Trovare un accordo per una definizione univoca del diritto alla riservatezza non è il solo impegno del legislatore nei quindici paesi dell'Unione: occorre affrontare e risolvere il problema relativo alla legge applicabile e al foro competente per attività svolte su reti elettroniche e favorire la cooperazione tra le authority per l'adozione di un sistema alternativo di risoluzione delle controversie per le transazioni on line (Alternative dispute Resolution - ADR). I paesi dell'Unione Europea devono adoperarsi, più in generale, a ricercare e promuovere sistemi tecnologici e normativi che siano "amici" della privacy.

Oltre oceano a governare indiscriminata è la legge del libero mercato, ma accettare passivamente questa ideologia rischia di "contaminare" i paesi europei e attrarli nella logica di eliminare ogni ostacolo, comprese le norme sulla privacy, che contrasti con i principi fondamentali dell'economia. Se dovesse prevalere la linea americana del trattamento dei dati sensibili, troppo flessibile rispetto ai rigidi principi di riservatezza previsti dagli ordinamenti europei, quale tutela della privacy sarà assicurata al cittadino europeo? L'orientamento di alcuni paesi europei a favore della deregulation e per la circolazione di dati e notizie senza limiti potrebbe vanificare tutti gli sforzi compiuti in questi anni di dura lotta a sostegno della tutela del diritto alla riservatezza. Va considerato, d'altro canto, che il prevalere di posizioni rigide dell'Europa potrebbero però emarginare l'economia dei quindici paesi rispetto alla filosofia esageratamente liberista degli USA e di altre realtà asiatiche. Alle imprese europee verrebbero nei fatti precluse vie di espansione e nuove opportunità offerte dal mercato del villaggio globale.

La normativa europea sulla privacy tiene in debito conto il flusso trasfrontaliero di dati e occupa un posto di rilievo sia nella Convenzione 108 del 1981sia nella direttiva comunitaria 95/46/CE e prevede che i dati possono essere esportati al di fuori dell'Unione europea in Stati che godono di un'adeguata protezione. La disciplina mira così a dotare i singoli stati membri di norme omogenee riconoscendo il principio del libero flusso dei dati il quale, però, non deve mortificare oltre misura qualunque specificità nazionale né tradursi in un ingerenza indebita negli affari interni di ciascun Paese.

Nel nostro Paese il flusso oltrefrontiera di dati è disciplinato all'art. 28 della legge n. 675/96 che prescinde dalle modalità prescelte per la trasmissione dei dati. Non è rilevante, ai fini dell'applicazione della norma, il fatto che il flusso avvenga per via informatica o telematica, nell'ambito di una INTRANET, tramite telex, telefax, trasmissioni satellitari o via cavo. Il flusso va valutato invece secondo altri parametri ai fini dell'eventuale divieto: natura dei dati, misure di sicurezza, finalità e modalità del trattamento previsti all'estero, esportazione temporanea di dati.
In Italia, così come in tutti i Paesi dell'Unione Europea, la privacy è considerata un diritto fondamentale dell'individuo, ma tale affermazione non è condivisa globalmente con conseguenti differenti posizioni su come possa essere definito il diritto alla privacy. Lo si è constatato nel corso dei lavori del Gruppo di lavoro art. 29 della direttiva e dalle conclusioni cui è pervenuto il Comitato politico previsto dall'art. 31 in materia dell'accordo sul Safe Harbor.

Tale accordo, raggiunto con la decisione del 26 luglio 2000 della Commissione, pubblicata sulla GU 25 agosto 2000, dopo due anni di negoziato, tra i 15 Paesi UE con gli Stati Uniti, mira ad assicurare ai cittadini europei, i cui dati personali, anche di tipo sensibile, siano trasferiti oltreoceano da aziende pubbliche o private, un livello di tutela adeguato, anche se non equivalente, a quello attualmente previsto nei Paesi dell'Unione.
In particolare, tale accordo prevede l'adesione volontaria e non obbligatoria delle imprese americane ad un sistema basato su un primo nucleo di principi tratti dalla direttiva europea 95/46/CE, quali: informativa agli interessati, scelta (opt - out) per i dati non sensibili, anche per cessione a terzi, consenso (opt - in) per i dati sensibili, accesso ai dati, rettifica e, in casi eccezionali, cancellazione, sicurezza delle informazioni, nonché la loro pertinenza rispetto agli scopi per i quali sono raccolte.
Ciò evita alle imprese ed alle multinazionali che esportano dati negli USA di esporsi ad interventi europei che potrebbero bloccare i trasferimenti di dati, come del resto previsto dalla direttiva europea in caso di protezione non adeguata.

Tuttavia, tale accordo non si applica ad alcune tipologie di trasferimenti, soprattutto nel settore delle telecomunicazioni, dei servizi finanziari ed al comparto non profit, così come è irrisolta la questione aperta delle imprese che non vorranno aderire all'accordo in esame.
L'accordo, concluso nel luglio del 2000, è il risultato di un lungo confronto che ha sicuramente prodotto notevoli miglioramenti sul testo originario, grazie anche al lavoro svolto dal Gruppo dei Garanti europei per la privacy (all'epoca presieduto dall'Italia), ma non pienamente soddisfacenti tanto che il Parlamento europeo e le Autorità garanti dei 15 Paesi avevano auspicato, senza successo, ulteriori modifiche allo schema, ritenendo ancora insufficienti le garanzie previste; in particolare era stata sollecitata la ricerca di idonea tutela e rispetto dei diritti dei cittadini in caso di trattamento illecito dei dati personali che li riguardino e dei danni conseguenti.

Sono comunque da registrare aspetti sicuramente positivi quali ad esempio la previsione di un organismo, la Federal Trade Commission, cui sono affidati negli Stati Uniti compiti di vigilanza e controllo sulle imprese americane che volontariamente sottoscrivono il Safe Harbour. Queste, infatti, sono tenute a rispettare le previsioni del Safe Harbor notificando la adesione all'accordo alla Commissione Federale la quale può anche infliggere sanzioni in caso di inadempimento. È prevista, infatti, in tal caso una iniziale inibitoria a conformarsi al contenuto dell'accordo, e in caso di flagrante e persistente comportamento non conforme all'espulsione dal sistema del Safe Harbor nonché alla condanna a risarcimento dei danni.
La Commissione, nei confronti della Svizzera e della Ungheria ha invece constatato che in questi Paesi vi sia un'adeguata protezione dei dati personali e pertanto non emergono problemi nel trasferimento dei dati personali.

Nonostante quanto sopra illustrato assistiamo, di fatto, ad un'inadeguatezza complessiva a livello mondiale delle regole sulla privacy.
Per armonizzare le differenti posizioni che possono apparire anche molto distanti, si è avvertita l'esigenza di individuare sedi adatte a definire una giusta soluzione che dia regole finalmente uniformi per un problema planetario. L'idea di una convenzione mondiale è stata subito abbandonata ma la Commissione europea ha previsto l'elaborazione di una Carta internazionale, con la partecipazione di privati e di gruppi sociali, che dovrebbe contenere una serie di principi volti a coordinare l'approccio dei singoli Paesi. Non è da sottovalutare poi l'importante ruolo che potrebbe svolgere l'Organizzazione mondiale del commercio (WTO) e l'OCSE; quest'ultima, in particolare, ha elaborato linee guida sulla privacy oggetto di numerose riflessioni anche in ambito comunitario.
Di questo ci si era resi ben conto nel corso della conferenza dei Garanti della privacy, tenutasi nel 1999 in Spagna a Santiago de Compostela, che concluse i lavori proprio con un documento che rilevava la necessità di fornire regole comuni di tutela su scala mondiale, capaci di conciliare le opportunità fornite dalla rete con la costruzione di un quadro di robuste garanzie per la vita privata.

La questione privacy assume quindi sempre maggior importanza sia in ambito politico sia con riguardo ai consumatori. Ciò è connesso alle accresciute attese nei confronti della information technology, nonché alla nuova consapevolezza acquisita dai consumatori e dai cittadini in generale che chiedono di essere meglio informati in merito ai loro dritti sulla privacy. Sull'altro piatto della bilancia è evidente che sui dati personali vivono molti interessi il cui valore non è mai stato quantificato ma risulta elevatissimo visto il fiorire di Datawarehouse, di applicazioni di Datamining e di filiere anche internazionali relative ad attività di compravendita di dati personali.
Nonostante ciò nelle applicazioni in rete si registra una generale sottovalutazione della questione privacy sia nel campo dell'impresa sia da parte degli stessi consumatori. Inoltre si manifesta una certa confusione su come la tecnologia può essere usata per utilizzare i dati personali.
La legislazione da sola non è sufficiente a risolvere i problemi connessi alla privacy; la legge infatti ha bisogno di soggetti che la applichino, che la osservino e le tecnologie possono sicuramente facilitare l'adempimento alle prescrizioni. Si rende così necessario promuovere e sviluppare la Privacy Enhancing Technology (PET), che è ancora agli stadi iniziali.

Il mondo delle imprese, di là dalle prescrizioni della legge, deve essere ancora convinto del vantaggio che può apportare una corretta gestione della privacy e sembra riluttante ad investire sulla tecnologia e sulla gestione della privacy. Sono pertanto necessari sforzi a livello politico per stimolare l'interesse del mondo imprenditoriale alla privacy e per incoraggiare modelli e ristrutturazioni sulla base dei PET. Basti pensare che i browser di internet, i quali costituiscono la prima interfaccia della rete, non possiedono adeguati sistemi integrati per la gestione della privacy proprio in considerazione che ciò non è ritenuto vantaggioso in termini prettamente commerciali. Ne consegue la sostanziale necessità di favorire la cultura della privacy e la consapevolezza della rilevanza di tale tema, senza sottovalutare l'attenzione da rivolgere alle tecnologie disponibili per la gestione della privacy. I vari Garanti nazionali devono avere un ruolo importante da svolgere per promuovere queste attività.

Un'ampia gamma di tecnologie, metodi e strumenti sta cominciando ad essere disponibile per la gestione della privacy. Questi sistemi rappresentano pertanto un utile approccio al problema della privacy, ma vanno gestiti in modo corretto e professionale giacché richiedono appropriate conoscenze sia per la fase dell'installazione che per l'utilizzo degli stessi. Se gli strumenti non sono ben ideati o adeguatamente integrati con le modalità di utilizzo della rete si assisterà ad una forte riluttanza ad utilizzarli proprio perché la capacità di utilizzo e l'uso delle interfacce divengono questioni prioritarie rispetto all'accettazione delle PET. Si potrebbe ad esempio mettere a punto un browser europeo che comprenda strumenti e tecnologie aderenti alla normativa a protezione dei dati personali, progettato cioè in modo da prevenire l'uso illecito o la raccolta non autorizzata.
Anche le nuove tecnologie, introdotte per aumentare la funzionalità delle reti, come Active X o Java pongono nuove minacce alla privacy; così lo sviluppo della tecnologia "mobile" (per esempio l'applicazione Wap) crea nuove opportunità di servizi a valore aggiunto ma produce inevitabilmente nuovi rischi alla privacy.

E' quindi ormai necessario e non più procrastinabile la promozione di ricerche nell'area dell'information and communication technologis (ICT) volte al rafforzamento della privacy tramite dispositivi ed applicazioni informatiche.
Lo stesso problema del crimine informatico non può essere separato dallo sviluppo delle Privacy Enhancing Technologies, e si avverte la necessità di alimentare il dibattito in quest'ambito, con la partecipazione ed il contributo di tutte le parti in causa.

Altro impegno importante potrebbe essere quello di codificare la migliore prassi nell'area della gestione della privacy. Iniziative in questo senso sono state portate avanti: basti pensare ai codici di condotta sul trattamento dei dati personali creati in ambito interno alle aziende o per interi settori. Si pensi, al riguardo, che negli USA, ben quindici associazioni commerciali nel settore dell'alta tecnologia (che rappresentano oltre 20.000 imprese) si sono coalizzate per elaborare codici basati sui fondamentali elementi a tutela della privacy (che sono poi gli elementi suggeriti dalle Linee Guida OCSE in materia di privacy) e che contemplano l'informativa, la possibilità di scelta, la sicurezza, l'accesso dei consumatori e l'accuratezza dei dati, così come in Europa sono in corso di definizione altri progetti analoghi basti pensare al Codice di condotta sul trattamento dei dati personali portato avanti dall'International Commerce Exchange (I.C.X.).

Tra gli strumenti utili a potenziare il rispetto della privacy potrebbero essere di ausilio i certificati di qualità o i meccanismi di auditing i quali offrono interessanti, anche se parziali, soluzioni.
Altro argomento che ritengo utile affrontare in questa sede è quello relativo alla legge applicabile e al foro competente per le attività svolte su reti elettroniche.
Le caratteristiche proprie del flusso di dati sono date in primo luogo dalla struttura stessa della rete che può riguardare comunità globali limitando quindi le capacità regolatorie d'interventi normativi di tipo "municipale"; la stessa velocità dello scambio, se da un lato facilita il flusso d'informazioni on line, dall'altro rende obsoleto e tardivo ogni intervento "locale" necessario a controllare gli aspetti del fenomeno; infine la non fisicità esclude ogni forma di contatto diretto tra i numerosi e diversi operatori coinvolti dal flusso d'informazioni.
I suddetti caratteri sollevano una serie di questioni giuridiche sulle quali è necessario soffermarsi.

Il tema di maggior rilevanza nell'ambito delle complesse problematiche legali di una rete che si sviluppa su più Paesi, e che tra l'altro è pregiudiziale alla soluzione di tutti gli altri, è quello dell'individuazione della legge applicabile e del foro competente per le attività ivi condotte, non potendo trovare applicazione i criteri normalmente utilizzati dalle varie leggi e dai giudici per determinare le normative applicabili a specifiche fattispecie caratterizzate da internazionalità, in quanto criteri pensati per un mondo tangibile.
Basti pensare alle regole esistenti per stabilire quale sia il giudice competente a conoscere le eventuali controversie che si basano su contatti di tipo fisico, quali ad esempio: il luogo di conclusione del contratto, quello di esecuzione dell'obbligazione, il luogo in cui si verifica l'evento dannoso, la residenza del soggetto che fornisce la prestazione, il luogo in cui si manifesta la promessa unilaterale, etc.
Una adeguata regolamentazione si rende ora necessaria per garantire gli operatori economici, ma al contempo è necessario non determinare un freno legislativo al progresso della tecnologia applicata al commercio.

Ciò che è importante evidenziare subito è che il problema della legge applicabile per i flussi di dati oltrefrontiera, si pensi ad esempio al commercio elettronico, non è solo un problema di diritto internazionale privato.
In realtà le attività svolte in rete, come fenomeno complessivamente considerato, non hanno ancora una disciplina propria, con la conseguenza che oggi le aziende si chiedono come debbano comportarsi per evitare il rischio di essere convenute in stati dall'altra parte del globo ed eventualmente condannate sulla base delle leggi ivi in vigore, molto spesso sconosciute alle stesse aziende che ne sono assoggettate.

Lo stesso Safe Harbor non ha dimostrato una adesione convinta ai principi in esso contenuti e, a parte i grandi produttori di software quali IBM e Microsoft, che ovviamente vi hanno aderito, non può ritenersi significativo di un mutamento di indirizzi da parte dell'offerta statunitense lo sparuto elenco degli aderenti; il che può solo voler significare due cose: o le stesse aziende americane non credono al potere normativo del Safe Harbor, o la costumanza dei poteri economici USA al libero mercato non gradisce limiti al potenziale contenuto nei dati personali. Quindi le politiche di privacy, molto spesso ben evidenziate nelle Home Page dei siti USA si rivelano ben poca cosa agli occhi di un cittadino europeo che abbia compreso l'importanza della protezione dei suoi dati offerta dalla direttiva europea e dalle corrispondenti leggi nazionali. Così, ogni collegamento effettuato per scaricare una correzione software dal sito Microsoft o un file Mpeg da siti di entertainement è condizionato dalla disponibilità dell'internauta a rilasciare informazioni dettagliate sulla sua persona; inoltre, quando si naviga esplorando pagine WEB sulla rete, flussi di spyware inviati dal sito estraggono dall' hard disk dell'utente informazioni utili a catalogarlo e profilarlo secondo modelli mercantili. Guai poi se, più o meno consapevolmente, si rilascia il proprio indirizzo di posta elettronica. Si sarà rapidamente bombardati da messaggi promozionali ed iscritti in archivi marketing divenendo così oggetto di interesse da parte delle più svariate proposte commerciali.

E' quindi urgente che i Garanti europei si attrezzino per fornire forme di difesa giuridiche e tecniche al popolo del ciberspazio: una semplice idea potrebbe essere proprio quella, troppo spesso annunciata ma non ancora avviata in Italia, per classificare con un sigillo di qualità quei siti che promettono una seria policy di privacy e ad essa associano metodologie organizzative che dimostrano una serietà verso il rispetto dei diritti dei consumatori, riservatezza compresa.