La tutela penale dei dati sanitari alla luce del nuovo codice privacy

Il presente lavoro approfondisce il tema della tutela c.d. rafforzata dei dati sanitari – categoria meglio specificata dal Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati – speciem del più ampio genus di dati personali e sotto-categoria dei dati sensibili, alla luce del Decreto Legislativo 30 giugno 2003, n. 196.

Se da un lato l'eminente evoluzione tecnologica e la ramificazione dei processi informatici sono state occasione per ripensare alla centralità del diritto alla riservatezza, inteso come presidio della vita intima da ingerenze altrui e interconnesso con la dignità della persona; dall'altra parte hanno inaugurato il tema della sanità elettronica, accentuando aspetti legali e implicazioni relative al trattamento dei dati – come accessi indebiti o illecita circolazione dei medesimi – ed enfatizzando il patient empowerment.

Infatti, il paziente è uno degli attori fondamentali dello scenario del trattamento dei dati personali, come si evince dalle espressioni “interessato al trattamento” o “consenso dell'interessato” che ricorrono a più riprese nel Regolamento UE (di seguito anche GDPR in luogo di General Data Protection Regulation) che, abrogando la Direttiva 95/46/CE in materia di trattamento dei dati personali, ha profondamente mutato il quadro normativo, portando il legislatore domestico a un intervento di adeguamento del d.lgs.n. 196/2003 (successivamente codice privacy).

La novità maggiormente significativa è stata il grado di approfondimento della nozione di “dati sanitari” e la conseguente tutela rafforzata (cfr. considerando 53 GDPR) poiché, involgendo diritti di rango costituzionale come emerge dalla lettura dell'art. 32 Cost., necessitano che la quantità del progresso digitale sia proporzionale alla qualità dello stesso, specie considerando che tali dati sono idonei a rivelare informazioni circa lo stato di salute psico-fisica del paziente, sia essa pregressa, attuale o futura (cfr. considerando 35 GDPR).

Il processo di adeguamento del codice privacy alla normativa sovranazionale, cui si è appena accennato, è strettamente correlato al tema degli obblighi europei di tutela penale: nonostante la Convenzione EDU non li preveda espressamente, deve considerarsi che, alla luce del tenore normativo delle disposizioni concernenti i diritti dell'uomo, sia possibile desumere degli obblighi negativi e positivi a carico degli Stati Membri e, con particolare attenzione a quest'ultimi, l'art. 83 par. 2 TFUE prevede che, mediante le direttive, le Istituzioni Europee possano fissare delle “norme minime” relative alla definizione dei reati e delle sanzioni rimanendo, però, appannaggio del legislatore nazionale la scelta della tipologia e del quantum sanzionatorio in conformità all'ordinamento giuridico interno.

Significativo a tal riguardo è il considerando 149 del Regolamento UE laddove prevede che «gli Stati membri dovrebbero poter stabilire disposizioni relative a sanzioni penali per violazioni del presente regolamento, comprese violazioni di norme nazionali adottate in virtù ed entro i limiti del presente regolamento. Tali sanzioni penali possono altresì autorizzare la sottrazione dei profitti ottenuti attraverso violazioni del presente regolamento. Tuttavia, l'imposizione di sanzioni penali per violazioni di tali norme nazionali e di sanzioni amministrative non dovrebbe essere in contrasto con il principio del ne bis in idem quale interpretato dalla Corte di giustizia», atteggiandosi a quasi-direttiva per l'uso dei verbi.

Altresì importante l'art. 84 Regolamento UE, rubricato “Sanzioni”, che recita «1. Gli Stati membri stabiliscono le norme relative alle altre sanzioni per le violazioni del presente regolamento in particolare per le violazioni non soggette a sanzioni amministrative pecuniarie a norma dell'articolo 83, e adottano tutti i provvedimenti necessari per assicurarne l'applicazione. Tali sanzioni devono essere effettive, proporzionate e dissuasive. 2. Ogni Stato membro notifica alla Commissione le disposizioni di legge adottate ai sensi del paragrafo 1 al più tardi entro 25 maggio 2018, e comunica senza ritardo ogni successiva modifica».

Se ne desume che l'espressione “altre sanzioni” faccia riferimento a quelle penali considerato che, come appena detto, l'art. 83 par. 2 TFUE prevede in capo all'Unione Europea un potere generale di indirizzo in materia criminale, non potendo il Regolamento disciplinare delitti e illeciti contravvenzionali.

Alla stregua di ciò, con l'art. 13,comma 3, lett. e) della legge 25 ottobre 2017, n. 163,il legislatore delegante indicava come principi e criteri direttivi al Governo di adeguare l'apparato sanzionatorio del codice privacy al tenore del Regolamento UE, prevedendo sanzioni amministrative e penali efficaci, dissuasive, proporzionali alla gravità della violazione delle medesime disposizioni; successivamente, nello schema provvisorio di decreto legislativo valutato nel Consiglio dei Ministri del 21 marzo 2018, venne prospettata l'ipotesi di depenalizzare le condotte di illecito trattamento dei dati personali, tentativo abbandonato, come buona parte della bozza.

Nell'opera di adeguamento, il legislatore interno ha edificato un impianto sanzionatorio a tre binari (amministrativo, civile e penale) e, lungi dal stratificare il codice privacy sul tenore normativo della legge31 dicembre 1996, n. 675 che apprestava forme di tutela ogniqualvolta le condotte apparivano ictu oculi espressive di disvalore, ha inteso bilanciare la gravità e la rilevanza penale della condotta materiale in conformità al principio di legalità (e ai suoi corollari di certezza e tassatività), sull'assunto che fattispecie a maglie larghe si rivelano inconsistenti sotto il profilo del trattamento sanzionatorio.

Pertanto, mediante un'opera di depenalizzazione, ha prediletto il ricorso allo strumento dell'illecito amministrativo in favore di una semplificazione procedimentale in termini di celere accertamento, fermo restando il ricorso alla misura penale, prevista dagli artt. 167-172 codice privacy, come extrema ratio (dato evincibile anche dalla struttura codicistica che, secondo un climax ascendente, disciplina dapprima le sanzioni amministrative e successivamente i delitti, ai quali segue sempre la pena accessoria della pubblicazione della sentenza di condanna).

Prima di analizzare le fattispecie maggiormente significative in ambito sanitario è precipuo accennare ai concetti di “dati sanitari” e “trattamento”.

All'indomani dell'entrata in vigore del Regolamento UE, il quadro normativo offriva una definizione precisa e dettagliata del concetto di “dati sanitari”, come emerge dall'art. 4 GDPR – rubricato “Definizioni” – che guida l'interprete anche nella comprensione del significato di taluni termini a carattere squisitamente sanitario.

Infatti, al n. 13) si chiarisce che col termine “dati genetici” si intendono quei «dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall'analisi di un campione biologico della persona fisica in questione»; al n. 14) si indica il concetto di “dati biometrici” che sono «personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici» e, infine, al n. 15) viene data la definizione dei “dati relativi alla salute”, cioè i «dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute».

I predetti concetti sono meglio specificati, rispettivamente, al considerando 34, 35 e 51.

I dati personali relativi alla salute dell'interessato al trattamento sono qualificati come sensibili ai sensi dell'art. 9 par. 1 GDPR e dell'art. 6 della Convenzione di Strasburgo n. 108/1981, rientrando nel novero delle categorie particolari di dati, ragion per cui sono sottoposti a un peculiare regime di trattamento: infatti, il Regolamento UE vieta il trattamento dei «dati personali relativi alla salute», intesi come «tutti i dati riguardanti lo stato di salute dell'interessato che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso», compresi i dati genetici e i dati biometrici, salvo le deroghe previste dall'art. 9 par. 2-3 GDPR.

Non dove stupire il grado di approfondimento offerto dal legislatore sovranazionale, consapevole del rischio sotteso dal transito dei dati personali all'interno delle strutture sanitarie, trattandosi di particolari categorie di dati personali che necessitano di maggior protezione e dovrebbero essere trattate solo per finalità strettamente connesse alla salute, visto che l'ambito operativo è quello della sanità pubblica.

A livello interno, dottrina e giurisprudenza hanno delineato una classificazione dei dati distinguendoli tra personali (art. 4 comma 1 lett. b)) e sensibili (art. 4 lett. d) codice privacy), all'interno della cui categoria sono ricompresi i dati c.d. sensibilissimi, cioè quei «dati personali idonei a rivelare lo stato di salute e la vita sessuale», ossia aspetti più intimi e riservati della personalità di un individuo, e, pertanto, sono sottoposti a un regime di protezione c.d. rafforzata caratterizzata da limiti e precauzioni in capo agli operatori sanitari ed alle autorità di controllo (come, ad esempio, il divieto al trattamento senza il consenso scritto della persona interessata ed alla diffusione ai sensi dell'art. 26 comma 5 codice privacy).

La base giuridica che legittima il trattamento dei dati sanitari sono l'informativa circa la finalità del medesimo, che dev'essere resa al momento della raccolta dei dati, e il consenso – atto positivo volontario, consapevole, specifico, inequivocabile e revocabile discrezionalmente – fermo restando che il trattamento deve ispirarsi ai principi di liceità, correttezza e trasparenza (art. 5 GDPR) affinché risponda all'adempimento di un obbligo giuridico ovvero al perseguimento di altre finalità (art. 6, par. 1, GDPR) senza ledere il contenuto essenziale dei diritti e delle libertà fondamentali. Il trattamento è autorizzato solo se effettuato da un operatore professionista in ambito sanitario e soggetto al segreto professionale oppure da altra persona egualmente sottoposta al predetto obbligo.

L'art. 5 comma 3 codice privacy, inoltre, prevede che«il trattamento dei dati personali effettuato da persone fisiche per fini esclusivamente personali è soggetto all'applicazione del presente codice solo se i dati sono destinati ad una comunicazione sistematica o alla diffusione», ove per comunicazione sistematica deve intendersi una comunicazione non occasionale, metodica, reiterata ed organizzata, destinata dare continuità a un reticolato di dati. Comunicazione di tal tipo si confà all'approccio metodologico in ambito sanitario laddove ciascun operatore concorre, in ragione della propria specializzazione, a creare un fascicolo sanitario con i dati raccolti previa espressione del consenso del paziente, i quali sono resi accessibili ad altri professionisti presso una o più strutture sanitarie differenti.

La tutela rafforzata dei dati sanitari è acuita dalle novità introdotte dal Regolamento UE.

In particolare, si parla del principio di accountability, ossia della responsabilizzazione del titolare e, indirettamente, del responsabile del trattamento (in termini di tenuta dei registri delle attività di trattamento, adozione dei codici di condotta, svolgimento della DPIA – data protection impact assessment, nomina del Data Protection Officer) e dei concetti di privacy by design e privacy by default, rispettivamente pianificazione della gestione della privacy (mediante la mappatura e il monitoraggio dei dati sanitari, la riorganizzazione dei flussi) e impostazione predefinita (affinché il trattamento dei dati sia adeguato, pertinente e limitato al perseguimento delle finalità sanitarie, rispondendo al principio di minimizzazione). Di conseguenza i titolari del trattamento hanno l'obbligo giuridico di adottare delle misure confacenti alla struttura aziendale nella quale operano, quasi parificabili ai modelli organizzativi (ad esempio individuando i soggetti coinvolti nel trattamento dei dati ed i fornitori esterni alla struttura sanitaria, tracciando i dispositivi mediante cui transitano i dati, valutando in via prognostica i rischi e le conseguenti modalità di gestione, stipulando una copertura assicurativa, etc.), fermo restando la periodica attività di auditing interna ed esterna, soprattutto per contrastare il fenomeno del data breach.

A tal proposito, il trattamento automatizzato dei dati sanitari è consentito solo ai soggetti incaricati dotati delle credenziali di autenticazione, i quali non devono lasciare incustodito e accessibile lo strumento elettronico durante la sessione di trattamento; i medesimi ricevono istruzioni tecnico-organizzative per procedere al salvataggio dei dati con frequenza almeno settimanale e per utilizzare specifici strumenti elettronici finalizzati a proteggere i dati sanitari da accessi abusivi e trattamenti non consentiti (ad esempio, i supporti rimovibili in disuso contenenti dati sensibili sono distrutti o resi inutilizzabili; mentre i dispositivi contenenti informazioni non più fruibili possono essere riutilizzati da diversi incaricati per il trattamento di nuovi dati sanitari). Inoltre, ai sensi dell'art. 22 comma 6 codice privacy, gli organismi sanitari e gli esercenti le professioni sanitarie devono pressoché ricorrere alla tecnica della pseudonimizzazione (ossia di cifratura) nel caso di trattamento di dati sensibilissimi contenuti in elenchi, registri e banche dati.

Nel caso di trattamento non automatizzato (consistente nell'uso di archivi manuali strutturati) gli incaricati devono attenersi a istruzioni scritte per controllare e custodire la documentazione afferente i dati sensibilissimi affinché durante il ciclo di trattamento non vi accedano soggetti non autorizzati.

La carenza di un'idonea formazione degli incaricati del trattamento e la violazione degli obblighi di cui sopra costituisce un'omissione delle misure minime di sicurezza, alla quale, nei casi più gravi, può conseguire l'integrazione di illeciti penali in danno dei dati sanitari e soprattutto del diritto alla riservatezza, bene giuridico modellato sull'istituto della proprietà in quanto l'espressione right to let be alone sottende il diritto a tenere riservate informazioni e circostanze relative alla sfera più intima della persona (piano statico o negativo) e la facoltà dell'interessato al trattamento di esercitare il controllo sui propri dati personali (piano dinamico o positivo).

L'illecito trattamento di dati è la fattispecie di reato centrale nell'impianto sanzionatorio delineato dal d.lgs.n. 196/2003.

Per quanto concerne l'ambito sanitario, è necessario prendere in esame il comma 2 dell'art. 167 codice privacy, che recita: «Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all'interessato, procedendo al trattamento dei dati personali di cui agli articoli 9 e 10 del Regolamento in violazione delle disposizioni di cui agli articoli 2-sexies e 2-octies, o delle misure di garanzia di cui all'articolo 2-septies ovvero operando in violazione delle misure adottate ai sensi dell'articolo 2-quinquiesdecies arreca nocumento all'interessato, è punito con la reclusione da uno a tre anni».

Il legislatore, ricorrendo al rinvio ad altre disposizioni, ha ritenuto penalmente rilevante la condotta di trattamento di categorie particolari di dati personali, tra cui quelli sanitari alla stregua del richiamato art. 9 GDPR, non sotteso da motivi di interesse pubblico rilevante o non confacente agli accorgimenti a tutela dell'interessato (cfr. artt. 2-sexies, 2-quinquiesdecies codice privacy) oppure in violazione delle misure di garanzia (art. 2-septies codice privacy).

Il tenore letterale consente di affermare che si tratta di un reato di pericolo concreto con dolo di danno, per la cui integrazione è necessario che il soggetto agente – rectius “chiunque” e non solo il privato depositario della tenuta dei dati sanitari in ragione delle proprie funzioni istituzionali, specie considerando che un'interpretazione restrittiva esenterebbe ingiustificatamente le persone giuridiche da responsabilità – ponga in essere delle infrazioni procedurali idonee a esporre a pericolo la protezione dei dati personali dell'interessato al trattamento, cagionando un vero e proprio nocumento, a nulla rilevando le mere irregolarità formali.

Quindi, in conformità a quanto anticipato in merito al principio di offensività, è esclusa la tipicità oggettiva del fatto commesso dall'agente nel caso in cui la condotta, per quanto sorretta dal finalismo soggettivo, non leda il bene giuridico tutelato, atteso che il trattamento illecito dei dati personali è astrattamente punibile se foriero di nocumento.

Tornando all'analisi del pronome “chiunque”, appare avere un portato erga omnes, sicché anche il privato che sia occasionalmente venuto a conoscenza dei dati appare destinatario della norma punitiva, non dovendosi interpretare restrittivamente l'art. 4 lett. f) codice privacy: è lo stesso pronome che qualifica il delitto come comune, escludendosi che il destinatario della fattispecie sia solo il privato istituzionalmente competente alla tenuta e al trattamento dei dati sanitari, anche in considerazione del fatto che un'interpretazione restrittiva sarebbe una contraddizione in termini poiché esornerebbe terzi dall'applicazione del dato normativo consentendo la diffusione massiva dei dati sensibilissimi che il legislatore ha, invece, inteso arginare.

Inoltre, alla luce dell'avanzamento della sanità digitale – e-Health e m-Health – pare che l'internet provider assuma una posizione di garanzia, rispondendo per non aver informato gli utenti della rete circa l'obbligo di osservare le prescrizioni relative al trattamento dei dati sanitari, impedendone la condotta materiale.

Quanto all'elemento soggettivo, trattasi di un delitto a dolo specifico, dovendosi rintracciare il fine del profitto in favore di chi lo commette o di altri, ovvero lo scopo di arrecare un danno all'interessato, posta la necessaria e apprezzabile verificazione del nocumento a carico dell'interessato.

Dall'espressione «chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all'interessato» emerge che il dolo specifico del profitto assolve la funzione di selezionare le condotte offensive del bene giuridico tutelato e, dunque, il profitto, quale oggetto del dolo specifico, può concretizzarsi in qualsiasi godimento, anche di tipo morale, che l'agente consegue (pure in via non immediata) dalla propria condotta.

La nozione di “nocumento” è stata oggetto di vari interventi legislativi e centro di opposte qualificazioni giuridiche da parte della dottrina e della giurisprudenza, con evidenti ripercussioni sull'accertamento del delitto.

Sebbene la presente fattispecie presenti delle analogie con quella pregressa, le condotte incriminate sono, ad oggi, configurate come reati di evento. Se la vecchia formulazione dell'art. 167 comma 2 codice privacy prevedeva un aumento della pena «se dal fatto deriva nocumento», atteggiandosi il trattamento illecito dei dati a circostanza aggravante, l'attuale previsione normativa assorbe tale termine nell'inciso «arreca nocumento all'interessato» coninevitabili risvolti sulla struttura della fattispecie che, da reato di pericolo presunto (o astratto), si qualifica come reato di pericolo in concreto.

A complicare l'inquadramento giuridico del “nocumento” era intervenuto il dibattito sviluppatosi in seno alla dottrina e alla giurisprudenza, ove la primasosteneva che il nocumento assurgesse a condizione obiettiva intrinseca di punibilità sull'assunto che il dolo specifico di danno poneva tale elemento al di fuori della fattispecie, atteggiandosi ad avvenimento esterno al fatto illecito e causato dall'azione volontaria o involontaria del soggetto agente o di terzi, dovendo essere il nocumento almeno coperto da colpa; la seconda riteneva che l'agente dovesse rappresentarsi e volere il nocumento come conseguenza della propria condotta ai fini della sussistenza del reato, appalesandosi come elemento costitutivo dello stesso.

Secondo tale ricostruzione erano evidenti le aporie del primo orientamento: se la condotta di trattamento illecito dei dati doveva essere voluta, il nocumento poteva anche essere imputato a titolo di colpa; mentre, l'elemento soggettivo del dolo rilevava ai fini della condotta di trattamento, prescindendosene nel caso di verificazione del nocumento. Eppure, stante la vecchia formulazione dell'art. 167 codice privacy, la prima soluzione appariva preferibile perché il nocumento, seppur estraneo alla struttura del fatto tipico, partecipava all'offesa del bene giuridico tutelato: infatti, ad avallare la qualificazione del nocumento come condizione obiettiva intrinseca di punibilità militava la previsione del dolo specifico e l'espressione «se dal fatto deriva nocumento», in ragione del rapporto di derivazione tra il fatto e la condizione che, essendo collocata nella parte della fattispecie dedicata al trattamento sanzionatorio, assecondava un climax ascendente che evidenziava come alle condotte criminose seguisse progressivamente l'offesa.

Oggi, invece, si supera lo schema del delitto aggravato dall'evento che prevedeva un'eccessiva anticipazione della soglia di punibilità, posto che la precedente fattispecie era astrattamente integrata laddove dal trattamento dei dati conseguiva il pericolo di pregiudizio, e non anche la lesione del bene giuridico tutelato.

Dal punto di vista strettamente terminologico, il nocumento, rientrando nel genus del danno, presenta un portato ampio dato che il pregiudizio arrecato alla persona interessata al trattamento dei dati sanitari (si noti che l'inciso «recare ad altri un danno» ha lasciato il posto all'espressione «arrecare danno all'interessato») può essere di tipo economico-patrimoniale o morale: privacy come diritto dell'interessato di vietare a terzi l'accesso ai propri dati oppure come libertà di rettificare, opporre, limitare o negare il trattamento; privacy come concetto vago ed evanescente che non si riferisce tanto all'inviolabilità della sfera privata del singolo nell'accezione di right to let be alone, quanto al potere di controllo sulla circolazione delle informazioni personali al fine di tutelare la propria identità.

Inoltre, pur presentando un nucleo di dannosità, tale concetto non è sovrapponibile a quello civilistico poiché per il legislatore non sono penalmente rilevanti quelle condotte che cagionano un vulnus minimo alla privacy dell'interessato al trattamento, in quanto intrusive ma non offensive del bene giuridico tutelato.

Passando all'analisi dei successivi commi, è interessante la previsione del comma 4 relativa all'esercizio dell'azione penale, laddove «il Pubblico ministero, quando ha notizia dei reati di cui ai commi 1, 2 e 3, ne informa senza ritardo il Garante» e del comma 5 che prevede che «il Garante trasmette al pubblico ministero, con una relazione motivata, la documentazione raccolta nello svolgimento dell'attività di accertamento nel caso in cui emergano elementi che facciano presumere la esistenza di un reato. La trasmissione degli atti al pubblico ministero avviene al più tardi al termine dell'attività di accertamento delle violazioni delle disposizioni di cui al presente decreto». Sul punto iniziano a profilarsi le prime applicazioni pratiche visto che il Garante ha concluso con la Procura della Repubblica presso il Tribunale Ordinario di Roma un protocollo d'intesa a carattere procedurale di validità biennale.

In ultima analisi, in ragione del principio del ne bis in idem previsto dal considerando 149 GDPR, si dispone che se il Garante, in base al codice privacy o al Regolamento UE, ha applicato e riscosso per il medesimo fatto una sanzione amministrativa, la pena dev'essere diminuita (comma 6).

Con un intervento chirurgico il legislatore, lungi dal limitarsi a riformare le fattispecie previgenti, ha innestato due nuove ipotesi nell'impianto sanzionatorio del d.lgs. n. 196/2003.

Passando alla disamina dell'art. 167-bis codice privacy, rubricato “Comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala”, si prevede che, salvo che il fatto non costituisca reato più grave, è penalmente rilevante la condotta di comunicazione e diffusione di un archivio automatizzato o di una parte sostanziale di esso contenente dati personali oggetto di trattamento su larga scala, commessa in violazione – per quel che concerne l'ambito sanitario – dell'art. 2-sexies codice privacy (relativo al trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante).

Trattasi di un reato a dolo specifico che si caratterizza per l'intenzione di danneggiamento che può riguardare anche terzi diversi dall'interessato e per la presunzione implicita di nocività, considerato che non ricorre il riferimento al nocumento.

Quanto all'elemento oggettivo della condotta deve rinviarsi all'art. 2-ter par. 4 codice privacy (oppure all'art. 4 comma 1 lett. l-m codice privacy) che recita «si intende per: a) “comunicazione”, il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dell'Unione europea, dal responsabile o dal suo rappresentante nel territorio dell'Unione europea, dalle persone autorizzate, ai sensi dell'articolo 2-quaterdecies, al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile, in qualunque forma, anche mediante la loro messa a disposizione, consultazione o mediante interconnessione; b) “diffusione”, il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione».

Tali condotte alternative – laddove la prima presuppone che l'agente instauri un rapporto comunicativo con un terzo determinato e la seconda prevede la disclosure dell'informazione ad una platea di soggetti indeterminati – avrebbero a oggetto un archivio automatizzato, ossia qualsiasi insieme strutturato (sia esso centralizzato, decentralizzato o ripartito secondo criteri geografici) di dati personali accessibili secondo specifici criteri e trattati in forma elettronica, oppure una parte sostanziale dello stesso contenenti dati personali trattati su “larga scala” (cioè avendosi riguardo al numero di soggetti interessati al trattamento, la sua durata e l'estensione geografica).

Segue il comma 2 che richiama la base di legittimazione del trattamento e cioè il consenso, aggravandosi il trattamento sanzionatorio delle condotte di cessione di rilevanti quantità di dati personali senza la previa acquisizione del consenso degli interessati; mentre il comma 3 rinvia all'ultimo comma dell'art. 167 codice privacy.

Quando all'art. 167-ter codice privacy, rubricato “Acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala”, è cucito sulla fattispecie che precede, con la differenza, però, che non punisce colui che ha illecitamente ricevuto un archivio automatizzato (o una parte sostanziale dello stesso), ma chi, con artifizi o raggiri, lo ha acquisito. Si tratta di un reato commissivo a dolo specifico alternativo, posto a tutela della riservatezza dell'individuo e del possessore dell'archivio automatizzato.

Tale disposizione non era prevista dalla legge n. 675/1996, che menzionava solo la omessa e completa notificazione; successivamente, l'art. 16 del decreto legislativo 28 dicembre 2001, n. 467 introdusse l'art. 37-bis confluito quasi interamente nel codice privacy, nonostante il legislatore del 2003 avesse ritenuto di degradarlo ad illecito amministrativo.

All'attuale stato dell'arte, la fattispecie in esame si qualifica come reato di ostacolo volto a tutelare le funzioni dell'autorità di controllo, punendosi chiunque, in un procedimento o nel corso di accertamenti da parte del Garante, dichiara o attesta falsamente notizie o circostanze, produce atti o documenti falsi (non riproponendosi il riferimento alla comunicazione del provider in caso di violazione dei dati e le notificazioni relative al trattamento dei dati sensibili).

Nel secondo caso, a parere di chi scrive, l'interprete dovrebbe valutare nel caso concreto se l'agente si sia limitato a riportare quando riferitogli dal titolare o dal responsabile del trattamento, non potendo rispondere della falsità altrui.

Il comma 2, invece, punisce quelle condotte che, pur non risolvendosi in un mendacio, ostano alla speditezza dei procedimenti e degli accertamenti svolti dall'autorità di controllo.

Considerato che fattispecie è edificata sullo schema dei reati a forma libera, potrebbero ricomprendersi anche le mere omissioni informative commesse nell'ambito di un procedimento o nel corso di un accertamento, a prescindere dalla idoneità offensiva.

L'art. 170 codice privacy è stato sostituito dal d.lgs. n. 101/2018 e prevede la responsabilità penale di chiunque non osservi, pur essendovi tenuto, il provvedimento adottato dal Garante – relativamente all'ambito sanitario – ai sensi dell'art. 2-septies comma 1 codice privacy oppure i provvedimenti confermativi di prescrizioni contenute nelle vecchie Autorizzazioni Generali (compatibilmente al Regolamento UE e al Decreto di adeguamento interno).

Sia il legislatore europeo che quello nazionale hanno via via messo a punto un baluardo di misure volte a tutelare l'integrità dei dati personali e, soprattutto, di quelli sanitari (evidenziando la rilevanza del diritto alla salute previsto dall'art. 32 Cost.), anche nell'ottica dell'edificazione della sanità c.d. elettronica.

Vero è che la tecnica redazionale delle fattispecie solleva dubbi circa la chiarezza dei precetti e obbliga l'interprete a “saltare” nel reticolato normativo del codice privacy a causa dei vari rinvii normativi operati; mentre il frequente richiamo all'elemento soggettivo del dolo specifico di danno, polarizzato sull'evento del reato, riduce l'efficacia selettiva delle condotte. Tuttavia non può negarsi che il legislatore, coerente con la complessità del tema della privacy, ha rinnovato il codice privacy modificando talune fattispecie preesistenti e introducendone di nuove sull'assunto che può ricorrersi allo strumento della depenalizzazione solo quando una materia perde di centralità, non quando la sua importanza viene accentuata alla massima potenza.

In dottrina sul tema:

AA.VV., Codice della disciplina Privacy, Giuffrè Francis Lefebvre, 2019;

AA.VV., La privacy nella sanità, Giuffrè Editore, 2018;

Agenzia dell'Unione europea per i diritti fondamentali e Consiglio d'Europa, Manuale sul diritto europeo in materia di protezione dei dati, 2018.