Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

Protezione dei dati personali

Le nuove garanzie nell'era del diritto alla protezione dei dati personali

di Giuseppe Santaniello* - 12.05.04

 
I. Il Codice sulla protezione dei dati personali, entrato in vigore nell'ordinamento italiano il 1° gennaio di quest'anno, si pone come il primo modello di legislazione organica e completa, che racchiude in un testo unitario l'intera disciplina della materia considerata; e si colloca nel quadro di una tutela avanzata dei diritti fondamentali della persona, attraverso una molteplicità di profili innovativi.
Sul piano delle nuove garanzie esso reca il riconoscimento del diritto alla protezione dei dati personali, quale fondamentale attribuzione nuova e autonoma della persona, parallela al più generale diritto alla riservatezza.
Per tale profilo il Codice si ispira alla Carta dei diritti fondamentali dell'Unione europea, che opera una distinzione tra il tradizionale "rispetto della vita privata e della vita familiare" (che costituisce l'essenza della privacy) (art. 7) e il diritto alla protezione dei dati personali (art. 8).
Nella formula dell'art. 7 (tutela della riservatezza) si rispecchia soprattutto il momento individualistico di un potere giuridico, spettante ad ogni persona, che si esaurisce sostanzialmente nell'escludere dalla propria vita privata le interferenze altrui; mentre la protezione dei dati si concretizza nei poteri di intervento, spettante ad ogni soggetto, nei confronti di chiunque gestisca informazioni personali aventi un impatto sociale. Sicché nella prima formula si configura una tutela statica; mentre nell'art. 8 della Carta medesima si delinea una tutela dinamica, rivolta a seguire e controllare la circolazione dei dati personali e la loro proiezione nei vari circuiti sociali, economici culturali etc.
In tal modo le regole introdotte costituiscono il punto di equilibrio, individuato dal legislatore, tra l'interesse individuale al controllo dei dati e l'interesse collettivo alla circolazione delle informazioni.
Un ulteriore profilo di garanzia si rinviene nella introduzione del principio di necessità, in base al quale i sistemi informativi devono essere predisposti in modo da assicurare che i dati personali o identificativi siano utilizzati solo se indispensabili per il raggiungimento delle finalità consentite; e non anche quando i medesimi obiettivi possano essere raggiunti mediante l'uso dei dati anonimi. Il principio introdotto integra e completa quello di pertinenza e non eccedenza dei dati trattati. Ed è da notare che tale "clausola di necessità" era stata introdotta anche nella legislazione tedesca che all'art. 3a del Bundesdatenschutzgesetz del maggio 2001 aveva dato rilievo alla "parsimonia e misura nell'utilizzo dei dati personali", per cui la scelta di sistemi di elaborazione dati deve avere sempre come obiettivo quello di ridurre, quanto più possibile, il trattamento o l'utilizzazione di dati personali.
Nella sistematica del Codice italiano prende risalto un'ulteriore misura di garanzia rivolta alla protezione dei dati personali. La regola generale (art. 11) dispone che i dati personali devono essere trattati in modo lecito e secondo correttezza, raccolti e registrati per scopi determinati, espliciti e legittimi e utilizzati in termini compatibili con tali scopi; ma a presidio di tali requisiti la norma configura una misura inibitoria e caducante, la quale statuisce che i dati personali trattati in violazione di tale disciplina non possono essere utilizzati. Si tratta di una misura di contrasto della illiceità del tutto nuova in quanto crea la categoria giuridica della inutilizzabilità dei dati personali nei casi di trattamenti anomali. Il potere sanzionatorio di tale misura è notevole, poiché esso toglie al trattamento irregolare ogni possibilità di produrre effetti giuridici.

II. Il Codice, oltre alla accurata opera di rimodellamento della numerosa serie di leggi accumulatesi nel tempo, ha posto in essere un pieno adeguamento alla normativa comunitaria.
Un fitto e raffinato strumentario di nuove garanzie è introdotto, nel Titolo decimo del Codice, in riferimento al campo delle comunicazioni elettroniche, nelle quali il diritto alla protezione dei dati personali non può essere inteso soltanto come guscio protettivo dell'individuo, ma riguarda l'individuo soprattutto nella sua proiezione nei cicli di sviluppo economico-sociale.
Rispetto al passato, i sistemi informativi diventano il tessuto connettivo essenziale di qualsiasi attività economica, poiché l'informazione inerente ai fornitori, ai clienti, ai processi produttivi distributivi e amministrativi, è fonte di conoscenza, efficienza e vantaggio competitivo.
In relazione a tali fattori emergenti, le regole del Codice italiano mirano ad assicurare una disciplina unitaria dei nuovi servizi e tecnologie comunicative, mantenendo un elevato e omogeneo livello di tutela dei dati di utenti e di abbonati, e attuando i criteri garantistici della direttiva 2002/21/CE del 7 marzo 2002, rafforzati da ulteriori integrazioni.
Il molteplice nucleo di garanzie recate dal Codice riguarda: 1) le informazioni raccolte nei riguardi dell'abbonato e del cliente; 2) i dati relativi al traffico, analiticamente disciplinati nei tempi, nella durata, nella tenuta; 3) la documentazione dei dati di traffico ai fini della fatturazione; 4) la identificazione della linea chiamante; 5) il trattamento dei dati relativi all'ubicazione dell'abbonato o dell'utente; 6) i mezzi di contrasto delle chiamate di disturbo; 7) le modalità di inserimento e di successivo utilizzo dei dati personali relativi agli abbonati negli elenchi cartacei o elettronici a disposizione del pubblico; 8) i mezzi di opposizione alle comunicazioni indesiderate (il c.d. spamming).

III. Nel novero dei profili innovativi recati dal Codice assume particolare rilievo l'introduzione delle nuove fonti normative rappresentate dai codici di deontologia e di buona condotta. Essi (che trovano la loro radice in quelle "norme sulla normazione" costituite dagli articoli della direttiva-madre, la 95/46/CE) si sono affermati come strumenti necessari per una tutela dei trattamenti dei dati personali sistematica ed efficace.
Essi rappresentano una nuova area della strumentazione normativa e una nuova articolazione del sistema delle fonti di produzione del diritto. La flessibilità che li caratterizza conferisce loro il grande vantaggio di poter essere agevolmente modificati, poiché ogni eventuale cambiamento e integrazione delle regole non richiede i tempi lunghi di un complicato procedimento legislativo di riforma; e pertanto sono particolarmente idonei a disciplinare anche materie attraversate da una forte dinamica innovativa come quella delle comunicazioni on line e delle incessanti innovazioni tecnologiche.
Il codice italiano apre la nuova fase dei codici "di terza generazione", caratterizzata dall'ampliamento della loro efficacia e dalla rilevanza delle materie fondamentali che vanno a disciplinare.
La codificazione autodisciplinare così prevista pone in risalto due aspetti innovativi: a) il ruolo del Garante; b) l'intreccio tra le fonti di diritto interno e quelle comunitarie.
Quanto al primo profilo il ruolo assegnato al Garante non è meramente propulsivo, ma include un ampio potere di indirizzo e di controllo, consistente nell'esame dei titoli di legittimazione rappresentativa dei soggetti elaboratori delle regole, e inoltre nella valutazione della conformità delle norme proposte ai principi della legislazione sui dati personali nonché alle raccomandazioni adottate dal Consiglio d'Europa.
Quanto al secondo profilo la codificazione deontologica si configura come il punto di confluenza di tre fattori: gli atti comunitari (specificamente le raccomandazioni del Consiglio d'Europa); i poteri propulsivi e di indirizzo dell'Autorità garante; l'elaborazione delle regole da parte dei soggetti rappresentativi di determinate categorie professionali. Si realizza per tal modo uno dei maggiori valori innovativi, cioè il policentrismo delle fonti dei sistemi giuridici più avanzati, ordinati su più livelli (i c.d. "ordinamenti binari").
Ha rilievo preminente la considerazione che tutta la vasta area dei trattamenti di dati personali è caratterizzata da una evoluzione tecnologica incessante, impetuosa: di qui la necessità che le regole inerenti a tale materia abbiano sufficienti requisiti di elasticità, capacità di adattamento alla incessante evoluzione dei settori interessati alla disciplina.
Sicché a tali esigenze ben corrisponde una regolamentazione a rete (che si contrappone a quella tradizionale verticistica o a piramide) e a costruzione progressiva, che si rende configurabile attraverso i codici di deontologia e buona condotta.
E' da notare che, per effetto del ruolo propulsivo dell'Autorità garante, sono stati finora emanati: il codice deontologico per l'attività giornalistica; il codice deontologico per i trattamenti a scopi statistici e di ricerca scientifica; il codice deontologico per i trattamenti a scopi storici.
Attualmente sono in fase di elaborazione altri sette codici, concernenti rilevanti settori connessi alla tutela di diritti fondamentali.
Limitandoci a far richiamo ai più importanti, gli ambiti di tali codici sono relativi ai seguenti trattamenti di dati personali effettuati:
- nell'ambito dei servizi di comunicazione e informazione offerti per via telematica;
- per finalità previdenziali o per la gestione dei rapporti di lavoro;
- a fini di invio di materiale pubblicitario o di vendita diretta;
- a fini di regolamentazione della videosorveglianza.

IV. Un ulteriore fattore di garanzia di forte rilevanza è costituito dalla disciplina dei soggetti pubblici, rivolta ad apprestare la tutela dei diritti dei cittadini nei confronti dei corpi amministrativi che procedono a trattamenti di dati personali.
Come è noto, la direttiva comunitaria del 1995 aveva lasciato totalmente in ombra la disciplina del trattamento dei dati personali da parte dei soggetti pubblici.
E il quadro normativo tracciato dalla legge-base italiana del 1996 conteneva un esiguo numero di norme concernenti la pubblica amministrazione, limitandosi a enunciare i seguenti principi:
a) i soggetti pubblici possono trattare dati personali comuni solo per lo svolgimento delle funzioni istituzionali e nei limiti stabiliti dalle leggi e dai regolamenti vigenti nei settori di riferimento;
b) quando i dati sono di carattere particolare la disciplina richiede maggiori garanzie. I soggetti pubblici, per poter effettuare trattamenti inerenti ai dati sensibili, hanno bisogno di essere autorizzati da una dettagliata disposizione di legge, che preveda quali dati possono essere trattati, le operazioni che possono essere eseguite, le rilevanti finalità di interesse pubblico perseguite.
Il nuovo Codice ha ampliato notevolmente il nucleo delle regole inerenti ai trattamenti dei dati in ambito pubblico, costituendo un momento di avanzamento e innovazione della disciplina giuridica.
Esso rafforza il sistema delle garanzie avendo un duplice obiettivo:
a) definire i principi generali in base ai quali i soggetti pubblici sono autorizzati a trattare i dati personali e, in particolare quelli sensibili, con specifiche cautele e criteri rigorosi;
b) individuare alcune rilevanti finalità di interesse pubblico per cui il cui perseguimento è consentito tale trattamento, nonché le operazioni eseguibili e i tipi di dati che possono essere trattati.
Inoltre nel Codice viene delineata la serie di gestioni pubbliche di dati caratterizzate da un interesse pubblico di grado particolare, in quanto qualificato come rilevante. Si tratta di funzioni essenziali dell'ordinamento giuridico, come quelle attinenti all'applicazione della disciplina in materia di elettorato e di esercizio di diritti politici; o attinenti all'instaurazione e gestione di rapporti di lavoro di qualunque tipo; o concernenti le attività di istruzione e formazione in ogni ambito scolastico; o inerenti alla disciplina in materia di concessione di benefici economici, elargizioni, emolumenti; o relativi alla tutela della salute o ai rapporti con enti di culto.
Tale nucleo di regole incide sulla trama fondamentale di rapporti fra il potere pubblico e la collettività, in un complesso contesto di reciproche esigenze e di reciproci limiti e in una necessaria rispondenza fra l'azione pubblica e la sfera della libertà e dei diritti dei cittadini.
L'attuazione di tale nucleo normativo è un banco di prova dei valori custoditi e tutelati dall'ordinamento giuridico.
Incompleti sarebbero i profili della normativa se non si ponesse in risalto un altro punto di innovatività. Cioè è consentito il trattamento dei dati da parte di soggetti pubblici, solo se autorizzato da disposizioni di legge, nelle quali siano specificate, tra l'altro, le rilevanti finalità di interesse pubblico. Ma ove manchi tale esplicita regola, il Garante può (nelle more della specificazione legislativa) determinare, su richiesta dei soggetti pubblici, l'individuazione di quelle specifiche attività di interesse pubblico, che valgono ad autorizzare i trattamenti. Viene in rilievo l'attribuzione al Garante di un potere sostitutivo delle norme mancanti, introducendo, in tal modo, una innovazione rispetto al sistema di regole disciplinanti la varie autorità indipendenti, la cui potestà normativa era limitata alle fonti secondarie.

V. Nel quadro di misure più efficaci e più moderne a tutela dei trattamenti dei dati personali il Codice assicura nuove garanzie. E' da rilevare che in ambito europeo si segnala una sempre maggiore sensibilità al problema della sicurezza informatica, anche a causa di paventati attacchi ad alta tecnologia. In particolare, si segnala un recente documento dell'OCSE contenente le linee di guida per la sicurezza informatica delle reti. Le istituzioni comunitarie hanno tenuto conto di tale documento, mediante una risoluzione del Consiglio europeo del 18 febbraio 2003, che prevede anche la creazione di una Cybersecurity task force. E in sintonia con tali orientamenti, il Codice elabora, nel Titolo quinto, un efficiente serie di regole concernenti le misure di sicurezza dei dati e dei sistemi, con particolare riguardo alle misure minime di sicurezza, con specifica rilevanza delle modalità inerenti sia ai trattamenti con strumenti elettronici, sia a quelli senza l'ausilio di tali strumenti.

VI. Abbiamo cercato di indicare, in maniera sintetica, i caratteri del codice italiano, nei profili innovativi di tutela e di garanzia di diritti fondamentali. Sono i tratti fondamentali di un ciclo evolutivo, ma che non possiamo considerare concluso. La frontiera dei diritti inviolabili dei cittadini non è un dato immobile o statico, perché attraverso le nuove formule di tutela si sta costruendo lo statuto della persona umana e del cittadino europeo nella incessante sequenza delle diverse generazioni di diritti.
 

* Vice presidente del Garante per la protezione dei dati personali

Inizio pagina  Indice della sezione  Prima pagina © InterLex 2004 Informazioni sul copyright