Il lavoro si semplifica, la legge si complica
di Manlio Cammarata - 04.12.97

Prima di affrontare il paradosso del titolo, vorrei porre al legislatore qualche domandina semplice semplice. Perché mai un medico deve essere autorizzato da un'autorità - comunque costituita - a trattare i dati personali dei suoi pazienti? Il trattamento dei dati sanitari non è parte essenziale dell'attività del medico, si può curare una persona senza registrare qualche informazione sul suo stato di salute?
Oppure, può un commercialista gestire gli adempimenti fiscali di un suo cliente senza tenere una traccia precisa della sua attività professionali, custodire le fatture, registrare le sue spese e i suoi proventi?
Ancora, può funzionare un'associazione politica o religiosa che non annoti i nomi dei suoi iscritti?

Evidentemente no. Questi, e molti altri trattamenti di dati personali sono così essenziali per le attività descritte, che le attività stesse non sarebbero possibili senza il trattamento dei relativi dati. E allora a che serve l'autorizzazione? Non basta prevedere un certo numero di norme - chiare e applicabili - che prescrivano le modalità e il limiti del trattamento per non violare la riservatezza dell'interessato, accompagnate da sanzioni equilibrate in caso di inosservanza?

Sembra che nessuno, nei lunghi anni di dibattito su progetti di legge sempre uguali nella sostanza, si sia posto questi interrogativi. Così è nata una legge, la 675/96, così inapplicabile che lo stesso legislatore ne ha fatta contemporaneamente un'altra che prevede le inevitabili aggiunte e correzioni.
E quattro galantuomini, chiamati a garantire l'applicazione di un'inestricabile matassa di regole, hanno dovuto metter mano d'urgenza alle eccezioni, anche per evitare la paralisi immediata del loro stesso ufficio. Eccezioni che rispondono agli interrogativi posti all'inizio: no, non si può immaginare che un medico non sia autorizzato a compilare la cartella clinica del paziente o che a un imprenditore sia vietato di tenere traccia delle assenze per malattia di un dipendente.

Le autorizzazioni generali, quelle già emanate e quelle annunciate, sono l'applicazione di questo elementare principio di buon senso: sono autorizzati tutti i trattamenti necessari al rapporto tra il titolare e l'interessato, a condizione che non presentino rischi per la riservatezza di quest'ultimo oltre i limiti connaturati al rapporto stesso. Per tutti gli altri tipi di trattamento, a partire dalla comunicazione o diffusione che non siano previste da leggi o regolamenti, occorre l'autorizzazione del Garante.
Semplice e logico, a prima vista, al punto che ci si chiede perché le autorizzazioni generali siano così dettagliate e richiedano tanta attenzione per essere applicate. Il fatto è che il Garante non può cambiare la legge, e anche i decreti delegati del Governo non possono contraddirne i principi. Che sono, come sappiamo, che i trattamenti devono essere sempre notificati o autorizzati, che l'interessato deve essere sempre informato e via discorrendo.
Di conseguenza le eccezioni non possono essere meno complesse delle regole alle quali si riferiscono, anche in considerazione del fatto che ormai a quasi tutte le regole corrisponde un'eccezione. Infatti, se consideriamo l'insieme delle semplificazioni (compresi gli esoneri dalle dichiarazioni previsti dal decreto legislativo n. 255), vediamo che della legge 675/96 restano in piedi solo le norme che si riguardano i trattamenti realmente pericolosi per la riservatezza dell'interessato.
Lo dimostra l'esclusione degli investigatori privati e dei giornalisti dall'autorizzazione generale per i professionisti: si tratta di attività che dovranno essere disciplinate a parte, perché presentano maggiori rischi per la riservatezza degli interessati.

Ma la conseguenza di tante semplificazioni, pur necessarie, è che la normativa si complica sempre di più. Siamo, fino a questo punto, a due leggi, due decreti legislativi e quattro autorizzazioni generali, senza considerare la "interpretazione mediatica" costituita dai comunicati stampa, dei quali si è ormai perso il conto.
Non basta: le autorizzazioni generali durano fino al 30 settembre del prossimo anno, in prossimità del termine di diciotto mesi previsto dalla legge 676/96 per l'emanazione dei decreti legislativi che dovranno regolare .- se non ho contato male - la bellezza di quattordici materie: 1) dati sanitari, 2) direct marketing, 3) sicurezza sociale, 4) lavoro, 5) pagamenti e operazioni connesse, 6) organi pubblici, 7) servizi di telecomunicazioni, 8) numero di identificazione personale, 9) rettificazione dei dati su disco ottico (un bel problema!), 10) notificazione e trasferimento all'estero di dati diversi da quelli sensibili oggetto di trattamenti non automatizzati di dati ed esonero per i trattamenti che non presentino rischi di un danno all'interessato, 11) semplificazioni per le piccole imprese, 12) adattamento dei principi desumibili dalla legislazione ai trattamenti in ambito pubblico esclusi dall'applicazione della legislazione in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali, 13) servizi di comunicazione e informazione offerti per via telematica, 14) fonti di acquisizione dei dati per determinati casi di comunicazione o diffusione di dati personali provenienti da archivi, registri, elenchi, atti o documenti tenuti da pubbliche amministrazioni.

Aggiungiamo il regolamento sulla sicurezza (che ha già un mese di ritardo sulla scadenza prevista dalla 675) e altre materie, indicate dalla legge delega, non direttamente connesse al trattamento dei dati. Alla fine sarà bravo chi riuscirà a capirci qualcosa, soprattutto se i provvedimenti conterranno indicazioni di questo tipo: "adattare, ai trattamenti in ambito pubblico esclusi dall'applicazione della legislazione in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali, i principi desumibili dalla medesima legislazione". Che significa, se non ho capito male, applicare la legislazione ai trattamenti esclusi dalla legislazione. Ma sono leggi o filastrocche?