Rivista Italiana di Medicina Legale e del Diritto in campo sanitario

Rivista: Rivista Italiana di Medicina Legale (e del Diritto in campo sanitario)
Anno: 2019
Fascicolo: n. 3
Editore: Giuffrè Francis Lefebvre
ISSN: 1124-3376
Autori: Gasparini Irene
Titolo: LA TUTELA PENALE DELLA ‘PRIVACY SANITARIA’ NELL’ERA DEL GDPR
Pagine: pp. 865-890
Keywords: GDPR, privacy, dati personali, dati sanitari, salute, diritto penale

L’avvento delle nuove tecnologie in ambito sanitario ha determinato, quali facce della stessa medaglia, la comparsa di potenzialità senza precedenti e inedite esigenze di tutela dell’individuo da nuove forme di offesa, in particolare, alla riservatezza. A fronte di tale scenario, il Codice della privacy, recentemente novellato in adeguamento al Regolamento generale europeo in materia di protezione dei dati personali n. 679/2016 (GDPR), sceglie di dedicare uno statuto ad hoc al dato personale relativo alla salute, e rafforzare la disciplina penalistica a presidio della riservatezza, che ci si propone con questo contributo di esaminare tanto nelle sue novità, quanto nei suoi profili di criticità, alla luce dei fondamentali principi in materia penale.

LA TUTELA PENALE DELLA ‘PRIVACY SANITARIA’ NELL’ERA DEL GDPR


1) P. Guarda, Fascicolo sanitario elettronico e protezione dei dati personali, Università degli Studi di Trento, 2011, pp. 7-9.
2) Sul bilanciamento dei diritti fondamentali della persona quale « chiave ermeneutica » dello stesso Codice della privacy, si veda E. Navarretta, Commento all’art. 11 (Modalità del trattamento e requisiti dei dati), in C.M. Bianca e F.D. Busnelli (a cura di), La protezione dei dati personali. Commentario al D. lgs. 30 giugno 2003, n. 196 («  Codice della privacy  »), vol. I, Cedam, Padova, 2007, p. 349. Un esempio efficace, in tale senso, è rappresentato dai numerosi casi di diffusione online da parte di soggetti pubblici di dati personali relativi allo stato di salute di taluni individui per finalità di trasparenza o di pubblicità dell’azione dell’autorità amministrativa. Di recente, l’Autorità garante per la protezione dei dati personali ha censurato la pubblicazione da parte di un comune, nella sezione ‘Amministrazione trasparente’ del sito web istituzionale, di diverse ordinanze del sindaco aventi ad oggetto la sottoposizione di alcuni cittadini a trattamento sanitario obbligatorio, con indicazione di informazioni identificative dell’individuo destinatario della richiesta, la data e il luogo di nascita, l’indirizzo di residenza, e talvolta la struttura ospedaliera di ricovero, Provv. n. 88/2017 (doc. web n. 6285030). Si veda, altresì, su un analogo caso di diffusione di dati relativi allo stato di disabilità di un individuo sul sito di un comune, attraverso la pubblicazione online di un provvedimento di rilascio di un permesso per l’abbattimento delle c.d. ‘barriere architettoniche’, il Provv. n. 303 del 5 luglio 2017, (doc. web n. 6946686).
3) Si intende per fascicolo sanitario elettronico (o ‘FSE’) il « supporto informatico contenente dati personali di natura amministrativa, sociale e sanitaria che riflettono un’immagine passata, presente e futura dello stato di salute di una persona al fine di facilitarne l’accesso e l’utilizzo da parte dei terzi autorizzati », V. Peigné, Il fascicolo sanitario elettronico, verso una « trasparenza sanitaria » della persona, in questa Rivista, 2011, p. 1520.
4) S. Wu, La tutela penale della privacy nell’epoca di Internet. Esperienze italiane e cinesi a confronto, Edizioni Scientifiche Italiane, Napoli Roma, 2012, p. 112.
5) Convenzione n. 108 del Consiglio d’Europa sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale, 28 gennaio 1981. Il 18 maggio 2018 il Consiglio ha approvato un Protocollo di modifica alla Convenzione, tuttora aperto alla ratifica degli Stati parte. Nella sua versione emendata (‘modernised treaty’), la Convenzione, che è ad oggi il più ampio strumento internazionale giuridicamente vincolante in materia, si porrebbe come importante testo di raccordo tra strumenti normativi già esistenti e il nuovo Regolamento europeo generale in materia di dati personali.
6) Raccomandazione 97(5) del Comitato dei Ministri agli Stati membri relativa alla protezione dei dati sanitari, adottata il 13 febbraio 1997. La nuova bozza di raccomandazione, redatta dal Comitato di revisione del consiglio d’Europa, fa riferimento alla più ampia nozione di ‘dati relativi alla salute’ (health data) rispetto all’originaria locuzione di ‘dati sanitari’ (medical data), comprendendo altresì i dati personali relativi alla salute mentale o fisica (passata, presente o futura) di un individuo, compresi quelli relativi ai servizi di cura. Contiene specifiche garanzie che devono assistere il trattamento di dati genetici, categoria super sensibile per il carattere predittivo che li contraddistingue, e fornisce indicazioni sulla condivisione dei dati personali di pazienti da parte di più professionisti per garantire una migliore assistenza medica. La bozza si sofferma altresì sul trattamento in ambito di ricerca scientifica affinché questa possa essere effettuata nel rispetto dei principi di trasparenza e di adeguate garanzie, tra cui il consenso dell’interessato. Offre infine chiarimenti sui requisiti che i dispositivi interoperabili sempre più diffusi nella sanità devono rispettare per garantire la sicurezza e confidenzialità delle informazioni trasmesse nonché sui principi di protezione dati che devono essere assicurati nell’impiego e nella configurazione di applicazioni mobili. Cfr. Introductory report for updating Recommendation R (97) 5 of the Council of Europe on medical data, Council of Europe, 15 giugno 2015.
7) Relazione annuale del Garante per la protezione dei dati personali, 2018, p. 200 (disponibile online su: https://www.garanteprivacy.it/documents/10160/0/Relazione+annuale+2018+-+Il+testo. Visionato il 21 settembre 2019), (corsivo nostro).
8) Come noto, il Regolamento UE del 27 aprile 2016 n. 679 del Parlamento europeo e del Consiglio, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati) è entrato in vigore il 24 maggio 2016 e divenuto applicabile il 25 maggio 2018, dopo un lungo periodo transitorio volto a consentire l’adeguamento delle legislazioni degli Stati membri alle nuove disposizioni europee.
9) Pubblicate in G.U. n. 288 dell’11 dicembre 2009.
10) Pubblicate in G.U. n. 162 del 15 luglio 2009.
11) Pubblicate in G.U n. 164 del 17 luglio 2015.
12) Cfr. Provvedimento dell’Autorità Garante del 9 novembre 2005 ‘Strutture sanitarie: rispetto della dignità’, (doc. web. n. 1191411), in cui sono indicate, ad esempio, specifiche cautele e accorgimenti per preservare la dignità di pazienti sottoposti a trattamenti medici invasivi o ricoverati in reparti di rianimazione (es. l’uso di paraventi che delimitino la visibilità da parte di estranei), o ancora in aziende ospedaliere universitarie dove vi è una presenza di studenti universitari per finalità didattiche (es. la limitazione del numero di studenti presenti). Si veda altresì A. Thiene, Salute, riserbo e rimedio risarcitorio, in questa Rivista, 2005, pp. 1409 ss.
13) Il Codice della privacy, entrato in vigore il 1.1.2004, ha soppiantato, con la disposizione abrogatrice di cui all’art. 183, co. 1, lett. a), la pre-esistente disciplina a presidio della riservatezza dei dati personali costituita essenzialmente dalla l. n. 675/96, che dava attuazione alla direttiva 1995/46/CE in materia di « tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali » (oggi abrogata dal Regolamento europeo 2016/679/UE). Garantendo l’adeguamento dell’Italia alle sollecitazioni europee – tanto la direttiva 1995/46/CE quanto la direttiva 2002/21/CE sulla comunicazione elettronica e trasmissione telematica di dati e informazioni, oltre alla direttiva 2002/58/CE relativa al trattamento dei dati personali e tutela della vita privata nelle comunicazioni elettroniche –, il Codice della privacy negli ultimi quindici anni ha rappresentato, come noto, la magna carta del titolare dei dati personali, sino alla recente adozione a livello europeo del GDPR.
14) L’ex art. 4 del Codice della privacy, di recente abrogato con l. n. 101/18, definiva dati sensibili « i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale ».
15) Ex art. 22, co. 8, cod. priv.
16) Art. 4 e Considerando 35, GDPR.
17) G. Carro - S. Masato - M.D. Parla, La privacy nella sanità, Giuffrè, Milano, p. 5.
18) Cfr. art. 8 della Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, abrogata dal GDPR.
19) Considerando 53, GDPR.
20) La disposizione rinvia espressamente all’art. 2 septies del Codice della privacy e all’art. 9, para. 2 lett. h) e i), e para. 3 del Regolamento.
21) Art. 9, co. 2, lett. i), GDPR.
22) Art. 9, co. 2, lett. h), GDPR. In un recente provvedimento, il Garante ha chiarito che non rientrano nelle finalità di cura, ad esempio, i trattamenti connessi all’utilizzo di app mediche, attraverso cui i titolari raccolgono dati (anche) sanitari dell’interessato con finalità di fidelizzazione della clientela (es. programmi di accumulo punti predisposti dalle farmacie, i quali consentono al paziente/cliente di fruire di servizi o prestazioni, pur attinenti al settore farmaceutico-sanitario, aggiuntive rispetto alla tradizionale attività di assistenza farmaceutica svolta nell’ambito del Servizio sanitario nazionale (SSN). Nemmeno vi rientrerebbero, secondo il Garante, i trattamenti effettuati in ambito sanitario da professionisti sanitari o da persone giuridiche private per finalità elettorali, promozionali o commerciali (es. promozioni su programmi di screening e contratti di fornitura di servizi quali quelli alberghieri di degenza). Infine, non si applicano – afferma il Garante – le speciali condizioni di liceità ex art. 9 GDPR ai trattamenti effettuati attraverso il Fascicolo sanitario elettronico (d.l. n. 18 ottobre 2012, n. 179, art. 12, comma 5), per i quali l’acquisizione del consenso, quale condizione di liceità del trattamento, è richiesta dalle disposizioni di settore, precedenti all’applicazione del Regolamento (art. 75 cod. priv.), cfr. Provv. Garante del 7 marzo 2019: Chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario (doc web n. 9091942). Cfr. altresì, Provv. Garante del 6 marzo 2014 (doc. web n. 3013267).
23) Cfr. documento del Garante del 27 marzo 2019, Trattamento di dati sulla salute in ambito sanitario ai sensi del Regolamento UE 2016/679 (doc-web n. 9099233).
24) La scelta del Governo di non procedere all’abrogazione del Codice della privacy, limitandosi ad apportare modifiche e integrazioni, è stata dettata dall’intento di minimizzare il rischio di un eccesso di delega, visto, in particolare, l’art. 13, co. 3, lett. b) della l. n. 163/2017, che obbligava il Governo, nell’esercizio della delega, a « modificare il codice di cui al decreto legislativo 30 giugno 2003, n. 196, limitatamente a quanto necessario per dare attuazione alle disposizioni non direttamente applicabili contenute nel regolamento (UE) 2016/679 ».
25) Si tratta del d.lgs. 10 agosto 2018 n. 101, entrato in vigore in data 19 settembre 2018 e contenente disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).
26) L’ex art. 169, rubricato ‘misure di sicurezza’, puniva al co. 1 « chiunque, essendovi tenuto, omette di adottare le misure minime previste dall’articolo 33 con l’arresto sino a due anni o con l’ammenda da diecimila euro a cinquantamila euro ».
27) Si tratta di fattispecie meramente sanzionatorie per inosservanza di obblighi informativi, e che, non essendo autenticamente connotate da un autonomo giudizio di disvalore sul fatto, non contengono, ai fini della presente analisi, profili di specificità con riferimento ai dati sanitari. Peraltro rispecchiano, all’evidenza, una prospettiva marcatamente pubblicistica, volta a tutelare primariamente il corretto svolgimento delle funzioni del Garante e, solo indirettamente, la riservatezza dell’interessato. Sulla tendenza del diritto penale moderno a « rivolgere le proprie istanze di protezione ad una funzione e non [...] ad un bene giuridico rilevante » si veda P. Troncone, Profili penali del codice della privacy, in Riv. pen., 2004, p. 1149. Parimenti, sull’« amministrativizzazione del bene giuridico », che riceve una tutela solo mediata attraverso fattispecie incentrate sulla tutela di funzioni, cfr. V. Torre, Modelli di tutela penale della privacy in internet, in Dir. pen. proc., 2004, p. 235.
28) Cfr. art. 83, GDPR.
29) Art. 84, GDPR.
30) Considerando 149, GDPR.
31) Ivi.
32) Rilevano, in particolare, per i dati relativi allo stato di salute, le disposizioni di cui agli artt. 2 sexies, lett. u) in materia di trattamento per interesse pubblico rilevante e 2 septies, relativo alle misure di garanzia per il trattamento.
33) Art. 4, n. 11, GDPR.
34) Rinviando all’art. 9, para. 2, lett. g) del Regolamento, l’art. 2 sexies del nuovo Codice della privacy considera rilevante l’interesse pubblico relativo ai trattamenti effettuati – inter alia – da soggetti pubblici che svolgano « compiti del servizio sanitario nazionale e dei soggetti operanti in ambito sanitario ». In particolare, il fine di salvaguardare l’interesse pubblico della salute pubblica può necessitare, e dunque rendere lecito, il trattamento di dati sanitari senza consenso del paziente, Cfr. considerando 54 e art. 9, para. 2, lett. i), GDPR.
35) Cfr. art. 167, co. 1, cod. priv., (modif. dalla l. n. 101/18): « Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, operando in violazione di quanto disposto dagli articoli 123, 126 e 130 o dal provvedimento di cui all’articolo 129 arreca nocumento all’interessato, è punito con la reclusione da sei mesi a un anno e sei mesi ».
36) Cfr. art. 167, cod. priv. (modif. dalla l. n. 101/18).
37) Così A. Oliva, La tutela penale del diritto alla privacy in internet, in Riv. pen., 2002, p. 95. Cfr. sul dibattito E. Antonini, Il trattamento illecito di dati personali nel codice della privacy: i nuovi confini della tutela penale, in Dir. pen. proc., 2005, pp. 340 ss. Si veda altresì A. Manna, Codice della privacy: nuove garanzie per i cittadini nel Testo unico in materia di protezione dei dati personali, in Dir. pen. proc., 2004, p. 22.
38) Nel senso del nocumento quale condizione obiettiva di punibilità intrinseca si vedano, ex multis, Cass. pen., sez. 3, 16 luglio 2013 n. 7504, Cass. pen., sez. II, 7 maggio 2013, n. 36365 e Cass. pen., sez. III, 17 febbraio 2011, n. 17215. Al contrario, il più recente orientamento giurisprudenziale ricostruiva il nocumento alla persona offesa quale elemento costitutivo del reato, data l’omogeneità dell’interesse leso e la sua diretta derivazione causale dalla condotta tipica; cfr. Cass. pen., sez. III, 23 novembre 2016, n. 15221 e Cass. pen., sez. III, 5.2.2015, n. 40103.
39) Si veda, ad esempio, Cass. pen., sez. III, 7 febbraio 2017, n. 29549, che, con riferimento a un caso di consegna di immagine relative alla vita sessuale della persona offesa al suo nuovo partner, definiva il nocumento come il « pregiudizio giuridicamente rilevante, di qualsiasi natura, patrimoniale o non patrimoniale, subito dalla persona cui si riferiscono i dati o quale conseguenza dell’illecito trattamento ».
40) Nella nuova formulazione, infatti, l’elemento del nocumento non soltanto attiene all’offesa del bene protetto, ma «accentr[a] in sé l’offensività del fatto e quindi la ragione stessa dell’incriminazione», da cui la meritevolezza di pena del fatto. Così F. Mantovani, Diritto penale, Cedam, Padova, 2015, p. 786. In altre parole, senza il nocumento all’interessato, il reato commesso da colui che tratta i dati personali di un terzo in violazione di talune disposizioni del Codice, mancherebbe dell’offesa tipica. Cfr. F. Palazzo, Corso di diritto penale. Parte generale, Giappichelli, Torino, 2006, p. 616.
41) A tale conclusione si sarebbe pervenuti – con riferimento al testo previgente – accogliendo quella interpretazione del nocumento come condizione obiettiva di punibilità, dovendosi abbracciare una lettura costituzionalmente orientata dell’art. 44 c.p., alla luce delle note sentenze della Corte Costituzionale n. 364/1988 e n. 1085/88, secondo cui tutti gli elementi più significativi, i quali concorrono a contrassegnare il disvalore della fattispecie, debbono essere coperti almeno da colpa dell’agente. Si vedano, ex plurimis, G. Fiandaca - E. Musco, Diritto penale. Parte generale, Giuffrè, Milano, pp. 817-818; M. Romano, Commentario sistematico del codice penale, I, art. 1-84, Giuffrè, Milano, p. 427.
42) F. Mantovani, op. cit., p. 786. In tal senso si era già, invero, espresso il più recente filone giurisprudenziale (sopra richiamato) che, prima della novella legislativa, già qualificava l’art. 167 cod. priv. come fattispecie di danno, richiedendo che il danno arrecato alla persona offesa fosse stato preveduto e voluto dall’agente quale conseguenza della propria condotta, «o, comunque, accettato dall’agente come conseguenza della propria azione, indipendentemente dal fatto che [l’agente] costituisse o si identificasse con il fine dell’azione stessa», Cass. pen., sez. III, 23 novembre 2016, n. 15221 (è il caso di un condomino che aveva affisso un foglio nella bacheca condominiale riferendo di un procedimento pendente nei confronti del portiere dello stabile). Contra, nel senso della non punibilità di condotte di illecito trattamento di dati a titolo di dolo eventuale, cfr. Cass. pen., sez. III, 11 dicembre 2013, n. 3683.
43) Sulla genericità di tale nozione, atta a ricomprendere qualsiasi vantaggio per l’agente, anche non patrimoniale, si veda A. Oliva, op. cit., p. 95.
44) Si evidenzia, a tal proposito, come l’elemento costitutivo del nocumento all’interessato – che, in quanto tale, dovrà necessariamente essere oggetto di rappresentazione e volizione perché il reato possa dirsi integrato – e il danno all’interessato – quest’ultimo oggetto di dolo specifico – presentino, in verità, un certo margine di sovrapposizione. Tali profili, a ben vedere, paiono attenuarsi alla luce dell’alternativa, espressamente prevista dal legislatore, tra il dolo specifico di danno e il conseguimento di un profitto, ben potendo integrare il reato di cui all’art. 167 cod. priv. la condotta di chi abbia sì scientemente e volontariamente danneggiato il titolare dei dati, ma abbia perseguito un fine squisitamente egoistico di profitto. Tuttavia, non si può trascurare il rilievo, avanzato in passato dalla Corte di Cassazione con riferimento alla disposizione previgente, secondo cui “«contraddittorio prevedere quale evento del reato uno dei fini perseguiti dal soggetto», ossia il danno all’interessato, il quale, in quanto «inserito nel dolo specifico, è notoriamente al di fuori della consumazione del reato». Proprio su tale argomento, la Corte, infatti, aveva argomentato nel senso della natura di condizione obiettiva di punibilità – e non di elemento costitutivo – del nocumento all’interessato, cfr. Cass. pen., sez. III, 28 maggio 2004, n. 30134.
45) Sui profili di potenziale conflitto tra una tutela « esasperata » della riservatezza e le esigenze di esercizio dell’attività medica, cfr. A. Tagliabracci, op. cit., p. 1090.
46) Cfr. F. Mantovani, op. cit., pp. 86 ss. Sui criteri della continuità del tipo di illecito, di continenza e del fatto concreto, si rinvia, tra i numerosi contributi in dottrina, in particolare a F. Palazzo, op. cit., pp. 156 ss.; M. Donini, Abolitio criminis, ecc., in Cass. pen., 2002, pp. 1248 ss.; T. Padovani, Tipicità e successione di legge penale. La modificazione legislativa degli elementi della fattispecie incriminatrice o della sua sfera di incriminazione, in Riv. it. dir. proc. pen., 1982, pp. 1354 ss.
47) Così, A. Cadoppi, S. Canestrari, A. Manna, M. Papa, Trattato di diritto penale. Parte Generale - I, Il diritto penale e la legge penale, UTET, Milanofiori Assago, 2012, p. 261. Secondo gli Autori, tale scenario non determinerebbe una successione di norme incriminatrici, bensì il binomio abolitio criminis/nuova incriminazione.
48) Ivi, p. 245.
49) A tal proposito, occorrerà tenere in considerazione tutte quelle componenti che influiscono sul trattamento sanzionatorio (circostanze, natura delittuosa o contravvenzionale del fatto, durata e specie della pena, misure di sicurezza e condizioni di procedibilità), valutando nel complesso il reale pregiudizio che deriverebbe allo specifico soggetto dall’applicazione dell’una o dell’altra fattispecie, F. Mantovani, op. cit., pp. 91-92. Si vedano, inoltre, G. Marinucci, E. Dolcini, Corso di diritto penale, Giuffrè, Milano, p. 278; M. Romano, Commentario, op. cit., p. 70.
50) Si intende per ‘comunicazione’, ai sensi del nuovo art. 2 ter co. 4 lett. a) cod. priv., «il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato, dal rappresentante del titolare nel territorio dell’Unione europea, dal responsabile o dal suo rappresentante nel territorio dell’Unione europea, dalle persone autorizzate, ai sensi dell’articolo 2 quaterdecies, al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile, in qualunque forma, anche mediante la loro messa a disposizione, consultazione o mediante interconnessione».
51) Per ‘diffusione’ di dati personali, invece, sempre ai sensi del nuovo art. 2 ter, co. 4 lett. b) cod. priv., si intende «il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione».
52) Così A. Oliva, op. cit., p. 95.
53) Art. 4, GDPR.
54) Il Regolamento si limita a definire ‘archivio’ un « qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico », art. 4, n. 6. In attesa di arresti giurisprudenziali che definiscano il concetto di ‘archivio’ ex artt. 167 bis e ter cod. priv., un utile spunto interpretativo sembra potersi cogliere tra le righe del d.lgs. n. 231/2007 in materia di anti-riciclaggio, il quale dispone che l’archivio unico informatico, finalizzato al rispetto degli obblighi di adeguata verifica della clientela degli intermediari finanziari, sia « formato e gestito in modo tale da assicurare la chiarezza, la completezza e l’immediatezza delle informazioni, la loro conservazione secondo criteri uniformi, il mantenimento della storicità delle informazioni, la possibilità di desumere evidenze integrate, la facilità di consultazione », nonché « la possibilità di trarre, con un’unica interrogazione, informazioni integrate e l’ordine cronologico delle stesse e dei dati » (art. 37).
55) Soccorre a sostenere l’interpretazione in tal senso il Considerando 91, GDPR: « il trattamento di dati personali non dovrebbe essere considerato un trattamento su larga scala qualora riguardi dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato ». I trattamenti su larga scala, infatti, « mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato, ad esempio, data la loro sensibilità, laddove, in conformità con il grado di conoscenze tecnologiche raggiunto, si utilizzi una nuova tecnologia su larga scala, nonché ad altri trattamenti che presentano un rischio elevato per i diritti e le libertà degli interessati, specialmente qualora tali trattamenti rendano più difficoltoso, per gli interessati, l’esercizio dei propri diritti ».
56) C. Giust. U.E., Grande sez., 10 luglio 2018, C-25/17. La pronuncia, riferita a un diverso caso di raccolta di dati personali ‘porta a porta’, definisce così l’archivio di cui all’art. 2 lett. d) della Direttiva n. 95/46/CE del Parlamento Europeo e del Consiglio del 24 ottobre 1995 relativa alla tutela delle persone fisiche con riguardo al trattamento di dati personali, nonché alla libera circolazione di tali dati, cui il GDPR, pur abrogandola, fa riferimento.
57) Il Gruppo di Lavoro Articolo 29 in materia di protezione dei dati personali (WP29) è il gruppo di lavoro indipendente del Comitato Europeo di Protezione dei Dati che ha trattato numerose questioni relative alla protezione della vita privata e dei dati personali sino all’entrata in vigore del GDPR, il 25 maggio 2018. Nelle Linee-guida sui responsabili della protezione dei dati (RPD) recentemente pubblicate ha fornito alcuni criteri-guida al fine di stabilire se un trattamento possa dirsi effettuato su larga scala, tra i quali: « il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento; il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento; la durata, ovvero la persistenza, dell’attività di trattamento; la portata geografica dell’attività di trattamento », cfr. Linee-guida sui responsabili della protezione dei dati (RPD), adottate il 13 dicembre 2016 e modificate il 5 aprile 2017, pp. 7-8.
58) Considerando 91, GDPR.
59) Si pensi, sopra tutti, al noto scandalo ‘Facebook- Cambridge Analytica’ (2018).
60) Così S. Seminara, Note sul reato di accesso abusivo a sistemi informatici o telematici da parte di un pubblico agente (art. 615-ter, co. 2, n. 1 c.p.), in MediaLaws Riv. dir. med., 2018, p. 7.
61) Cass. pen., sez.un., 26 marzo 2015.
62) Così Cass. pen., sez. II, 18 febbraio 2016, n. 21596, che, in materia di rapporti tra ricettazione e accesso abusivo a sistema informatico, fa coincidere l’acquisizione del dato con la sua ‘estrazione’ e ‘materializzazione’ (trasfusione su un dispositivo hardware), distinguendone la mera illegittima visualizzazione.
63) La natura prodromica della condotta di accesso abusivo a un sistema informatico in relazione alle ulteriori azioni lesive dei dati ivi contenuti emerge con evidenza dal rapporto tra il co. 1 e il co. 2 n. 3 dello stesso art. 615 ter c.p., il quale prevede un aumento sanzionatorio laddove dal fatto derivi «la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti».
64) Tale conclusione appare, peraltro, supportata da una recente pronuncia della Suprema Corte che ha affermato, con riferimento alla diversa fattispecie di cui all’art. 167 cod. priv. previgente e l’art. 615 ter non vi sia alcun rapporto di specialità, attesa la «diversità di condotte finalistiche ed una diversità di attività materiali che non lascia sussistere tra esse quella relazione di omogeneità che le rende riconducibili “ad unum” nella figura del reato speciale ex art. 15 c.p.», Cass. pen., sez. V, 13 marzo 2017, n. 11994.
65) Pur in assenza di un espresso dato testuale in tal senso, la ratio richiamata della fattispecie di cui all’art. 615 ter consente di concludere che il sistema informatico oggetto di tutela non sia l’elaboratore elettronico tout court, predisposto alla mera erogazione di beni e servizi (es. distributori automatici di acqua, monitor utilizzati per rilevamenti diagnostici o sistemi di trasporto automatizzato per pazienti impossibilitati a muoversi autonomamente), bensì quello destinato alla raccolta e/o elaborazione di dati (es. il sistema informatico di archiviazione dei fascicoli sanitari elettronici). Cfr, a tal proposito, M. Mantovani, Brevi note a proposito della nuova legge sulla criminalità informatica, in Crit. dir., 1994, p. 19.
66) Su una casistica analoga, si veda il documento del Garante Dossier sanitario: prescrizioni per il sistema informativo delle prestazioni sanitarie erogate da un’azienda sanitaria, Provv. n. 550/2015 (doc. web n. 4449114).
67) In tal caso, si profilerebbe evidentemente anche una responsabilità per il delitto di accesso abusivo a sistema informatico ex art. 615 ter c.p. (inapplicabile, invece, nell’esempio successivo).
68) Basti pensare ai casi di attacchi informatici mediante ransomware che hanno recentemente colpito aziende sanitarie in Italia (es. nel 2016 l’ASP della Basilicata e nel 2018 il pronto soccorso presso l’Ospedale di Arzignano, Vicenza; cfr. https://www.agendadigitale.eu/sanita/ransowmare-nella-pa-e-nella-sanita-cosi-prendono-in-ostaggio-i-nostri-dati/) e in Gran Bretagna con la diffusione del celebre WannaCry, il quale nel 2017 ha messo in ginocchio numerosi ospedali britannici.
69) Cass. pen., sez. V, 20 aprile 2015, n. 20535.
70) Sull’operazione di «ortopedia legislativa» per ritrovare la ratio legis a cui il giudice è costretto da norme imprecise, si veda A. Cadoppi, S. Canestrari, A. Manna, M. Papa, Trattato di diritto penale, op. cit., p. 203.
71) Così P. Troncone, op. cit., p. 1151. Il collegamento tra determinatezza e conoscibilità della norma è, invero, un collegamento «funzionale», cfr. A. Cadoppi, S. Canestrari, A. Manna, M. Papa, Trattato di diritto penale, op. cit., p. 165.
72) In tal senso si veda anche M. Lamanuzzi, Diritto penale e trattamento dei dati personali. I reati previsti dal Codice della privacy e la responsabilità amministrativa degli enti alla luce del regolamento 2016/679/UE, in JusOnline, 2017, pp. 233-234.
73) Si veda F. Mantovani, Diritto penale, op. cit., p. 62.
74) Invero, «il fatto è tassativo in quanto determinato, è determinato in quanto intellegibile ed è intellegibile in quanto appartenente al mondo del reale»”, ibid. .
75) G. Marinucci - E. Dolcini, Manuale di diritto penale. Parte generale, Giuffrè, Milano, 2018, p. 78.
76) Cfr. G. Fiandaca, E. Musco, op. cit., pp. 85 e ss. A. Manna, Il trattamento dei dati personali: le sanzioni penali, in L. Fioravanti (a cura di), La tutela della persona. Nuove frontiere, difficili equilibri, Giuffrè, Milano, 2001, p. 343.
77) Cfr. art. 167 bis, cod. priv. (modif. dalla l. n. 101/18).
78) Così G. Marinucci - E. Dolcini, Corso di diritto penale, Giuffrè, Milano, 2001, p. 135 (corsivo nostro).
79) Cfr. art. 167, co. 6, cod. priv. (modif. dalla l. n. 101/18).
80) G.M. Flick - V. Napoleoni, Cumulo tra sanzioni penali e amministrative: doppio binario o binario morto? Materia penale, giusto processo e ‘ne bis in idem’ nella sentenza della Corte EDU, del 4 marzo 2014, sul market abuse, in AIC, 2014, p. 3.
81) Con riferimento alla diversa materia degli abusi di mercato, gli Autori individuano nella costruzione a doppio binario penale/amministrativo un « afflato efficientistico »: « L’obiettivo è “garantire un risultato”: colpire prontamente i responsabili [...] con un robusto “pacchetto” di sanzioni, applicate con il più snello procedimento amministrativo [...] e connotate tendenzialmente da un maggior grado di indefettibilità [...] lasciando, poi, al processo penale il compito di “rincarare”, lento pede, la dose », ivi, p. 1.
82) L’art. 4 del protocollo 7 alla Convenzione per la salvaguardia dei Diritti dell’Uomo e delle Libertà Fondamentali (CEDU), approvato il 22.11.1984 sancisce al co. 1, che « Nessuno può essere perseguito o condannato penalmente dalla giurisdizione dello stesso Stato per un reato per il quale è già stato assolto o condannato a seguito di una sentenza definitiva conformemente alla legge e alla procedura penale di tale Stato ». Giova ricordare che tale disposizione della CEDU trova diretta applicazione nel nostro ordinamento attraverso l’art. 50 della Carta dei Diritti Fondamentali dell’Unione Europea che, incorporando il ‘contenuto minimo’ dell’art. 4, ai sensi dell’art. 6 TUE, la rende disposizione avente lo stesso valore giuridico dei trattati.
83) Seppur con riferimento al doppio binario sanzionatorio in materia tributaria, la celeberrima sentenza Grande Stevens c. Italia della Grande camera del 4 marzo 2014, aveva ritenuto violato il divieto convenzionale di bis in idem in un caso di condanna penale per il medesimo fatto per cui era già stata irrogata una sentenza formalmente amministrativa di natura sostanzialmente penale alla luce dei noti criteri Engel (la qualificazione giuridica della misura; la natura della misura; la natura e il grado di severità della sanzione, cfr. Engel c. Paesi Bassi, 8 giugno 1976). Cfr. E. Mancuso - F. Viganò, Art. 4, prot. n. 7. Diritto a non essere giudicato o punito due volte, in G. Ubertis - F. Viganò (a cura di), Corte di Strasburgo e giustizia penale, Giappichelli, Torino, 2016, pp. 374 ss.
84) Nella celebre pronuncia A. e B. contro Norvegia del 15.11.2016 la Grande camera della Corte EDU esclude la violazione dell’art. 4, prot. 7, CEDU nel caso di « sufficiently close connection in substance and time » (§ 125) tra i due giudizi per lo stesso fatto. Restringendo significativamente il perimetro della nozione di bis in idem di cui all’art. 4, prot. 7, la Corte non esclude tout court « che lo Stato possa legittimamente apprestare un sistema di risposte a condotte socialmente offensive (come l’evasione fiscale) che si articoli – nella cornice di un approccio unitario e coerente – attraverso procedimenti distinti, purché le plurime risposte sanzionatorie non comportino un sacrificio eccessivo per l’interessato, con il conseguente onere per la Corte di verificare se la strategia adottata da ogni singolo Stato comporti una violazione del divieto di ne bis in idem, oppure sia, al contrario il prodotto di un sistema integrato che permette di affrontare i diversi aspetti dell’illecito in maniera prevedibile e proporzionata, nel quadro di una strategia unitaria ». La violazione convenzionale, pertanto, è esclusa laddove i due procedimenti, penale e amministrativo, perseguano scopi complementari, siano prevedibili ex ante all’autore della condotta, riducano duplicazioni nel raccoglimento e nella valutazione delle prove e consentano di tenere conto di una sanzione nel determinare l’altra (connessione sostanziale), nonché siano vicini cronologicamente (connessione temporale). Cfr. F. Viganò, La grande camera della Corte di Strasburgo su ne bis in idem e doppio binario sanzionatorio, in Dir. pen. cont. online, 18.11.16.
85) Così F. Consulich - C. Genoni, L’insostenibile leggerezza del ne bis in idem. Le sorti del divieto di doppio giudizio e doppia punizione, tra diritto eurounitario e convenzionale, in Giur. pen. web, 2018, p. 13.
86) L’art. 9 del d.l. n. 93/2013 recante ‘disposizioni urgenti in materia di sicurezza e per il contrasto della violenza di genere, nonché in tema di protezione civile e di commissariamento delle province’, qualora convertito (dalla l. n. 119/2013) senza modifiche, avrebbe previsto che « In relazione alla commissione dei delitti di cui agli articoli 615ter, 617-quater, 617-quinquies, 635-bis, 635-ter, 635-quater, 635-quinquies e 640-ter, terzo comma, del codice penale nonché dei delitti di cui agli articoli 55, comma 9, del decreto legislativo 21 novembre 2007, n. 231, e di cui alla parte III, Titolo III, Capo II del decreto legislativo 30 giugno 2003, n. 196, si applica all’ente la sanzione pecuniaria da cento a cinquecento quote. (...) 4. Nei casi di condanna per uno dei delitti indicati nel comma 1 si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, lettere a), b) ed e). Nei casi di condanna per uno dei delitti indicati nel comma 2 si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, lettere b) ed e). Nei casi di condanna per uno dei delitti indicati nel co. 3 si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, lettere c), d) ed e) ».
87) Sul punto, si veda la relazione della Corte di Cassazione n. III/01/2013 del 22 agosto 2013, che commenta affermando come il richiamo ai delitti previsti dal Codice della privacy sia « di grande impatto, soprattutto per la configurazione della responsabilità da reato degli enti per l’illecito trattamento dei dati, violazione potenzialmente in grado di interessare l’intera platea delle società commerciali e delle associazioni private soggette alle disposizioni del d.lgs. n. 231/2001 » (disponibile online su: www.cortedicassazione.it). Si veda sul punto anche M. Lamanuzzi, op. cit, pp. 257 ss.
88) L’art. 24 bis del d.lgs. n. 231/2001, ancora (impropriamente) rubricato ‘Delitti informatici e trattamento illecito di dati personali’, nonostante l’espunzione del riferimento al Codice della privacy, commina severe sanzioni amministrative pecuniarie e interdittive nei confronti dell’ente per numerose disposizioni del codice penale: « 1. In relazione alla commissione dei delitti di cui agli articoli 615-ter, 617-quater, 617-quinquies, 635-bis, 635-ter, 635-quater e 635-quinquies del codice penale, si applica all’ente la sanzione pecuniaria da cento a cinquecento quote. 2. In relazione alla commissione dei delitti di cui agli articoli 615-quater e 615-quinquies del codice penale, si applica all’ente la sanzione pecuniaria sino a trecento quote. 3. In relazione alla commissione dei delitti di cui agli articoli 491-bis e 640-quinquies del codice penale, salvo quanto previsto dall’articolo 24 del presente decreto per i casi di frode informatica in danno dello Stato o di altro ente pubblico, si applica all’ente la sanzione pecuniaria sino a quattrocento quote. 4. Nei casi di condanna per uno dei delitti indicati nel comma 1 si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, lettere a), b) ed e). Nei casi di condanna per uno dei delitti indicati nel comma 2 si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, lettere b) ed e). Nei casi di condanna per uno dei delitti indicati nel comma 3 si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, lettere c), d) ed e) ».
89) Si veda, a tal proposito, il codice deontologico di Farmindustria, il quale prevede espressamente che nelle ipotesi di studio, realizzato direttamente o indirettamente dalle aziende farmaceutiche presso ASL, Università, Enti Ospedalieri e IRCCS, la distribuzione di strumenti elettromedicali finalizzati esclusivamente allo studio (es. holter, elettrocardiografi ed altri strumenti di telemedicina) dovrà essere effettuata attraverso l’Ente o gli Enti coinvolti ed il relativo utilizzo dovrà essere regolamentato nell’ambito di una specifica Convenzione tra l’azienda farmaceutica e detti Enti. In ogni caso, lo stesso codice prevede espressamente che l’utilizzo delle strumentazioni dovrà essere a tempo determinato, esclusivamente per la durata dello studio e che l’avvenuto ritiro dovrà essere espressamente documentato, nonché reso disponibile a cura delle aziende farmaceutiche interessate su eventuale richiesta del Comitato di controllo nell’ambito di accertamenti istruttori, cfr. Codice deontologico Farmindustria, 18 gennaio 2019, par. 4.4.
90) Cass. pen., 28 luglio 2010, n. 28699, con nota di E. Ceccarelli, in Dir. giust., 2010, pp. 423 ss. La ratio dell’esenzione, infatti, – osserva la Corte – « è quella di preservare [dall’applicazione del decreto] enti rispetto ai quali le misure cautelari e le sanzioni applicabili ai sensi del d.lgs. n. 231/01 sortirebbero l’effetto di sospendere funzioni indefettibili negli equilibri costituzionali, il che non accade rispetto a mere attività di impresa. È necessario, infatti, che vi ricorra anche il profilo della non economicità delle funzioni svolte dall’istituto in questione ». Militano ulteriormente in favore di tale conclusione le considerazioni espresse nella Relazione illustrativa al d.lgs. n. 231/2001, e citate dalla Suprema corte nella sentenza, in base al quale « la scelta dei reati [...] consente di ritenere con ragionevole certezza che il legislatore delegante avesse di mira la repressione di comportamenti illeciti nello svolgimento di attività di natura squisitamente economica, e cioè assistiti da fini di profitto. Con la conseguenza di escludere tutti quegli enti pubblici che, seppur sprovvisti di pubblici poteri, perseguono e curano interessi pubblici prescindendo da finalità lucrative ».
91) In tal senso, Cass. pen., sez. un., 26 agosto 1998, n. 8451.
92) Cass. civ., sez. III, 2 dicembre 2016, n. 24640, con cui la Corte afferma che, contrariamente alla Gestione liquidatoria di un’ex-USL (ente pubblico non economico), l’Azienda sanitaria provinciale è un ente pubblico economico che, nell’approvvigionamento di beni e servizi, opera quale organismo di diritto pubblico.
93) Cfr. art. 166, cod. priv. (modif. dalla l. n. 101/18).
94) Ibid.
95) Cfr. art. 83, co. 1, GDPR, che indica, tra i vari criteri, la natura, la durata e la gravità della sanzione; la tipologia di dati personali interessati; la natura dolosa o colposa della violazione; l’adozione post-factum di misure riparatorie da parte del titolare o responsabile del trattamento; il grado di cooperazione con l’autorità di controllo per porre rimedio alla violazione e ripararne gli effetti negativi.
96) Cfr. Considerando 100, GDPR.
97) Sebbene tali meccanismi siano un elemento di cui l’autorità può tenere conto ai fini della commisurazione della sanzione, l’art. 42 co. 4 esclude un simile automatismo, disponendo che « la certificazione ai sensi del presente articolo non riduce la responsabilità del titolare del trattamento o del responsabile riguardo alla conformità al presente regolamento [...] ».
98) Art. 42, co. 1, GDPR (corsivo nostro).
99) La Direttiva 95/46/CE, all’art. 6 co. 2, prevedeva semplicemente che il responsabile del trattamento fosse tenuto a « garantire il rispetto dei principi » relativi alla qualità dei dati.
100) Tali principi fondamentali, enucleati all’art. 5 del GDPR, includono la liceità; la correttezza e trasparenza nei confronti dell’interessato; l’aggiornamento del dato, da cancellare o rettificare a seconda delle finalità per cui è trattato; integrità; responsabilizzazione; necessità del trattamento del dato personale, non altrimenti perseguibile con dati anonimi; finalità rispetto alle quali i dati possono esclusivamente essere trattati; minimizzazione del numero di dati e arco temporale del trattamento. Si veda diffusamente D. Rücker - T. Kugler, New European General Data Protection Regulation. A practitioner’s guide, Nomos, Baden Baden, 2018, pp. 243 ss.
101) Considerando 74, GDPR.
102) Art. 24, co. 3, GDPR.
103) D. Ministero della Salute, 4 agosto 2011, all. 1 (in G.U. n. 254, 31 ottobre 11), in G. Carro - S. Masato - M.D. Parla, La privacy nella sanità, Giuffrè, Milano, 2018, p. 52.
104) A. Mantelero, Il nuovo approccio della valutazione del rischio nella sicurezza dei dati. Valutazione d’impatto e consultazione preventiva (artt. 32-39), in G. Finocchiaro (a cura di), Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali, Zanichelli, Torino, 2016, p. 302.
1) P. Guarda, Fascicolo sanitario elettronico e protezione dei dati personali, Università degli Studi di Trento, 2011, pp. 7-9.
2) Sul bilanciamento dei diritti fondamentali della persona quale « chiave ermeneutica » dello stesso Codice della privacy, si veda E. Navarretta, Commento all’art. 11 (Modalità del trattamento e requisiti dei dati), in C.M. Bianca e F.D. Busnelli (a cura di), La protezione dei dati personali. Commentario al D. lgs. 30 giugno 2003, n. 196 («  Codice della privacy  »), vol. I, Cedam, Padova, 2007, p. 349. Un esempio efficace, in tale senso, è rappresentato dai numerosi casi di diffusione online da parte di soggetti pubblici di dati personali relativi allo stato di salute di taluni individui per finalità di trasparenza o di pubblicità dell’azione dell’autorità amministrativa. Di recente, l’Autorità garante per la protezione dei dati personali ha censurato la pubblicazione da parte di un comune, nella sezione ‘Amministrazione trasparente’ del sito web istituzionale, di diverse ordinanze del sindaco aventi ad oggetto la sottoposizione di alcuni cittadini a trattamento sanitario obbligatorio, con indicazione di informazioni identificative dell’individuo destinatario della richiesta, la data e il luogo di nascita, l’indirizzo di residenza, e talvolta la struttura ospedaliera di ricovero, Provv. n. 88/2017 (doc. web n. 6285030). Si veda, altresì, su un analogo caso di diffusione di dati relativi allo stato di disabilità di un individuo sul sito di un comune, attraverso la pubblicazione online di un provvedimento di rilascio di un permesso per l’abbattimento delle c.d. ‘barriere architettoniche’, il Provv. n. 303 del 5 luglio 2017, (doc. web n. 6946686).
3) Si intende per fascicolo sanitario elettronico (o ‘FSE’) il « supporto informatico contenente dati personali di natura amministrativa, sociale e sanitaria che riflettono un’immagine passata, presente e futura dello stato di salute di una persona al fine di facilitarne l’accesso e l’utilizzo da parte dei terzi autorizzati », V. Peigné, Il fascicolo sanitario elettronico, verso una « trasparenza sanitaria » della persona, in questa Rivista, 2011, p. 1520.
4) S. Wu, La tutela penale della privacy nell’epoca di Internet. Esperienze italiane e cinesi a confronto, Edizioni Scientifiche Italiane, Napoli Roma, 2012, p. 112.
5) Convenzione n. 108 del Consiglio d’Europa sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale, 28 gennaio 1981. Il 18 maggio 2018 il Consiglio ha approvato un Protocollo di modifica alla Convenzione, tuttora aperto alla ratifica degli Stati parte. Nella sua versione emendata (‘modernised treaty’), la Convenzione, che è ad oggi il più ampio strumento internazionale giuridicamente vincolante in materia, si porrebbe come importante testo di raccordo tra strumenti normativi già esistenti e il nuovo Regolamento europeo generale in materia di dati personali.
6) Raccomandazione 97(5) del Comitato dei Ministri agli Stati membri relativa alla protezione dei dati sanitari, adottata il 13 febbraio 1997. La nuova bozza di raccomandazione, redatta dal Comitato di revisione del consiglio d’Europa, fa riferimento alla più ampia nozione di ‘dati relativi alla salute’ (health data) rispetto all’originaria locuzione di ‘dati sanitari’ (medical data), comprendendo altresì i dati personali relativi alla salute mentale o fisica (passata, presente o futura) di un individuo, compresi quelli relativi ai servizi di cura. Contiene specifiche garanzie che devono assistere il trattamento di dati genetici, categoria super sensibile per il carattere predittivo che li contraddistingue, e fornisce indicazioni sulla condivisione dei dati personali di pazienti da parte di più professionisti per garantire una migliore assistenza medica. La bozza si sofferma altresì sul trattamento in ambito di ricerca scientifica affinché questa possa essere effettuata nel rispetto dei principi di trasparenza e di adeguate garanzie, tra cui il consenso dell’interessato. Offre infine chiarimenti sui requisiti che i dispositivi interoperabili sempre più diffusi nella sanità devono rispettare per garantire la sicurezza e confidenzialità delle informazioni trasmesse nonché sui principi di protezione dati che devono essere assicurati nell’impiego e nella configurazione di applicazioni mobili. Cfr. Introductory report for updating Recommendation R (97) 5 of the Council of Europe on medical data, Council of Europe, 15 giugno 2015.
7) Relazione annuale del Garante per la protezione dei dati personali, 2018, p. 200 (disponibile online su: https://www.garanteprivacy.it/documents/10160/0/Relazione+annuale+2018+-+Il+testo. Visionato il 21 settembre 2019), (corsivo nostro).
8) Come noto, il Regolamento UE del 27 aprile 2016 n. 679 del Parlamento europeo e del Consiglio, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati) è entrato in vigore il 24 maggio 2016 e divenuto applicabile il 25 maggio 2018, dopo un lungo periodo transitorio volto a consentire l’adeguamento delle legislazioni degli Stati membri alle nuove disposizioni europee.
9) Pubblicate in G.U. n. 288 dell’11 dicembre 2009.
10) Pubblicate in G.U. n. 162 del 15 luglio 2009.
11) Pubblicate in G.U n. 164 del 17 luglio 2015.
12) Cfr. Provvedimento dell’Autorità Garante del 9 novembre 2005 ‘Strutture sanitarie: rispetto della dignità’, (doc. web. n. 1191411), in cui sono indicate, ad esempio, specifiche cautele e accorgimenti per preservare la dignità di pazienti sottoposti a trattamenti medici invasivi o ricoverati in reparti di rianimazione (es. l’uso di paraventi che delimitino la visibilità da parte di estranei), o ancora in aziende ospedaliere universitarie dove vi è una presenza di studenti universitari per finalità didattiche (es. la limitazione del numero di studenti presenti). Si veda altresì A. Thiene, Salute, riserbo e rimedio risarcitorio, in questa Rivista, 2005, pp. 1409 ss.
13) Il Codice della privacy, entrato in vigore il 1.1.2004, ha soppiantato, con la disposizione abrogatrice di cui all’art. 183, co. 1, lett. a), la pre-esistente disciplina a presidio della riservatezza dei dati personali costituita essenzialmente dalla l. n. 675/96, che dava attuazione alla direttiva 1995/46/CE in materia di « tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali » (oggi abrogata dal Regolamento europeo 2016/679/UE). Garantendo l’adeguamento dell’Italia alle sollecitazioni europee – tanto la direttiva 1995/46/CE quanto la direttiva 2002/21/CE sulla comunicazione elettronica e trasmissione telematica di dati e informazioni, oltre alla direttiva 2002/58/CE relativa al trattamento dei dati personali e tutela della vita privata nelle comunicazioni elettroniche –, il Codice della privacy negli ultimi quindici anni ha rappresentato, come noto, la magna carta del titolare dei dati personali, sino alla recente adozione a livello europeo del GDPR.
14) L’ex art. 4 del Codice della privacy, di recente abrogato con l. n. 101/18, definiva dati sensibili « i dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale ».
15) Ex art. 22, co. 8, cod. priv.
16) Art. 4 e Considerando 35, GDPR.
17) G. Carro - S. Masato - M.D. Parla, La privacy nella sanità, Giuffrè, Milano, p. 5.
18) Cfr. art. 8 della Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, abrogata dal GDPR.
19) Considerando 53, GDPR.
20) La disposizione rinvia espressamente all’art. 2 septies del Codice della privacy e all’art. 9, para. 2 lett. h) e i), e para. 3 del Regolamento.
21) Art. 9, co. 2, lett. i), GDPR.
22) Art. 9, co. 2, lett. h), GDPR. In un recente provvedimento, il Garante ha chiarito che non rientrano nelle finalità di cura, ad esempio, i trattamenti connessi all’utilizzo di app mediche, attraverso cui i titolari raccolgono dati (anche) sanitari dell’interessato con finalità di fidelizzazione della clientela (es. programmi di accumulo punti predisposti dalle farmacie, i quali consentono al paziente/cliente di fruire di servizi o prestazioni, pur attinenti al settore farmaceutico-sanitario, aggiuntive rispetto alla tradizionale attività di assistenza farmaceutica svolta nell’ambito del Servizio sanitario nazionale (SSN). Nemmeno vi rientrerebbero, secondo il Garante, i trattamenti effettuati in ambito sanitario da professionisti sanitari o da persone giuridiche private per finalità elettorali, promozionali o commerciali (es. promozioni su programmi di screening e contratti di fornitura di servizi quali quelli alberghieri di degenza). Infine, non si applicano – afferma il Garante – le speciali condizioni di liceità ex art. 9 GDPR ai trattamenti effettuati attraverso il Fascicolo sanitario elettronico (d.l. n. 18 ottobre 2012, n. 179, art. 12, comma 5), per i quali l’acquisizione del consenso, quale condizione di liceità del trattamento, è richiesta dalle disposizioni di settore, precedenti all’applicazione del Regolamento (art. 75 cod. priv.), cfr. Provv. Garante del 7 marzo 2019: Chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario (doc web n. 9091942). Cfr. altresì, Provv. Garante del 6 marzo 2014 (doc. web n. 3013267).
23) Cfr. documento del Garante del 27 marzo 2019, Trattamento di dati sulla salute in ambito sanitario ai sensi del Regolamento UE 2016/679 (doc-web n. 9099233).
24) La scelta del Governo di non procedere all’abrogazione del Codice della privacy, limitandosi ad apportare modifiche e integrazioni, è stata dettata dall’intento di minimizzare il rischio di un eccesso di delega, visto, in particolare, l’art. 13, co. 3, lett. b) della l. n. 163/2017, che obbligava il Governo, nell’esercizio della delega, a « modificare il codice di cui al decreto legislativo 30 giugno 2003, n. 196, limitatamente a quanto necessario per dare attuazione alle disposizioni non direttamente applicabili contenute nel regolamento (UE) 2016/679 ».
25) Si tratta del d.lgs. 10 agosto 2018 n. 101, entrato in vigore in data 19 settembre 2018 e contenente disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati).
26) L’ex art. 169, rubricato ‘misure di sicurezza’, puniva al co. 1 « chiunque, essendovi tenuto, omette di adottare le misure minime previste dall’articolo 33 con l’arresto sino a due anni o con l’ammenda da diecimila euro a cinquantamila euro ».
27) Si tratta di fattispecie meramente sanzionatorie per inosservanza di obblighi informativi, e che, non essendo autenticamente connotate da un autonomo giudizio di disvalore sul fatto, non contengono, ai fini della presente analisi, profili di specificità con riferimento ai dati sanitari. Peraltro rispecchiano, all’evidenza, una prospettiva marcatamente pubblicistica, volta a tutelare primariamente il corretto svolgimento delle funzioni del Garante e, solo indirettamente, la riservatezza dell’interessato. Sulla tendenza del diritto penale moderno a « rivolgere le proprie istanze di protezione ad una funzione e non [...] ad un bene giuridico rilevante » si veda P. Troncone, Profili penali del codice della privacy, in Riv. pen., 2004, p. 1149. Parimenti, sull’« amministrativizzazione del bene giuridico », che riceve una tutela solo mediata attraverso fattispecie incentrate sulla tutela di funzioni, cfr. V. Torre, Modelli di tutela penale della privacy in internet, in Dir. pen. proc., 2004, p. 235.
28) Cfr. art. 83, GDPR.
29) Art. 84, GDPR.
30) Considerando 149, GDPR.
31) Ivi.
32) Rilevano, in particolare, per i dati relativi allo stato di salute, le disposizioni di cui agli artt. 2 sexies, lett. u) in materia di trattamento per interesse pubblico rilevante e 2 septies, relativo alle misure di garanzia per il trattamento.
33) Art. 4, n. 11, GDPR.
34) Rinviando all’art. 9, para. 2, lett. g) del Regolamento, l’art. 2 sexies del nuovo Codice della privacy considera rilevante l’interesse pubblico relativo ai trattamenti effettuati – inter alia – da soggetti pubblici che svolgano « compiti del servizio sanitario nazionale e dei soggetti operanti in ambito sanitario ». In particolare, il fine di salvaguardare l’interesse pubblico della salute pubblica può necessitare, e dunque rendere lecito, il trattamento di dati sanitari senza consenso del paziente, Cfr. considerando 54 e art. 9, para. 2, lett. i), GDPR.
35) Cfr. art. 167, co. 1, cod. priv., (modif. dalla l. n. 101/18): « Salvo che il fatto costituisca più grave reato, chiunque, al fine di trarre per sé o per altri profitto ovvero di arrecare danno all’interessato, operando in violazione di quanto disposto dagli articoli 123, 126 e 130 o dal provvedimento di cui all’articolo 129 arreca nocumento all’interessato, è punito con la reclusione da sei mesi a un anno e sei mesi ».
36) Cfr. art. 167, cod. priv. (modif. dalla l. n. 101/18).
37) Così A. Oliva, La tutela penale del diritto alla privacy in internet, in Riv. pen., 2002, p. 95. Cfr. sul dibattito E. Antonini, Il trattamento illecito di dati personali nel codice della privacy: i nuovi confini della tutela penale, in Dir. pen. proc., 2005, pp. 340 ss. Si veda altresì A. Manna, Codice della privacy: nuove garanzie per i cittadini nel Testo unico in materia di protezione dei dati personali, in Dir. pen. proc., 2004, p. 22.
38) Nel senso del nocumento quale condizione obiettiva di punibilità intrinseca si vedano, ex multis, Cass. pen., sez. 3, 16 luglio 2013 n. 7504, Cass. pen., sez. II, 7 maggio 2013, n. 36365 e Cass. pen., sez. III, 17 febbraio 2011, n. 17215. Al contrario, il più recente orientamento giurisprudenziale ricostruiva il nocumento alla persona offesa quale elemento costitutivo del reato, data l’omogeneità dell’interesse leso e la sua diretta derivazione causale dalla condotta tipica; cfr. Cass. pen., sez. III, 23 novembre 2016, n. 15221 e Cass. pen., sez. III, 5.2.2015, n. 40103.
39) Si veda, ad esempio, Cass. pen., sez. III, 7 febbraio 2017, n. 29549, che, con riferimento a un caso di consegna di immagine relative alla vita sessuale della persona offesa al suo nuovo partner, definiva il nocumento come il « pregiudizio giuridicamente rilevante, di qualsiasi natura, patrimoniale o non patrimoniale, subito dalla persona cui si riferiscono i dati o quale conseguenza dell’illecito trattamento ».
40) Nella nuova formulazione, infatti, l’elemento del nocumento non soltanto attiene all’offesa del bene protetto, ma «accentr[a] in sé l’offensività del fatto e quindi la ragione stessa dell’incriminazione», da cui la meritevolezza di pena del fatto. Così F. Mantovani, Diritto penale, Cedam, Padova, 2015, p. 786. In altre parole, senza il nocumento all’interessato, il reato commesso da colui che tratta i dati personali di un terzo in violazione di talune disposizioni del Codice, mancherebbe dell’offesa tipica. Cfr. F. Palazzo, Corso di diritto penale. Parte generale, Giappichelli, Torino, 2006, p. 616.
41) A tale conclusione si sarebbe pervenuti – con riferimento al testo previgente – accogliendo quella interpretazione del nocumento come condizione obiettiva di punibilità, dovendosi abbracciare una lettura costituzionalmente orientata dell’art. 44 c.p., alla luce delle note sentenze della Corte Costituzionale n. 364/1988 e n. 1085/88, secondo cui tutti gli elementi più significativi, i quali concorrono a contrassegnare il disvalore della fattispecie, debbono essere coperti almeno da colpa dell’agente. Si vedano, ex plurimis, G. Fiandaca - E. Musco, Diritto penale. Parte generale, Giuffrè, Milano, pp. 817-818; M. Romano, Commentario sistematico del codice penale, I, art. 1-84, Giuffrè, Milano, p. 427.
42) F. Mantovani, op. cit., p. 786. In tal senso si era già, invero, espresso il più recente filone giurisprudenziale (sopra richiamato) che, prima della novella legislativa, già qualificava l’art. 167 cod. priv. come fattispecie di danno, richiedendo che il danno arrecato alla persona offesa fosse stato preveduto e voluto dall’agente quale conseguenza della propria condotta, «o, comunque, accettato dall’agente come conseguenza della propria azione, indipendentemente dal fatto che [l’agente] costituisse o si identificasse con il fine dell’azione stessa», Cass. pen., sez. III, 23 novembre 2016, n. 15221 (è il caso di un condomino che aveva affisso un foglio nella bacheca condominiale riferendo di un procedimento pendente nei confronti del portiere dello stabile). Contra, nel senso della non punibilità di condotte di illecito trattamento di dati a titolo di dolo eventuale, cfr. Cass. pen., sez. III, 11 dicembre 2013, n. 3683.
43) Sulla genericità di tale nozione, atta a ricomprendere qualsiasi vantaggio per l’agente, anche non patrimoniale, si veda A. Oliva, op. cit., p. 95.
44) Si evidenzia, a tal proposito, come l’elemento costitutivo del nocumento all’interessato – che, in quanto tale, dovrà necessariamente essere oggetto di rappresentazione e volizione perché il reato possa dirsi integrato – e il danno all’interessato – quest’ultimo oggetto di dolo specifico – presentino, in verità, un certo margine di sovrapposizione. Tali profili, a ben vedere, paiono attenuarsi alla luce dell’alternativa, espressamente prevista dal legislatore, tra il dolo specifico di danno e il conseguimento di un profitto, ben potendo integrare il reato di cui all’art. 167 cod. priv. la condotta di chi abbia sì scientemente e volontariamente danneggiato il titolare dei dati, ma abbia perseguito un fine squisitamente egoistico di profitto. Tuttavia, non si può trascurare il rilievo, avanzato in passato dalla Corte di Cassazione con riferimento alla disposizione previgente, secondo cui “«contraddittorio prevedere quale evento del reato uno dei fini perseguiti dal soggetto», ossia il danno all’interessato, il quale, in quanto «inserito nel dolo specifico, è notoriamente al di fuori della consumazione del reato». Proprio su tale argomento, la Corte, infatti, aveva argomentato nel senso della natura di condizione obiettiva di punibilità – e non di elemento costitutivo – del nocumento all’interessato, cfr. Cass. pen., sez. III, 28 maggio 2004, n. 30134.
45) Sui profili di potenziale conflitto tra una tutela « esasperata » della riservatezza e le esigenze di esercizio dell’attività medica, cfr. A. Tagliabracci, op. cit., p. 1090.
46) Cfr. F. Mantovani, op. cit., pp. 86 ss. Sui criteri della continuità del tipo di illecito, di continenza e del fatto concreto, si rinvia, tra i numerosi contributi in dottrina, in particolare a F. Palazzo, op. cit., pp. 156 ss.; M. Donini, Abolitio criminis, ecc., in Cass. pen., 2002, pp. 1248 ss.; T. Padovani, Tipicità e successione di legge penale. La modificazione legislativa degli elementi della fattispecie incriminatrice o della sua sfera di incriminazione, in Riv. it. dir. proc. pen., 1982, pp. 1354 ss.
47) Così, A. Cadoppi, S. Canestrari, A. Manna, M. Papa, Trattato di diritto penale. Parte Generale - I, Il diritto penale e la legge penale, UTET, Milanofiori Assago, 2012, p. 261. Secondo gli Autori, tale scenario non determinerebbe una successione di norme incriminatrici, bensì il binomio abolitio criminis/nuova incriminazione.
48) Ivi, p. 245.
49) A tal proposito, occorrerà tenere in considerazione tutte quelle componenti che influiscono sul trattamento sanzionatorio (circostanze, natura delittuosa o contravvenzionale del fatto, durata e specie della pena, misure di sicurezza e condizioni di procedibilità), valutando nel complesso il reale pregiudizio che deriverebbe allo specifico soggetto dall’applicazione dell’una o dell’altra fattispecie, F. Mantovani, op. cit., pp. 91-92. Si vedano, inoltre, G. Marinucci, E. Dolcini, Corso di diritto penale, Giuffrè, Milano, p. 278; M. Romano, Commentario, op. cit., p. 70.
50) Si intende per ‘comunicazione’, ai sensi del nuovo art. 2 ter co. 4 lett. a) cod. priv., «il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall’interessato, dal rappresentante del titolare nel territorio dell’Unione europea, dal responsabile o dal suo rappresentante nel territorio dell’Unione europea, dalle persone autorizzate, ai sensi dell’articolo 2 quaterdecies, al trattamento dei dati personali sotto l’autorità diretta del titolare o del responsabile, in qualunque forma, anche mediante la loro messa a disposizione, consultazione o mediante interconnessione».
51) Per ‘diffusione’ di dati personali, invece, sempre ai sensi del nuovo art. 2 ter, co. 4 lett. b) cod. priv., si intende «il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione».
52) Così A. Oliva, op. cit., p. 95.
53) Art. 4, GDPR.
54) Il Regolamento si limita a definire ‘archivio’ un « qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico », art. 4, n. 6. In attesa di arresti giurisprudenziali che definiscano il concetto di ‘archivio’ ex artt. 167 bis e ter cod. priv., un utile spunto interpretativo sembra potersi cogliere tra le righe del d.lgs. n. 231/2007 in materia di anti-riciclaggio, il quale dispone che l’archivio unico informatico, finalizzato al rispetto degli obblighi di adeguata verifica della clientela degli intermediari finanziari, sia « formato e gestito in modo tale da assicurare la chiarezza, la completezza e l’immediatezza delle informazioni, la loro conservazione secondo criteri uniformi, il mantenimento della storicità delle informazioni, la possibilità di desumere evidenze integrate, la facilità di consultazione », nonché « la possibilità di trarre, con un’unica interrogazione, informazioni integrate e l’ordine cronologico delle stesse e dei dati » (art. 37).
55) Soccorre a sostenere l’interpretazione in tal senso il Considerando 91, GDPR: « il trattamento di dati personali non dovrebbe essere considerato un trattamento su larga scala qualora riguardi dati personali di pazienti o clienti da parte di un singolo medico, operatore sanitario o avvocato ». I trattamenti su larga scala, infatti, « mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato, ad esempio, data la loro sensibilità, laddove, in conformità con il grado di conoscenze tecnologiche raggiunto, si utilizzi una nuova tecnologia su larga scala, nonché ad altri trattamenti che presentano un rischio elevato per i diritti e le libertà degli interessati, specialmente qualora tali trattamenti rendano più difficoltoso, per gli interessati, l’esercizio dei propri diritti ».
56) C. Giust. U.E., Grande sez., 10 luglio 2018, C-25/17. La pronuncia, riferita a un diverso caso di raccolta di dati personali ‘porta a porta’, definisce così l’archivio di cui all’art. 2 lett. d) della Direttiva n. 95/46/CE del Parlamento Europeo e del Consiglio del 24 ottobre 1995 relativa alla tutela delle persone fisiche con riguardo al trattamento di dati personali, nonché alla libera circolazione di tali dati, cui il GDPR, pur abrogandola, fa riferimento.
57) Il Gruppo di Lavoro Articolo 29 in materia di protezione dei dati personali (WP29) è il gruppo di lavoro indipendente del Comitato Europeo di Protezione dei Dati che ha trattato numerose questioni relative alla protezione della vita privata e dei dati personali sino all’entrata in vigore del GDPR, il 25 maggio 2018. Nelle Linee-guida sui responsabili della protezione dei dati (RPD) recentemente pubblicate ha fornito alcuni criteri-guida al fine di stabilire se un trattamento possa dirsi effettuato su larga scala, tra i quali: « il numero di soggetti interessati dal trattamento, in termini assoluti ovvero espressi in percentuale della popolazione di riferimento; il volume dei dati e/o le diverse tipologie di dati oggetto di trattamento; la durata, ovvero la persistenza, dell’attività di trattamento; la portata geografica dell’attività di trattamento », cfr. Linee-guida sui responsabili della protezione dei dati (RPD), adottate il 13 dicembre 2016 e modificate il 5 aprile 2017, pp. 7-8.
58) Considerando 91, GDPR.
59) Si pensi, sopra tutti, al noto scandalo ‘Facebook- Cambridge Analytica’ (2018).
60) Così S. Seminara, Note sul reato di accesso abusivo a sistemi informatici o telematici da parte di un pubblico agente (art. 615-ter, co. 2, n. 1 c.p.), in MediaLaws Riv. dir. med., 2018, p. 7.
61) Cass. pen., sez.un., 26 marzo 2015.
62) Così Cass. pen., sez. II, 18 febbraio 2016, n. 21596, che, in materia di rapporti tra ricettazione e accesso abusivo a sistema informatico, fa coincidere l’acquisizione del dato con la sua ‘estrazione’ e ‘materializzazione’ (trasfusione su un dispositivo hardware), distinguendone la mera illegittima visualizzazione.
63) La natura prodromica della condotta di accesso abusivo a un sistema informatico in relazione alle ulteriori azioni lesive dei dati ivi contenuti emerge con evidenza dal rapporto tra il co. 1 e il co. 2 n. 3 dello stesso art. 615 ter c.p., il quale prevede un aumento sanzionatorio laddove dal fatto derivi «la distruzione o il danneggiamento del sistema o l’interruzione totale o parziale del suo funzionamento, ovvero la distruzione o il danneggiamento dei dati, delle informazioni o dei programmi in esso contenuti».
64) Tale conclusione appare, peraltro, supportata da una recente pronuncia della Suprema Corte che ha affermato, con riferimento alla diversa fattispecie di cui all’art. 167 cod. priv. previgente e l’art. 615 ter non vi sia alcun rapporto di specialità, attesa la «diversità di condotte finalistiche ed una diversità di attività materiali che non lascia sussistere tra esse quella relazione di omogeneità che le rende riconducibili “ad unum” nella figura del reato speciale ex art. 15 c.p.», Cass. pen., sez. V, 13 marzo 2017, n. 11994.
65) Pur in assenza di un espresso dato testuale in tal senso, la ratio richiamata della fattispecie di cui all’art. 615 ter consente di concludere che il sistema informatico oggetto di tutela non sia l’elaboratore elettronico tout court, predisposto alla mera erogazione di beni e servizi (es. distributori automatici di acqua, monitor utilizzati per rilevamenti diagnostici o sistemi di trasporto automatizzato per pazienti impossibilitati a muoversi autonomamente), bensì quello destinato alla raccolta e/o elaborazione di dati (es. il sistema informatico di archiviazione dei fascicoli sanitari elettronici). Cfr, a tal proposito, M. Mantovani, Brevi note a proposito della nuova legge sulla criminalità informatica, in Crit. dir., 1994, p. 19.
66) Su una casistica analoga, si veda il documento del Garante Dossier sanitario: prescrizioni per il sistema informativo delle prestazioni sanitarie erogate da un’azienda sanitaria, Provv. n. 550/2015 (doc. web n. 4449114).
67) In tal caso, si profilerebbe evidentemente anche una responsabilità per il delitto di accesso abusivo a sistema informatico ex art. 615 ter c.p. (inapplicabile, invece, nell’esempio successivo).
68) Basti pensare ai casi di attacchi informatici mediante ransomware che hanno recentemente colpito aziende sanitarie in Italia (es. nel 2016 l’ASP della Basilicata e nel 2018 il pronto soccorso presso l’Ospedale di Arzignano, Vicenza; cfr. https://www.agendadigitale.eu/sanita/ransowmare-nella-pa-e-nella-sanita-cosi-prendono-in-ostaggio-i-nostri-dati/) e in Gran Bretagna con la diffusione del celebre WannaCry, il quale nel 2017 ha messo in ginocchio numerosi ospedali britannici.
69) Cass. pen., sez. V, 20 aprile 2015, n. 20535.
70) Sull’operazione di «ortopedia legislativa» per ritrovare la ratio legis a cui il giudice è costretto da norme imprecise, si veda A. Cadoppi, S. Canestrari, A. Manna, M. Papa, Trattato di diritto penale, op. cit., p. 203.
71) Così P. Troncone, op. cit., p. 1151. Il collegamento tra determinatezza e conoscibilità della norma è, invero, un collegamento «funzionale», cfr. A. Cadoppi, S. Canestrari, A. Manna, M. Papa, Trattato di diritto penale, op. cit., p. 165.
72) In tal senso si veda anche M. Lamanuzzi, Diritto penale e trattamento dei dati personali. I reati previsti dal Codice della privacy e la responsabilità amministrativa degli enti alla luce del regolamento 2016/679/UE, in JusOnline, 2017, pp. 233-234.
73) Si veda F. Mantovani, Diritto penale, op. cit., p. 62.
74) Invero, «il fatto è tassativo in quanto determinato, è determinato in quanto intellegibile ed è intellegibile in quanto appartenente al mondo del reale»”, ibid. .
75) G. Marinucci - E. Dolcini, Manuale di diritto penale. Parte generale, Giuffrè, Milano, 2018, p. 78.
76) Cfr. G. Fiandaca, E. Musco, op. cit., pp. 85 e ss. A. Manna, Il trattamento dei dati personali: le sanzioni penali, in L. Fioravanti (a cura di), La tutela della persona. Nuove frontiere, difficili equilibri, Giuffrè, Milano, 2001, p. 343.
77) Cfr. art. 167 bis, cod. priv. (modif. dalla l. n. 101/18).
78) Così G. Marinucci - E. Dolcini, Corso di diritto penale, Giuffrè, Milano, 2001, p. 135 (corsivo nostro).
79) Cfr. art. 167, co. 6, cod. priv. (modif. dalla l. n. 101/18).
80) G.M. Flick - V. Napoleoni, Cumulo tra sanzioni penali e amministrative: doppio binario o binario morto? Materia penale, giusto processo e ‘ne bis in idem’ nella sentenza della Corte EDU, del 4 marzo 2014, sul market abuse, in AIC, 2014, p. 3.
81) Con riferimento alla diversa materia degli abusi di mercato, gli Autori individuano nella costruzione a doppio binario penale/amministrativo un « afflato efficientistico »: « L’obiettivo è “garantire un risultato”: colpire prontamente i responsabili [...] con un robusto “pacchetto” di sanzioni, applicate con il più snello procedimento amministrativo [...] e connotate tendenzialmente da un maggior grado di indefettibilità [...] lasciando, poi, al processo penale il compito di “rincarare”, lento pede, la dose », ivi, p. 1.
82) L’art. 4 del protocollo 7 alla Convenzione per la salvaguardia dei Diritti dell’Uomo e delle Libertà Fondamentali (CEDU), approvato il 22.11.1984 sancisce al co. 1, che « Nessuno può essere perseguito o condannato penalmente dalla giurisdizione dello stesso Stato per un reato per il quale è già stato assolto o condannato a seguito di una sentenza definitiva conformemente alla legge e alla procedura penale di tale Stato ». Giova ricordare che tale disposizione della CEDU trova diretta applicazione nel nostro ordinamento attraverso l’art. 50 della Carta dei Diritti Fondamentali dell’Unione Europea che, incorporando il ‘contenuto minimo’ dell’art. 4, ai sensi dell’art. 6 TUE, la rende disposizione avente lo stesso valore giuridico dei trattati.
83) Seppur con riferimento al doppio binario sanzionatorio in materia tributaria, la celeberrima sentenza Grande Stevens c. Italia della Grande camera del 4 marzo 2014, aveva ritenuto violato il divieto convenzionale di bis in idem in un caso di condanna penale per il medesimo fatto per cui era già stata irrogata una sentenza formalmente amministrativa di natura sostanzialmente penale alla luce dei noti criteri Engel (la qualificazione giuridica della misura; la natura della misura; la natura e il grado di severità della sanzione, cfr. Engel c. Paesi Bassi, 8 giugno 1976). Cfr. E. Mancuso - F. Viganò, Art. 4, prot. n. 7. Diritto a non essere giudicato o punito due volte, in G. Ubertis - F. Viganò (a cura di), Corte di Strasburgo e giustizia penale, Giappichelli, Torino, 2016, pp. 374 ss.
84) Nella celebre pronuncia A. e B. contro Norvegia del 15.11.2016 la Grande camera della Corte EDU esclude la violazione dell’art. 4, prot. 7, CEDU nel caso di « sufficiently close connection in substance and time » (§ 125) tra i due giudizi per lo stesso fatto. Restringendo significativamente il perimetro della nozione di bis in idem di cui all’art. 4, prot. 7, la Corte non esclude tout court « che lo Stato possa legittimamente apprestare un sistema di risposte a condotte socialmente offensive (come l’evasione fiscale) che si articoli – nella cornice di un approccio unitario e coerente – attraverso procedimenti distinti, purché le plurime risposte sanzionatorie non comportino un sacrificio eccessivo per l’interessato, con il conseguente onere per la Corte di verificare se la strategia adottata da ogni singolo Stato comporti una violazione del divieto di ne bis in idem, oppure sia, al contrario il prodotto di un sistema integrato che permette di affrontare i diversi aspetti dell’illecito in maniera prevedibile e proporzionata, nel quadro di una strategia unitaria ». La violazione convenzionale, pertanto, è esclusa laddove i due procedimenti, penale e amministrativo, perseguano scopi complementari, siano prevedibili ex ante all’autore della condotta, riducano duplicazioni nel raccoglimento e nella valutazione delle prove e consentano di tenere conto di una sanzione nel determinare l’altra (connessione sostanziale), nonché siano vicini cronologicamente (connessione temporale). Cfr. F. Viganò, La grande camera della Corte di Strasburgo su ne bis in idem e doppio binario sanzionatorio, in Dir. pen. cont. online, 18.11.16.
85) Così F. Consulich - C. Genoni, L’insostenibile leggerezza del ne bis in idem. Le sorti del divieto di doppio giudizio e doppia punizione, tra diritto eurounitario e convenzionale, in Giur. pen. web, 2018, p. 13.
86) L’art. 9 del d.l. n. 93/2013 recante ‘disposizioni urgenti in materia di sicurezza e per il contrasto della violenza di genere, nonché in tema di protezione civile e di commissariamento delle province’, qualora convertito (dalla l. n. 119/2013) senza modifiche, avrebbe previsto che « In relazione alla commissione dei delitti di cui agli articoli 615ter, 617-quater, 617-quinquies, 635-bis, 635-ter, 635-quater, 635-quinquies e 640-ter, terzo comma, del codice penale nonché dei delitti di cui agli articoli 55, comma 9, del decreto legislativo 21 novembre 2007, n. 231, e di cui alla parte III, Titolo III, Capo II del decreto legislativo 30 giugno 2003, n. 196, si applica all’ente la sanzione pecuniaria da cento a cinquecento quote. (...) 4. Nei casi di condanna per uno dei delitti indicati nel comma 1 si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, lettere a), b) ed e). Nei casi di condanna per uno dei delitti indicati nel comma 2 si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, lettere b) ed e). Nei casi di condanna per uno dei delitti indicati nel co. 3 si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, lettere c), d) ed e) ».
87) Sul punto, si veda la relazione della Corte di Cassazione n. III/01/2013 del 22 agosto 2013, che commenta affermando come il richiamo ai delitti previsti dal Codice della privacy sia « di grande impatto, soprattutto per la configurazione della responsabilità da reato degli enti per l’illecito trattamento dei dati, violazione potenzialmente in grado di interessare l’intera platea delle società commerciali e delle associazioni private soggette alle disposizioni del d.lgs. n. 231/2001 » (disponibile online su: www.cortedicassazione.it). Si veda sul punto anche M. Lamanuzzi, op. cit, pp. 257 ss.
88) L’art. 24 bis del d.lgs. n. 231/2001, ancora (impropriamente) rubricato ‘Delitti informatici e trattamento illecito di dati personali’, nonostante l’espunzione del riferimento al Codice della privacy, commina severe sanzioni amministrative pecuniarie e interdittive nei confronti dell’ente per numerose disposizioni del codice penale: « 1. In relazione alla commissione dei delitti di cui agli articoli 615-ter, 617-quater, 617-quinquies, 635-bis, 635-ter, 635-quater e 635-quinquies del codice penale, si applica all’ente la sanzione pecuniaria da cento a cinquecento quote. 2. In relazione alla commissione dei delitti di cui agli articoli 615-quater e 615-quinquies del codice penale, si applica all’ente la sanzione pecuniaria sino a trecento quote. 3. In relazione alla commissione dei delitti di cui agli articoli 491-bis e 640-quinquies del codice penale, salvo quanto previsto dall’articolo 24 del presente decreto per i casi di frode informatica in danno dello Stato o di altro ente pubblico, si applica all’ente la sanzione pecuniaria sino a quattrocento quote. 4. Nei casi di condanna per uno dei delitti indicati nel comma 1 si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, lettere a), b) ed e). Nei casi di condanna per uno dei delitti indicati nel comma 2 si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, lettere b) ed e). Nei casi di condanna per uno dei delitti indicati nel comma 3 si applicano le sanzioni interdittive previste dall’articolo 9, comma 2, lettere c), d) ed e) ».
89) Si veda, a tal proposito, il codice deontologico di Farmindustria, il quale prevede espressamente che nelle ipotesi di studio, realizzato direttamente o indirettamente dalle aziende farmaceutiche presso ASL, Università, Enti Ospedalieri e IRCCS, la distribuzione di strumenti elettromedicali finalizzati esclusivamente allo studio (es. holter, elettrocardiografi ed altri strumenti di telemedicina) dovrà essere effettuata attraverso l’Ente o gli Enti coinvolti ed il relativo utilizzo dovrà essere regolamentato nell’ambito di una specifica Convenzione tra l’azienda farmaceutica e detti Enti. In ogni caso, lo stesso codice prevede espressamente che l’utilizzo delle strumentazioni dovrà essere a tempo determinato, esclusivamente per la durata dello studio e che l’avvenuto ritiro dovrà essere espressamente documentato, nonché reso disponibile a cura delle aziende farmaceutiche interessate su eventuale richiesta del Comitato di controllo nell’ambito di accertamenti istruttori, cfr. Codice deontologico Farmindustria, 18 gennaio 2019, par. 4.4.
90) Cass. pen., 28 luglio 2010, n. 28699, con nota di E. Ceccarelli, in Dir. giust., 2010, pp. 423 ss. La ratio dell’esenzione, infatti, – osserva la Corte – « è quella di preservare [dall’applicazione del decreto] enti rispetto ai quali le misure cautelari e le sanzioni applicabili ai sensi del d.lgs. n. 231/01 sortirebbero l’effetto di sospendere funzioni indefettibili negli equilibri costituzionali, il che non accade rispetto a mere attività di impresa. È necessario, infatti, che vi ricorra anche il profilo della non economicità delle funzioni svolte dall’istituto in questione ». Militano ulteriormente in favore di tale conclusione le considerazioni espresse nella Relazione illustrativa al d.lgs. n. 231/2001, e citate dalla Suprema corte nella sentenza, in base al quale « la scelta dei reati [...] consente di ritenere con ragionevole certezza che il legislatore delegante avesse di mira la repressione di comportamenti illeciti nello svolgimento di attività di natura squisitamente economica, e cioè assistiti da fini di profitto. Con la conseguenza di escludere tutti quegli enti pubblici che, seppur sprovvisti di pubblici poteri, perseguono e curano interessi pubblici prescindendo da finalità lucrative ».
91) In tal senso, Cass. pen., sez. un., 26 agosto 1998, n. 8451.
92) Cass. civ., sez. III, 2 dicembre 2016, n. 24640, con cui la Corte afferma che, contrariamente alla Gestione liquidatoria di un’ex-USL (ente pubblico non economico), l’Azienda sanitaria provinciale è un ente pubblico economico che, nell’approvvigionamento di beni e servizi, opera quale organismo di diritto pubblico.
93) Cfr. art. 166, cod. priv. (modif. dalla l. n. 101/18).
94) Ibid.
95) Cfr. art. 83, co. 1, GDPR, che indica, tra i vari criteri, la natura, la durata e la gravità della sanzione; la tipologia di dati personali interessati; la natura dolosa o colposa della violazione; l’adozione post-factum di misure riparatorie da parte del titolare o responsabile del trattamento; il grado di cooperazione con l’autorità di controllo per porre rimedio alla violazione e ripararne gli effetti negativi.
96) Cfr. Considerando 100, GDPR.
97) Sebbene tali meccanismi siano un elemento di cui l’autorità può tenere conto ai fini della commisurazione della sanzione, l’art. 42 co. 4 esclude un simile automatismo, disponendo che « la certificazione ai sensi del presente articolo non riduce la responsabilità del titolare del trattamento o del responsabile riguardo alla conformità al presente regolamento [...] ».
98) Art. 42, co. 1, GDPR (corsivo nostro).
99) La Direttiva 95/46/CE, all’art. 6 co. 2, prevedeva semplicemente che il responsabile del trattamento fosse tenuto a « garantire il rispetto dei principi » relativi alla qualità dei dati.
100) Tali principi fondamentali, enucleati all’art. 5 del GDPR, includono la liceità; la correttezza e trasparenza nei confronti dell’interessato; l’aggiornamento del dato, da cancellare o rettificare a seconda delle finalità per cui è trattato; integrità; responsabilizzazione; necessità del trattamento del dato personale, non altrimenti perseguibile con dati anonimi; finalità rispetto alle quali i dati possono esclusivamente essere trattati; minimizzazione del numero di dati e arco temporale del trattamento. Si veda diffusamente D. Rücker - T. Kugler, New European General Data Protection Regulation. A practitioner’s guide, Nomos, Baden Baden, 2018, pp. 243 ss.
101) Considerando 74, GDPR.
102) Art. 24, co. 3, GDPR.
103) D. Ministero della Salute, 4 agosto 2011, all. 1 (in G.U. n. 254, 31 ottobre 11), in G. Carro - S. Masato - M.D. Parla, La privacy nella sanità, Giuffrè, Milano, 2018, p. 52.
104) A. Mantelero, Il nuovo approccio della valutazione del rischio nella sicurezza dei dati. Valutazione d’impatto e consultazione preventiva (artt. 32-39), in G. Finocchiaro (a cura di), Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali, Zanichelli, Torino, 2016, p. 302.
please wait

Caricamento in corso...