Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

 

 Tutela dei dati personali - Legge 675/96

Considerazioni sul ddl sulla protezione dei dati personali
di Giovanni Buttarelli(*) - 27.06.95

Premessa
Se esistesse un'imposta a carico di chi diffonde tesi o interpretazioni prive di ogni fondamento, le finanze dello Stato avrebbero tratto ampio beneficio da alcuni commenti che al di fuori di questo Forum hanno vivacizzato il dibattito sulla tutela della riservatezza negli ultimi due anni, e che hanno alimentato una "sindrome della privacy" di segno opposto a quella (a tutti nota) del "pesce rosso" che si sente esposto da ogni lato alla propria intimità.
Da un lato, verrebbe la voglia di selezionare questi commenti per assegnare una "Palma della stravaganza". Dall'altro, suscita amarezza il constatare che c'è un divario netto tra alcune polemiche e il contesto normativo comunitario ed internazionale (in certi casi, anche quello nazionale), che taluni trascurano o ridimensionano per dare efficacia al proprio punto di vista.
L'utente telematico è spesso perplesso e diffidente, e fa fatica a distinguere le analisi corrette dal "rumore interpretativo".
Il tempo sarà galantuomo, e l'approvazione della legge in discussione alle Camere farà progredire il dibattito in vista della disciplina complementare che seguirà la legge stessa.
Nel frattempo, non resta che ribadire che la legge sulla privacy informatica non è il frutto di una visione di retroguardia, ma un fattore di spinta della Società dell'informazione.

2 - Quale legge
Per la prima volta da quando è stata messa allo studio una disciplina sulla riservatezza e le banche dati (alludo a quando, nel 1975, è stato istituito un apposito Comitato presso il Ministero di grazia e giustizia), è emersa una volontà politica ferma per approvare una legge organica senza ulteriori ritardi.
Il nuovo d.d.l. sulla "Tutela delle persone rispetto al trattamento dei dati personali" è stato presentato alla Camera dei deputati il 19 gennaio 1995, dove è in avanzato stadio di discussione.
L'iniziativa mira ad una legge di garanzia dei diritti della persona, e riconosce sul piano legislativo sia la libertà dall'informatica che la libertà dell'uso dell'informatica; delimita al massimo i meccanismi autorizzatori, e sposta l'accento della tutela più sulla qualità dei dati che sul consenso (il quale non necessita se ricorre uno qualsiasi dei diversi presupposti equipollenti previsti dal d.d.l.).
Il provvedimento è stato accolto con favore da chi invoca da anni una tutela organica della privacy e dell'identità personale.
Nel rispetto del regolamento della Camera, il disegno è stato frazionato in due atti, destinati ad essere approvati l'uno dalla Commissione giustizia (il 1901-bis, che contiene la futura legge sulla protezione dei dati) e, l'altro, dall'Assemblea (il 1901-ter, che reca alcuni princìpi di delega per una disciplina complementare divisa per settori).
Le amministrazioni pubbliche hanno fatto passi da gigante (specie quelle che curano gli interessi più delicati dello Stato) nell'acquisire la consapevolezza che occorre assicurare alle persone un livello elevato di tutela.
Un processo analogo è maturato anche in alcune organizzazioni private; altre, invece, hanno preferito insistere su richieste impraticabili e, dissotterrando ancora una volta l'"ascia di guerra", hanno perduto un'ulteriore occasione per contribuire costruttivamente al varo di una disciplina di tutela dei diritti fondamentali della personalità che dovrebbe essere sentita come propria da ciascuno, senza distinzioni di sorta.
Le riserve di queste organizzazioni sono state valutate attentamente sin dal 1982, ma non sono state condivise nè dai governi che da allora hanno presentato o messo allo studio alcuni progetti, nè, nella scorsa legislatura, dalla Camera dei deputati.
Nonostante ciò, per venire incontro alle preoccupazioni che le sorreggono, il precedente Governo ha attenuato sensibilmente il rigore di alcune disposizioni del testo approvato dalla Camera nel 1993: il livello di tutela delle persone è rimasto immutato, ma è stato tradotto in termini meno burocratici.
Anche in presenza di questa "apertura", la polemica è continuata e si è fatta anzi più aspra, probabilmente perchè si è compreso che la legge, questa volta, vedrà la luce.
Le prime valutazioni operate dal Parlamento (e lo stesso Convegno di Roma del 30 maggio u.s.) dimostrano che il disegno di legge n. 1901-bis non è eccessivamente sbilanciato nel proteggere la riservatezza: il 1 giugno 1995, la Commissione giustizia ha adottato un primo testo-base che conferma le proposte del Governo e, semmai, rafforza la tutela della privacy (tale testo ipotizza, ad esempio, che i dati cartacei siano soggetti alla legge anche quando non siano inseriti in una banca-dati simile a quella automatizzata, come prevedono, invece, la direttiva comunitaria e il d.d.l. n. 1901-bis).
Se l'Italia avesse approvato una legge negli anni '80, il Parlamento avrebbe avuto una discreta autonomia nell'assumere le proprie determinazioni. Ora, invece, le Camere si trovano a svolgere una funzione sostanzialmente notarile di quanto è maturato a Bruxelles tra i 15 paesi dell'Unione europea: piaccia o non piaccia, però, la privacy va disciplinata in chiave comunitaria, e molti suggerimenti avanzati anche in dottrina non possono essere tenuti in alcuna considerazione.

3 - I b.b.s.
Cosa ha da temere l'utente telematico dalla nuova legge ?
Nulla: dietro la tutela della privacy non è in preparazione nè un "giro di vite digitale", nè un irrigidimento inconsapevole o non voluto degli spazi di libertà informatica.
Pur assicurando un livello elevato di tutela, la legge rappresenterà lo strumento meno oneroso e più "leggero" di quelli in vigore negli altri tredici paesi dell'Unione europea (come pure dello schema di disegno di legge in preparazione in Grecia), a dimostrazione che un livello alto di tutela dei diritti inviolabili della personalità non presuppone, necessariamente, una burocrazia della protezione dei dati.
Ogni punto di vista è legittimo, ma è francamente difficile comprendere come possa penalizzare la libertà informatica una legge che, oltre ad essere conforme alla direttiva comunitaria SYN 287 che è in fase di definitiva approvazione (contrariamente a quanto affermato), scaturisce da un'analisi comparata delle leggi dei paesi comunitari e limitrofi (Norvegia, Svizzera, Islanda), nei quali la data protection non ha portato certo a mortificare la telematica e lo sviluppo delle reti.

Il vertice G-7 di Bruxelles del 25/26 febbraio u.s. ha chiarito definitivamente che il rafforzamento delle regole di tutela della privacy è una condizione essenziale per lo sviluppo della Società dell'informazione: in estrema sintesi, non è la protezione della riservatezza ad essere obsoleta rispetto all'informatica, ma è la mancanza di una policy di tutela a porsi come un fattore di freno. E questa conclusione, si badi bene, è il portato della posizione dei paesi più industrializzati, nei quali il tasso di diffusione delle tecnologie è più elevato di quello italiano.
Il timore che la tutela della riservatezza penalizzi il mondo dei b.b.s., disciplinandolo burocraticamente in ogni dettaglio, è infondato.
La legge sulla protezione dei dati non sarà, anzitutto, una legge sui b.b.s.: tali sistemi, però, veicolano dei dati personali e saranno presi in considerazione, pertanto, per verificare quali princìpi della nuova legge necessitano di alcuni adattamenti, potendo altrimenti rimanere incerto chi sia il "titolare" del trattamento dei dati o chi risponda dei danni, ecc.
Il profilo dei b.b.s., dunque, verrà esaminato in dettaglio solo in seconda battuta: dopo l'approvazione del d.d.l. n. 1901-ter, il Governo dovrà predisporre un decreto delegato e sottoporlo, prima della sua emanazione, al parere del Parlamento (il che è dubbio che possa avvenire prima della fine del 1996).
Vi è tutto il tempo, quindi, per proseguire il dibattito in termini sereni e, soprattutto, costruttivi, sgombrando il campo da pregiudizi e sospetti.
Entrando più in dettaglio, va aggiunto che il d.d.l. n. 1901-ter stabilisce che il Governo emani (entro diciotto mesi dalla data di entrata in vigore della legge) alcune disposizioni correttive ed integrative della legislazione in materia di protezione dei dati, volte a disciplinare, tra l'altro, "le modalità applicative della legislazione in materia di protezione dei dati ai nuovi mezzi di comunicazione ed informazione per via telematica, anche al fine di salvaguardare il diritto all'informazione e i diritti degli utenti, e di individuare i compiti del gestore in rapporto ai servizi aperti al pubblico o riservati alla corrispondenza privata, e alle connessioni con sistemi sviluppati su base internazionale."
Si potrebbe pensare che il Governo in funzione di legislatore possa fare tutto e niente.
In realtà, l'elasticità del criterio di delega è accettabile, specie se la si rapporta alla legislazione degli ultimi anni; si è voluto evitare che un certo aspetto che può emergere solo nel corso dei lavori preparatori del decreto delegato non possa essere disciplinato per la ristrettezza del "mandato" parlamentare, benchè necessario.
Pur essendo flessibile, la formula reca o va collegata ad alcuni "paletti" che tutelano sia l'utente che il gestore.
L'utente telematico può quindi confidare su alcuni presupposti che costituiscono la sua "polizza di assicurazione":

a) la nuova disciplina dovrà essere strettamente omogenea su base comunitaria; negli altri paesi europei non si è registrata alcuna contrazione della libertà telematica;

b) la legge recherà già alcuni princìpi di tutela dell'utente, ed essi non potranno essere offuscati dal decreto delegato;

c) la nuova legge offrirà la possibilità di dar vita "dal basso" ad uno o più codici di autoregolamentazione che potrebbero rendere superflua una disciplina legislativa dettagliata, semprechè siano sottoscritti da un arco rappresentativo di soggetti;

d) la legge sui computer crimes ha riformulato già il concetto di corrispondenza valido agli effetti penalistici, considerando tale anche la corrispondenza informatica e telematica; questo fa scattare già oggi la protezione che il codice penale prefigura allorchè rende illeciti i fatti di abusiva cognizione, rivelazione, intercettazione, ecc.;

e) il 7 febbraio 1995, il Consiglio d'Europa ha varato un'importante (N.R. (95) 4, "Raccomandazione sulla protezione dei dati personali nel campo dei servizi di telecomunicazione, con riferimento specifico ai servizi telefonici"). L'Italia dovrà attuarla assieme alle altre citate nel d.d.l. n. 1901-ter. Questa nuova raccomandazione fissa regole precise che garantiscono gli utenti contro le interferenze abusive nelle comunicazioni da parte delle autorità pubbliche, dei gestori di rete e dei fornitori di servizi; delimita l'uso che può essere fatto dei dati forniti al gestore nonchè delle liste degli abbonati; richiama alcune regole in materia di direct marketing ed indica altre importanti garanzie che si applicano soprattutto alla telefonia;

f) la Corte costituzionale ha affermato a chiare lettere che la tutela della libertà e della segretezza della corrispondenza non riguarda solo il contenuto delle conversazioni ma attiene anche ai dati "esteriori" utili alla loro individuazione (e cioè ai dati concernenti gli autori della comunicazione nonchè il tempo e il luogo della stessa: la Corte ha esaminato un caso nel quale un pubblico ministero aveva acquisito un tabulato sul traffico telefonico in difetto dei presupposti previsti dal codice di procedura penale per le intercettazioni telefoniche);

h) un'ulteriore raccomandazione del Consiglio d'Europa ha sancito alcune garanzie per garantire la riservatezza degli utenti delle banche dati di informatica giuridica, in particolare per quanto riguarda la rivelazione a terzi del genere di interrogazioni effettuate dagli utenti stessi;

i) l'imminente direttiva-quadro sulla tutela dei dati personali rende chiaro, vincolando il legislatore nazionale, che per i messaggi contenenti dati personali trasmessi tramite un servizio di telecomunicazioni o di posta elettronica dovrà essere considerato, di norma, "responsabile del trattamento dei dati personali contenuti nel messaggio la persona che lo ha emanato e non la persona che presta il servizio di trasmissione" (il quale, viceversa, sarà considerato responsabile del trattamento dei dati personali suppplementari necessari per il funzionamento del servizio). Il "messaggio" comunitario riguarda, ovviamente, anche i messaggi nelle aree pubbliche.

4 - L'anonimato
E' prevedibile che il futuro decreto delegato affronti la tematica del ricorso all'anonimato nell'ambito dei sistemi amatoriali di telecomunicazione, profilo che è preso in esame anche dalla citata Raccomandazione N. R (95) 4, nonchè dalla proposta di direttiva dell'Unione europea SYN 288 sulla protezione dei dati personali nel settore delle telecomunicazioni.
In proposito, si dovrà ricercare un punto di equilibrio.
Una soluzione ragionevole potrebbe essere quella rappresentata autorevolmente nel convegno di Roma del 30 maggio (in cui è stato rilevato che la piazza telematica è una "formazione sociale" nella quale si svolge la personalità dell'uomo: art. 2 Cost.), nel quale è stata prospettata l'esigenza di garantire l'anonimato fatta salva la possibilità di risalire, per precise ragioni, all'identità dell'utente (S. Rodotà).

5 - La crittografia
L'ordinamento vigente non ne vieta l'utilizzo e reca, anzi, dei segnali normativi che denotano la legittimità del suo impiego (v., ad es., l'art. 10 del d.P.R. n. 313 del 1992 sul servizio telex, che autorizza lo scambio di corrispondenza anche in linguaggio criptografico, previa comunicazione all'Amministrazione delle poste e delle telecomunicazioni).
La nuova legge sul trattamento dei dati personali porterà, poi, all'emanazione di alcuni regolamenti che prevederanno le misure minime di sicurezza dei dati da attuare obbligatoriamente, e tra queste è prevedibile che vi sia anche la crittografia.
Certamente, anche in questo caso, occorrerà ricercare un bilanciamento ragionevole tra l'esigenza di proteggere i dati in maniera adeguata e l'interesse dello Stato a prendere cognizione, in presenza di determinati gravi reati, del contenuto delle comunicazioni.
Questo bilanciamento dovrà essere ricercato in una chiave rigorosamente rispettosa del quadro costituzionale, atteso anche che la libertà e la segretezza della corrispondenza e di ogni altra forma di comunicazione (art. 15 Cost.) comprende, con ogni probabilità, la libertà di scelta della forma della comunicazione: occorrerà, quindi, una norma di rango primario.

Appare centrale, peraltro, la dimensione transnazionale del problema, che sfuggiva ad una disposizione, non ben meditata, inserita in un d.d.l. del 1992, con il quale si era ipotizzato l'obbligo per i produttori e gli importatori di apparecchiature criptofoniche ovvero per la codificazione, decodificazione ecc. di comunicazioni telefoniche o di altre forme di telecomunicazione di depositare i dati essenziali alla decodificazione delle comunicazioni (a tale norma seguivano altre regole sull'utilizzo di apparecchiature prive di un prescritto contrassegno: il d.d.l. non è stato discusso in Parlamento ed è decaduto).
Dovrà essere operato, poi, un coordinamento con la recentissima Raccomandazione del Consiglio dell'Unione europea nella quale si è riaffermata l'esigenza di una strategia concertata, in particolare per il riconoscimento reciproco delle certificazioni di sicurezza, e si è auspicata l'adozione temporanea di alcuni criteri di valutazione della sicurezza delle tecnologie dell'informazione (ITSEC) nell'ambito delle procedure di valutazione e certificazione.
Analogo coordinamento dovrà essere ricercato con la disciplina vigente in Italia sull'esportazione dei materiali di armamento o ad alta tecnologia, nonchè con le altre iniziative comunitarie in atto (INFOSEC, e mutuo riconoscimento dei sistemi di crittografia: la proposta modificata di direttiva comunitaria SYN 288 sulla protezione dei dati personali nel settore delle telecomunicazioni, prevede all'art. 4 che, quando il rischio di violazione della sicurezza della rete sia particolarmente elevato, come nel campo della radiotelefonia mobile, l'ente di telecomunicazione debba informare gli abbonati offrendo loro sistemi di crittazione).

Se questo è il quadro di garanzie nel quale si innesterà la futura disciplina, viene da chiedersi se non si possa guardare con maggiore fiducia ad una protezione dei dati che si limita a tutelare la privacy dell'utente e a chiarire positivamente i compiti del gestore, senza penalizzare le attività dell'uno e dell'altro: è questa la dichiarata e inequivoca intenzione del legislatore.

6 - Brevi note conclusive
a) la privacy e l'Accordo di Schengen.
Nella recente audizione del Governo alla Commissione affari esteri della Camera dei deputati, il Governo ha ribadito un punto peraltro pacifico, e cioè che la ratifica dell'Accordo di Schengen non potrà divenire efficace prima dell'entrata in vigore della nuova legge sul trattamento dei dati personali.
Ognuno è libero di ritenere che il Governo stia mentendo, di fatto, al Parlamento e all'opinione pubblica.
Tuttavia, un'analisi più accurata renderebbe chiaro che la legge 1 aprile 1981, n. 121 sulla Polizia di Stato, nella versione vigente, non soddisfa ai requisiti della Convenzione di Strasburgo sulla tutela dei dati personali e della Raccomandazione N.R (87) 15 del Consiglio d'Europa (richiamate dalla Convenzione di applicazione dell'Accordo di Schengen e dalle dichiarazioni solenni fatte dal Governo italiano e apposte in calce alla Convenzione stessa).
La legge sui dati personali riscrive, in quest'ottica, l'art. 10 della legge n. 121 (v. art. 32 d.d.l. n. 1901-bis), ed applica ai trattamenti effettuati in applicazione della Convenzione di applicazione dell'Accordo di Schengen le norme sulla qualità dei dati e sulla sicurezza che attuano la Convenzione di Strasburgo (oltre alle norme del d.d.l. sui c.d. profili automatizzati della personalità, sul risarcimento dei danni e sul controllo da parte del Garante); rinvia, poi, ad un decreto delegato l'attuazione della citata Raccomandazione, e prevede infine che gli altri princìpi della nuova legge siano estesi alle banche dati di polizia con i dovuti adattamenti da ricercare con il medesimo decreto delegato;

b) condivido la prospettiva di giungere ad un codice deontologico per i b.b.s., ma trovo che sia opportuno raccordarlo meglio alla nuova legge differendone, se del caso, la preparazione; per parte mia, mi riservo di formulare alcuni suggerimenti;

c) trovo impraticabile, anche sul piano costituzionale, la prospettiva di legittimare il sysop a intromettersi indifferenziatamente nella e-mail; certamente l'utente può disporre del proprio diritto alla segretezza della corrispondenza, ma un'accordo tra tutti i gestori che portasse questi ultimi ad imporre agli utenti, di fatto, un'"abdicazione" alla segretezza della e-mail, non potrebbe avere un seguito efficace dal punto di vista giuridico.

(*) Magistrato addetto all'Ufficio legislativo del Ministero di Grazia e Giustizia