CAPITOLO TERZO
LE CONDIZIONI DI LICEITÀ DEL TRATTAMENTO DEI DATI
(PARTE I – TITOLO III)
Fabio Bravo – Juri Monducci∗
SOMMARIO: SEZIONE PRIMA. Regole generali applicabili a tutti i trattamenti di dati
personali - 1. Premessa; 2. Modalità del trattamento e requisiti dei dati. Funzione
selettiva degli interessi protetti e dei trattamenti ammessi. Funzione delimitativa
della risarcibilità del danno da trattamento; 3. Codici di deontologia e di buona
condotta; 4. Informativa; 5. Definizione di profili e della personalità
dell’interessato. Il possibile ruolo del Garante in ordine alla verifica della liceità e
della correttezza dei trattamenti che fanno uso di strumenti informatici di
intelligenza artificiale per l’emanazione di decisioni automatizzate; 6. Danni
cagionati per effetto del trattamento di dati personali; 7. Cessazione del
trattamento; 8. Trattamento che presenta rischi specifici. Ancora sul possibile
ruolo del Garante in tema di intelligenza artificiale (con particolare riferimento
agli agenti software utilizzati in ambito negoziale) e modalità del suo intervento.
SEZIONE SECONDA. Le condizioni di liceità del trattamento dei dati personali – 1.
Premessa; 2. Il trattamento dei dati personali da parte dei soggetti privati; 3. Il
trattamento dei dati sensibili e giudiziari da parte dei soggetti privati; 4. Il
trattamento da parte dei soggetti pubblici; 5. Il divieto di trattamento.
SEZIONE PRIMA
Regole generali applicabili a tutti i trattamenti di dati personali
1. Premessa
Il Codice in materia di protezione dei dati personali, dopo aver racchiuso nei
Titoli I e II della Parte I (dedicata alle “Disposizioni generali”) le norme concernenti i
“Principi generali” ed i “Diritti dell’interessato”, contempla, all’interno del Titolo III, le
“Regole generali per il trattamento dei dati”, suddivisi in ben tre Capi, rispettivamente
intitolati “Regole per tutti i trattamenti” (Capo I), “Regole ulteriori per i soggetti
pubblici” (Capo II), “Regole ulteriori per privati ed enti pubblici economici” (Capo III).
Le pagine che seguono si soffermeranno sull’analisi del predetto Capo I ed
avranno ad oggetto, pertanto, l’esame della disciplina giuridica generalmente
applicabile a tutti i trattamenti di dati personali. La stessa, dunque, troverà applicazione
Fabio Bravo è autore della Sezione Prima – Regole generali applicabili a tutti i trattamenti di dati
personali e Juri Monducci è autore della Sezione Seconda – Le condizioni di liceità del trattamento dei
dati personali.
∗
1
a prescindere dal soggetto che effettua il trattamento, sia esso pubblico o privato,
nonché a prescindere dalla natura o dalle caratteristiche dei dati fatti oggetto di
trattamento, i quali potranno essere “comuni”, “sensibili” o “giudiziari”1. Tuttavia è da
tener presente come resti salva, da un lato, l’applicazione delle disposizioni integrative o
modificative previste per i trattamenti disciplinati nella Parte II del Codice, giusto
quanto disposto ex art. art. 6, nonché, dall’altro lato, la limitazione contenuta ex art. 5,
comma 3, del Codice, in forza del quale, è bene ricordarlo, “Il trattamento dei dati
personali effettuato da persone fisiche per fini esclusivamente personali è soggetto
all’applicazione del presente codice solo se i dati sono destinati ad una comunicazione
sistematica o alla diffusione”, mentre, laddove non ricorrano, per tale tipologia di
trattamento, gli estremi della “comunicazione sistematica” o delle “diffusione”,
rimangono pur sempre applicabili, oltre alle disposizioni in tema di sicurezza dei dati
(art. 31 del Codice), le norme dettate in materia di responsabilità civile per danni
cagionati per effetto del trattamento (art. 15 del Codice) contenute nel Capo in esame2.
Le norme in commento si presentano particolarmente delicate perché le
medesime, prima ancora di poter essere interpretate come regole statuenti le condizioni
di liceità del trattamento di dati personali (cfr. Capo II della Direttiva 95/46/CEE),
assolvono l’importante funzione di determinare il punto di equilibrio tra gli interessi
giuridici contrapposti, di volta in volta sottesi alle disposizioni in parola (si pensi alla
nota giustapposizione tra “diritto di cronaca” e “diritto alla riservatezza”3, dalla quale
sono sorte le originarie argomentazioni in tema di Right to Privacy, ad opera di Warren
1
Cfr. la Relazione allo schema del Codice in materia di trattamento dei dati personali, p. 12.
Per l’analisi degli artt. 3, 6 e 31 del Codice in materia di protezione di dati personali, citati nel testo, si
rinvia ai rispettivi commenti rinvenibili all’interno del presente volume.
3
Per l’analisi di tali contrapposizioni cfr., ex multis, a FERRI G.B., Privacy, libertà di stampa e dintorni,
in CUFFARO V., RICCIUTO V., ZENO ZENCOVICH V. (a cura di), “Trattamento dei dati e tutela della
persona”, Milano, Giuffrè, 1998, pp. 47 ss.; PALMIERI A., Trattamento dei dati personali e giornalismo:
alla ricerca di un equilibrio stabile, in PARDOLESI R. (a cura di), “Diritto alla riservatezza e circolazione
dei dati personali”, Milano, Giuffrè, 2003, vol. II, pp. 337 ss.; FILIPPI C., Il trattamento dei dati personali
nell’ambito dell’attività giornalistica e di informazione, in LOIODICE A., SANTANIELLO G. (a cura di),
“La tutela della riservatezza”, Padova, Cedam, 2000, vol. XXVI, pp. 289 ss. Si veda, inoltre, PALMIERI
A., PARDOLESI R., Protezione dei dati personali e diritto di cronaca: verso un “nuovo ordine”?;
GRANIERI M., Sulla c.d. tutela paragiurisdizionale dei diritti di fronte alle autorità amministrative
indipendenti. Il caso del Garante dei dati personali; entrambi in Foro italiano, 2000, I, pp. 649 ss., in nota
a Trib. Milano, decr. 14 ottobre 1999. Cfr., altresì, ZENO-ZENCOVICH V., Banche di dati giornalistiche e
dubbi (infondati) di costituzionalità, in Diritto dell’informazione e dell’informatica, 2000, pp. 41 ss.;
ORESTANO A., Archiviazione, trattamento automatizzato e tutela dei dati personali, in Danno e
responsabilità, 2000, pp. 421 ss.; VARÌ P., Il Tribunale di Milano limita i poteri del Garante per la
protezione dei dati personali in materia di diffusione a fini giornalistici, in Giustizia civile, 2000, I, pp.
1517 ss.
2
2
e di Brandeis, nel 18904; si pensi, inoltre, alla contrapposizione tra “diritto al
trattamento dei dati personali” altrui - implicitamente garantito ex lege dalla
formulazione dell’art. 2 del Codice, con il necessario limite del rispetto dei diritti, delle
libertà fondamentali e della dignità dell’interessato – e “diritto alla protezione dei dati
personali”5, ovvero all’ulteriore contrapposizione tra “diritto al trattamento dei dati
personali” e “diritto alla libertà informatica”6), e di predisporre criteri sia di ripartizione
dei rischi derivanti dall’attività di trattamento che di equa redistribuzione, tra i diversi
4
WARREN S.D., BRANDEIS L.D., The Right to Privacy, in Harvard Law Review, 1890, 4, pp. 193-220.
Sul “diritto alla protezione dei dati personali” cfr., amplius, MIRABELLI G., Le posizioni soggettive
nell’elaborazione elettronica dei dati personali, in Diritto dell’informazione e dell’informatica, Milano,
1993, pp. 317, 323, 326, così come cit. in BUTTARELLI G., Banche dati e tutela della riservatezza,
Milano, Giuffrè, 1997, pp. 297 e 300, il quale enuncia il “diritto alla protezione dei dati personali” come
una posizione giuridica “nuova”, da affiancare a quelle già note e da intendere come una “nuova figura di
diritto della personalità”. Tale ricostruzione sembra ora definitivamente avallata dalla scelta legislativa di
dedicare autonoma previsione normativa alla dianzi menzionata posizione giuridica soggettiva attiva,
addirittura quale disposizione di apertura del Codice de quo. In sede di commento a tale disposizione la
Relazione allo schema del Codice in materia di protezione di dati personali, alla p. 6, ha
significativamente precisato che “L’art. 1 introduce nell’ordinamento il « diritto alla protezione dei dati
personali», diritto fondamentale della persona, autonomo rispetto al più generale diritto alla riservatezza
già richiamato dall’art. 1 della legge n. 675/1996, come chiarisce anche il successivo art. 2. Un diritto che
tiene conto delle molteplici prerogative legate al trattamento dei dati personali, anche oltre quelle attinenti
al riserbo e alla tutela della vita provata. In tal modo il legislatore italiano si adegua al quadro normativo
comunitario che, nella Carta dei diritti del cittadino europeo, garantisce già tale diritto fondamentale (art.
8) che si accinge ad assumere una connotazione ancora più solenne nel quadro dei lavori della
Convenzione europea”. Ed ancora si trova ivi precisato che “il codice garantisce che il trattamento dei
dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità
dell’interessato, e in particolare del diritto alla riservatezza e del «nuovo» diritto alla protezione dei dati
personali […]”. Va infine tenuto presente che l’art. 2 del Codice, rubricato “Finalità”, riproduce parte
dell’art. 1, comma 1, della L. 675/1996, ma, rispetto alla norma previgente, “si riferisce indistintamente
all’interessato e non a persone fisiche o giuridiche, collegandosi, così, anche a diritti fondamentali
eventualmente riconosciuti in altra sede dall’ordinamento anche a soggetti diversi da persone fisiche […]”
(cfr., ancora, la Relazione allo schema del Codice in materia di protezione dei dati personali, p. 6).
6
Il “diritto alla libertà informatica” è stato definito, per usare le parole di uno dei più illustri studiosi della
materia, come “il diritto di informarsi sul proprio conto e di poter disporre dei dati informatizzati, di cui è
in possesso il gestore di un elaboratore elettronico […]. Fa parte del « diritto all’informazione», in quanto
riferito all’informazione automatizzata […]. Esso è infatti una nuova forma assunta dal tradizionale diritto
alla libertà personale […]. Esso rappresenta una nuova dimensione del right to privacy: il quale non viene
più inteso in senso puramente negativo, di ripulsa delle intromissioni di estranei nella vita privata, di
rifiuto a consentire la diffusione di informazioni sul proprio conto, di rinuncia alla partecipazione nella
vita sociale (to be let alone). Esso viene inteso invece in senso positivo, di affermazione della propria
libertà e dignità della persona, di limitazione imposta dall’individuo sul potere informatico, di controllo
attivo del mezzo e del fine di quel potere” (FROSINI V., Informatica, diritto e società, Milano, Giuffrè,
1992, p. 295). Occorre tuttavia ricordare che altra autorevole dottrina ha preferito usare l’espressione de
qua con un’accezione speculare a quella poc’anzi riportata, precisandosi che “È sembrato necessario,
quindi, acquisire una nozione di libertà informatica in senso opposto a quello che era stato in precedenza
prospettato da taluno: non “libertà di non essere assoggettati al potere informatico altrui”, ma “libertà di
adoperare senza vincoli ingiustificati i mezzi informatici per le proprie personali esigenze” (…)”
(GIANNANTONIO E., Manuale di diritto dell’informatica – La libertà informatica. I beni informatici,
Padova, Cedam, 2001, vol. I, pp. 31-32). Si noti come l’opposta interpretazione del concetto di “libertà
informatica”, espressione di interessi giuridici confliggenti, attribuisca maggior valore alle norme di cui al
Capo I in argomento, le quali, a parere di chi scrive, hanno la fondamentale funzione di dirimere gli
aspetti di conflittualità, segnando il punto di equilibrio del conflitto, con individuazione di assegnazione
5
3
soggetti coinvolti, delle conseguenze degli illeciti configurabili, i quali, nella materia ad
esame, si pongono sul delicato piano della lesione al più ampio “diritto alla
personalità”7.
Le norme sulla responsabilità civile per danno da trattamento di dati personali, ivi
incluse quelle volte a riconoscere la risarcibilità anche del danno non patrimoniale che
sia conseguenza di ipotesi diverse rispetto a quelle costituenti, al contempo, illeciti di
natura penale, si pongono, dunque, in forza del loro collegamento sistematico con le
altre disposizioni del presente Capo I (e, come si dirà meglio infra, in forza del
collegamento sistematico con le singole altre disposizioni dell’intero corpus normativo
del Codice), come norme di protezione dell’interessato e di maggior garanzia, rispetto al
tradizionale assetto della responsabilità civile, dei diritti cc.dd. di “nuovissima”
generazione.
Dalla lettura congiunta delle disposizioni di cui al Capo ora in esame, infatti, si
coglie la selezione di specifici e nuovi interessi rilevanti per l’ordinamento giuridico,
con un’estensione di tutela rispetto a quanto generalmente previsto, nell’attuale sistema
giuridico, per diritti di analoga natura.
2. Modalità del trattamento e requisiti dei dati. Funzione selettiva degli interessi
protetti e dei trattamenti ammessi. Funzione delimitativa della risarcibilità del danno
da trattamento.
La disposizione di apertura del Capo dedicato alle regole applicabili a tutti i
trattamenti di dati personali, contenuta all’interno dell’art. 11 del Codice, rubricato
“Modalità del trattamento e requisiti dei dati”, riporta con talune modifiche il disposto
di cui all’art. 9 della L. 31 dicembre 1996, n. 675, originariamente rubricato “Modalità
di raccolta e requisiti dei dati personali”.
La prima modifica riguarda, dunque, l’intitolazione della norma in commento, la
quale correttamente si riferisce ora all’intero “trattamento” e non solo alla iniziale fase
della “raccolta” dei dati.
7
In materia di “diritto alla personalità” cfr., amplius, DOGLIOTTI M., Le persone fisiche, in AA.VV.,
“Trattato di diritto privato – Persone e famiglia”, diretto da P. Rescigno, Torino, Utet, 1982, vol. 2, tomo
I, pp. 53 ss., ove l’A. efficacemente si sofferma sulla contrapposizione tra la recente tesi “monista” del
“diritto alla personalità” e quella “pluralista”, più tradizionale, dei “diritti della personalità”.
4
Con riguardo alle modalità del trattamento, il Codice ribadisce i principi generali
di “liceità” e di “correttezza”, già previsti nella L. 675/96, senza tuttavia cogliere
l’occasione per esplicitare una formula che ha aperto numerose questioni interpretative.
Com’è noto, infatti, ci si è chiesto quale sia la reale portata giuridica del primo dei
due principi poc’anzi richiamati, atteso che la dizione letterale della norma è sembrata
alquanto pleonastica. Affermare, con una disposizione ad hoc, che il trattamento debba
essere lecito, ove il concetto di liceità venga riferito alla necessaria osservanza delle
disposizioni tutte richiamate nel provvedimento normativo in questione (il Codice in
materia di protezione di dati personali, così come, precedentemente, la L. 675/96), non
significherebbe altro che ribadire il principio di osservanza ai precetti ivi contenuti,
nulla aggiungendo sul piano dispositivo8. Diversamente ragionando sembrerebbe quasi
che, in difetto dell’affermazione espressa del principio di liceità, il trattamento possa
essere effettuato anche nell’inosservanza della normativa speciale ora in commento, il
che, ovviamente, è da ritenere inammissibile9. Si è concluso, pertanto, che il principio di
liceità debba essere inteso in altro modo10. A tal proposito sono state sviluppate
pregevoli riflessioni, che muovono dall’indagine sul significato del concetto di liceità
sia sul piano contrattuale (e, più in generale, sul piano dei negozi giuridici con
contenuto patrimoniale), sia sul piano della responsabilità civile. Nel primo caso, com’è
noto, l’illecito è ravvisabile nelle ipotesi di contrarietà a norme imperative, all’ordine
pubblico ed al buon costume, mentre nel secondo caso è da registrare nell’ipotesi di
violazione di un vincolo obbligatorio con produzione di una lesione di un interesse
giuridico altrui, protetto dall’ordinamento11. Operando una sintesi tra le accezioni di
illiceità emergenti nei diversi contesti sopra richiamati, è stato ulteriormente rilevato
che, a ben vedere, in ogni caso è sempre dato ravvisare la contemporanea presenza di
due elementi e, segnatamente, la violazione di un vincolo posto dall’ordinamento
8
IAMICELI P., op. cit., pp. 408 ss.
Sul punto basti richiamare quanto recentemente osservato in dottrina, ove si detto che, proprio in
riferimento al principio di liceità contenuto nell’art. 9, comma 1, lett. a, della L. 675/96, “[…] pleonastica
sarebbe una norma che si limitasse a richiedere il rispetto dell’insieme delle disposizioni già contenute
nella legge o nell’intero ordinamento giuridico, come se la violazione di quelle risultasse in altro modo
autorizzata in assenza di un espresso richiamo alla liceità”. Cfr. IAMICELI P., Liceità, correttezza, finalità
nel trattamento dei dati personali, in PARDOLESI R. (a cura di), op. cit., vol. I, p. 408.
10
IAMICELI P., op. cit., pp. 408 ss.
11
IAMICELI P., op. cit., pp. 408-409.
9
5
giuridico e la lesione di un interesse protetto, i quali vengono ad atteggiarsi in misura
diversa nei singoli ambiti presi in considerazione dal diritto12.
Il concetto di liceità, dunque, non va apprezzato come mera conformità al precetto
giuridico, poiché altrimenti si sovrapporrebbe al diverso concetto di “legalità”, ma va
rilevato nel suo duplice aspetto di conformità al vincolo giuridico e di rispetto
dell’interesse protetto dall’ordinamento13.
Se ne deve dedurre, dunque, che il principio di liceità assolve ad una funzione
selettiva degli interessi tutelati14, i quali, in materia di protezione dei dati personali,
trascendono spesso la posizione dell’interessato, per collocarsi su un piano
12
IAMICELI P., op. cit., pp. 409 ss. Precisa l’A. che “Poiché il vincolo è espresso da una norma (la norma
imperativa, di ordine pubblico o buon costume, così come quella che impone di rispettare il contratto o di
non ledere la sfera altrui in modo tale da provocare un danno ingiusto) e la norma protegge un interesse
meritevole di tutela per l’ordinamento, le due dimensioni tendono a sovrapporsi, ma di regola gli accenti
posti sull’una o sull’altra divergono a seconda dei casi. In particolare, con riguardo alla disciplina del
contratto, la prima finisce per prevalere sulla seconda, per quanto è alla stregua della natiraa dell’interesse
leso che la dottrina e la giurisprudenza tracciano il confine tra illiceità e semplice illegalità (quale mera
non conformità all’ordinamento giuridico). Nell’area della responsabilità, si distingue tra illecito
contrattuale ed extracontrattuale: mentre nel primo caso il fondamento della responsabilità è nella
violazione del vincolo obbligatorio, nel secondo tale fondamento è nella lesione dell’interesse protetto,
laddove non tutti che anche in questa ipotesi preesista un vincolo, sebbene di diversa natura. A ben
guardare ciò che distingue i diversi ambiti in cui la nozione di liceità emerge non è la diversa accezione
del concetto giuridico, bensì l’apparato di rimedi connessi con l’illecito e l’ordine di criteri impiegati per
selezionare, per un verso, il vincolo […] e, per l’altro, l’interesse protetto […]”.
13
Cfr. quanto argomentato in ROPPO V., Il contratto, Milano, Giuffrè, 2001, p. 748, ripreso da IAMICELI
P., op. cit., p. 414, la quale cita altresì BARBA A., Le modalità del trattamento, in CUFFARO V., RICCIUTO
V. (a cura di), “La disciplina del trattamento di dati personali”, Torino, Giappichelli, 1997, pp. 161 ss.,
ove, con riguardo al rapporto tra giudizio di liceità ed interesse tutelato dall’ordinamento è stato
significativamente osservato che “L’illiceità del trattamento è determinata dal contrasto della sua finalità
con le altre norme che realizzano nel sistema quel valore-persona voluto dal legislatore come prevalente:
si tratterà evidentemente ma non esclusivamente di norme imperative […]”. Occorre tuttavia ricordare
che il concetto di liceità, proprio in materia di trattamento di dati personali, è stato da altri inteso in
maniera difforme rispetto a quanto poc’anzi illustrato, giacché in sede di commento all’art. 9, lett. a, della
L. 675/96, si è testualmente affermato che “La liceità del trattamento consiste nella sua conformità sia alle
norme della legge sulla protezione dei dati personali, sia alle altre norme eventualmente rilevanti (…)”,
senza alcuna menzione in ordine alla valutazione dell’interesse protetto, che rimarrebbe comunque insito
nella previsione normativa. Sul punto cfr. LOSANO M.G., Commento all’art. 9, in GIANNANTONIO E.,
LOSANO M.G., ZENO ZENCOVICH V. (a cura di), “La tutela dei dati personali. Commentario alla L.
675/1996”, Padova, Cedam, 1998, p. 91. Si veda anche quanto sinteticamente annotato da BUTTARELLI
G., op. cit., pp. 255-256, per il quale “L’art. 9, lettera a), si apre con un principio di “liceità” delle
modalità di trattamento espresso con una clausola che sintetizza tutti i presupposti, sanciti con legge o con
regolamento, applicabili in via generale o speciale alle varie operazioni (…)”. Come si avrà modo di
precisare nel prosieguo, tuttavia, tale interpretazione genera effetti particolari e non del tutto condivisibili
in materia di responsabilità per danni da trattamento di dati personali, dato che lascerebbe intendere che il
danno non patrimoniale risulterebbe risarcibile anche in forza della violazione di norme formali a
prescindere dalla valutazione circa l’effettiva esistenza della lesione in ordine all’interesse protetto, la
quale, com’è noto, deve intendersi come uno degli elementi strutturali dell’illecito aquiliano.
14
Per una puntuale ricognizione degli interessi tutelati, sull’individuazione dei valori sottesi alle scelte
legislative e sulla valutazione del loro contemperamento si rinvia alla lettura giusrealista dalle norma
dettate in materia di protezione dei dati personali proposta da ALPA G., La normativa sui dati personali.
Modelli di lettura e problemi esegetici, in CUFFARO V., RICCIUTO V., ZENO ZENCOVICH V. (a cura di), op.
cit., pp. 30 ss.
6
“superindividuale” che giustificherebbe l’idea di parametrare il giudizio stesso di liceità
con le disposizioni che si rinvengono non solo nei provvedimenti legislativi e
regolamentari dettati in materia, ma anche nei “provvedimenti del Garante […] [e nelle]
norme di produzione privata generate da processi di autoregolamentazione, almeno
nella misura in cui, come di solito accade, queste tendano a disciplinare l’attività dei
“regolatori” (anche) nella prospettiva della tutela dei terzi”15.
Le valutazioni in ordine al rispetto dell’interesse protetto, tuttavia, impongono che
il giudizio di liceità non si arresti alle singole disposizioni contenute nel corpus del
Codice in commento che di volta in volta assumono rilievo in ordine alla singola
fattispecie concreta, ma venga condotto anche alla stregua dei principi generali
richiamati nell’art. 2, il quale, nel fissare le “Finalità” dell’intero provvedimento
legislativo, espressamente statuisce che “Il presente testo unico, di seguito denominato «
codice», garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e
delle libertà fondamentali, nonché della dignità dell’interessato, con particolare
riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati
personali”. Particolare rilievo hanno anche altre disposizioni normative comunque
rilevanti, contenute in altra sede, quali, in primo luogo, quelle racchiuse nella Carta
costituzionale, nonché in ulteriori provvedimenti da cui è possibile evincere interessi
tutelabili in materia di protezione di dati personali16.
Si noti come, in riferimento al contesto specifico ad oggetto della presente
indagine, la funzione di selezione degli interessi tutelati, che anima il principio di
liceità, diviene, se rapportata al trattamento di dati personali, funzione di selezione dei
trattamenti ammessi dall’ordinamento giuridico, e ciò “in ragione del fatto che, per le
modalità con cui sono realizzati, essi ledano o meno alcuni particolari interessi
meritevoli di tutela”17.
Per altro verso, la valutazione degli interessi protetti implica una loro
ponderazione laddove gli stessi, come è frequente che accada, si presentino
contrapposti. La “funzione selettiva”, dunque, diviene per gran parte “funzione di
15
IAMICELI P., op. cit., pp. 412-413. Di opposto avviso è LOSANO M.G., op. cit., p. 91, il quale considera
estraneo al principio di liceità il rispetto dei codici deontologici, il quale, viceversa, andrebbe inquadrato
nel principio di correttezza a cui fa ugualmente riferimento la dizione dell’art. 9, lett. a, della L. 675/96,
ora trasposta all’interno dell’art. 11 del Codice in materia di protezione dei dati personali.
16
Si pensi allo Statuto dei lavoratori, alle norme sul segreto d’ufficio e sulla fedeltà aziendale, ricordate
da LOSANO M.G., op. cit., p. 91, nonché alle disposizioni sul segreto di Stato, sulla trasparenza e sul buon
funzionamento della P.A., richiamate da IAMICELI P., op. cit., pp. 415-416.
17
IAMICELI P., op. cit., p. 415.
7
bilanciamento degli interessi” di cui sono portatori i soggetti coinvolti in riferimento al
trattamento dei dati personali, nell’ambito di una prospettiva relazionale che emerge con
forza soprattutto con riguardo al regime della responsabilità civile18.
Occorre tener presente, infatti, che l’art. 15, comma 2, del Codice prevede che “Il
danno non patrimoniale è risarcibile anche nelle ipotesi di violazione dell’articolo 11”,
di modo che quest’ultimo, in forza del disposto di cui all’art. 2059 c.c., sembrerebbe
deputato all’individuazione dell’area di risarcibilità del danno non patrimoniale
cagionato per effetto del trattamento, per le ipotesi diverse da quelle costituenti reato.
L’art. 11 del Codice, infatti, nel suo collegamento sistematico con l’art. 15,
comma 2, del Codice e dell’art. 2059 c.c., incide direttamente sulla disciplina della
responsabilità da illecito extracontrattuale, determinando i confini della sfera del
risarcimento del danno.
Poiché il “principio di liceità” sopra analizzato, previsto espressamente sub lett. a
dell’art. 11 in commento, determina un rinvio ad ulteriori disposizioni normative che,
come si è avuto modo di evidenziare, rilevano ai fini dell’individuazione dell’interesse
tutelato dall’ordinamento giuridico e che possono trovare collocazione anche al di fuori
del Codice in materia di trattamento di dati personali, si può dedurre che il medesimo
principio di liceità è in grado di determinare, nel settore ad esame, l’estensione della
tutela aquiliana anche a quei diritti che, non essendo suscettibili di valutazione
patrimoniale, non erano assistiti da alcun rimedio risarcitorio.
Stante il tradizionale orientamento della giurisprudenza in ordine alla discussa
interpretazione restrittiva dell’art. 2059 c.c., la funzione assolta dall’art. 11 del Codice
acquista un significato pregnante sotto il profilo sistematico19, non solo per i risvolti
apprezzabili nell’ottica “giusformalista”, ma anche e soprattutto per le conseguenze che
emergono analizzando le disposizioni in questione dal punto di vista “giusrealista”,
giacché il concreto operare delle norme sulla responsabilità civile ad oggetto del
18
Sul rapporto tra liceità e bilanciamento di interessi cfr., amplius, NAVARRETTA E., Commento all’art. 9,
in BIANCA C.M., BUSNELLI F.D. (a cura di), “Tutela della privacy. Commentario alla legge n. 675/96”,
Padova, Cedam, 1999, pp. 323 ss. Va tenuto presente, comunque, che gli interessi protetti dalla normativa
speciale in tema di protezione dei dati personali non riguardano solamente il rapporto tra titolare del
trattamento e soggetto interessato, ma possono coinvolgere anche gli interessi i soggetti terzi o, sul piano
superindividuale, l’intera collettività. Cfr., amplius, IAMICELI P., op. cit., p. 416.
19
Riferendo all’art. 11 in esame quanto è stato efficacemente rilevato con riguardo all’art. 9 della L.
675/96, la disposizione di cui ora si discute “opera un’importante funzione di raccordo sistematico
rispetto a fonti diversamente collocate nell’ordinamento giuridico, del quale rileverebbero in particolare
quelle norme che, per il loro carattere inderogabile o di principi fondamentali, non possono non costituire
il limite dell’autonomia del soggetto”. Cfr. IAMICELI P., op. cit., p. 412.
8
presente discorso (rendendo applicabili al diritto alla personalità ed ai diritti
fondamentali di nuovissima generazione lo strumento risarcitorio) fa emergere
indiscutibilmente una diversa connotazione di valore agli interessi che l’ordinamento ha
inteso proteggere, attribuendo loro un maggior peso giuridico e facendo sì che le
statuizioni di principio possano essere apprezzate anche sul piano della effettività20. Da
quanto finora osservato se ne può dedurre, pertanto, che la tutela dei diritti fondamentali
e, più in generale, la protezione giuridica accordata all’interessato, risultano in tal modo
accresciute, giacché l’individuazione degli interessi tutelati e la delimitazione dell’area
di risarcibilità dell’illecito opera secondo logiche volte ad estendere l’ambito di tutela
rispetto a quanto avviene, seguendo un’impostazione tradizionale, per situazioni
giuridiche di analoga natura. V’è da precisare, tuttavia, che la Suprema Corte di
Cassazione, benché avesse dapprima riconosciuto una tutela risarcitoria ex art. 2043 c.c.
al danno biologico che, per sua natura, è danno non patrimoniale (anche se
ontologicamente diverso dal danno morale subiettivo), negando comunque la
risarcibilità ex art. 2059 c.c. ai pregiudizi non patrimoniali che non siano conseguenza di
reato o che non siano stati espressamente contemplati in apposite disposizioni
normative, sembra aver ora aderito ad un’interpretazione estensiva del medesimo art.
2059 c.c., non solo anticipando una diversa ricostruzione della trama giuridica in ordine
alla risarcibilità del danno biologico, che farà leva direttamente sull’articolo da ultimo
citato, ma anche ritenendo ammissibile l’operatività della norma in connessione con
disposizioni che, come avviene per quelle costituzionali, individuano valori ed interessi
meritevoli di essere protetti e risarciti a prescindere dalle conseguenze patrimoniali della
loro lesione21.
Il principio di liceità, nel dettato normativo di cui all’art. 11, comma 1, lett. a, del
Codice, è espresso unitamente al principio di correttezza del trattamento (“I dati
personali oggetto di trattamento sono: a) trattati in modo lecito e secondo correttezza”).
Tale principio connota, al pari del primo, le modalità dell’intero trattamento e si
sostanzia in una valutazione dei comportamenti assunti dal soggetto tenuto ad osservare
l’obbligo di correttezza. La dottrina che ha esplicitato l’accezione giuridica del principio
di “correttezza”, prevalentemente in materia contrattuale, ha osservato che il termine è
legato da una relazione di sinonimia con i concetti di lealtà e di buona fede oggettiva,
20
21
Il richiamo è da intendersi effettuato, ancora una volta, alle riflessioni di ALPA G., op. ult. cit., pp. 3 ss.
Sul punto cfr., amplius, anche in ordine al mutato orientamento giurisprudenziale, infra, par. 6.
9
riscontrabile anche con riguardo a tutte le obbligazioni, ivi comprese quelle di fonte non
contrattuale,
giusto quanto disposto dall’art. 1175 c.c., assolvendo l’importante
“funzione di colmare le inevitabili lacune legislative: la legge, pur analitica che sia, non
può prevedere tutte le possibili situazioni; non può sempre prevenire, con apposite
norme, gli abusi che le parti possono commettere l’una a danno dell’altra. La legge
prevede solo le situazioni più frequenti, sventa gli abusi più ricorrenti: molti
comportamenti riprovevoli sfuggirebbero alle pur fitte maglie della legge, se si dovesse
considerare permesso ogni comportamento che nessuna norma vieta […], o solo
facoltativo ogni comportamento che nessuna norma di legge rende obbligatorio […]. Il
principio generale della correttezza e della buona fede consente di identificare altri
divieti e altri obblighi oltre a quelli previsti dalla legge; realizza, come si dice, la
“chiusura” del sistema legislativo, ossia offre criteri per colmare le lacune che questo
può rivelare nella varietà e molteplicità delle situazioni della vita economica e
sociale”22.
In tal senso è dato apprezzare l’accostamento del principio di liceità con il
principio di correttezza e si palesa la ragione per la quale i due criteri, legislativamente
individuati nel medesimo articolo, si susseguano l’un l’altro addirittura nella medesima
lett. a.
Poiché il principio di correttezza è espresso in una clausola generale, si pone il
problema dell’individuazione del suo contenuto.
È stato ricordato che la buona fede in senso oggettivo, e dunque la correttezza, pur
essendo clausola generale alla quale non può essere assegnato un contenuto
corrispondente all’obbligo di un comportamento prestabilito, può essere comunque
“sufficientemente determinata con riferimento a dati effettivi dell’esperienza della vita
di relazione”23. Altra dottrina, evidenziando come le regole non scritte della correttezza
e della lealtà si sostanzino in regole di costume (poiché corrisponderebbero a ciò che il
soggetto di media correttezza e di media lealtà si sentirebbe di dover fare o non fare nel
settore economico o sociale a cui di volta in volta ci si deve riferire nella valutazione del
22
GALGANO F., Il negozio giuridico, Milano, Giuffrè, 2002, p. 500.
BIANCA C.M., Diritto civile, 3 – Il contratto, Milano, 1987, pp. 476-477. Riferendo il discorso alla
materia contrattuale, l’A. accosta il concetto di correttezza a quello di solidarietà, affermando che proprio
“sulla base dell’esperienza, confermata anche da scarsa ma indicativa giurisprudenza, può dirsi che la
buona fede in senso oggettivo o correttezza si riporta all’idea di fondo della solidarietà”, che si
sostanzierebbe nell’obbligo di “lealtà del comportamento” e di “salvaguardia” dell’interesse altrui, nei
limiti dell’apprezzabile sacrificio dell’interesse proprio.
23
10
caso concreto), giunge alla conclusione che la determinazione deve essere affidata al
giudice, il quale dovrà assumere a base delle sue valutazioni, la regola di costume così
come poc’anzi intesa 24. Pertanto, l’applicazione della clausola generale di correttezza si
sostanzierebbe nell’ “applicazione di regolae iuris create dal giudice, a ciò abilitato
dalla legge”25. Sulla determinazione giudiziale dei contenuti della clausola, tuttavia, non
v’è unanimità di vedute, giacché altrettanto autorevolmente si è obiettato che la
correttezza o buona fede oggettiva “è talvolta richiamata dalla dottrina in termini di
«giudizio» o di «tecnica», lasciando pensare ad un criterio giudiziale di valutazione e di
controllo. In realtà occorre tener presente che la norma della buona fede ha come
destinatari le parti del rapporto, rispetto alle quali si pone come precetto di condotta. Il
giudizio esterno è conforme a buona fede nel senso che riconosce l’infondatezza di una
pretesa contraria a [correttezza e a] buona fede o la fondatezza di una pretesa che trova
in essa il suo fondamento”26. Analizzando i percorsi tracciati dalla giurisprudenza,
tuttavia, si è potuto constatare la tendenza a fare riferimento a disposizioni di diritto
positivo per attribuire significato interpretativo ed applicativo alla clausola in parola27.
Muovendo dalle riflessioni di Franz Wieacker, storico insigne del diritto
contemporaneo, v’è chi ha avuto modo di precisare, al riguardo, come suddetta tendenza
giurisprudenziale sia “del tutto illusoria. In altri termini, una interpretazione positivista
della clausola è fallace. Ciò perché la tecnica positivista della «sussunzione», che si
risolve nel sillogismo secondo il quale, individuata la regola applicabile al caso,
individuato gli estremi della fattispecie, si sussume la fattispecie nella regola, non può
funzionare nell’ipotesi in cui la regola da applicare non sia prescrittiva di
comportamenti di cui si enunciano gli estremi: ciò perché la regola che contiene la
clausola di buona fede non precisa alcun estremo: è per sua natura una regola a
contenuto indeterminato. La regola contenente la clausola generale è una norma in
bianco e perciò stesso fa riferimento a fatti metagiuridici, cioè a obiettivi sociali o a
interessi individuali. Tuttavia, non si può dare ingresso ad un diritto naturale esterno
all’ordinamento. Piuttosto, l’applicazione delle clausole generali si avvicina alla
24
GALGANO F., op. cit., pp. 500-501.
GALGANO F., op. cit., p. 501. L’A. evidenzia, inoltre, come non vi sia affatto contraddizione tra
creazione giudiziaria del diritto, come affermata per la determinazione dei contenuti delle clausole
generali, e certezza giudica. Cfr., ibidem, pp. 503 ss. Sulla giurisprudenza come fonte del diritto si veda,
più in generale, ALPA G., Trattato di diritto civile, I – Storia, fonti, interpretazione, Milano, 2000, p. 298.
26
BIANCA C.M., op. cit., p. 476, nota n. 18. Il testo tra parentesi quadre è di chi scrive.
27
ALPA G., Trattato di diritto civile, I – Storia, fonti, interpretazione, cit., p. 952.
25
11
costruzione del diritto nel suo farsi, attraverso la creazione della regola al caso. La
clausola generale è dunque una massima di applicazione giusta che invita l’interprete a
seguire una linea di tendenza”28.
Nell’interrogarsi sui criteri di applicazione della clausola generale è noto il
dibattito, emergente anche dalle pagine degli Autori poc’anzi riportati, sul rapporto tra
atteggiamento giurisprudenziale nell’applicare la clausola generale, da un lato, e regole
di costume o modelli di condotta consolidati sulla base dell’esperienza o del comune
sentire a livello sociale, dall’altro lato. Ci si è chiesti, in altre parole, se il giudice,
nell’applicare il principio di correttezza, debba riferirsi a modelli corrispondenti alle
vedute correnti, conservando, assecondando e tutelando le aspettative che su di esse si
fondano, o se possa procedere ad innovare tali vedute29.
Comunque venga inteso il principio di correttezza, l’operazione ermeneutica ad
esso relativa deve consistere, similmente a quanto si è già visto per il principio di liceità,
sia nella determinazione del “vincolo” (cioè dei connotati dell’obbligo di correttezza),
sia nell’individuazione dei valori che il principio di cui si discute mira a proteggere30.
Tuttavia, mentre per il “principio di liceità” la determinazione del vincolo è chiaramente
individuabile nel precetto normativo, con riguardo al “principio di correttezza” il
vincolo, non essendo imposto dalla legge, va ricavato aliunde, attribuendo un
significato concreto alla clausola generale, attraverso la tipizzazione dei comportamenti
effettuata sulla base dell’esperienza, delle regole del costume, del sentire sociale, delle
pronunce giurisprudenziali, dei codici di condotta, ecc… Deve tenersi conto, comunque,
28
ALPA G., Trattato di diritto civile, I – Storia, fonti, interpretazione, cit., p. 952, al quale amplius si
rinvia anche in ordine al dibattito su come dare fruibilità e concretezza al discorso proposto, che in questa
sede si omette di riportare per esigenze di economia della presente trattazione.
29
ALPA G., Trattato di diritto civile, I – Storia, fonti, interpretazione, cit., pp. 953-954, il quale riferisce
che “Il contrasto dottrinale al riguardo non è sopito: nell’Ottocento e ancor oggi molti ritengono (facendo
professione di giuspositivismo) che il giudice non possa che rimettersi alle vedute accolte dalla
maggioranza e che debba fare cioè un restatement, una fotografia dei comportamenti osservati; ma questa
soluzione non è accolta da quanti (a cui mi unisco anch’io) ritengono per contro che il diritto abbia una
funzione direttiva del mutamento sociale e che questa funzione possa essere assolta dalla giurisprudenza
(e quindi dal giudice) e dalla dottrina (e quindi dagli interpreti) e non solo dal legislatore”. Contra, cfr.
GALGANO F., op. cit., pp. 500-501, per il quale, benché spetti al giudice, in concreto, la determinazione
dei contenuti della clausola generale de qua, questi si deve pur sempre attenere al livello medio di
correttezza e di lealtà emergente dalle regole del costume, da apprezzare nel particolare settore economico
e sociale in cui la fattispecie da prendere in considerazione si colloca, senza che ci si possa avvalere di un
proprio concetto di correttezza o di lealtà.
30
Cfr., anche a tal riguardo, le indicazioni offerte da ALPA G., Trattato di diritto civile, I – Storia, fonti,
interpretazione, cit., p. 954, per il quale l’applicazione della clausola generale di buona fede (o di
correttezza), così come di ogni altra clausola generale, impone che si adempia “a due operazioni […]: (i)
la precisazione dei dati, riferita al comportamento generalmente praticato; (ii) la fondazione della
decisione, co riguardo all’identificazione dei valori”.
12
che il principio di correttezza, come sopra evidenziato, è clausola di chiusura del
sistema e, pertanto, svolge una funzione di integrazione non della norma contrattuale,
bensì dei precetti legislativi dettati in materia di protezione dei dati personali,
nell’ambito dei quali il principio in parola trova la sua collocazione sistematica. A ben
guardare, quindi, il vincolo sotteso al principio in esame finisce per essere fortemente
attratto dal principio di liceità e ciò sia per la richiamata funzione integrativa dal primo
assolta (la quale finisce con l’attribuire alle norme prodotte in ossequio del principio di
correttezza la medesima dignità riconosciuta al complesso delle disposizioni normative
fatte oggetto di integrazione), sia per le connessioni di ordine sistematico (dal momento
che la violazione del principio di correttezza legislativamente fissato equivale alla
violazione del precetto di legge che ne dispone l’osservanza e, dunque, al concretizzarsi
del primo dei due presupposti individuati a base del giudizio di illiceità). Che il mancato
rispetto del principio di correttezza possa essere apprezzato esso stesso sul piano della
illiceità del comportamento non pare possa essere considerata ipotesi peregrina, dal
momento che ulteriori considerazioni di ordine sistematico sembrano corroborare
l’assunto. Il canone di correttezza, infatti, è espressamente previsto all’interno dell’art.
11 come criterio la cui violazione può fondare, sussistendo anche gli altri presupposti, la
richiesta di risarcimento del danno non patrimoniale, in forza dell’espresso richiamo
contenuto nell’art. 15, comma 2. Pertanto un trattamento effettuato con modalità
difformi dal principio di correttezza potrebbe essere valutato sul piano della illiceità, se
non altro con riguardo al particolare regime della responsabilità civile per danni da
trattamento di dati personali. Si impongono, dunque, ulteriori considerazioni con
riguardo all’interesse che di volta in volta il principio di correttezza mirerebbe a
tutelare. Autorevole dottrina, sempre con riferimento alla materia contrattuale, ha
affermato che “La correttezza […] è una norma di condotta che impone alla parte la
considerazione della utilità dell’altra parte, cioè la considerazione di quell’interesse che
non è oggetto di una specifica tutela giuridica, e che tuttavia il contraente deve
salvaguardare in forza della solidarietà contrattuale”31. Tuttavia, le anzidette
connessioni sistematiche circa la rilevanza del principio di correttezza in riferimento
alla risarcibilità del danno non patrimoniale inducono a ricondurre l’interesse protetto
nell’area della specifica tutela giuridica approntata dal legislatore con la configurazione
dell’illecito aquiliano ora sancito ex art. 15 del Codice.
31
BIANCA C.M., op. cit., p. 478.
13
Il principio di correttezza in materia di trattamento di dati personali, dunque,
sembra atteggiarsi in maniera del tutto peculiare rispetto a come il medesimo si mostra
in materia contrattuale. In quanto complementare al principio di liceità, operando una
integrazione legislativa ed essendo norma di chiusura dell’ordinamento, esso vale anche
a tutelare gli stessi interessi protetti dall’intero impianto normativo in cui il medesimo si
colloca. Vale, cioè, a proteggere, direttamente o indirettamente, i diritti fondamentali a
cui fa riferimento l’art. 2 del Codice.
La dimensione relazionale alla quale il concetto di correttezza dovrebbe essere
ricondotto non contraddice a tale ricostruzione, dal momento che non ci si muove sul
piano contrattuale e, pertanto, le dinamiche relazionali non vanno viste come
circoscritte necessariamente ai soggetti attivo e passivo del rapporto, individuabili, con
una certa forzatura, nel titolare del trattamento e nell’interessato. Le stesse vanno
interpretate, invece, nella maniera più ampia possibile, in riferimento sia al trattamento
stesso dei dati personali che di volta in volta viene in considerazione nella fattispecie
concreta, sia agli interessi, spesso anche superindividuali, che vengono coinvolti,
minacciati o lesi dal trattamento medesimo. Dunque, tenendo conto della specificità
della materia ad esame, che non si presta ad essere inquadrata nel più rigido schema dei
rapporti contrattuali, i soggetti coinvolti nella dimensione relazionale saranno tutti quei
soggetti, anche diversi dal titolare e dall’interessato, per i quali il trattamento acquista
un significato in termini di coinvolgimento di situazioni giuridiche tutelate
dall’ordinamento.
La natura di clausola generale del principio di correttezza impone che esso venga
comunque tipizzato.
S’è già detto che la tipizzazione spetterebbe in primo luogo al giudice, dal
momento che l’applicazione della clausola in questione sarebbe, “propriamente,
applicazione di regulae iuris create dal giudice”32. Si noti, tuttavia, la difficoltà, anche
sul piano cronologico, di informare comportamenti conformi al principio di correttezza
prima che lo stesso venga esplicitato dalla giurisprudenza. Ed invero, v’è da riflettere
sul fatto che per molto tempo, in materia contrattuale, la clausola sia rimasta inoperante
nelle pronunce giurisprudenziali, quasi che la giurisprudenza dovesse ancora recepire un
sentire sociale ed una regola di costume che, inizialmente, non si erano ancora formati
32
GALGANO F., op. cit., p. 501.
14
nel tessuto sociale33. Ora che la tipizzazione della clausola è stata elaborata con una
certa articolazione34, non si può fare a meno di notare come la stessa si adatti poco alla
materia in esame. La determinazione del contenuto del principio di correttezza, in altre
parole, deve essere ulteriormente specificato in riferimento al contesto specifico in cui
la clausola in questione opera. Stante l’affermazione relativamente recente del principio
di correttezza (contemplato nel nostro ordinamento giuridico, con riferimento alle
modalità di trattamento dei dati personali, solamente con la L. 31 dicembre 1996, n.
675), prima ancora che si formino le regolae iuris elaborate dalla giurisprudenza e che
quest’ultima recepisca o elabori (pure in senso innovativo) le istanze sociali, la
tipizzazione va creata in altro modo.
In tal senso rivestono un ruolo fondamentale (i) la formazione negoziale del diritto
(codici deontologici e di buona condotta)35, (ii) le riflessioni dottrinali, (iii) le
esternazioni ed i provvedimenti del Garante; (iv) le interpretazioni autentiche, formulate
dallo stesso legislatore.
In relazione ai codici di deontologia e di buona condotta si rinvia a quanto più
diffusamente argomentato nel successivo paragrafo. V’è da precisare, tuttavia, che, per
espressa disposizione dell’art. 20 del D.Lgs. 28 dicembre 2001, n. 467, solamente alcuni
codici deontologici, indicati alle lett. dalla a alla g, erano da apprezzare rilevanti sul
piano della “liceità”, mentre gli altri, a contrario, sembrava potessero essere apprezzati
solamente sul piano della “correttezza”, come se ciò implicasse una sottoordinazione dei
primi rispetto ai secondi nel sistema delle fonti ed una diversa rilevanza in ordine al
regime speciale di responsabilità civile36. La situazione risulta parzialmente diversa con
l’emanazione del Codice in materia di protezione dei dati personali, ove la violazione
dei codici deontologici espressamente richiamati (ed allegati al Codice medesimo) è da
apprezzare, ai sensi dell’art. 12, comma 3 e 4, come violazione sia del principio di
“liceità” che del principio di “correttezza”.
33
Sui motivi che hanno portato ad ignorare la clausola di correttezza e di buona fede per circa venticinque
anni dall’entrata in vigore del codice civile si sofferma ALPA G., Trattato di diritto civile, I – Storia, fonti,
interpretazione, cit., p. 954, al quale amplius si rinvia. In questa sede appare significativo ricordare,
comunque, che tale atteggiamento della giurisprudenza è da ricondurre, in primo luogo, “alla scarsa
dimestichezza dei giudici del tempo con la applicazione di disposizioni di contenuto indeterminato […]”.
34
Cfr., ex plurimis, BIANCA C.M., op. cit., p. 479 ss.; GALGANO F., op. cit., 501 ss.; ALPA G., op. ult. cit.
pp. 955 ss.
35
Cfr. par. 3.
36
Cfr. GARANTE, Relazione 2001, Roma, 2002, p. 89.
15
Le riflessioni dottrinali, nell’interrogarsi sul significato e sulla rilevanza
applicativa del principio di correttezza nel contesto specifico del trattamento dei dati
personali, hanno avanzato diverse proposte interpretative volte a tipizzare il
comportamento non conforme a correttezza. Al riguardo è stato precisato che il
principio ad esame “preclude la possibilità di acquisire e gestire i dati mediante violenza
e frode, e va oltre, innestando un dovere più generale di lealtà e di trasparenza”37. Più
precisamente, si è aggiunto che risulterebbe in tal modo censurabile il comportamento
di chi raccolga i dati pedinando l’interessato o abusando della sua fiducia, come
nell’ipotesi in cui si utilizzi un registratore tascabile o una telecamera durante una
conversazione, senza che vi sia il previo accordi dell’interessato
38
. Allo stesso modo
risulterebbero contrari a correttezza il comportamento di chi sfrutti la buona fede
(soggettiva) altrui o induca altri in errore al fine di ottenere notizie, ovvero escogiti
espedienti per forzare la quantità dei dati e la spontaneità delle informazioni che
l’interessato altrimenti non avrebbe fornito o sarebbe stato incerto nel fornire39. Del
pari, viola il principio di correttezza anche l’adozione di accorgimenti subdoli al fine di
rendere più oneroso l’accesso dell’interessato o di procrastinare la rettifica dei dati,
senza alcun giustificato motivo40. Altri, invece, hanno evidenziato come la tipizzazione
possa essere fatta ricorrendo alle regole di condotta contenute nei codici deontologici41 e
“alle consuetudini informatiche del buon capo-centro o del buon gestore di banche di
dati”42. Altri ancora hanno proposto, secondo una lettura che richiama in parte una
tendenza giuspositivista, di interpretare il canone di correttezza alla luce dei vincoli a
cui il trattamento è sottoposto già in forza del principio di liceità, che eserciterebbero, in
tal modo, un effetto di condizionamento43. In tal modo, si è detto, viene dato “conto di
una serie di disposizioni con le quali la legge disciplina tale interazione e che non per
questo chiamano in causa la liceità”44 ed, inoltre, si giunge ad una più agevole
definizione di “talune regole inerenti al trattamento, che, non direttamente o
37
Cfr. BUTTARELLI G., op. cit., p. 256.
BUTTARELLI G., op. cit., p. 256.
39
BUTTARELLI G., op. cit., p. 256.
40
BUTTARELLI G., op. cit., p. 256.
41
LOSANO M.G., op. cit., p. 91.
42
LOSANO M.G., op. cit., pp. 91-92, ove l’A. precisa che, “Aggiornando un antico detto giuridico, si può
concludere che sarà corretto il trattamento svolto con la cura che deve avere il buon pater della familia
informatica”. Fa proprio tale argomento anche GIANNANTONIO E., op. cit., p. 59.
43
IAMICELI P., op. cit., p. 427.
44
IAMICELI P., op. cit., p. 427.
38
16
esplicitamente poste dalla legge, sono tuttavia desumibili dal vincolo di correttezza”45.
In tal senso acquisterebbero rilevanza sotto il profilo della correttezza anche taluni
comportamenti concernenti le modalità ed il tempo con cui viene rilasciata l’informativa
all’interessato, nonché le modalità di acquisizione del consenso al trattamento, come
nell’ipotesi in cui si approfitti di una condizione di bisogno dell’interessato, il cui
assenso è condizione di accesso ad un determinato servizio, per ottenere dati personali
pur non esistendo alcun nesso funzionale tra trattamento dei dati ed erogazione del
servizio medesimo46.
Le esternazioni ed i provvedimenti del Garante assumono un ruolo fondamentale
nel determinare il contenuto del principio di correttezza. Tuttavia, lo strumento
utilizzato è stato prevalentemente quello dell’incentivazione della formazione di norme
deontologiche in settori determinati, così come previsto per legge. Tali considerazioni
rilevano soprattutto in forza del già richiamato art. 12, comma 3 e 4, del Codice,
secondo i quali le norme di deontologia e di buona condotta sono da apprezzare anche
sul piano della “correttezza”. A quanto consta, invece, è stato di gran lunga meno
utilizzata dal Garante l’espressa formulazione, nei propri provvedimenti, delle
indicazioni volte a tipizzare il principio di cui si sta discutendo, giacché i provvedimenti
e le esternazioni del Garante sembrano maggiormente rivolti a determinare il principio
di liceità in relazione alle diverse fattispecie che ad esso vengono sottoposte. Nel
provvedimento del 19 febbraio 2002, promosso contro Faac S.p.a. e Investigazioni San
Giorgio S.a.s ed altri, il Garante per la protezione del dati personali, Relatore Prof.
Stefano Rodotà, sotto la vigenza della L. 675/96 e successive modificazioni ed
integrazioni, ha fatto espressamente menzione del principio di correttezza, seppur
accostato a quello di liceità, riferendolo alla tecnica investigativa utilizzata per annotare,
registrare, ascoltare o intercettare a distanza i colloqui del soggetto interessato, tra
l’altro senza il rilascio di alcuna informativa 47.
45
IAMICELI P., op. cit., pp. 427-428.
IAMICELI P., op. cit., p. 429.
47
Più precisamente, nel provvedimento citato si trova affermato che “[…] con esclusione delle
informazioni relative a pedinamenti e a informazioni di carattere generale raccolte sulle persone e sulle
società coinvolte, la specifica tecnica utilizzata per annotare, registrare, ascoltare o intercettare a distanza
i lunghi colloqui non può ritenersi conforme a quanto previsto dall’art. 10. comma 1, della legge n.
675/1996 e allo stesso principio di liceità e correttezza previsto dall’art. 9, comma 1, lett. a), della
medesima legge in relazione alle vigenti garanzie in tema di libertà e di segretezza della corrispondenza e
di altre forme di comunicazione (art. 15 Cost. e 617 c.p.)”. Garante, decisione 19 febbraio 2002, in
Bollettino, 25, p. 21. Nella specie, si noti, era stato utilizzato, nel corso di una cena, anche un “espediente
46
17
Una tipizzazione della clausola generale di correttezza può rinvenirsi anche nel
medesimo dettato legislativo, giacché ora, come più volte è stato osservato, il Codice in
materia di protezione dei dati personali precisa, all’art. 12, comma 3, che “Il rispetto
delle disposizioni contenute nei codici di cui al comma 1 costituisce condizione
essenziale per la […] correttezza del trattamento dei dati personali effettuato da soggetti
privati e pubblici”, di modo che il principio di correttezza, per espressa indicazione
legislativa, deve essere individuato in primo luogo in tale nuova fonte normativa,
ancorché di formazione prevalentemente negoziale48.
L’art. 11, comma 1, del Codice contiene, oltre alle indicate “modalità del
trattamento” di cui alla lett. a, anche i “requisiti dei dati” di cui alla lett. b e ss., i quali,
ricordando quanto originariamente previsto nel Capo II, Sezione I, della Direttiva
95/46/CE, si sostanziano in “Principi relativi alla qualità dei dati”.
Essi valgono a specificare, essenzialmente, il principio di liceità ed, in certa
misura, anche quello di correttezza. Infatti il legislatore, laddove ha previsto che i dati
personali oggetto di trattamento devono essere “b) raccolti e registrati per scopi
determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in
termini compatibili con tali scopi; c) esatti e, se necessario, aggiornati; d) pertinenti,
completi e non eccedenti rispetto alle finalità per le quali sono raccolti o
successivamente trattati; e) conservati in una forma che consenta l’identificazione
dell’interessato per un periodo di tempo non superiore a quello necessario agli scopi per
i quali essi sono stati raccolti o successivamente trattati”, ha voluto offrire una prima
chiara indicazione relativa alle specifiche ipotesi in cui è sicuramente da ravvisare
l’illiceità del trattamento, ferma restando la possibilità di determinare l’illiceità anche in
riferimento alle altre disposizioni, interne o esterne al corpus del Codice, che di volta in
volta assumono rilievo nella fattispecie.
Con riferimento allo scopo della raccolta e della registrazione dei dati e, più in
generale, allo scopo del trattamento, si noti come esso venga preso in considerazione
sotto un duplice profilo. Innanzitutto, alla lett. b della disposizione in esame, si afferma
non il principio “di finalità”, ma i principi, ontologicamente e funzionalmente diversi,
“di determinatezza”, “di esplicitazione” e “di legittimità” delle finalità che devono
animare il trattamento, sin dalle sue fasi iniziali. L’annotazione non è senza rilievo,
relativo all’identità di uno dei partecipanti”, il quale si sarebbe “travisato sotto le apparenze di in
potenziale interlocutore di affari”, discutendo di possibili collaborazioni con il soggetto interessato.
48
Sulla formazione negoziale dei codici deontologici cfr. ALPA G., op. cit., p. 449.
18
atteso che lo scopo, in tal modo considerato, viene ad essere oggetto di un giudizio volto
a valutarne la corrispondenza al dettato normativo e la sua non contrarietà agli interessi
che l’ordinamento intende proteggere. La determinatezza dello scopo e la necessità della
sua esplitazione, pertanto, appaiono strumentali al sindacato di legittimità a cui intende
far riferimento la lett. b e, amplius, al giudizio di liceità e di correttezza di cui alla lett.
a. Sotto un diverso profilo, affermata la corrispondenza dello scopo del trattamento
all’ordinamento giuridico, emerge il principio “di finalità”, in forza del quale
l’utilizzazione dei dati deve avvenire in maniera compatibile e non eccedente agli scopi
determinati, espliciti e legittimi per i quali il trattamento è stato posto in essere,
conformemente ai criteri di cui alle lett. b, ultima parte, d ed e. In base a tale secondo
profilo, l’elemento teleologico, già sottoposto al vaglio di conformità, si rende
parametro per la valutazione di liceità e di correttezza dei dati, esplicitati nei requisiti di
pertinenza, di non eccedenza e di conformità, nonché, da ultimo, nel requisito di
conservazione in forma tale da consentire l’identificazione dell’interessato non oltre al
tempo necessario, anch’esso da valutare in riferimento alle finalità della raccolta e, più
in generale, del trattamento49.
Sempre con riferimento al principio di finalità va stimato sia il requisito di
completezza dei dati, sia il requisito dell’aggiornamento, in quanto operante solamente
“se necessario”. Tale “necessità”, infatti, è da apprezzare in relazione agli scopi del
trattamento, tenendo conto degli interessi del soggetto interessato o, eventualmente, dei
soggetti terzi, che entrano nella valutazione del principio di finalità attraverso il
preventivo vaglio effettuato in ossequio ai già richiamati canoni di “liceità”,
“correttezza” e “legittimità”.
È invece da porre su un piano diverso da quello teleologico il requisito di
esattezza.
49
Rileva, a tal proposito, anche il dettato dell’art 3 del Codice, rubricato “Principio di necessità nel
trattamento dei dati”, in forza del quale “I sistemi informativi e i programmi informatici sono configurati
riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escludere il
trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante,
rispettivamente, dati anonimi od opportune modalità che permettono di identificare l’interessato solo in
caso di necessità”. Confronta, amplius, il commento ad esso relativo, contenuto nel presente volume. Si
ricorda, comunque, che la Relazione allo schema del Codice in materia di protezione dei dati personali ha
sottolineato come “Il principio introdotto integra e completa, con riferimento alla configurazione stessa
dell’ambiente in cui i dati sono trattati, il principio di pertinenza e non eccedenza dei dati trattati già
operante in relazione al trattamento dei medesimi dati” di cui all’art. 11 del Codice, già art. 9, della L.
675/96.
19
Particolarmente opportuna, inoltre, è la previsione inserita nel comma 2 dell’art.
11, ai sensi del quale “I dati personali trattati in violazione della disciplina rilevante in
materia di trattamento dei dati personali non possono essere utilizzati”. Siffatta norma,
si noti, fa derivare l’inutilizzabilità dei dati personali non solo con riguardo alle
violazioni dei criteri di cui all’art. 11 in esame, ma anche in relazione alla violazione di
ogni altra norma rilevante in materia di trattamento di dati personali. L’utilizzazione del
dato nonostante il divieto, inoltre, realizza una nuova e diversa condotta, anch’essa
censurabile in via autonoma e destinata ad essere altrettanto autonomamente valutata
anche in relazione all’ipotesi di illecito aquiliano di cui all’art. 15, comma 1 e 2, del
Codice.
Per altro verso c’è da interrogarsi sui risvolti di tale disposizione in ambito
processuale, con specifico riguardo al regime probatorio, dal momento che la stessa è
stata fatta oggetto di una formulazione fin troppo ampia e generica.
3. Codici di deontologia e di buona condotta
Come è stato autorevolmente affermato, i codici deontologici generalmente
costituiscono una fonte di autoregolamentazione di formazione negoziale del diritto
privato, parallelamente alle altre norme stabilite dal diritto pubblico, e ciò sia qualora
vengano predisposti ed approvati da gruppi, associazioni o categorie professionali, sia
qualora vengano predisposti da soggetti terzi, ma adottati dagli interessati (stante la
volontarietà dell’assoggettamento da parte degli individui o degli enti a cui la norma
deontologica è diretta), sia qualora vengano prodotti attraverso una negoziazione tra
esponenti delle categorie interessate, titolari di interessi che si pongono in maniera
conflittuale50. S’è detto, inoltre, che la formazione negoziale del diritto è espressione
della positività dell’ordinamento giuridico, in quanto è proprio quest’ultimo “che
consente la creazione di norme giuridiche al di fuori delle fonti istituzionali: si tratta
infatti della creazione di regole e della istituzione di diritti soggettivi che non proviene
dall’alto, cioè dall’imposizione con legge o con regolamento amministrativo avente
natura di normazione sub-primaria (lex posita, deliberazioni delle agenzie
50
ALPA G., op. ult. cit., pp. 449-450. Ivi l’A. si sofferma, inoltre, sull’individuazione degli elementi
negoziali che di frequente appaiono nei codici deontologici, tra i quali, soprattutto in tema di risoluzione
stragiudiziale delle controversie, vengono spesso annoverate “la clausola compromissoria o il
compromesso arbitrale, l’assoggettamento ad una procedura di conciliazione o di arbitrato, e così via”.
20
amministrative indipendenti), ma proviene dal basso, cioè dalle forme organizzative
della società civile”51. Nella materia ad esame, tuttavia, sembra di poter scorgere delle
peculiarità con riferimento al sistema delle fonti del diritto, e ciò per diverse ragioni.
Innanzitutto sono da prendere in considerazione i poteri di intervento del Garante,
i quali non si sostanziano solamente in poteri propositivi e di controllo in ordine alla
conformità a leggi e regolamenti ed a poteri di vigilanza in ordine alla loro osservanza52,
ma addirittura si sostanziano, ove esplicitamente previsto, anche nel potere di
prescrivere eventuali misure o accorgimenti a garanzia dei soggetti interessati che
devono essere adottati entro sei mesi dalla proposta del Garante, venendo altrimenti
adottati in via sostitutiva dal Garante medesimo con efficacia fino alla emanazione di
una diversa disciplina resa secondo una procedura di cooperazione tra Authority ed
associazione di categoria53. Talora i poteri del garante si spingono fino ad irrogare
sanzioni in caso di violazione delle norme deontologiche, fino a disporre il divieto di
trattamento54.
In secondo luogo si deve considerare che l’adozione dei codici di deontologia, nei
settori specificamente indicati dal Codice in materia di protezione di dati personali e,
precedentemente, dalla L. 675/96 e successive modifiche e integrazioni, è obbligatoria
ex lege.
In terzo luogo le peculiarità dei codici di deontologia e di buona condotta
annoverati nel Codice in materia di dati personali si estendono anche alla previsione
della pubblicazione in Gazzetta Ufficiale, in allegato al testo di rango legislativo55.
In quarto luogo è da apprezzare anche l’espressa indicazione di cui all’art. 12,
comma 3, in forza del quale il mancato rispetto al codice di deontologia è da
considerare, sia per i soggetti privati che per quelli pubblici, violazione non solo del
principio di correttezza, ma anche, significativamente, del principio di liceità,
51
ALPA G., op. ult. cit., p. 449, il quale richiama altresì il pensiero di Lipari e di Zagrebelsky.
Cfr., al riguardo, l’art. 12, comma 1, del Codice, il quale statuisce che “Il Garante promuove
nell’ambito delle categorie interessate, nell’osservanza del principio di rappresentatività e tenendo conto
dei criteri direttivi delle raccomandazioni del Consiglio d’Europa sul trattamento di dati personali, la
sottoscrizione di codici di deontologia e di buona condotta per determinati settori, ne verifica la
conformità alle leggi e ai regolamenti anche attraverso l’esame di osservazioni di soggetti interessati e
contribuisce a garantirne la diffusione e il rispetto”.
53
Cfr. il tenore dell’art. 139, comma 2 e 3, del Codice in materia di protezione di dati personali,
regolante i codici di condotta relativi all’esercizio dell’attività giornalistica.
54
Cfr. ancora, in riferimento alla deontologia relativa all’attività giornalistica, il disposto dell’art. 139,
comma 5, del Codice.
55
Cfr. l’art. 12, comma 2, del Codice, ai sensi del quale “I codici sono pubblicati nella Gazzetta Ufficiale
della Repubblica italiana a cura del Garante e, con decreto del Ministro della giustizia, sono riportati
nell’allegato A) del presente codice”.
52
21
comportante, per il combinato disposto di cui all’art. 15, comma 2; all’art. 11, comma 1,
lett. a; ed all’art. 12, comma 3, ora in esame, del Codice in materia di protezione dei dati
personali, l’obbligo al risarcimento dei danni non patrimoniali eventualmente
configurabili.
Le predette peculiarità hanno indotto la dottrina a ritenere “che ci si trovi in
presenza di una nuova modalità di normazione atipica, avente ad oggetto una sorta di
codificazione dei codici di deontologia”56.
In sede di Relazione al Parlamento 2001 si trova al riguardo precisato che “al pari
di quanto previsto per i codici sui trattamenti realizzati a fini storici o statistici, e
nonostante la sua denominazione”57, il “codice deontologico e di buon condotta
riguardante il trattamento di dati personali effettuato nell’ambito dei servizi di
comunicazione e informazione offerti per via telematica e in particolare nella rete
web”58 “non avrà valore di una qualunque altra disposizione di carattere deontologico,
ma assumerà la veste di una vera e propria fonte dell’ordinamento generale, come si
evince dal fatto che il rispetto delle disposizioni in esso contenute costituirà condizione
essenziale per la liceità del trattamento del dati (art. 20 d.lgs. 467/2001)”59. Tale
interpretazione, basata sulla rilevanza dei codici deontologici in reazione al giudizio di
liceità, andrebbe però estesa a tutte le disposizioni deontologiche richiamate dal
provvedimento legislativo in esame, stante la generica applicazione del già più volte
citato art. 12, comma 3, del Codice60.
56
MONDUCCI J., Diritti della persona e trattamento dei dati particolari, Milano, Giuffré, 2003, il quale, a
conforto del proprio assunto, invita a considerare che “l’adozione del codice di deontologia per la
professione giornalistica è stata imposta dalle legge (in particolare dall’art. 25 commi 2 e 3, richiamato
altresì dall’art. 20 lett. d)). Tant’è vero, che in caso di inottemperanza da parte del Consiglio dell’Ordine,
il Garante per la protezione dei dati personali aveva addirittura il potere amministrativo di adottarlo
d’imperio. Medesime considerazioni, del resto, possono farsi anche per gli altri codici di deontologia e di
buona condotta previsti in materia di trattamento di dati personali ed individuati dalla normativa
integrativa successiva”. L’A., inoltre, richiama le riflessioni formulate in dottrina a sostegno della tesi che
i codici di condotta contemplati nella disciplina speciale ad oggetto del presente discorso costituirebbero
fonte di normazione secondaria atipica, citando SIMONCINI A., Il sistema delle fonti normative, in
CUFFARO V., RICCIUTO V., op. cit.; FILIPPI C., Il trattamento dei dati personali nell’ambito dell’attività
giornalistica e di informazione, in LOIODICE A., SANTANIELLO G. (a cura di), op. cit.; nonché DE SIERVO
U., Dignità delle persone e diritto di informazione nel Codice previsto dall’art. 25 legge 675/96, in “Studi
in onore di Leopoldo Elia”, Milano, Giuffrè, 1998, ai quali amplius si rinvia.
57
GARANTE, Relazione 2001, Roma, 2002, p. 89.
58
GARANTE, Relazione 2001, Roma, 2002, p. 89.
59
GARANTE, Relazione 2001, Roma, 2002, p. 89.
60
L’analisi dei codici deontologici nella normativa sul trattamento dei dati personali è stata efficacemente
condotta in dottrina distinguendo una triplice tipologia di codici (“codici liberi”, “codici di seconda
generazione” e “codice dei giornalisti”), con delineazione di tre distinti regimi giuridici, relativi in
particolare al procedimento di formazione ed agli effetti giuridici. Sul punto, in ordine al quale le
esigenze di economia del presente contributo non consentono di soffermarsi ulteriormente, si rinvia alle
22
Le esposte considerazioni ed il rilievo che le norme deontologiche considerate dal
Codice in materia di protezione di dati personali vengano pubblicate in Gazzetta
Ufficiale non conducono però alla conclusione che si è giunti ad una “codificazione”
delle disposizioni di deontologia esplicitamente contemplate nel corpus normativo ad
oggetto del presente commento, atteso che la stessa pubblicazione e l’allegazione al
Codice in avviene a mero “scopo conoscitivo, nel rispetto di quanto stabilito da vari
decreti legislativi già adottati in materia”61, senza che vengano a “mutare le
caratteristiche giuridiche – non legislative – di questa nuova fonte […]”62.
Appare pertanto opportuno concludere con le ulteriori osservazioni riportate nella
Relazione allo schema del Codice, ove viene rimarcato che “i codici [deontologici]
continueranno a venire a giuridica esistenza – e ad essere eventualmente emendati –
secondo i meccanismi procedurali non legislativi già osservati e che coinvolgono le
entità maggiormente rappresentative del settore considerato”63, anche se “Il rispetto
delle disposizioni dei codici di deontologia e di buona condotta resta, per espressa
previsione di rango legislativo introdotta da precedenti decreti legislativi, “essenziale”
per determinare la liceità del trattamento dei dati personali ivi disciplinato”64.
4. Informativa
Il diritto ad avere informazioni in ordine al trattamento appare fisiologicamente
correlato all’esercizio del consenso, il quale può essere anche prestato solamente per
talune o per tutte le operazioni di trattamento ed, in ogni caso, è da ritenersi validamente
prestato solo se “espresso liberamente e specificamente in riferimento ad un trattamento
chiaramente individuato, se è documentato per iscritto, e se sono state rese
all’interessato le informazioni di cui all’articolo 13”65.
Pertanto l’informativa è, in primo luogo, funzionalmente legata alla prestazione di
un consenso pieno, consapevole ed informato da parte dell’interessato, il quale, sulla
acute osservazioni di PINO G., I codici di deontologia nella normativa sul trattamento dei dati personali,
in PARDOLESI R. (a cura di), op. cit., vol. II, pp. 672 ss., con particolare attenzione alle pp. 684 ss.
61
Relazione allo schema del Codice in materia di protezione dei dati personali, p. 3.
62
Relazione allo schema del Codice in materia di protezione dei dati personali, p. 3.
63
Relazione allo schema del Codice in materia di protezione dei dati personali, p. 3.
64
Relazione allo schema del Codice in materia di protezione dei dati personali, p. 3.
65
Cfr. art. 23, comma 3, del Codice in materia di protezione dei dati personali. Salvo le ipotesi di
esclusione espressamente contemplate ex art. 24, com’è noto, è richiesta la forma scritta e non solamente
la documentazione per iscritto, del consenso relativo ad un trattamento di dati sensibili. Cfr. art. 23,
comma 4.
23
scorta delle informazioni ricevute, potrebbe decidere di non comunicare i propri dati
personali o di selezionare quelli che intende far trattare66.
Per altro verso, la medesima consente all’interessato la verifica in ordine al
rispetto di quanto in essa indicato dal titolare e di esercitare i diritti di cui all’art. 7 del
Codice, ivi compreso il diritto di correzione, di opposizione e di cancellazione,
ricorrendone i presupposti67. L’informativa, inoltre, assolve all’importante funzione,
questa volta apprezzabile sul piano giuspubblicistico, di veicolare i principi ed i diritti
contemplati nella disciplina dettata in materia di protezione di dati personali68. Un
ulteriore funzione sembra invece possa essere rinvenuta con riguardo al regime di
responsabilità civile, in connessione con il principio di liceità e correttezza, nonché al
principio di finalità. È sulla base delle informazioni rese all’interessato ai sensi dell’art.
13, comma 1, del Codice, infatti, che si può evincere, in primis, se siano stati rispettati o
meno i requisiti di corrispondenza, pertinenza, aggiornamento, completezza, ecc., con
effetto diretto sulla portata applicativa delle disposizioni previste in materia di illecito
aquiliano ex art. art. 15, comma 1 e 2, ed ex art. 11, del Codice.
L’informativa, lo si evince sin dall’apertura della disposizione ora in commento,
deve essere rilasciata all’ “interessato” oppure alla “persona presso la quale sono
raccolti i dati personali”, con una formulazione che alimenta perplessità interpretative là
dove i soggetti destinatari dell’informativa medesima sono stati individuati
alternativamente e non cumulativamente. A rigore ne deriva che, ove la raccolta dei dati
avvenga presso un soggetto diverso dell’interessato, l’informativa deve essere
immediatamente rilasciata a questi e non all’interessato medesimo. Tuttavia, una lettura
più accorta dell’impianto normativo non esclude l’interessato quale soggetto
destinatario degli obblighi informativi, dal momento che l’art. 13, comma 4, del Codice
espressamente prevede che “Se i dati personali non sono raccolti presso l’interessato,
l’informativa di cui al comma 1, comprensiva delle categorie di dati trattati, è data al
medesimo interessato all’atto della registrazione dei dati o, quando è prevista la loro
66
La connessione tra obblighi informativi e consenso sembra in linea con i principi di tutela del
consumatore introdotti nel nostro ordinamento per impulso del legislatore comunitario. Cfr. ZENO
ZENCOVICH V., Commento all’art. 10, in GIANNANTONIO E., LOSANO M.G., ZENO ZENCOVICH V. (a cura
di), op. cit., p. 95. All’A. cit. si rinvia, amplius, per l’enunciazione delle diverse finalità assolte
dall’informativa in questione, di seguito solamente accennate per esigenze di economia espositiva.
67
ZENO ZENCOVICH V., op. cit., p. 95.
68
ZENO ZENCOVICH V., op. cit., p. 95.
24
comunicazione, non oltre la prima comunicazione”69. Fanno eccezione le ipotesi
contemplate ai sensi del successivo comma 5, in forza del quale “La disposizione di cui
al comma 4 non si applica quando: a) i dati sono trattati in base ad un obbligo previsto
dalla legge, da un regolamento o dalla normativa comunitaria; b) i dati sono trattati ai
fini dello svolgimento delle investigazioni difensive di cui alla L. 7 dicembre 2000, n.
397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i
dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario
al loro perseguimento; c) l’informativa all’interessato comporta un impiego di mezzi
che il Garante, prescrivendo eventuali misure appropriate, dichiari manifestamente
sproporzionati rispetto al diritto tutelato, ovvero si riveli, a giudizio del Garante,
impossibile”70.
Occorre riflettere, tuttavia, sull’operatività di tali eccezioni, dal momento che
l’interpretazione letterale e sistematica dei comma 4 e 5 dell’articolo ora in esame,
69
La norma è stata criticata con riferimento all’individuazione del tempo di rilascio dell’informativa
all’interessato. In particolare si è detto che il differimento del dies ad quem dell’invio dell’informativa
per l’ipotesi in cui il trattamento preveda la comunicazione dei dati appare incongruo se si considera che
proprio in tal caso l’interessato si trova maggiormente esposto a possibili conseguenze pregiudizievoli che
avrebbero suggerito un’estensione di tutela. Cfr. BUTTARELLI G., op. cit., p. 277. Per ulteriori rilievi
critici cfr, anche LO SURDO C., op. cit., pp. 715 ss. Per altro verso, è stato sottolineato che “nella
proposizione disgiuntiva (“L’interessato o la persona presso la quale sono raccolti i dati”) si rende
concreta la possibilità che i dati personali vengano forniti da una persona diversa dal titolare, senza
peraltro che essi siano contenuti in una “banca di dati” (si pensi ad informazioni sul coniuge o sul
familiare, sul singolo dipendente ecc.). È pur vero che il trattamento richiederà comunque il consenso
[…] e tuttavia si comprende che le informazioni fornite al momento della raccolta non pervengono al
soggetto che è l’effettivo avente diritto e dunque, sostanzialmente, non realizzano lo scopo della norma.
Mentre, infatti, il titolare potrebbe, sulla scorta delle informazioni, rifiutarsi di rispondere, la persona
(terza) che fornisce i dati potrebbe valutare diversamente l’opportunità. E viceversa. In altri termini senza
giungere al punto da affermare una privativa sui propri dati (che dunque inibirebbe a terzi di divulgarli), il
terzo non si trova nella migliore delle posizioni per decidere se fornirli a chi glieli chiede”. ZENO
ZENCOVICH V., op. ult. cit., p. 95.
70
L’inserimento del “regolamento” tra le fonti ora indicate nell’eccezione di cui alla lett. a dell’art. 13,
comma 5, del Codice ha lasciato perplessa la dottrina che ha commentato le analoghe previsioni
contenute nella L. 675/96, che ha mosso un’articolata serie di argomentazioni sia sotto il profilo formale
che sostanziale. Sul punto cfr. ZENO ZENCOVICH V., op. ult. cit., p. 97, al quale amplius si rinvia. Con
riferimento all’eccezione di cui alla lett. c, invece, occorre sottolineare che il Codice ha aggiunto, rispetto
alle corrispondenti norme contenute nella citata L. 675/96, che, ove l’informativa non sia dovuta in
ragione del fatto che essa comporti un impiego di mezzi che il Garante giudichi manifestamente
sproporzionati o in ragione del fatto che essa risulti impossibile da rendere, il Garante è tenuto a
prescrivere “misure appropriate” a maggior garanzia dell’interessato. Si noti ancora che, per espressa
previsione normativa già contenuta nel precedente testo di legge, l’esonero dall’obbligo di informativa
deve essere preceduto da una richiesta al garante e da una sua successiva autorizzazione solamente per le
ipotesi ora contemplate ex art. 13, comma 5, lett. c, del Codice, mentre, per le ipotesi sub lett. a e b,
l’esonero opera automaticamente. Cfr. LO SURDO C., op. cit., pp. 717 ss., alla quale si rinvia con
riferimento alle riflessioni in ordine all’attenuazione dell’obbligo di informativa, per lo più connesse
all’esigenza di standardizzare le ipotesi di “sproporzione” e di “impossibilità” a cui fa riferimento il
dettato legislativo ed all’ulteriore esigenza di agevolare la speditezza di rilevanti operazioni economiche,
com’è avvenuto per le operazioni di cartolarizzazione.
25
strettamente connessi, lascerebbe intendere che l’obbligo di rendere l’informativa al
soggetto terzo (presso cui i dati sono stati raccolti) rimarrebbe fermo anche nelle ipotesi
espressamente previste in via di eccezione alle lett. dalla a alla c poc’anzi riportate,
visto che il comma 5, per la sua connessione con il comma 4, si limita a stabilire i casi
in cui l’informativa non debba essere rilasciata all’ “interessato”, con specifico
riferimento al momento “successivo” (da individuarsi ex art. 13, comma 4, del Codice)
rispetto alla richiesta dei dati da trattare.
In altre parole, quando i dati sono raccolti presso un soggetto terzo, una prima
informativa deve essere resa a quest’ultimo “previamente” alla raccolta dei dati
medesimi. Inoltre deve essere resa una seconda informativa al soggetto interessato, ma
solamente in un momento “successivo”, così come individuato dal comma 4. Se tale è il
regime generalmente applicabile, quale previsto dall’art. 13, comma 1 e 4, del Codice, il
discorso presenta talune complicazioni allorché si entri nel regime di eccezione di cui al
successivo comma 5. In esso, infatti, il legislatore ha fatto esclusivo riferimento alla
sola seconda informativa (quella da rendere al soggetto interessato, in un momento
successivo rispetto alla raccolta dei dati). È stata omessa completamente, invece, ogni
considerazione in ordine alla prima informativa (quella da rendere al soggetto terzo,
previamente alla raccolta dei dati). Conseguentemente ci si interroga se il regime di
eccezione di cui all’art. 13, comma 5, del Codice sia da estendere comunque ad
entrambe le informative o se, viceversa, come suggerirebbe l’argomento letterale, sia
applicabile alla sola seconda informativa da rilasciare al soggetto interessato, fermo
restando l’obbligo di cui al primo comma, non menzionato nell’eccezione, da intendersi
rivolto alla sola persona, diversa dall’interessato, presso la quale i dati personali sono
raccolti.
L’interpretazione letterale è da preferire perché corroborata anche da
considerazioni di ordine sistematico Infatti, quando il legislatore ha voluto esonerare il
titolare del trattamento dall’obbligo dell’informativa “preventiva” di cui all’art. 13,
comma 1, del Codice, da rendere al soggetto terzo qualora la raccolta dei dati non
avvenga direttamente presso l’interessato, vi ha provveduto espressamente, così come è
avvenuto ex art. 13, comma 2, del Codice, ove viene stabilito che “L’informativa di cui
al comma 1 […] può non comprendere gli elementi già noti alla persona che fornisce i
dati o la cui conoscenza può ostacolare in concreto l’espletamento, da parte di un
soggetto pubblico, di funzioni ispettive o di controllo svolte per finalità di difesa o
26
sicurezza dello Stato oppure di prevenzione, accertamento o repressione di reati”71. Allo
stesso modo, se il legislatore avesse voluto riferire le eccezioni di cui al comma 5 anche
all’informativa “preventiva”, avrebbe potuto richiamare il comma 1, anziché il comma
4. La differente scelta normativa, dunque, è da apprezzare nel senso che l’unica
informativa che si è esentati dall’inviare, in forza del disposto dell’art. 13, comma 5,
lett. a, b e c, è l’informativa da rendere all’interessato successivamente alla raccolta,
facendo salvo l’obbligo di informare il soggetto terzo (previamente alla raccolta).
Un’incongruenza sistematica, però, emerge comunque. Infatti, la raccolta
effettuata presso soggetti terzi, allorché sia effettuata mediante una comunicazione di
quest’ultimi al titolare del trattamento, implicherebbe che i medesimi si premuniscano
del consenso dell’interessato, salvi i casi di esclusione, e che comunque, ancor prima,
provvedano a fornire a loro volta l’informativa al soggetto interessato72. Benché essa
possa apparire “duplicativa e superflua”73, la stessa, nelle ipotesi di esclusione del
consenso, “sarebbe necessaria per evitare che terzi, non rientranti fra le categorie
beneficiate dal regime di esclusione, sfruttino e si approprino di tale privilegio
sfuggendo così all’onere dell’informativa”74.
Per altro verso deve osservarsi che le eccezioni di cui all’art. 13, comma 5, sopra
segnalate trovano applicazione solamente con riferimento a quei trattamenti i cui dati
vengono raccolti presso soggetti terzi. Viceversa, qualora la raccolta avvengo presso il
soggetto interessato, l’informativa è a questi dovuta anche ove ricorrano le ipotesi
previste esplicitamente previste ex art. 13, comma 5, lett. a, b e c, del Codice. La
71
Si è discusso se trattasi di esonero solamente parziale o anche totale. Propende per la prima soluzione
interpretativa autorevole dottrina, la quale, in sede di commento dell’art. 10, comma 2, della L. 675/96, ha
precisato che “dalla sua formulazione sembrerebbe che una informativa ci debba comunque essere, anche
se priva di taluni elementi (…) e dunque il soggetto dovrebbe sempre ricevere la comunicazione”. Cfr.
ZENO ZENCOVICH V., op. ult. cit., p. 96 (al quale si rinvia anche in ordine alle riflessioni critiche relative
alla formulazione delle eccezioni all’obbligo di cui al comma 1, che in questa sede si omettono per le più
volte richiamate esigenze di economia del presente discorso). Propende, invece, per la seconda soluzione
interpretativa LO SURDO C., op. cit., p. 707, per la quale, “almeno in linea teorica, non si può negare
l’operatività della norma anche laddove risulti che l’interessato abbia già conoscenza di tutti gli elementi
indicati nel comma 1”. Sembra propendere per un’interpretazione estensiva anche Il Garante per la
protezione dei dati personali, che, seppur incidenter tantum, ha riconosciuto non dovuta l’informativa nei
soli casi indicati ex art. 10, comma 2, della L. 675/96. Cfr. Garante, decisione 19 febbraio 2002, in
Bollettino, 25, p. 25.
72
ZENO ZENCOVICH V., op. ult. cit., p. 97.
73
ZENO ZENCOVICH V., op. ult. cit., p. 97.
74
ZENO ZENCOVICH V., op. ult. cit., p. 97. Riprende l’argomento anche LO SURDO C., Il ruolo
dell’obbligo di informativa, in PARDOLESI R. (a cura di), op. cit., pp. 721 ss., la quale sottolinea che il
consenso prestato dall’interessato in favore del soggetto terzo, con riguardo alla comunicazione dei dati
da quest’ultimo effettuata al titolare del trattamento o a chi per lui, non fa venir meno gli obblighi di
informativa e di acquisizione del consenso che rilevano nella relazione tra titolare ed interessato.
27
precisazione emerge a chiare lettere da un già citato provvedimento del Garante per la
protezione dei dati personali, vertente in tema di indagini investigative svolte al fine di
far valere un diritto in giudizio, ove, seppur con riferimento alle disposizioni racchiuse
sub art. 10 della L. 675/96, ora trasposte nell’art. 13 del Codice, viene affermato che
mentre per i dati acquisiti presso soggetti terzi non si pone una violazione degli obblighi
di informativa all’interessato, stante la presenza di circostanze tali da giustificare
l’omissione o il differimento dell’informativa all’interessato ai sensi dell’art. 10, comma
3 e 4, della L. 675/96, per altri dati, raccolti direttamente presso l’interessato,
l’eccezione non opera, imponendosi il rispetto dell’obbligo di rilasciare l’informativa ai
sensi dell’art. 10, comma 1, della legge citata, ora trasposto nell’art. 13, comma 1, del
Codice75.
L’informativa preventiva, da conferire all’interessato o al soggetto terzo presso
cui i dati sono raccolti, può essere rilasciata in forma abbreviata non solo nelle ipotesi
contemplate nel già richiamato art. 13, comma 2, del Codice, ma anche nelle fattispecie
individuate nel successivo comma 3, ove viene statuito, innovando rispetto al previgente
testo legislativo, che “Il Garante può individuare con proprio provvedimento modalità
semplificate per l’informativa fornita in particolare da servizi telefonici di assistenza e
informazione al pubblico”. Stando alla Relazione al Codice, tale previsione sarebbe
stata resa con particolare riferimento al call-center, venendo incontro “all’avvertita
esigenza di assicurare, in maniera agevole, il rispetto dell’obbligo di fornire
l’informativa anche per trattamenti in cui il contatto diretto con l’interessato non vede
quest’ultimo fisicamente presente”.
L’argomento risulta per la verità connesso a quello concernente gli aspetti formali
dell’informativa. Com’è noto, infatti, nell’originaria previsione della L. 675/96 la stessa
poteva essere comunicata solamente in forma scritta, per presunte esigenze di maggior
tutela dell’interessato, rendendo pertanto non conforme al dettato normativo una
informativa resa per telefono76. Tuttavia si è obiettato che non sempre, per la verità, la
forma scritta si traduce in un vantaggio per l’interessato, in quanto le spiegazioni fornite
oralmente, con possibilità di interazioni e richiesta di delucidazioni, potrebbero risultare
75
76
Cfr. Garante, decisione 19 febbraio 2002, in Bollettino, 25, p. 25.
Cfr. BUTTARELLI G., op. cit., p. 273.
28
più utile delle indicazioni racchiuse in un modulo che si finirebbe per leggere a
posteriori77.
Il testo in commento, tuttavia, transita dall’argomento formale a quello sostanziale
giacché le “modalità semplificate” a cui fa riferimento la norma in esame non possono
non riguardare il contenuto dell’informativa, essendo impensabile una semplificazione
formale maggiore rispetto alla modalità orale di comunicazione già ammessa dal dettato
di cui all’art. 13, comma 1, del Codice. Si tratta, dunque, di una semplificazione volta
alla riduzione dei contenuti da comunicare pur sempre in forma orale, in forza di un
precetto che pare dettato dall’opportunità di assecondare le esigenze di speditezza dei
rapporti commerciali, anche a discapito del livello complessivo di tutela per
l’interessato nella materia ad esame. In altri termini si è scelto di rinunciare ad un livello
massimo di tutela al fine di consentire, sia al titolare, sia all’interessato, un uso più
spedito dei servizi di assistenza e di informazione al pubblico, che altrimenti sarebbe
stato complicato dall’enunciazione esaustiva delle informazioni contenute nell’art. 31,
comma 1, del Codice.
Nessun ostacolo, ovviamente, risulta ora sussistere per la comunicazione
dell’informativa con strumenti telematici, anche senza che si ricorra all’uso della firma
digitale o di altre firme elettroniche, la quale è in grado di assicurare al contempo
speditezza delle operazioni giuridico-economiche e completezza dell’informazione.
Per espressa previsione legislativa di cui all’art. 13, comma 1, del Codice (e fatte
salve le eccezioni sopra evidenziate), l’informativa deve avvenire previamente alla
raccolta dei dati, considerata come fase iniziale del trattamento, e deve indicare “a) le
finalità e le modalità del trattamento cui sono destinati i dati; b) la natura obbligatoria o
facoltativa del conferimento dei dati; c) le conseguenze di un eventuale rifiuto di
rispondere; d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere
comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e
l’ambito di diffusione dei dati medesimi; e) i diritti di cui all’articolo 7; f) gli estremi
identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai
77
L’assunto, non pienamente condivisibile, è di BUTTARELLI G., op. cit., p. 351. Contra può essere
richiamata, seppur in materia diversa, l’ampia letteratura che, con riguardo all’assolvimento dell’obbligo
di informazione in funzione di tutela del consumatore, unanimemente sottolinea l’insufficienza della mera
comunicazione orale delle informazioni, richiedendosi per lo meno la consegna delle informazioni su
supporto cartaceo o su supporto duraturo. Si considerino, inoltre, le disposizioni della normativa speciale
concernenti la consegna della nota informativa nel settore assicurativo e, più in generale, nel sottore
finanziario.
29
sensi dell’articolo 5 e del responsabile. Quando il titolare ha designato più responsabili
è indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità
attraverso le quali è conoscibile in modo agevole l’elenco aggiornato dei responsabili.
Quando è stato designato un responsabile per il riscontro all’interessato in caso di
esercizio dei diritti di cui all’articolo 7, è indicato tale responsabile”. Il contenuto
dell’informativa, si noti, va arricchito anche in conformità all’inciso iniziale di cui
all’art. 13, comma 2, del Codice, che costituisce un’aggiunta rispetto alla precedente
formulazione di cui alla L. 675/96 e che prevede che “L’informativa di cui al comma 1
[contenga] anche gli elementi previsti da specifiche disposizioni del presente codice”78.
5. Definizione di profili e della personalità dell’interessato. Il possibile ruolo del
Garante in ordine alla verifica della liceità e della correttezza dei trattamenti che fanno
uso di strumenti informatici di intelligenza artificiale per l’emanazione di decisioni
automatizzate
Il trattamento dei dati personali, in forza della possibilità offerte dalle nuove
tecnologie, consente un utilizzo di dati personali fino a poco tempo addietro
impensabile. In particolare, si pensi alla tracciabilità del profilo dell’interessato
attraverso la semplice valutazione delle scelte che questi faccia, di volta in volta,
nell’attività di navigazione su Internet, selezionando interi siti o singole pagine web,
effettuando il download di file contenenti musica o software, interrogando banche dati
o motori di ricerca, e così via.
Con riferimento alla profilazione che in questo o in altri modi è possibile avere, la
quale si arricchisce anche della possibilità di incrociare i dati ottenendo informazioni
supplementari79, sorgono questioni giuridiche delicate, già messe efficacemente in luce
dalla dottrina che si è occupata del tema, laddove è stato sottolineato come le tecnologie
informatiche consentano “la costruzione automatica di profili individuali e collettivi
78
Il testo tra parentesi quadre costituisce un adattamento effettuato da chi scrive (nella disposizione
normativa si legge “contiene”). È stato già detto, inoltre, che l’informativa “può non comprendere gli
elementi già noti alla persona che fornisce i dati o la cui conoscenza può ostacolare in concreto
l'espletamento, da parte di un soggetto pubblico, di funzioni ispettive o di controllo svolte per finalità di
difesa o sicurezza dello Stato oppure di prevenzione, accertamento o repressione di reati”. Cfr. supra.
79
Si pensi a quanto notoriamente avviene per le strategie di marketing poste in essere da società che
operano su Internet, grazie all’information retrieval, al data mining, etc. Cfr., con riguardo all’uso di
agenti software, HAJEK S., Web mining: analisi del comportamento dell’utente Internet mediante Agenti
adattativi, dattiloscritto.
30
nonché persino di affidare a procedure automatizzate l’adozione di decisioni sul conto
dei soggetti interessati”80.
Di tutto ciò mostra consapevolezza il recente legislatore che, nell’elaborare la
nuova rubrica dell’attuale art. 14 del Codice, ha voluto riferirsi espressamente sia al
concetto di “profilazione” dei gusti e delle scelte dell’interessato, sia al connesso tema
dell’individuazione della “personalità” di quest’ultimo attraverso la valutazione del
profilo ottenuto a seguito del trattamento. Pertanto, abbandonata la generica quanto
equivoca rubrica dell’art. 17 della L. 675/96, dedicata ai “Limiti all’utilizzabilità dei
dati personali”, si è preferito intestare il corrispondente art. 14 del Codice alla
“Definizione di profili e della personalità dell’interessato”.
Dei due articoli, tuttavia, è rimasto invariato il contenuto, almeno per ciò che
attiene la norma di cui al comma 1, in forza della quale “Nessun atto o provvedimento
giudiziario o amministrativo che implichi una valutazione del comportamento umano
può essere fondato unicamente su un trattamento automatizzato di dati personali volto a
definire il profilo o la personalità dell’interessato”.
L’argomento è strettamente correlato al tema dell’intelligenza artificiale
81
, non
82
solo in relazione ai sistemi esperti , ma anche con riferimento a sistemi più evoluti di
80
BELLAVISTA A., Commento all’art. 17, in GIANNANTONIO E., LOSANO M.G., ZENO ZENCOVICH V. (a
cura di), op. cit., pp. 165 ss., le cui accorate pagine, che vale la pena trascrivere, illustrano bene il
concetto di pericolosità anche legato ad un uso informativo e non cibernetico del computer. Si è
evidenziato, infatti, che “Com’è noto, proprio grazie alle capacità dell’informatica, è assai agevole
collegare tutti i dati riferentisi ad una persona, contenuti in uno o più archivi, per operare interconnessioni
ed elaborazioni degli stressi nel nodo desiderato, così pervenendo alla creazione di profili individuali da
utilizzare nelle occasioni più disparate”. È la profilazione in sé, quale possibilità connaturata ad un
trattamento informatizzato di dati personali, a rappresentare un pericolo per i diritti dell’interessato.
Infatti, prosegue l’A., “uno dei pericoli per la persona è quello di subire danni o di essere discriminata a
causa di scelte adottate sulla base di dati erronei o incompleti”. A titolo esemplificativo si è chiarito che
“Una immagine distorta dell’individuo può essere causata appunto dal ricorso a dati decontestualizzati e
cioè che non hanno più alcuna relazione con il loro contesto originario di riferimento, il quale però
fornisce il quadro per l’esatta rappresentazione della situazione oggetto degli stessi dati: si pensi ai
travisamenti e ai deleteri effetti che potrebbe determinare l’uso di informazioni concernenti soltanto il
numero di assenze di un lavoratore non accompagnate dall’indicazione delle motivazioni di ognuna; o la
registrazione di un debito non saldato senza la precisazione che si trattava di una somma irrisoria oppure
che il fatto è avvenuto qualche decennio prima e che il rifiuto del pagamento era giustificato da validi
motivi”. La pericolosità del trattamento di dati, connessa alla profilazione dell’interessato, è da stimare in
primo luogo con riguardo ai rischi di distorsione del dato reale (non necessariamente scaturenti da dati
“errati” o “non aggiornati”, ma, come si è poc’anzi avuto modo di riscontrare, anche a causa di dati
“decontestualizzati”), con incidenza immediata sui diritti fondamentali della persona. L’A. ammonisce,
inoltre, che i rischi risultano addirittura amplificati allorché “la decisione sul conto di un soggetto (per
esempio la concessione di un prestito) non venga presa consentendo a quest’ultimo di contestare i dati di
cui dispone l’utilizzatore dei medesimi, ma sia affidata ad un sistema informatico che operi
automaticamente senza alcun contraddittorio con la persona interessata”.
81
Cfr. SARTOR G., Intelligenza artificiale e diritto. Un’introduzione, Milano, Giuffrè, 1996; SARTOR G.,
Le applicazioni giuridiche dell’intelligenza artificiale. La rappresentazione della conoscenza, Milano,
Giuffrè, 1990.
31
decision making, come le reti neurali, nonché gli intelligent agents, capaci di mobilità,
relazionalità, socialità, autonomia, capacità decisionali, autoapprendimento, proattività,
etc.
83
. La vastità e la rilevanza del tema, ancora non adeguatamente pervenuto alla
diffusa attenzione della dottrina, merita una trattazione più estesa che non può essere
affidata alla sintesi di queste pagine. Sul punto, pertanto, ci si propone di intervenire più
diffusamente con altro contributo, al quale fin d’ora si rinvia.
In questa sede, a commento del dettato normativo, v’è da osservare che la norma
pone profonde delimitazioni al proprio ambito di operatività, giacché si riferisce solo (i)
ai trattamenti di dati personali “automatizzati”, (ii) con i quali vengono definiti il
“profilo” o “la personalità” del soggetto interessato, (iii) di “fondare” l’emanazione di
un “atto” o di un “provvedimento” (iv) avente natura “giudiziaria” o “amministrativa”
ed (v) implicante una “valutazione del comportamento umano”. La norma non trova
applicazione, dunque, qualora il trattamento non sia svolto con strumenti automatizzati,
ovvero quando non effettui la profilazione o non ricostruisca la personalità
dell’interessato, o, ancora, quando non sia stato l’unico elemento a fondare la decisione.
Pur avendo uguale portata restrittiva all’ambito di applicabilità del precetto ad esame,
non costituiscono connotazioni del “trattamento”, bensì dell’ “atto” o del
“provvedimento”, il carattere giudiziario o amministrativo, nonché la valutazione del
comportamento umano che deve essere assunta a base della decisione. L’efficacia della
norma, già compromessa dal ristretto ambito di applicabilità come sopra sinteticamente
individuato, appare ulteriormente limitata da considerazioni che attengono alla
ripartizione dell’onere probatorio, atteso che spetta all’interessato la dimostrazione
concernente sia la relazione esclusiva ed univoca tra profilazione o delineazione della
personalità ricavata dal trattamento automatizzato ed adozione dell’atto o del
82
Fa riferimento ai sistemi esperti, in sede di commento all’art. 17 della L. 675/96, PALMIERI A.,
Intelligenza artificiale e tutela della personalità: la disciplina delle decisioni individuali automatizzate, in
PARDOLESI R. (a cura di), op. cit., pp. 829 e 821, al quale si rinvia anche per le ulteriori indicazioni
bibliografiche.
83
Sul tema specifico degli agenti software si rinvia ai preziosi contributi di SARTOR G., Gli agenti
software e la disciplina giuridica degli strumenti cognitivi, in Diritto dell’informazione e
dell’informatica, 2003, p. 55; SARTOR G., Gli agenti software: nuovi soggetti del cyberdiritto?, in
Contratto e impresa, Padova, 2002, 2, pp. 466 ss.; SARTOR G., L’intenzionalità dei sistemi informatici e il
diritto, Bologna, 2002, dattiloscritto; FINOCCHIARO G., La conclusione del contratto telematico mediante
i “software agents”: un falso problema giuridico?, in Contratto e impresa, Padova, 2002, 2, pp. 501 ss.
32
provvedimento, sia l’esistenza di un apprezzabile scarto tra il risultato della decisione
automatizzata e quella che si sarebbe dovuta avere senza il ricorso al trattamento84.
Il tenore letterale del comma in esame, tuttavia, recupera parte della sua vitalità
laddove si consideri che nulla restringe il precetto ai soli atti di contenuto decisorio,
potendosi dunque ammettere l’operatività del divieto in parola anche con riguardo ad
atti, soprattutto amministrativi, aventi diversa natura.
Il trattamento automatizzato, inoltre, potrebbe ben essere utilizzato a supporto
dell’adozione dell’atto o del provvedimento, facendo restituire all’autorità emanante il
ruolo che le è proprio. Del resto non potrebbe essere diversamente se si considera
l’obbligo di motivazione che, se si eccettuata per lo più i decreti resi in ambito
giudiziario, deve accompagnare l’emanazione dei provvedimenti85.
C’è da interrogarsi, inoltre, se il riferimento agli atti ed ai provvedimenti
giudiziari possa essere esteso anche agli arbitrati, almeno quelli rituali, come sembra.
Invece, per ogni altro atto o provvedimento diverso da quello di cui all’art. 14,
comma 1, del Codice, adottato pur sempre in base ad un trattamento automatizzato da
cui sia stata ottenuta la profilazione o sia stata determinata la personalità
dell’interessato, trova applicazione il comma 2 del medesimo articolo, il cui dettato
prevede che “L’interessato può opporsi ad ogni altro tipo di determinazione adottata
sulla base del trattamento di cui al comma 1, ai sensi dell’articolo 7, comma 4, lettera a),
salvo che la determinazione sia stata adottata in occasione della conclusione o
dell’esecuzione di un contratto, in accoglimento di una proposta dell’interessato o sulla
base di adeguate garanzie individuate dal presente codice o da un provvedimento del
Garante ai sensi dell’articolo 17”86. Va peraltro ricordata l’osservazione di chi ha
rilevato, ex art. 13, comma 1, lett. c, della L. 675/95, ora trasposto nel dettato dell’art. 7,
comma 2, lett. c, del Codice, che il diritto ivi previsto, di ottenere la comunicazione
della logica applicata in caso di trattamento effettuato con l’ausilio di strumenti
elettronici, potrebbe svolgere un ruolo di
84
garanzia rispetto alle decisioni
Cfr. PALMIERI A., op. ult. cit., p. 822, con espresso richiamo a MACARIO F., La protezione dei dati
personali nel diritto privato europeo, in CUFFARO V., RICCIUTO V. (a cura di), op. cit., pp. 42 ss.
85
Si pensi all’art. 3 della L. 241/90, con il quale l’originaria figura sintomatica di eccesso di potere per
difetto di motivazione è stato tipizzato come vizio costituente violazione di legge, generalmente
applicabile a tutti i provvedimenti amministrativi.
86
Il richiamato art. 7, comma 4, lett. a, del Codice prevede, in favore dell’interessato, il diritto di
opposizione totale o parziale al trattamento di dati personali che lo riguardano, esercitabile per motivi
legittimi, ancorché i dati siano pertinenti allo scopo della raccolta.
33
automatizzate87. L’attuale formulazione della disposizione ora richiamata, però, ha
soppresso l’esplicito richiamo alla “forma intelligibile” delle predetta comunicazione,
comportando che la logica possa essere enunciata in una forma diversa, ossia senza la
comunicazione del codice sorgente, stante anche le esigenze di tutela dei diritti di
privativa previsti in materia di tutela del software e delle banche dati.
Al riguardo, tuttavia, non deve essere dimenticato che le recenti modifiche
legislative hanno ritoccato anche l’ultima parte dell’art. 14, comma 2, del Codice,
prevedendosi ora che il Garante possa intervenire con un proprio provvedimento al fine
di individuare le adeguate garanzie a cui devono essere improntati i trattamenti per le
decisioni automatizzate88. Si noti come la disposizione acquisisca un significato del
tutto particolare nell’ipotesi di decisioni automatizzate avvengano con agenti software o
con altri sistemi di intelligenza artificiale. Infatti, la comunicazione in “forma
intelligibile” della logica sottesa ai trattamenti effettuati con l’ausilio di strumenti
informatici potrebbe essere imposta dal Garante, con apposito provvedimento da
emanare ex art. 14, comma 2, del Codice, ma, per non pregiudicare i diritti connessi alla
tutela del software e delle banche dati, il provvedimento potrebbe contemplare il
Garante medesimo come destinatario della comunicazione in forma intelligibile, di
modo che l’Authority possa provvedere alla verifica dei criteri utilizzati per le decisioni
automatizzate, assicurando che rispettino la previsione dell’art. 14, comma 1, del
Codice, nonché le ulteriori disposizioni contenute nell’intero corpus normativo dettato
in materia di protezione dei dati personali e, segnatamente, le specifiche ed adeguate
garanzie fissate con il provvedimento di cui all’art. 14, comma 2. Dunque, il Garante
potrebbe avere un ruolo di soggetto neutrale deputato al controllo, per conto
dell’interessato, in ordine alla liceità ed alla correttezza degli strumenti informatici di
intelligenza artificiale usati per l’adozione di atti o provvedimenti di cui all’art. 14 in
commento89.
6. Danni cagionati per effetto del trattamento di dati personali
87
PALMIERI A., op. ult. cit., p. 822.
Come si avrà modo di precisare in seguito, il provvedimento di cui all’art. 14, comma 2, del Codice
dovrà essere reso dal Garante ai sensi dell’art. 17, ove vengono contemplate le esigenze di protezione
dell’interessato in relazione a quei trattamenti che, come quello in argomento, presentano rischi specifici
per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato medesimo.
89
Il tema in questione, solamente accennato per le note esigenze di economia della presente trattazione,
verrà ripreso in altra sede, alla quale ci si permette fin d’ora di rinviare.
88
34
6.1. Il regime speciale di responsabilità civile per danni cagionati a seguito di
trattamento di dati personali e gli elementi della fattispecie
L’art. 15, comma 1, del Codice in materia di protezione dei dati personali,
rubricato “Danni cagionati per effetto del trattamento”, riportando il contenuto dell’art.
18 della L. 675/96, statuisce che “Chiunque cagiona danno ad altri per effetto del
trattamento di dati personali è tenuto al risarcimento ai sensi dell’art. 2050 del codice
civile”.
Appare necessario soffermarsi brevemente sugli elementi della fattispecie di
responsabilità di cui alla norma dianzi trascritta.
Per ciò che concerne l’elemento soggettivo della fattispecie, si evince una
dichiarata atipicità laddove viene ritenuto chiamato al risarcimento “chiunque” cagioni
ad altri un danno per effetto del trattamento 90. Parte della dottrina, tuttavia, ha ritenuto
comunque di operare in via interpretativa una tipizzazione del soggetto tenuto al
risarcimento del danno, individuandolo nel “titolare”, nel “responsabile” o nell’
“incaricato” del trattamento91. Altri, rilevando che dal dibattito parlamentare sul
recepimento dell’art. 23 della Direttiva 95/46/CE l’attuale formulazione era finita per
prevalere su quella volta ad imporre una responsabilità solidale del titolare e del
responsabile, hanno interpretato il dettato normativo restringendo ulteriormente
l’individuazione della legittimazione passiva, corroborando il ragionamento con
l’analisi dell’art. 2050 c.c., richiamato nell’art. 18 della L. 675/96 ed ora trasposto
nell’art. 15, comma 1, del Codice. Al riguardo, infatti, si è sostenuto che, “per
consolidata opinione, è legittimato passivo il soggetto che esercita l’attività pericolosa,
90
Si osservi che nel testo dell’art. 23 della Direttiva 95/46/CE, avente ad oggetto la “Tutela delle persone
con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati” (alla quale sia la
L. 675/96 e ss. modifiche ed integrazioni, sia il Codice in materia di protezione dei dati personali, hanno
provveduto a dare attuazione nel nostro ordinamento giuridico), la scelta del legislatore appariva diversa,
dato che al primo comma veniva statuito che “Gli Stati membri dispongono che chiunque subisca un
danno cagionato da un trattamento illecito o da qualsiasi altro atto incompatibile con le disposizioni
nazionali di attuazione della presente direttiva abbia il diritto di ottenere il risarcimento del pregiudizio
subito dal responsabile del trattamento”, il quale, a norma del secondo comma, “può essere esonerato in
tutto o in parte da tale responsabilità se prova che l’evento dannoso non gli è imputabile”. Si noti che, a
causa di un’infelice scelta terminologica, il soggetto “Responsabile” indicato nel testo comunitario
corrisponde, nel dettato della L. 675/96, al soggetto “Titolare” del trattamento, con ambiguità tali da
rendere meno agevole una lettura comparata dai due provvedimenti normativi. Pertanto non v’è
corrispondenza con riguardo al soggetto tenuto a rispondere del danno, atteso che la scelta legislativa
comunitaria appariva più restrittiva, operando una tipizzazione dell’elemento soggettivo, disattesa dal
legislatore italiano.
91
Cfr. BUTTARELLI G., op. cit., p. 351.
35
rectius, colui che ne abbia il controllo generale […]”, dovendosene da ciò dedurre che
questi sia da individuare nell’esercente, “ancorché il fatto dannoso sia ascrivibile ai suoi
dipendenti […]”92. Che in realtà si debba operare una tipizzazione del soggetto tenuto al
risarcimento lo si può evincere anche da considerazioni che attengono all’esame della
condotta rilevante. Per espressa previsione normativa, infatti, la responsabilità in esame
è invocabile qualora il danno sia stato cagionato “per effetto” di un “trattamento” di dati
personali. Pertanto può ben osservarsi che se la condotta è necessariamente da
inquadrare nella nozione di trattamento, di modo che questa sia in rapporto di causalità
con l’evento dannoso, ne deriva che il soggetto chiamato a rispondere del danno è
sicuramente sia il titolare che il responsabile del trattamento.
Dubbi residuano in ordine alla legittimazione passiva dell’incaricato, da intendere,
sulla base della definizione ora espressamente contenuta nell’art. 4, comma 1, lett. h, del
Codice, come le persone fisiche autorizzate dal titolare o dal responsabile a compiere
“operazioni” di trattamento. L’incaricato, infatti, ponendo materialmente in essere le
operazioni relative ai dati personali, potrebbe facilmente cagionare danni “per effetto
del trattamento”, atteso che quest’ultimo è da intendersi come “qualunque operazione o
complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici,
concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la
consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto,
l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione
e la distruzione di dati, anche se non registrati in una banca di dati”93.
Se dal tenore letterale della disposizione di cui all’art. 15, comma 1, del Codice,
nel suo combinato disposto con l’art. 4, comma 1, lett. a ed h, l’ “incaricato” è da
annoverare tra i soggetti tenuti a rispondere dei danni cagionati per effetto del
trattamento, talune perplessità sorgono in ordine al richiamo normativo dell’art. 2050
c.c., giacché tale ultima ricostruzione sembra essere contraddetta dalle considerazioni
92
SICA S., Commento all’art. 18, in GIANNANTONIO E., LOSANO M.G., ZENO ZENCOVICH V. (a cura di),
op. cit., p. 184. Precisa tuttavia l’A. che, ove l’attività fosse esercitata dal responsabile in forza di un
rapporto giuridico senza vincolo di subordinazione, come ad esempio in caso di appalto, non potrebbe
trovare applicazione la giurisprudenza relativa all’art. 2050 c.c., che in linea di principio tenderebbe ad
escludere la responsabilità del committente, ravvisandola invece in capo al soggetto appaltatore. Infatti,
l’analisi delle disposizioni di cui alla L. 675/96, ora trasposte nel Codice, non lasciano adito a dubbi sui
ruoli e sulle funzioni del titolare, al quale competono anche le decisioni in ordine al profilo della
sicurezza. Dunque, anche per tali rapporti, precisa l’A., la “risposta potrebbe essere la seguente: la
legittimazione passiva permane per entrambi i soggetti, salva la partizione interna di ciascuno, tenuto
conto, ovviamente, delle rispettive sfere di competenza”.
93
Art. 4, comma 1, lett. a, del Codice.
36
concernenti la prova liberatoria indicata in tale ultimo articolo, la quale consiste, com’è
noto, nella dimostrazione relativa all’adozione di tutte le misure idonee ad evitare il
danno. Al riguardo occorre notare che l’incaricato, essendo investito di meri compiti
esecutivi in ordine alle operazioni di trattamento, non ha alcun potere in merito alla
scelta delle misure idonee ad evitare il danno. Pertanto, sul piano logico, ritenerlo
responsabile ex art. 2050 c.c. porterebbe ad un aggravamento in senso oggettivo della
responsabilità ad esame, fino al limite della forza maggiore o del caso fortuito, senza
che in realtà possa essergli direttamente applicato il criterio di imputazione che la
dottrina generalmente ravvisa in riferimento alla citata disposizione codicistica, ossia il
criterio del “rischio” connesso all’esercizio di impresa o, rectius, all’esercizio
dell’attività pericolosa comunque posta in essere. Ricorrendone gli estremi l’incaricato
può ad ogni modo essere tenuto a rispondere ai sensi dell’art. 2043 c.c. dei danni
cagionati per le operazioni di trattamento che questi abbia eseguito, ferma restando la
responsabilità del titolare e del responsabile del trattamento ai sensi del combinato
disposto degli art. 15, comma 1, del Codice e dell’art. 2050 c.c.
Sotto altro profilo va rilevato che la nozione di “trattamento” sopra trascritta,
prevista in maniera esplicita dal dettato normativo (seppur da taluni considerata non
esaustiva) conduce a ritenere che la responsabilità per danni cagionati per effetto del
trattamento dei dati personali sia un illecito civile a condotta tipizzata, diversamente da
quanto risulta dall’art. 2043 c.c., il quale, a voler aderire alla tesi che considera
l’ingiustizia del danno come clausola generale, si presenta come la reazione
dell’ordinamento giuridico alla violazione del principio del neminem laedere.
La tipizzazione operata nella legislazione speciale, tuttavia, appare comunque
ampia, atteso che la nozione legislativa di trattamento, già di per sé molto estesa, è stata
arricchita dall’interpretazione estensiva di talune pronunce giurisprudenziali, le quali
hanno portato ad applicare le norme della L. 675/96, confluita nel Codice, anche alle
fattispecie in cui non era dato ravvisare la presenza di una banca di dati. Come già
ricordato, la nuova definizione di “trattamento” contenuta nel Codice ha integrato la
precedente formulazione, ritenendo ora esplicitamente configurabile il “trattamento” di
dati personali anche a prescindere dalla circostanza che questi ultimi siano stati inseriti
37
o meno in una “banca di dati”, intesa come “qualsiasi complesso organizzato di dati
personali, ripartito in una o più unità dislocate in uno o più siti”94.
Il richiamo all’art. 2050 c.c. ha prodotto un vivace dibattito dottrinale, tuttora
aperto, nell’ambito del quale ci si interroga se un trattamento di dati personali possa
costituire esercizio di attività pericolosa, per sua stessa natura o per la natura dei mezzi
impiegati, come l’interpretazione sistematica suggerirebbe. Sinteticamente va ricordato
come la tesi affermativa95 poggi, oltre che sui già riferiti rilievi di ordine sistematico,
sulla considerazione che il trattamento di dati personali non solo produrrebbe il rischio
della lesione dei diritti alla riservatezza ed all’identità personale, ma genererebbe anche
forti rischi per la lesione dei diritti di nuovissima generazione, come il “diritto di libertà
informatica”96 ed il “diritto alla protezione dei dati personali”97, ora esplicitamente
comparso nella dizione letterale dell’art. 1 del Codice98. All’orientamento poc’anzi
riportato si è contrapposto quello che, a dispetto del contenuto dell’art. 2050 c.c. a cui
viene fatto rinvio ad opera dell’art. 15, comma 1, del Codice (già art. 18 della L.
675/96), nega il carattere di pericolosità alle attività di trattamento di dati personali99 ed
94
Cfr. l’attuale definizione normativa di cui all’art. 4, comma 1, lett. p, del Codice. Si ricordi che la
precedente definizione, contemplata ex art. 2, lett. a, della L. 675/96, intendeva per “banca di dati”, con
una definizione maggiormente articolata, “qualsiasi complesso di dati personali, ripartito in una o più
unità dislocate in uno o più siti, organizzato secondo una pluralità di criteri determinati tali da facilitare il
trattamento”.
95
Avallata, inter alios, da SICA S., Commento all’art. 18, cit., p. 182; BUTTARELLI G., Banche dati e
tutela della riservatezza, cit., p. 350; GIACOBBE G., così come cit. in BUTTARELLI G., op. cit., p. 350, nota
n. 437; CIRILLO G.P., La tutela civilistica nel trattamento pubblico dei dati personali, in LOIODICE A.,
SANTANIELLO G. (a cura di), op. cit., p. 114.
96
Il “Diritto di libertà informatica” è stato teorizzato da FROSINI V., Il giurista e le tecnologie
dell’informazione, Roma, 1998, p. 15, per il quale la enorme diffusione degli elaboratori in tutti i settori
sociali, economici, sanitari, fiscali, di polizia, ecc., e le evidenziate capacità di calcolo e di comparazione
dei dati finiscono con il rendere l’interessato completamente trasparente all’elaboratore medesimo ed a
chi se ne serve, accrescendo a dismisura il c.d. “potere informatico” di chi controlla il trattamento dei dati.
É nota, infatti, la facilità nel tracciare gusti e preferenze espresse da un soggetto anche nella sua
inconsapevolezza, come avviene per esempio nella “navigazione” su Internet, potendosi agevolmente
ricavare una profilazione netta dell’interessato, in forza della quantità di dati che possono essere raccolti
con strumenti informatici e telematici, in forza delle possibilità di incrociare i dati ottenuti ed, ancora, in
forza della impressionante velocità di calcolo consentita dagli elaboratori elettronici. Cfr. anche, al
riguardo, quanto già ricordato nella nota n. 6 del presente scritto.
97
Si veda quanto già riportato infra, nella nota n. 5.
98
Si consideri, inoltre, le affermazioni circa la pericolosità intrinseca dell’attività di profilazione a
prescindere dall’impiego del trattamento per fondare decisioni automatizzate, e ciò non solo nelle ipotesi
in cui i dati siano errati o non aggiornati, ma anche qualora i dati, pur aggiornati e veritieri, siano trattati
al di fuori del contesto dal quale sono stati estrapolati. Cfr., amplius, quanto annotato nel paragrafo che
precede.
99
Cfr. BORRUSO R., così come cit. in BUTTARELLI G., op. cit., p. 350, nota n. 437; nonché COMANDÈ G.,
come cit. in SANTANIELLO G., Il sistema delle garanzie della privacy (profili introduttivi), in LOIODICE
A., SANTANIELLO G. (a cura di), op. cit., p. 22; ALPA G., La normativa sui dati personali. Modelli di
lettura e problemi esegetici, op. cit., p. 28; RUFFOLO U., Dati personali: trattamento e responsabilità, in
CUFFARO V., RICCIUTO V., ZENO ZENCOVICH V. (a cura di), op. cit., p. 283.
38
attribuisce al richiamo codicistico unicamente la funzione di rinvio o, meglio, di
individuazione del regime giuridico applicabile, comportante un’inversione dell’onere
probatorio con aggravamento dell’elemento della colpevolezza. V’è chi ha precisato che
in tal modo si dà rilievo anche alla colpa lieve e lievissima, non essendo sufficiente, ex
art. 2050 c.c., l’adozione di “misure idonee a evitare il danno”, ma di “tutte le misure
idonee a evitare il danno”. Altra dottrina, tuttavia, pur aderendo a tale secondo
orientamento, si è espressa in termini di responsabilità oggettiva, rilevando che
l’inversione dell’onere della prova e le limitazioni in ordine alla stessa, operanti nella
fattispecie ad esame stante il richiamo dell’art. 2050 c.c., si risolvono sostanzialmente
nell’imporre al danneggiato una responsabilità di tipo oggettivo100. Si noti che, ai sensi
degli art. 31 e ss. del Codice in materia di protezione dei dati personali (ed
originariamente ai sensi dell’art. 15 della L. 675/96), le misure di sicurezza vengono
prese in specifica considerazione dal dettato normativo, imponendosi, da un lato, che
vengano adottate “idonee e preventive” misure in grado di “ridurre al minimo […] i
rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non
autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta”
e, dall’altro lato, che vengano comunque adottate le misure “minime” di sicurezza,
individuate con separati atti normativi, a pena di configurabilità della specifica ipotesi di
reato prevista dalla medesima normativa101. Pertanto, la sola adozione delle “misure
minime” non vale a sottrarre dalla responsabilità aquiliana prevista dall’art. 15, comma
1, del Codice. Resta ambigua, invece, la rilevanza giuridica dell’adozione di misure di
sicurezza “idonee e preventive” volte a “ridurre al minimo i rischi”, così come previste
ex art. 31 del Codice (già art. 15 della L. 675/96), atteso che tali misure non appaiono
sufficienti ad integrare i requisiti previsti dall’art. 2050 c.c. per la prova liberatoria, ove
espressamente si menziona l’adozione di “tutte” le misure idonee “ad evitare il danno”
(e non a ridurre al minimo il rischio che il danno si verifichi). Ragionando
sull’accortezza usata dal legislatore nel disciplinare l’adozione delle misure di
sicurezza, fino a ravvisare l’esistenza di un illecito penale per l’omessa adozione di
misure minime, ed, infine, riflettendo anche sul rilievo che l’adozione delle misure
minime, pur normativamente indicate, non valga a liberare dalla responsabilità per i
danni cagionati da trattamento di dati personali, sembra possa rinvenirsi una conferma
100
Cfr. ALPA G., op. ult. cit., p. 28.
In ordine alla fattispecie di reato per omessa adozione delle misure minime di sicurezza cfr. l’art. 169
del Codice, già art. 36 della L. 675/96.
101
39
alla tesi della “pericolosità” dell’attività di trattamento, di modo che il richiamo all’art.
2050 c.c. varrebbe non solamente a determinare la disciplina applicabile, ma anche a
riconoscere il carattere “pericoloso” dell’attività di trattamento. Trattasi di pericolosità
non solo per la natura dell’attività, ma anche e soprattutto per la natura dei mezzi
impiegati laddove si ricorra a strumenti informatici per l’elaborazione dei dati. Si noti
che il rischio di lesione non riguarda l’integrità fisica del soggetto, ma l’integrità del
diritto “alla personalità”, del quale costituiscono parte integrante sia il diritto alla
riservatezza ed all’identità personale, sia il diritto alla libertà informatica ed alla
protezione dei dati personali, annoverabili come diritti di nuovissima generazione102.
È utile, in proposito, ricordare quanto è stato autorevolmente affermato in
dottrina, laddove si sono denunciati i limiti di quell’impostazione che considera la
disciplina giuridica della circolazione dei dati personali, a chiare lettere enunciata nella
Direttiva 95/46/CE, secondo una dimensione tipicamente proprietaria, finendo
conseguentemente con il trattare le informazioni personali alla stregua di una
“proprietà” esclusiva dell’interessato, che potrebbe liberamente negoziarne la cessione
103
. Tale posizione, infatti, trascura l’altro aspetto della circolazione dei dati personali,
legato non solo alle conseguenze sociali, ma anche alle conseguenze che coinvolgono
direttamente la sfera giuridica dello stesso interessato, soprattutto in riferimento a
determinate categorie di dati ed a determinate finalità di trattamento, facendo emergere
problemi giuridici che vanno affrontati considerando valori ed interessi che trascendono
quelli puramente proprietari104.
C’è da chiedersi, inoltre, chi sia il soggetto legittimato attivamente nell’ipotesi di
illecito civile di cui si discute. La norma sembra non porre espresse limitazioni e,
pertanto, questi va genericamente individuato in chiunque abbia subito un danno per
effetto del trattamento dei dati personali. Sicuramente è legittimato attivamente il
soggetto interessato, vale a dire il soggetto a cui i dati si riferiscono.
Dubbi sono stati discutibilmente avanzati in ordine alla legittimazione attiva dei
familiari del danneggiato o da coloro che siano legati da un rapporto contrattuale con il
102
Sul dibattito tra tesi monista e tesi pluralista relative ai diritti della personalità cfr., infra, nota n. 7.
RODOTÀ S., Tecnologie e diritti, Bologna, 1995, p. 82.
104
RODOTÀ S., op. cit., p. 82. In tal senso l’A., pur ammonendo che la parola “privacy” esprime
l’indicazione di un valore tendenziale, ricorda anche la definizione ad essa data da A.F. Westin, secondo
cui la medesima si sostanzierebbe nel “diritto dell’individuo di scegliere quel che è disposto a rivelare
agli altri”.
103
40
responsabile105, ma la tesi preferibile pare essere quella estensiva, dato che nessun limite
è rinvenibile nel dettato normativo106. A mero titolo esemplificativo si pensi alle
sofferenze di una donna per la comunicazione o per la diffusione della notizia, in ipotesi
risultata non aggiornata o addirittura erronea, del tradimento del marito con altra donna.
Si osservi che, anche sulla base delle considerazioni offerte dalla recente giurisprudenza
che considera risarcibile il danno subito dai parenti del macroleso, la lesione può essere
giudicata conseguenza diretta anche sulla base di una valutazione del nesso di causalità
secondo i dettami della causalità giuridica, giacché potrebbe essere ravvisata una lesione
diretta della sfera giuridica del familiare dell’interessato. Nell’esempio fatto la
risarcibilità conserva margini di incertezza, ma, pur accogliendo la tesi positiva, soffre
dei limiti previsti per il risarcimento del danno non patrimoniale, sul quale ci si
soffermerà nel prosieguo.
La legittimazione attiva potrebbe inoltre essere invocata dal soggetto, solitamente
un’impresa, che utilizza, in forza di un contratto ad hoc, i dati trattati da altri. Si pensi
ad una società che acquista un pacchetto di dati personali per la vendita di beni o per la
prestazione di servizi a soggetti determinati, che rispondano a specifici profili (e che,
per ipotesi, abbiano dato il loro consenso al trattamento ed alla comunicazione per tali
finalità). Ipotizzando che i dati non siano aggiornati o siano errati (ad es.: indirizzi
geografici mutati; nomi riportati erroneamente, per errori materiali di battitura;
inserimento di valori in campi ad essi non corrispondenti; etc.), il soggetto che riceve la
comunicazione di tali dati potrebbe conseguire un danno per effetto del trattamento,
anche se non si tratta di dati personali propri, bensì di dati personali altrui. Sulla base
dell’esempio proposto, ci si chiede, dunque, se sia invocabile la responsabilità di cui
all’art. 15, comma 1, del Codice, con applicazione della disciplina di cui al richiamato
art. 2050 c.c. Dal tenore letterale della norma sembrerebbe di sì, atteso che la stessa non
si riferisce al trattamento di dati personali “propri”, omettendo una precisazione che
altrimenti si sarebbe potuta prevedere esplicitamente.
Ritornano, allora, talune considerazioni in ordine all’art. 2050 c.c. ed alla sua
giustificazione sul piano sistematico.
Nel caso da ultimo prospettato, si noti, il maggior favore per il danneggiato non si
configura a protezione del “diritto alla personalità” dell’interessato o, eventualmente,
105
106
Cfr. il resoconto critico offerto da SICA S., op. cit., p. 184.
SICA S., op. cit., p. 184.
41
dei suoi familiari, ma risponde ad esigenze diverse, cioè a logiche marcatamente
economiche e di tutela degli investimenti effettuati e delle aspettative maturate, il tutto
in un settore segnato dalla necessità di un rapido raggiungimento dei risultati per una
efficiente permanenza nel mercato. Ricordando che, com’è stato efficacemente ribadito,
“il concetto moderno di pericolosità include anche quelle attività che, pur non ponendo
in pericolo l’incolumità fisica degli individui, incidono sulla loro personalità”
107
, va
osservato che, nel cotesto di cui all’esempio da ultimo proposto, l’art. 2050 c.c. (in
connessione con l’art. 15, comma 1, del Codice) attenua la sua riferibilità al concetto di
pericolosità dell’attività svolta, stante la natura del diritto a rischio. Infatti, il trattamento
dei dati personali, pur continuando a poter essere valutato in termini di pericolosità con
riferimento ai rischi di lesione del diritto della personalità dell’interessato (o con
riferimento ai rischi di lesione dell’analogo diritto della personalità dei familiari
dell’interessato), rimane comunque assoggettato alla disciplina dettata dall’art. 2050 c.c.
anche nell’ipotesi di danno patrimoniale, frutto di una lesione di interessi economici e
collegati all’esercizio dell’attività d’impresa. Solo il tal caso il rinvio alla disposizione
codicistica pare assolvere la prevalente funzione di individuazione della disciplina
applicabile, di maggior favore per il danneggiato. Si osservi come tale rilievo non
conduca necessariamente ad un’incongruenza sistematica, giacché la risarcibilità di
danni patrimoniali ex art. 2050 c.c. non contraddice il concetto di pericolosità
dell’attività di trattamento, il quale rimane pur sempre collegato al grave rischio di
lesione del diritto alla personalità (soprattutto in riferimento al diritto alla protezione dei
dati personali, alla libertà informatica, alla riservatezza ed all’identità personale)
derivante dall’esercizio stesso dell’attività di trattamento, in special modo quando
questo concerna dati sensibili. Al riguardo basti considerare che il danno cagionato
all’impresa per effetto del trattamento di dati personali altrui si accompagna solitamente
al verificarsi di un danno anche per il soggetto interessato.
L’art. 2050 c.c., dunque, proprio per le sue connessioni con la normativa speciale
richiamante, si arricchisce di significati giuridici nuovi, estendendo il concetto di
pericolosità alla lesione del diritto fondamentale alla personalità, negli aspetti che la L.
675/96 ed il Codice in materia di protezione di dati personali hanno inteso proteggere.
107
BUTTARELLI G., op. cit., p. 350. nota n. 437, ove l’A. riassume la tesi di E. Ferri, G. Taddei Elmi, G.
Giacobbe.
42
Anticipando parzialmente quanto si dirà in prosieguo, occorre tracciare
sinteticamente talune riflessioni sull’estensione del risarcimento del danno, ricordando
che ai sensi del combinato disposto degli artt. 15, comma 2, e 11 del Codice (così come,
precedentemente, ai sensi del combinato disposto dell’art. 29, comma 9, e dell’art. 9
della L. 675/96) si considera risarcibile anche il danno non patrimoniale, a prescindere
dalla sussistenza di un’ipotesi di reato.
Tale danno non sembra possa essere risarcito nell’esempio sopra formulato con
riferimento alla lesione degli interessi economici e commerciali dell’impresa. Tale
argomentazione, apparentemente ovvia, vale tuttavia a far riflettere sull’applicazione
automatica degli articoli da ultimo citati, così come può leggersi anche nella sentenza in
commento. V’è da osservare, infatti, che, per tradizionale orientamento della
giurisprudenza, il danno non patrimoniale risarcibile ai sensi dell’art. 2059 c.c. consiste
in primo luogo in una sofferenza psichica (c.d. danno morale soggettivo) distinta sia dal
danno patrimoniale, sia dal danno biologico. Ebbene, suddetta sofferenza va ricollegata
necessariamente non al dato “formale” della violazione della disposizione di legge, ma
al dato “sostanziale” della lesione dell’interesse tutelato e dell’attitudine di tale lesione a
produrre sofferenze psichiche.
Ne deriva che l’accertamento del danno morale soggettivo deve essere effettuato
in relazione al caso concreto, con esclusione di rigidi automatismi volti ad individuare il
pregiudizio non patrimoniale in re ipsa.
Ciò non significa che il risarcimento del danno morale vada sottoposto ad un
vaglio restrittivo, ma che la risarcibilità deve pur sempre essere ricondotta sul piano
logico all’esistenza di una sofferenza psichica cagionata dal trattamento dei dati
personali, il cui accertamento potrà essere eventualmente fondato anche sulla base di
ragionamenti deduttivi condotti nell’ambito di un rapporto di causalità adeguata,
secondo l’id quod plerumque accidit, alla quale deve seguire, in caso di esito positivo
della valutazione, la quantificazione del danno secondo i noti criteri equitativi.
Deve trattarsi, dunque, di lesione di diritti suscettibili di produrre sofferenza
psichica. Non pare abbiano tale rilevanza quelli di ordine meramente strumentale (come
per i diritti ex art. 11 del Codice, e, precedentemente, ex art. 13 della L. 675/96). A
diversa conclusione può giungersi, invece, nell’ipotesi in cui la lesione concerna
direttamente il diritto alla personalità, nei suoi aspetti tutelati dalle norme speciali in
argomento.
43
Tuttavia deve tenersi ben presente che il danno non patrimoniale non si identifica
con il danno morale subiettivo, contemplando anche quei danni che, diversi dai patemi
d’animo, dalla sofferenza psichica e dagli stress emozionali, non determinano una
lesione al patrimonio, come avviene per i danni cagionati al diritto alla personalità. Si
pone, pertanto, il problema di come affrontare sul piano sistematico la questione relativa
agli strumenti rimediali da accordare a tali rilevanti pregiudizi.
Si segnala, sul punto, la strada percorsa da quell’interessante tesi dottrinale che,
muovendo dalle riflessioni già prodottesi sul danno biologico come tertium genus di
danno non riconducibile a quello patrimoniale, né a quello non patrimoniale, ma pur
sempre tutelabile ex art. 2043 c.c. in quanto danno ingiusto, rivendica una tutela analoga
anche per le lesioni al diritto della personalità, che sono altro dalla sofferenza psichica o
dal danno morale soggettivo e nei confronti delle quali, pertanto, sarebbe forzata la
sussunzione sotto l’art. 2059 c.c., stante le interpretazioni restrittive che la
giurisprudenza ha formulato con riguardo a tale norma108.
Va tuttavia tenuto presente che ora l’orientamento giurisprudenziale sembra
mutato. Recentemente la Corte di Cassazione, in una significativa pronuncia109, ha
voluto riscrivere il ragionamento giuridico intorno al rapporto tra 2043 e 2059 c.c.,
assegnando all’espressione “danno non patrimoniale” di cui all’art. 2059 c.c una
accezione non limitata al solo danno morale subiettivo, ma estesa anche a tutti quei
danni che, come quelli inerenti alla persona, non sono suscettibili di valutazione
economica, né, dunque, di essere valutati come danno patrimoniale (ossia come mera
lesione al patrimonio). Preannunziando addirittura una rimeditazione dei criteri di
risarcibilità dello stesso danno biologico, la Suprema Corte ha voluto conferire maggior
vigore all’art. 2059 c.c. rispetto al significato giuridico ad esso tradizionalmente
assegnato, dichiarandone la sola funzione tipizzante, disancorando tale norma dalla
rigidità che la stessa aveva assunto nella sua lettura congiunta con l’art. 185 c.p.
108
Cfr., inter alios, FRANZONI M., Il risarcimento del danno per lesione dei diritti della personalità su
Internet, in NIVARRA L., RICCIUTO V. (a cura di), “Internet e il diritto dei privati. Persona e proprietà
intellettuale nelle reti telematiche”, Torino, 2002, p. 134 e ss. L’A., a proposito del danno per lesione dei
diritti della personalità, afferma testualmente che “una volta dato per assodato che il danno non
patrimoniale dell’art. 2059 c.c. si identifica con il danno morale soggettivo, si deve concludere che tutti
questi problemi devono trovare soluzione nella nozione di danno contenuta nella parte finale dell’art.
2043 c.c. Ed è legittimo equiparare l’art. 2059 c.c. all’art. 185 c.p., poiché la giurisprudenza, anche della
corte costituzionale, non ha mai separato queste norme”.
109
Cass., 31 maggio 2003 n. 8828; ma cfr. anche Cass., 31 maggio 2003 n. 8827.
44
L’effetto giuridico prodotto è quello di aprire nuovi varchi alla risarcibilità del
danno non patrimoniale, ora anche dalla giurisprudenza inteso sia quale danno morale
soggettivo (sofferenza psichica, patemi d’animo, stress emozionali, ecc.), sia quale
lesione del diritto alla personalità, non inquadrabile in un pregiudizio al patrimonio.
Viene pertanto annunciata la funzione tipizzante dell’art. 2059 c.c., sulla base
della quale il danno non patrimoniale, nella sua accezione più estesa, è da risarcire sia
nelle ipotesi espressamente previste dalla legge, tra le quali quella di cui all’art. 15,
comma 2, del Codice in materia di protezione dei dati personali (già art. 29, comma 9,
della L. 675/96), sia nelle ipotesi in cui la lesione concerna situazioni giuridiche con
copertura costituzionale, sulla base dell’assunto che la compressione del risarcimento ai
soli danni patrimoniali finirebbe per costituire un inammissibile rifiuto della tutela
accordata dalla carta costituzionale, proprio nella parte in cui la risarcibilità è negata con
riferimento ai danni non patrimoniali. Ed ecco allora che il “diritto alla personalità”, a
cui la dottrina riconduce anche i nuovissimi diritti alla “libertà informatica” ed alla
“protezione dei dati personali”, oltre che quelli alla “riservatezza”, all’ “identità
personale” ed alla “dignità personale”, trova nuova linfa nel nostro ordinamento
giuridico, potendosi intravedere più ampi margini di esperibilità delle tecniche rimediali
poste a tutela dei diritti in questione.
6.2. Connessioni con il regime codicistico di responsabilità civile, in riferimento
agli artt. 2043 e 2050 c.c.
In dottrina, così come in giurisprudenza, si è posto il problema se l’art. 15, comma
1, del Codice, così come il previgente art. 18 della L. 675/95, nel richiamare l’art. 2050
c.c., escludesse il ricorso al regime generali di responsabilità civile di cui all’art. 2043
c.c.110. S’è detto che una medesima fattispecie può ben essere ricondotta alle diverse
norme che garantiscono la risarcibilità del danno, potendosi ammettere il principio del
110
In uno dei pochi precedenti giurisprudenziali aventi ad oggetto il regime di responsabilità per danni da
trattamento illecito di dati personali, si noti, l’autorità giudicante non ha tenuto conto dell’ allora vigente
art. 18 della L. 675/96 (attuale art. 15, comma 1, del Codice), omettendo conseguentemente di considerare
la tutela di cui all’art. 2050 c.c., di maggior favore per il danneggiato. Viceversa, ha ritenendo di poter
applicare il regime generale di cui all’art. 2043 c.c., rinvenendone i presupposti. Cfr. Trib. Milano 13
aprile 2000, n. 3926, in Foro it., 2000, c. 3004, con nota di SICA S., Danno morale per lesione della
“privacy”: domicilio ed essenzialità della notizia, in Diritto dell’informazione e dell’informatica, 2000,
pp. 469 e ss.; da COLONNA V., Tutela della “privacy” tra regole di mercato e poteri individuali, in Danno
e responsabilità, 2001, p. 75 e ss.; nonché da BRAVO F., Responsabilità per danno da trattamento di dati
personali, in ALPA G. (a cura di), “Casi scelti in materia di responsabilità civile”, Padova, Cedam, 2003,
in corso di pubblicazione.
45
cumulo delle tutele, con la conseguenza che al giudice non è precluso individuare
nell’art. 2043 c.c. la fonte della responsabilità aquiliana per danni da trattamento di dati
personali, laddove sia stata raggiunta la prova in ordine a tutti gli elementi dell’illecito,
prescindendo dalla norma di maggior favore sul piano probatorio enunciata ex art. 2050
c.c.111. C’è da domandarsi, tuttavia, il senso di una scelta simile. La risposta può essere
rinvenuta nella motivazione di un noto precedente giurisprudenziale112, la quale, seppur
stringata sul punto, riconosce la risarcibilità del solo danno morale in quanto
specificamente previsto dal disposto dell’ultimo comma dell’art. 29, della L. 675/96, “al
di là delle ipotesi tradizionalmente riconnesse all’art. 2059 c.c.”.
Ebbene, le “ipotesi tradizionalmente riconnesse all’art. 2059 c.c.”, com’è noto,
sono quelle in cui la fattispecie integra anche un illecito penale, giusta la connessione
della citata norma codicistica con l’art. 185, comma 2, c.p., per il quale ogni reato, che
abbia cagionato un danno patrimoniale o “non patrimoniale”, obbliga al risarcimento il
“colpevole” e le persone che, a norma delle leggi civili, debbono rispondere per il fatto
di lui. Il ragionamento che è dato evincere dalla motivazione della precedente in esame
sembra dunque fondato proprio su tale specifica e tradizionale modalità risarcitoria del
danno morale, con applicazione di una norma civilistica nella quale l’elemento della
colpevolezza non è presunto, ma è oggetto di un concreto accertamento. Sono preziose,
a tal proposito, le parole di un’attenta dottrina, la quale, in sede di primo commento alle
disposizioni della L. 675/96 ora confluite nell’art. 15, comma 2, del Codice, constatava
che “il profilo di più immediato significato esegetico concerne la legittimazione passiva
dell’azione per il risarcimento del pregiudizio non patrimoniale. È, infatti, opinione
giurisprudenziale diffusa che se la responsabilità viene affermata sulla base di una
presunzione o di un criterio di imputazione oggettivo – ovvero in assenza
dell’accertamento di una condotta concretamente qualificata sotto il profilo penale – il
danneggiante non sarà tenuto a risarcire il danno morale (Cass. 3278/86). In maniera
specifica si considera non ammissibile il risarcimento del danno in esame quando la
responsabilità del fatto materiale si afferma ‘secondo criteri d’imputazione previsti
dall’art. 2050 cod. civ.’ (Cass. 5799/80)” 113. Sulla scorta di tali premesse se ne è fatto
derivare che “In linea teorica […] potrebbe essere ravvisata una responsabilità da
111
SICA S., op. ult. cit.
Cfr. nota n. 109.
113
SICA S., Commento all’art. 29, comma 9, in GIANNANTONIO E., LOSANO M.G., ZENO ZENCOVICH V. (a
cura di), op. cit., p. 290.
112
46
trattamento «ai sensi dell’art. 2050 del codice civile» (ex art. 18 l.n. 675/96) e, tuttavia,
non vedendo accertata una concreta condotta colposa, in violazione dell’art. 9, o di altra
fattispecie di rilievo penale, il danno morale non dovrebbe essere riparato. Una simile
impostazione, per quanto discutibile in base al tenore complessivo della l.n. 675/96 –
che pare privilegiare l’ottica del soggetto interessato dal trattamento – è coerente sul
piano logico; delle due l’una: o è avvenuta la violazione dell’art. 9 ed allora la prova di
aver adottato «tutte le misure idonee» è preclusa in re ipsa al danneggiante; ovvero, non
si sono avute né l’inosservanza della citata disposizione, né la sussistenza di altra
condotta, colposa e, tuttavia, l’autore non riesce ad esonerarsi, perché non è in grado di
vincere, altrimenti, la presunzione, di cui all’art. 2050 cit. […]. Ed allora il favor per la
vittima del trattamento è sì assicurato, ma, non è esteso al danno non patrimoniale”114.
Proprio a tali percorsi logici sembra essersi attenuto il giudice nella pronuncia di
cui al segnalato precedente, laddove si è preferito ravvisare una responsabilità ex art.
2043 c.c., in applicazione della clausola generale basata sul principio del neminem
laedere, lasciando intendere che l’elemento della colpevolezza sarebbe da rinvenire
nella violazione dei criteri normativamente fissati, ora, nel disposto di cui all’art. 11 del
Codice, ed indicanti le modalità di raccolta ed i requisiti che i dati personali oggetto di
trattamento devono avere. Non rinvenendo danni patrimoniali risarcibili, però, avrebbe
trovato liquidazione il solo danno morale, ai sensi dell’art. 29, comma 9, della L.
675/96, ora confluito dell’art. 15, comma 2, del Codice.
Avverso tale ragionamento, per la verità, si potrebbe obiettare che l’art. 2059 c.c.,
nel dettare i confini per la risarcibilità del danno non patrimoniale, si limita ad indicare
esclusivamente un principio di tipicità, sulla base di una espressa previsione di legge
(“il danno non patrimoniale deve essere risarcito solo nei casi determinati dalla legge”).
Ne deriva che il legislatore potrebbe indicare ipotesi specifiche di risarcimento del
danno non patrimoniale anche per illeciti che non integrano affatto ipotesi di reato e,
comunque, che prescindano dall’accertamento in concreto della colpevolezza del
danneggiante. Ebbene, tale soluzione può essere rinvenuta proprio nelle norme che in
questa sede si commentano, atteso che l’art. 15, comma 2, del Codice esplicitamente
consente il risarcimento del danno non patrimoniale anche nelle ipotesi di violazione
dell’art. 11, senza che si faccia alcun riferimento all’elemento della colpevolezza ed al
suo concreto accertamento.
114
SICA S., op. ult. cit., p. 290.
47
Si noti che ora tale interpretazione trova recenti ed autorevoli conferme
giurisprudenziali, che segnano un netto mutamento rispetto alle passate pronunce.
Con sentenza n. 233 del 2003, infatti, la Corte Costituzionale si è espressa sulla
legittimità dell’art. 2059 c.c., ritenendolo applicabile anche alle ipotesi di responsabilità
civile per “colpa presunta” ovvero nelle ipotesi in cui, stante il suo combinato disposto
con l’art. 185, comma 2, c.p., la fattispecie criminosa venga ritenuta solo
“astrattamente” configurabile, senza necessità che l’accertamento della colpa sia
effettuato in concreto.
Anche la giurisprudenza della Suprema Corte di Cassazione, tra l’altro richiamata
nella citata pronuncia della Corte Costituzionale, ha affermato in più occasioni tale
nuovo orientamento apprezzabile soprattutto per la nota funzione di nomofilachia
115
,
precisando esplicitamente che non osta alla risarcibilità del danno non patrimoniale il
mancato positivo accertamento della colpa del danneggiante, la quale può anche essere
rinvenuta in maniera presuntiva.
Conclusivamente, sul punto, va precisato che l’applicazione dell’art. 2050 c.c., in
forza del richiamo contenuto nell’art. 15, comma 1, del Codice, non preclude il
risarcimento del danno non patrimoniale consentito ai sensi del comma 1, anche se per
l’accertamento della sussistenza dell’illecito extracontrattuale non si effettua un
concreto riscontro in ordine all’elemento della colpevolezza. Il danno non patrimoniale,
pertanto, risulta risarcibile per l’applicazione dell’art. 2059 c.c., in connessione con
l’art. 15, comma 2, e con l’art. 11 del Codice. Si aggiunga che per l’accertamento della
risarcibilità del danno non patrimoniale, nella sua accezione posta in evidenza dalle
recenti pronunce citate, comprensiva del “danno morale soggettivo” e del “danno al
diritto alla personalità”, è doverosa una lettura congiunta dell’art. 2059 c.c. con l’art. 2
Cost. o con altre disposizioni di rango costituzionale, di modo che il rimedio risarcitorio
possa essere accordato in ragione della lesione del supremo valore protetto dalla norma,
anche in assenza di reato 116.
115
Cfr. Cass. 12 maggio 2003 n. 7281 nonché Cass. 12 maggio 2003 n. 7282.
La lettura costituzionale dell’art. 2059 c.c., però, pone problemi delicati nel caso in cui la lesione al
diritto della personalità sia conseguenza dell’esercizio di altri diritti astrattamente tutelati dalla medesima
carta costituzionale. Si pensi, in particolare, al delicato rapporto tra diritto alla riservatezza, all’identità
personale, all’onore, alla reputazione, alla libertà informatica ed alla protezione dei dati personali, da un
lato, ed il diritto di cronaca e di libera manifestazione del pensiero, dall’altro. L’esigenza di trovare un
equilibrio tra le diverse situazioni giuridiche egualmente tutelate dal nostro ordinamento ha fatto sì che la
giurisprudenza della Suprema Corte determinasse i criteri in forza dei quali l’attività giornalistica possa
dirsi esercitata legittimamente, e possa godere, di conseguenza, della copertura costituzionale. Cfr. Cass.
116
48
6.3. Le ipotesi di risarcibilità del danno non patrimoniale da trattamento di dati
personali
Il danno non patrimoniale da trattamento di dati personali incontra, nel nostro
ordinamento giuridico, due distinte modalità risarcitorie.
Com’è noto la prima di esse prevede la risarcibilità del danno non patrimoniale
nelle ipotesi in cui la fattispecie di illecito aquiliano in esame integri anche gli estremi
dell’ipotesi di reato previste dal Codice in materia di protezione dei dati personali. La
costruzione è quella tradizionale, sopra ricordata, che poggia sul combinato disposto
dell’art. 2059 c.c. con l’art. 185, comma 2, c.p., in connessione con le ipotesi di reato
espressamente previste dalla normativa speciale in tema di protezione dei dati
personali117. Occorre ricordare che gli elementi della fattispecie di reato, per il mutato
orientamento giurisprudenziale di cui sopra si è dato conto, devono essere valutati solo
astrattamente sussistenti, senza alcuna indagine in relazione alla fattispecie concreta.
Risulta pertanto ipotizzabile il risarcimento del danno non patrimoniale anche nelle
ipotesi in cui l’elemento della colpa, astrattamente necessario in relazione
all’individuazione della sussistenza dell’illecito penale, venga dedotto in via presuntiva
nell’ambito della ricostruzione della fattispecie di illecito extracontrattuale. Sembra si
possa giungere ad affermare che il risultato non diverge nel caso in cui l’ipotesi di
responsabilità aquiliana a cui si ricorra venga costruita sulla base degli schemi della
responsabilità oggettiva. In tal caso, tuttavia, al giudicante dovrà essere richiesto
l’accertamento della colpa, anche sulla base dei ragionamenti presuntivi, al solo fine di
raggiungere l’accertamento dei presupposti per la risarcibilità del danno non
patrimoniale, pur se siffatto accertamento esula dallo schema di illecito civile
apprezzato secondo il modello della responsabilità oggettiva.
Diversamente ragionando, il danno non patrimoniale cagionato per effetto di
trattamento di dati personali è risarcibile in forza del combinato disposto dell’art. 2059
18 ottobre 1984 n. 5259, con nota di G. Alpa, in ALPA G., Giurisprudenza di diritto privato - annotata da
Guido Alpa, Torino, Giappichelli, 1991, vol. I, pp. 53 e ss. Tra tali criteri si pensi (i) all’utilità sociale
della notizia; (ii) alla veridicità oggettiva o putativa dei fatti esposti, purché, in quest’ultimo caso, frutto di
un lavoro di ricerca serio e diligente; (iii) alla forma “civile” dell’esposizione dei fatti, nonché della loro
valutazione. Al di fuori di tali limiti, il diritto di cronaca non è invocabile. Si noti che, al riguardo, assume
una particolare rilevanza anche la legislazione speciale in materia di protezione dei dati personali, nonché
i codici di deontologia di cui si è detto supra.
117
Cfr. le sanzioni penali ora contemplate ex artt. 167 e ss. del Codice.
49
c.c. con l’art. 15, comma 2, del Codice, in riferimento all’art. 11 del medesimo testo
normativo. In relazione a tale seconda modalità risarcitoria si rinvia a quanto già
diffusamente argomentato supra, pur se di seguito non si rinuncia a tracciare ulteriori
riflessioni. È questa la soluzione accolta nel precedente sopra richiamato, il quale
tuttavia, come già ricordato, fonda l’analisi dell’illiceità del danno sull’art. 2043 c.c. e
non, come sarebbe stato preferibile, sul combinato disposto dell’artt. 18 della L. 675/96
(ora art. 15, comma 1, del Codice) con l’art. 2050 c.c. Si tenga presente che,
parafrasando la parte motiva della citata sentenza n. 8828/2003 della Suprema Corte,
l’art. 2059 c.c. non delinea un’autonoma e distinta figura di illecito produttiva di danno
non patrimoniale, ma consente, nei casi determinati dalla legge, la riparazione di danni
anche non patrimoniali (eventualmente in aggiunta a quelli patrimoniali nel caso di
congiunta lesione di interessi di natura economica e non economia), dato che il
risarcimento in esso previsto postula la verifica della sussistenza di tutti gli elementi
costitutivi della struttura dell’illecito civile di volta in volta preso in considerazione.
Va ricordato però che, anche con riferimento a tale modalità di risarcimento del
danno non patrimoniale, si propone il tema dell’irrilevanza della costruzione della
fattispecie di illecito aquiliano in termini di colpa presunta o di responsabilità oggettiva,
giacché anche in tal caso la risarcibilità del danno non patrimoniale prescinde dal
concreto accertamento della colpa, considerando soprattutto che non si deve procedere
ad alcun accertamento di reato.
Rimane da considerare uno dei temi più delicati relativi al regime speciale di
responsabilità di cui in questa sede si discute, emergente dal richiamo della violazione
dell’art. 11 del Codice quale presupposto per la tutela risarcitoria del danno non
patrimoniale che non sia conseguenza di reato. Infatti, stante il tenore letterale dell’art.
15, comma 2, del Codice in materia di protezione dei dati personali, c’è da chiedersi se
il risarcimento del danno non patrimoniale possa discendere dal mero accertamento
della violazione dei criteri di cui all’ art. 11 del Codice, tra i quali è da tener presente
quello onnicomprensivo di cui al comma 1, lett. a, che impone che i dati siano trattati
“in modo lecito” (e “secondo correttezza”). È chiaro che la “liceità” del trattamento è da
valutare il relazione ai principi ed alle norme fissate nel Codice in materia di protezione
dei dati personali. Si arriverebbe, quindi, alla conclusione che ogni ipotesi di danno da
trattamento “illecito” di dati personali di cui all’art. 15, comma 1, del Codice, generi al
contempo l’automatica risarcibilità del danno non patrimoniale, per il combinato
50
disposto dell’art. 15, comma 2, ed art. 11 del Codice. Se così fosse dovrebbe però
ammettersi che la lesione del danno non patrimoniale sia in re ipsa.
Tuttavia l’illiceità del trattamento potrebbe comportare non una violazione
immediata del diritto fondamentale alla personalità dell’interessato, bensì, a titolo di
esempio, dei diritti strumentali indicati nell’art. 7 del Codice, tra i quali sono da
annoverare (i) il diritto di accesso; (ii) il diritto ad ottenere la conferma dell’esistenza o
meno dei propri dati personali; (iii) il diritto ad ottenere l’indicazione dell’origine dei
dati, delle finalità e delle modalità del trattamento, della logica applicata in caso di
trattamento effettuato con l’ausilio di strumenti elettronici, degli estremi identificativi
del titolare, dei responsabili e del rappresentante designato, nonché dei soggetti o delle
categorie di soggetti ai quali i dati personali possono essere comunicati o che possono
venire a conoscenza dei dati in qualità di rappresentante designato, responsabile o
incaricato del trattamento; (iv) il diritto ad ottenere l’aggiornamento, la rettificazione o
l’integrazione dei dati, nonché la loro cancellazione o la loro trasformazione in forma
anonima o il loro blocco nei casi di dati trattati in violazione di legge o in difformità agli
scopi della raccolta; (v) il diritto ad opporsi al trattamento nelle ipotesi specificamente
previste.
Al riguardo, in sede di commento della L. 675/96, è stato affermato che “il
collegamento tra l’art. 18 e l’art. 29, ultimo comma, della legge n. 675/96 consente di
ritenere che la legge sembra aver voluto garantire una tutela risarcitoria, escludendo
ogni condizionamento patrimonialistico, non solo relativamente alla lesione dei diritti
fondamentali in sé, bensì anche in relazione a tutte le situazioni giuridiche soggettive
che «ruotano» intorno ai diritti della riservatezza, della identità personale e della dignità
della persona umana in genere. Infatti, l’estensione della risarcibilità del danno non
patrimoniale anche alla mancata osservanza delle regole sulle modalità di raccolta e sui
requisiti dei dati, di cui all’art. 9, sembra giustificare tale lettura. Sicché sembra si possa
sostenere che la risarcibilità si estenda anche ai «diritti» elencati nell’art. 13 legge n.
675/96, i quali sembrano costituire delle situazioni giuridiche soggettive «ruotanti»
intorno ai diritti fondamentali e che vengono in rilievo con l’ «apertura» di un
«trattamento». […] Se si analizzano da vicino tali «diritti» […], essi sembrano assumere
una funzione strumentale rispetto alla salvaguardia dei diritti fondamentali che, come
dire, vengono protetti in via preventiva con il riconoscimento a favore dell’eventuale
danneggiato (l’interessato) di talune facoltà o poteri che nascono con l’inizio
51
dell’attività del trattamento. […] [Il] sistema giuridico sembra giustificare la lettura
secondo cui la violazione «in sé» di tali diritti costituisca già lesione del diritto
fondamentale che sta sullo sfondo e di cui quei «diritti» sono una proiezione. Pertanto la
loro violazione (ovverosia l’impedire all’interessato di trasformare i dati o di vederseli
aggiornati e così via) sembra giustificare una richiesta di risarcimento del danno, a
prescindere da ogni valutazione patrimonialistica”118. Diversa è la posizione assunta da
chi, ragionando proprio sulla connessione sistematica dell’allora vigente art. 18 con
l’art. 29, comma 9, della L. 675/96 (ora art. 15, comma 1 e 2, del Codice), ha
sottolineato come il danno risarcibile sia comunque quello che deriva “per effetto” del
trattamento, dovendosi da ciò “dedurre che la lesione ed il danno conseguente non
possono essere considerati presuntivamente esistenti o comunque ex se risarcibili;
necessitano al contrario di un positivo accertamento ed una concreta quantificazione”119.
Infatti la violazione dell’art. 9 della L. 675/96 (ora art. 11 del Codice), soprattutto se si
sostanzia in mera violazione di criteri comportamentali o di disposizioni che
prescrivono adempimenti formali, non è sufficiente ad integrare i presupposti per la
risarcibilità del danno non patrimoniale perché non è indice, di per sé, della sussistenza
degli elementi strutturali dell’illecito, potendo essere semmai apprezzata solamente
come fattore “suscettibile” di determinare la concreta “attitudine” alla produzione del
danno120.
Tra i predetti elementi strutturali deve essere in primo luogo annoverato il
“danno”, quale lesione ad un bene giuridico non patrimoniale (da valutare nella sua
accezione estesa sia al danno morale soggettivo, sia alla lesione del diritto alla
personalità), di cui deve essere accertata l’esistenza. La necessità di tale accertamento
postula che il pregiudizio di cui si chiede il risarcimento, se diverso dalla sofferenza
psichica, si concreti in una lesione al diritto fondamentale della personalità e non ad un
diritto strumentale o ad un interesse al rispetto formale degli adempimenti prescritti
dalla legge speciale in tema di protezione di dati personali.
Per altro verso, prima ancora della natura del diritto leso, occorre che si accerti se
effettivamente una lesione vi sia stata. Data la difficoltà dell’accertamento sul piano
pratico, si ritiene che, soprattutto alla luce dei recenti orientamenti giurisprudenziali che
118
CIRILLO G.P., op. cit., pp. 106 e ss.
COLONNA V., Il sistema della responsabilità civile da trattamento dei dati personali, in PARDOLESI R.
(a cura di), op. cit., vol. II, p. 58.
120
COLONNA V., op. cit., pp. 58 e 61.
119
52
abbandonano il criterio del concreto accertamento della colpa, la prova possa essere
frutto anche di deduzioni o di ragionamenti presuntivi.
La violazione dei criteri indicati nell’art. 11 del Codice può essere allora
determinante a fondare le basi del ragionamento deduttivo, atteso che siffatta violazione
è già di per sé indice della suscettibilità del trattamento a determinare la lesione non
patrimoniale. Nella costruzione dell’illecito di cui all’art. 15, comma 1, del Codice, è il
trattamento che determina, ai fini della ricostruzione della specifica fattispecie di
responsabilità, il danno risarcibile, di modo che quest’ultimo, sul piano causale, risulti
conseguenza del primo. La violazione dell’art. 11 del Codice, dunque, si inserisce nella
valutazione dell’illecito quale dimostrazione non dell’esistenza del danno, ma come
dimostrazione dell’esistenza dell’illiceità del trattamento, capace, per ciò solo, di
determinare concretamente la lesione al bene giuridico che si è voluto proteggere con
l’emanazione della normativa speciale di cui si discute. Ebbene, l’accertamento della
violazione de qua, in relazione all’ipotesi di risarcimento del danno non patrimoniale,
sembra assolvere tale funzione, sostanziandosi non nella prova del danno, ma nella
prova circa l’esistenza della condotta rilevante ai fini della valutazione dell’illecito,
nonché nella valutazione positiva in ordine alla concreta attitudine alla produzione
dell’evento lesivo, la quale andrebbe integrata con altri elementi o fatto oggetto di un
ragionamento deduttivo, eventualmente nell’ambito di un rapporto di causalità da
stimare secondo il principio dell’id quod plerumque accidit, al fine di raggiungere la
prova dell’esistenza del danno non patrimoniale.
La liquidazione, com’è ovvio, è da farsi in via equitativa, sulla base degli artt.
2056 e 1226 c.c.
7. Cessazione del trattamento
La previsione di regole generalmente applicabili a tutti i trattamenti di dati
personali non poteva non prendere in specifica considerazione l’ipotesi della
“Cessazione del trattamento”, disciplinata ex art. 16 del Codice, la quale costituisce
una121 delle fasi più delicate del trattamento medesimo, suscettibile di costituire lo
strumento per facili elusioni alla normativa de qua 122.
121
Annota accortamente PALMIERI A., La conclusione del trattamento e la circolazione di dati personali,
in PARDOLESI R. (a cura di), op. cit., vol. II, p. 786, che “è sufficiente fermarsi alla definizione di
53
Al riguardo, mutuando la propria norma dal precetto già contemplato nella
corrispondente disposizione di cui alla L. 675/96, così come successivamente
modificata ed integrata, l’attuale art. 16, comma 1, del Codice prevede che “In caso di
cessazione, per qualsiasi causa, di un trattamento i dati sono: a) distrutti; b) ceduti ad
altro titolare, purché destinati ad un trattamento in termini compatibili agli scopi per i
quali i dati sono raccolti; c) conservati per fini esclusivamente personali e non destinati
ad una comunicazione sistematica o alla diffusione; d) conservati o ceduti ad altro
titolare, per scopi storici, statistici o scientifici, in conformità alla legge, ai regolamenti,
alla normativa comunitaria e ai codici di deontologia e di buona condotta sottoscritti ai
sensi dell’articolo 12”.
La ratio legis, in sostanza, sembra orientata verso due soluzioni di massima,
ritenute entrambe idonee a garantire un’adeguata tutela all’interessato e, pertanto, da
considerarsi alternative.
Da un lato, infatti, a seguito della suddetta “cessazione” si favorisce la
sterilizzazione del trattamento, mediante la definitiva distruzione dei dati o mediante
l’eliminazione (rectius, la forte compressione) della rilevanza giuridica del trattamento,
in relazione all’operatività della disciplina speciale in esame. Rispondono a tale logica
la prima e la terza delle soluzioni imposte dal dettato normativo, laddove si prescrive o
la distruzione dei dati o la loro conservazione per fini esclusivamente personali
conformemente al disposto dell’art. 5, comma 3, del Codice, seppur con talune
differenze atteso che nella disposizione in tema di cessazione del trattamento, l’uso per
fini esclusivamente personali non è necessariamente collegato ad un trattamento
effettuato esclusivamente da persone fisiche123.
Dall’altro lato, il legislatore ha mostrato di prendere atto che un trattamento di dati
personali costituisce un valore non indifferente sia in ambito economico e sociale, sia in
ambito storico, scientifico e statistico. Conseguentemente ha evitato di lasciare senza
alternative la soluzione poco sopra delineata, consentendo la circolazione dei dati e
l’ultrattività del trattamento, il quale conserva tutta la sua rilevanza agli effetti
trattamento, in cui rientrano anche le operazioni concernenti la cancellazione e la distruzione dei dati, per
rendersi conto che in fondo la cessazione del trattamento altro non è che il trattamento di cessazione”.
122
Cfr. BUTTARELLI G., op. cit., p. 340; TASSONI G., Commento all’art. 16, in GIANNANTONIO E.,
LOSANO M.G., ZENO ZENCOVICH V. (a cura di), op. cit., p. 160; PALMIERI A., op. ult. cit., p. 786.
123
Si ricorda che l’art. 5, comma 3, del Codice stabilisce che “Il trattamento di dati personali effettuato da
persone fisiche per fini esclusivamente personali è soggetto all'applicazione del presente codice solo se i
dati sono destinati ad una comunicazione sistematica o alla diffusione. Si applicano in ogni caso le
disposizioni in tema di responsabilità e di sicurezza dei dati di cui agli articoli 15 e 31”.
54
dell’applicazione della disciplina in materia di trattamento di dati personali. In tal senso
sono da intendere le scelte sub art. 16, comma 1, lett. b e d, del Codice, ove l’ultrattività
del trattamento viene consentita solamente qualora ricorrano determinati presupposti, a
garanzia del rispetto dell’intero impianto normativo. Viene infatti consentita la cessione
dai dati ad altro titolare, purché siano rispettati i principi di compatibilità e di finalità già
previsti ex art. 11, comma 1, lett. b, del Codice, richiedendosi che i dati ceduti siano
“destinati ad un trattamento in termini compatibili agli scopi per i quali i dati sono
raccolti”124. Viene altresì consentita la conservazione o la cessione per finalità anche
diverse rispetto a quelle inizialmente previste, purché ritenute meritevoli di tutela
dall’ordinamento, come per le ipotesi, che sembrano tassative, in cui gli scopi siano
“storici”, “statistici” o “scientifici”. Rimane sempre la necessità, esplicitamente indicata
nel dettato dell’articolo ad esame, che il tutto si svolga “in conformità alla legge, ai
regolamenti, alla normativa comunitaria e ai codici di deontologia e di buona condotta
sottoscritti ai sensi dell’articolo 12”.
Diversamente dalla formulazione del precedente art. 16 della L. 675/96,
nell’attuale testo scompare definitivamente l’obbligo della notificazione al Garante,
nonché la previsione della nullità e della sanzione penali di cui all’art. 39, comma 1,
della legge citata. Alla nullità si sostituisce la previsione dell’inefficacia, mentre nulla
viene più detto con riguardo al profilo sanzionatorio125.
8. Trattamento che presenta rischi specifici. Ancora sul possibile ruolo del
Garante in tema di intelligenza artificiale (con particolare riferimento agli agenti
software utilizzati in ambito negoziale) e modalità del suo intervento
124
Cfr. la Relazione allo schema del Codice in materia protezione dei dati personali, la quale avverte che
“All’art. 16, è stato opportunamente precisato che in caso di cessazione dei trattamenti i dati possono
essere ceduti ad altro titolare, purché destinati ad un trattamento «in termini compatibili» agli scopi
originariamente perseguiti, e non più «per finalità analoghe», così omologando la disposizione a quanto
previsto per il trattamento effettuato da un unico titolare in base al principio di compatibilità del
trattamento dei dati […]”, espresso dall’art. 11, comma 1, lett. b, del Codice.
125
Si tenga ancora una volta presente che la violazione del precetto ad esame può assumere rilevanza ai
sensi del combinato disposto dell’art. 15, comma 1 e 2, e dell’art. 11, comma 1, lett. a, del Codice, in
applicazione dei quali è invocabile il rimedio risarcitorio, anche per danni non patrimoniali, per i danni
cagionati per effetto di un trattamento di dati personali, anche a seguito di cessione. Si noti come si
aprano profili interessanti di discussione in ordine alla possibile estensione della legittimazione passiva,
tra nuovi e vecchi titolari e responsabili del trattamento in caso di cessione dei dati personali. Le esigenze
di economia del discorso impongono di rinviare ad altra sede per le ulteriori osservazioni.
55
A conclusione del Capo dedicato alle norme generali applicabili a tutti i
trattamenti di dati personali l’art. 17 del Codice, rubricato “Trattamento che presenta
rischi specifici”, ai sensi del cui primo comma “Il trattamento dei dati diversi da quelli
sensibili e giudiziari che presenta rischi specifici per i diritti e le libertà fondamentali,
nonché per la dignità dell’interessato, in relazione alla natura dei dati o alle modalità del
trattamento o agli effetti che può determinare, è ammesso nel rispetto di misure ed
accorgimenti a garanzia dell’interessato, ove prescritti”.
La disposizione, riferibile astrattamente a tutti i dati personali, come suggerisce la
sua collocazione sistematica, conferma il generale concetto di pericolosità del
trattamento, che viene ad acuirsi in ipotesi particolari. Si è già messo in evidenza che la
profilazione dei gusti e delle preferenze dell’interessato, sulla base dei dati raccolti e
delle scelte da questi effettuate, è in grado di incidere sui diritti fondamentali tutelati
dall’intero impianto normativo ora coordinato nel Codice. Sono state già ricordate le
significative
osservazioni
circa
gli
effetti
che
possono
scaturire
da
dati
decontestualizzati, anche se non erronei o aggiornati. Tuttavia, in ipotesi peculiari, il
rischio connesso al trattamento dei dati può intensificarsi in relazione a taluni aspetti
specifici.
Si noti che la specificità del rischio è da valutare, stando al precetto normativo
poc’anzi trascritto, con riguardi a diversi possibili parametri. In primo luogo essa va
stimata in relazione alla natura dei dati, anche se, in apertura del dettato normativo ora
in esame, il precetto non trova applicazione per qui trattamenti aventi ad oggetto dati
sensibili o giudiziari. La ragione dell’esclusione non può essere individuata, è ovvio,
nell’assenza di rischi (specifici) per tali tipologie di trattamenti o di dati, ma nella
circostanza che i trattamenti concernenti dati sensibili e giudiziari sono già stati presi in
considerazione con particolari misure volte ad innalzare i livelli di protezione in favore
dell’interessato. Il secondo parametro utilizzabile per valutare la presenza di rischi
specifici concerne le modalità del trattamento. Il terzo, invece, richiede che vengano
considerati i possibili effetti che possono scaturire dal trattamento. La tecnica di
normazione, si noti bene, ha voluto fissare solamente i criteri per l’individuazione dei
trattamenti connotati da rischi specifici, evitando di cristallizzare il precetto in
riferimento a fattispecie predeterminate. L’indagine, pertanto, va condotta ogni volta
che se ne ravvisi la necessità, sulla base dei parametri sopra richiamati.
56
Il precetto acquista importanza anche per la valutazione circa la generale o
specifica pericolosità del trattamento, in quanto esplicitamente il bene a rischio non
viene individuato nella incolumità fisica, della quale si temerebbe la lesione, ma va
ravvisato in tutti i diritti e le libertà fondamentali, anche diverse dal diritto alla salute,
nonché, per espressa previsione normativa dell’art. 17, comma 1, del Codice, nella
“dignità” dell’interessato. Ciò ha delle ripercussioni anche sull’interpretazione del
regime speciale di responsabilità di cui all’art. 15 del Codice, stante il richiamo esplicito
all’art. 2050 c.c. Da autorevole dottrina, infatti, ancor prima dell’emanazione della L.
675/96, è stato negato con forza il carattere di pericolosità dell’attività di trattamento,
ancorché effettuato con l’utilizzo di strumenti informatici, in quanto la pericolosità non
sarebbe da riferire all’uso “informativo” del computer, ma all’uso “cibernetico”126.
Tuttavia, è opportuno ricordarlo anche in questa sede, si è replicato che “il concetto
moderno di pericolosità include anche quelle attività che, pur non ponendo in pericolo
l’incolumità fisica degli individui, incidono sulla loro personalità”127. La dizione
letterale dell’art. 17, comma 1, del Codice conferma tale assunto, ponendo in evidenza
come i rischi di lesione ai diritti o alle libertà fondamentali dell’interessato o alla sua
dignità possano derivare anche per effetto del trattamento, secondo una relazione
causale espressamente considerata dalla legge ai fini della valutazione della specificità
del rischio. Quest’ultima, infatti, deve essere indagata “in relazione […] alle modalità
del trattamento o agli effetti che può determinare […]”.
La norma in commento presenta una formulazione non felice nella parte in cui
dispone che il trattamento connotato da rischi specifici “è ammesso nel rispetto di
misure ed accorgimenti a garanzia dell’interessato, ove prescritti”. Infatti, qualora le
“misure” e gli “accorgimenti” non vengano individuati espressamente ai sensi del
successivo comma 2 (per il quale “Le misure e gli accorgimenti di cui al comma 1 sono
prescritti dal Garante in applicazione dei principi sanciti dal presente codice,
nell’ambito di una verifica preliminare all’inizio del trattamento, effettuata anche in
relazione a determinate categorie di titolari o di trattamenti, anche a seguito di un
interpello del titolare”), ci si potrebbe chiedere se il trattamento possa ritenersi
“ammesso” o no, ai sensi del comma 1. Sembra corretto affermare che, in mancanza di
un’espressa previsione da parte del Garante, il trattamento rimane soggetto alle altre
126
127
Cfr. BORRUSO R., Computer e diritto, Milano, Giuffrè, 1888, vol. I, pp. 320 ss.
BUTTARELLI G., op. cit., p. 350, nota n. 437. Cfr. anche la bibliografia ivi indicata.
57
disposizioni del Codice, senza che lo stesso possa essere precluso dall’omissione delle
misure e degli accorgimenti contemplate nell’articolo in commento. Diversamente
ragionando, infatti, la mancata individuazione di tali espresse misure a tutela
dell’interessato precluderebbe l’esercizio del diritto a trattare i dati, da ritenersi
comunque garantito dal Codice nei limiti del rispetto degli altrui diritti fondamentali,
libertà e dignità128. Pertanto, ove non siano rese le misure o gli accorgimenti de quibus,
ovvero nell’attesa della loro emanazione, il trattamento, ancorché connotato da rischi
specifici, sarà da ritenersi comunque ammissibile, ma in ogni caso soggetto alle
disposizioni dell’intero impianto normativo, tra le quali, in primis, quelle che
impongono l’adozione di misure di sicurezza, nonché quelle relative al risarcimento del
danno da trattamento illecito, tutte da apprezzare con il massimo rigore.
Benché il precetto ora in esame abbia evitato una tipizzazione delle fattispecie da
considerare connotate da rischi specifici (la quale, per la materia ad oggetto del presente
discorso, avrebbe rischiato di irrigidire la tutela accordata all’interessato), deve
segnalarsi che, a ben guardare, nel Codice un’ipotesi tipica di trattamento da rischi
specifici è stata individuata espressamente. Si osservi, infatti, che l’art. 17 è stato fatto
oggetto di esplicito rinvio dal già commentato art. 14, comma 2. Pertanto, una prima
tipizzazione del trattamento connotato da rischi specifici è stata espressamente indicata
dal legislatore proprio con riferimento alle decisioni automatizzate, la cui rilevanza
acquista spessore soprattutto con riguardo all’uso di strumenti informatici di
intelligenza artificiale.
Va evidenziato che l’art. 14, comma 2, del Codice afferma il diritto di opposizione
dell’interessato per i trattamenti di dati personali determinativi della sua personalità o
individuativi del profilo dei suoi gusti o delle sue scelte non può essere esercitato se le
determinazioni basati sui predetti trattamenti vengano adottate “in occasione della
conclusione o dell’esecuzione di un contratto, in accoglimento di una proposta
dell’interessato o sulla base di adeguate garanzie individuate dal presente codice o da un
provvedimento del garante ai sensi dell’articolo 17”.
Dalla connessione delle predette disposizioni si possono dedurre argomentazioni
particolarmente rilevanti nella materia che in questa sede ci occupa.
128
Cfr. l’espressa dizione dell’art. 2, comma 1, del Codice in materia di protezione di dati personali, il cui
incipit espressamente chiarisce che “Il presente testo unico […] garantisce che il trattamento dei dati
personali si svolga […]”.
58
Innanzitutto pare di ricavare che, per i trattamenti connotati da rischi specifici,
l’emanazione, da parte del Garante, del provvedimento volto ad individuare misure ed
accorgimenti appositi, ai sensi dell’art. 17, sterilizza il diritto di opposizione da parte
dell’interessato, fermo restando l’esercizio degli altri diritti.
Il medesimo discorso è da farsi nell’ipotesi in cui vengano utilizzati per la
conclusione del contratto strumenti informatici basati su trattamenti di dati
automatizzati, in grado di effettuare la profilazione dell’interessato o di individuare la
sua personalità. Si noti che il testuale riferimento ad ogni altro tipo di “determinazione
[…] in relazione alla conclusione […] del contratto”, ovvero “in accoglimento di una
proposta dell’interessato […]” rende chiaro il riferimento all’uso di agenti software o ad
altri sistemi di intelligenza artificiale, in grado di giungere autonomamente alla
determinazione in ordine alla eventuale stipulazione del contratto. Il diritto di
opposizione, si aggiunga, è precluso non solo quando l’agente venga utilizzato come
strumento di determinazione delle decisioni volte alla conclusione del contratto, ma
anche qualora la determinazione venga effettuata sulla base di un contratto e di esso ne
costituisca l’esecuzione. Si pensi a talune ipotesi di alternative dispute resolution di
natura tipicamente negoziale, ivi compreso l’arbitrato irritale, le quali potrebbero essere
affidate a sistemi informatici intelligenti.
Un’ulteriore rilevante argomentazione che pare si possa dedurre dalle norme
dianzi citate è di carattere più generale, giacché, a prescindere dalle discussioni
concernenti le possibilità di esercizio del diritto di opposizione da parte dell’interessato,
emerge chiaramente la scelta del legislatore di fissare le prime inequivoche disposizioni
al fine di regolare i fenomeni di utilizzo dell’intelligenza artificiale in ambito
contrattuale. Che gli agenti software funzionino ricorrendo ad una massiccia raccolta di
dati ed effettuando una quanto più meticolosa profilazione possibile del loro utilizzatore
e degli altri soggetti con cui entrano in relazione è ormai noto. Le forti preoccupazioni
concernenti le esigenze di protezione dei dati personali sono state avvertite anche dalla
Commissione delle Comunità europee, la quale, con un Working Paper del 14 febbraio
2002, intitolato “Digital Rights. Background, Systems, Assessments”, ha specificamente
evidenziato i rischi di violazione della privacy connessi alle specifiche modalità di
funzionamento dei cc.dd. Digital Rights Management (DRM), nel cui ambito gli agenti
software vengono utilizzati sia per la gestione digitale del copyright e della intellectual
59
property (management of digital rights), sia per la gestione dei diritti digitali (digital
management of rights)129.
L’uso di agenti software, ormai sempre più esteso in molteplici settori economici
e sociali, rende urgente l’intervento del Garante ai sensi e per gli effetti del richiamato
art. 17, comma 2, del Codice, occorrendo che vengano delineate misure ed accorgimenti
specifici in relazione al trattamento effettuato per loro tramite130.
A tal fine il Garante potrebbe prevedere che gli venga comunicata “in forma
intelligibile” la logica del funzionamento degli agenti software utilizzati a fini negoziali,
ossia il “codice sorgente”, con l’accorgimento di garantirne la segretezza in conformità
con le esigenze di tutela del software. In altre parole, il Garante, per tutelare
l’interessato, potrebbe rendersi destinatario della comunicazione “in forma intellegibile
[…] della logica […] su cui si basa il trattamento”, originariamente prevista nel dettato
dell’art. 13, comma 1, lett. c, num. 1, della L. 675/96, in favore dell’interessato ed ora
mutilata del suo esplicito riferimento alla “forma intellegibile” nella nuova
formulazione del precetto di cui all’art. 7, comma 2, lett. c, del Codice131. Così facendo,
potrebbe effettuare d’ufficio una verifica preventiva della liceità e della correttezza del
trattamento effettuata dall’agente software. La verifica dovrebbe avvenire, dunque,
mediante l’analisi del codice sorgente, preliminarmente alla messa in circolazione
dell’agente. L’esame, ovviamente, sarà condotto sia sotto il profilo tecnico-informatico
che giuridico, di modo che si accerti la corrispondenza del primo al secondo. All’analisi
potrebbe essere d’ausilio l’audizione del soggetto che ha predisposto l’agente o di chi
vanta la titolarità dei diritti di sfruttamento economico. Si noti come quanto appena
rilevato sia ampiamente corrispondente con la dizione letterale dell’art. 17, comma 2, il
quale statuisce che “Le misure e gli accorgimenti di cui al comma 1 sono prescritti dal
129
Cfr., amplius, Commission of European Communities, Digital Rights. Background, Systems,
Assessments, Bruxelles, 14 February 2002, pp. 10, 14, ove viene precisato che “In order to avoid these
risks arising it is essential that, as in other areas, personal data is protected and privacy is guaranteed
also within DRM systems as required in Directive 95/46/EC […]”.
130
La specificità del rischio, si badi bene, risulta connessa alle caratteristiche ontologiche di tali software,
nonché alle loro peculiari modalità di funzionamento, basate sul tracciamento continuo dei profili
dell’utente e sull’incessante reperimento di dati. La “mobilità” e la “proattività” che li caratterizza,
inoltre, li rendono capaci di sopperire ai noti limiti della comunicazione client-server, amplificando
enormemente i rischi di lesione delle situazioni giuridiche che il Codice in materia di protezione dei dati
personali intende garantire.
131
Ai sensi dell’art. 7, comma 2, lett. c, del Codice in materia di protezione dei dati personali, con una
profonda innovazione rispetto a quanto precedentemente previsto, l’interessato ha diritto ora ottenere che
gli venga fornita solamente l’ “indicazione” (e non più la “comunicazione”) della logica (non più “in
forma intelligibile”) applicata in caso di trattamento effettuato, come si trova precisato nel nuovo testo,
“con l’ausilio di strumenti elettronici”.
60
Garante in applicazione dei principi sanciti dal presente codice, nell’ambito di una
verifica preliminare all’inizio del trattamento, effettuata anche in relazione a
determinate categorie di titolari o di trattamenti, anche a seguito di un interpello del
titolare”.
SEZIONE SECONDA
Le condizioni di liceità del trattamento dei dati personali
1. Premessa
Il legislatore delegato, con l’approvazione del Codice in commento, ha optato per
una modifica sostanziale dell’impianto normativo, mutando la collocazione delle norme
fondamentali sui principi di legittimità del trattamento dei dati personali.
La L. 675/96 disciplinava in via generale le condizioni di liceità, applicabili a tutti
i trattamenti di dati ad esclusione di quelli di cui agli abrogati artt. 3 e 4; poneva poi
delle eccezioni alle norme generali per quanto concerneva, in particolare, le categorie
dei dati trattati (ad es. i “dati particolari”132 – artt. 22, 23, 24 L. 675/96 – ), la qualifica
del titolare (ad es. i trattamenti da parte dei soggetti pubblici133 – art. 22 comma 3 e 27
132
Per una più ampia esposizione sul tema del trattamento dei dati particolari (nella loro diversa
qualificazione di dati sensibili, dati sanitari, dati giudiziari), v., tra gli altri, AA.VV., Dati sensibili e
soggetti pubblici: commento sistematico al D.Lgs. 135/99: problemi e casi pratici, Milano, Giuffré, 2000;
ALPA G., La disciplina dei dati personali. Note esegetiche sulla legge 31 dicembre 1996, n. 675 e
successive modifiche, Edizioni SEAM, 1998; BUTTARELLI G., Banche dati e tutela della riservatezza. La
privacy nella società dell’informazione. Commento analitico alle leggi 31 dicembre 1996, nn. 675 e 676
in materia di trattamento dei dati personali e alla normativa comunitaria ed internazionale, Milano,
Giuffrè, 1997; CIRILLO G.P., Il trattamento pubblico dei dati sanitari,in LOIODICE A., SANTANIELLO G. (a
cura di). “La tutela della riservatezza”, Padova, Cedam, 2000; DI CIOMMO F., La privacy sanitaria, in
PARDOLESI R., “Diritto alla riservatezza e circolazione dei dati personali, Milano, Giuffrè, 2003;
MASCHIO F., I dati sensibili, in CLEMENTE A. (a cura di) “Privacy”, Padova, Cedam, 1999; MONDUCCI J.,
Diritti della persona e trattamento dei dati particolari, Milano, Giuffrè, 2003; Scalisi A., Il diritto alla
riservatezza, Milano, Giuffrè, 2002; ZENO-ZENCOVICH V., Articolo 22 (Dati sensibili), in GIANNANTONIO
E., LOSANO M.G., ZENO-ZENCOVICH V. (a cura di), “La tutela dei dati personali. Commentario alla L.
675/96”, Padova, Cedam, 1997; MINARDI S., Articolo 23 (Dati inerenti alla salute), in GIANNANTONIO E.,
LOSANO M.G., ZENO-ZENCOVICH V. (a cura di), op. cit.; GALDIERI P., Articolo 24 (Dati relativi ai
provvedimenti di cui all’art. 686 del codice di procedura penale, in GIANNANTONIO E., LOSANO M.G.,
ZENO-ZENCOVICH V. (a cura di), op. cit.
133
Si veda, tra gli altri, V. BUTTARELLI G., op. cit.; CIRILLO G.P., La tutela civilistica nel trattamento
pubblica dei dati personali, in LOIODICE A., SANTANIELLO G. (a cura di), op. cit.; KRASNA T., Diritto alla
riservatezza e diritto d’accesso ai documenti amministrativi alla luce delal legge 675/96, in CLEMENTE A.
(a cura di), op. cit.; AA.VV., Dati sensibili e soggetti pubblici: commento sistematico al D.Lgs. 135/99:
problemi e casi pratici, Milano, Giuffré, 2000; Masucci S.T., Tutela della riservatezza e obblighi di
rispetto dei soggetti pubblici, in PARDOLESI R. (a cura di), op. cit.; GRISOSTOMI TRAVAGLINI L., Articolo
27 (Trattamento da parte di soggetti pubblici), in GIANNANTONIO E., LOSANO M.G., ZENO-ZENCOVICH V.
(a cura di), op. cit.
61
della L. 675/96 – ) o, unitamente a quest’ultima, le finalità del trattamento (v. il
trattamento per finalità giornalistiche134 – art. 25 L. 675/96 – ).
Il Codice, sul punto, disciplina le condizioni di liceità del trattamento dei dati
personali nella Titolo III della Parte I. In tale contesto pone le regole generali applicabili
indifferentemente a tutti i trattamenti (salvo che le medesime disposizioni, ai sensi
dell’art. 6, non vengano derogate nella Parte II del Codice), per poi diversificare le
disposizioni a seconda che gli stessi siano effettuati dai soggetti pubblici (Capo II) o dai
soggetti privati (Capo III). Le norme contenute nel Capo I del Titolo III, pertanto, si
applicano a tutti i trattamenti mentre quelle contenute nei capi successivi altro non
fanno che integrarle a seconda della qualità del titolare.
Pare essenziale evidenziare che le norme dei Capi II e III, pur essendo contenute
nella stessa Parte I, si applicano ciascuno ai soli trattamenti effettuati dai soggetti
menzionati nella rispettiva rubrica non tanto in virtù del principio papinianeo in toto
iure generi per speciem derogatur, bensì per la evidente incompabilità tra le rispettive
singole disposizioni. Tanto più che, onde dirimere ogni questione sul punto, il
legislatore delegato ha chiarito tale diversificazione nell’art. 18 comma 1, secondo il
quale “[l]e disposizioni del presente capo riguardano tutti i soggetti pubblici esclusi gli
enti pubblici economici”, per i trattamenti soggetti al Capo II, e nell’art. 23, il quale
disciplina “[i]l trattamento di dati personali da parte di privati o di enti pubblici
economici […]”, per quelli soggetti al Capo III.
2. Il trattamento dei dati personali da parte dei soggetti privati
2.1. Il consenso
L’art. 11 della L. 375/96 ha codificato sin dall’origine il principio del consenso, poi
inserito nell’attuale art. 23 del Codice, secondo il cui comma 1 “il trattamento dei dati
134
Si veda, più ampiamente, BUTTARELLI G., op. cit.; DE SIERVO U., Diritto all’informazione e tutela dei
dati personali, in Foro italiano, 1999, V, p. 66; GOLA M., Privacy e giornalismo, in LOSANO M.G. (a cura
di), “La legge italiana sulla privacy. Un bilancio dei primi cinque anni”, Roma, 2001; PUTIGNANI A.,
Informazione e deontologia del giornalista, in CLEMENTE A. (a cura di), “Privacy”, Padova, Cedam, 1999;
DE NIGRIS P., Il diritto di cronaca, in CLEMENTE A. (a cura di), op. cit.; FILIPPI C., Il trattamento dei dati
personali nell’ambito dell’attività giornalistica e di informazione, in LOIODICE A., SANTANIELLO G. (a
cura di), op. cit.; PALMIERI A., Trattamento dei dati personali e giornalismo: alla ricerca di un equilibrio
stabile, in PARDOLESI R. (a cura di), op. cit.; SCALISI A., Il diritto alla riservatezza, Milano, Giuffrè,
2002; VOTANO G., Art. 25, in GIANNANTONIO E., LOSANO M.G., ZENO-ZENCOVICH V. (a cura di), op. cit.
62
personali da parte di privati o di enti pubblici economici è ammesso solo con il
consenso espresso dell’interessato”.
Come si è più volte rimarcato, l’abrogata L. 675/96, pur essendo finalizzata alla
protezione di tutte le libertà fondamentali dell’individuo, ha codificato il diritto alla
privacy, inteso quale diritto al controllo della circolazione delle informazioni che
riguardano l’interessato; tale “nuovo” diritto della personalità, nella sua più alta
espressione, pone quale requisito centrale il consenso informato dell’interessato135. A
favore di tale lettura del ruolo ricoperto dal consenso, del resto, si muove l’art. 24,
laddove prevede ipotesi nella quali il trattamento è ammesso anche senza lo stesso, con
ciò derogando alla regola generale codificata dal citato art. 23.
L’art. 23 comma 2, analogamente al disposto dell’art. 11 comma 2 L. 675/96,
precisa che “il consenso può riguardare l’intero trattamento ovvero una o più operazioni
dello stesso”, così riconoscendo espressamente il diritto dell’interessato di optare tra la
possibilità di acconsentire all’intero complesso di operazioni che costituiscono il
“trattamento”, oppure all’esecuzione di una o più tra le medesime. La finalità della
norma è chiaramente quella di consentire all’interessato di evitare l’esecuzione di
operazioni che egli ritenga maggiormente lesive dei propri diritti fondamentali, pur
acconsentendo alle operazioni residue, magari essenziali per l’esecuzione di un
contratto o di una clausola dello stesso136.
Nel prosieguo l’art. 23 comma 3 individua i requisiti di validità del consenso,
precisando che lo stesso “è validamente presentato solo se è espresso liberamente e
specificamente in riferimento ad un trattamento chiaramente individuato, se è
documentato per iscritto, e se sono state rese all’interessato le informazioni di cui
all’art. 13”.
Viene ribadito, anche nella stesura del Codice, il principio del consenso informato,
secondo il quale la validità dell’assenso dell’interessato è condizionato alla previa
informativa. L’obbligo per il titolare di fornire l’informativa prima di raccogliere il
135
Sul punto COMANDÈ G., Artt. 11, 12, in GIANNANTONIO E., LOSANO M.G., ZENO-ZENCOVICH V. (a
cura di), op. cit., p. 114 evidenzia che “[i]l requisito del consenso rappresenta l’espressione più compiuta
di quella libertà positiva di controllare i dati riferiti alla propria persona ed usciti dalla propria sfera di
riservatezza in cui si sostanzia la libertà informatica intesa come diritto di autotutela della propria identità
informatica”
136
Sul punto v. BUTTARELLI G., op. cit., p. 285 il quale precisa che “[a]l tempo stesso, il comma 2 precisa
che non v’è bisogno di rioettenere il consenso dell’interessato operazione dopo operazione, ovvero ai fini
della divulgazione dei dati, semprechè il consenso sia rapportato univocamente all’intero spettro delle
operazioni indicate nell’art. 1.”.
63
consenso137 è senza dubbio finalizzato a garantire il controllo sotteso all’essenza del
diritto alla privacy. Di certo non potrebbe ritenersi il consenso espressione della libertà
del soggetto e, soprattutto, di libertà consapevole, qualora quest’ultimo non sia a
conoscenza dei requisiti fondamentali del trattamento138. Sul punto occorre considerare
che il Codice richiede la previa informativa per la “validità” del consenso; con ciò
l’eventuale omissione dell’obbligo di “previa informativa” renderebbe il consenso nullo
e, quindi, illegittime le operazioni eseguite sulla base dello stesso139.
L’art. 23 comma 3 del Codice (così come il precedente art. 11 comma 3 della L.
675/96) richiede poi che il consenso sia libero, specifico e documentato per iscritto, con
ciò andando oltre la mera “inequivocabilità” richiesta dall’art. 7 della Direttiva
95/46/CE.
La libertà di cui all’art. 23 è finalizzata ad imporre la prestazione di un consenso
alieno da vizi, per ciò estraneo a qualsiasi coartazione o falsa rappresentazione della
volontà. In questi termini, pertanto, al momento della prestazione, la volontà
dell’interessato deve essere manifestata in assenza di dolo, violenza, errore, o
incapacità, anche solo temporanea e non manifesta al titolare. Sul punto si ritiene che
non siano applicabili al consenso de quo i limiti posti dal codice civile alla rilevanza dei
vizi, così ammettendo che possa inficiarne la validità anche la mera presenza al
momento della prestazione, e senza che possano venire in considerazione la
riconoscibilità dell’errore, il motivo ad esso sotteso, il fatto che l’incapacità sia stata
causata dallo stesso interessato o l’eventualità che il dolo o la violenza non fossero note
al titolare, al responsabile o all’incaricato del trattamento. Alla luce della particolarità
dei diritti che la normativa mira a proteggere, chi scrive ritiene che il consenso debba
137
Ciò non toglie che l’informativa di cui all’art. 13 del Codice e la “formula” del consenso possano
essere contenute nello stesso modulo, però in modo tale da consentire all’interessato di prendere visione
dell’informativa prima della prestazione del consenso.
138
V. PUTIGNANI A., Consenso e disposizione della privacy, in CLEMENTE A. (a cura di), “Privacy”,
Padova, Cedam, 1999, p. 237 secondo il quale la “strategia del consenso informato rappresent[a] il
presupposto fondamentale per un efficace controllo” nonché ZENO-ZENCOVICH V., Art. 11, in
GIANNANTONIO E., LOSANO M.G., ZENO-ZENCOVICH V. (a cura di), op. cit., p. 95, il quale precisa che
l’obbligo di informativa “è posto nell’evidente intento di consentire all’interessato l’espressione di un
«consenso informato» al trattamento […]. Infatti solo disponendo preventivamente delle informazioni
elencate nell’articolo è possibile valutare se prestare il consenso.”.
139
Nello stesso senso v. BUTTARELLI G., op. cit., p. 284, secondo il quale “la mancata o incompleta
informativa all’interessato rende il consenso privo di effetto, e priva le operazioni effettuate di un valido
presupposto, salvo che si possa invocare l’operatività di un presupposto equipollente (ad es., l’esecuzione
di obblighi contrattuali ai sensi dell’art. 12, comma 1, lett. b))”.
64
ritenersi viziato anche da semplici pressioni e, addirittura, dal mero timore
riverenziale140.
L’art. 23 comma 3 richiede inoltre che il consenso debba essere prestato
“specificamente”, precisando, rispetto all’originario art. 11 comma 3 della L. 675/96
che tale specificità deve essere formulata “in riferimento ad un trattamento chiaramente
individuato”. Con ciò la norma in analisi toglie ogni dubbio al significato del precedente
inciso “in forma specifica”, per il quale ci si era chiesti, da più parti, se riguardasse la
sottoscrizione di una specifica clausola contrattuale o se, invece, doveva riguardare uno
specifico trattamento141. In questo senso, pertanto, la soluzione adottata dal legislatore
delegato del 2003 risolve la questione evidenziando che la specificità del consenso deve
riguardare un preciso contesto e, quindi, uno specifico trattamento. Per logica
conseguenza appare evidente che il consenso stesso deve essere prestato a favore di uno
o più titolari, pur individuati142.
L’art. 23 comma 1 richiede inoltre, preventivando i requisiti di validità richiesti dal
successivo comma 3, che il consenso sia “espresso”. In questi termini il consenso non
140
Nello stesso senso si veda BUTTARELLI G., op. cit., p. 285 secondo il quale “[g]uardando al contesto
comunitario […] si può ritenere che il legislatore abbia considerato anche quei casi in cui il consenso, pur
non essendo viziato da errore, violenza e dolo ai sensi degli artt. 1427 s. cod. civ. è indotto da pressioni,
situazioni di debolezza contrattuale o da altre circostanze che non lo rendono frutto di una determinazione
spontanea e consapevole o che lo piegano al raggiungimento di obiettivi che esulano dalla causa del
negozio concluso […]” nonché FICI A., I requisiti del consenso, in PARDOLESI R. (a cura di), op. cit. p.
511 secondo il quale “[d]ovrebbe farsi riferimento, piuttosto, a tutti quegli eventi che possano comunque
turbare il processo decisionale del soggetto nella scelta relativa all’abbandono della propria identità
«riservata». E dunque non solo alle ipotesi codicistiche del cc.dd. vizi della volontà, ma altresì alle
pressioni derivfanti da una posizione di «debolezza», anche informativa, dell’interessato, che lo
«costringano» a «cedere» il dato pur di ottenere in cambio un bene o un servizio”. Tale assunto pare
confermato da Garante, decisione 28 maggio 1997, in Bollettino, 1, p. 17, (nota come Decisione BNL)
dove si precisava che “il consenso può essere ritenuto effettivamente libero solo se si presenta come
manifestazione del diritto all’autodeterminazione informativa, e dunque al riparo da qualsiasi pressione, e
se non viene condizionato all’accettazione di clausole che determinano un significativo squilibrio dei
diritti e degli obblighi derivanti dal contratto”. Nello stesso senso v. anche Garante, segnalazione 13
febbraio 1998, in ? ove l’Autorità di Garanzia ha imposto ad un Istituto di Credito di revocare una propria
circolare nella quale i dipendenti erano invitati a convincere il cliente a prestare un consenso totale, con
riferimento sia alle attività necessarie e accessorie alla prosecuzione del rapporto, sia al trattamento dei
dati sensibili.
141
La questione fu comunque risolta in questi termini dalla nota “Decisione BNL” in cui il Garante
evidenziò che il consenso doveva riguardare “un preciso genere di trattamento effettuato a cura di un ben
individuato titolare”. Si veda, sul punto, anche Buttarelli G., op. cit., p. 283 nonchè FICI A., I requisiti del
consenso, in PARDOLESI R. (a cura di), op. cit., p. 509.
142
In questi termini si ritiene che un titolare possa fornire l’informativa e raccogliere il consenso per sé e
per altri. Si tratta del caso in cui il titolare raccolga i dati per sottoporli ad un proprio trattamento nonché
per comunicarli a terzi (individuati) i quali, a loro volta li sottopongano a trattamento avvalendosi del
consenso già raccolto dal soggetto dal quale provengono.
65
può quindi desumersi da fatti concludenti143. Lo stesso Garante, sul punto, è intervenuto
a specificare che non è consentita l’espressione del consenso “in negativo”144, con ciò
impedendo quella prassi commerciale che richiedeva la necessità di esprimere la propria
contrarietà al trattamento (mediante selezione di una apposta casella). Secondo
l’Autorità indipendente, infatti, la clausola legislativa dell’abrogato art. 11 comma 1
(ora art. 23 comma 1), analogamente al disposto comunitario che richiede la prestazione
del consenso “in maniera inequivocabile” (art. 7 Direttiva 95/46/CE) renderebbero
illegittimo il trattamento eseguito sulla base di un “consenso presunto”.
Sulla forma del consenso, la formulazione letterale dell’originario art. 11 comma 3
L. 675/96 aveva sicuramente dato adito a dubbi interpretativi. Ci si chiedeva, infatti, se
la forma scritta era richiesta per la prova o per la validità.
Il problema pare ora risolto dall’attuale formulazione dell’art. 23. Il comma 3,
infatti, prevede che “[i]l consenso è validamente prestato […] se è documento per
iscritto”, mentre il successivo comma 4, aggiunto dal legislatore delegato, chiarisce che
il consenso “è manifestato in forma scritta quanto il trattamento riguarda dati sensibili”.
A parere di chi scrive l’attuale formulazione dell’art. 23, soprattutto laddove
racchiude in se stesso entrambe le norme citate, è finalizzato a risolvere normativamente
ciò che in precedenza fu risolto solo a livello dottrinale145. L’art. 23, infatti, è finalizzato
143
V., sul punto, PUTIGNANI A., Consenso e disposizione della privacy, in CLEMENTE A. (a cura di), op.
cit., p. 240 nonché BUTTARELLI G., op. cit., p. 281. Vedi anche FICI A., I requisiti del consenso, in
PARDOLESI R. (a cura di), op. cit., p. 511, il quale precisa che sono irrilevanti “il silenzio, la tolleranza, il
comportamento concludente”.
144
Si veda, sul punto, Garante, provvedimento 14 settembre 2000 in www.garanteprivacy.it, Garante,
provvedimento 13 gennaio 2000 in Bollettino, 11-12, p. 39 nonché, in via generale, Garante, Relazione
2000, Roma, 2001, p. 66.
145
In precedenza, infatti, fu la dottrina a risolvere la questione interpretativa precisando che la forma
scritta è richiesta ad probationem nel caso del trattamento di dati comuni e ad substantiam nel caso del
trattamento di dati sensibili. Probabilmente il dubbio sorse a causa del fatto che, mentre i requisiti di
validità del consenso erano disciplinati dall’art. 11 della L. 675/96, il successivo art. 22, in quanto
finalizzato a disciplinare il trattamento dei dati sensibili, si limitava a richiedere il “consenso scritto”,
senza tuttavia precisare se tale inciso era finalizzato a ribadire quanto già richiesto dall,’art. 11 o se,
invece, intendeva attribuire una forma rafforzata. A parere di chi scrive determinante fu anche la
“Decisione BNL”, nella quale il Garante evidenziò che l’Istituto di Credito aveva “erroneamente indicato
[il consenso] come atto scritto necessario”. V., ex plurimis, ZENO-ZENCOVICH V., op. cit.; CUFFARO V., Il
consenso dell’interessato, in CUFFARO V., RICCIUTO V. (a cura di), “La disciplina del trattamento dei dati
personali”, Giappichelli, 1997; BUTTARELLI G., op. cit. il quale, comunque, evidenzia quello che ritiene
“un vero pasticcio normativo”; FICI A., I requisiti del consenso, in PARDOLESI R. (a cura di), op. cit., p.
512. In proposito SCALISI A., Il diritto alla riservatezza, Giuffrè 2002, 237 ss evidenziava che il
legislatore italiano ha voluto permettere il consenso espresso in forma orale in quanto una diversa
interpretazione sarebbe in contrasto con una visione sistematica della normativa, che ha previsto l’obbligo
del consenso scritto nelle ipotesi di trattamento di dati sensibili. Tale autore fa altresì leva sulla stessa
formulazione dell’art. 7 della Direttiva 95/46/CE, che richiede la prestazione del consenso in maniera
inequivocabile.
66
inequivocabilmente a richiedere la forma scritta ad probationem qualora il trattamento
abbia ad oggetto solo dati comuni (essendo risolutivo, anche oggi, l’inciso
“documentata” utilizzato dalla disposizione). In tal caso è pertanto tacitamente
richiamata la regola civilistica della libertà delle forme: il consenso, anche se non è
documentato per iscritto, resta valido ma può essere provato solo con la confessione o il
giuramento (o con l’istituto giurisprudenziale della “mancata contestazione”). In questi
termini il consenso può essere rilasciato per iscritto anche in epoca successiva alla
raccolta dei dati, purché previamente prestato oralmente nell’osservanza degli altri
requisiti di validità richiesti dall’art. 23 146.
Nelle ipotesi in cui, invece, il trattamento abbia ad oggetto dati sensibili, la forma
richiesta rappresenta una condizione di validità così che, qualora il consenso sia reso
successivamente all’inizio del trattamento, non ne sana l’invalidità per il periodo
intermedio147.
2.2. Segue: la natura del consenso e la sua revocabilità
Il consenso, nelle sue varie manifestazioni, è un atto unilaterale. Si esclude,
pertanto, che possa considerarsi perfezionato con l’incontro di volontà di più parti148.
146
In questo senso BUTTARELLI G., op. cit., ritiene che il consenso possa essere trasposto per iscritto
anche da parte dell’incaricato che riceve il consenso, precisando che “l’ulteriore requisito della
«documentazione per iscritto» va interpretato, in sintonia con i lavori parlamentari, nel senso che rimane
aperta la possibilità di ricevere il consenso per iscritto oppure oralmente (ad esempio, nell’ambito del
telemarketing). In quest’ultimo caso, però, è necessario che il titolare o i suoi collaboratori traspongano
per iscritto tale circostanza (magari, con una loro attestazione o dichiarazione formata al momento in cui
ricevono il consenso o in un contesto temporale ravvicinato)”. V. anche SCALISI A., op cit., p. 239
secondo il quale “rimane aperta la possibilità di ricevere il consenso oralmente, salva una trasposizione
per i scritto ad opera del titolare o dei suoi collaboratori”. Così anche PUTIGNANI A., Consenso e
disposizione della privacy, in CLEMENTE A. (a cura di), op. cit., p. 241. In proposito si è espresso anche il
Garante, parere del 26 ottobre 1998, in Bollettino, 6, p. 11: “è necessaria l’acquisizione del consenso
dell’interessato che può essere anche orale ma che, in ogni caso, deve risultare da un documento scritto
come lo stesso formulario di richiesta di adesione”.
147
Tale disciplina impedirebbe di raccogliere dati per il tramite di sistemi informatici, ove il consenso non
potrebbe che essere presentato se non in un tempo successivo alla raccolta. Secondo BUTTARELLI G., op.
cit., si potrebbe vedere il contatto telefonico e telematico come una fase del procedimento di raccolta, che
si concluderebbe con la formale espressione del consenso. Diverse conclusioni, evidentemente, si
raggiungono nel caso in cui la raccolta dei dati sia effettuata attraverso mezzi informatici o telematici
mediante uso della firma digitale (ai sensi del Capo II, Sezione V del D.P.R. 28 dicembre 2000 n. 445).
148
Ma, sul punto, si veda più ampiamente ed approfonditamente MANES P., Il consenso al trattamento dei
dati personali, Padova, Cedam, 2001. Sulla natura del consenso dell’interessato è riscontrabile una varietà
di interventi. In proposito BILOTTA F., Consenso e condizioni generali di contratto, in CUFFARO V.,
RICCIUTO V. (a cura di), op. cit. ritiene che il consenso sia un atto negoziale perché “con la prestazione
del consenso l’interessato non fa che mettere a disposizione del titolare del trattamento i suoi dati affinché
li utilizzi in conformità sia della informativa sia della finalità del trattamento. L’atto di disposizione che
colora di negozialità il consenso è quello di ammettere altri nella sfera giuridica del disponente e non
67
In proposito ci si chiede se sia configurabile un contratto a titolo oneroso avente ad
oggetto la prestazione del consenso al trattamento dei propri dati personali149. Pur
essendo vero che il diritto alla riservatezza e il diritto alla privacy sono diritti
indisponibili, è altrettanto vero che può ripetersi, anche per essi, il percorso
giurisprudenziale che aveva riconosciuto la possibilità di disporre di alcuni diritti della
personalità150. Fermo restando, anche in questo caso, la possibilità di esercitare i diritti
riconosciuti dall’art. 7 del Codice (e, quindi, anche la possibilità di opporsi al
trattamento dei dati, tra gli altri, per finalità promozionali)151.
Il consenso di cui all’art. 23 è pertanto un atto unilaterale recettizio non avente
contenuto patrimoniale152, massima espressione del controllo dell’interessato alla
certo quello di trasferire consensualmente al titolare del trattamento diritti sul dato raccolto, in ossequio
ad un modello rigidamente proprietario”.
149
IMPERIALI R., IMPERIALI R., op. cit. nonché ZENO-ZENCOVICH V., I diritti della personalità dopo la
legge sulla tutela dei dati personali, in Studium juris, 1997, p. 467. Diversamente SERRA, Note in tema di
trattamento dei dati personali e di disciplina dell’impresa, in CUFFARO V., RICCIUTO V., ZENOZENCOVICH V. (a cura di), “Trattamento dei dati e tutela della persona”, Milano, 1998 ritiene
inammissibile qualsiasi patto teso a subordinare il trattamento al verificarsi di eventi successivi al
momento in cui il consenso è prestato, ritenendo altresì che le garanzie apprestate dalla normativa
debbano essere accordate anche in assenza di corrispettivo. RODOTÀ S., Tecnopolitica: la democrazia e le
nuove tecnologie della comunicazione, Roma, Laterza, 1997 prende atto del fenomeno, precisando che “la
contropartita necessaria per ottenere un bene o un servizio non si limita più alla somma di denaro
richiesta, ma è necessariamente accompagnata da una cessione di informazioni. In questo scambio, allora,
non è più soltanto il patrimonio d’una persona ad essere implicato. Si è obbligati a mettere in gioco il sé,
la propria persona, con conseguenze che possono andare al di là della singola operazione economica, e
fanno nascere una sorta di possesso permanente della persona da parte di chi detiene le informazioni sul
suo conto”.
150
V. BUTTARELLI G., op. cit. il quale ritiene che “il trattamento basato sul consenso può far parte di un
rapporto più ampio (si pensi ad un contratto di assicurazione, di somministrazione, di lavoro ecc.), ma
può anche costituire l’unico oggetto del contratto. In entrambi i casi, l’art. 11 non richiede che la clausola
recante la manifestazione di volontà sia oggetto di una specifica sottoscrizione. La medesima clausola,
semmai, può essere necessaria in base ai principi generali, qualora lo richiedano il particolare contenuto
del contratto, oppure le modalità del trattamento o ancora i rapporti tra le parti contrattuali”. FICI A.,
Consenso e mercato delle informazioni personali, in PARADOLESI R., op. cit., p. 507, dubita “della
validità di un contratto con cui l’interessato ceda in via definitiva le proprie informazioni personali, così
di fatto rinunciando al diritto alla costruzione della proprietà identità. Sarebbero validi, invece, eventuali
patti con cui l’interessato costituisca un’esclusiva sul dato in favore di un singolo raccoglitore o titolare.”.
151
Al contrario, qualora il trattamento abbia ad oggetto dati sensibili, chi scrive raggiunge diverse
conclusioni, ritenendo che un eventuale contratto sarebbe nullo per illiceità della causa in quanto contraria
all’ordine pubblico. Sul punto, infatti, siccome l’art. 2 comma 1 del Codice individua il principio secondo
il quale il trattamento dei dati personali deve avere luogo nel rispetto delle libertà fondamentali delle
persone fisiche, il consenso al trattamento dei propri dati sensibili a titolo oneroso configurerebbe una
lesione palese della dignità dell’individuo. V., più ampiamente, MONDUCCI J., Diritti della persona e
trattamento dei dati particolari, Milano, Giuffrè, 2003. Sul punto, del resto, anche GIANNANTONIO E. ,
Commento all’art. 1, comma 1, in GIANNANTONIO E., LOSANO M. G., ZENO-ZENCOVICH V. (a cura di),
op. cit., ritiene che qualunque attività che abbia per oggetto dati personali può conferire a chi la effettua
un potere che occorre disciplinare, essendo necessario tutelare non tanto il prestigio sociale della persona,
quanto piuttosto la sua libertà rispetto al “potere informatico” e trattandosi quindi di difendere un
individuo di fronte ad un potere la cui potenza è stata esaltata dalle nuove tecnologie.
152
Il consenso, infatti, pur potendo essere prestato per un fine meramente patrimoniale, non possiede un
tale contenuto.
68
circolazione dei propri dati personali153, assoggettato, per quanto concerne gli aspetti ai
quali il Codice non accenna, ai principi generali che governano i diritti della personalità.
In considerazione della particolare funzione del consenso, pare essenziale accertare
l’età a partire dalla quale l’interessato può prestarlo. In mancanza di espressa
disposizione di legge viene a rilievo l’art. 2 c.c., in base al quale “con la maggiore età si
acquista la capacità di compiere tutti gli atti per i quali non sia stabilita una età diversa”;
il consenso al trattamento dei propri dati personali può quindi essere prestato dopo il
compimento della maggiore età e, comunque, da persona dotata di capacità di agire154.
A conferma di tale assunto si pone il successivo art. 24 comma 1 lett. e, in relazione al
quale se l’interessato “non può prestare il proprio consenso per […] incapacità di agire o
per incapacità di intendere o di volere, il consenso è manifestato da chi esercitare
legalmente la potestà […]”. In base a quanto esposto deve comunque ritenersi facoltà
del minore prestare il consenso al trattamento dei dati necessario allo svolgimento del
rapporto di lavoro; e ciò alla luce dell’art. 2 comma 2 c.c..L’originario testo della L.
675/96 (in particolare degli artt. 12 e 20) veniva richiamato dallo scrivente per
evidenziare che, in luogo del minore, il consenso non poteva essere prestato da altri
(nemmeno dagli esercenti la potestà). Ciò in relazione all’indisponibilità del diritto alla
riservatezza o, comunque, delle libertà fondamentali tutelate dall’art. 1 della L.
675/96155. Le norme modificative e integrative della L. 675/96, prima, e l’attuale
formulazione del Codice, ora, hanno tuttavia parzialmente modificato questa
impostazione, richiedendo in più occasioni il consenso degli esercenti la potestà o,
comunque, di soggetti qualificati (v., sul punto, gli artt. 24 e 82 del Codice). In realtà mi
parrebbe coerente affermare che tele “mutamento” normativo abbia ribadito la natura
153
Sul punto FICI A., Sulla funzione del consenso al trattamento, in PARDOLESI R. (a cura di), op. cit., p.
499 precisa che “”[t]ale facoltà di scelta è attribuita al fine di garantire all’individuo la libera costruzione
della propria identità. […]. Negando il consenso l’interessato esercita il diritto di costruire la propria
identità personale […]; prestando il consenso l’interessato determina il passaggio da un’identità
«riservata» ad un’identità «controllata»”.
154
In merito PATTI, Il consenso dell’interessato al trattamento dei dati personali, in Rivista di diritto
civile, 1999, II, 455 ss., ritiene che, a certe condizioni, dovrebbe ritenersi abilitato alla prestazione del
consenso anche chi non è capace di intendere e di volere.
155
Si veda, più ampiamente, MONDUCCI J., op. cit., p., ove evidenzio che “[i]l diritto alla riservatezza è
uno di quei diritti che la dottrina chiama «personalissimi» e, soprattutto per quanto concerne i dati
sensibili, è primaria la necessità di proteggere la dignità della persona fisica titolare dei dati; non si può
certo affermare che il riconoscere al rappresentante legale la possibilità di acconsentire al trattamento dei
dati relativi alle opinioni religiose o politiche o filosofiche sia rispettoso della sua dignità. Del resto è
ormai pacifico che i genitori o il tutore possono contrattare quali rappresentanti legali del figlio o
dell’interdetto, ma è altrettanto accettato che tale capacità non può estendersi per quelle scelte che devono
ritenersi espressione di una personale scelta del minore stesso (come può essere l’iscrizione ad un partito
politico)”
69
personalissima dei diritti dell’individuo. Alla luce delle stesse, infatti, può tutt’ora
ritenersi che il consenso dell’interessato, in luogo dell’incapace, non può essere prestato
da terzi se non, appunto, nelle ipotesi espressamente previste dalla legge (e, quindi, in
prevalenza, nel caso in cui il trattamento sia necessario per la salvaguardia della vita o
dell’incolumità fisica dell’interessato o di un terzo”). Negli altri casi, pertanto, il
consenso dell’interessato non può essere surrogato dal consenso dei familiari (o chi per
essi), così restando possibile procedere al trattamento dei dati del minore solo nelle
ipotesi in cui il consenso non è una condizione di legittimità del trattamento stesso (e,
quindi, in sostanza, nei soli casi elencati nell’art. 24)156.
La legge, inoltre, in materia di consenso, non disciplina né la revoca né il recesso.
Nonostante ciò, tale possibilità deve essere riconosciuta alla luce della natura
personalissima dei diritti tutelati e richiamati dall’art. 2 del Codice e, soprattutto, in
virtù dei valori espressi dagli artt. 2 e 3 Cost. In mancanza di un contenuto meramente
patrimoniale dell’interesse protetto, non può dirsi che il consenso provochi effetti
estintivi o traslativi del diritto; così come non può ritenersi che esso costituisca a favore
del titolare il diritto di compiere azioni lesive. Il consenso, infatti, si esaurisce nella
condotta consentita, che non diventa lecita ma esime il titolare medesimo da
responsabilità157. Da quanto esposto ne deriva la revocabilità ad nutum del consenso158
salvo, eventualmente, l’obbligo di risarcire i danni provocati nel caso in cui la revoca,
priva di giusta causa, abbia arrecato danni al titolare che abbia fatto affidamento al
consenso. Tale revocabilità, tuttavia, non potrebbe essere manifestata qualora il
trattamento sia effettuato sulla base delle clausole di esonero del consenso ex art. 24 del
Codice; nel qual caso si potrebbe parlare solo di “opposizione” (in queste ipotesi, infatti,
il bilanciamento degli interessi è già stato ponderato dal legislatore, che ha prevalente
156
In mancanza, si rischierebbe, in molti casi, di procedere ad un trattamento di dati (anche sensibili)
imposto, magari contro la volontà dell’incapace stesso (il quale, se si ritiene che non può esprimere la
propria volontà “in positivo”, nemmeno può autodeterminarsi “in negativo”).
157
Così SCALISI A., op. cit. Sulla natura del consenso FICI A., Natura giuridica del consenso al
trattamento, in PARDOLESI R. (a cura di), op. cit., p. 502 ritiene che con la prestazione del consenso
“l’interessato legittima il trattamento dei dati: il consenso ha, dunque, natura di autorizzazione e può
essere ricondotto al consenso dell’avente diritto.”.
158
FICI A., La revocabilità del consenso e gli altri mezzi di tutela dell’interessato, in PARDOLESI R. (a
cura di), op. cit., p. 537 evidenzia che “la revoca del consenso costituisce, al pari della prestazione di
quest’ultimo, un atto attraverso il quale il soggetto definisce la propria identità”, ma ritiene che possa
essere manifestato solo in presenza di “giusta causa o motivi legittimi, che sembrano doversi ricondurre,
quanto meno, al mutamento dei presupposti esistenti al momento della prestazione […]”. Si veda, a
favore della revocabilità del consenso, anche COMANDÉ G., op. cit., p. 116, in quanto finalizzata a
ricondurre “la manifestazione di volontà alla figure del consenso dell’avente diritto idonei ad eliminare
l’antigiuridicità del comportamento”.
70
l’interesse del titolare, se pur temperato dalle disposizioni di legge che “regolano” le
modalità e i limiti del suo operato).
La legge, infatti, dispone in altri termini dei diritti dell’interessato (art. 7 comma 4),
riconoscendogli la facoltà di opporsi al trattamento (e, quindi, alla sua prosecuzione), se
pur solo per motivi legittimi. Nel solo caso in cui il trattamento sia finalizzato all’invio
di materiale pubblicitario, alla vendita diretta, alla comunicazione commerciale o al
compimento di ricerche di mercato, la revoca (rectius, l’opposizione) può essere
manifestata ad nutum.159.
Parte della dottrina, relativamente all’ipotesi di cui all’art. 7 comma 4 lett. a, ritiene
che l’opposizione “per motivi legittimi” sarebbe finalizzata a ponderare gli interessi per
i quali il trattamento è consentito senza il consenso dell’interessato160. In questa sede,
tuttavia, si ritiene che la “legittimità” dei motivi di opposizione deve essere riconosciuta
qualora la prosecuzione del trattamento (o, stante l’inciso “anche in parte”, la
prosecuzione anche di una sola operazione dello stesso) esporrebbe i diritti tutelati
dall’art. 2 comma 1 del Codice ad un pregiudizio eccessivo rispetto a quello che
l’interessato sarebbe costretto a sopportare in un’ottica di corretto bilanciamento degli
opposti interessi. L’opposizione può quindi essere manifestata nei casi in cui il
trattamento avvenga senza il consenso dell’interessato qualora quest’ultimo sia
obbligatorio161, così come nel caso in cui il consenso sia stato prestato (o non sia
necessario per il trattamento, adducendo un pregiudizio non eliminabile altrimenti che,
comunque, provochi un eccessivo squilibrio tra gli interessi il cui bilanciamento aveva
consentito il trattamento.
2.3. Le ipotesi di esclusione del consenso
La Direttiva 95/46/CE, in materia di dati comuni, non codifica il principio del
consenso dell’interessato, ponendolo come alternativo rispetto alle altre condizioni di
liceità del trattamento stesso.
La normativa nazionale, invece, pone il consenso al centro della disciplina
codicistica, derogando all’obbligatorietà dello stesso nei casi elencati dall’art. 24, che
159
Sul punto v., tra gli altri, MANES P., op. cit., PUTIGNANI A. (a cura di), op. cit. nonché supra Capitolo
Secondo.
160
Così RISTUCCIA R., Commento all’art. 13, p. 135 in GIANNANTONIO E., LOSANO M. G., ZENOZENCOVICH V. (a cura di), op. cit.
161
Si consideri tuttavia che, in tale ipotesi, l’interessato potrebbe anche chiedere la cancellazione dei dati,
essendo trattati in violazione di legge (art. 7 comma 3 lett. b)
71
denotano un giudizio di prevalenza degli interessi di natura pubblica e delle esigenze di
terzi sottese alle ipotesi stesse. In questo senso, pertanto, l’art. 24 del Codice elenca una
serie di ipotesi equipollenti al consenso che, pertanto, diventa irrilevante162.
Il Testo Unico in commento ha modificato l’impostazione precedente, che
prevedeva cause di esclusione del consenso diversificate a seconda che si procedesse a
comunicazione e diffusione (art. 20 della L. 675/96) o ad altre operazioni del
trattamento (art. 12 della L. 675/96). L’attuale art. 24 disciplina infatti ipotesi di
esclusione del consenso applicabili indifferentemente ad ogni operazione del
trattamento (salvo le eccezioni o i limiti espressamente previsti dallo stesso art. 24).
L’art. 24, comma 1, lett. a prevede che il consenso dell’interessato non è richiesto
quando il trattamento “è necessario per adempiere ad un obbligo previsto dalla legge, da
un regolamento o dalla normativa comunitaria”. La norma, che gode di una larga
applicazione, tra le altre, in materia fiscale, in materia di lavoro e, comunque,
nell’ambito della normativa “antimafia” e “antiriciclaggio”, garantisce l’effettività e
l’obbligatorietà della norme giuridiche, ivi comprese quelle comunitarie; purché queste
ultime, chiaramente, siano applicabili nel territorio nazionale (ci si riferisce, pertanto, ai
regolamenti e alle direttive “dettagliate”, nei limiti della loro applicabilità diretta).
La formulazione del Codice presenta punti di diversità rispetto a quella
dell’abrogato art. 12 comma 1 lett. a, che sembrava limitare la sua sfera d’azione ai soli
dati che erano stati “raccolti” e che erano “detenuti” in ossequio alle medesime finalità.
Sebbene tale formula fu interpretata nell’ottica del principio di essenzialità dei dati
trattabili163, il legislatore delegato ha voluto chiarire ogni dubbio, anche in ossequio
all’art. 7, comma 1 lett. c della Direttiva 95/46/CE.
L’art. 24, comma 1 lett. b del Codice esclude l’obbligo del consenso quando il
trattamento “è necessario per eseguire obblighi derivanti da un contratto del quale è
parte l’interessato o per adempiere, prima della conclusione del contratto, a specifiche
richieste dell’interessato”.
162
In materia COMANDÈ G., Artt. 11, 12, in GIANNANTONIO E., LOSANO M.G., ZENO-ZENCOVICH V. (a
cura di), op. cit. rimarca sul fatto che le deroghe di cui all’art. 12 sono raggruppate in tre categorie: “[l]a
prima è riconducibile alla finalità di pubblico interesse, in senso lato […]. Una secondo gruppo ricollega
l’eccezione alla regola del consenso alla provenienza delle informazioni […]. La terza tipologia riguarda i
dati trattati nell’ambito di determinate attività […].”
163
V. BUTTARELLI G., op. cit., il quale precisava che “la deroga al consenso riguarda solo i dati
strumentali all’adempimento dell’obbligo, dovendosi utilizzare, per le altre informazioni detenute, uno
qualunque degli altri presupposti”.
72
La disposizione, che conferma l’intenzione del legislatore di applicarla anche alla
comunicazione164,
autorizza
il
trattamento
dei
dati
in
quanto
necessario
all’adempimento di un contratto del quale è parte l’interessato stesso (e, sul punto,
occorre evidenziare che il titolare non può avvalersi di tale norma per il trattamento dei
dati di un terzo, a favore del quale è stato concluso il contratto165). Detto esonero si
estende anche al trattamento di dati necessario “per adempiere, prima della conclusione,
a specifiche richieste dell’interessato”, con ciò ampliando le facoltà del titolare che, in
precedenza doveva limitarsi alla “esecuzione di misure precontrattuali”
La successiva lett. c, analogamente ai precedenti artt. 12 lett. c e 20 lett. b, consente
il trattamento nel caso in cui “riguarda dati provenienti da pubblici registri, elenchi, atti
o documenti conoscibili da chiunque, fermi restando i limiti e le modalità che le leggi, i
regolamenti o la normativa comunitaria stabiliscono per la conoscibilità e pubblicità dei
dati”. La finalità della norma è quella di evitare eccessive limitazioni al trattamento di
dati personali la cui conoscibilità è garantita, indistintamente a tutti166.
La disposizione in esame, negli anni di applicazione della L. 675/96, è stata
utilizzata in modo particolare nell’ambito dell’attività promozionale. Gli operatori
commerciali, per ovviare agli obblighi relativi al consenso dell’interessato, procedono
abitualmente alla raccolta di dati dagli elenchi pubblici de quibus, inviando il materiale
promozionale unitamente all’informativa (imposta, ex art. 11 comma 4, solo all’atto
della registrazione o della prima comunicazione). In tal caso viene fatto onere
all’interessato stesso di opporsi al trattamento ai sensi dell’art. 7 del Codice. Per tale
ragione il Garante era intervenuto in più occasioni onde precisare che gli elenchi
pubblici ai quali fa riferimento la norma sono solo quelli che sono tali “di diritto” (con
164
L’originaria formulazione dell’art. 20 della L. 675/96, infatti, non prevedeva la necessità di adempiere
ad un contratto tra le clausole di esclusione del consenso per la comunicazione o la diffusione dei dati,
inserita solo dall’art. 7 del D.Lgs. 467/01.
165
Tale conclusione è del resto confermata dal fatto che, invece, tale possibilità è stata espressamente
prevista nell’art. 43 comma 1 lett. b, dove si consente il trasferimento all’estero dei dati personali quando
necessario per “l’esecuzione di un contratto stipulato a favore dell’interessato”. Per risolvere il “vuoto”
normativo che, in alcuni casi, potrebbe impedire l’esecuzione di obblighi contrattuali a favore di terzo,
PELLECCHIA E., Trattamento di dati personali in ambito contrattuali, in PARDOLESI R. (a cura di), op. cit.,
p. 559 ritiene di potersi “valorizzare il riferimento all’adempimento di un obbligo legale […]. […]
potrebbe essere inteso non solo come relativo ad obbligazioni di fonte legale […], ma anche ad ipotesi
nelle quali il coinvolgimento di un terzo sia contemplato da una fattispecie normativamente prevista”.
166
Sul punto, BUTTARELLI G., op. cit. esclude infatti che “la lettera c) possa essere invocata per trattare i
dati inclusi nei documenti amministrativi che possono essere acquisiti nei limiti previsti dalla legge n.
214/1990, la quale, anche sotto questo aspetto, si rivela compatibile con quella del 1996 (art. 43, comma
2). Parimenti, la lettera c) non può essere utilizzata in rapporto a talune circostanze tipiche del diritto di
famiglia in cui la pubblicità dell’atto è «filtrata» dal pubblico ufficiale, il quale è tenuto a non divulgarne
certe parti o a non parteciparle a determinati soggetti.”.
73
ciò escludendo dagli elenchi pubblici la rete Internet)167 e per limitare o regolare il
trattamento ad opera dei privati, ponendo l’accento sui principi di cui all’art. 11 e
precisando in più occasioni che l’accesso ai dati deve comunque avvenire
nell’osservanza delle norme di legge168.
Per il resto, fermi restando i limiti posti alle modalità di acquisizione, la norma in
analisi non impone particolari adempimenti al titolare del trattamento, se non quelli
relativi all’obbligo dell’informativa. In questi termini, quindi, il titolare può liberamente
procedere al trattamento dei dati contenuti, a mero titolo esemplificativo, nelle delibere
o negli atti pubblici affissi agli albi, se pur nei limiti degli scopi predeterminati, ex art.
11 del Codice.
L’art. 26 comma 1 lett. d dichiara l’equipollenza al consenso del trattamento che
“riguarda dati relativi allo svolgimento di attività economiche, trattati nel rispetto della
vigente normativa in materia di segreto aziendale e industriale”. L’estrema elasticità
della norma, oltretutto carente dell’espressa individuazione delle finalità per le quali è
possibile procedere al trattamento, e l’originario riferimento all’art. 13 comma 1 lett. e
ponevano gravi dubbi all’interprete. In particolare ci si era chiesti se per l’applicabilità
167
V., sul punto, Garante, provvedimento 11 gennaio 2001, in Bollettino, 16, p. 39 ove si precisa che la
previsione contenuta nell’art. 12 lett. c (ora art. 24 comma 1 lett. c) non si riferisce a qualunque dato
personale che sia di fatto consultabile da una pluralità di persone, ma ai soli dati personali desumibili da
registri, elenchi, atti o documenti “pubblici” (perché formati o detenuti da soggetti pubblici) o sottoposti
ad un regime giuridico di piena conoscibilità da parte di chiunque. Nello stesso senso, del resto, si veda il
parere 1/2000, in Garante, Relazione 2000, cit., p. 285 nel quale il Gruppo ex art. 29 evidenzia che l’invio
di messaggi pubblicitari ad indirizzi e-mail raccolti in uno spazio pubblico di Internet è contrario alla
legislazione comunitaria, tra gli altri, perché l’interessato aveva reso noto il suo indirizzo per motivi del
tutto diversi.
168
In questo senso il Garante ha ritenuto legittimo l’accesso “indiscriminato” alle liste elettorali ma non ai
registri dello stato civile o all’anagrafe. In questi ultimi casi, infatti, la legge ne disciplina espressamente i
casi e le modalità, così da non consentire al titolare (né all’Ufficiale di Stato Civile o di Anagrafe) la
possibilità di rilasciare “liste” di interessati. Si veda, sul punto, Garante, parere privo di data, in
Bollettino, 4, p. 72, secondo cui non è consentito all’Ufficiale di Stato civile rilasciare a privati elenchi di
iscritti all’anagrafe nonché Garante, parere privo di data, in Bollettino, 4, p. 65, dove si ribadisce
l’illegittimità della prassi di richiedere all’Ufficiale di Stato Civile di redigere quotidianamente interi
elenchi dei nati, nubendi o deceduti da pubblicare con assiduità. Si v. anche Cons. Stato, 23 gennaio 1998,
n. 99 secondo cui non è configurabile il diritto di accesso previsto dall’art. 22 della L. 241/90 per
accedere quotidianamente ai dati conservati dall’Ufficio di Stato Civile per darvi notizia sui quotidiani.
Nello stesso senso, del resto, si pone l’art. 177 del Codice il quale, nell’ottica di limitare l’accesso
indiscriminato ai dati trattati dagli enti locali, limita l’accesso agli atti dello stato civile solo agli
interessati stessi o a coloro che “comprovano” mediante motivata istanza l’interesse personale e concreto
del richiedente a fini di tutela di una situazione giuridicamente rilevante (art. 177 comma 3) così come
consente il rilascio di copia delle liste elettorali “per finalità di applicazione della disciplina in materia di
elettorato attivo e passivo, di studio, di ricerca statistica, scientifica o storica, o di carattere socioassistenziale o per il perseguimento di un interesse collettivo o diffuso” (art. 177 comma 5). In questo
senso, essendo finalmente codificate le finalità in relazione alle quali è possibile ottenere copia delle liste,
appare evidente che il titolare, una volta ottenuta la lista, non potrà più procedere al trattamento dei dati
ivi contenuti per finalità promozionali, ostandovi l’art. 11 comma 1 lett. b, seconda parte del Codice.
74
della clausola di esonero l’esercizio delle “attività economiche” doveva riguardare
l’interessato o il titolare del trattamento. In tale ultimo caso, infatti, la centralità del
consenso dell’interessato avrebbe perso ogni effettività. In realtà unanime dottrina ha
ritenuto che le liberalizzazione del trattamento riguardava esclusivamente i dati
personali riferibili ai soggetti che esercitano le attività economiche169, così escludendo,
di fatto, la generalità dei dati riferibili alle persone fisiche in quanto tali. La finalità della
norma, infatti, era quella di agevolare le analisi, le ricerche o i giudizi sull’assetto
finanziario delle controparti commerciali. Per tale ragione, del resto, la stessa normativa
ha fatto salvo il rispetto del segreto aziendale e industriale pur omettendo, in sede di
approvazione del Codice, il riferimento all’art. 13 comma 1 lett. e; omissione che, in
quanto tale, non impedisce il trattamento per tali finalità, purché ciò sia relativo
all’esercizio dell’attività economica dell’interessato.
Analogamente al disposto degli artt.. 26 e 76 del Codice, l’art. 24 comma 1 lett. e
autorizza il trattamento senza consenso qualora esso sia necessario per la salvaguardia
della vita o dell’incolumità fisica di un terzo, precisando che se la stessa finalità
riguarda l’interessato, in caso di incapacità o impossibilità di quest’ultimo, il consenso è
prestato da soggetti qualificati ivi espressamente individuati. In questi termini la stessa
norma, facendo espresso rinvio all’art. 82 comma 2, autorizza il trattamento privo del
consenso solo qualora sia impossibile acquisirlo dai terzi qualificati oppure in caso di
emergenza o urgenza sanitaria. La disposizione in esame, evidentemente completando le
altre deroghe previste dai successivi artt. 26 comma 4 lett. b e 76 comma 1 del Testo
Unico, si allinea alle stesse, consentendo il trattamento, secondo i requisiti ivi descritti,
anche dei dati comuni (gli artt. 26 e 76, infatti, si riferiscono solo ai dati sensibili e
sanitari).
Le lett. f e g della norma in analisi prevedono ipotesi nelle quali il trattamento è
autorizzato limitatamente alle operazioni diverse dalla diffusione, la quale resta quindi
169
Per un approfondimento della problematica v. RICCIUTO V., Il trattamento dei dati relativi allo
svolgimento delle attività economiche, in CUFFARO V., RICCIUTO V., ZENO-ZENCOVICH V. (a cura di),
“Trattamento dei dati e tutela della persona”, Milano, Giuffrè, 1998; RODOTÀ S., Persona, riservatezza e
identità. Prime note sistematiche sulla protezione dei dati personali, in Rivista critica di diritto privato,
1997; PELLECCHIA E., Trattamento di dati personali relativi allo svolgimento di attività economiche, in
PARDOLESI R. (a cura di), op. cit., pp. 586 ss. Si veda, in proposito, anche Garante, decisione 16 febbraio
1999, in Bollettino, 7, p. 10 dove si precisa che l’espressione utilizzata dalla norma riguarda un aspetto
prevalentemente dinamico e non statico dell’attività dei soggetti ai quali si riferiscono i dati, e può essere
interpretata in modo estensivo, utilizzandola anche per gli aspetti economici dell’attività degli
imprenditori individuali e dei liberi professionisti. Secondo l’Autorità Garante la stessa espressione non
può essere interpretata fino al punto di includervi ogni informazione personale di natura economica.
75
ammessa solo previo consenso dell’interessato. Essa, infatti, consente al titolare di
trattare (e, quindi, comunicare) i dati necessari per lo svolgimento delle investigazioni
difensive o, comunque, per far valere o difendere un diritto in sede giudiziaria e i dati
necessari all’esecuzione di trattamenti effettuati, nei casi individuati dal Garante sulla
base dei principi stabiliti dalla legge, per perseguire un legittimo interesse del titolare o
di un terzo destinatario dei dati, anche in riferimento all’attività di gruppi bancari e di
società controllate o collegate.
La prima di tali disposizioni, pertanto, legittima la raccolta e il successivo
trattamento dei dati necessari alla difesa in giudizio (per i quali, si ricorda, il titolare
medesimo è altresì esonerato dall’obbligo di rendere l’informativa, se non alla
cessazione dell’esigenza di “segretezza”) così facendo prevalere il diritto di cui
all’art.24 Cost. alle libertà dell’interessato. Il corretto bilanciamento delle opposte
esigenze, tuttavia, consente al titolare di avvalersi di tale norma, per tali finalità, solo
per il periodo strettamente necessario al loro perseguimento e, comunque, nel rispetto
del segreto aziendale e industriale170.
La lett. g, invece, si pone come consequenziale all’eliminazione dell’art. 20 comma
1 lett. h che, in quanto tale, consentiva la comunicazione tra le società facenti parte dello
stesso gruppo. Tale disposizione fu utilizzata in ambiente societario per poter procedere
a diversi trattamenti, anche tra loro correlati, spesso effettuati da parte di diverse società
facenti parte dello stesso gruppo. La norma consentiva all’impresa – impresa con la
quale l’interessato aveva concluso un contratto di non dover acquisire il consenso per la
comunicazione dei dati ad altre società del gruppo che dovessero sottoporli a trattamenti
per il perseguimento delle stesse finalità per le quali erano stati raccolti.
Allo stato attuale, non essendo espressamente prevista tale facoltà, la stessa viene
inglobata nel potere attribuito al Garante di individuare i casi in cui è possibile
procedere al trattamento senza il consenso, purché finalizzati a soddisfare un “legittimo”
interesse del titolare o di un terzo; interesse sul quale, comunque, non devono prevalere
i diritti e le libertà fondamentali dell’interessato.
170
In questi termini, infatti, il diritto di un titolare di svolgere le investigazioni non comporta, per i titolari
che conservano eventuali dati necessari alla difesa, il correlativo obbligo di comunicarli (se non in
ossequio a diverse norme di legge, ad es. L. 241/90). In questi termini v. Garante, decisione 23 maggio
2001, in Bollettino, 20, p. 30, secondo il quale “[n]ell’esercitare o meno [la] facoltà [di comunicare i dati
richiesti], il titolare del trattamento, oltre a valutare l’effettività necessità della comunicazione ai fini
dell’esercizio del diritto di difesa, deve verificare che la natura dei dati, il contesto in cui essi sono trattati
e, in particolare, il rapporto giuridico che lega il titolare medesimo all’interessato permetta di esercitare
tale facoltà senza violare obblighi nascenti dalla legge o da un rapporto contrattuale”.
76
Le due ultime ipotesi di esclusione del consenso riguardano il trattamento dei dati
nell’ambito delle organizzazioni collettive e il trattamento per finalità di ricerca
scientifica, storica e statistica. L’art. 24 comma 1 lett. h consente il trattamento
“effettuato da associazioni, enti od organismi senza scopo di lucro, anche non
riconosciuti, in riferimento a soggetti che hanno con essi contatti regolari o ad aderenti,
per il perseguimento di scopi determinati e legittimi individuati dall’atto costitutivo,
dallo statuto o dal contratto collettivo”. La disposizione, inserita dal legislatore delegato
del 2003, riproduce, anche per i dati comuni, quella stesa per i dati sensibili nell’ambito
del previgente art. 22 comma 4 lett. a (ora art. 26 comma 4 lett. a); essa consente ai
titolari ivi richiamati di trattare i dati dei propri aderenti e dei soggetti che con esse
hanno contatti regolari. Preliminarmente è necessario precisare che devono considerarsi
“aderenti” tutti coloro che hanno aderito all’associazione medesima con regolare atto
contrattuale; mentre deve ritenersi che gli interessati che “hanno contatti regolari con
l’associazione, ente od organismo” siano tutti coloro che, pur non essendo qualificabili
come aderenti, frequentano assiduamente le associazioni medesime per i loro fini
istituzionali, anche usufruendo dei servizi e delle prestazioni delle stesse e, quindi,
manifestando una chiara condivisione di scopi e finalità171.
L’esonero di legge è consentito solo qualora la circolazione dei dati sia limitata
all’interno dell’organizzazione collettiva e, quindi, si applica solo alle operazioni
diverse dalla comunicazione “all’esterno” e dalla diffusione, per l’esecuzione delle quali
deve tutt’ora essere acquisito il consenso dell’interessato. La disposizione in esame si
pone anche in deroga alla precedente lett. a, relativa all’adempimento degli obblighi
nascenti da un contratto, del quale l’associazione costituisce una particolare tipologia.
In ultimo, ma non per ordine di importanza, l’art. 26 comma 1 lett. i è finalizzato a
garantire l’interesse pubblico alla ricerca scientifica, statistica e storica, purché la stessa
avvenga nel rispetto dei codici di deontologia adottati; il rispetto dei quali, si ricordi,
costituisce una condizione di liceità del trattamento medesimo172.
171
Si pensi, a mero titolo esemplificativo, ai servizi legali offerti dai sindacati a tutti gli appartenenti alla
categoria, indipendentemente dall’iscrizione.
172
Si veda, sul punto, codice di deontologica e di buona condotta per il trattamento dei dati personali per
scopi storici, in Garante, provvedimento 14 marzo 2001 n. 8/p/21, in Gazzetta Ufficiale n. 80 del 5 aprile
2001, nonché codice di deontologia e di buona condotta per i trattamenti di dati personali a scopi statistici
e di ricerca scientifica effettuati nell’ambito del Sistema Statistico Nazionale, in Garante, provvedimento
31 luglio 2002 n. 13, in Gazzetta Ufficiale n. 191 del 16 agosto 2002, entrambi in Allegato A al Testo
Unico. Sul punto si consideri anche che l’originario art. 12 comma 1 lett. d, così come modificato dal
D.Lgs. 281/99, non si doveva applicare nei singoli settori della ricerca scientifica e delle statistica sino
77
3. Il trattamento dei dati sensibili e giudiziari da parte dei soggetti privati
3.1. I dati sensibili
Particolari tipologie di dati personali sono sempre state richiamate e disciplinate dai
diversi atti normativi internazionali o sovranazionali adottati sino ad oggi. Già con la
Convenzione n. 108/1981 del Consiglio d’Europa si riconobbe la necessità di tutelare
con una disciplina più rigorosa quella particolare categoria di dati che l’art. 8 della
Direttiva 95/46/CE denomina “dati sensibili”.
Come già accennato supra173, i dati sensibili sono quei dati che riguardano più da
vicino la personalità etico-sociale dell’individuo o le sue caratteristiche psico-sanitarie,
il cui trattamento e la cui conoscenza sono in grado di recare un maggiore pregiudizio
alla persona e sarebbe addirittura capace di ostacolare il libero esercizio delle libertà
fondamentali dell’individuo174. La pericolosità dei dati, insita nella loro stessa natura, è
apparsa evidente sin dalla prima rilevazione del fenomeno informatico, anche se, ci
tengo a precisarlo, non limita la sua potenzialità ai trattamenti effettuati con tali
strumenti.
I dati sensibili sono definiti dall’art. 4 comma 1 lett. d come quei “dati personali
idonei a rivelare l’originale razziale ed etnica, le convinzioni religiose, filosofiche o di
altro genere175, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od
organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati
personali idonei a rivelare lo stato di salute e la vita sessuale”. La protezione di questa
particolare categoria di dati, che ancora oggi crea non poche difficoltà per connotare nel
quadro della sensibilità le informazioni trattate, non è tanto finalizzata alla protezione
alla data a decorrere dalla quale non sarebbero divenuti efficaci i codici di deontologia (art. 18, comma 2,
D.Lgs. 281/99). Sino a tale data si doveva ritenere applicabile la precedente formulazione della norma,
che autorizzava il trattamento per le stesse finalità, qualora avesse ad oggetto dati anonimi.
173
V. Capitolo Primo.
174
Così anche FICI A., Consenso ed autorizzazione al trattamento dei dati sensibili, in PARDOLESI R. (a
cura di), p. 517.
175
ALPA G., La disciplina dei dati personali. Note esegetiche sulla legge 31 dicembre 1996, n. 675 e
successive modifiche, Edizioni SEAM, 1998, ritiene che la formula “altro genere” rappresenti “una
clausola di chiusura per qualsiasi dato identificativo riferito ad un credo, ad un’opinione, ad un indirizzo
culturale, ecc..”
78
della sfera privata dell’individuo, quanto alla protezione della “posizione dell’individuo
nella organizzazione sociale, politica, economica”176.
La lettera della norma parla di dati “idonei a rivelare”, con ciò discostandosi dalla
direttiva 95/46/CE, che si limitava a suggerire agli Stati membri la necessità di vietare il
trattamento di dati “che rivelano” le informazioni elencate.
I dati personali che la legge protegge, nella loro accezione “sensibile”, non sono
solo quelli direttamente in grado di fornire le informazioni che si vogliono mantenere
riservate, ma anche quelli che possono rivelare il bene protetto indirettamente o
mediante procedimenti comparativi, induttivi o logici177.
Leggendo in modo letterale la disposizione si rischierebbe tuttavia di includere
nell’ambito dei dati sensibili ogni informazione sulla vita in comunità della persona,
così da impedire o rendere difficoltosa l’applicazione della legge se non addirittura, la
libertà di stampa e di espressione del pensiero178.
Qualche autore, a ragione, ne ha suggerito un’interpretazione restrittiva179. In
relazione al disposto dell’art. 12 disp. prel. c.c., infatti, l’interprete non deve limitarsi
alla lettera della norma ma deve attribuire alle parole il senso fatto palese
dall’intenzione del legislatore che, nel caso di specie, deve essere valutata alla luce degli
atti internazionali e delle disposizioni già vigenti da tempo nel nostro ordinamento180. In
176
Così RODOTÀ S., Tecnologia e diritti, Bologna, Il Mulino, 1995. Da più parti si è evidenziato che l’art.
22 della L. 675/96 potrebbe essere inquadrato in una “riscrittura moderna del principio di uguaglianza”
già codificato dall’art. 3 Cost. Si veda, sul punto, ALPA G., La normativa sui dati personali, op. cit., p.
732 nonché FICI A., Consenso ed autorizzazione al trattamento dei dati sensibili, in PARDOLESI R. (a cura
di), op. cit., p. 514 il quale ultimo ritiene che “la protezione delle informazioni personali sia requisito
necessari per l’esercizio dei diritti fondamentali, delle libertà dell’individuo, della sua autonomia
decisionale e partecipativa”.
177
Sul concetto dell’inciso “idonei a rivelare” BUTTARELLI G., op. cit., p. 380 evidenzia che “il legislatore
ha voluto proteggere in maniera rafforzata anche i dati che non evocano in maniera nuda e cruda una certa
realtà, ma consentono di arguirla agevolmente.
178
ZENO-ZENCOVICH V., Art. 22, in GIANNANTONIO E., LOSANO M.G., ZENO-ZENCOVICH V. (a cura di),
op. cit., p. 204 evidenzia che “lo stato di coniugato fa presumere l’esistenza di un continuativo rapporto
sessuale fra due soggetti”.
179
ZENO-ZENCOVICH V., Art. 22, in GIANNANTONIO E., LOSANO M.G., ZENO-ZENCOVICH V. (a cura di),
op. cit., p. 203
180
Rileverebbero quindi l’art. 6 della Convenzione n. 108/1981 del Consiglio d’Europa, che disciplina i
dati “indicanti” l’origine razziale, le opinioni politiche, le convinzioni religiose o altri credo, nonché i dati
a carattere personale relativi allo stato di salute e alla vita sessuale nonché l’art. 8 della Direttiva
95/46/CE che vieta il trattamento dei dati “che rivelano” l’origine razziale o etnica, le opinioni politiche,
le convinzioni religiose o filosofiche, l’appartenenza sindacale, nonché il trattamento dei dati relativi alla
salute e alla vita sessuale. Nell’ambito dell’ordinamento giuridico nazionale, nello stesso senso, l’art. 7
della L. 121/81 vietava di raccogliere informazioni e dati sui cittadini “per il solo fatto” della loro razza,
fede religiosa od opinione politica, o dell’adesione ai principi di movimenti sindacali, cooperativi,
assistenziali, culturali, nonché per la legittima attività che svolgano come appartenenti ad organizzazioni
legalmente operanti nei settori sopraindicati; nello stesso senso l’art. 8 della L. 300/70 vieta al datore di
79
questi termini l’art. 4 comma 1 lett. d metterebbe tuttavia in evidenza che il legislatore,
intenzionalmente, non ha voluto riprendere la norma sovranazionale nella sua dizione
letterale; il ché milita certamente a favore di un’interpretazione estensiva della
disposizione che, tuttavia, impone di tenere in considerazione le circostanze spaziotemporali del trattamento. Se, infatti, la norma parla di “idoneità” alla rivelazione, tale
aggettivo deve essere valutato alla luce di tutte le circostanze del trattamento, tanto da
poter includere nel concetto di sensibilità tutte quelle informazioni che sarebbe in grado,
per l’uomo medio (anche con l’ausilio di strumenti automatizzati), di rivelare i beni e gli
interessi protetti181.
3.2. Le condizioni di liceità del trattamento
L’art. 26 comma 1 del Codice precisa che il trattamento dei dati sensibili può
essere effettuato “solo con il consenso scritto dell’interessato e previa autorizzazione del
Garante per la protezione dei dati personali, nell’osservanza dei presupposti e dei limiti
stabiliti dal presente codice, nonché dalla legge e dai regolamenti”.
Entrambe le condizioni di liceità richieste dalla norma sono necessarie; e la
presenza dell’una non esclude l’altra.
L’art. 26 del Codice si pone quale norma di attuazione dell’art. 8 della Direttiva
95/46/CE, il quale, in linea di principio, vieta il trattamento dei dati sensibili, con ciò
rendendo evidente la particolarità dei dati in questione e, soprattutto, la loro capacità
lesiva superiore a quella insita nei dati comuni. La norma comunitaria, infatti, autorizza
i singoli Stati a derogare al divieto, tra gli altri, nel caso in cui vi sia il consenso
esplicito dell’interessato, salvo che “la legislazione dello stato membro preveda che il
consenso non sia sufficiente”.
lavoro di effettuare indagini “sulle” opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti
non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore.
181
L’autorizzazione generale n. 1/02 in Gazzetta Ufficiale n. 83 del 9 aprile 2002, S.O. n. 70 relativa al
trattamento dei dati sensibili nell’ambito del rapporto di lavoro, essenziale per individuare
l’interpretazione fornita dal Garante al concetto di dati sensibili, include espressamente tra i dati idonei a
rilevare “le convinzioni religiose, filosofiche o di altro genere, ovvero la partecipazione ad associazioni
od organizzazioni a carattere religioso o filosofico” le informazioni concernenti la fruizione di permessi e
festività religiose nonché dei servizi di mensa e la manifestazione, quando possibile, dell’obiezione di
coscienza”. Non v’è alcun dubbio sul fatto che la fruizione di permessi per la partecipazione a servizi di
mensa non sarebbe di per sé sufficiente per rivelare i convincimenti dell’interessato; ma lo diventa
induttivamente o mediante comparazione con altre informazioni (anche limitatamente al nome
dell’interessato – ad. es. Mohamed –, al colore della pelle o al luogo di provenienza), essendo così in
grado di illuminare le convinzioni religiose di un soggetto.
80
L’art. 22 della L. 675/96, prima e l’art. 26 in commento, ora, nella perplessità
che circonda il consenso, la cui prestazione è spesso solo apparente, vi hanno aggiunto
il requisito dell’autorizzazione del Garante. L’intervento dell’Autorità di Garanzia,
pertanto, è finalizzato ad una maggiore protezione delle libertà fondamentali richiamate
dall’art. 2 del Codice182, anche in considerazione del fatto che lo stesso interessato, pur
dovendo essere informato ai sensi dell’art. 13 di tutti gli aspetti connessi al trattamento,
potrebbe non rendersi conto delle conseguenze della prestazione del consenso.
L’autorizzazione183 è uno specifico atto amministrativo attraverso il quale il
Garante rimuove quel limite all’esercizio di una facoltà184 (quella relativa all’esecuzione
di un trattamento di dati), attribuendo al titolare il potere di trattare dati sensibili, nei
limiti delle norme di legge, di regolamento e della stessa autorizzazione (art. 26, comma
1 ultima parte). La ratio dell’autorizzazione è quella di consentire al potere statuale una
verifica circa le modalità del trattamento o il soggetto che la richiede in quanto,
evidentemente, quest’ultimo non può procedervi a suo piacimento.
Il Garante deve procedere ad un bilanciamento degli interessi e delle esigenze
della parti (quelle sottese all’autorizzando trattamento e quelle finalizzate alla
protezione delle libertà fondamentali della persona), in seguito al quale può ritenere che
l’uno sia prevalente rispetto all’altro; e, nel caso prevalga l’interesse al trattamento, può
autorizzarlo e, anche successivamente (in seguito ad eventuali verifiche), può
prescrivere misure e accorgimenti a garanzia dell’interessato, che il titolare è tenuto ad
adottare185. Ciò, con tutta evidenza, affinché la ritenuta prevalenza dell’interesse del
titolare del trattamento non pregiudichi eccessivamente i diritti degli interessati. Da
quanto esposto è evidente che il Garante gode di una completa discrezionalità
amministrativa, agendo a soddisfacimento degli interessi alla cui tutela è stata preposta
dalla legge. Il tutto, comunque, sempre nei limiti dell’obbligo di motivazione imposto
dall’art. 3 della L. 241/90.
182
FICI A., Consenso ed autorizzazione al trattamento dei dati sensibili, in PARDOLESI R. (a cura di), p.
528 precisa che “non si può comunque escludere a priori […] che anche lo stesso interessato possa
necessitare di un intervento del Garante in suo appoggio e che dunque l’autorizzazione possa tener conto
dei suoi interessi individuali”.
183
Per la cui disciplina specifica si rinvia infra, Capitolo Sesto, par. 3.
184
Tale definizione di provvedimento amministrativo autorizzatorio è tratta da MORBIDELLI, Il
procedimento amministrativo, in AA.VV. “Diritto amministrativo”, Tomo II, Monduzzi, II Edizione. Sul
punto anche LIROSI A., Il Garante per la protezione dei dati personali, in CUFFARO V., RICCIUTO V. (a
cura di), op. cit. il quale precisa che il Garante, con l’autorizzazione, “rimuove un limite che impedisce
l’esercizio di una potestà da parte dell’organo o di una facoltà giuridica da parte di un privato”.
185
Si consideri che l’inosservanza di tali misure ed accorgimenti è fonte di responsabilità penale ex art.
170 del Codice. Ma, sul punto, v. infra, Capitolo Ventitreesimo, Sezione Prima.
81
Così come la notificazione, anche il rilascio dell’autorizzazione deve precedere
l’inizio del trattamento (ovviamente solo quello di dati sensibili). L’art. 26 comma 1
precisa infatti che i “dati sensibili possono essere trattati […] previa autorizzazione del
Garante”. Si badi che l’autorizzazione deve riguardare l’intero trattamento (o più
trattamenti tra loro correlati), non dovendo essere richiesta per ogni singola operazione
del trattamento stesso. Tale tipologia di autorizzazione, che viene generalmente definita
“particolare”, si distingue dalle “autorizzazioni generali” (o, secondo diversa
terminologia, “collettive”) le quali, sino ad oggi, sono state in prevalenza utilizzate dal
Garante, per evitare un sovraccarico di lavoro dell’ufficio e per semplificare gli
adempimenti posti a carico dei titolari186. Tale particolare tipologia di autorizzazione è
disciplinata dall’art. 40 del Codice, secondo il quale le “disposizioni del presente codice
che prevedono un’autorizzazione del Garante sono applicate anche mediante il rilascio
di autorizzazioni relative a determinate categorie di titolari o di trattamenti, pubblicate
nella Gazzetta Ufficiale della Repubblica italiana”.
La finalità, come si è visto, è anche quella di evitare continue istanze di
autorizzazione a trattamenti di cui già si conoscono le modalità, gli scopi e le
necessità187. Tanto più a tal fine il medesimo art. 40, onde portare a conoscenza dei terzi
il contenuto delle autorizzazioni generali rilasciate, ne prevede la pubblicazione nella
Gazzetta Ufficiale188. In questi termini, pertanto, l’autorizzazione del Garante, lungi
dall’essere rimasta, com’era “pensata” nel disegno originario della L. 675/96, un
provvedimento amministrativo ad hoc, finalizzato a regolare uno specifico trattamento
di dati, è divenuta un atto di natura generale, contenente norme aventi carattere di
astrattezza e generalità, obbligatorie per tutti coloro che procedono ad una particolare
186
Il Garante solo in poche occasioni si è avvalso del potere di adottare autorizzazioni particolari. Si veda,
in proposito, Garante, autorizzazione 5 dicembre 2000 in www.garanteprivacy.it, consultato il 6/09/2003
con la quale si è autorizzata la Mondadori.com S.p.A. al trattamento dei dati sensibili diversi da quelli
relativi allo stato di salute e la vita sessuale per le sole finalità di gestione degli ordini dei clienti, nonché
Garante, autorizzazione 31 gennaio 2001, in www.garanteprivacy.it, consultato il 6/09/2003 con la quale
il medesimo Garante ha autorizzato una società di assicurazione a trattare i dati idonei a rivelare la
convinzione religiosa dei soci, limitatamente ai dati e alle operazioni strettamente necessari per
l’applicazione dello statuto, nella parte in cui dispone l’ammissione dei soli soci che professano la
religione cattolica e che manifestano sentimenti di adesione alle opere cattoliche.
187
Sul punto si veda MASCHIO F., I dati sensibili, in CLEMENTE A. (a cura di), op. cit., la quale evidenzia
che “il tentativo di deburocratizzazione e snellimento degli adempimenti prescritti dalla nuova legge,
comunque, vuole realizzare una razionalizzazione in sede applicativa, e non un deroga, al sistema di
tutela introdotto”. Si veda anche ACCIAI R., ORLANDI S., Le nuove norme in materia di privacy, Rimini,
Maggioli, 2002 e BUTTARELLI G., Commento alle autorizzazioni generali 2002, in Guida al Lavoro, 16,
23 aprile 2002, Milano, Il Sole 24 Ore, Pirola, p. 10.
188
Per mera esaustività si evidenzia che, in precedenza, l’obbligo di pubblicazione nella Gazzetta
Ufficiale era previsto da una norma regolamentare (art. 14 del D.P.R. 501/98).
82
tipologia di trattamenti (v. sul punto l’autorizzazione n. 1189 relativa al trattamento dei
dati sensibili nei rapporti di lavoro) o per determinate categorie di titolari (v. in
proposito l’autorizzazione n. 6190, relativa ai trattamenti effettuati dagli investigatori
privati )191; tanto che taluno si chiede se il termine “autorizzazione” non sia fuorviante
rispetto alla “realtà normativa (e di fatto) che indica nelle c.d. autorizzazioni generali
una vera e propria fonte normativa per i trattamenti di dati sensibili”192.
L’art. 26 comma 2 del Codice contiene una specifica disposizione che impone al
Garante di provvedere (qualora non ritenga di rigettare la richiesta) entro e non oltre
quarantacinque giorni dall’istanza, formandosi altrimenti il silenzio-rigetto193. Si badi,
sul punto, che la norma non si limita ad imporre l’adozione dell’atto entro tale termine,
ma richiede anche la comunicazione. Tale assunto, tuttavia, non deve far pensare che il
rigetto tacito debba ritenersi formalizzato anche solo in caso di mancata comunicazione
189
L’autorizzazione generale n. 1 è stata adottata con validità annuale sin dal 1997, pressoché
nell’identico contenuto. Il Garante, in luogo dell’adozione di autorizzazioni generali con efficacia a tempo
indeterminato, si è sempre avvalso del potere riconosciuto dall’art. 14 comma 5 del D.P.R. 501/98 di
adottare autorizzazioni con un termine prestabilito (di anno in anno) alla luce del continuo mutamento
della normativa in materia di dati personali. Si v., sul punto, l’autorizzazione 1/97, in Gazzetta Ufficiale
n. 272 del 2 novembre 1997, n. 272, successivamente riprodotta nell’autorizzazione n. 1/98, in Gazzetta
Ufficiale n. 229 del 1 ottobre 1998, nell’autorizzazione n. 1/99, in Gazzetta Ufficiale n. 232 del 2 ottobre
1999, nell’autorizzazione generale n. 1/00, in Gazzetta Ufficiale n. 229 del 30 settembre 2000,
nell’autorizzazione n. 1/02, cit., quest’ultima prorogata sino al 30/06/2004 ad opera del provvedimento
del Garante del 30/06/2003..
190
Autorizzazione generale 6/97, in Gazzetta Ufficiale n. 272 del 2 novembre 1997, n. 272,
successivamente riprodotta nell’autorizzazione n. 6/98, in Gazzetta Ufficiale n. 229 del 1 ottobre 1998,
nell’autorizzazione n. 6/99, in Gazzetta Ufficiale n. 232 del 2 ottobre 1999, nell’autorizzazione generale
n. 6/00, in Gazzetta Ufficiale n. 229 del 30 settembre 2000, nell’autorizzazione n. 6/02 in n. 83 del 9
aprile 2002, S.O. n. 70, quest’ultima prorogata sino al 30/06/2004 ad opera del provvedimento del
Garante del 30/06/2003..
191
Garante, Relazione 1997, Roma, 1998 evidenzia che “le autorizzazioni per categorie o «collettive»
permettono all’organo di garanzia di svolgere la propria azione di tutela con organicità, procedendo
attraverso ampie aggregazioni di attività omogenee e rivolgendosi non più in maniera frammentaria e
parcellizzata a singoli soggetti, ma ad intere categorie. La generalità dell’approccio valorizza lo strumento
autorizzativo, che da provvedimento di disciplina di specifiche situazioni diviene una fonte di
regolamentazione più ampia di interessi di rango quasi normativo” e che “l’autorizzazione collettiva non
soltanto si ispira ai principi di snellimento dell’azione amministrativa, ma comporta un notevole
semplificazione degli adempimenti spettanti ai soggetti preposti al trattamento e incide positivamente sui
loro profili economici, implicando un risparmio nei costi di gestione. Sicché il provvedimento collettivo
ben può ricomprendersi in quella formula che la dottrina tedesca definisce «norme di alleggerimento»”
192
ACCIAI R., ORLANDI S., op. cit.
193
Occorre qui precisare che il decorso del termine si interrompe nel caso in cui il Garante, avvalendosi
del potere generale di cui all’art. 157 del Codice, inviti il richiedente a fornire informazioni o ad esibire
documenti, e ricomincia a decorrere dalla data di scadenza del termine fissato per l’adempimento (art. 41
comma 4 del Codice). Tale disposizione si applica solo nel caso in cui l’invito sia rivolto al richiedente e
non, come consentito dal menzionato art. 157, ad un terzo; in tal caso, infatti, le esigenze dell’aspirante
titolare non potrebbero essere subordinate od aggravate alla volontà di un soggetto ad egli estraneo. Deve
inoltre ritenersi, nel silenzio normativo, che tale interruzione possa anche verificarsi più volte nell’ambito
dello stesso procedimento amministrativo, pur nel rispetto del principio di non aggravamento (art. 1
comma 2 della L. 241/90).
83
del provvedimento invero adottato in termini, in quanto, la norma in analisi, pur
richiedendo che la comunicazione debba avvenire entro i quaranticinque giorni dalla
richiesta, precisa che l’inosservanza del termine porta al rigetto della “mancata
pronuncia” e non, invece, della “mancata comunicazione”. La tassatività delle ipotesi di
silenzio-rigetto deve quindi far conclude all’interprete che l’omessa comunicazione
entro i termini di cui all’art. 26 di un’autorizzazione rilasciata entro gli stessi configura
una mera irregolarità.
Con la clausola del silenzio-rigetto il legislatore ha inteso tutelare l’interesse
primario del controllo sui trattamenti dei dati sensibili e, quindi, delle libertà
fondamentali protette dalla normativa in commento194. D’altro canto il legislatore
consente comunque al titolare la possibilità di agire, per opporsi al rigetto tacito, dinanzi
l’AGO ex art. 152 del Codice195.
3.3. Segue. Le deroghe alla disciplina rafforzata
3.3.1. Le deroghe all’art. 26 comma 1. l trattamenti delle confessioni religiose
L’art. 26 comma 3, in ossequio all’art. 8 comma 2 della Direttiva 95/46/CE che,
come si è visto, prevede ipotesi di deroga al generale divieto di trattamento di dati
sensibili196, dichiara la non applicabilità dello stesso art. 26, comma 1 al trattamento
“dei dati relativi agli aderenti alle confessioni religiose e ai soggetti che con riferimento
a finalità di natura esclusivamente religiosa hanno contatti regolari con le medesime
confessioni, effettuato dai relativi organi, ovvero da enti civilmente riconosciuti, sempre
che i dati non siano diffusi o comunicati fuori delle medesime confessioni. Queste
ultime determinano idonee relativamente ai trattamenti effettuati, nel rispetto dei
principi indicati al riguardo con autorizzazione del Garante”. La norma riprende le
precedenti disposizioni contenute nell’art. 22 comma 1-bis della L. 675/96, che si
applicava solo alle confessioni religiose i cui rapporti con lo stato erano regolati dagli
194
MORBIDELLI, Il procedimento amministrativo, in AA.VV. “Diritto amministrativo”, Tomo II,
Monduzzi, II Edizione.
195
Ma, sul punto, v. infra, Capitolo Ventunesimo.
196
L’art. 8 comma 2 della Direttiva 95/46/CE prevede, tra gli altri, la possibilità di derogare al divieto di
trattamento di dati sensibili nel caso in cui esso “sia effettuato, con garanzie adeguate, da una fondazione,
un'associazione o qualsiasi altro organismo che non persegua scopi di lucro e rivesta carattere politico,
filosofico, religioso o sindacale, nell'ambito del suo scopo lecito e a condizione che riguardi unicamente i
suoi membri o le persone che abbiano contatti regolari con la fondazione, l'associazione o l'organismo a
motivo del suo oggetto e che i dati non vengano comunicati a terzi senza il consenso delle persone
interessate”.
84
accordi o dalle intese di cui agli artt. 7 e 8 Cost., e nell’art. 22 comma 4 lett. a che, tra
gli altri, aveva ad oggetto anche le confessioni religiose diverse da quella già
menzionate nel comma 1-bis.
A quanto pare il legislatore, equiparando tra loro tutte le confessioni religiose, ha
voluto risolvere i dubbi di legittimità costituzionali che erano sorti all’entrata in vigore
della normativa.
Nel caso di specie la norma in esame dichiara “non applicabile” il comma 1 ai
trattamenti descritti. Così facendo essa esclude detti trattamenti dall’obbligo del
consenso dell’interessato e dell’autorizzazione del Garante. La finalità è quindi quella di
rispondere all’esigenza “di introdurre gli opportuni adattamenti per contemperare la
tutela dei diritti e delle libertà fondamentali con le peculiari esigenze delle confessioni
religiose”197.
Il legislatore delegato ha previsto che il trattamento, per poter godere del beneficio
legislativo, deve essere effettuato dagli organi delle confessioni o dagli enti “civilmente
riconosciuti”, oltretutto imponendo a tali organizzazioni di determinare “idonee
garanzie relativamente ai trattamenti effettuati nel rispetto dei principi indicati al
riguardo con autorizzazione del Garante”. La necessità dell’adozione di tali garanzie è
finalizzata e garantire la legittimità della deroga all’art. 26 comma 1, che il legislatore
europeo ha autorizzato solo qualora il trattamento sia effettuato “con adeguate
garanzie”. Nella medesima direzione, del resto, si muove l’ultima parte della norma in
esame, che impone alle medesime confessioni, nell’adozione delle idonee garanzie, di
rispettare i “principi” indicati dal Garante; si vuole evitare, infatti, che le confessioni
introducano misure inefficaci. Non v’è dubbio, infatti, che la precedente formulazione
della norma, che non imponeva il rispetto di principi particolari, ma solo del requisito
della “idoneità”, poteva aprire la strada ad una eccessiva discrezionalità, in pregiudizio
delle libertà degli interessati.
Il medesimo art. 26 comma 3 lett. a ha, quindi, “liberalizzato” il trattamento dei
dati relativi agli aderenti e agli interessati che, con le confessioni, hanno “contatti
regolari”, purché riferiti a finalità di natura esclusivamente religiosa198.
197
Relazione allo schema del decreto legislativo recante disposizioni integrative della legge 31 dicembre
1996 n. 675 sul trattamento di dati particolari da parte di soggetti pubblici, presentato alle Camere per il
parere obbligatorio.
198
Ne restano quindi esclusi i rapporti di natura obbligatori.
85
L’ultima condizione posta dalla norma per la sua applicabilità è quella relativa alla
destinazione dei dati, che non possono essere diffusi o comunicati “fuori” dalla
confessione. Si tratta di una condizione essenziale per l’esenzione dalla regola generale,
essendo anch’essa finalizzata al rispetto della Direttiva 95/46/CE che, appunto, consente
la deroga solo qualora i dati “non siano comunicati a terzi senza il consenso
dell’interessato”.
Le confessioni religiose rappresentano una categoria a sé stante e non possono
essere inquadrate in un istituto civilistico ordinario. Gli “aderenti”, pertanto, non
possono essere individuati solo sulla base di una loro iscrizione o di una loro
partecipazione alle attività religiose della confessione. Per la definizione del concetto di
“aderenti alle confessioni religiose” devono richiamarsi le norme delle singole
confessioni religiose: l’individuazione del significato di “aderente”, infatti, deve essere
enucleata dall’interpretazione delle disposizioni del diverso ordinamento giuridico
autonomo e indipendente, richiamato dalla legge199. Nello stesso senso pare
indispensabile l’accertamento della qualità dei soggetti che “in relazione a finalità di
natura esclusivamente religiosa hanno contatti regolari con le medesime confessioni”.
Sul punto deve ritenersi che tali interessati siano individuabili in quei soggetti che, pur
non essendo qualificabili come aderenti, potrebbero essere ritenuti tali in virtù dei
continui e regolari contatti per gli scopi perseguiti dalle confessioni medesime200.
3.3.2. Segue. l trattamenti delle associazioni sindacali o di categoria
L’art. 26 comma 3 lett. b del Codice, ricalcando l’art. 22 comma 1-ter della L.
675/96, così come introdotto dal D.Lgs. 28 dicembre 2001 n. 467, esclude
l’applicabilità del comma 1 anche ai trattamenti “dei dati riguardanti l’adesione di
associazioni od organizzazioni a carattere sindacale o di categoria ad altre associazioni,
organizzazioni o confederazioni a carattere sindacale o di categoria”.
199
A mero titolo esemplificativo, pertanto, gli “aderenti” alla Chiesa Cattolica, sono inquadrabili
richiamando il disposto del can. 204 del codice di diritto canonico che definisce i “fedeli” come “coloro
che, essendo stati incorporati a Cristo mediante il battesimo, sono costituiti popolo di Dio e perché, resi
partecipi nel loro modo proprio dell’ufficio sacerdotale, regale e profetico di Cristo, sono chiamati ad
attuare, secondo la condizione giuridica propria di ciascuno, la missione che Dio ha affidato alla Chiesa
da compiere nel mondo”. Da quanto sopra, pertanto, ne deriva che tutti coloro, cittadini o stranieri, che
sono stati battezzati secondo le norme della Chiesa Cattolica sono “aderenti” alla stessa.
200
Da quanto esposto potrebbe ritenersi che gli organi e gli enti riconosciuti della confessione cattolica
possono procedere al trattamento dei dati di coloro che frequentano la chiesa in vista del battesimo oppure
di coloro che frequentano regolarmente gli incontri liturgici.
86
Come si è detto, i dati personali tutelati sono quelle informazioni che si riferiscono
sia alle persone fisiche, sia alle persone giuridiche, sia alle associazioni (art. 4 comma 1
lett. b). I dati sensibili e, in particolare, i dati idonei a rivelare le opinioni sindacali e
l’adesione ad associazioni sindacali possono riguardare anche associazioni; anche tali
organizzazioni, per lo più non dotate di personalità giuridica, sono soggetti di diritto e,
in quanto tali, capaci di una propria soggettività, essendo oltretutto esponenti degli
interessi dei singoli associati.
Il particolare rigore previsto dall’art. 22 comma 1 L. 675/96, laddove imponeva il
consenso scritto e l’autorizzazione del Garante anche in tali ipotesi, era eccessivo. Le
“opinioni” delle associazioni dei sindacati e di categoria, infatti, non sono solo di
pubblico dominio, ma sono addirittura informazioni che le stesse associazioni hanno
interesse a divulgare il più possibile. Ci si era resi conto che i dati personali di tali enti,
pertanto,
non
necessitavano
di
una
particolare
protezione
legislativa,
non
rappresentando il relativo trattamento un particolare rischio per le libertà tutelate.
L’esclusione di tali dati dalla sfera di applicazione dell’originario art. 22, inoltre,
non creava particolari problemi di adattamento con la normativa comunitaria perché la
stessa, come noto, non riguarda i dati personali riferibili alle persone giuridiche e alle
associazioni, bensì solo alle persone fisiche (art. 1 comma 1 lett. a della Direttiva
95/46/CE). E’ questa la ragione per la quale l’art. 26 comma 3 lett. b non contiene
particolari garanzie a tutela della associazioni stesse: il legislatore, infatti, ha ritenuto
superflua ogni finalità garantistica nei confronti della associazioni medesime, ad
esclusione, ovviamente, delle altre prescrizioni contenute nel Codice.
3.3.3. Le deroghe all’obbligo del consenso. I trattamenti delle organizzazioni
collettive
L’originario art. 22 comma 4 della L. 675/96, che disciplinava i trattamenti di dati
che potevano avvenire senza il consenso dell’interessato (e fermo restando
l’autorizzazione del Garante) aveva dato adito a notevoli dubbi di legittimità
costituzionale. Non solo perché limitava i dati trattabili per difendersi in giudizio201, ma
201
Il trattamento dei dati personali poteva essere effettuato senza il consenso dell’interessato per svolgere
investigazioni difensive solo qualora si trattasse di dati idonei a rivelare lo stato di salute e la vita
sessuale.
87
anche perché non prevedeva ipotesi di esclusione dell’obbligo del consenso connaturali
ad un corretto di bilanciamento con altri diritti o libertà202.
L’art. 22, per tali ragioni, è stato oggetto di numerose modifiche. Inizialmente,
infatti, fu integrato con il comma 1-bis ad opera del D.Lgs. 11 maggio 1999 n. 135; poi
con il comma 1-ter e con l’intera riformulazione del comma 4, mediante inserimento di
numerose clausole di esonero dal consenso dell’interessato, ad opera del D.Lgs. 467/01.
Una ulteriore innovazione, attesa da tempo e suggerita anche dall’art. 8 comma 2 lett. b
della Direttiva 95/46/CE, è stata ora inserita nel nuovo art. 26 comma 4 lett. d, ed
esonera dal consenso dell’interessato il trattamento dei dati necessario per adempiere a
specifici adempimenti connessi al rapporto di lavoro.
Da un lato, quindi, l’attuale art. 26 comma 3 prevede ipotesi nelle quali il titolare è
esonerato dall’obbligo di richiedere sia il consenso dell’interessato sia l’autorizzazione
del Garante; dall’altro l’art. 26 comma 4 disciplina ipotesi nelle quali il titolare è
esentato solo dall’obbligo di munirsi del consenso, fermo restando l’obbligo
dell’autorizzazione del Garante.
In quest’ultimo caso la finalità è quella procedere ad un controllo preventivo su
trattamenti che rappresentano un maggior rischio per le libertà fondamentali tutelate dal
Codice. Viene così ad evidenza la diversa ratio delle due norme. L’art. 26 comma 4 del
Codice, infatti, disciplina ipotesi nelle quali il consenso dell’interessato è da
considerarsi presunto (ad es., mediante espressa accettazione della clausole statutarie di
una organizzazione collettiva), nelle quali lo stesso non può essere raccolto per
impossibilità materiale o giuridica (ad es., nel trattamento dei dati per la salvaguardia
della salute) o per ragioni di opportunità (ad es., nel trattamento dei dati per finalità
investigative).
L’art.
26
comma
3,
invece,
esonera
totalmente
il
titolare
dall’applicazione della disciplina sul trattamento dei dati sensibili in virtù del rilievo
costituzionale del titolare medesimo (comma 3 lett. a), o della minor pericolosità del
trattamento (comma 3 lett. b).
L’art. 26 comma 4, in primis, permette il trattamento dei dati sensibili “anche senza
consenso, previa autorizzazione del Garante […] quando il trattamento è effettuato da
associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere
politico, filosofico, religioso o sindacale, ivi compresi partiti e movimenti politici, per il
perseguimento di scopi determinati e legittimi individuati dall’atto costitutivo, dallo
202
Come, a mero titolo esemplificativo, quelle connesse all’esecuzione di un contratto di lavoro.
88
statuto o dal contratto collettivo, relativamente ai dati personali degli aderenti o dei
soggetti che in relazione a tali finalità hanno contatti regolari con l’associazione, ente od
organismo, sempre che i dati non siano comunicati all’esterno o diffusi e l’ente,
associazione od organismo determini idonee garanzie relativamente ai trattamenti
effettuati, prevedendo, espressamente le modalità di utilizzo dei dati con determinazione
resa nota agli interessati all’atto dell’informativa ai sensi dell’articolo 13”
Tale clausola di parziale esonero, tuttavia, non si limita ad escludere sic et
simpliciter tali titolari dall’obbligo del consenso, ma si spinge sino a prescrivere limiti
ed obblighi che devono essere osservati per poter beneficiare dell’esonero stesso. I dati
sensibili, alla luce della disposizione in esame, possono essere trattati senza il consenso
solo dalle organizzazioni collettive senza scopo di lucro, anche se non riconosciute, a
carattere filosofico, politico, religioso o sindacale. L’elemento essenziale che devono
possedere tali organizzazioni è la mancanza del fine di lucro203.
Fermo restando quanto già evidenziato supra204 circa l’ambito di applicazione
soggettivo della disposizione e, quindi, relativamente al significato dell’inciso
“aderenti” e “soggetti che hanno contatti regolari”, sotto il profilo oggettivo la norma
non limita l’esonero a seconda delle finalità del trattamento. Essa prevede solo che le
finalità perseguite devono essere “determinate” e “lecite”, (ricalcando così quanto
disposto dall’art. 11 comma 1 lett. b) e, comunque, individuate dall’atto costitutivo,
dallo statuto o dal contratto collettivo, così evitando che il titolare possa determinare le
finalità del trattamento a suo piacimento e senza vincoli preventivi o non conoscibili
dagli interessati.
Il trattamento dei dati sensibili dagli tali organismi, onde beneficiare del regime
semplificato di cui all’art. 26 comma 4, deve limitare la circolazione dei dati all’interno
degli stessi essendone vietata, pertanto, ogni comunicazione o diffusione al di fuori
dell’istituzione (salvo, ovviamente, la possibilità di procedervi, nell’osservanza
dell’autorizzazione del Garante, con il consenso dell’interessato)
Detto particolare regime può inoltre essere applicato solo nel caso in cui il titolare
determini idonee garanzie relativamente ai trattamenti effettuati, le quali devono
203
Si badi che, per evitare interpretazioni discordi, l’art. 26 comma 4 lett. a include espressamente in tali
organizzazioni i partiti e i movimenti politici, i quali, unitamente agli altri, potranno procedere al
trattamento dei dati degli aderenti e dei soggetti che hanno contatti regolari con le stesse.
204
V. par. 2.3.
89
comprendere le modalità di utilizzo dei dati e devono essere rese note agli interessati
nell’ambito dell’informativa che deve essere resa ai sensi dell’art. 13.
Con tutta evidenza, nonostante la norma in esame non preveda la necessità, per il
titolare, di rispettare particolari principi (come invece dispone l’art. 23 comma 3 lett. a
ultimo periodo), l’adozione delle “garanzie” non deve essere meramente formale bensì
“idonea” e, quindi, concretamente finalizzata alla tutela delle libertà fondamentali degli
interessati. L’omessa adozione di tali misure, del resto, impedirebbe al titolare di
avvalersi del regime semplificato in esame, imponendogli di osservare i precetti generali
dell’art. 26 comma 1.
3.3.4. Segue. La tutela della salute
L’art. 26 comma 4 lett. b estende l’esenzione dall’obbligo del consenso
dell’interessato anche al trattamento dei dati sensibili “necessario per la salvaguardia
della vita o dell’incolumità fisica di un terzo. Se la medesima finalità riguarda
l’interessato e quest’ultimo non può prestare il proprio consenso per impossibilità fisica,
per incapacità di agire o per incapacità di intendere o di volere, il consenso è
manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da
un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso
cui dimora l’interessato. Si applica la disposizione di ciu all’articolo 82, comma 2”.
Tale semplificazione, anch’essa originariamente introdotta, se pur in termini
parzialmente differenti205, dal D.Lgs. 467/01, è finalizzata alla tutela del diritto alla
salute. Ci si chiede, in proposito, quale sia il rapporto interpretativo tra l’art. 76 comma
1 lett. b206 e l’art. 26 comma 4 lett. b.
A parere dello scrivente la portata delle due norme deve essere valutata in relazione
al principio di specialità. Fermo restando che il trattamento dei dati per la salvaguardia
della salute di un terzo è consentito senza il consenso dell’interessato a prescindere dalla
ragione di tale mancanza, la novella dell’art. 26 comma 4 lett. b è finalizzata a
legittimare il trattamento da parte di soggetti diversi da quelli elencati nell’art. 76
nonché con riferimento anche a dati sensibili diversi da quelli sanitari ai quali, soli, l’art.
205
L’originaria formulazione, infatti, autorizzava il trattamento dei dati sensibili senza il consenso
dell’interessato qualora ciò fosse necessario per la salvaguardia della salute sia dell’interessato sia di un
terzo, purché l’interessato non potesse prestarlo per incapacità. In tale contesto, quindi, non era richiesto il
consenso dei terzi qualificati.
206
V. Capitolo Dodicesimo, Sezione Prima.
90
76 fa riferimento. Il tutto, ovviamente, nei limiti del principio di essenzialità di cui
all’art. 11 del Testo Unico.
La condizione principale che legittima il titolare al trattamento con il consenso dei
terzi qualificati è l’impossibilità fisica o giuridica dell’interessato di prestare il
consenso. Alcun altro limite è stato imposto dalla norma.
Si badi, inoltre, che nonostante la norma legittimi il trattamento di tutti i dati
sensibili (e non solo di quelli sanitari), il titolare è comunque tenuto a sottoporre a
trattamento i soli dati necessari per l’adempimento delle finalità di tutela della salute, ex
art. 11 del Codice; così come, ai sensi della stessa norma, adempiute le medesime
finalità è tenuto alla loro cancellazione o trasformazione in forma anonima.
3.3.5. Segue. Le investigazioni difensive
Il diritto di difesa, espressamente sancito dall’art. 24 Cost., ha imposto al
legislatore delegato del 2001 di riformulare la norma contenuta nell’originario art. 4
della L. 675/96 che, come si è detto, consentiva il trattamento dei dati sensibili
dell’interessato per finalità investigative limitatamente ai dati sanitari e sessuali.
L’attuale formulazione dell’art. 26 comma 4 lett. c consente ora il trattamento di
tutti i dati sensibili senza il consenso dell’interessato per lo svolgimento delle
investigazioni difensive di cui all’art. 327-bis c.p.p. nonché per far valere o difendere in
sede giudiziaria un diritto “sempre che i dati siano trattati esclusivamente per tali
finalità e per il periodo strettamente necessario al loro perseguimento”. La norma
prevede ora che, per tali finalità, è possibile procedere al trattamento di dati sanitari o
relativi alla vita sessuale se il diritto che si deve far valere è di rango pari a quello
dell’interessato “ovvero consistente in un diritto della personalità o in un altro diritto o
libertà fondamentale e inviolabile”. Viene pertanto codificato il significato di quel
“rango pari” che si è rinvenuto nella legislazione sin dalla sua prima formulazione.
Il significato della norma in analisi, pertanto, è stato ampiamente chiarificato. Da
un lato è stato “liberalizzato” (ovvero consentito senza il consenso dell’interessato ma
con l’autorizzazione del Garante) il trattamento dei dati svolto per finalità investigative;
dall’altro lo stesso trattamento è stato limitato o, comunque, correttamente bilanciato
solo qualora i dati siano relativi al nucleo duro dei dati sensibili che, quindi, possono
essere fatti oggetto di attività investigativa privata solo nel caso in cui il diritto per il
91
quale si vuole agire o resistere in giudizio è dello stesso rango e, quindi, riguarda diritti
e libertà di livello costituzionale.
L’attuale condizione essenziale del trattamento è quella finalistica, relativa
all’esigenza di tutelare un diritto in sede giudiziaria; alla quale si aggiunge quella legata
ai limiti posti alla conservazione, che deve essere limitata al periodo strettamente
necessario al perseguimento delle stesse finalità. Tali precisazioni sono finalizzate a
tutelare gli interessati che vedono trattarsi dati personali senza averne avuto nemmeno
conoscenza207. Il titolare è quindi tenuto ad effettuare le sole operazioni necessarie a
perseguire le finalità difensive e, al termine, a cancellare o trasformare in forma
anonima i dati.
L’esercizio dell’azione difensiva non viene quindi in considerazione solo nel
procedimento penale (visto il riferimento alla L. 397/00 e, quindi, agli artt. 391-bis ss.
c.p.p.), ma anche nel procedimento civile (si pensi, sul punto, ai dati raccolti per la
prova dell’adulterio per la separazione con addebito)208. In quest’ultima ipotesi la norma
deve essere interpretata alla luce dell’art. 183 comma 3, laddove lascia ferme le
disposizioni di legge che stabiliscono divieti o limiti più restrittivi in materia di
trattamento di dati personali. In questo senso, pertanto, le attività investigative non
possono eludere l’applicazione delle disposizioni contenute nello Statuto dei Lavoratori.
Chi scrive non ritiene che la nuova formulazione della norma abbia completamente
risolto i dubbi già manifestati prima della riformulazione operata dal D.Lgs. 467/01. Da
un lato, infatti, le investigazioni paiono consentite solo nel caso in cui la parte intenda
tutelare un “diritto”, così da sembrarne esclusi le mere facoltà e gli interessi legittimi.
Dall’altro, invece, pare che la norma escluda dall’esonero gli eventuali trattamenti di
dati sensibili finalizzati alla tutela dei diritti in sede amministrativa dove, comunque, è
assicurato il contraddittorio e il diritto di difesa, eventualmente anche contro verbali di
contestazione od ordinanze di ingiunzione. Tale ultima omissione pare insuperabile,
essendo palesemente esclusa dalla lettera della legge, che accenna solo alla tutela “in
sede giudiziaria”; chi scrive preferisce tuttavia risolvere diversamente il quesito relativo
all’ambito degli interessi che il titolare del trattamento deve perseguire per potervi
procedere. Pur essendo vero che la norma si riferisce solo ai “diritti”, è altrettanto vero
207
Sul punto si osserva, infatti, che, opportunamente, l’art. 13 comma 5 lett. b consente al titolare di
omettere l’informativa all’interessato , fino a quando lo scopo per il quale i dati sono stati raccolti non è
stato perseguito.
208
Nell’ambito del procedimento civile il legislatore ha inteso consentire sia le investigazioni finalizzate
alla mera difesa ( “difendere”) sia quelle destinate all’azione, anche riconvenzionale (“far valere”).
92
che essa non limita tale inciso ai soli diritti soggettivi, così che la disposizione può
essere oggetto di una interpretazione sistematica tale da renderla compatibile con la
Carta costituzionale. Alla luce della pari tutela giurisdizionale che la Costituzione
assegna ai diritti soggettivi, agli interessi legittimi e alle facoltà, sarebbe illegittimo
limitare la piena tutela di tali ultimi. In questi termini, pertanto, l’inciso “diritti”
utilizzato dall’art. 26 comma 4 lett. c deve essere interpretato in senso ampio,
comprendendovi qualunque esigenza di tutela.
3.3.6. Segue. Il rapporto di lavoro
Come si è visto, in materia di dati sensibili il legislatore del 1996 aveva omesso di
prevedere l’esclusione dell’obbligo del consenso dell’interessato per il trattamento dei
dati finalizzato l’adempimento di obblighi normativi o contrattuali.
Ancor oggi, com’era in precedenza la correlazione tra l’art. 12 e l’art. 22 della L.
675/96, l’art. 26, rispetto al precedente 24, è una norma speciale; in questo modo,
pertanto, le clausole di esclusione del consenso applicabili al trattamento dei dati
sensibili sono solo quelle ivi codificate, applicandosi l’art. 24 ai soli dati comuni. La
finalità sottesa è quella di garantire il più possibile il controllo dell’interessato su dati
personali talmente intimi da godere di un regime rafforzato. Non è tuttavia dato
comprendere per quale ragione, pur in presenza dell’autorizzazione del Garante, si
debba richiedere il consenso dell’interessato nelle varie ipotesi in cui sarebbe opportuno
o più agevole omettere tale richiesta. I trattamenti di dati sensibili effettuati per
l’adempimento di un contratto dovrebbero già ritenersi autorizzati sulla base del
consenso presunto dell’interessato che, concludendo il contratto, aveva già assentito, se
pur tacitamente, al trattamento dei dati necessari per il suo adempimento209.
Alla luce di tale considerazione, come si è visto, già il legislatore del 2001 aveva
apportato talune deroghe, autorizzando il trattamento dei dati degli aderenti alle
209
Si evince l’incongruità di tale omissione nel caso in cui l’interessato non voglia concedere il consenso.
Non si comprende, infatti, quali potrebbero essere le conseguenze per il titolare (e, quindi, per un soggetto
alla cui volontà non può imputarsi l’omissione). Mentre, infatti, l’eventuale rifiuto alla prestazione del
consenso nell’ambito di un rapporto contrattuale può autorizzare il titolare a non adempiere, facendo
valere la mala fede dell’altro contraente, diverse conclusioni devono raggiungersi nel caso in cui il
trattamento debba conseguire ad un obbligo normativo. In mancanza del consenso dell’interessato il
titolare dovrebbe scegliere se sottostare alle sanzioni (anche civili) previste dal Codice in materia di
protezione dei dati personali o a quelle sottese all’inadempimento legale che impone l’esecuzione di
operazioni non autorizzate; ciò che appare, evidentemente, palesemente in contrasto con qualsiasi
principio di civiltà giuridica: non si può pretendere che un soggetto debba scegliere a quale pregiudizio
sottostare. Nemmeno, oltretutto, si può imporre all’interessato di prestare il consenso, essendo
quest’ultimo un atto del tutto “libero”.
93
organizzazioni collettive. Il legislatore codicistico, inoltre, ha ora introdotto un’ulteriore
ipotesi di esclusione dell’obbligo del consenso in caso di trattamenti imposti dalla
normativa: “[i] dati sensibili possono essere oggetto di trattamento anche senza il
consenso, previa autorizzazione del Garante […] quanto è necessario per adempiere a
specifici obblighi o compiti previsti dalla legge, da un regolamento o dalla normativa
comunitaria per la gestione del rapporto di lavoro, anche in materia di igiene e sicurezza
del lavoro e della popolazione e di previdenza e assistenza, nei limiti previsti
dall’autorizzazione e ferme restando le disposizioni del codice di deontologia e di buona
condotta di cui all’articolo 111” (art. 26 comma 4 lett d).
Il datore di lavoro è autorizzato quindi a compiere ogni operazione avente ad
oggetto dati sensibili del lavoratore, in quanto essenziale per l’adempimento degli
obblighi normativi connessi al rapporto. Il titolare non viene, tuttavia, autorizzato al
compimento di operazioni meramente connesse all’adempimento, in quanto tale, del
contratto di lavoro210 (come la norma avrebbe comunque potuto disporre in ossequio
all’art. 8 comma 2 della Direttiva 95/46/CE) per il quale, evidentemente, deve
continuare a raccogliere il consenso scritto dell’interessato.
La norma, non autorizzando l’esonero dal consenso dell’interessato per
l’adempimento del contratto di lavoro, pare comunque porsi (di fatto) in contrasto con
l’art. 1372 c.c., secondo il quale il contratto ha “forza di legge fra le parti”. Il legislatore
delegato,
tuttavia,
ha
ritenuto
opportuno
privilegiare i
diritti
fondamentali
dell’interessato il quale, pertanto, mantiene intatto il diritto al controllo della
“circolazione” delle proprie informazioni e alla costituzione della propria identità anche
nell’ambiente di lavoro; in tale contesto, è tuttavia evidente che l’interessato, rifiutando
il consenso, potrebbe comunque compiere delle scelte tali da pregiudicare il rapporto di
lavoro (si pensi, ad es., al caso in cui rifiuti il consenso al trattamento dei dati relativi
allo stato di salute). Il legislatore ha voluto attribuire all’interessato stesso il diritto di
svolgere autonomamente il bilanciamento dei contrapposti interessi. Tanto più in
considerazione del fatto che, spesso, il trattamento dei dati personali effettuato
nell’ambito del rapporto di lavoro potrebbe avere ad oggetto dati sensibili non essenziali
e non connaturali all’esecuzione del contratto (si pensi, in proposito, all’uso di
210
Si pensi, in proposito ed a mero titolo esemplificativo, al trattamento dei dati connesso alle trattenute
sindacali o allo stato di salute dell’interessato.
94
badges211 o alla registrazione dei siti Internet visitati dal lavoratore), magari non
compresi nei divieti di cui all’art. 4 dello Statuto dei Lavoratori e sui quali, quindi, il
lavoratore deve mantenere un ampio controllo, sia in sede preventiva (con l’informativa
o con la manifestazione del consenso) sia durante l’esecuzione del trattamento (con
l’esercizio dei diritti dell’interessato).
In ossequio al disposto dell’art. 8 comma 2 lett. b della Direttiva 95/46/CE,
secondo il quale il trattamento deve essere “autorizzato da norme nazionali che
prevedono adeguate garanzie”, il titolare deve procedere al trattamento “nei limiti
previsti dall’autorizzazione e ferme restando le disposizioni del codice di deontologia e
di buona condotta di cui all’articolo 111” (all’art. 26 comma 4 lett. d).
Tale precisazione, pur potendo sembrare pleonastica in quanto comunque
desumibile dagli obblighi di cui agli artt. 12 comma 3 e 26 comma 2 ultima parte del
Codice, in realtà si pone come essenziale per l’applicabilità dell’esenzione tanto più che,
nonostante ciò non sia espressamente disposto dalla normativa, il codice di deontologia
potrebbe anche prevedere ipotesi semplificate per la prestazione del consenso al
trattamento di dati connesso all’esecuzione di obblighi contrattuali.
3.4. Il trattamento dei dati giudiziari
Una particolare categoria di dati che, al pari di quelli sensibili, è in grado di ledere
gravemente la sfera sociale dell’individuo, è quella dei dati giudiziari.
I dati giudiziari, definiti dall’art. 4 comma 1 lett. e sono i dati personali “idonei a
rivelare” (i) i provvedimenti giudiziari penali di condanna definitivi, anche pronunciati
da autorità giudiziarie straniere se riconosciuti, salvo quelli concernenti contravvenzioni
per le quali la legge ammette la definizione in via amministrativa, o l’oblazione
limitatamente alle ipotesi di cui all’articolo 162 del codice penale, sempre che non sia
stata concessa la sospensione condizionale della pena, (ii) i provvedimenti giudiziari
definitivi concernenti le pene, compresa la sospensione condizionale e la non menzione,
le misure di sicurezza personali e patrimoniali, gli effetti penali della condanna,
l’amnistia, l’indulto, la grazia, la dichiarazione di abitualità, di professionalità nel reato,
di tendenza a delinquere, (iii) i provvedimenti giudiziari concernenti le pene accessorie,
(iv) i provvedimenti giudiziari concernenti le misure alternative alla detenzione, (v) i
211
V. in proposito, FRONTONI E., Il rapporto di lavoro, in CLEMENTE A. (a cura di), op. cit. Si veda,
inoltre, infra, Capitolo Quindicesimo.
95
provvedimenti giudiziari concernenti la liberazione condizionale, (vi) i provvedimenti
giudiziari definitivi che hanno prosciolto l’imputato o dichiarato non luogo a procedere
o disposto una misura di sicurezza per difetto di imputabilità, (vii) i provvedimenti
giudiziari definitivi di condanna alle sanzioni sostitutive e i provvedimenti di
conversione della pena pecuniaria, (viii) i provvedimenti giudiziari del pubblico
ministero relativi e connessi alla sospensione dell’esecuzione della pena, al computo
delle pene e della custodia cautelare espiata senza titolo e all’esecuzione di pene
concorrenti, (ix) i provvedimenti giudiziari di conversione delle pene pecuniarie, (x) i
provvedimenti giudiziari definitivi concernenti le misure di prevenzione della
sorveglianza speciale semplice o con divieto o obbligo di soggiorno, (xi) i
provvedimenti giudiziari concernenti la riabilitazione, (xii) i provvedimenti giudiziari di
riabilitazione, (xiii) i provvedimenti giudiziari di riabilitazione speciale relativi ai
minori, (xiv) i provvedimenti giudiziari relativi all’espulsione a titolo di sanzione
sostitutiva o alternativa alla detenzione, (xv) i provvedimenti amministrativi di
espulsione e i provvedimenti giudiziari che decidono il ricorso avverso i primi, (xvi) i
provvedimenti di correzione, a norma di legge, dei provvedimenti già iscritti, (xvii)
qualsiasi altro provvedimento che concerne a norma di legge i provvedimenti già
iscritti.
Nell’alveo dei dati giudiziari sono ora compresi anche quei dati idonei a rivelare la
qualità di imputato o di indagato (art. 4 comma 1 lett. e), con ciò innovando
notevolmente la precedente formulazione, che riguardava solo i provvedimenti iscritti
nel casellario giudiziale e, quindi, sostanzialmente provvedimenti di natura definitiva212.
Non v’è dubbio, infatti, che in talune circostanze le informazioni concernenti la qualità
di imputato (o di indagato) potrebbero essere maggiormente lesive di quelle relative ai
provvedimenti irrevocabili. Il tutto, ovviamente, anche in considerazione della
presunzione di non colpevolezza formalizzata dall’art. 27, comma 2 Cost.
La particolare forza invasiva di tali dati è confermata dalla stessa Convenzione n.
108/1981, la quale qualifica tali informazioni al pari dei dati sensibili. Nello stesso
senso la Direttiva 95/46/CE prevede espressamente che “[i] trattamenti riguardanti i dati
relativi alle infrazioni, alle condanne penali o alle misure di sicurezza possono essere
effettuati solo sotto controllo dell'autorità pubblica, o se vengono fornite opportune
212
Com’è noto, infatti, la qualità di imputato viene conservata sino a quando il provvedimento non
diventa irrevocabile e, quindi, anche sino alla sentenza di inammissibilità e di rigetto della Corte Suprema
di Cassazione quando, nel più dei casi, vi sono già stati due provvedimenti di condanna.
96
garanzie specifiche, sulla base del diritto nazionale […]”. In tale contesto, sebbene i dati
protetti siano ora estesi anche ai provvedimenti amministrativi di espulsione dello
straniero (in precedenza esclusi) la normativa italiana non ha comunque voluto
attribuire ai dati relativi ai provvedimenti di natura civile (interdizione, inabilitazione,
ecc.) o di natura sanzionatoria amministrativa (ordinanze-ingiunzioni, verbali di
contestazione e sentenze che decidono sull’impugnazione agli stessi) le stesse garanzie
previste dall’art. 27 del Codice, come consentito (ma non imposto) dalla direttiva
menzionata. Tali provvedimenti, pertanto, restano soggetti alla sfera di applicabilità
delle norme generali sempre che, ovviamente, il Garante non intenda qualificarli come
dati semi-sensibili e, quindi, attribuire loro le particolari garanzie consentite dall’art. 17.
I dati giudiziari, ai sensi dell’art. 27 del Codice, possono essere oggetto di
trattamento solo in presenza di una “espressa” norma di legge o provvedimento del
Garante, prescindendo pertanto dal consenso dell’interessato.
L’autorizzazione al trattamento, quindi, può essere rilasciata solo dalla legge o da
un provvedimento del Garante; provvedimento quest’ultimo che, essendo qualificabile
come “autorizzazione”, può essere rilasciato nelle forme di cui all’art. 40 del Codice213.
Tali disposizioni, inoltre, devono possedere quella forma “rafforzata” anche richiesta
per la legittimità del trattamento di dati sensibili da parte dei soggetti pubblici: devono
specificare espressamente le “rilevanti finalità di interesse pubblico del trattamento, i
tipi di dati trattati e di operazioni eseguibili”.
Sul punto appare evidente che i dati giudiziari non ricoprono il ruolo già occupato
dai dati sensibili che, pur nella loro implicita pericolosità, sono essenziali per garantire
all’interessato la salvaguardia di differenti diritti di rango costituzionale (diritto alla
salute, diritto al lavoro, diritto di associazione, libertà di espressione del pensiero e di
confessione religiosa, ecc.). I dati giudiziari, infatti, riguardano uno specifico “settore”
della personalità dell’individuo ed il loro trattamento, in quanto tale, non è essenziale
per lo svolgimento e la prosecuzione dei trattamenti connessi allo svolgimento della
personalità dell’interessato.
In questo senso, pertanto, la normativa nazionale ha inteso consentirne il
trattamento solo nel caso vi sia un effettivo interesse pubblico (ad es. quello connesso
213
In proposito v. l’autorizzazione generale n. 7/02 in Gazzetta Ufficiale n. 83 del 9 aprile 2002, S.O. n.
70, prorogata sino al 30 giugno 2004 con il provvedimento del Garante del 30 giugno 2003, relativa al
trattamento dei dati a carattere giudiziario da parte di privati, di enti pubblici economici e di soggetti
pubblici.
97
alla valutazione della pericolosità dell’interessato) il quale, pertanto, deve essere
espressamente individuato. Da ciò ne consegue che le finalità del trattamento non
possono in nessun caso riguardare interessi meramente privatistici. In questo senso,
pertanto, la norma consente di autorizzare il trattamento di dati giudiziari anche per
ragioni diverse da quelle di giustizia, che invece è la finalità principale ed essenziale
dello stesso trattamento nell’ambito del casellario giudiziario. La norma autorizzatoria,
deve quindi contenere l’indicazione, oltre che dei tipi di dati trattabili e delle relative
operazioni ammesse, delle rilevanti finalità di interesse pubblico del trattamento.
4. Il trattamento da parte dei soggetti pubblici
4.1. Principi fondamentali
Come si è visto il Capo II del Titolo in commento è interamente dedicato al
trattamento dei dati personali da parte dei soggetti pubblici, “esclusi gli enti pubblici
economici” i quali ultimi, pertanto, rientrano nell’ambito di applicazione delle
disposizioni sul trattamento dei dati personali da parte dei privati.
Le norme dedicate ai soggetti pubblici non rappresentano una deroga
all’applicazione della normativa in commento, né un privilegio per gli stessi, bensì un
regime speciale finalizzato a bilanciare correttamente le libertà personali degli
interessati con l’interesse pubblico ad una corretta ed imparziale amministrazione della
“cosa pubblica”. Tanto più in questi stessi termini la Convenzione n. 108/1981 non
introduce alcuna differenziazione così come, del resto, la stessa Direttiva 95/46/CE,
lungi dall’introdurre alcuna “deroga”, contiene principi fondamentali applicabili a tutti i
trattamenti, prescindendo dalle qualità del titolare214.
In questi termini occorre inoltre evidenziare la mancanza di elementi certi
finalizzati all’individuazione del soggetto attivo del trattamento: i “soggetti pubblici”.
Ferma restando l’esclusione degli enti pubblici economici, resta quindi da chiarire quali
sono quei soggetti ai quali l’art. 18 comma 1 limita la sua applicabilità. Sul punto
nemmeno soccorrono gli atti sovranazionali più volte citati, i quali fanno esclusivo
214
Così BUTTARELLI G., Banche dati e tutela della riservatezza, op. cit., p. 428, il quale evidenzia altresì
che “[…] si è affermato che il big brother pubblico, rappresenta la fonte conoscitiva o lo strumento
operativo di determinati poteri anche «forti» (i quali, per di più, possono essere esercitati in forma non
lecita), espone l’interessato a rischi maggiori rispetto ad una banca dati privata”.
98
riferimento a concetti di natura generica, probabilmente al fine di lasciare alla
legislazione nazionale ogni facoltà di inquadramento.
A tal fine pare pertanto essenziale la definizione operata dall’art. 4 comma 1 lett. f
e g i quali parlano di “pubblica amministrazione”, con ciò richiamando tutte le persone
giuridiche
pubbliche
inserite
istituzionalmente
nell’organizzazione
della
amministrazione pubblica, inclusi quei soggetti estranei all’amministrazione pubblica
che comunque esercitano attività amministrativa e, quindi, quei soggetti privati che
esercitano un pubblico servizio (i concessionari)215. Per l’interpretazione del concetto di
“pubblica amministrazione”, così come utilizzato dalla norma, si è ritenuto essenziale
l’analisi della Raccomandazione del Consiglio d’Europa n. 10/1991, secondo la quale
gli organismi pubblici sono qualificati in “toute administration, istitution, établissement
ou autre entité qui exerces des fonction de services public ou d’intérés public au moyen
de privilèges de puissance publique”.
L’art. 18 commi 2 e 3 pongono due criteri fondamentali per il trattamento dei dati
personali da parte dei soggetti pubblici, precisando che “[q]ualunque trattamento di dati
personali […] è consentito soltanto per lo svolgimento delle funzioni istituzionali” (art.
18 comma 1) e, comunque, deve avvenire nell’osservanza “dei presupposti e [dei] limiti
stabiliti dal presente codice, anche in relazione alla diversa natura dei dati, nonché dalla
legge e dai regolamenti”.
In questi termini anche il legislatore delegato del 2003 ha voluto precisare la natura
strumentale dei trattamenti pubblici di dati personali rispetto al soddisfacimento del
pubblico interesse216.
La finalità istituzionale del trattamento, pertanto, è un requisito necessario e
sufficiente per l’inizio e la prosecuzione di un trattamento. In questi termini la p.a. può
iniziare un trattamento di dati solo qualora quest’ultimo sia finalizzato all’adempimento
di una funzione istituzionale; e può proseguirlo alle sole medesime condizioni così che,
215
Così GRISTOMI TRAVAGLINI L., Articolo 27, in GIANNANTONIO E., LOSANO M.G., ZENO-ZENCOVICH
V. (a cura di), op. cit., p. 246. Si veda anche BISSO G., Il trattamento dei dati personali da parte dei
soggetti pubblici, in AA.VV., “Dati sensibili e soggetti pubblici. Commento sistematico al D.Lgs.
135/1999”, Milano, Giuffré, 2000, p. 89 ss.
216
In questi termini BUTTARELLI G., op. ult. cit., p. 433, nonché GRISTOMI TRAVAGLINI L., Articolo 27, in
GIANNANTONIO E., LOSANO M.G., ZENO-ZENCOVICH V. (a cura di), op. cit., p. 248 il quale precisa che il
“legislatore, quindi, nel recepire le indicazioni di cui all’art. 7 lett. c) e) ed f) della Direttiva 95/46/CE, ha
espressamente finalizzato il trattamento dei dati al principio di competenza, operando una scelta che
sottolinea il carattere strumentale ed autonomo del trattamento dei dati rispetto allo svolgimento delle
funzioni di interesse pubblico”.
99
qualora durante l’esecuzione del trattamento cessino dette esigenze217, la p.a. non potrà
far altro che disporre la cessazione del trattamento medesimo.
L’art. 18 comma 4 sancisce finalmente l’irrilevanza del consenso dell’interessato
(dispone infatti che, fermo restando quanto disposto per il trattamento dei dati sanitari
da parte degli organismi sanitari e degli esercenti le professioni sanitarie, “i soggetti
pubblici non devono richiedere il consenso dell’interessato”). Nel vigore della L.
675/96, infatti, nonostante il Garante fosse intervenuto in più occasioni per ribadire tale
concetto, i soggetti pubblici persistevano nel richiedere agli interessati di manifestare il
proprio consenso al trattamento dei dati personali. Consenso, pertanto, che diventa
superfluo e che, comunque, nell’evidente prevalenza dell’esigenza di perseguire
l’interesse pubblico, non può legittimare un trattamento effettuato in violazione degli
altri limiti stabiliti dallo stesso art. 18218.
4.2. Il trattamento dei dati comuni e la circolazione dei dati nella p.a.
Il “filo conduttore” della normativa in analisi, finalizzato a garantire le funzioni
istituzionali, ha imposto al legislatore di precisare che “[i]l trattamento da parte di un
soggetto pubblico […] è consentito […] anche in mancanza di una norma di legge o di
regolamento che lo preveda espressamente” (art. 19 comma 1).
In questi termini, pertanto, l’autorizzazione normativa non è né sufficiente né
necessaria. Non è necessaria in quanto la p.a. può procedere a trattamento anche nel
caso in cui, pur non essendo previsto dalla legge o dal regolamento, sia necessario per
adempiere alle funzioni istituzionali. Non è sufficiente perché il trattamento, pur
autorizzato, non può essere effettuato qualora non risponde alle esigenze predette219.
Ciò che conta non è tanto la legge o il regolamento, bensì la funzione che l’ente deve
adempiere. Tale principio di necessità (o, se si vuole, di finalita) consente di rovesciare
217
Ad es., qualora un atto normativo trasferisca le competenze in virtù delle quali si procedeva al
trattamento.
218
V., sul punto, anche BISSO G., Il trattamento dei dati personali da parte dei soggetti pubblici, in
AA.VV., “Dati sensibili e soggetti pubblici. Commento sistematico al D.Lgs. 135/1999”, op. cit., p. 94 il
quale, oltretutto, evidenzia che “[n]on a caso, nel corso dei lavori preparatori della legge n. 675/1996, un
emendamento che riconosceva il potere di effettuare il trattamento dei dati anche al di fuori dello
svolgimento delle funzioni istituzionali, previo consenso dell’interessato, originariamente approvato dalla
Commissione Giustizia del Senato, è stato successivamente eliminato dalla stessa Commissione”.
219
Anche se, nel caso in cui il trattamento sia previsto da norme di legge o di regolamento pare evidente
che, nel più dei casi, la valutazione circa la necessità del trattamento rispetto all’interesse perseguito è già
stata svolta dal legislatore o dall’autorità amministrativa. Ciò non impedisce, soprattutto in ambito
regolamentare, un controllo diffuso della stessa amministrazione, dell’autorità giudiziaria, o del Garante il
quale, si ricorda, può anche vietare il trattamento illecito o disporne il blocco (art. 154 comma 1 lett. d).
100
il valore della legge o del regolamento nell’ambito dei trattamenti di dati in ambito
pubblico, i quali non si pongono tanto quanto norme di autorizzazione, bensì quali limiti
alla potestà dalla singola amministrazione.
Disposizioni più rigorose sono invece stabilite per la “circolazione” dei dati
personali. L’art. 19 comma 1, quindi, si applica a tutte le operazioni del trattamento
differenti dalla comunicazione (indipendentemente dal fatto che quest’ultima sia diretta
a terzi o ad altre pubbliche amministrazioni) e dalla diffusione dei dati, per le quali lo
stesso artt. 19 commi 2 e 3 prevede disposizioni particolari, chiaramente più incisive e
limitative della libertà di trattamento.
L’art. 19 comma 2 disciplina la comunicazione ad altri soggetti pubblici, essenziale
per il soddisfacimento degli interessi sottesi alle funzioni espletate da diverse pubbliche
amministrazioni220; viene quindi codificato il principio per cui la “circolazione” dei dati,
se pur tra pubbliche amministrazioni, di regola può avvenire solo se consentito dalla
legge o da un regolamento. Tuttavia, alla luce delle diverse funzioni pubbliche espletate,
lo stesso art. 19, comma 2, secondo periodo prevede che in “mancanza di tale norma la
comunicazione è ammessa quando è comunque necessaria per lo svolgimento di
funzioni istituzionali”.
Ne consegue che nel caso in cui manchi la norma di “copertura”, la p.a. può
procedere ugualmente al trattamento, dandone previa “comunicazione” al Garante e,
soprattutto, attendendo il decorso del termine di quarantacinque giorni dal ricevimento
della stessa221.
La necessità di attendere il decorso di tale termine è stato inserito solo ora, alla luce
della circostanza che la comunicazione di dati non prevista da una norma giuridica
comporta, di fatto, una deroga autorizzata al principio fondamentale di cui all’art. 19
comma 2; deroga che, in quanto tale, richiede una previa verifica del Garante il quale,
ritenutola non conforme alla legge, può vietare il trattamento (o, arg. ex art. 154 comma
1 lett. c del Codice, prescrivere misure necessarie per rendere il trattamento conforme
220
Si pensi all’attività dei concessionari alla riscossione che, per procedere al pignoramento dei beni dei
debitori, necessitano di accedere alle banche di dati pubbliche che conservano i riferimenti relativi al
luogo di lavoro, alle proprietà immobiliari o ai depositi e conti correnti bancari dei contribuenti.
221
Si badi che il trasferimento dei dati personali dalla p.a. al soggetto di diritto privato con il quale la
stessa abbia eventualmente concluso una convenzione per l’esecuzione di servizi di sua competenza, non
costituisce “comunicazione” in senso tecnico, purché vi sia una nomina a “responsabile” del medesimo
privato il quale, pertanto, agisce quale nuncius della p.a. stessa. In tal caso, evidentemente, il soggetto
pubblico può procedere alla “consegna” dei dati anche senza la norma di copertura e anche senza averne
dato previa “comunicazione” al Garante (v. sul punto, Garante, Relazione 2001, Roma, 2002, p. 15).
101
alla legge) sia prima del decorso del termine (nel qual caso il trattamento – rectius, la
comunicazione – non potrà avere luogo), sia dopo (nel quale caso, evidentemente, la
comunicazione non potrà proseguire)222.
Scompare dalla disposizione in esame il riferimento alla “diffusione” dei dati
personali ai soggetti pubblici, probabilmente in considerazione della contraddizione in
termini che, in precedenza, correva tra la “diffusione ai soggetti pubblici” e il concetto
stesso di diffusione che, in quanto tale, impedisce l’individuazione dei soggetti ai quali i
dati sono stati resi noti (art. 4 comma 1).
Per tale ragione la diffusione è disciplinata dal successivo comma 3, unitamente
alla “comunicazione a privati”. Tali operazioni, anche alla luce della particolare
delicatezza della stesse, sono consentite solo qualora siano “previste da una norma di
legge o di regolamento”. In mancanza di tali norme la p.a. non può procedere al
compimento, ritenendosi ex lege che le stesse siano eccessive rispetto ad un corretto
bilanciamento degli interessi o, se si vuole, ritenendosi che tale bilanciamento possa
essere operato solo dal legislatore o dall’autorità amministrativa posta al vertice
dell’organizzazione pubblica223.
4.3. Il trattamento dei dati sensibili
In considerazione della particolare insidiosità dei dati sensibili, anche le norme
relative al trattamento dei dati “particolari”224 in ambito pubblico prevedono una
disciplina differenziata. In tale contesto, diversamente dallo stile dell’art. 19, la legge
non diversifica le operazioni del trattamento, disciplinandole tutte con lo stesso regime.
L’art. 20 comma 1 prevede dunque che “[i]l trattamento dei dati sensibili da parte
di soggetti pubblici è consentito solo se autorizzato da espressa disposizione di legge
nella quale sono specificati i tipi di dati che possono essere trattati e di operazioni
eseguibili e le finalità di rilevante interesse pubblico perseguite”. Non è sufficiente,
come per i dati comuni, che il trattamento sia imposto o consentito da un atto
222
Più ampiamente, sulla comunicazione, si veda infra, Capitolo Sesto, par. 2.
In proposito BUTTARELLI G., op. cit., p. 444 evidenzia che la “regola è ispirata ad un rigore opportuno,
in quanto le predette operazioni creano le condizioni per un riutilizzo dei dati per scopi sensibilmente
diversi da quelli che ne hanno sorretto l’originaria raccolta. […]. Tuttavia la stessa disposizione di legge o
di regolamento che autorizza la divulgazione dei dati non può derogare al principio fondamentale […]
della compatibilità tra gli scopi della raccolta e le finalità successivamente perseguite […].”.
224
Il Capo IV della L.675/96 distingueva i dati comuni dai dati “particolari” comprendendo in questi i
dati sensibili, i dati sanitari, i dati giudiziari e i dati semi-sensibili. Tale terminologia, ora abbandonata del
Codice in commento, verrà nel proseguio utilizzata per distinguere i dati sensibili e giudiziari dai c.d.
comuni.
223
102
dell’amministrazione; esso deve essere “espressamente” autorizzato da una disposizione
di legge225.
L’autorizzazione al trattamento non può essere implicita nella lettera della norma.
La garanzia, pertanto, è duplice. Da un lato la norma codifica un concetto di “riserva di
legge”, finalizzato a consentire il giudizio sulla prevalenza degli interessi solo al
legislatore ordinario, evitando così che l’esecutivo o, comunque, l’amministrazione
possa abusare di poteri ledendo libertà fondamentali della persona tali da limitarne la
sfera intima; dall’altro ha comunque posto particolari regole procedurali allo stesso
legislatore, il quale può perseguire i suoi compiti, in tale ambito, solo dotando la norma
legislativa di particolari requisiti.
La disposizione autorizzatoria, infatti, deve specificare (a) i tipi di dati che possono
essere trattati, (b) le operazioni eseguibili e (c) le rilevanti finalità di interesse pubblico
perseguite.
La prima, per importanza, delle condizioni di legge è la specificazione delle
“rilevanti” finalità di interesse pubblico perseguite. Tale disposizione, evidentemente,
vieta allo stesso legislatore di autorizzare trattamenti ai quali non siano sottese “finalità
di interesse pubblico”.
La norma, sul punto, ripropone l’oramai vexata quaestio relativa al valore di una
norma di legge autolimitativa226.
La medesima legge, inoltre, per poter legittimare il trattamento, deve specificare
espressamente i tipi di dati che possono essere trattati e le operazioni che possono essere
eseguite.
Da più parti, nell’immediatezza dell’entrata in vigore della L. 675/96, si
evidenziarono le difficoltà applicative della norma che, di fatto, svuotava le
amministrazioni dal potere di eseguire trattamenti di dati personali, non rinvenendosi
225
In questi termini, pertanto, il trattamento può essere previsto dalla legge statale, da quella regionale, da
un decreto–legge, da un decreto legislativo, da un regolamento comunitario e da una direttiva comunitaria
“dettagliata”.
226
In realtà il il problema potrebbe essere affrontato in altro modo. L’art. 8, comma 4 della Direttiva
95/46/CE, infatti, stabilisce che “purché siano previste le opportune garanzie, gli Stati membri possono,
per motivi di interesse pubblico rilevante, stabilire ulteriori deroghe […] sulla base della legislazione
nazionale […]”. In questi termini, pertanto, tale disposizione potrebbe aver attribuito alla legge nazionale
il potere di stabilire in quali condizioni la p.a. può procedere al trattamento e, quindi, quali sono quelle
garanzie che la legge deve possedere affinché vengano dimostrati i motivi di interesse pubblico rilevante
e affinché sia assicurata una forte tutela al diritto alla riservatezza. In questo senso, pertanto, l’art. 20
comma 2 sarebbe legittimato a codificare una riserva di legge da una norma europea, che, come noto,
nella gerarchia delle fonti ricopre un livello più elevato delle leggi ordinarie (v. anche BUTTARELLI G., op.
cit., p. 382).
103
nell’ordinamento se non in numero limitatissimo disposizioni di legge con i requisiti
richiesti dall’originario art. 22 comma 3. Per tale ragione l’art. 5 del D.Lgs. 135/99
(attuale art. 20 comma 3), nel caso in cui la legge non prevede le rilevanti finalità di
interesse pubblico perseguite con il trattamento, legittima “i soggetti pubblici [a]
richiedere al Garante l’individuazione delle attività, tra quelle demandate ai medesimi
soggetti dalla legge, che perseguono finalità di rilevante interesse pubblico e per le quali
è conseguentemente autorizzato, ai sensi dell’articolo 26 comma 2, il trattamento dei
dati sensibili”. Tale possibilità è però consentita solo qualora ci si trovi al di fuori delle
ipotesi in cui lo stesso Codice (si vedano, ad es., gli artt. 64 ss.) o diverse norme di
legge provvedano direttamente227.
Ciò che conta, per l’accoglimento della richiesta del soggetto pubblico, è che egli
debba effettuare un trattamento indispensabile per adempiere ad una attività
demandatagli dalla legge (non da un regolamento) e che detta attività sia di rilevante
interesse pubblico.
All’esito del procedimento instaurato, il Garante, qualora ritenga rilevante
l’interesse perseguito con il trattamento, adotta un’autorizzazione ai sensi dell’art. 26
comma 2 (nella quale, quindi, può prevedere misure e accorgimento che la p.a. è tenuta
ad adottare).
Laddove, poi, la legge o il provvedimento del Garante individuino le rilevanti
finalità di interesse pubblico ma non, invece, i dati trattabili o le operazioni eseguibili,
l’art. 20 comma 2 autorizza le singole amministrazioni a supplirvi, adottando un atto di
natura regolamentare che “identifichi” detti dati e dette operazioni e le renda pubbliche
secondo le norme dei rispettivi ordinamenti228.
La norma descritta, inoltre, non assegna alla singola amministrazione il potere di
“decidere”, con ampia discrezionalità, i dati trattabili, ma attribuisce il solo potere di
“identificare” i dati e le operazioni. In questi termini, pertanto, la p.a. deve limitarsi a
valutare quali dati e quali operazioni sono essenziali per il perseguimento delle finalità
227
Si consideri, sul punto, che il ventaglio delle ipotesi di rilevante interesse pubblico codificate nelle
diverse disposizioni del Codice comprendono oramai quasi tutti i trattamenti effettuati (o effettuabili) in
ambito pubblico. Si pensi, sul punto, che l’art. 73 “codifica” le ipotesi di rilevante interesse pubblico in
precedenza individuate dal Garante su istanza di diverse pubbliche amministrazioni.
228
Tale ultima precisazione è essenziale per consentire agli interessati di esercitare il controllo insito nel
diritto alla privacy comunque protetto anche nei confronti della pubblica amministrazione.
104
per le quali il trattamento è stato “autorizzato”229. Il tutto, comunque, in ossequio ai
limiti e alle prescrizioni di cui all’art. 22.
4.4. Il trattamento dei dati giudiziari
L’art. 21 pone i dati giudiziari230 sullo stesso piano dei dati sensibili, ribadendo i
principi già espressi dalle norme dedicate alla disciplina del loro trattamento. La
disposizione in analisi, infatti, autorizza il trattamento di tali dati solo nel caso lo stesso
sia previsto da una espressa norma di legge o provvedimento del Garante che specifichi,
così come per i dati sensibili, le rilevanti finalità di interesse pubblico perseguite, i dati
trattabili e le operazioni eseguibili.
In presenza di una norma che precisi le rilevanti finalità ma non i dati trattabili e le
operazioni eseguibili, i soggetti pubblici sono tenuti a “identificarli” secondo il disposto
dell’art. 20 comma 2 e, comunque, nel rispetto delle norme di cui all’art. 22.
Nel caso dei dati giudiziari non è consentito alle pubbliche amministrazioni
chiedere al Garante l’individuazione delle attività che perseguono rilevanti finalità di
interesse pubblico. L’art. 21 inoltre attribuisce alle stesse il potere di procedere
all’individuazione dei tipi di dati trattabili e delle operazioni eseguibili solo per quanto
concerne i trattamenti riconosciuti di rilevante finalità di interesse pubblico dalla legge.
Conseguentemente non è consentito trattare dati giudiziari in presenza (a) di una
legge che non specifichi espressamente le rilevanti finalità di interesse pubblico
perseguite (b) di un provvedimento del Garante che, pur individuando le rilevanti
finalità di interesse pubblico, non precisi i tipi di dati trattabili o di operazioni
eseguibili.
4.5. Le modalità del trattamento dei dati sensibili e giudiziari
Come si è visto, la p.a. è tenuta a svolgere il trattamento di dati personali “nei limiti
stabiliti dal […] codice anche in relazione alla diversa natura dei dati, nonché dalla
legge e dai regolamenti” (art. 18 comma 3).
Già con gli artt. 3 e 4 del D.Lgs. 135/99, tuttavia, ci si era resi conto
dell’insufficienza dei limiti imposti da leggi o regolamenti settoriali al trattamento dei
dati sensibili e giudiziari.
229
Tale provvedimento di “identificazione”, inoltre, deve essere aggiornato e integrato periodicamente, ex
art. 20 comma 4 del Codice
230
Per la cui definizione si veda supra, par. 3.4
105
Per tale ragione, tali norme e, ora, l’art. 22 comma 1 del Codice impongono ai
soggetti pubblici di conformare “il trattamento dei dati sensibili e giudiziari secondo
modalità volte a prevenire violazioni dei diritti, delle libertà fondamentali e della dignità
dell’interessato”, con una formula che vuole ribadire la necessità di procedere a
trattamento dei dati sensibili con particolare cautela, in modo che sia evitata ogni
possibile violazione dei diritti231.
Tanto più in questa stessa direzione l’art. 22 comma 4 impone alla p.a. di
raccogliere i dati sensibili e giudiziari, “di regola”, presso l’interessato il quale,
evidentemente, deve essere informato ai sensi dell’art. 11 del Codice e, soprattutto, deve
essere consapevole del passaggio dei suoi dati personali dalla sua sfera privata a quella
della p.a. L’inciso “di regola” vuole comunque consentire al titolare di raccogliere i dati
da terzi ma, evidentemente, nel solo caso in cui gli sia impossibile procedere secondo le
modalità “ordinarie”.
L’art. 22 comma 2 è finalizzato ad integrare i requisiti per l’informativa di cui
all’art. 13 comma 1232. Esso prevede che il soggetto pubblico, in tale contesto, è tenuto a
rendere note all’interessato le disposizioni normative che prevedono gli obblighi o i
compiti in base ai quali è effettuato il trattamento.
La finalità, coerente con l’impostazione codicistica che pone al centro
dell’attenzione il diritto alla privacy dell’interessato, si propone di consentire a
quest’ultimo un’ampia conoscenza degli interessi e delle esigenze sottese al
trattamento233 .
Con l’art. 22 del Codice il legislatore ha voluto porre dei limiti anche alla
discrezionalità dell’amministrazione che, nell’identificazione dei dati trattabili e delle
operazioni eseguibili ex art. 20 e 21, deve tenere conto dei limiti e delle prescrizioni ivi
previste. La norma, infatti, richiamando il principio di essenzialità (o, se si vuole, di
adeguatezza) di cui all’art. 11 del Codice, e disciplinandolo specificamente nell’ambito
231
Si veda, sul punto, anche BISSO G., Il trattamento dei dati particolari da parte dei soggetti pubblici, in
AA.VV., “Dati sensibili e soggetti pubblici”, Milano, Giuffrè. 2000, p. 118, il quale ritiene che la norma
contempli “un dovere di portata generale, molto ampio, che pone una sorta di norma di chiusura del
sistema: il titolare, oltre a dover rispettare le vigenti disposizioni in materia, è, in ogni caso, obbligato ad
effettuare il trattamento in modo da non ledere la libertà e la dignità dell’interessato”.
232
Si ricordi che tale norma, al suo comma 2 prevede che “[l]’informativa di cui al comma 1 contiene
anche gli elementi previsti da specifiche disposizioni del presente codice […]”
233
determina in capo all’amministrazione un obbligo giuridico la cui inosservanza, soprattutto alla luce
del “nuovo” inciso contenuto nell’art. 13 comma 2, prima parte, che “integra” il comma con gli altri
requisiti previsti da disposizioni specifiche del Codice (quale, appunto, quella in esame, determina
l’applicabilità della sanzione amministrativa di cui all’art. 161.
106
dei trattamenti pubblici di dati sensibili, consente alla p.a. di “trattare solo i dati sensibili
e giudiziari indispensabili per svolgere attività istituzionali che non possono essere
adempiute, caso per caso, mediante il trattamento di dati anonimi o di dati personali di
natura diversa”.
In questi termini, pertanto, la p.a. può trattare dati personali (e, quindi, dati in
forma identificativa) solo qualora sia strettamente necessario per l’adempimento dei
suoi compiti; e, di conseguenza, può trattare particolari solo qualora dati diversi (e,
quindi, dati comuni) non consentirebbero alla medesima p.a. di raggiungere lo scopo
prefissatosi. Ritenuti quindi i dati sensibili e giudiziari essenziali per il perseguimento
delle finalità, il principio di essenzialità impone altresì di trattare i soli dati
indispensabili per il perseguimento delle finalità predette. La decisione del titolare tesa
alla garanzia del principio in analisi, nell’ambito del provvedimento di cui all’art. 26
comma 2, deve essere assunta valutando lo specifico rapporto tra i dati e gli
adempimenti (art. 22, comma 5, secondo periodo del Codice): in sostanza la p.a. deve
tenere in stretta considerazione la necessità del dato rispetto al corretto perseguimento di
uno specifico adempimento di natura pubblicistica.
L’art. 22 comma 5, al fine di garantire il corretto svolgimento del trattamento dei
dati particolari, ha imposto al soggetto pubblico di verificare con periodicità234
l’esattezza e l’aggiornamento dei dati nonché la loro pertinenza, completezza, non
eccedenza e indispensabilità rispetto alle finalità perseguite nei singoli casi,
indipendentemente
dal
fatto
che
i
dati
siano
stati
acquisiti
su
richiesta
dell’amministrazione o di iniziativa propria dell’interessato. Nell’ambito di tale verifica
il titolare deve porre particolare attenzione al rispetto del principio di essenzialità e di
finalità dei dati relativi a soggetti diversi da quelli cui si riferiscono direttamente le
prestazioni e gli adempimenti connessi al trattamento.
I dati che, in seguito alla verifica, risultano eccedenti, non pertinenti o non
indispensabili, non possono più essere utilizzati, se non nei limiti degli obblighi di
conservazione dell’atto o del documento che li contiene. La p.a. è quindi tenuta, rispetto
234
La norma in analisi, pur imponendo un controllo “periodico”, non individua un preciso arco temporale
da ritenersi congruo. Tale indeterminatezza risponde a logiche di semplificazione e funzionalità
dell’attività amministrativa, soprattutto in considerazione dell’alto numero di trattamenti effettuati da
parte della stessa p.a., che possono presentare caratteristiche talmente differenti l’una dall’altra per cui
un’eventuale predeterminazione di termini avrebbe comportato un rallentamento dei procedimenti
amministrativi se non, addirittura, una verifica meramente formale.
107
a tali soli dati, a procedere al loro blocco235. Ulteriormente, pur non essendo
espressamente previsto dalla norma, chi scrive ritiene che laddove la p.a., in seguito alla
verifica o, comunque, su segnalazione, si avveda dell’inesattezza dei dati, deve
procedere, anche d’ufficio, alla rettifica o all’aggiornamento.
La pericolosità del trattamento di dati svolto attraverso strumenti automatizzati ha
indotto il legislatore ad imporre che i dati sensibili o giudiziari vengano trattati con tali
mezzi solo mediante l’utilizzo di tecniche di cifratura o mediante codice identificativi o
altri sistemi che consentano di identificare l’interessato solo in caso di necessità “anche
a chi è autorizzato ad accedervi temporaneamente”236. L’art. 22 comma 6 attribuisce
pertanto alla p.a. l’onere di scegliere quale sia la migliore strategia per impedire
l’intelligibilità, pur suggerendo quelli che ritiene gli strumenti di migliore soluzione.
Dette soluzioni sono inoltre imposte in ogni caso di trattamento dei dati relativi allo
stato di salute e alla vita sessuale, anche se non trattati con strumenti automatizzati.
L’art. 22 comma 7, sul punto, obbliga il titolare a conservare detti ultimi dati
separatamente da ogni altra informazione trattata per finalità che non richieda il loro
utilizzo.
L’art. 22 del Codice, dopo aver codificato e disciplinato il principio di essenzialità
dei dati trattabili, lo individua anche per l’identificazione delle operazioni eseguibili. Il
comma 9 prevede infatti che i soggetti pubblici possono effettuare “unicamente le
operazioni di trattamento indispensabili per il perseguimento delle finalità per le quali il
trattamento è consentito, anche quando i dati sono raccolti nello svolgimento di compiti
di vigilanza, di controllo o ispettivi”.
Sulle operazioni, inoltre, la stessa norma pone particolari limiti, ai quali nemmeno
può supplire l’eventuale “necessità” della loro esecuzione. Da un lato, infatti, l’art. 22
comma 10 vieta senza deroghe l’utilizzo dei dati particolari nell’ambito dei test
psicoattitudinali volti a definire il profilo o la personalità dell’interessato; dall’altro,
consente il raffronto dei dati sensibili e giudiziari o il loro trattamento per la definizione
dei profili e della personalità dell’interessato tramite strumenti automatizzati previa
“annotazione” scritta dei motivi e, comunque, qualora tali trattamenti avvengano
mediante l’utilizzo di dati provenienti da banche di dati di diversi titolari, solo qualora il
235
Il “blocco”, ai sensi dell’art. 4 comma 1 lett. o consiste nella conservazione di dati personali con
sospensione temporanea di ogni altra operazione del trattamento.
236
In proposto BISSO G., Il trattamento dei dati particolari da parte dei soggetti pubblici, in AA.VV.,
“Dati sensibili e soggetti pubblici”, op. cit., p. 122 parla di “spersonalizzazione parziale dei dati”.
108
trattamento
stesso
sia
espressamente
consentito
dalla
legge237.
La
finalità
dell’annotazione dei motivi, con tutta evidenza, è quella di consentire un controllo dei
terzi, dell’Autorità Giudiziaria e del Garante sull’attività della p.a.
In ultimo, ma non meno importante, l’art. 22 comma 11 pone una ulteriore riserva
di legge, finalizzata a limitare i casi di divulgazione dei dati che, nella duplica accezione
di “comunicazione” e di “diffusione”, può avvenire solo in presenza di una espressa
norma di legge (si consideri, comunque, il divieto assoluto alla diffusione dei dati
sanitari, di cui al precedente comma 8238).
5. Il divieto di trattamento
L’art. 25 è una disposizione “di garanzia” del diritto alla privacy, che ingloba il
disposto dell’originario art. 21 della L. 675/96 ed è applicabile sia ai trattamenti
effettuati dai privati (essendo collocato nel Capo III) sia a quelli effettuati da soggetti
pubblici (in virtù del richiamo operato dall’art. 18 comma 5). L’art 25 “chiude” altre
disposizioni del Codice quali, fra le altre, quella sulle modalità del trattamento (art. 11),
sulla notificazione del trattamento (art. 37) o sull’effettività degli “ordini” di
cancellazione.
L’art. 25, infatti, richiama e precisa il divieto di comunicazione e di diffusione dei
dati nel caso in cui (i) ne sia stata ordinata la cancellazione; (ii) sia trascorso un periodo
di tempo superiore a quello necessario agli scopi per i quali i dati erano stati raccolti o
successivamente trattati; (iii) le finalità siano diverse da quelle indicate nella
notificazione del trattamento (nei casi in cui, evidentemente, la notificazione sia
necessaria).
La norma in analisi, alla luce della superiorità degli interessi legati
all’amministrazione della giustizia e alla sicurezza e difesa dello stato, non si applica (e,
quindi, è possibile comunque procedere alla comunicazione e diffusione dei dati) ai dati
richiesti in base a norme di legge dalle forze di polizia, dall’autorità giudiziaria, dagli
237
Sul punto occorre osservare che il test psicoattitudinale volto a definire il profilo e la personalità
dell’interessato (nel quale è vietato, senza deroghe, utilizzare dati sensibili e giudiziari) è rappresentato da
una serie di quesiti le cui risposte permettono all’esperto di determinare la personalità dell’esaminando.
La ratio del divieto è quella di impedire che il soggetto pubblico, avvalendosi delle informazioni in suo
possesso, possa “pilotare” il responso del test. Il trattamento automatizzato (la cui esecuzione è consentita
previa annotazione dei motivi), invece, è una particolare elaborazione automatica di dati i quali,
combinati tra loro, permettono di determinare qual è il profilo o la personalità del medesimo interessato
(v. supra, Sezione Prima, par. 8).
238
Ma, sul punto, v. più ampiamente par. 5.
109
organismi di informazione e sicurezza o da altri soggetti pubblici per motivi di difesa o
sicurezza dello stato o, comunque, per finalità di prevenzione, accertamento o
repressione dei reati. Non v’è dubbio, quindi, che l’art. 25 sia finalizzato a fornire
effettività ai diritti tutelati dall’art. 2 del Codice, ricollegando una sanzione penale (ex
art. 167 comma 2) all’inosservanza delle norme poste ad esclusiva tutela dell’interessato
quali, appunto, quella contenuta nell’art. 11 lett. e, nell’art. 37 e nei provvedimenti del
Garante o dell’autorità giudiziaria (l’art. 25, infatti, elenca i casi nei quali la
divulgazione è vietata precisando comunque “oltre che in caso di divieto disposto dal
Garante o dall’autorità giudiziaria”, essendo così punibile il divieto di comunicazione o
di diffusione contenuto in un provvedimento giurisdizionale che, diversamente, non
rientrerebbe nelle ipotesi di cui all’art. 388 c.p.).
Ci si chiede, tuttavia, quale sia il significato della locuzione “ordinata” contenuto
nell’art. 25 comma 1 lett. a. In particolare ci si domanda per quale ragione tale
disposizione contenga una specifica ipotesi di divieto di comunicazione (lett. a, primo
periodo) se la stessa norma già rende punibile la divulgazione avvenuta violando i
divieti contenuti nei provvedimenti del Garante o dell’A.G.. Non è chiaro se l’inciso
“ordinata” possa ritenersi riferito alla legittima richiesta formulata in proposito
dall’interessato ai sensi dell’art. 7 comma 3 lett. b del Codice. In realtà chi scrive ritiene
di dare al quesito risposta negativa: l’ordine, inteso nel senso normativo, deve avere
come presupposto un potere attribuito dalla legge ad un’autorità che, in quanto tale, non
possa essere sindacato se non attraverso i rimedi riconosciuti dalla legge medesima; e,
sul punto, non pare che il diritto di ottenere la cancellazione, così come riconosciuto
dall’art. 7, pur essendo di natura soggettiva, possa attribuire all’interessato il diritto di
“ordinare” al titolare la cancellazione, bensì solo di richiederla (fatti salvi, sul punto, i
rimedi consentiti in caso di rifiuto). Tale inciso pare più che altro frutto di un refuso
normativo, risultante dal mancato coordinamento dell’abrogato art. 21 che vietava la
comunicazione e la diffusione “di dati personali dei quali sia stata ordinata la
cancellazione” senza contenere espressamente l’estensione ai divieti contenuti nei
provvedimenti del Garante o dell’autorità giudiziaria, ora invece espressamente
prevista.
In aggiunta all’art. 25 del Codice si pone la norma contenuta negli artt. 22 comma 8
e 26 comma 5, secondo la cui identica formulazione “[i] dati idonei a rivelare lo stato di
salute non possono essere diffusi”. Relativamente al trattamento di dati da parte dei
110
soggetti privati, a parere di chi scrive, la ratio della diversa collocazione della
disposizione nell’ambito dell’art. 26 è quella di sottrarla alla clausola di salvezza
dell’art. 25 comma 2. Diversamente dall’originario art. 23 comma 4 della L. 675/96, la
norma in analisi vieta la diffusione di dati sanitari, a prescindere dalle finalità per le
quali detta divulgazione potrebbe essere necessaria e/o richiesta; in precedenza, invece,
la diffusione era vietata nei limiti di quanto non fosse necessaria per finalità di
prevenzione, accertamento o repressione dei reati. In sostanza, allo stato attuale deve
ritenersi che le norme menzionate (art. 22 comma 8 e art. 26 comma 5) impediscano ai
titolari di trattamenti di diffondere, in ogni caso, dati sanitari; e ciò anche se richiesto
dalle forze di polizia, dall’autorità giudiziaria o dai servizi segreti i quali, qualora
vogliano provvedervi, dovranno effettuare il trattamento in proprio e, comunque,
nell’osservanza delle disposizioni della Parte II del Codice, e comunque, dei principi
generali codificati dall’art. 11.
111
