Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

 

 Tutela dei dati personali - Legge 675/96

Tutela dei dati personali: rilievi al disegno di legge
di Donato A. Limone(*) - 16.05.95

1. Premessa

In questi ultimi giorni si sono registrati sulla stampa quotidiana e specializzata alcuni interventi finalizzati a sostenere la tesi che se non si approva il disegno di legge n. 1901-bis non è possibile dare attuazione al trattato di Schengen e, quindi, a quanto stabilito dalla legge n. 388 del 30 settembre 1993.
Questa tesi non è sostenibile per tre ragioni fondamentali. La prima, perchè nell'attesa di istituire il Garante dei dati e di approvare una legge sulla protezione dei dati personali, si applicano le disposizioni di cui agli articoli della legge n. 121 del 1 aprile 1981 (artt. 10 e 11 della legge 388/93).
Fino a quando non viene istituito il Garante dei dati i compiti relativi saranno svolti dal Comitato parlamentare di cui alla legge n. 801/77 (art. 9 della legge 388/93). La seconda ragione è che lo stesso disegno di legge n. 1901-bis stabilisce che la normativa in esame al Parlamento non si applica (art. 2, 4c lettera a) al trattamento dei dati personali effettuato dal CED di cui alla legge n. 121/1981 e alla legge 388/93 (cioè, accordo di Schengen). La terza ragione è che l'Italia non può dare immediata esecuzione all'accordo in questione perchè non sono operativi i sistemi informativi dei ministeri degli Esteri, di Grazia e Giustizia, dei Trasporti, ecc.
I sostenitori della tesi di cui sopra (senza legge sui dati personali niente accordo di Schengen) "giocano" a sostenere l'approvazione lampo del disegno di legge 1901-bis senza considerare che, a livello comunitario, ci sono diversi ostacoli all'adozione della direttiva sulla protezione dei dati personali e che, a livello dei Paesi che da anni hanno approvato specifiche leggi, sono in preparazione modifiche sostanziali delle leggi vigenti.
Allora, si può ritenere che sostenere questa tesi ha una finalità "strumentale": il raggiungimento, fine a se stesso, di un obiettivo che finirebbe con il creare delle complicazioni ulteriori.
La fretta non solo non è comprensibile (dopo 14 anni dalla Convenzione di Strasburgo!) ma non è sostenibile in quanto, con un ulteriore breve lasso di tempo, è possibile, invece, varare un provvedimento migliore, frutto anche del "buon senso giuridico".

In data 30 marzo 1995 (Commissione Giustizia - sede referente) il relatore Gian Franco ANEDDA (di Alleanza Nazionale) richiama l'attenzione su diverse questioni, ad integrazione della sua stessa relazione del 28 marzo 1995. Le questioni, in sintesi, sono: la normativa deve limitarsi agli archivi elettronici o deve comprendere anche quelli cartacei; la tutela deve interessare le persone fisiche e anche quelle giuridiche oppure solo le prime; si auspica una deroga della normativa proposta per ciò che concerne l'attività e la professione giornalistica; eliminazione di disparità di trattamento per le società operanti in Italia e quelle straniere; ecc. Tutte osservazioni importanti che richiedono la definizione di uno schema portante di base e la definizione più accurata dei termini di cui all'art. 1 del disegno 1901-bis.

Lo schema portante di base per la stesura di un adeguato provvedimento in materia è il seguente:
- necessità di contemperare la tutela della privacy con la libertà di circolazione dell'informazione
- le definizioni di banca di dati, di trattamento e di dato personale devono essere stabilite in ragione della potenzialità del rischio effettivo che corrono i soggetti interessati
- limitare l'ambito della legge agli archivi elettronici e alla tutela dei dati personali delle persone fisiche
- il consenso da parte dei soggetti interessati è elemento importante, ma limitando tale consenso al momento della raccolta del dato e non della comunicazione e della diffusione dello stesso, al fine di non creare meccanismi burocratici di controllo complessi, pesanti e costosi per tutti
- il controllo deve essere esercitato direttamente dal soggetto interessato tramite il Garante dei dati senza appesantimenti burocratici e, soprattutto, limitando l'eventuale "discrezionalità" del Garante.

2. Le definizioni e gli ambiti di applicazione.

Banca dati: si riferisce a qualsiasi insieme di dati personali, sia di tipo elettronico sia di tipo cartaceo.
Trattamento: viene definito come "qualunque operazione" svolta con o senza l'ausilio di mezzi elettronici.
Dato personale: qualunque informazione relativa a persona fisica, giuridica od ente, identificati o identificabili anche indirettamente.
Queste definizioni estendono l'ambito della tutela a tutte le banche dati e a tutti gli archivi elettronici e manuali, indipendentemente dalle "potenzialità di rischio" di lesione dei diritti fondamentali della persona. La massima estensione comporterà il massimo controllo e quindi il più forte vincolo per la libertà di circolazione dell'informazione.
Il trattamento dovrebbe riguardare solo le operazioni svolte con mezzi elettronici o comunque automatizzati riducendo il concetto di "qualunque operazione" senza mezzi elettronici.
Per quanto riguarda il concetto di dato personale sarà necessario limitare l'estensione solo alle persone fisiche "identificate" e non anche alle persone fisiche identificabili anche "indirettamente", mediante riferimento a qualsiasi altra informazione. Escludere, quindi, dalla tutela le informazioni del titolare del trattamento relative ai soggetti interessati e non divulgati. I dati di pubblico dominio non dovrebbero essere "tutelati".
L'art. 2, al comma 1, delimita il campo dell'applicazione della legge, ma, al comma 2, se da un lato stabilisce che il trattamento di dati personali di tipo manuale è soggetto alla legge per quei dati registrati in banca dati, dall'altro si estende al massimo l'applicazione della legge in quanto tutti i dati sono suscettibili di essere registrati in banca dati. Ma anche i dati raccolti a fini esclusivamente personali, da un lato non sono soggetti alla legge, dall'altro lo sono se destinati ad una comunicazione sistematica o alla diffusione. Il campo di applicazione della legge sembra, quindi, in forte espansione nello stesso momento che lo si tende a limitare.

Un ulteriore vincolo alla libertà di circolazione dell'informazione è dato dal "consenso espresso" dal soggetto interessato e relativamente all'intero trattamento o a più operazioni. Sarebbe opportuno limitare tale consenso al solo momento della raccolta dei dati, in quanto risulterebbe difficile raccogliere il consenso sia nella fase della raccolta sia nelle fasi di comunicazione e diffusione. Nella fase di raccolta il soggetto dovrebbe essere informato anche dell'ambito di diffusione e dei soggetti interessati alla comunicazione. Questa soluzione sarebbe in linea con la proposta di direttiva del Consiglio.

Per quanto riguarda il Garante dei dati la soluzione proposta, in fase transitoria, è che l'Autorità per l'informatica nelle P.A. (AIPA) funzionerebbe anche come Garante dei dati e, per questo, salirebbe di rango e da "Autorità" diventerebbe "Garante", sottraendosi così dal controllo dell'Esecutivo. Questa soluzione è solo un "pateracchio all'italiana" prodotto da menti paragiuridiche con eccessive punte di fantasia.
La soluzione non regge sotto il profilo giuridico in quanto l'AIPA e il Garante dei dati hanno compiti e funzioni totalmente diverse. Una semplice migrazione da "AIPA" a "Garante" non elimina nella sostanza tali diversità. E ricordiamo che il diritto è "forma" che regola casi, fatti e realtà (quindi, sostanza). Sarebbe utile, a riguardo, conoscere la posizione della stessa AIPA. Non ci meraviglieremmo se tale soluzione diventasse legge: il decreto legislativo 39/93 sarebbe modificato in peggio. Ci auguriamo che il buon senso abbia il sopravvento.

3. Proposta di emandamenti

ART. 1 (Definizioni)

- Banca dati (art. 1, 1c)
Per banca di dati personali si intende una raccolta sistematica di informazioni relative a persone fisiche, identificate, realizzata e gestita con tecnologie dell'informazione.

- Art. 1, 1c lettera b:
per trattamento, qualunque operazione svolta con l'ausilio di tecnologie dell'informazione ...

- Art. 1, 1c lettera c:
per "dato personale" qualunque informazione relativa a persona fisica, non incluse in archivi pubblici e idonea a consentire direttamente l'identificazione.

- Art. 1, 1c lettera f:
per "interessato", la persona fisica .... (eliminare "persona giuridica o ente").

ART. 2 (Campo di applicazione)

- Il comma 1 diventa:
1. La presente legge si applica al trattamento elettronico di dati personali da chiunque effettuato nel territorio dello Stato, ad eccezione di quello posto in essere da persone fisiche, a fini esclusivamente personali.

- Eliminare il comma 2.
- Eliminare il comma 7.

ART. 5 (Categorie particolari di dati)
- Eliminare dal comma 1 la "previa autorizzazione del Garante" e, quindi, lasciare solo il consenso scritto dell'interessato.

ART. 7 (Sicurezza dei dati)
L'articolo 7,1 - 2ø e 3ø comma sono sostituiti dal seguente testo:
1. I dati personali oggetto di trattamento devono essere custoditi mediante l'adozione di idonee e preventive misure di sicurezza.
2. Le misure di cui al comma 1 sono definite con decreto del Presidente della Repubblica, da emanare ia sensi dell'art. 17, comma 1, lettera a) della legge 23 agosto 1988, n. 400.

ART. 8 (Notificazione)
La notificazione dovrebbe riguardare solo l'esistenza e lo scopo della banca dati e chi ne è il produttore, il gestore, il responsabile.
Anche le modalità di autenticazione finiscono con l'appesantire le operazioni e le attività di sottoscrizione.

ART. 18 (Trasferimento di dati personali oltre frontiera)
Sarebbe sufficiente sostenere il principio della semplice notifica (art. 8) e non quello di una "notifica preventiva" anche per non mortificare la libertà di circolazione dei dati. Tale disposizione non è prevista dalla proposta di direttiva comunitaria.

ART. 22 (Tutela amministrativa e giurisdizionale)
Non è prevista esplicitamente la possibilità di ricorso dei titolari e/o dei responsabili della banca dati, oltre a quella prevista per i soggetti interessati.

ART. 31, 32 e 34
Con questi articoli si opera il classico pateracchio all'italiana modificando il d.l. 39/93, "trasferendo" l'AIPA al livello del Garante dei dati per unificare le due autorità, nate per finalità diverse e con compiti diversi.
Questa migrazione e temporanea identificazione non si può accettare e, quindi, si propone la cancellazione totale di questi articoli per la parte relativa a questa soluzione.

(*) Docente di informatica giuridica nelle università di Camerino e Lecce