Tutela dei dati personali: rilievi
al disegno di legge
di Donato A. Limone(*) - 16.05.95
1. Premessa
In questi ultimi giorni si
sono registrati sulla stampa quotidiana e specializzata
alcuni interventi finalizzati a sostenere la tesi che se
non si approva il disegno di legge n. 1901-bis non è
possibile dare attuazione al trattato di Schengen e,
quindi, a quanto stabilito dalla legge n. 388 del 30
settembre 1993.
Questa tesi non è sostenibile per tre ragioni
fondamentali. La prima, perchè nell'attesa di istituire
il Garante dei dati e di approvare una legge sulla
protezione dei dati personali, si applicano le
disposizioni di cui agli articoli della legge n. 121 del
1 aprile 1981 (artt. 10 e 11 della legge 388/93).
Fino a quando non viene istituito il Garante dei dati i
compiti relativi saranno svolti dal Comitato parlamentare
di cui alla legge n. 801/77 (art. 9 della legge 388/93).
La seconda ragione è che lo stesso disegno di legge n.
1901-bis stabilisce che la normativa in esame al
Parlamento non si applica (art. 2, 4c lettera a) al
trattamento dei dati personali effettuato dal CED di cui
alla legge n. 121/1981 e alla legge 388/93 (cioè,
accordo di Schengen). La terza ragione è che l'Italia
non può dare immediata esecuzione all'accordo in
questione perchè non sono operativi i sistemi
informativi dei ministeri degli Esteri, di Grazia e
Giustizia, dei Trasporti, ecc.
I sostenitori della tesi di cui sopra (senza legge sui
dati personali niente accordo di Schengen)
"giocano" a sostenere l'approvazione lampo del
disegno di legge 1901-bis senza considerare che, a
livello comunitario, ci sono diversi ostacoli
all'adozione della direttiva sulla protezione dei dati
personali e che, a livello dei Paesi che da anni hanno
approvato specifiche leggi, sono in preparazione
modifiche sostanziali delle leggi vigenti.
Allora, si può ritenere che sostenere questa tesi ha una
finalità "strumentale": il raggiungimento,
fine a se stesso, di un obiettivo che finirebbe con il
creare delle complicazioni ulteriori.
La fretta non solo non è comprensibile (dopo 14 anni
dalla Convenzione di Strasburgo!) ma non è sostenibile
in quanto, con un ulteriore breve lasso di tempo, è
possibile, invece, varare un provvedimento migliore,
frutto anche del "buon senso giuridico".
In data 30 marzo 1995
(Commissione Giustizia - sede referente) il relatore Gian
Franco ANEDDA (di Alleanza Nazionale) richiama
l'attenzione su diverse questioni, ad integrazione della
sua stessa relazione del 28 marzo 1995. Le questioni, in
sintesi, sono: la normativa deve limitarsi agli archivi
elettronici o deve comprendere anche quelli cartacei; la
tutela deve interessare le persone fisiche e anche quelle
giuridiche oppure solo le prime; si auspica una deroga
della normativa proposta per ciò che concerne
l'attività e la professione giornalistica; eliminazione
di disparità di trattamento per le società operanti in
Italia e quelle straniere; ecc. Tutte osservazioni
importanti che richiedono la definizione di uno schema
portante di base e la definizione più accurata dei
termini di cui all'art. 1 del disegno 1901-bis.
Lo schema portante di base
per la stesura di un adeguato provvedimento in materia è
il seguente:
- necessità di contemperare la tutela della privacy con
la libertà di circolazione dell'informazione
- le definizioni di banca di dati, di trattamento e di
dato personale devono essere stabilite in ragione della
potenzialità del rischio effettivo che corrono i
soggetti interessati
- limitare l'ambito della legge agli archivi elettronici
e alla tutela dei dati personali delle persone fisiche
- il consenso da parte dei soggetti interessati è
elemento importante, ma limitando tale consenso al
momento della raccolta del dato e non della comunicazione
e della diffusione dello stesso, al fine di non creare
meccanismi burocratici di controllo complessi, pesanti e
costosi per tutti
- il controllo deve essere esercitato direttamente dal
soggetto interessato tramite il Garante dei dati senza
appesantimenti burocratici e, soprattutto, limitando
l'eventuale "discrezionalità" del Garante.
2. Le definizioni e gli
ambiti di applicazione.
Banca dati: si riferisce a
qualsiasi insieme di dati personali, sia di tipo
elettronico sia di tipo cartaceo.
Trattamento: viene definito come "qualunque
operazione" svolta con o senza l'ausilio di mezzi
elettronici.
Dato personale: qualunque informazione relativa a persona
fisica, giuridica od ente, identificati o identificabili
anche indirettamente.
Queste definizioni estendono l'ambito della tutela a
tutte le banche dati e a tutti gli archivi elettronici e
manuali, indipendentemente dalle "potenzialità di
rischio" di lesione dei diritti fondamentali della
persona. La massima estensione comporterà il massimo
controllo e quindi il più forte vincolo per la libertà
di circolazione dell'informazione.
Il trattamento dovrebbe riguardare solo le operazioni
svolte con mezzi elettronici o comunque automatizzati
riducendo il concetto di "qualunque operazione"
senza mezzi elettronici.
Per quanto riguarda il concetto di dato personale sarà
necessario limitare l'estensione solo alle persone
fisiche "identificate" e non anche alle persone
fisiche identificabili anche "indirettamente",
mediante riferimento a qualsiasi altra informazione.
Escludere, quindi, dalla tutela le informazioni del
titolare del trattamento relative ai soggetti interessati
e non divulgati. I dati di pubblico dominio non
dovrebbero essere "tutelati".
L'art. 2, al comma 1, delimita il campo dell'applicazione
della legge, ma, al comma 2, se da un lato stabilisce che
il trattamento di dati personali di tipo manuale è
soggetto alla legge per quei dati registrati in banca
dati, dall'altro si estende al massimo l'applicazione
della legge in quanto tutti i dati sono suscettibili di
essere registrati in banca dati. Ma anche i dati raccolti
a fini esclusivamente personali, da un lato non sono
soggetti alla legge, dall'altro lo sono se destinati ad
una comunicazione sistematica o alla diffusione. Il campo
di applicazione della legge sembra, quindi, in forte
espansione nello stesso momento che lo si tende a
limitare.
Un ulteriore vincolo alla
libertà di circolazione dell'informazione è dato dal
"consenso espresso" dal soggetto interessato e
relativamente all'intero trattamento o a più operazioni.
Sarebbe opportuno limitare tale consenso al solo momento
della raccolta dei dati, in quanto risulterebbe difficile
raccogliere il consenso sia nella fase della raccolta sia
nelle fasi di comunicazione e diffusione. Nella fase di
raccolta il soggetto dovrebbe essere informato anche
dell'ambito di diffusione e dei soggetti interessati alla
comunicazione. Questa soluzione sarebbe in linea con la
proposta di direttiva del Consiglio.
Per quanto riguarda il
Garante dei dati la soluzione proposta, in fase
transitoria, è che l'Autorità per l'informatica nelle
P.A. (AIPA) funzionerebbe anche come Garante dei dati e,
per questo, salirebbe di rango e da "Autorità"
diventerebbe "Garante", sottraendosi così dal
controllo dell'Esecutivo. Questa soluzione è solo un
"pateracchio all'italiana" prodotto da menti
paragiuridiche con eccessive punte di fantasia.
La soluzione non regge sotto il profilo giuridico in
quanto l'AIPA e il Garante dei dati hanno compiti e
funzioni totalmente diverse. Una semplice migrazione da
"AIPA" a "Garante" non elimina nella
sostanza tali diversità. E ricordiamo che il diritto è
"forma" che regola casi, fatti e realtà
(quindi, sostanza). Sarebbe utile, a riguardo, conoscere
la posizione della stessa AIPA. Non ci meraviglieremmo se
tale soluzione diventasse legge: il decreto legislativo
39/93 sarebbe modificato in peggio. Ci auguriamo che il
buon senso abbia il sopravvento.
3. Proposta di
emandamenti
ART. 1 (Definizioni)
- Banca dati (art. 1, 1c)
Per banca di dati personali si intende una raccolta
sistematica di informazioni relative a persone fisiche,
identificate, realizzata e gestita con tecnologie
dell'informazione.
- Art. 1, 1c lettera b:
per trattamento, qualunque operazione svolta con
l'ausilio di tecnologie dell'informazione ...
- Art. 1, 1c lettera c:
per "dato personale" qualunque informazione
relativa a persona fisica, non incluse in archivi
pubblici e idonea a consentire direttamente
l'identificazione.
- Art. 1, 1c lettera f:
per "interessato", la persona fisica ....
(eliminare "persona giuridica o ente").
ART. 2 (Campo di
applicazione)
- Il comma 1 diventa:
1. La presente legge si applica al trattamento
elettronico di dati personali da chiunque effettuato nel
territorio dello Stato, ad eccezione di quello posto in
essere da persone fisiche, a fini esclusivamente
personali.
- Eliminare il comma 2.
- Eliminare il comma 7.
ART. 5 (Categorie
particolari di dati)
- Eliminare dal comma 1 la "previa autorizzazione
del Garante" e, quindi, lasciare solo il consenso
scritto dell'interessato.
ART. 7 (Sicurezza dei
dati)
L'articolo 7,1 - 2ø e 3ø comma sono sostituiti dal
seguente testo:
1. I dati personali oggetto di trattamento devono essere
custoditi mediante l'adozione di idonee e preventive
misure di sicurezza.
2. Le misure di cui al comma 1 sono definite con decreto
del Presidente della Repubblica, da emanare ia sensi
dell'art. 17, comma 1, lettera a) della legge 23 agosto
1988, n. 400.
ART. 8 (Notificazione)
La notificazione dovrebbe riguardare solo l'esistenza e
lo scopo della banca dati e chi ne è il produttore, il
gestore, il responsabile.
Anche le modalità di autenticazione finiscono con
l'appesantire le operazioni e le attività di
sottoscrizione.
ART. 18 (Trasferimento di
dati personali oltre frontiera)
Sarebbe sufficiente sostenere il principio della semplice
notifica (art. 8) e non quello di una "notifica
preventiva" anche per non mortificare la libertà di
circolazione dei dati. Tale disposizione non è prevista
dalla proposta di direttiva comunitaria.
ART. 22 (Tutela
amministrativa e giurisdizionale)
Non è prevista esplicitamente la possibilità di ricorso
dei titolari e/o dei responsabili della banca dati, oltre
a quella prevista per i soggetti interessati.
ART. 31, 32 e 34
Con questi articoli si opera il classico pateracchio
all'italiana modificando il d.l. 39/93,
"trasferendo" l'AIPA al livello del Garante dei
dati per unificare le due autorità, nate per finalità
diverse e con compiti diversi.
Questa migrazione e temporanea identificazione non si
può accettare e, quindi, si propone la cancellazione
totale di questi articoli per la parte relativa a questa
soluzione.
(*) Docente di
informatica giuridica nelle università di Camerino e
Lecce
|
Pagina stampabile
