A distanza di cinque anni dall'approvazione della legge italiana sulla privacy, il processo di costruzione del diritto alla riservatezza prosegue, a volte lento e con qualche difficoltà, ma senza contraccolpi. I più recenti risultati potrebbero essere certamente commentati sotto più angoli visuali, specie su una testata come questa che ha sempre opportunamente ospitato voci diverse e a volte marcatamente critiche.

Un primo dato di fatto, tra queste prime assai brevi riflessioni, mi sembra però pacifico: vi è un'attenzione istituzionale sulla materia che rimane ad un discreto livello. Non è infatti comune che su una materia così delicata sia conferita per tre volte una delega legislativa che presuppone un'apprezzabile fiducia nel legislatore delegato. Non è frequente che in questa stessa materia si dia una forte spinta ad un ampio testo unico (anzi ad un codice) di tutte le disposizioni legislative e regolamentari recenti e meno recenti, corredato anche dei codici deontologici che prenderanno vita nei prossimi mesi.

Il decreto legislativo che oggi commentiamo - il n. 467/2001 - rappresentava un passaggio delicato all'inizio di una nuova legislatura. Ne è derivato un testo equilibrato che le Commissioni parlamentari e l'Autorità garante hanno condiviso, denso di nuovi obiettivi che fanno del 2002 l'anno certamente più impegnativo da quando esiste la disciplina sulla protezione dei dati personali.

Siamo ora in dirittura d'arrivo per quanto riguarda il recepimento delle due note direttive comunitarie.
Prior checking e balance of interests trovano infatti cittadinanza nella legge n. 675/1996, con norme-cornice che presuppongono delicati provvedimenti attuativi dell'Autorità.
Fa capolino anche il principio comunitario di stabilimento, con una disposizione (art. 1 del decreto) che ne recepisce una prima parte sottoponendo alla legge italiana anche i trattamenti "invisibili" di dati effettuati da siti web dislocati all'estero su postazioni informatiche situate in Italia (cookies compresi).
Il principio andrà presto completato, con conseguente piena applicazione dell'ulteriore disposizione comunitaria che prevede che ciascun garante nazionale controlli, comunque, tutti i trattamenti che si svolgono sul territorio nazionale, a prescindere dalla legge nazionale ad essi applicabile.

Due norme dell'odierno decreto (gli artt. 22 e 23) rispondono bene, poi, a due obiezioni formali che la Commissione europea aveva mosso alla disciplina del DLgs 171/1998 sull'identificazione della linea chiamante e collegata e delle chiamate di disturbo e di emergenza.

L'evidente filosofia generale del decreto, che recepisce diversa "giurisprudenza" del Garante (anche quella recentissima in materia di diritto di accesso ai dati del traffico telefonico in entrata), è quella di agevolare e semplificare taluni adempimenti, mantenendo - ed anzi incrementando - le garanzie sostanziali.
Le informative all'interessato sinora allungate da una discreta lista di responsabili del trattamento risulteranno meglio leggibili, potendovi figurare in calce l'indicazione di un solo responsabile - sempreché designato, si badi bene - preferibilmente menzionato nella figura dell'interlocutore preposto ai rapporti con i cittadini interessati che esercitano i propri diritti.

Le esenzioni e semplificazioni alle notificazioni ipotizzate sin dal momento dell'approvazione della legge sulla privacy, ed individuate concretamente nei decreti legislativi del 1997, avevano dato già buoni frutti se solo si confrontano le poco più di 300.000 notificazioni sinora pervenute al Garante con i milioni di partite IVA in circolazione.
Era da tempo giunto il momento, però, per aggiornare il modello di notificazione, per consentirne meglio l'invio per via telematica e per trasformare in un ristretto elenco "in positivo" il novero dei soggetti realmente tenuti alla notificazione, in quanto titolari di un trattamento che può comportare in concreto, per modalità o dati, pregiudizi ai diritti e alle libertà dell'interessato.

Ci vorrà qualche mese per completare questa manovra. Ne deriva anche uno spunto per rivedere tutto il DPR 501/1998, che già nel 2000 ha perso pezzi importanti ripresi ed aggiornati nei tre regolamenti interni del Garante. Verranno chiesti meno consensi, quando si tratta di attuare obblighi contrattuali e precontrattuali. La soluzione era inevitabile, dato che valeva già per i flussi verso l'estero e non comporterà necessariamente una minore tutela per l'interessato. La contrattualistica andrà infatti verificata e aggiornata anche in chiave di garanzie, e si dovrà essere particolarmente prudenti nel convogliare nell'ordinaria economia contrattuale finalità di trattamento ulteriori e incompatibili.
Occorrerà rivalutare, poi, l'informativa, che da stanco e formale adempimento dovrà caratterizzare sempre più una relazione leale e corretta con l'interessato.

Un dibattito costruttivo è auspicabile a proposito dei casi del balance of interests e del prior checking.
Nel primo caso, il sistema "chiuso" di presupposti del trattamento equipollenti al consenso (che predetermina rispetto alla condotta ciò che è o non è lecito ed è quindi eventualmente sanzionabile) ha portato il decreto legislativo a prevedere che il titolare del trattamento non possa utilizzare dati personali senza consenso, solo sulla base di una sua autonoma decisione che ritenga sussistente un non meglio identificato "legittimo interesse" proprio o del destinatario dei dati.

Un dibattito su questa stessa testata potrebbe aiutare ad enucleare casi di "legittimo interesse" che non siano già regolati da altri articoli della legge (si pensi al caso dell'utilizzazione di fonti pubbliche, disciplinato dagli artt. 12 e 20 della legge n. 675). Aiuterebbe anche ad individuare criteri ragionevoli per stabilire quando i diritti e le libertà fondamentali dell'interessato (come pure la sua dignità e un suo concorrente legittimo interesse) non siano prevalenti.

Si avverte il bisogno di contributi scientifici anche per un'altra "scommessa" del decreto legislativo di nuovo conio: quali sono i dati "semi-sensibili" che per loro stessa natura (o per il modo con cui sono trattati o per gli effetti che possono determinare) meritano una valutazione preliminare all'inizio del trattamento, di modo che si possano eventualmente prescrivere misure ed accorgimenti a garanzia degli interessati ?
Quale livello di rischio per i diritti e le libertà dell'interessato (come pure per la sua dignità) si dovrà prendere in questo caso in considerazione?
Visto che si avverte sempre più l'esigenza di modulare le garanzie di riservatezza dapprima più uniformi nell'originaria e generale legge n. 675 (come dimostra la giusta previsione, nel 1999, di modalità di trattamento ad hoc dei dati genetici), che spazio andrebbe dato, ad esempio, a talune tecniche biometriche?

Per brevità di esposizione, è forse opportuno tornare in un'altra circostanza a parlare di sanzioni amministrative e penali rimodulate, del neonato ravvedimento operoso in tema di misure di sicurezza e della incrementata graduabilità dei poteri inibitori del Garante in caso di trattamenti illeciti o non corretti.
L'ultimo breve cenno di questo contributo è semmai dovuto alla nuova tipologia di codici deontologici, che da strumento di autodisciplina non vincolante si trasformano in vere e proprie fonti secondarie di diritto rilevanti, dinanzi al giudice e al Garante, per stabilire se un trattamento sia lecito o meno.

Come pronosticato - mi sia consentito ricordarlo - prima ancora entrasse in vigore nel 1996 la legge n. 675, la disciplina del trattamento di dati in Internet troverà il perno fondamentale nello strumento flessibile del codice deontologico che verrà ufficialmente promosso entro il prossimo 30 giugno. Dovrà essere redatto anch'esso sulla base del principio di rappresentatività di cui all'art. 31, comma 1, lett. h), della legge. Potrà preludere anche, come lascia intendere l'art. 20, comma 2, lett. a), del nuovo decreto legislativo e come auspicava l'importante decisione dei Garanti europei del 22 maggio 2001, a certificazioni "certificate" di qualità, privacy oriented.
Si dovrà far presto per anticipare l'entrata in vigore delle previste disposizioni di recepimento della direttiva sul commercio elettronico (che per espressa previsione comunitaria non possono del resto, come è noto, essere applicate alla vasta tematica del trattamento dei dati personali), nonché per allegare il codice deontologico al testo unico (anzi, come dicevo al codice con la "C" maiuscola) sulla privacy che dovrebbe vedere la luce al più tardi nel prossimo dicembre.

Di carne al fuoco torna ad essercene molta. Il dibattito è aperto.