Voltiamo pagina, dopo cinque anni dall'entrata in vigore della legge sulla tutela dei dati personali. E non tanto perché la scadenza assume un valore simbolico, come ha detto Stefano Rodotà nel discorso con il quale ha presentato la relazione per il 2001, ma soprattutto perché siamo di fronte a una svolta sostanziale nel complesso e delicato sistema della protezione delle informazioni personali nel contesto che chiamiamo, appunto, "società dell'informazione".
Cinque anni fa, nel 1997, aggiungevamo l'aggettivo "nascente". Oggi la società dell'informazione è una realtà che riguarda, volenti o nolenti, tutti gli individui che popolano la Terra, anche quelli che vivono nelle zone meno sviluppate e quindi sono coinvolti nel mondo tecnologico per il solo fatto di non farne parte, vittime del paventato digital divide, ormai divenuto anch'esso realtà.

La svolta, per quanto riguarda il nostro Paese, è segnata dal decreto legislativo 467/01, che riforma la legge 675/96 in alcuni punti essenziali e all'art. 20  dispone che il Garante promuova l'adozione di codici di autoregolamentazione in diversi settori, avviando così il completamento della normativa con strumenti flessibili e, soprattutto, largamente condivisi dai soggetti interessati.

Con la deliberazione del 10 aprile scorso il Garante ha compiuto il primo passo per l'attuazione dell'art. 20, invitando "tutti i soggetti pubblici e privati aventi titolo a partecipare all'adozione dei medesimi codici in base al principio di rappresentatività di cui all'art. 31, comma 1, lettera h), della legge n. 675/1996, a darne comunicazione a questa Autorità entro il 31 maggio 2002".
Si è così aperto un passaggio molto delicato per lo sviluppo delle tecnologie in Italia, perché le norme deontologiche in materia di trattamento dei dati personali dovrebbero determinare un quadro di certezze, che fino a oggi è mancato e che in alcuni casi ha costituito un freno alla diffusione di nuovi servizi, mentre in altri casi è stato il pretesto per abusi più o meno legali.

Buona parte dei codici elencati nella deliberazione riguarda l'ambiente dell'internet, coinvolgendo sia i fornitori di servizi sia i fornitori di contenuti. Particolarmente significative appaiono le voci relative ai trattamenti effettuati per l'invio di materiale pubblicitario o di vendita diretta,  per ricerche di mercato o di informazione commerciale: anche se sull'alternativa fondamentale tra opt-in e opt-out manca la necessaria chiarezza a livello comunitario, e anche se una regolamentazione nazionale non può essere risolutiva, dovrebbe almeno diminuire l'insopportabile valanga di messaggi non richiesti, che costituisce ormai una percentuale rilevante del traffico di posta elettronica. Un'altra quota significativa è data dai worm-virus, e anche qui entrano in gioco i trattamenti di dati personali, perché la diffusione avviene a partire dalle rubriche di indirizzi archiviati sui PC (ma qui il discorso dovrebbe riguardare un'autoregolamentazione, se non l'imposizione di norme imperative, per i produttori dei sistemi).

Sotto questo punto di vista c'è da valutare un altro aspetto del binomio privacy-tecnologie, che non sembra si sia ancora imposto all'attenzione dei garanti: quello dei trattamenti "occulti" che i più diffusi sistemi operativi compiono all'insaputa dell'utente, registrando negli anfratti più nascosti delle macchine una serie di informazioni dettagliate sulle operazioni compiute dall'utente stesso. Informazioni che l'interessato non può controllare, ma che possono essere lette da abili cacciatori di dati. E' un grave problema che prima o poi dovrà essere posto all'ordine del giorno, un paradossale esempio di carenza di informativa in cui l'interessato e il titolare del trattamento sono la stessa persona.

Ma in questa fase è necessario puntare l'attenzione sull'autodisciplina dei fornitori di servizi di telecomunicazioni, in particolare gli internet provider, perché le disposizioni sulla protezione dei dati personali si intrecciano con quelle relative al controllo dei contenuti, presenti nella legge-delega per l'attuazione della direttiva europea sul commercio elettronico. Un intreccio critico, perché la formulazione delle disposizioni comunitarie si presta alla scrittura di norme liberticide che potrebbero entrare in conflitto con la tutela della privacy.

Al di là dei tecnicismi giuridici, resta la speranza che il nuovo corso che si profila nella normativa sulla protezione dei dati personali abbia effetti concreti sulla vita di ciascuno noi, cittadini della società dell'informazione, e diminuisca la sgradevole sensazione di essere (come rileva Massimo Mantellini riprendendo una felice definizione di Rodotà) L'uomo di vetro.