Aggiungi ad una raccolta (s) Aggiungere al salvati
  1. Scienze sociali
  2. Diritto

Via Parenzo, 11 - tel. 06/85225.810

annuncio pubblicitario 
LUISS Guido Carli
Istituto di Studi Giuridici – Facoltà di Giurisprudenza
Via Parenzo, 11 - tel. 06/85225.810
OSSERVATORIO COSTITUZIONALE
Seminario su:
I DIRITTI FONDAMENTALI E LE CORTI IN EUROPA
Incontro del 27 giugno 2003 sul tema
“La privacy”
(introdotto dal Prof. Ugo De Siervo)
Resoconto redatto dal Dott. Raffaello Russo
Bollettino n. 7/2003
Il calendario ed i resoconti degli incontri dell’Osservatorio Costituzionale, assieme ad altra documentazione, sono
reperibili sul sito Internet dell’Università Luiss Guido Carli (http://www.luiss.it/semcost/index.html)
Per informazioni, comunicazioni: e-mail: [email protected]
Per l’iscrizione alla Newsletter dell’Osservatorio Costituzionale:
http://www.luiss.it/semcost/dirittifondamentali/newsletter.html

Realizzato nell’ambito della ricerca di rilevante interesse nazionale cofinanziata dal Murst (2001-2003)
Sergio PANUNZIO sottolinea la grande importanza che ha oggi il tema della privacy in Europa. Dà
poi la parola al prof. Ugo De Siervo ringraziandolo per avere accettato l’invito ad introdurre la
riunione e ricordando la sua particolare autorità e competenza in ordine al tema della privacy,
essendo egli stato per quatto anni - prima della nomina a Giudice costituzionale - membro
dell’Autorità Garante per la protezione dei dati personali.
Ugo DE SIERVO inizia osservando scherzosamente che ove si intenda – come spesso avviene privacy come sinonimo di riservatezza personale, il tema in questione non ha un particolare rilievo
nella legislazione vigente, che si riferisce in realtà alla tutela dei dati personali, un concetto – come
si vedrà in seguito - ormai largamente autonomo dalla riservatezza personale. Ma, invece, se si
considera che le attuali discipline legislative italiana ed europea sulla protezione dei dati personali
costituiscono il punto di arrivo del complesso processo storico di tutela della privacy, andato ben
oltre l’originario riferimento al “diritto di essere lasciato solo”, allora si può parlare tranquillamente
dell’attuale legislazione sulla privacy, con la sola l’avvertenza che con questa parola ci si riferisce a
qualcosa di radicalmente diverso da ciò a cui ci si riferiva nel passato anche recente.
La fortunata occasione avuta dal Prof. De Siervo di poter seguire dall’interno dell’autorità garante il
primo quadriennio di applicazione della nuova legislazione sulla protezione dei dati personali può
permettere qualche più agevole considerazione critica relativamente ad alcune piuttosto diffuse
ricostruzioni dottrinali su questa nuova ed interessante legislazione, giunta proprio oggi
all’adozione di un apposito testo unico da parte del Governo.
Ciò assolutamente non per polemizzare con alcuno, ma per cercare di richiamare ancora una volta
l’attenzione dei giuristi che studiano il diritto positivo sulla assoluta necessità che le loro libere
valutazioni anzitutto presuppongano una effettiva buona conoscenza dei diversi contenuti normativi
della legislazione interessata, nonché delle relative prassi applicative e delle dinamiche conflittuali
che ne scaturiscano (e ciò tanto più se la legislazione si riferisce a materie diverse ed a normative
complesse). Altrimenti il rischio è che mentre rimane sostanzialmente sconosciuta l’effettiva nuova
realtà normativa ed i relativi problemi, si continua ad attribuire a precedenti oggetti del dibattito che
erano giustificati da tutt’altri contesti normativi, sociali o tecnologici (penso, nel nostro caso, al
classico tema della riservatezza o a quello, anch’esso ormai assai datato, della precedente
legislazione sulla privacy come speciale disciplina sull’utilizzazione degli archivi elettronici) un
ruolo improprio, se non in certa misura addirittura deformante, di essenziali chiavi interpretative e
ricostruttive. Tutto ciò rischia di produrre un’ulteriore pericolosa divaricazione fra un sempre
troppo astratto dibattito dottrinale e la cultura giuridica degli operatori settoriali, che ovviamente già
2
tanto risentono anche degli interessi preminenti nei diversi ambiti materiali e che quindi spesso sono
portati a dare letture parziali ai principi ed alle norme legislative.
Naturalmente la necessità di conoscere a fondo la nuova legislazione appare tanto più difficile per
una legislazione di diretta ed esclusiva derivazione europea, che il nostro paese ha recepito con
grande rapidità, in quanto ormai obbligato dopo tanti colpevoli ritardi ad accogliere legislazioni
analoghe anche assai meno complesse, e che ha avuto una tumultuosa e contrastata fase applicativa,
caratterizzata anche da continue parziali modificazioni legislative, fino all’attuale testo unico (del
cui specifico contenuto non si può tener conto in questa relazione, mentre citeremo le leggi che in
esso sono confluite, anche per mettere in evidenza la complessa evoluzione di questa legislazione).
Questa legislazione non è peraltro solo interessante per la sua discutibile riconduzione alla
problematica della riservatezza, ma merita adeguata attenzione anche per molteplici altri motivi:
sicuramente per il suo impatto su una vastissima area di fenomeni sociali e giuridici e per i
conseguenti notevoli e differenziati problemi che produce o può produrre anche su differenziate
libertà; ma poi anche per la particolare strumentazione giuridica posta a sua tutela per ciò che
riguarda le caratteristiche ed i poteri sia dell’autorità amministrativa indipendente preposta al
settore, che degli organi giurisdizionali competenti; e, infine, anche per il particolarissimo sistema
delle fonti che la definisce, la modifica, la integra.
Cominciando da quest’ultimo profilo, rivelatore di molte delle particolari caratteristiche di questa
legislazione: come ben noto, essa trova origine in una direttiva europea (95/46/CE), che ha
introdotto una normativa particolarmente avanzata rispetto a quella che dagli anni settanta è stata
adottata in vari paesi dell’Europa occidentale e dal Consiglio d’Europa (si consideri in particolare la
Convenzione 108 del 1981 in tema di “protezione delle persone rispetto al trattamento
automatizzato dei dati di carattere personale”), dal momento che nel frattempo le straordinarie
evoluzioni tecnologiche degli ultimi decenni avevano fatto accrescere molto le preoccupazioni
relative ad un loro uso pericoloso per le libertà personali in una società sempre più interessata, a
fini pubblici e privati, ad accedere ed utilizzare i più vari dati personali. Se volessimo sintetizzare in
una caratteristica distintiva di fondo la notevole diversità fra le legislazioni precedenti e quella
europea del 1995, quest’ultima si riferisce ad ogni trattamento di dati personali e non più solo
essenzialmente agli archivi elettronici, dal momento che l’estrema diffusione di possibili strumenti
di archiviazione elettronica, l’esistenza di strumenti per trasferire dati contenuti in supporti cartacei
su supporti elettronici, la diffusione di nuovi potenti strumenti di collegamento e corrispondenza, la
contemporanea diffusione di nuovi strumenti per analisi di massa di nuovi dati e caratteristiche
personali (basti pensare che si stanno perfino realizzando schedature delle caratteristiche genetiche
di intere popolazioni) spingono verso una legislazione profondamente più pervasiva, perché ormai
3
riferita alla raccolta, archiviazione ed utilizzazione di ogni tipo di dato personale (inteso nella
amplissima accezione di “qualsiasi informazione concernente una persona fisica identificata o
identificabile”), che si vuole rendere compatibile con la dignità e libertà delle persone.
Naturalmente tutto ciò non in odio alla cosiddetta “società dell’informazione”, dal momento che si
ha invece piena consapevolezza dell’indispensabilità, se non della naturalità, che dati personali
vengano rilevati e forniti per i più diversi servizi pubblici e privati, per molteplici attività
economiche e sociali, oltre che per i tanti controlli a fini amministrativi, di sicurezza o di giustizia,
per non parlare delle ben note esigenze di informazione: non a caso, la direttiva europea parla nella
sua intitolazione non solo di “tutela delle persone fisiche con riguardo al trattamento dei dati
personali”, ma anche di “libera circolazione di tali dati”.
Si noti inoltre che questa direttiva non resta affatto isolata nel sistema europeo: nel 1997 si adotta la
direttiva 97/66/CE relativa al trattamento dei dati personali nel settore delle telecomunicazioni
(successivamente integrata e modificata nel 2002), nel 2001 il regolamento 45/2001 garantisce la
tutela dei dati personali all’interno del sistema istituzionale europeo, prevedendo anche la creazione
di un apposito Garante.
Addirittura, quando al Consiglio europeo di Nizza si adotta il discusso testo della Carta dei diritti,
viene dedicato un apposito articolo alla “protezione dei dati di carattere personale” e nel
recentissimo testo di “trattato costituzionale” elaborato nel 2003 dalla Convenzione, non solo si
conferma questo articolo nella parzialmente modificata Carta dei diritti, ma all’art. I.50 (inserito nel
Titolo “La vita democratica dell’Unione”) si afferma che “ogni individuo ha diritto alla protezione
dei dati di carattere personale che lo riguardano”, seppure riferendosi soltanto alle istituzioni, agli
organi e alle agenzie dell’Unione, nonché agli “Stati membri nell’esercizio di attività che rientrano
nel campo di applicazione del diritto dell’Unione”.
D’altra parte, nella cultura istituzionale dei paesi che da tempo disponevano di legislazioni in tema
di protezione dei dati personali appariva evidentemente ovvio che la formazione di archivi di dati
personali fosse bilanciato dall’esistenza di una legislazione sulle loro caratteristiche legali e sui
relativi controlli ad opera di organi imparziali, se nel trattato di Schengen (che prevede e disciplina
anche la formazione di un apposito archivio di polizia, a bilanciamento della eliminazione dei
controlli alle frontiere per i cittadini degli Stati aderenti) si prevedeva come indispensabile per
l’adesione di nuovi Stati, che questi disponessero appunto di una legislazione del genere: come ben
noto, è stata proprio la assoluta necessità di aderire a questo accordo, nella prospettiva di rimuovere
un ostacolo altrimenti insuperabile per l’adesione del nostro paese all’unione monetaria europea,
che ha fatto infine superare ogni resistenza nel nostro Parlamento all’ introduzione di una
legislazione sulla protezione dei dati personali, fino ad allora ostacolata con successo da vari gruppi
4
di pressione ed evidentemente poco sostenuta dalle forze politiche che pure la proponevano. Ma
dopo l’adozione della direttiva europea, non ci si poteva che riferire a questo tipo di legislazione,
come abbiamo detto, particolarmente avanzato; ma da ciò l’evidente anomalia di un paese che,
privo di ogni precedente organica legislazione sul tema, improvvisamente si dota di una delle
legislazioni più complesse e pervasive.
Da questo deriva una serie di anomale reazioni fondate su equivoci e cattive informazioni, in
qualche caso anche al limite dell’isterismo (si ricordi, ad esempio, che si sostenne perfino che da
questa legislazione sarebbe derivato il divieto di tenere agendine, o l’attribuzione al Garante di
poteri censori, o l’impossibilità di espletare indagini difensive), ma soprattutto un’enorme compito
di trasformazione di normative o di prassi, nonché di adeguamento delle mentalità, dei modelli
organizzativi, spesso delle prospettive di sviluppo di importanti settori pubblici e privati (per i
primi, si pensi alle crescenti tendenze ad utilizzare strumenti informatici o tecnologici a fini di
sicurezza o di documentazione nei servizi pubblici; per i secondi, si pensi ai sempre più forti
interessi a conoscere e classificare i cittadini sulla base delle loro vocazioni al consumo o dei loro
presunti livelli di affidabilità economica).
2. La legge 675/1996 rivela palesemente la sua derivazione dalla direttiva europea, da cui trae larga
parte del linguaggio e quasi tutti gli istituti fondamentali, anche se curiosamente va addirittura oltre,
in almeno alcuni settori, alla stessa normativa europea (si pensi, solo per accennare a due diversi
esempi importanti, alla espansione della disciplina perfino al settore dei servizi segreti, seppure
mediante una disciplina del tutto particolare (cfr. art. 32, commi 6 e 7); oppure si veda l’espansione
della disciplina anche alle persone giuridiche ed ai gruppi sociali).
Si tratta di una disciplina tecnicamente raffinata, ma non poco ardua da comprendere, dal momento
che attraverso un complesso sistema di regole ed eccezioni a cascata, in relazione ai diversi tipi di
dati e di operazioni, pretende di disciplinare l’intero universo delle molteplici materie a cui si deve
applicare, alcune volte anche con scivolate assai opinabili di alcune disposizioni sul piano della
stessa compatibilità costituzionale (per ricordare solo tre casi, ormai almeno in parte superati da
modifiche successive: nell’art. 22 le originarie disposizioni subordinavano a consensi scritti e ad
autorizzazioni del Garante la tenuta dei dati personali relativi alla mera adesione dei soci da parte di
associazioni politiche, sociali, religiose; sempre nell’art. 22 si prevedeva che il trattamento dei dati
sensibili da parte delle pubbliche amministrazioni fosse lecito “solo se autorizzato da espressa
disposizione di legge nella quale siano specificati i dati che possono essere trattati, le operazioni
eseguibili e le rilevanti finalità di interesse pubblico perseguite”; nell’art. 25 il particolare
5
trattamento di favore per i soggetti operanti nel settore informativo era limitato ai soli giornalisti
professionisti).
Addirittura in un caso particolarmente grave, relativo al trattamento da parte dei giornalisti di dati
idonei a rivelare lo stato di salute o la vita sessuale solo dopo un’apposita autorizzazione del
Garante, lo stesso Garante (prima che la disposizione fosse superata da una modifica legislativa) ha
in sostanza direttamente disapplicato la norma incostituzionale in nome dell’art. 21 della
costituzione.
Questa presenza di disposizioni palesemente contrastanti con alcune disposizioni costituzionali
(comunque in numero assai ridotto rispetto alle tante disposizioni della nuova disciplina) appare
essere uno dei molti effetti imprevisti dell’impatto straordinariamente ampio di questa legislazione,
praticamente riferita ad ogni attività pubblica e privata nella quale comunque si utilizzino dati
personali.
L’inevitabile necessità di graduare l’impatto dell’innovativa disciplina senza arrendersi ai fortissimi
e diffusi tentativi di non applicazione (tutt’altro che venuti meno anche a distanza di anni) si è
concretizzata anzitutto nella previsione di alcuni termini iniziali alla sua efficacia nei vari settori
(magari anche prorogati successivamente), nella grande prudenza, se non saggezza, del Garante di
concentrarsi più sulla promozione della conoscenza della legge e sull’adozione degli atti di
specificazione della normativa (autorizzazioni previste, codici di deontologia, promozione di
comportamenti conformi a legge da parte dei grandi soggetti interessati dal trattamento dei dati
personali, soluzione dei ricorsi sollevati, ecc.) piuttosto che sulle attività di tipo sanzionatorio o di
denuncia alle autorità giudiziarie, ed infine sull’uso assai vasto e ricorrente di modifiche
all’originaria legislazione da parte del Governo.
Non può, infatti, dimenticarsi l’anomalia della legge n.676/1996, che accompagnava la nuova
legislazione con una duplice vastissima e generica delega legislativa al Governo per integrare le
disposizioni della legge 675 in ben dodici settori (alcuni dei quali assai articolati) o per correggerle
“per realizzarne pienamente i principi o per assicurarne la migliore attuazione o per adeguarla
all’evoluzione tecnica del settore”.
Come ben noto, finora ben dieci sono stati i decreti delegati integrativi o correttivi adottati ed
emanati, anche senza contare il decreto legislativo adottato dal Consiglio dei Ministri nel luglio
1999, ma mai emanato (caso interessante da segnalare agli studiosi delle prassi in tema di esercizio
dei poteri presidenziali). Considerando che attualmente siamo giunti all’approvazione di un
apposito testo unico, è facile concludere che in questo intero settore legislativo il Parlamento
sembra aver svolto una funzione solo marginale rispetto al peso delle determinazioni comunitarie e
delle tante successive correzioni e integrazioni governative (e ciò senza considerare il sicuro
6
notevole peso sostanziale nelle stesse determinazioni governative dei pochi, se non pochissimi,
esperti di questa legislazione, per lo più impegnati presso il Garante).
Un minimo di chiarimento meritano le autorizzazioni generali del Garante ed i codici di
autoregolamentazione: le prime, nel passaggio da atti riferiti a specifici casi ad atti generali (già il
primo decreto correttivo n.123/1997 ha previsto che possano riguardare anche “determinate
categorie di titolari o di trattamenti”) tendono di fatto ad assomigliare ad atti di esercizio di un
vastissimo potere di tipo regolamentare, il cui rispetto è per di più sanzionato penalmente. E certo
poi pesa enormemente la notevole genericità delle disposizioni che le prevedono (basti pensare
come in tal modo potrà esservi per la prima volta nel nostro ordinamento una disciplina in tema di
dati genetici, dal momento che sicuramente questi sono riconducibili ai dati idonei a rivelare lo stato
di salute).
I codici di deontologia, invece, derivano da un’esplicita, ma generica previsione della direttiva
europea nel senso di incoraggiare “l’elaborazione di codici di condotta destinati a contribuire, in
funzione delle specificità settoriali, alla corretta applicazione delle disposizioni” da parte di
associazioni professionali ed altri organismi rappresentativi, ma la legge 675/1996 non solo prevede
che il Garante possa promuoverne l’elaborazione “nell’ambito delle categorie interessate,
nell’osservanza del principio di rappresentatività”, verificandone la conformità al sistema normativo
vigente, ma che nel settore delicatissimo delle attività informative il codice debba essere adottato
dal Consiglio nazionale dell’ordine dei giornalisti, sulla base di un vincolante potere di stimolo e di
indirizzo del Garante. E la lesione delle disposizioni di questo codice può perfino portare al divieto
di trattamento di questi dati od al loro “blocco” (uno dei più incisivi poteri amministrativi del
Garante).
Inoltre, i decreti delegati 135/1999 e 281/1999 prevedono che il Garante possa imporre in alcuni
settori particolarmente importanti (ricerche per finalità storiche, statistiche, scientifiche, attività
degli organismi sanitari estranei al Servizio sanitario nazionale) l’adozione di appositi codici
deontologici, il cui rispetto da parte degli operatori appare condizione per assicurare la liceità dei
relativi trattamenti dei dati.
3. Quanto appena detto sui poteri sostanzialmente normativi del Garante, malgrado mai si parli di
suoi poteri regolamentari se non per profili strettamente di organizzazione interna, può suscitare
ancora una volta facili critiche contro l’attribuzione di significativi poteri del genere ad un organo
privo di diretta rappresentatività politica e politicamente non responsabile.
7
Riemergono critiche che, in realtà, hanno come riferimento polemico la stessa previsione di autorità
amministrative indipendenti e l’attribuzione ad esse di poteri non meramente di vigilanza e
controllo.
Potrebbe agevolmente rispondersi che nel caso di specie è la stessa direttiva europea che prevede
come obbligatorio l’affidamento dei poteri in materia ad un’amministrazione indipendente dal
governo nazionale, così come si è poi previsto anche per il garante a livello delle istituzioni europee
(ed analogamente è anche nelle progettate future “carte costituzionali europee”, cui si è accennato
in precedenza).
Ma poi potrebbe argomentarsi che in casi del genere la scelta per autorità indipendenti dagli
esecutivi deriva necessariamente dalla constatazione dell’assoluta inidoneità di mantenere funzioni
di controllo e di garanzia in settori di tale delicatezza agli organi ministeriali, già ordinari titolari
delle funzioni di indirizzo su larga parte degli apparati e dei settori nei quali si trattano dati
personali.
Quanto poi alle funzioni di tipo normativo, esplicite od implicite, delle autorità indipendenti,
occorre partire dalla consapevolezza che alla creazione di autorità del genere corrisponde un livello
altamente specialistico della legislazione e soprattutto della conseguente normazione integrativa,
che quindi quasi naturalmente viene affidata proprio agli operatori altamente specializzati che
operano nell’autorità amministrativa indipendente, mentre spesso gli organi politicamente
rappresentativi hanno la consapevolezza di una loro modesta idoneità o comunque la dimostrano, a
volte lasciando spazi normativi all’autorità amministrativa indipendente ancora maggiori di quelli
astrattamente previsti nella legislazione.
Proprio nel caso del Garante si è verificato un episodio assai significativo da questo punto di vista,
allorché si è dovuto procedere in uno dei decreti integrativi-correttivi a dare attuazione a quanto
opinabilmente previsto nel terzo comma dell’art. 22 della legge: qui si chiedeva, infatti, che per
individuare i dati sensibili “trattabili” dai soggetti pubblici vi fosse una “espressa disposizione di
legge nella quale siano specificati i dati che possono essere trattati, le operazioni eseguibili e le
rilevanti finalità di interesse pubblico perseguite”. Inutile dire che leggi del genere sono
oggettivamente molto rare (un esempio se ne ha nel settore dell’anagrafe e dello stato civile, con
alcune forti preclusioni all’accesso a categorie di dati particolarmente delicati) e quindi vi era il
rischio concreto di vere e proprie paralisi delle attività di molti soggetti pubblici. Ma prima
l’efficacia di questa norma è stata (discutibilmente) rinviata per ben due anni da vari decreti
correttivi e poi il decreto legislativo 135/1999 la ha largamente integrata e modificata: in questa
occasione il decreto legislativo ha anche provveduto ad identificare diciotto grandi settori nei quali
è legittimato il trattamento di dati sensibili da parte di organi della pubblica amministrazione, ma
8
poi ha dovuto prevedere pure il caso di soggetti pubblici “dimenticati”, che quindi “possono
richiedere al Garante, nelle more della specificazione legislativa, l’individuazione delle attività” per
le quali è autorizzato da parte loro il trattamento dei dati sensibili (ciò che è in concreto dovuto
avvenire con l’adozione da parte del Garante del provvedimento n.1/P/2000, pubblicato nella G.U.
2 febbraio 2000, che ha individuato ben 11 settori ulteriori rispetto a quelli individuati dal decreto
legislativo 135/1999).
Comunque il Garante dispone, al di là di quelli analoghi a quelli normativi, di tanti altri poteri, quasi
altrettanto vasti e delicati. Fra i molti analiticamente elencati all’art. 31 della legge emergono
anzitutto quelli in tema di tutela dei veri e propri nuovi diritti sui dati personali configurati all’art.
13 della legge, allorché il Garante opera in sede di risoluzione dei ricorsi sollevati dagli interessati
ai sensi dell’art. 29, attraverso un procedimento eccezionalmente rapido ed efficace: le centinaia di
ricorsi che ogni anno vengono decisi non solo risolvono tante situazioni conflittuali (poche sono le
impugnative in sede giurisdizionale dei provvedimenti del Garante), ma forniscono linee di
valutazione di problemi che, in genere, orientano i comportamenti successivi dei soggetti interessati
ai medesimi problemi.
Né possono certo neppure sottovalutarsi le vaste potestà ispettive, cui possono sommarsi
eventualmente anche forti poteri sanzionatori (cfr. artt. 31.1 l e 39), o quelli di denunzia agli organi
giurisdizionali o agli organi politici.
Si tratta, in altre parole, di un importante organo amministrativo indipendente (non certo
giurisdizionale, come pure qualcuno ha sostenuto sulla base di un’affrettata lettura dell’art. 29),
dotato di una legittimazione democratica solo indiretta, ma arricchita da una almeno auspicabile alta
qualificazione professionale dei suoi componenti e dei suoi dipendenti: mi sembra errato denunziare
la sua minore o diversa rappresentatività in relazione all’uno o all’altro dei suoi poteri (che pure
spesso meriterebbero una attenta rivisitazione critica), allorché un certo carico di rilevanti funzioni è
implicito nella decisione stessa di prevedere organi del genere a “ritaglio” di alcuni poteri che
altrimenti spetterebbero inopportunamente agli organi governativi.
4. Oggetto della legislazione è la tutela dei flussi informativi relativi ai dati personali (escludiamo
qui i profili relativi alle persone giuridiche) in ogni settore pubblico o privato che ne fa uso: se nella
pubblica amministrazione, come abbiamo accennato, sono stati ormai individuati ben 29 ampi
settori organizzativi (con alcuni settori speciali, come le varie attività giudiziarie e di polizia, o le
attività riconducibili al servizio sanitario nazionale), nell’ambito privato sono quanto meno da
ricordare settori complessi e vastissimi come le prestazioni lavorative, la sanità privata, la ricerca
scientifica, storica o statistica, l’associazionismo, l’attività dei liberi professionisti (entro i quali
9
sono da ricondurre anche l’attività forense e l’investigazione privata), l’attività informativa ed in
generale quella di espressione del pensiero, l’attività finanziaria, creditizia od assicurativa, l’attività
commerciale e di promozione, le varie attività di sorveglianza, la telefonia e le reti di
comunicazione, Internet e la posta elettronica. Ciò senza pensare ai fenomeni eccedenti il territorio
nazionale (trasferimento all’estero dei dati, archivi di polizia esistenti a livello europeo).
Tutto ciò non può che far sorgere qualche facile dubbio se tutto ciò sia riconducibile al solo
problema della riservatezza personale, quale tradizionalmente intesa.
D’altra parte su questo piano dovrebbero essere considerati decisivi l’inizio della direttiva europea,
che parla di “tutela dei diritti e delle libertà fondamentali delle persone fisiche e particolarmente del
diritto alla vita privata”, o lo stesso art. 1.1 della legge italiana, che ancora più analiticamente
afferma che lo scopo della legislazione è di garantire “che il trattamento dei dati personali si svolga
nel rispetto dei diritti, delle libertà fondamentali, nonché della dignità delle persone fisiche, con
particolare riferimento alla riservatezza e all’identità personale”. Una protezione quindi che va
decisamente oltre la tutela della riservatezza (comunque la si voglia definire), perché si riferisce a
dati personali relativi anche a comportamenti in luoghi pubblici od aperti al pubblico (ad es., si
pensi a larga parte della videosorveglianza) o a dati personali comunque spesso già conferiti o
raccolti, rispetto ai quali si opera per ridurne la circolazione o la diffusione non voluta
dall’interessato o estranea al vincolo in base al quale il dato è stato conferito (la raccolta di molti
dati, specie sul versante pubblico, è infatti obbligatoria o comunque è voluta dall’interessato per
conseguire servizi o prestazioni da parte di soggetti pubblici o privati).
Le stesse definizioni nelle progettate “carte” europee sono anch’esse significative, perché non solo
affermano la necessaria tutela dei flussi dei dati personali, ma trattano queste tutele separatamente
dalle progettate discipline a tutela della riservatezza personale, domiciliare o familiare (ad es., l’art.
7 della Carta dei diritti e non l’art. 8, relativo alla tutela dei dati personali, è dedicato a garantire a
ciascun individuo il “rispetto della propria vita privata e familiare, del proprio domicilio e delle sue
comunicazioni”).
In altri termini, il fondamento di questa legislazione sta nella nuova e più avanzata tutela da parte
della normazione europea della libertà e dignità delle persone dinanzi a recenti o recentissimi
fenomeni sociali e tecnologici, mentre la riservatezza o la tutela della identità rappresentano
semplicemente delle specificazioni opportune, ma certo non esaustive. Mi sembra quindi curioso
che nel nostro paese qualcuno si attardi a cercare di fondare costituzionalmente questa legislazione
in un concetto come la riservatezza, presente certamente in una serie di situazioni soggettive
costituzionalmente garantite (cfr. artt. 2, 14, 15, 21 Cost.), ma che comunque non potrebbe certo
costituire il fondamento di questa complessiva legislazione. Mentre, infatti, appare evidente la
10
piena compatibilità di questa legislazione con i valori costituzionali richiamati opportunamente
dall’art. 1.1 della legge, sembrerebbe semmai opportuno verificare la concreta compatibilità delle
diverse disposizioni di questa legislazione con altre disposizioni costituzionali che potrebbero
venirne contraddette o irragionevolmente compresse (qualche esempio si è fatto in precedenza).
Appare quindi opportuno soffermarsi, seppur assai rapidamente, sulle caratteristiche effettive della
legislazione sulla protezione dei dati personali e sulle sue finalità per comprendere il suo rapporto
con le molteplici situazioni soggettive garantite costituzionalmente su cui la nuova disciplina va
certamente in parte ad incidere (dallo svolgimento delle diverse attività imprenditoriali a quelle
professionali, dal diritto all’informazione ai diversi diritti di cittadinanza, in generale dai diritti ai
doveri) o anche con la discrezionalità dei legislatori nella configurazione dell’ordinamento e delle
regole di funzionamento delle pubbliche amministrazioni.
Peraltro è anche opportuno considerare come gli effetti limitativi rispetto ad alcune libertà
costituzionali o discrezionalità legislative prodotti da questa legislazione non costituiscono – a ben
vedere - qualcosa di radicalmente nuovo rispetto a quanto, seppur attraverso strumentazioni
giuridiche assai diverse, sarebbe o è stato concretamente possibile in ordinamenti privi di una
legislazione sui dati personali: ad esempio, nel nostro precedente ordinamento, addirittura in epoche
assai risalenti, il problema era già in piccola parte presente in riferimento a documentazioni
cartacee, seppure con strumentazioni eterogenee e spesso inefficaci (segreti professionali; divieti di
comunicazione di determinati rapporti, pur documentati).
Certo, la necessità di una nuova ed efficace legislazione emerge in modo prepotente solo quando
allo sviluppo dello Stato sociale ed al parallelo infittirsi dei rapporti sociali ed economici si somma
la grande diffusione di tante nuove e potenti tecnologie, pur così utili per la vita sociale ed
individuale: la straordinaria capacità di archiviazione e di immediato incrocio delle informazioni in
una società nella quale le informazioni sulle persone sono assolutamente indispensabili per
l’erogazione di tanti servizi pubblici e privati, ma costituiscono anche una merce preziosa per molti
settori economici, fa inevitabilmente emergere tanti nuovi problemi di tutela della dignità e della
stessa libertà delle persone.
Una legislazione che, mentre cerca di tutelare le persone rispetto alla totalità dei fenomeni sociali
nei quali vi sia un’utilizzazione dei dati personali, ovviamente distingue profondamente il
trattamento dei dati personali da parte delle istituzioni pubbliche rispetto a quello dei diversi
soggetti economici e di quelli professionali, nonché da parte dei vari soggetti espressivi del
pluralismo sociale, perché solo nel primo caso vi è il riconoscimento di un preminente interesse
collettivo alla raccolta ed eventualmente alla comunicazione e diffusione dei dati.
11
Ciò peraltro non toglie che vi sia comunque un ampio zoccolo comune a quasi tutti i settori,
pubblici e privati, di istituti a garanzia della consapevolezza della raccolta dei dati (si pensi
all’istituto dell’informativa), della loro sicura custodia (si pensi alle norme sulla sicurezza ed a
quelle sulla nomina sostanzialmente necessaria di responsabili ed incaricati in ogni struttura
minimamente complessa), dei diritti degli interessati di conoscenza, di correzione e di utilizzazione
dei propri dati (si pensi ai nuovi diritti configurati dall’art.13 della legge ed alle speciali tutele
fornite ai loro titolari dall’art.29).
Ed inoltre vi è l’art. 9 della legge, che determina i principi generali che devono caratterizzare tutti i
trattamenti di dati personali: si pensi ai principi di legalità e di correttezza, al conseguente principio
della loro utilizzabilità solo per i fini predeterminati per cui sono stati raccolti (salve le eccezioni
determinate dalla stessa legislazione sulla riservatezza: qui rilevano in particolare l’utilizzabilità dei
dati personali anche per fini di ricerca, seppure alle condizioni fissate nei d. lgs. 281 e 282 del
1999), alla necessità che i dati siano esatti ed aggiornati, al principio di pertinenza, al principio di
temporaneità della conservazione ove venga meno lo scopo della raccolta (salve le eccezioni prima
accennate per fini di ricerca), ecc.
Al di là di tutti questi elementi comuni vi è però la fortissima differenza consistente nel fatto che nel
settore pubblico di regola si prescinde dalla volontà dell’interessato nei diversi trattamenti dei suoi
dati, sia che si parli della fase della raccolta, che di quella della comunicazione e diffusione: qui è
decisivo quanto è determinato nel sistema normativo vigente, con una diversificazione solo in
relazione al tipo di dati (comuni o sensibili) che vengono coinvolti in questi particolari trattamenti.
Come ben noto, l’art. 27 della legge configura in termini assai ampi la possibilità per i soggetti
pubblici di trattare i dati personali comuni, poiché ci si riferisce allo “svolgimento delle funzioni
istituzionali, nei limiti stabiliti dalle leggi e dai regolamenti”; la stessa comunicazione o diffusione
di questi dati ad altri soggetti pubblici è permessa non solo quando siano previste da norme di legge
o di regolamento, ma quando “risultino necessarie per lo svolgimento delle funzioni istituzionali” (il
Garante, ad esempio, ha più volte chiarito che non vi sono problemi per un Comune a trasmettere
dati anagrafici ad altri soggetti pubblici che ne facciano richiesta “per esclusivo uso di pubblica
utilità”, secondo quanto previsto nel regolamento anagrafico).
La comunicazione o la diffusione degli stessi dati a soggetti privati è invece possibile solo “se
previste da norme di legge o di regolamento”. Proprio l’esperienza di questi primi anni di attività
del Garante ha evidenziato che la normazione vigente non appare particolarmente restrittiva (altra
cosa è se sia sempre ragionevole): così si è constatato che gli uffici anagrafici o dello stato civile
non possono trasmettere dati od elenchi di dati a terzi non previsti dalla legislazione vigente (siano
comuni cittadini, aziende, giornalisti o anche esponenti politici o parlamentari), ma si è pure
12
constatato che paradossalmente la disciplina in tema di liste elettorali permette la loro piena
conoscibilità da parte di chiunque, perfino a prescindere da ogni verifica delle finalità per cui si
opera (e ciò certamente crea qualche problema, almeno a giudicare dalle diffuse proteste di cittadini
che vedono giungere corrispondenza commerciale od anche di tipo politico a tutti i componenti
della famiglia che siano elettori).
Come abbiamo prima accennato, assai più severa era ed in parte è tuttora (dopo il nuovo comma 3
bis dell’art. 22) la disciplina in tema di dati sensibili: ora si prevede che, in assenza di una
legislazione di specificazione di quali siano nei vari settori “i tipi di dati e le operazioni eseguibili”,
gli stessi soggetti pubblici interessati “identificano e rendono pubblici, secondo i rispettivi
ordinamenti, i tipi di dati e di operazioni strettamente pertinenti e necessari in relazione alle finalità
perseguite nei singoli casi, aggiornando tale identificazione periodicamente” (l’art.2 del decreto
legislativo 282/1999 ha successivamente specificato che nel grande settore sanitario si deve invece
intervenire tramite un apposito regolamento ministeriale: anche qui il mancato esercizio del potere
regolamentare da parte del Ministero ha sostanzialmente reso incompleta la disciplina sulla tutela
dei dati sensibili nell’intero settore). Malgrado l’attribuzione sostanziale di un così vasto e delicato
potere alle stesse autorità amministrative direttamente interessate, c’è peraltro da prendere atto che
ben poche amministrazioni, sia centrali che locali, hanno esercitato questi poteri, con conseguenti
rischi assai gravi per i soggetti interessati, ma anche responsabilità assai serie per la stessa dirigenza
pubblica.
Qui semmai emerge un problema istituzionale di grande rilievo: non poche pubbliche
amministrazioni sembrano incapaci di adeguarsi effettivamente alla nuova legislazione (e non solo
nel settore dei dati sensibili, perché qualcosa di analogamente grave sembra esistere nel mancato
diffuso adeguamento alla importantissima normativa in tema di adozione delle misure necessarie
alla sicurezza dei dati, addirittura sanzionata penalmente dall’art. 36 della legge, articolo che di
recente, non a caso, è stato in parte reso meno drastico dall’art. 14.1 del decreto legislativo
467/2001).
Anche nel settore privato non mancano tendenze a sottrarsi alla normativa o a ridurne l’impatto, ma
certo il fenomeno appare ovviamente assai più grave nella pubblica amministrazione, che è per di
più depositaria di una immensa massa di dati personali, alcuni dei quali estremamente delicati.
Inoltre la disciplina nei riguardi dei soggetti privati appare assai più stringente ed affidata
largamente nella sua ulteriore specificazione all’opera del Garante, del tutto essenziale – come
abbiamo già accennato - soprattutto per ciò che riguarda le autorizzazioni all’utilizzazione dei dati
sensibili.
13
Qui le garanzie di fondo della legge risiedono nella prescrizione della piena consapevolezza dei
soggetti interessati e nella loro sicura volontà di conferire il dato ed eventualmente di autorizzarne
la comunicazione ad altri soggetti. Per i dati sensibili la legislazione reputa addirittura insufficiente
l’espressione dell’atto di volontà dell’interessato, ma esige la necessaria previa autorizzazione da
parte del Garante, che evidentemente deve riuscire a garantire non solo l’effettiva libertà dei
soggetti interessati rispetto ad improprie pressioni, ma può anche radicalmente ridurre la possibilità
di conferire alcuni dati o successivamente di comunicarli o diffonderli (e qui sta certamente il
maggiore potere di tipo normativo del Garante, peraltro anch’esso frutto di una manifesta incapacità
degli organi legislativi a porre in essere discipline del genere, se non del tutto episodicamente come
per alcune particolari malattie o per speciali status familiari).
Con il passare del tempo ed anche in conseguenza di modificazioni di qualche prescrizione
eccessiva, parte delle numerose critiche iniziali ad alcuni istituti molto innovativi ed all’estrema
pervasività di questa legislazione (ben al di là di quanto fosse stato immaginato quando si discuteva
di elaboratori elettronici o di grandi banche dati), si sono almeno in parte ridotte; ad esse sono
peraltro subentrati – e non sempre erroneamente - tutta un’altra serie di giudizi preoccupati sulla
complessità e farraginosità di molte procedure previste, sull’anomalia dei processi implementativi
di questa legislazione, nonché sulla delicatezza dei poteri anche di tipo normativo attribuiti al
Garante o in parte anche ai gruppi sociali chiamati ad elaborare i codici deontologici previsti in
questa legislazione. Ma ormai, ad oltre sei anni dall’entrata in vigore della legge 675/1996 e giunti
all’ approvazione di un apposito testo unico della materia, sembrerebbe giunto il tempo per
valutazioni adeguatamente analitiche sull’efficacia e sui problemi della nuova legislazione nei tanti
diversi settori in cui si applica.
Gaetano AZZARITI invita a riflettere sulla tenuta e sulle prospettive future del sistema della
Privacy così ben illustrato da De Siervo. Il rapido mutare della situazione può infatti incidere sulle
ragioni originarie che hanno permesso l’affermarsi del quadro normativo attualmente vigente.
Una legislazione sulla privacy in Italia (pur se adottata con ritardo), non poteva essere elusa. Più che
essere stata determinata da obblighi comunitari, è stata imposta dall’avvento dell’età
dell’informatica. Un’età, quella informatica, che pone questioni delicatissime di controllo sociale e
incide profondamente sulla cultura diffusa. In fondo contribuisce a definire la sostanza della
democrazia, con il rischio – se non sapientemente governata – di vedere degenerare le democrazie
in Stati di polizia. Pone dunque un problema “politico” di enorme rilievo. Il nostro legislatore
(come molti altri) ha affidato ad un soggetto “indipendente” il compito regolatore principale del
14
settore. C’è da chiedersi fino a che punto può reggere la funzione neutrale dell’Autorità
indipendente dinanzi a questioni decisive per la politica.
Così, fin tanto che si tratta di bilanciare il diritto alla privacy e quello di cronaca, l’ “intercapedine”
dell’autorità e la “saggezza” dei suoi interventi possono senz’altro non solo ritenersi utili, ma anche
sufficienti per governare un settore così delicato. Ma quando si passa a volere contemperare privacy
e ordine pubblico o sicurezza non può darsi per scontato che possa ritenere altrettanto. E qui è forse
da indicare un punto di svolta per il futuro del sistema della tutela della riservatezza. Infatti oggi
siamo ad un tornante importante: se dovesse prevalere la cultura illiberale del terrore, indotta da
quella che è stata definita l’“età del rischio”, si può dubitare che la “Politica” possa continuare a
rimanere estranea alla regolamentazione diretta. In fondo già appare chiara la strategia, che sotto la
minaccia del terrorismo, ha imposto un illimitato controllo diretto dei dati personali nelle mani delle
autorità politiche, con attenuati controlli sociali e scarse possibilità di delimitarne l’uso. E’ nota la
tensione tra Stati Uniti ed Europa sul questi problemi e lo stesso Garante della Privacy italiano ha
nei giorni scorsi richiamato l’attenzione su questi profili, invitando i rappresentanti dell’Unione
europea (Prodi) a definire un accordo con gli Stati Uniti.
Azzariti, conclude il suo intervento ponendo una domanda: se allora la politica si dovesse
riappropriare del governo della privacy, quali sarebbero gli effetti? Per l’attuale assetto, per
l’Autorità garante, ma anche per le forme e la sostanza dei sistemi democratici.
Richiamandosi a quanto già esposto nell’intervento di Azzariti, Sergio LARICCIA manifesta il suo
interesse per la tematica in oggetto – pur scarsamente analizzata finora nel dettaglio – in funzione
delle sue interazioni tra le branche del diritto pubblico, costituzionale, amministrativo. In questo
senso ritiene di concordare con quanto esposto nella relazione e già sostenuto tempo addietro in
riferimento al modello delle autorità indipendenti, in linea con l’opinione scettica nei loro confronti
espressa da Paolo Barile, circa l’adeguatezza della loro conformazione alle finalità prefissate. Ciò
risulta motivato anche in conseguenza delle forti resistenze insite al sistema stesso
dell’amministrazione: è infatti corretto affermare come alla base di tale sistema non si possano
rinvenire adeguate esplicite giustificazioni costituzionali, essendo esso in larga misura di matrice e
derivazione comunitaria. Non si può tuttavia trascurare come l’affermata superiorità del diritto
comunitario su quello nazionale abbia già messo in crisi alcuni degli elementi caratteristici del
sistema costituzionale italiano, tra i quali indubbiamente il principio di legalità; in ragione di ciò
può essere allora giustificato lo stesso riconoscimento all’Autorità Garante della potestà di emettere
atti di carattere sostanzialmente normativo, pur in assenza di esplicita previsione costituzionale in
15
tal senso. Tale situazione non può non instillare nel giurista, e nello studioso del diritto
costituzionale in particolare, una certa insoddisfazione, unita in particolare all’interrogativo sulla
coerenza con il sistema delle autorità indipendenti, in assenza di un apposito richiamo nel testo
costituzionale.
Ulteriore tematica da porre in rilievo, in merito al funzionamento e all’azione del Garante per la
protezione dei dati personali, concerne le modalità di accesso e reclutamento del personale chiamato
a farne parte, poiché, data la delicatezza delle funzioni che esso è chiamato a svolgere, sarebbe
opportuno un reclutamento particolarmente selettivo e fondato su criteri obiettivi, in maniera
analoga a quanto avviene ad esempio per i magistrati. Così, sarebbe maggiormente garantita
l’indipendenza dell’organo e dei suoi singoli funzionari, contribuendo inoltre a consolidare nei
cittadini la fiducia nell’effettiva indipendenza di un organo chiamato spesso a confrontarsi con
poteri forti – di natura economica e non solo – nei confronti dei quali tale elemento può risultare
essenziale per rendere concrete le possibilità di tutela così predisposte.
Francesco ARGONDIZZO sottolinea la pluralità ed eterogeneità delle organizzazioni che possono
essere interessate per propri fini alla problematica della tutela e dell’accesso a dati personali.
Esistono infatti molteplici organizzazioni ed associazioni a carattere privato e volontario, esplicanti
tuttavia finalità sociali, per l’attività delle quali è talora indispensabile l’accesso a dati c.d
“sensibili”. Di fronte alle richieste di tali dati per le finalità istituzionali delle associazioni non
sussistono solitamente, nell’esperienza reale, particolari resistenze alla loro produzione da parte di
coloro che ne sono in possesso (nella fattispecie si tratta per lo più di istituzioni scolastiche e
pertanto esercenti pubblico servizio). Viene quindi a questo punto in considerazione l’interrogativo
sull’effettiva possibilità di diniego a tali richieste una volta che ne siano verificate le finalità limitate
agli scopi dell’associazione richiedente, soprattutto con riferimento al fondamento giuridico
dell’impedimento opposto e in particolare se questo possa diversamente conformarsi a seconda che
la richiesta sia effettuata in esclusivo riferimento a fini interni o possa invece essere oggetto di
trasferimento ad altre organizzazioni.
Aldo BARDUSCO pone in evidenza come, tra le tante finalità della legislazione sulla tutela dei dati
personali, particolarmente significativa sia quella volta ad impedire un uso per scopi commerciali di
dati, talvolta anche non prettamente “sensibili”, tuttavia suscettibili di diventare strategici
nell’esercizio di un’attività economica o commerciale.
16
Inoltre, un ulteriore importante aspetto da sottolineare concerne la protezione dei minori, soggetti
per i quali il consenso o meno al trattamento dei dati personali è espresso da chi esercita su di loro
la potestà genitoriale. In mancanza di un’adeguata e specifica previsione nel codice civile circa la
protezione del minore nei confronti stessi di chi può autorizzare l’utilizzazione dei dati dei propri
figli anche per finalità che, spesso sotto mentite spoglie, possono rientrare in attività di carattere
economico. È allora legittimo chiedersi se il complesso rappresentato dalla legislazione nazionale e
da quella di derivazione comunitaria possa essere utilmente attivato da parte dei minori cui i dati si
riferiscono, anche al di là delle determinazioni assunte in riferimento da un adulto, nell’esercizio
della potestà genitoriale.
Alberto VESPAZIANI intende richiamare l’attenzione su un profilo che esula in parte dal solo dato
positivo della legislazione vigente e della sua concreta applicazione, ovvero su quello relativo alla
costruzione concettuale della categoria della privacy. In proposito esprime apprezzamento per
l’impostazione realista della relazione del Prof. De Siervo, che ha rinunciato a rintracciare una
origine meramente filologica dell’istituto, cui comunque non sarebbe possibile tornare. Da una lato
le trasformazioni delle moderne società complesse fanno apparire il problema della privacy come
relativo al management dei flussi informativi ed alla regolazione della circolazione di dati più o
meno sensibili, d’altro lato però tale prospettiva sistemica ripropone l’esigenza di un ripensamento
della dogmatica relativa alla tutela di un fenomeno che non può non chiamare in gioco i valori
costituzionali. Va dunque posto l’interrogativo se rinunciare alla retorica della privacy quale diritto
fondamentale non possa correre il rischio di diminuire il potere oppositivo dei cittadini nei confronti
delle invadenze nella sfera privata da parte del potere amministrativo.
Andrea RIDOLFI osserva come il problema della privacy e della tutela dei dati personali sia
soprattutto un problema di cultura, e non tanto di norme contenute nella legge 675/1996, la quale
rimane, a suo avviso, una ottima legge. A proposito della impossibilità di risolvere le questioni
confidando esclusivamente nel carattere prescrittivo ed imperativo del diritto, Ridolfi cita una sua
personale esperienza di lavoro in una società specializzata in ricerche di mercato: nonostante fosse
già stata approvata la normativa sulla privacy, un noto operatore telefonico, valendosi della massa
di dati precedentemente acquisiti – nella sua qualità di servizio pubblico – sulle utenze telefoniche,
aveva continuato ad utilizzarli per avvantaggiarsi sugli operatori concorrenti, con una condotta
quantomeno di dubbia legalità sia sul piano della concorrenza, sia, soprattutto, su quello del
17
trattamento dei dati personali.
Marco DE SIMONE pone l’accento sulla prospettiva comunitaria del problema, soprattutto quanto
al profilo della conformità tra le legislazioni nazionali e a quello relativo al coordinamento delle
diverse Autorità garanti nazionali. Tale aspetto può risultare decisivo per l’efficacia della tutela
apprestata dalle diverse legislazioni nazionali e da quella comunitaria, pertanto è necessario valutare
se sia sufficiente una garanzia posta su diversi livelli oppure se è configurabile una struttura di
coordinamento a livello europeo, nel quadro dell’instaurazione progressiva di sistemi normativi
uniformi nei Paesi dell’Unione Europea.
Anna MOSCARINI evidenzia come nella materia in esame vada distinto il concetto di privacy,
quale inteso nella normativa di origine comunitaria da quello del diritto alla riservatezza, elaborato
negli Stati Uniti, anche attraverso la via giurisprudenziale, quale diritto afferente alla sfera intima
della persona. Del resto, la stessa Corte Costituzionale italiana ha riconosciuto il diritto alla
riservatezza quale “diritto ad esser lasciato solo”, il cui fondamento è stato rintracciato nelle
disposizioni costituzionali che proteggono per l’appunto, non una particolare sfera comunicativa
pubblica della persona, ma la sua sfera privata (ad esempio gli artt. 13, 14 e, soprattutto, 15).
Allora, l’affermazione che la disciplina oggi vigente sia stata posta in essere esclusivamente in
funzione di indirizzi segnalati da direttive comunitarie, senza espresso fondamento costituzionale,
non può far altro che svalutarne la portata e rendere deteriori le posizioni del singolo e le loro
possibilità di tutela. Basti pensare in proposito come talune fattispecie relative al trattamento dei
dati personali – quale ad esempio la loro utilizzazione a fini economici – se non dotate di un
espresso fondamento costituzionale possono porsi in conflitto con quei medesimi principi
costituzionali che la legge sulla privacy si suppone volesse tutelare.
Ugo DE SIERVO, nel replicare agli interventi effettuati, sottolinea anzitutto come occorra che
giuristi e costituzionalisti siano consapevoli che una legislazione del genere deve essere valutata
non solo alla luce dei tradizionali parametri costituiti dalle libertà costituzionali: là dove la risposta
ai nuovi problemi dell’uomo contemporaneo (come la più avanzata legislazione sulla privacy, intesa
come tutela di ogni tipo di dato personale dinanzi ai rischi connessi all’utilizzazione delle nuove
tecnologie) crea una nuova complessiva legislazione non riducibile alle classiche libertà
18
costituzionali, appare inutile e deviante cercare di forzare il nuovo nelle preesistenti fattispecie
costituzionali. Ciò non significa minimamente rinunciare ad utilizzare ed anche ad espandere tutte
le tutele costituzionali esistenti (si pensi, ad esempio, alla estensione delle tutele in tema di
segretezza della corrispondenza anche ai tabulati telefonici o alla posta elettronica), ma
semplicemente non pretendere di voler giustificare ogni nuova tutela solo alla luce delle vigenti
disposizioni costituzionali in tema di libertà. Occorre, invece, valutare se queste nuove legislazioni
siano coerenti con i fondamentali valori costituzionali (dignità e libertà delle persone) e ovviamente
non siano contrastanti con specifiche libertà costituzionali.
Ciò che è evidente è che molti dei “trattamenti di dati” cui si applicano le tutele relative ai dati
personali non sono riferibili alla riservatezza personale: si pensi non solo alle attrezzature di
videosorveglianza, ma al problema dell’uso correttamente finalizzato di foto, riprese, registrazioni,
altri dati personali lecitamente raccolti solo per certi fini; in generale si considerino quanti dati
personali sono obbligatoriamente o anche volontariamente conferiti a soggetti pubblici o privati,
senza che peraltro ciò possa significare una loro possibile utilizzazione da parte di altri soggetti.
Ma si pensi anche alla recente forte tendenza di tanti soggetti economici o politici ad accedere agli
indirizzi di posta elettronica, ricavabili illegalmente da attrezzature capaci appunto di selezionarli
nei flussi delle comunicazioni elettroniche. Oppure si pensi al dibattito ricorrente fra Garante e le
stesse autorità giurisdizionali sull’inopportunità che vengano conservate per periodi lunghissimi
tutte le documentazioni relative al traffico telefonico.
Né tutto può essere ridotto ad una nuova tutela “privatistica” di alcuni aspetti della persona e della
sua libertà : al di là dell’impatto su tanta legislazione relativa alle pubbliche amministrazioni, il fatto
che in tema di comunicazione dei propri dati sensibili a soggetti privati sia indispensabile il previo
consenso del Garante dimostra che ci si trova dinanzi ad una disciplina che opera nell’interesse
generale.
Per ciò che riguarda le ricorrenti tendenze a creare forti flussi di dati verso l’estero, c’è da ricordare
che anche prima delle recentissime tendenze delle autorità statunitensi a controlli assai vasti su chi
utilizza i mezzi aerei, si è sviluppato un lungo e duro confronto fra Unione europea e U.S.A. sui
flussi di dati personali al di fuori dell’UE: qui lo scontro fra Paesi nei quali la tutela dei dati è
tutelata da una normativa di legge o, invece, da una serie di normative di tipo privatistico, ha già
prodotto non poche tensioni. Al di là dell’emergenza di alcune evidenti tendenze egemoniche, un
problema oggettivo è costituito dall’esistenza di molteplici soggetti che operano su aree largamente
eccedenti la stessa dimensione europea.
19
Sia a livello nazionale che a livello europeo si prevede che il controllo su queste legislazioni debba
essere affidato ad organi indipendenti da quelli che svolgono funzioni di governo: una scelta che
risponde al fatto che appare essenziale garantire l’effettività di alcune tutele ipoteticamente anche
contro le linee perseguite in materia da apparati pubblici o da questi tollerate, ove il trattamento
venga posto in essere da soggetti privati. L’esperienza fatta dalle autorità garanti ha messo in
evidenza di recente una crescente tendenza sia dei più vari soggetti pubblici che di quelli privati a
fare un forte uso dei dati personali, anche utilizzando notevolmente le tante tecnologie ora
disponibili (si pensi alle carte elettroniche, alle videosorveglianze, ai nuovi metodi di
identificazione personale) per sommare ed incrociare le crescenti “basi dati” esistenti, spesso
implementate da molteplici nuovi strumenti di raccolta dei dati.
Il problema maggiore di questa legislazione nella realtà italiana deriva dalla attuale sua massiccia
disapplicazione in settori molto rilevanti (molti dei quali pubblici), malgrado le sanzioni previste e
la stessa opera del Garante; per di più, come in molti settori normativi nuovi nei quali moltissimi
sono i soggetti tenuti ad adeguarsi alle nuove prescrizioni, significative aree di disapplicazione
producono anche irragionevolezza complessiva e legittimano perfino improprie difese di coloro che
infine vengono sanzionati. All’origine di tutto ciò sono, senza dubbio, prima il grave ritardo con cui
si è intervenuti con una legislazione del genere e poi la improvvisa adozione di una legislazione
assai avanzata e che si riferisce praticamente ad ogni settore della vita sociale, senza che però
fossero predisposti analitici modelli di riforma o di azione.
Ma ciò non basta, perché quello che per ora in molti ambienti appare molto carente è la stessa
precisa consapevolezza dei valori in gioco, invece davvero rilevanti, mentre continua semmai ad
avere spazio una concezione ormai del tutto superata (e quindi assolutamente inapplicabile nella
società odierna, al di là delle tutele connesse alla libertà domiciliare) della privacy come “diritto ad
essere lasciati soli”. E invece ci troviamo dinanzi ad un nuovo modo di considerare e rispettare
alcuni importanti aspetti delle persone che vivono ed operano nelle nostre società: da qui la
necessità di costruire in modo coerente con questa legislazione gli stessi modelli organizzativi e
funzionali delle pubbliche amministrazioni e degli organismi sociali e privati che utilizzano i dati
personali.
Per dare una misura della molteplicità (ed anche eterogeneità) delle concrete applicazioni della
nuova legislazione, ricordo semplicemente che sulla sua base si è potuto procedere ad alcuni accessi
dei componenti del Garante perfino alle carte dei “Servizi segreti” (seppur ovviamente secondo
speciali modalità e con garanzie di segretezza ), si è permesso l’accesso dei lavoratori interessati
alle documentazioni relative alle loro valutazioni periodiche e degli assicurati alle documentazioni
20
mediche a loro relative, si sono sanzionati comportamenti fraudolenti di raccolta ed utilizzazione di
dati personali, si sono fatti modificare i sistemi di raccolta dei dati relativi ai clienti del sistema
bancario, assicurativo, delle telecomunicazioni, ecc., ecc.
La domanda relativa alla possibilità di un soggetto economico o sociale di accedere ai dati relativi
agli studenti di un corso di insegnamento, non può che avere una risposta negativa, poiché i dati
personali detenuti dall’istituzione scolastica possono essere utilizzati solo ai fini per i quali sono
stati conferiti; ovviamente nessuno impedisce la raccolta dei dati che siano stati resi pubblici
(diplomati, laureati, ecc.), ma al di là di questo altri devono essere gli strumenti per le promozioni
culturali o commerciali.
Per ciò che riguarda i dati personali dei minori, non essendovi una normativa specifica, si applicano
i principi generali vigenti nella disciplina del diritto civile e della famiglia.
Rispetto al livello qualitativo dell’organo preposto alla imparziale tutela del settore, la risposta non
può che essere astratta, lasciando ad altri i giudizi di merito.
Devo però notare che nella nostra legislazione i componenti del Garante vengono nominati dalle
due Camere, con metodo che garantisce la pari rappresentanza della maggioranza e della
minoranza, e quindi il loro livello dipende solo dalla scelta parlamentare, che ci si augura adeguata
alla delicatezza della funzione.
Per ciò che riguarda i dipendenti, la prima scelta è stata operata, secondo quanto previsto dalla
legge, dal Garante all’interno dei dipendenti di ruolo delle pubbliche amministrazioni e solo di
recente si è potuto provvedere mediante pubblici concorsi. Dato anche lo speciale e privilegiato
trattamento economico (come le altre autorità amministrative indipendenti), vi sono tutte le
premesse perché questo apparato possa funzionare bene.
21
Sergio PANUNZIO intende porre da ultimo l’accento su due importanti questioni che concernono
l’applicazione della legge italiana e la prospettiva comunitaria, inquadrata nell’attuale processo di
riforma e costituzionalizzazione dell’Unione Europea.
Sotto il primo profilo, la sottolineata possibilità di verifica della raccolta di dati personali da parte
dei servizi di sicurezza, pur nei limiti evidenziati, induce a porre l’interrogativo circa la legittimità
dei dati eventualmente già raccolti prima dell’entrata in vigore della legge 675/1996.
Per il secondo aspetto, come noto, il testo del Trattato costituzionale sull’Unione Europea prevede
l’inserimento della Carta dei Diritti, che appunto all’art. 8 stabilisce la protezione dei dati di
carattere personale. Integrando questa disposizione con il principio contenuto nell’articolo I-10 del
trattato costituzionale, secondo cui “La Costituzione e il diritto adottato dalle istituzioni
dell’Unione nell’esercizio delle competenze a questa attribuite hanno prevalenza sul diritto degli
Stati membri”, se ne può evincere che anche il diritto alla privacy previsto dall’art. 8 della Carta
potrà connotarsi quale diritto fondamentale per tutti i cittadini europei. Ora, è lecito domandarsi se
il fatto stesso che il diritto alla protezione dei dati personali assurga a dignità di diritto fondamentale
– e dunque di rango costituzionale – importi un cambiamento di prospettiva ed un rafforzamento del
significato della tutela già prevista dalla legge italiana.
Ugo DE SIERVO ricorda come le disposizioni del diritto comunitario, ed anche quelle della Carta
dei Diritti, vincolino direttamente le istituzioni europee e gli Stati, in un sistema piuttosto rigido.
Tuttavia, l’art. 8 della Carta dei Diritti si limita al riconoscimento del diritto alla protezione dei dati
personali, senza porre obblighi per permetterne l’effettiva attuazione, come invece faceva la
direttiva 1995/46, la quale richiedeva a tutti gli Stati di dotarsi di una legislazione in materia. Il
legislatore italiano è andato addirittura oltre le prescrizioni della direttiva che difatti escludevano
dall’ambito delle previsioni normative i servizi di sicurezza e informazione, invece coinvolti nella
problematica della raccolta e conservazione di dati personali, seppure con modalità e limiti
particolari quale quello del segreto di Stato. In proposito, il funzionamento del meccanismo di tutela
del cittadino nei confronti delle attività di intelligence è limitato alla richiesta al Garante della
verifica dell’esistenza di dati, comunque e in qualsiasi periodo raccolti, a proprio carico e della loro
legittimità; dopo di che il Garante procede alla verifica, sulla base di tutto il materiale che deve
essere posto a sua disposizione, ma, ovviamente, non può comunicare all’interessato l’esistenza o il
contenuto di eventuali fascicoli relativi a dati che lo riguardano ma solo di aver effettuato i controlli
richiesti. Il Garante si pone pertanto in questo caso come vero tutore del cittadino, rivestendo, come
22
in altre situazioni, una funzione per la quale risulta essenziale la posizione di effettiva indipendenza
riconosciutagli.
23
Documenti correlati
Roberto Lattanzi (1964), dottore di ricerca in diritto civile, dirige il
Roberto Lattanzi (1964), dottore di ricerca in diritto civile, dirige il
Trasparenza della PA Analisi e casi pratici dalle nuove Linee G
Trasparenza della PA Analisi e casi pratici dalle nuove Linee G
Costituzione Art. 2: La Repubblica riconosce e
Costituzione Art. 2: La Repubblica riconosce e
PROGRAMMA di 5°A VASARI 015 016
PROGRAMMA di 5°A VASARI 015 016
Materie di esame a.s. 2016/2017
Materie di esame a.s. 2016/2017
Marketing: ripartono i lavori per il codice deontologico Riprendono i
Marketing: ripartono i lavori per il codice deontologico Riprendono i
Marketing e privacy: imprese avvertite
Marketing e privacy: imprese avvertite
tutela della privacy e diritto di accesso
tutela della privacy e diritto di accesso
Epistolari, archivi storici e tutela dei dati Pubblicare o diffondere
Epistolari, archivi storici e tutela dei dati Pubblicare o diffondere
Garante Privacy - Ordine dei Giornalisti
Garante Privacy - Ordine dei Giornalisti
Scarica
annuncio pubblicitario