Il sistema delle garanzie della privacy nell’ordinamento italiano è inserito in un ciclo (normativo) a carattere fortemente evolutivo, che in rapide scansioni temporali amplia la tipologia delle fonti regolatrici, crea una nuova morfologia di interventi, adegua la sua precettistica, rinnova il suo strumentario.
Tra le forme di tutela più avanzate va assumendo rilievo crescente la formazione di codici deontologici.
Già la legge base del 1996 ha dato impulso ad una produzione di regole elaborate direttamente dai soggetti interessati nell’ambito di determinati settori, a seguito di un atto propulsivo del Garante della privacy ed in costante correlazione con i suoi poteri di indirizzo e di controllo.
Tale tipo di formazione di regole introduce, per alcuni rilevanti profili, una riarticolazione del sistema normativo che esula dal tradizionale ordine delle fonti.

La codificazione autodisciplinare presenta quale nota dominante e caratterizzante una linea continua di evoluzione e di trasformazione. Sicché nell’arco temporale dalla legge 675 del dicembre 1996 al decreto legislativo 467 del dicembre 2001 la morfologia dei codici di autoregolamentazione si estrinseca in una tipologia che la elaborazione dottrinale classifica in codici di prima, seconda e terza generazione.
E, in correlazione col rinnovarsi del modello giuridico, si intensifica il ruolo propulsivo del Garante e la sua polifunzionalità; e soprattutto si accentua l’influsso delle regole e dei principi comunitari sui contenuti dei codici. I quali (particolarmente quelli di terza generazione) esprimono sempre più l’intreccio tra fonti comunitarie e fonti di diritto interno, rispecchiando il processo di comunitarizzazione (o europeizzazione) del sistema giuridico nazionale.

Anzi la dottrina più avanzata pone in rilievo la crescita di tale osmosi fra ordinamento comunitario e ordinamenti nazionali, individuando i caratteri di un ordinamento binario (a due livelli) nel quale vanno ricompresi gli eventi normativi inerenti ai settori più moderni quali la privacy, il sistema delle comunicazioni, il commercio elettronico, etc.
La matrice della codificazione di autoregolamentazione si rinviene nella direttiva comunitaria dell’ottobre 1995, la quale demanda agli stati membri dell’UE. il compito di incoraggiare l’elaborazione dei codici e affida alle autorità di garanzia nazionali la verifica della conformità dei progetti elaborati alla normativa di tutela della privacy.

Nel 1997 il Gruppo di lavoro per la tutela delle persone fisiche con riguardo al trattamento dei dati personali (di cui all’art. 29 della direttiva 95/46/CE), ha elaborato un documento (DG XV D/5020/97) concernente l’autodisciplina settoriale, con particolare riguardo all’incidenza di questa sul livello di tutela dei dati in un determinato Paese.
In tale documento viene ribadito che, nella valutazione del contenuto dei codici, bisogna anzitutto accertare che siano compresi i "principi sostanziali" in materia di tutela della riservatezza rispetto al trattamento dei dati personali: quello della qualità e della proporzionalità dei dati, il principio della trasparenza, il principio della sicurezza, i diritti di accesso, rettifica e opposizione, nonché l’esigenza di una tutela rafforzata per i dati sensibili.

Al momento della redazione dei codici, inoltre, si deve tenere conto dell’omogeneità e della rilevanza del soggetto che si pone come rappresentativo degli interessi del settore nella stesura del codice. In tal senso, assume particolare rilievo il problema della rappresentatività. Laddove esista un ordine o un collegio professionale, tali organismi sono chiamati a svolgere un ruolo decisivo nell’adozione del codice, pur restando al Garante il potere di verificarne la conformità alle leggi e ai regolamenti e di contribuire a garantirne la diffusione e il rispetto. Quando, invece, non esistono ordini o collegi professionali, il codice deve essere elaborato pur sempre nell’ambito della categoria maggiormente rappresentativa del settore, ferma restando la possibilità della coesistenza di più codici nel caso in cui non sia possibile raggiungere una posizione unitaria dei diversi interlocutori.

La legge n. 675/1996, e in particolare l’art. 31, comma 1, lett. h), pur non delineando organicamente l’iter del procedimento per l’adozione dei codici, prevede che il Garante debba promuoverne la sottoscrizione, nel rispetto del principio di rappresentatività delle categorie interessate, e che debba verificarne la conformità alle leggi e ai regolamenti nonché contribuire a garantirne il rispetto e la diffusione.

Tra i codici di prima generazione merita un rilievo a parte il codice deontologico dei giornalisti. Esso è configurato in modo particolare dall’art. 25 della legge n. 675/1996 come modificata nel 1998, prevedendosi, fra l’altro, che debba essere adottato dal Consiglio nazionale dell’ordine dei giornalisti entro sei mesi dall’invito in tal senso formulato dal Garante. Durante la sua elaborazione, il Garante può anche indicare "misure ed accorgimenti a garanzia degli interessati, che il consiglio è tenuto a recepire".
In caso di inerzia del Consiglio, il codice è invece adottato in via sostitutiva dal Garante, mentre nell’ipotesi di violazione delle prescrizioni contenute nel codice di deontologia, l’Autorità può vietare il trattamento ai sensi dell’articolo 31, comma 1, lettera l).

Il codice deontologico del giornalismo costituisce attualmente in Italia una fonte di primaria rilevanza nel bilanciamento e nel raccordo fra i diritti dell’informazione (che rappresentano pur sempre la linfa vitale della democrazia) e i diritti spettanti ai cittadini in materia di tutela della riservatezza. Il codice si è basato sulla profonda convinzione che un giornalismo maturo e responsabile deve rispettare i limiti connessi alla dignità delle persone.

In ordine di tempo il d.lg. 11 maggio 1999, n. 135, quale modificato dal d.lg. 30 luglio 1999, n. 282, nonché il d.lg. 30 luglio 1999, n. 281 hanno previsto un ulteriore sviluppo: si tratta dei codici deontologici e di buona condotta relativi ai dati personali utilizzati per finalità storiche, statistiche, di ricerca scientifica, nonché di quelli utilizzati dagli operatori sanitari. Ed essi vanno ricompresi nel novero dei codici di seconda generazione.

Una delle loro caratteristiche più rilevanti attiene al profilo che, qualora si contravvenga alle loro disposizioni, il trattamento diviene illecito perché contrario alla legge n. 675/1996. Il rispetto delle disposizioni contenute nei codici, infatti, costituisce una condizione essenziale per la liceità e la correttezza del trattamento dei dati (art. 6, comma 2, d.lg. n. 281/1999).
Il tratto evolutivo consiste nella loro sfera di efficacia che non è più soltanto intracategoriale, ma diventa ultracategoriale e cioè fonte di diritto oggettivo.
L’inottemperanza rileva poi sia sul piano disciplinare, sia ai fini della valutazione della colpa in caso di danno (art. 18, legge n. 675/1996). Le disposizioni deontologiche diventano quindi "obbligatorie", con una vera e propria funzione integrativa della legislazione.

I codici di terza generazione

Il d.lg. 467/2001 apre la nuova fase dei codici di terza generazione, caratterizzata dall’ampliamento della loro efficacia e dalla forte rilevanza delle materie fondamentali che essi vanno a disciplinare.
Il decreto prevede che nella redazione di tali codici si debba tenere conto delle Raccomandazioni del Consiglio d’Europa (citate nella legge-delega n. 676 del 1996) e che le disposizioni in esse contenute siano rilevanti per stabilire se un trattamento è lecito.
Una ulteriore caratteristica consiste nella previsione che i codici medesimi (oltre ad essere pubblicati nella Gazzetta Ufficiale) siano successivamente allegati al testo unico delle disposizioni in materia di protezione dei dati personali.

La codificazione autodisciplinare cosi prevista (e cioè i codici di terza generazione) pone in risalto due aspetti fortemente innovativi: a) il ruolo del Garante; b) l’incidenza delle fonti comunitarie.
Quanto al primo profilo, il ruolo assegnato al Garante non è quello di promoter o starter (cioè meramente propulsivo), ma include un ampio potere di indirizzo e di controllo, consistente nell’esame dei titoli di legittimazione rappresentativa dei soggetti elaboratori delle regole; e inoltre nella valutazione della conformità dei progetti normativi ai principi della legislazione in materia di dati personali, nonché ai criteri direttivi della normativa comunitaria e delle Raccomandazioni adottate dal Consiglio d’Europa.

Quanto al secondo profilo, la codificazione deontologica si configura come il punto di confluenza di tre fattori: gli atti comunitari (e specificamente le Raccomandazioni del Consiglio d’Europa), i poteri propulsivi e di indirizzo del Garante della privacy, l’elaborazione, da parte dei soggetti interessati (aventi titoli rappresentativi) delle regole di autodisciplina.
Si realizza, per tal modo, uno dei maggiori valori innovativi, cioè il policentrismo delle fonti di sistemi giuridici avanzati, ordinati su più livelli (i c.d. "ordinamenti binari").

Si tratta di elaborare sette codici concernenti i più importanti campi, di operatività sia della privacy e sia di altri diritti costituzionalmente protetti. E tra essi mi limito a indicarne due: l’uno si riconnette al vitale settore della comunicazione on-line e riguarda il trattamento dei dati personali effettuati dai fornitori (i providers) di servizi di comunicazione e informazione offerti per via telematica, con particolare riguardo ai criteri per assicurare ed uniformare una più adeguata informazione e consapevolezza degli utenti delle reti di telecomunicazione gestite da soggetti pubblici e privati. Emerge la finalità di favorire una più ampia trasparenza e correttezza nei confronti degli utenti, anche ai fini dell’eventuale rilascio di certificazioni attestanti la qualità delle modalità prescelte e il livello di sicurezza assicurato. E’ da rilevare che in tal modo possono trovare soluzione anche specifici problemi connessi al pianeta Internet, che ancora attende una regolamentazione necessaria e sufficiente.

L’altro codice concerne il trattamento dei dati necessari per finalità previdenziali o per la gestione dei rapporti di lavoro, tracciando per tal modo criteri e principi in un campo di centrale interesse per i suoi valori sociali e produttivi.

Ed ora un rilievo di diritto comparato. La produzione di regole mediante codici deontologici non è un dato caratterizzante solo dell’ordinamento italiano, ma anche (in base alle direttive europee) di altri partners dell’Unione europea.

Tra questi merita di essere citata per il suo ordine sistematico la nuova legge federale tedesca in materia di protezione dei dati personali, che recepisce la direttiva 95/46/CE approvata dal Bundestag il 23 maggio del 2001. Anche la maggior parte dei Länder ha successivamente modificato o rinnovato la propria legislazione in materia, per uniformarsi alle disposizioni generali della normativa federale; in particolare, la nuova legge sulla protezione dei dati personali per la città-stato di Berlino è stata approvata il 12 luglio del 2001. Rispetto a quella precedente del 1990, la legge federale presenta significative innovazioni, che erano necessarie per adeguare la normativa alle disposizioni comunitarie.

Colgo l’occasione per ricordare che già nell’ottocento era presente all’attenzione dei maggiori giuristi germanici la problematica della tutela dei diritti dell’uomo (tra cui oggi, dopo la direttiva europea del 1995, noi inscriviamo la privacy). E’ da rilevare che il maestro di Heidelberg George JELLINEK, autore di una grande opera quale "DAS SYSTEM DER SUBJEKTIVEN ÖFFENTLICHEN RECHTE" elaborò, poi, in un suo scritto "DIE ERKLÄRUNG DER MENSCHEN UND BÜRGERRECHTE" l’analisi di tale fondamentale categoria di situazioni soggettive, quasi anticipando di un secolo l’opera dei futuri legislatori. Egli aprì sostanzialmente quel dibattito sui diritti della persona umana, che il pensiero giuridico contemporaneo ha ritenuto come patrimonio irrinunciabile di civiltà.

In particolare la legge federale tedesca prevede il ricorso a strumenti di autoregolamentazione. L’art. 38 della legge medesima stabilisce che "associazioni professionali ed altre associazioni rappresentative di determinate categorie di titolari possono sottoporre alla competente autorità di controllo proposte di codici di condotta finalizzati a promuovere l’attuazione di regolamenti in materia di protezione dati". L’autorità di controllo "verifica la conformità delle proposte presentate con la normativa in vigore concernente la protezione dei dati". Inoltre l’art. 9 della legge prevede la possibilità di introdurre veri e propri "bollini di qualità" per strumenti informatici o di altra natura che consentano ai titolari di garantirsi (e garantire) il rispetto della normativa in materia di protezione dati: "al fine di migliorare la protezione e la sicurezza dei dati, i soggetti che producono sistemi e programmi di elaborazione dati e quelli che effettuano trattamenti di dati possono far esaminare e valutare le rispettive logiche di protezione dati e i dispositivi tecnici in opera da periti indipendenti e certificati, e pubblicare i risultati dei controlli. Le prescrizioni specifiche riferite ai controlli ed alla valutazione, la procedura da seguire nonché la selezione e la certificazione dei periti sono oggetto di apposite disposizioni di legge".

Sul tema dell’autoregolamentazione così come affrontato dalla legge federale è utile riportare alcune osservazioni formulate dagli Autori dello studio sulla "Modernizzazione del diritto in materia di protezione dei dati":
- l’autoregolamentazione permette al mondo economico di mettere a punto con relativa rapidità disposizioni vincolanti, riferite a specifici settori o attività, in grado di tenere il passo con i rapidi sviluppi della tecnologia, la complessità dei rispettivi sistemi e la molteplicità di applicazioni possibili;
- l’autoregolamentazione deve comunque fondarsi sul consenso sociale, e non soltanto sull’impostazione unilaterale degli interessi di un’associazione o di un consorzio. Per tale motivo è opportuno che partecipino alla definizione di eventuali codici autoregolamentativi anche rappresentanti di associazioni di consumatori e delle autorità di protezione dei dati;
- la legge dovrebbe indicare una serie di obbiettivi, lasciando liberi i singoli soggetti (associazioni, ecc.) di scegliere le modalità più opportune per raggiungere tali obbiettivi.

Ed ora alcune conclusioni finali.
L’analisi dei codici deontologici dimostra che la privacy è caratterizzata non solo da uno sviluppo evolutivo (che si estrinseca in una dimensione qualitativa, attraverso un continuo passaggio a forme di tutela sempre più avanzate) ma anche da una espansione quantitativa, che si manifesta nella acquisizione di nuovi campi di attività, di nuove zone di influenza.
Ciò si spiega anche in base ad una corrente di pensiero, la quale ha ravvisato il diritto di privacy non come una formula unitaria, bensì come una costellazione di diritti, cosicché il suo nucleo costitutivo di situazioni soggettive non è a struttura semplice, bensì composita e articolata.

La giurisprudenza della Corte Costituzionale italiana ha preso atto di tale problema. Già con la sentenza 139 del 1990 la Corte aveva colto nella privacy una dimensione strumentale di altri diritti fondamentali, e nella sentenza 366 del 1991 inaugurò una nuova prospettiva facendo ricorso all’immagine dello spazio vitale che circonda la persona, senza il quale l’individuo non può svilupparsi in armonia con i postulati della dignità umana.
Ma nessuna legislazione sulla privacy è conclusa in sé medesima, poiché essa, in ragione della sua incidenza su fondamentali settori della società civile e delle istituzioni, diventa un fattore basilare per la vita della democrazia, in ogni Paese e sotto tutte le latitudini.

Acquistano particolare rilievo gli obiettivi dei trattati di Maastricht, di Amsterdam e di Nizza, secondo cui il progresso della democrazia trova la sua linea di sviluppo attraverso la garanzia dei diritti fondamentali dell’uomo.
E’ da notare che la Carta dei diritti fondamentali dell’Unione europea (Nizza, dicembre 2000) nel suo preambolo dichiara che l’Unione pone la persona al centro della sua azione, creando uno spazio di libertà, sicurezza e giustizia; e afferma l’esigenza di rafforzare la tutela dei diritti fondamentali, alla luce dell’evoluzione della società, del progresso sociale e degli sviluppi scientifici e tecnologici. E l’art. 8 della Carta configura la privacy nella sua formula più alta, definendola come momento di libertà, per cui ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano.

E’ attualmente operante un grande laboratorio giuridico sopranazionale, cioè la convenzione europea per le riforme istituzionali, operante dal febbraio di quest’anno.
Essa delinea la prospettiva di imprimere una ulteriore linea di sviluppo a un’Europa che non è più soltanto una unione economica e monetaria, ma aspira alla crescita dell’integrazione sopranazionale attraverso una nuova architettura istituzionale. Come è noto, la Comunità alle sue origini sembrava poter garantire solo i diritti strettamente necessari per la instaurazione del mercato unico, cioè le quattro libertà di circolazione delle persone, dei capitali, dei beni, dei servizi. Ma ora dall’Europa del mercato si è passati, e da tempo, all’Europa dei diritti dei cittadini e delle loro garanzie. E la convenzione in corso di elaborazione dimostra che la frontiera dei diritti inviolabili dei cittadini non è un dato immobile o statico, perché attraverso l’espandersi delle nuove formule di garanzia si sta costruendo lo statuto della persona umana e del cittadino europeo nella incessante sequenza delle diverse generazioni di diritti.