Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

 

 Tutela dei dati personali - Legge 675/96

Ecologia della riservatezza, ovvero una legge da rifare
di Manlio Cammarata - 19.10.98

Leggendo la "lettera aperta" al Garante per la protezione dei dati personali, inviata dall'associazione degli operatori del direct marketing, è fin troppo facile obiettare che le imprese tirano solo l'acqua al proprio mulino.
Ma il problema del "consenso implicito" al trattamento dei dati è serio, perché la lettera della legge 675 lo esclude: Il consenso è validamente prestato solo se è espresso liberamente, in forma specifica e documentata per iscritto, e se sono state rese all'interessato le informazioni di cui all'articolo 10 (art. 11. comma 3).
L'ottenimento di un consenso esplicito è dunque necessario per procedere al trattamento, e deve seguire l'informativa, altrettanto esplicita, resa dal titolare, come afferma il citato articolo 10: L'interessato o la persona presso la quale sono raccolti i dati personali devono essere previamente informati oralmente o per iscritto...

Il senso comune si ribella a queste disposizioni. Se comunico il mio indirizzo a un negoziante affinché mi mandi a casa ciò che ho acquistato, è assolutamente evidente che lui userà questo dato per inviarmi la merce e lo comunicherà al fattorino, come è scontato il mio consenso a questo tipo di trattamento.
Ma la legge sul trattamento dei dati personali non prevede questa banale eventualità. Sicché ogni giorno si verificano milioni di violazioni formali degli articoli 10 e 11, perché nessuno ne osserva le disposizioni in tutti i casi in cui un trattamento di dati personali appare ovvio per lo svolgimento delle normali incombenze quotidiane. Pensiamo a un'operazione come il pagamento di una somma con un bollettino di conto corrente postale. L'impiegato dietro lo sportello dice (un decreto legislativo ha corretto il testo originario della legge, stabilendo che l'informativa può essere resa anche oralmente): "Egregio signore, la informo che i dati personali che lei ha scritto sul bollettino saranno trattati con sistemi automatizzati e manuali al fine di accreditare la somma indicata; saranno conservati per X anni; lei ha diritto di (l'impiegato legge l'articolo 13)... firmi qui, per favore" e gli presenta il modulo del consenso, perché per questo non è prevista la forma orale.

Per fortuna gli italiani (escluso il legislatore) hanno il senso del ridicolo e scene come questa non si verificano. Ma se ne verificano altre, che dovrebbero far riflettere su che cosa si debba veramente intendere per "protezione dei dati personali". L'episodio che segue mi è capitato qualche tempo fa ed è abbastanza comune.
Strada statale nei dintorni di Roma, è passata la mezzanotte. Lampeggiante blu, i fari illuminano berretti e bandoliere, la scritta CARABINIERI si staglia nel buio. Si alza la "paletta".
"Buonasera. Favorisca patente e carta di circolazione".
Il carabiniere prende i documenti e va verso la "gazzella", dove un brigadiere trascrive i dati usando come scrivania il tetto della vettura. Non compie alcun controllo, non usa la radio né il terminale che presumibilmente è attaccato al cruscotto. Il primo carabiniere torna verso di me: "Può andare, buonanotte".

Ora domando: perché le forze dell'ordine raccolgono i dati di un cittadino qualunque, per il solo fatto che è passato a una certa ora in un certo luogo? Chi custodisce queste informazioni? A quale scopo? Per quanto tempo? Chi vi ha accesso? Sono destinate a essere comunicate a qualcuno? Ho il diritto di verificarne l'esattezza e di chiedere che vengano cancellate? Perché non mi vene resa anche oralmente l'informativa prescritta dalla legge?
Perché, questo è il bello, sembra che la legge lo consenta: il comma 2 del solito articolo 10 dice che l'informativa di cui al comma 1 può non comprendere gli elementi già noti alla persona che fornisce i dati o la cui conoscenza può ostacolare l'espletamento di funzioni pubbliche ispettive o di controllo, svolte per il perseguimento delle finalità di cui agli articoli 4, comma 1, lettera e), e 14, comma 1, lettera d).
Se andiamo a vedere le disposizioni richiamate, può darsi che l'interpretazione appaia un po' tirata per i capelli, ma la sostanza è questa: la legge 675/96 impone una serie di obblighi inutili quanto onerosi per una serie di trattamenti del tutto inoffensivi, ma li esclude - o quanto meno li attenua - in alcuni casi in cui è più concreto il rischio di un'effettiva violazione della riservatezza.
E si potrebbero fare molti altri esempi.

Misteriose sparizioni

Si dirà: i limiti del testo erano ben presenti al legislatore, tanto che ha varato la 675 con a rimorchio la scialuppa della legge-delega 676. Delega scaduta dopo essere stata attuata solo in piccola parte e rinnovata dalla legge n. 344 del 6 ottobre scorso, mentre non è difficile prevedere altre proroghe a causa del gran numero di materie che dovrebbero essere regolate dai decreti legislativi. Senza contare le ulteriori "correzioni" che dovranno essere introdotte per adeguare alla realtà molti aspetti della normativa.

Alla fine - se mai vi sarà una fine di questo calvario legislativo - si avrà una normativa così complicata, fatta di regole, eccezioni ed eccezioni alle eccezioni, da essere ancora più inapplicabile di quanto sia oggi. Senza contare, poi, i rischi che le norme si perdano per la strada.
Per esempio, che fine ha fatto il regolamento sulle misure di sicurezza, che avrebbe dovuto vedere la luce un anno fa? Erano state fatte circolare delle bozze così assurde da sembrare apocrife, poi più nulla. E che fine ha fatto il decreto legislativo approvato dal Consiglio dei Ministri il 22 luglio scorso sui trattamenti svolti dagli enti pubblici?
Il testo era stato oggetto di critiche vivaci, perché di fatto lasciava alle amministrazioni margini discrezionali troppo ampi, grazie ai soliti giochini delle regole e delle eccezioni. Ora si apprende in via ufficiosa che non è stato promulgato dal Presidente della Repubblica (o che non è nemmeno arrivato al Quirinale)... Forse la sua navigazione è stata opportunamente e silenziosamente fermata da un siluro lanciato dal Garante, ma questo modo di legiferare - o di non legiferare - non giova certo al completamento e all'applicazione della normativa e alla certezza del diritto.

Ancora. E' difficile prevedere se e quando vedrà la luce il "registro generale dei trattamenti" che deve essere tenuto dal Garante ai sensi dell'articolo 31, primo comma. E' uno dei punti più assurdi della legge, perché dovrebbe servire al cittadino per sapere se qualcuno tratta dati che lo riguardano, quindi dovrebbe contenere l'elenco dei titolari e, per ciascuno di essi, l'elenco dei nominativi degli interessati (una specie di Grande Fratello). Però nella notificazione - per fortuna! - i titolari non devono mettere la lista degli interessati, mentre il Garante dovrebbe compilare l'elenco sulla base delle notificazioni ricevute. Dunque dovrebbe pubblicare le informazioni che non ha e non può avere. Come la mettiamo?

Cambiare strada

Il merito della 675/96, è stato detto più volte, è di aver diffuso tra i cittadini la consapevolezza dei propri diritti sulle informazioni personali che riguardano ogni individuo. Questo risultato è stato ottenuto anche grazie a una sorta di imprevisto effetto secondario delle polemiche che hanno accompagnato la discussione e la prima applicazione della normativa.
Ma ora è sempre più evidente che la legge non ha svolto e non può svolgere il suo compito più importante: quello di creare un "ambiente" in cui la riservatezza di ogni cittadino sia tutelata come un diritto primario, e non di introdurre procedure burocratiche onerose quanto inefficaci. Si deve definire una sorta di "ecologia della riservatezza", per la quale è necessaria una legge che abbia come fine primario la tutela del diritto di ciascuno di disporre dei propri dati, mentre oggi abbiamo un testo che regola - male - il trattamento dei dati stessi. Non a caso, sui quarantacinque articoli che compongono il testo principale (senza considerare le appendici legislative e regolamentari), uno solo è specificamente dedicato ai diritti dell'interessato.

Si deve cambiare strada. Si deve prendere atto che la legge 675/96 non solo è nata inapplicabile, ma che non bastano le deleghe legislative e le acrobazie interpretative del Garante per renderla efficace. Dunque è il caso di pensare a una nuova legge, fatta di poche e chiare norme di principio, da applicare sulla base di regolamenti semplici e flessibili.
Qualcuno osserverà che per fare una nuova legge ci vuole troppo tempo. Ma quanto ce ne vorrà per far funzionare questa, a forza di decreti legislativi, provvedimenti del Garante e comunicati stampa?