Il Codice italiano della privacy nella prospettiva europea

2. Nel delineare i profili maggiormente innovativi, va rilevato che anzitutto il codice introduce nel nostro ordinamento il "diritto alla protezione dei dati personali", quale diritto fondamentale della persona, parallelo (e integrantesi) col più generale diritto alla riservatezza, già richiamato dall'art. 1 della legge-base 675/1996. In tal modo il legislatore italiano si adegua al quadro normativo comunitario, che nella carta dei diritti del cittadino europeo garantisce già tale diritto fondamentale (il quale si accinge ad assumere quanto prima una connotazione ancor più solenne nel quadro dei lavori della Convenzione europea).
Ma sicuramente assume sempre più consistenza lo sviluppo di tutte le libertà fondamentali, attraverso la Carta fondamentale dei cittadini della Ue (anno 2000), in cui prende risalto la protezione dei dati personali, quale momento di libertà conferendone la tutela alle autorità indipendenti. E dopo aver attraversato il processo della unificazione monetaria, la Ue ha aperto il grande cantiere giuridico dell'elaborazione del progetto costituzionale per l'attuazione di un'Europa dei valori, nella sua configurazione di soggetto non più soltanto economico, ma di soggetto politico dotato di una somma di poteri costituzionali.
Con la nuova normativa viene introdotto il "principio di necessità" (già enunciato più volte nelle sedi dei dibattiti europei e già operante nella legislazione tedesca), in base al quale i sistemi informativi e i programmi informatici devono essere predisposti in modo da assicurare che i dati personali o identificativi siano utilizzati solo se indispensabili per il raggiungimento delle finalità consentite.

3. In realtà il Codice, attraverso l'accurata opera di ricognizione della numerosa serie di leggi accumulatesi nel tempo, ha posto in essere un pieno adeguamento anche alla normativa comunitaria, da ultimo intervenuta in materia, ossia alla direttiva 2002/58/CE. Essa è stata recepita nel nostro ordinamento con la l. 14/2003, recante disposizioni per l'adempimento di obblighi derivanti dall'appartenenza dell'Italia alla comunità europea. In piena rispondenza col forte transito in atto, dall'Europa del mercato all'Europa dei diritti, il nostro codice ha riplasmato, quasi integralmente, in una chiave di piena tutela di tutti i soggetti interessati (particolarmente, gli utenti, i consumatori), la disciplina dei servizi di comunicazione elettronica (titolo decimo) sia con riguardo al trattamento dei dati relativi al traffico, sia con specificazione degli obblighi dei fornitori dei servizi di comunicazione elettronica, sia valorizzando la salvaguardia dei diritti degli utenti. E inoltre prevede la promozione, da parte del Garante, di un codice deontologico e di buona condotta, concernente il trattamento di dati personali effettuato da fornitori di servizi di comunicazione e informazione, offerti mediante reti di comunicazione elettronica.

4. Nel quadro di misure più efficaci e più moderne a tutela dei trattamenti dei dati personali il codice assicura nuove garanzie. E' da rilevare che in ambito europeo si segnala una sempre maggiore sensibilità al problema della sicurezza informatica, anche a causa di paventati attacchi terroristici ad alta tecnologia. In particolare, si segnala un recente documento dell'OCSE contenente le linee di guida per la sicurezza informatica delle reti. Le istituzioni comunitarie hanno tenuto conto di tale documento, mediante una risoluzione del Consiglio europeo del 18 febbraio 2003, che prevede anche la creazione di una Cybersecurity task force. E in sintonia con tali orientamenti, il codice elabora, nel titolo quinto, un efficiente serie di regole concernenti le misure di sicurezza dei dati e dei sistemi, con particolare riguardo alle misure minime di sicurezza, con specifica rilevanza delle modalità inerenti sia ai trattamenti con strumenti elettronici, sia a quelli senza l'ausilio di tali strumenti.

5. Nel novero dei profili fortemente innovativi recati dal Codice assume particolare rilievo il riconoscimento delle nuove fonti normative rappresentate dai codici di deontologia e di buona condotta. Essi (che trovano la loro radice in quelle "norme sulla normazione" costituite dagli articoli della direttiva-madre (la 95/46/CE) si sono affermati come strumenti necessari per una tutela dei trattamenti dati personali e della riservatezza che risulti sistematica ed efficace. Il riconoscimento di tali fonti comporta un notevole innalzamento del livello di protezione dei diritti in parola. E' da rilevare che nell'ordinamento italiano l'inquadramento dei codici deontologici in un rinnovato sistema delle fonti del diritto è risultato particolarmente efficace. Attualmente, presso il Garante italiano sono in cantiere sette codici. Ed è da notare che essi ormai costituiscono non più una fonte atipica, ma anzi pienamente tipizzata e minuziosamente procedimentalizzata. Tali codici (detti di seconda e terza generazione) rappresentano una nuova tipologia, poiché viene in rilievo l'autoproduzione di regole da parte delle categorie interessate (giornalisti, provider, i soggetti partecipi del lavoro e della previdenza etc.).Un elemento, caratterizzante in maniera del tutto peculiare tali fonti, è dato dalla triangolarità degli elementi costitutivi che in essa convergono: e cioè le "raccomandazioni" provenienti dal Consiglio europeo, l'elaborazione delle regole da parte dei soggetti rappresentativi delle categorie interessate, i principi e le regole generali dell'ordinamento inerenti alla privacy (alla cui salvaguardia è preposto il Garante)

6. Un ulteriore fattore di garanzia di forte rilevanza è costituito dalla disciplina dei soggetti pubblici, rivolta ad apprestare la tutela dei diritti dei cittadini nei confronti dei corpi amministrativi che procedono a trattamenti di dati personali.
Il quadro normativo tracciato dalla legge-base del 1996 conteneva un esiguo numero di norme concernenti la pubblica amministrazione, limitandosi a enunciare i seguenti principi:
a) i soggetti pubblici possono trattare dati personali comuni solo per lo svolgimento delle funzioni istituzionali e nei limiti stabiliti dalle leggi e dai regolamenti vigenti nei settori di riferimento
b) quando i dati sono di carattere particolare la disciplina richiede maggiori garanzie. I soggetti pubblici, per poter effettuare trattamenti inerenti ai dati sensibili, hanno bisogno di essere autorizzati da una dettagliata disposizione di legge, che preveda quali dati possono essere trattati, le operazioni che possono essere eseguite, le rilevanti finalità di interesse pubblico perseguite.
Il nuovo codice nel suo titolo decimo amplia notevolmente la normativa inerente ai trattamenti dei dati in ambito pubblico e costituisce un momento di forte avanzamento e innovazione della disciplina giuridica.
Esso rafforza tutto il sistema della garanzia e rielabora i contenuti del d.l.vo 135/1999, integrando congruamente la legge-base. Tale decreto aveva un duplice obiettivo: a) definire i principi generali in base ai quali i soggetti pubblici sono autorizzati a trattare dati sensibili; b) individuare alcune rilevanti finalità di interesse pubblico per cui il cui perseguimento è consentito tale trattamento, nonché le operazioni eseguibili e i tipi di dati che possono essere trattati.

7. Al fine di comprendere il particolare significato di tale normativa (che è stata trasfusa, con alcuni ritocchi nella codificazione), va ricordato come la nozione di "diritto alla riservatezza" sia molto ampia, sì da presentarsi come un diritto a consistenza concentrica, al cui centro si colloca la categoria dei dati sensibili, che costituiscono il nocciolo duro del diritto alla privacy. Tale figura geometrica comporta una variabilità della tutela offerta a seconda del contenuto dei dati; per cui un regime di assoluta riservatezza è configurato solo con riferimento ai dati sensibili, mentre è graduale negli altri casi in cui non sussistano dati di tale natura.
Recenti orientamenti dottrinali hanno rilevato che il fenomeno di dilatazione oggettiva e soggettiva dei confini della privacy ha contribuito allo sviluppo della "teoria", secondo la quale i dati personali occuperebbero tre diverse aree: nella prima, assolutamente inviolabile, sarebbero contenti i dati sensibili; nella seconda sarebbe garantito il controllo sulla veridicità dei dati; nell'ultima sfera dominerebbe, invece, la libertà di accesso ai dati personali (ad. es. i registri pubblici). E' da ricordare come la Sphärentheorie, che distingue le tre aree entro le quali si collocano i dati personali, è stata enunciata, per la prima volta, dalla Corte costituzionale tedesca nella sentenza 16 luglio 1969.
Il decreto delegato, nel capo primo, aveva indicato la serie dei principi generali e degli obblighi che i soggetti pubblici devono rispettare in materia di trattamento di dati particolari e nel capo secondo delineava la tipologia di alcune rilevanti finalità di interesse pubblico.
E ora nel nuovo codice viene delineata la serie di gestioni pubbliche di dati caratterizzate da un interesse pubblico di grado particolare, in quanto qualificato come rilevante. Si tratta di funzioni essenziali dello Stato, come quelle attinenti all'applicazione della disciplina in materia di elettorato e di esercizio di diritti politici; o attinenti all'instaurazione e gestione di rapporti di lavoro di qualunque tipo; o concernenti le attività di istruzione e formazione in ogni ambito scolastico; o inerenti alla disciplina in materia di concessione di benefici economici, elargizioni, emolumenti; o relativi alla tutela della salute o ai rapporti con enti di culto.
Tale nucleo di regole incide sulla trama fondamentale di rapporti fra il potere pubblico e la collettività, in un complesso contesto di reciproche esigenze e di reciproci limiti e in una necessaria rispondenza fra l'azione pubblica e la sfera della libertà e dei diritti dei cittadini.
L'attuazione di tale nucleo normativo è un banco di prova dei valori custoditi e tutelati dallo Stato moderno.

8. Incompleti sarebbero i profili della normativa se non si ponesse in risalto un altro punto di forte innovatività. Cioè è consentito il trattamento dei dati da parte di soggetti pubblici, solo se autorizzato da disposizioni di legge, nelle quali siano specificate, tra l'altro, le rilevanti finalità di interesse pubblico. Ma ove manchi tale esplicita regola, il Garante può (nelle more della specificazione legislativa) determinare, su richiesta dei soggetti pubblici, l'individuazione di quelle specifiche attività di interesse pubblico, che valgono ad autorizzare i trattamenti. Viene in rilievo l'attribuzione al Garante di un potere sostitutivo delle norme mancanti, introducendo, in tal modo, una innovazione rispetto al sistema di regole disciplinanti la varie autorità indipendenti, la cui potestà normativa era limitata alle fonti secondarie.

9. Merita di essere richiamato un pensiero di Norberto Bobbio, nel volume "L'età dei diritti", il quale afferma che l'evolvere del rapporto tra pubblica amministrazione e diritti del cittadino è uno degli indicatori del progress storico. Si delinea ora la nuova frontiera dei diritti fondamentali dell'individuo e del cittadino, rapportati all'operato della pubblica amministrazione. In effetti dobbiamo registrare un rapporto interattivo tra i due termini del tema pubblica amministrazione-diritti del cittadino. Tra queste due entità (la pubblica amministrazione e il complesso delle posizioni soggettive) intercorre una relazione di reciproca influenza, di modifica e di rinnovamento. Per poter naturalmente corrispondere alla nuova serie di diritti generati dalla normativa europea e dalla recente legislazione nazionale, la pubblica amministrazione modifica il proprio ruolo, il proprio comportamento, il proprio modo di agire, sicchè si sostituisce all'amministrazione monologante la nuova formula dell'amministrazione dialogante, che apre un dialogo pieno, aperto con i cittadini.