Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

 

 Tutela dei dati personali - Legge 675/96

Il trasferimento dei dati personali sull'internet
di Juri Monducci - 22.06.99

La disciplina generale dell'articolo 28 della legge 675/96

La legge 675/96 non si limita a regolare i trattamenti in essere nel territorio italiano, ma ha un'influenza a livello mondiale. Tant'è vero che parte rilevantissima della disciplina dei dati personali è dedicata della loro circolazione, soprattutto verso e da paesi stranieri.
Si deve infatti considerare che la tutela della riservatezza si scontra con opposti principi, quali quello della libera informazione (mass media e "circolazione delle idee"), dello sviluppo degli scambi economici, della libera concorrenza nonché, soprattutto, quello concernente l'incremento della circolazione delle informazioni via internet. Non si dimentichi, inoltre, che il trasferimento dei dati potrebbe essere posto in essere proprio al fine di eludere l'applicazione della protezione offerta dagli stati ai dati personali.

L'articolo 28 della legge 675/96 affronta tale problema.
La norma infatti ha ad oggetto il "trasferimento" dei dati all'estero comprendendovi altresì quello "temporaneo": con tale inciso il legislatore ha voluto comprendere non solo l'invio delle informazioni in un territorio straniero, bensì anche la sola permanenza momentanea, quando cioè i dati vengono inviati all'estero per poi essere reimportati nell'ambito nazionale. La stessa norma vuole anche preoccuparsi di coprire espressamente qualsiasi mezzo di trasmissione, quando dice appunto che il trasferimento di cui si parla è quello effettuato "con qualsiasi forma e mezzo". In questo senso l'invio potrebbe avvenire mediante supporto magnetico, informatico o telematico, mediante invio postale o trasporto materiale, mediante telefax, ecc...

L'articolo 28, distingue, per le modalità del trasferimento, i dati comuni dai dati sensibili. Per poter infatti procedere al trasferimento è necessario notificare al Garante tale intenzione (in particolare l'articolo 7, comma 3, lettera e) prevede l'obbligo di indicare nella notifica gli eventuali trasferimenti dei dati sensibili e giudiziari fuori dal territorio nazionale). La differenza tra i dati comuni e i dati sensibili sta nel fatto che per i primi è necessario notificare al Garante l'intenzione di procedere al trasferimento verso un paese non appartenente all'Unione Europea, mentre per i secondi è necessario notificare al Garante l'intenzione di trasferirli anche verso paesi dell'Unione.
La notificazione non è però sufficiente. Al titolare è anche imposto il dovere di attendere 20 giorni dalla data della notificazione per poter dare il via al trattamento (rectius, trasferimento) qualora si tratti di dati sensibili, oppure di quindici giorni qualora si tratti di dati comuni.
Il termine ha uno scopo ben preciso: serve per consentire al Garante di vietare il trasferimento. Cosa che può fare ove il Paese di destinazione non assicuri un livello di tutela adeguato a quello italiano. E per quanto riguarda il trasferimento dei dati sensibili è prevista una condizione più rigorosa: il livello di tutela deve essere "pari" a quello italiano.

Per esprimere giudizio di tal natura il legislatore ha istruito il Garante: deve tenere in considerazione le modalità del trasferimento e dei trattamenti previsti, le relative finalità, la natura dei dati nonché le misure di sicurezza; non viene però preclusa la possibilità di valutare altre circostanze; e questo grazie all'inciso "anche" che precede l'elencazione suddetta. La decisione del Garante, non deve quindi ritenersi discrezionale; inoltre il trasferimento può anche essere vietato successivamente al trascorrere del periodo prescritto dalla legge, ma in questo caso il provvedimento non ha efficacia ex tunc (Buttarelli, Banche dati e tutela della riservatezza, Giuffrè, 1997).
Contro il divieto del Garante il titolare della banca dati ha però la possibilità di presentare opposizione al Tribunale del luogo, che decide secondo le regole del procedimento in camera di consiglio (articolo 29, comma 7, che rinvia agli artt. 737 ss. c.p.c.).

I casi "speciali" di trasferimento

Vi sono dei casi in cui il trasferimento all'estero è comunque consentito (non essendovi la possibilità del Garante di vietarlo). Tra questi è compreso il caso classico del consenso dell'interessato che, ovviamente, nell'ambito dei dati sensibili, deve essere scritto (in relazione al combinato disposto degli artt. 11 e 28, ritengo che tale forma deve essere richiesta a pena di invalidità del trasferimento stesso). L'articolo 28, comma 4, lettera a) prevede infatti che il consenso dell'interessato deve essere manifestato espressamente ovvero, quando riguarda i dati sensibili o giudiziari, per iscritto.

Il trasferimento stesso è consentito anche quando si tratta di adempiere ad obblighi contrattuali di cui sia parte l'interessato (o nei quali sia il beneficiario dei diritti del rapporto contrattuale, come nel caso del contratto a favore di terzo) oppure al fine di raccogliere informative precontrattuali attivate dall'interessato stesso. Imitando le ipotesi di cui agli artt. 12 e 20, il trasferimento è possibile senza consenso dell'interessato anche qualora abbia il fine di salvaguardare un rilevante interesse pubblico indicato dalla legge o dal regolamento nonché quando sia necessario ai fini dell'esercizio del diritto alla prova di cui all'articolo 38 disp. att. c.p.p. o per far valere o difendere in giudizio un diritto.

Il Garante, ovviamente, non può nemmeno vietare il trasferimento dei dati operato al fine di salvaguardare la vita o l'integrità fisica dell'interessato o di un terzo se lo stesso si trovi nell'impossibilità di prestare il consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere e di volere ovvero quando sia necessario per ottemperare alla richiesta di accesso ai documenti amministrativi o alla richiesta di informazioni estraibili da un pubblico registro, elenco, atto o documento conoscibile da chiunque.

Facendo seguito anche ad un episodio analogo accaduto in applicazione della normativa francese sulla protezione dei dati, lo stesso comma prevede il caso in cui il trasferimento sia possibile su autorizzazione del Garante quando, nonostante la normativa straniera non assicuri un livello di tutela adeguato, i diritti dell'interessato sono comunque garantiti da un contratto stipulato con i soggetti che importano/esportano dati personali. In questa previsione può quindi farsi rientrare il caso delle società collegate o controllate che, stipulando appositi "contratti di garanzia" dei diritti dei terzi, possono trasferire liberamente i dati personali su autorizzazione particolare del Garante.
Il caso accadde in rapporto allo scambio di dati tra la Fiat italiana e quella francese, per cui l'autorità di Garanzia d'oltralpe acconsentì al trasferimento anche in mancanza di una legislazione protettiva italiana (la richiesta di autorizzazione venne infatti presentata nel 1989, quando ancora l'Italia non si era adeguata alla Convenzione 108) siccome le due società avevano previsto specifiche garanzie contrattuali. La possibilità di permettere comunque il flusso transfrontaliero di dati, anche senza una legislazione nello stato importatore, è del resto ammessa anche dalla raccomandazione N.R. (91) del 9 settembre 1991 del Consiglio d'Europa, sulla comunicazione a terzi di dati personali detenuti da organismi pubblici.

Appare necessario cercare di capire cosa vuole dire il legislatore quando dice che, in tali casi, il trasferimento "è comunque consentito". Una parte della dottrina ritiene che la notificazione sia comunque richiesta, altrimenti si impedirebbe il controllo del Garante (Barbuto, Regime speciale per la pubblica amministrazione e disciplina ad hoc sui trasferimenti all'estero, in Giuda al diritto, 1997, 4); altri ritengono che il consenso sarebbe sufficiente per ammettere il trasferimento senza ulteriori formalità (Imperiali, Imperiali, La tutela dei dati personali, Il sole 24 ore, 1997); voce ancora più autorevole vuole invece che la notificazione sia sempre necessaria senza però che il titolare sia tenuto ad attendere il trascorrere dei 20 o dei 15 giorni (Buttarelli, op. cit). Quest'ultima interpretazione appare la più aderente al testo di legge, se si considera che la notificazione risulta un obbligo, non derogando il comma 4 a nulla se non alla possibilità del Garante di vietare il trasferimento (ed è per questo che Buttarelli non ritiene che sia necessario attendere il trascorrere del termine legale).

L'articolo 28 e la normativa comunitaria

Problemi rilevanti l'articolo 28 pone in relazione alla normativa comunitaria, la cui direttiva 46 del 95 aveva previsto che il legislatore nazionale potesse limitare il trasferimento dei dati solo qualora il livello di protezione dello stato terzo non fosse "adeguato": e mentre la normativa italiana ha adottato questa previsione per i dati comuni, al contrario ha previsto che per i dati sensibili il livello di protezione debba essere "di grado pari".
La stessa direttiva, all'articolo 1, comma 2, vieta addirittura agli stati di restringere o vietare la libera circolazione dei dati personali tra stati membri, per motivi connessi alla tutela. Cosa che invece, a mio parere, il legislatore ha fatto in relazione ai dati sensibili, ove appunto non prevede distinzioni tra paesi UE o extra UE e, in particolare, ove prevede che i dati non possano essere trasferiti ove il grado di tutela dei dati non sia "pari" a quello nazionale.
Oltretutto l'Italia, con tali disposizioni potrebbe essersi messa in condizioni di non poter rispettare determinate decisioni, se si considera che l'articolo 25, comma 5 e 6 della direttiva prevede che la Commissione europea può constatare che un paese extra UE garantisca un livello di protezione dei dati adeguato, così che gli stati membri risultano obbligati ad adottare misure idonee per adeguarsi alle decisioni della commissione.

Ma il nostro stato prevede che non è sufficiente che il livello di tutela sia adeguato, come invece potrebbe ritenere la Commissione, così che risulterebbe impossibile adeguarsi a decisioni in contrasto con la normativa nazionale: risulta così pensabile adire la Corte Costituzionale per lamentare l'illegittimità della disposizione dell'articolo 28 in contrasto con la direttiva CE, per indiretta lesione dei principi di cui all'articolo 11 Cost. (essendo comunque sempre percorribile la strada della disapplicazione della normativa italiana in contrasto con quella comunitaria).

Si è appena visto che il Garante ha la possibilità di vietare il trasferimento anche valutando, a tal fine, le finalità del trasferimento e dei trattamenti previsti. In proposito, lo stesso articolo 9 prevede l'obbligo di raccogliere e registrare i dati personali per scopi determinati, di utilizzarli in altre operazioni del trattamento in termini non incompatibili con tali scopi (articolo 9, comma 1, lett. b) nonché di trattarli in modo pertinente e non eccedente "rispetto alle finalità per le quali sono raccolti o successivamente trattati".
Ma appare necessario chiedersi quali siano le conseguenze se i dati, una volta trasferiti in territorio straniero vengano utilizzati per finalità differenti rispetto a quelle per cui si era proceduto al trattamento in territorio italiano e a quelle in base alle quali il Garante non ha vietato il trasferimento stesso. Una volta che il trattamento non ha più sede in Italia, infatti, nessuna autorità nazionale ha più competenza, se non quella di vietare l'ulteriore trasferimento dei dati ancora in essere all'interno del territorio (la cui inosservanza comporta responsabilità penale e civile). Del resto, pur dovendo essere la normativa straniera di grado pari a quella italiana, non è detto che preveda il rispetto delle finalità. Soccorrono, a tal punto, solo le sanzioni di legge: colui che era a conoscenza della diversa finalità che avrebbero assunto i dati in territorio straniero e, nonostante tutto, l'abbia taciuto, risponderà del reato dell'articolo 34 (omessa o infedele notificazione) mentre chi continua a trasferire i dati nonostante il divieto del Garante risponderà del reato di cui all'articolo 35, comma 2 (trattamento illecito di dati personali): punibile sarà qualsiasi persona che tale delitto abbia commesso nel territorio del nostro stato, cittadino o straniero che sia; e vi sarà anche la possibilità di ottenere la condanna al risarcimento del danno patrimoniale e non patrimoniale ai sensi dell'articolo 18 e, soprattutto, dell'articolo 29, comma 9, che sanziona civilmente la condotta contraria all'articolo 9. Purtroppo una vera e propria tutela reale, nel senso di impedire il proseguimento del trattamento stesso, non potrà che essere affidata alla normativa del luogo.

Secondo il disposto della norma stessa, l'articolo 28 non è applicabile al trasferimento operato nell'esercizio della professione di giornalista, purché il trasferimento sia necessario per perseguire le finalità della professione. Così che, qualora il trasferimento dei dati sia posto in essere dal giornalista per fini che non risultano essere quelli propri dell'attività giornalistica, esso diventa soggetto ai precetti dell'articolo 28.

Il trasferimento dei dati sulla rete

Altro rilevante problema viene sollevato qualora si inseriscano dati in una pagina WEB sita in un server italiano. In questo caso si deve ritenere che il momento del trasferimento coincida solo con quello in cui l'utente straniero legge la pagina così registrandola nella memoria RAM. Ma il problema principale sorge qualora si deve individuare il paese da indicare nella notificazione ovvero il paese che deve essere oggetto di analisi circa i requisiti della sua legislazione. Un autorevole autore (Buttarelli, op. cit.), prospettando soluzione a livello internazionale, ritiene possibile, allo stato attuale, fare in modo di impedire l'accesso alla pagina WEB di quegli utenti residenti in una nazione dalla quale non si desiderano "visite". BUTTARELLI suggerisce infatti di predisporre appositi disclaimers (la tecnica è utilizzata in particolare dai siti pornografici, in cui appositi disclaimers informano gli utenti infradiciottenni del divieto di proseguire nella navigazione) o mezzi tecnici quali i confini territoriali on the ground.

In verità, per definizione, è estremamente difficile, se non impossibile, impedire l'accesso a determinati utenti alla rete, perché il mondo internet è un sistema "aperto".
Si ritiene possibile, da più parti (RASTELLI, progetto e realizzazione di un sistema firewall per la protezione di una rete di calcolatori, Tesi di laurea in Rete di calcolatori, Facoltà di Ingegneria, Università di Bologna), l'uso di un firewall (sistema composto da un computer, uno screaning router con funzioni di filtro) al fine di impedire l'accesso alla rete locale (al sito situato in un determinato server). In questo modo si consentirebbe al router di filtrare i numeri IP (identificativo univoco degli elaboratori a livello mondiale distribuiti da un apposito organismo internazionale denominato INTERNIC) da cui proviene la chiamata, impedendo l'accesso (o permettendo l'accesso) solo ad alcuni numeri IP.
Configurando il firewall in modo tale che sia in grado di escludere tutti i numeri appartenenti ad una determinata rete, lo stesso sarebbe in grado di impedire l'accesso agli elaboratori siti in un determinato locus. Questo in quanto l'INTERNIC assegna ad ogni soggetto determinati indirizzi appartenenti ad una medesima rete, così che risulta semplicissimo venire a conoscenza del paese in cui tali indirizzi sono stati venduti.

Tuttavia, il fatto che un determinato "acquirente" sia divenuto proprietario degli indirizzi IP cedutigli dall'INTERNIC, gli dà il diritto di procedere ad ulteriore cessione, così che lo stesso può assegnarli ad un paese straniero. Così facendo appare evidente come gli indirizzi assegnati ad un paese che possiede un sistema di protezione dei dati di "grado pari" a quello italiano, sia libero di vendere agli Stati Uniti (che ancora non possiedono una normativa nemmeno adeguata) gli indirizzi stessi, così eludendo il sistema di protezione della rete. Lo screening router, infatti, riconoscendo l'indirizzo IP come proveniente da un paese autorizzato, non sarebbe in grado di verificare la reale provenienza, così permettendo l'accesso a utenti di Paesi non abilitati.

Un altro sistema per procedere ad impedire l'accesso ai "non autorizzati", in relazione allo stato di chiamata, potrebbe essere quello di avvantaggiarsi dell'uso di apposito software, il DNS (domain name server), il quale ha il potere di identificare, partendo dal numero IP, l'alias assegnato al sito o viceversa (sarebbe pertanto in grado di verificare che la chiamata proveniente da cirfid.unibo.it proviene dall'IP 137.204.114.1 e viceversa). In questo modo, inserendo un altro firewall sarebbe possibile escludere tutti i chiamanti dai siti, ad es., del Taiwan che, conseguentemente, hanno il dominio .tw. In realtà anche tale sistema si rivelerebbe inefficace, per due motivazioni. Innanzitutto nulla esclude che un utente di un determinato Paese abbia un sito con un dominio di un altro paese, così che risulterebbe superfluo il controllo (si pensi anche solo ai siti italiani aventi dominio .com). Inoltre, dovrebbe essere necessario inserire nel filtro tutti gli indirizzi da escludere. E mentre tale sistema potrebbe essere utilizzato per quei Paesi in cui la rete delle reti non è molto sviluppata (ad es. in Somalia), tale operazione risulterebbe improponibile per altri Stati, come ad es. gli U.S.A. o la Germania.

Nemmeno la tecnica di chi suggerisce l'uso dei disclaimers ritengo sia opportuna: tali ultimi sono dei messaggi di avvertimento con i quali il titolare della pagina WEB avverte l'utente che, non avendo determinati requisiti, non può accedere alle pagine successive. Tale sistema, tuttavia, non è impeditivo. Esso non consente il controllo dell'identità dell'utente. Così che se un messaggio recitasse (utopicamente) "si avverte che le pagine successive contengono dati personali e che la normativa italiana ed europea sulla tutela della riservatezza vieta l'accesso agli utenti degli Stati Uniti, del Burundi, della Repubblica Sudafricana e dello Zimbabwe. Si rende noto il divieto di continuare nel percorso", nulla potrebbe impedire agli abitanti di tali Paesi di accedere e il titolare del trattamento dei dati italiano sarebbe comunque responsabile, soprattutto in considerazione della sua consapevolezza dell'inutilità di tali "rimedi".

Da alcune parti si prospetta un suggerimento. Sarebbe sufficiente permettere l'accesso alle pagine contenenti dati personali protetti ai soli soggetti chiaramente e certamente individuati. Tale certezza può aversi assegnando ai fruitori del servizio una parola chiave, un codice d'accesso, preceduto da una verifica attenta dei dati anagrafici. In realtà anche tale sistema è a mio parere inopportuno, per una ragione giuridicamente comprensibile. Il fatto che il titolare del trattamento abbia la certezza che i dati vengono comunicati ad un soggetto avente residenza e cittadinanza in un Paese con la legislazione "a norma", non significa che tale soggetto si colleghi da tale Stato. Egli infatti potrebbe collegarsi da un altro Paese, e non si dimentichi che la normativa italiana parla di "trasferimento di dati all'estero" e non di "comunicazione di dati a cittadini stranieri".

In ultima analisi, pertanto, non c'è un sistema tecnico praticabile per limitare la diffusione delle informazioni sulla rete. Di questo il legislatore dovrebbe tener conto, fermo restando che allo stato attuale i dati personali possono essere "inseriti" in rete solo in presenza del consenso dell'interessato o degli altri casi di cui all'articolo 28, comma 4.