr.: art. 22, comma 1. Sull’argomento: Maschio, I dati sensibili, in Aa.Vv., Privacy, a cura di Clemente, cit.
(10) - Il contenuto di questa posizione giuridica è specificato dall’art. 13, comma 1 della legge, in base al quale l’interessato ha il diritto di: accedere gratuitamente al Registro generale dei trattamenti, tenuto dal Garante; essere informato sugli elementi che formano oggetto della notificazione; opporsi, in tutto o in parte, al trattamento di dati personali che lo riguardano, indicando un motivo legittimo, ovvero senza motivo, se il trattamento avviene a fini di informazione commerciale o di vendita diretta. Lo stesso interessato, inoltre, può ottenere, a cura del titolare o del responsabile, senza ritardo: 1) la conferma dell’esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati e la comunicazione in forma intelligibile dei medesimi dati e della loro origine, nonché della logica e delle finalità su cui si basa il trattamento ...; 2) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in violazione di legge ...; 3) l’aggiornamento, la rettificazione ovvero, qualora vi abbia interesse, l’integrazione dei dati; 4) l’attestazione che le operazioni di cui ai numeri 2) e 3) sono state portate a conoscenza ..., di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si riveli impossibile o comporti un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.
(11) - Sul punto: Cuffaro, Il consenso dell’interessato, in Aa.Vv., La disciplina del trattamento dei dati personali, a cura di Cuffaro e Ricciuto, cit.
(12) - Ai sensi dell’art. 10, comma 1 della legge, l’interessato o la persona presso la quale sono raccolti i dati personali devono essere previamente informati, oralmente o per iscritto, circa: a) le finalità e modalità del trattamento cui sono destinati i dati; b) la natura obbligatoria o facoltativa del conferimento dei dati; c) le conseguenze di un eventuale rifiuto di rispondere; d) i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati e l’ambito di diffusione dei dati medesimi; e) i diritti di cui all’art. 13; f) il nome, la denominazione o la ragione sociale, il domicilio, la residenza o la sede del titolare e, se designato, del responsabile. Se i dati non sono raccolti presso l’interessato, quest’ultimo deve essere informato all’atto della loro registrazione o, comunque, entro la prima comunicazione, salvi alcuni casi particolari indicati dallo stesso articolo (cui si rinvia).
(13) - Sul punto: Ricciuto, Comunicazione e diffusione dei dati personali e trattamento di dati particolari, in Aa.Vv., La disciplina del trattamento dei dati personali, a cura di Cuffaro e Ricciuto, cit.
(14) - Per l’esame di queste ipotesi, si veda l’art. 20, comma 1, lett. b) - h).
(15) - Il II comma dell’art. 15 cit. prevedeva, infatti che, entro 180 giorni dall’entrata in vigore della nuova normativa, un apposito regolamento, emanato con decreto del Presidente della Repubblica ai sensi dell’art. 17 della legge 400/88, su proposta del Ministro della Giustizia, sentiti l’Autorità per l’informatica nella P.A. e il Garante, individuasse le misure minime di sicurezza da adottare, in via preventiva, per la protezione dei dati personali oggetto di trattamento. In base al III comma dello stesso articolo, il suddetto decreto deve essere aggiornato, con cadenza almeno biennale, per mezzo di successivi regolamenti adottati con le medesime modalità, al fine di adeguarne le previsioni all’evoluzione tecnica del settore e all’esperienza maturata.
(16) - Per i riflessi della nuova normativa sull’attività di gestione dell’impresa: Serra, Note in tema di trattamento dei dati personali e di disciplina dell’impresa, Milano, 1999, nonché: Berghella, Misure di sicurezza per la privacy in azienda, Roma, 2000.
(17) - Per una trattazione dettagliata delle misure minime previste dal decreto, si rinvia a: Iperti-Berlingieri, Misure di sicurezza: responsabilità civili e penali, in www.privacy.it.saggi.
(18) - Per l’approfondimento della normativa in materia di computer crimes: Sarzana-Ippolito, Informatica e diritto penale, Milano, 1994; Borruso-Buonomo-Corasaniti-D’Aietti, Profili penali dell’informatica, Milano, 1994; Giannantonio, Manuale di diritto penale dell’informatica, Padova, 1994; De Giacomo, Diritto, libertà e privacy nel mondo della comunicazione globale, Milano, 1999.
(19) - Per le finalità e gli aspetti problematici della sanzione in oggetto: Cerquetti, voce Pene accessorie, in Enc. dir., XXXII, Milano, 1982; Pisa, Le pene accessorie. Problemi e prospettive, Milano, 1984; Larizza, Le pene accessorie, Padova, 1986; De Felice, Natura e funzioni delle pene accessorie, Milano, 1988; Virgilio, Le pene accessorie nel momento attuale, Napoli, 1991.
(20) - Fra gli autori che si sono occupati della responsabilità penale in materia di trattamento dei dati personali, si segnalano: Prosperi, La tutela penale dei dati personali: luci e ombre degli artt. 34-37 della legge 675/96 in www.privacy.it.saggi; Corasaniti, La tutela penale dei dati personali nella legge 675/96, in www.interlex.it.legge 675/96; Buonomo, L’approccio penale alla sicurezza informatica, ivi; Lirosi, La responsabilità, in Aa.Vv., La disciplina del trattamento dei dati personali, a cura di Cuffaro e Ricciuto, Torino, 1997; Banchetti, La tutela penale della privacy, in Aa.Vv., Privacy, a cura di Clemente, Padova, 1999.
(21) - Per una visione d’insieme della recente normativa depenalizzatrice: Aa.Vv., La depenalizzazione dei reati minori. Commento alla L. 25 giugno 1999, n. 205, a cura di Aghina e Cantone, Napoli, 1999; Aa.Vv., La depenalizzazione dei reati minori e la riforma del sistema sanzionatorio. Commento al D. Lgs. 30 dicembre 1999, n. 507, a cura di Augustinis e Fusaro, Napoli, 2000; Serra, Dalla depenalizzazione all’illecito amministrativo. Contributo alle linee di un sistema, Bari, 2000; De Gioia-Gargiulo-Graziano, La depenalizzazione dei reati minori nel D. Lgs. n. 507 del 30 dicembre 1999, Padova, 2000. Per una disamina più approfondita: Aa.Vv., Diritto penale amministrativo dopo la legge 205/99, a cura di Ruffo, Padova, 2000.
(22) - Cfr.: art. 24 della Dir. 95/46/CE.
(23) - Per i termini più attuali del dibattito sulla funzione della pena, fondamentale l’opera di: Moccia, Il diritto penale tra essere e valore. Funzione della pena e sistematica teleologica, Napoli, 1992. Si vedano, altresì: Id., Aspetti problematici del rapporto tra funzione della pena e struttura dell’illecito, in Aa.Vv., Beni e tecniche della tutela penale, Milano, 1987; Aa.Vv., La funzione della pena: il commiato da Kant e da Hegel, a cura di Eusebi, Milano, 1989; Morselli, La funzione della pena nella moderna prospettiva criminologica, in Ind. pen., 1991; Padovani, La disintegrazione attuale del sistema sanzionatorio, in Riv. it. dir. e proc. pen., 1992; Paliero, Metodologia “de lege ferenda”: per una riforma non improbabile del sistema sanzionatorio, ivi; Eusebi, Dibattiti sulle teorie della pena e “mediazione”, ivi, 1997.
(24) - Si veda, per tutti, l’ampia analisi di: Maiani, In tema di reato proprio, Milano, 1966. Per i rapporti fra qualifica soggettiva ed oggetto giuridico, nel reato proprio: Fiorella, Sui rapporti tra il bene giuridico e le particolari condizioni personali, in Aa.Vv., Bene giuridico e riforma della parte speciale, a cura di Stile, Napoli, 1985.
(25) - Cfr.: artt. 7, 15 e 29 della legge in esame.
(26) - Cfr.: art. 8, comma 1.
(27) - Cfr.: art. 8, commi 2 e 4.
(28) - Cfr.: artt. 19 e 8, comma 5.
(29) - Fra i più recenti contributi in tema di responsabilità penale degli enti collettivi, si segnalano: Flora, L’individuazione dei soggetti responsabili all’interno della società, con particolare riguardo ai reati colposi, in Riv. giur. ENEL, 1986; Cadoppi, L’omesso impedimento di reati da parte di amministratori e sindaci delle società: spunti “de lege ferenda”, in Ind. pen., 1986; Pedrazzi, Profili problematici del diritto penale d’impresa, in Riv. trim. dir. pen. econ., 1988; Militello, La responsabilità dell’impresa societaria e dei suoi organi in Italia, ivi, 1992; Alessandri, voce Impresa (responsabilità penali) in Dig. disc. pen., IV, Torino, 1992. Per una sintesi delle relative problematiche: Fiore-Assumma-Baffi, Gli illeciti penali degli amministratori e sindaci delle società di capitali, Milano, 1992.
(30) - Sulla rilevanza penale della delega di funzioni: Pulitanò, Posizioni di garanzia e criteri d’imputazione personale nel diritto penale del lavoro, in Riv. giur. lav., 1982; Fiorella, Il trasferimento di funzioni nel diritto penale d’impresa, Firenze, 1984; Trucco, Responsabilità penale dell’impresa: problemi di personalizzazione e delega, in Riv. it. dir. e proc. pen., 1985; Palombi, La delega di funzioni, in Trattato di diritto penale dell’impresa. I principi generali, I, Padova, 1990; Flora, Sulla disciplina della delega di funzioni, in Aa.Vv., Verso un nuovo codice penale, a cura del Centro studi giuridici e sociali Terranova, Milano, 1993.
(31) - Cfr., ad. es.: Cass. pen., 18 ottobre 1984, in Riv. pen., 1986; Cass. pen., 3 dicembre 1984, ivi, 1985; Cass. pen, 28 gennaio 1986, in Giur. it., 1986. Per un’ampia rassegna giurisprudenziale sul tema: Iori, Organizzazione dell’impresa e responsabilità penale nella giurisprudenza, Firenze, 1981.
(32) - Sull’argomento, per tutti: Gelardi, Il dolo specifico, Milano, 1991; Picotti, Idem, Milano, 1993.
(33) - Sul punto, in particolare: Prosdocimi, Reati aggravati dall’evento e reato complesso, in Ind. pen., 1985; Gallo, Delitti aggravati dall’evento e delitti di attentato, in Giur. it., 1990, IV; Bonsignore, I delitti aggravati dall’evento e l’art. 27 della Costituzione, in Giust. pen., 1991, II; De Francesco, Opus illicitum, in Riv. it. dir. e proc. pen., 1993; Muscatiello, L’evento ulteriore nella dommatica del reato, in Temi romana, 1993.
(34) - Per l’approfondimento di quest’ultimo tema: Cadoppi, Il reato omissivo proprio, 2 voll., Padova, 1988.
(35) - Sull’argomento, di fondamentale importanza il contributo di: Patalano, Significato e limiti della dommatica del reato di pericolo, Napoli, 1975. Per una prospettazione più recente: Grasso, L’anticipazione della tutela penale: i reati di pericolo e i reati di attentato, in Riv. it. dir. e proc. pen., 1986; Parodi-Giusino, I reati di pericolo fra dogmatica e politica criminale, Milano, 1990; Canestrari, voce Reato di pericolo, in Enc. giur. Treccani, XXIV, Roma, 1991.
(36) - Per la letteratura contemporanea in tema di bene giuridico, in particolare: Nuvolone, Il sistema del diritto penale, Padova, 1982; Fiandaca, Il bene giuridico come problema teorico e come criterio di politica criminale, in Riv. it. dir. e proc. pen., 1982; Angioni, Contenuto e funzioni del concetto di bene giuridico, Milano, 1983; Palazzo, Bene giuridico e tipi di sanzioni, in Aa.Vv., La riforma del diritto penale, a cura di Pepino, Milano, 1993; Id., I confini della tutela penale: selezione dei beni e criteri di criminalizzazione, in Aa.Vv., Verso un nuovo codice penale, cit.; Fiandaca-Musco, Perdita di legittimazione del diritto penale?, in Riv. it. dir. e proc. pen., 1994.
(37) - Per i più recenti sviluppi della teoria costituzionalmente orientata: Pulitanò, La teoria del bene giuridico tra codice e Costituzione, in La questione criminale, 1981; Id., Obblighi costituzionali di tutela penale, in Riv. it. dir. e proc. pen., 1983; Palazzo, Valori costituzionali e diritto penale, in Aa.Vv., L’influenza dei valori costituzionali sui sistemi giuridici contemporanei, a cura di Pizzorusso e Varano, Milano, 1985; Moccia, Tutela penale del patrimonio e profili costituzionali, Padova, 1988; Marinucci-Dolcini, Costituzione e politica dei beni giuridici, in Riv. it. dir. e proc. pen., 1994.
(38) - Per le più innovative prospettazioni in tema di riservatezza: Buttarelli, Banche dati e tutela della riservatezza. La privacy nella società dell’informazione, Milano, 1997; Costanza, Riservatezza o non riservatezza, in Studi in onore di Rescigno, Milano, 1998; Rodotà, Persona, riservatezza, identità, ivi; Clemente, La lesione della riservatezza, in Il danno esistenziale, Milano, 2000; Caringella, Il diritto alla riservatezza, Milano, 2000.
(39) - Sulla rilevanza costituzionale del principio di offensività: Mantovani, Il principio di offensività nella Costituzione, in Scritti in onore di Mortati, IV, 1977. In senso contrario: Vassalli, Considerazioni sul principio di offensività, in Scritti in memoria di Pioletti, 1982; Neppi Modona, La riforma della parte generale del codice penale, il principio di lesività e i rapporti con la parte speciale, in Problemi generali del diritto penale. Contributo alla riforma, a cura di Vassalli, Milano, 1982; Zuccalà, Sul preteso principio di offensività, in Studi in memoria di Delitala, III, 1984.
(40) - Del principio di proporzione e del suo ruolo nella dogmatica del reato si è occupato principalmente: Angioni, Contenuto e funzioni del concetto di bene giuridico, cit..
(41) - La norma in esame prevede che i dati personali oggetto di trattamento devono essere: a) trattati in modo lecito e secondo correttezza; b) raccolti e registrati per scopi determinati, espliciti e legittimi ed utilizzati in altre operazioni del trattamento in termini non incompatibili con tali scopi; c) esatti e, se necessario, aggiornati; d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati; e) conservati in una forma che consenta l’identificazione dell’interessato, per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.
Per un approfondimento sul tema: Barba, Le modalità del trattamento, in Aa. Vv., La disciplina del trattamento dei dati personali, a cura di Cuffaro e Ricciuto, cit.
(42) - La compiuta teorizzazione del suddetto principio si deve a: Maiwald, Zum fragmentarischen Charakter des Strafrechts, in Festschrift fur R. Maurach, Karlsrue, 1972.
(43) - Sul punto, per tutti: Palazzo, Orientamenti dottrinali ed effettività giurisprudenziale del principio di determinatezza-tassatività in materia penale, in Aa.Vv., Le discrasie tra dottrina e giurisprudenza in diritto penale, a cura di Stile, Napoli, 1991.
(44) - Per un’approfondita trattazione del principio di legalità, nella più recente manualistica: Fiandaca-Musco, Diritto penale. Parte generale, Bologna, 1997; Caraccioli, Manuale di diritto penale. Parte generale, Padova, 1998; Pagliaro, Principi di diritto penale. Parte generale, Milano, 1998; Riz, Lineamenti di diritto penale. Parte generale, Bolzano, 1998; Padovani, Diritto penale, Milano, 1999; Marinucci-Dolcini, Corso di diritto penale, Milano, 1999.
(45) - La norma in esame, richiamando l’articolo 2050 c.c., concernente la responsabilità per l’esercizio di attività pericolose, dispone il risarcimento del danno cagionato per effetto del trattamento di dati personali, attraverso una forma peculiare di responsabilità civile: la prova liberatoria spetta, infatti, all’autore del danno, il quale deve dimostrare di essersi avvalso delle misure di prevenzione più moderne ed efficaci e di aver adottato ogni possibile cautela per evitare l’evento lesivo.
(46) - Sull’argomento: Conte, Diritti dell’interessato e obblighi di sicurezza, in Aa.Vv., La disciplina del trattamento di dati personali, a cura di Cuffaro e Ricciuto, cit.