I. Il Codice sulla protezione dei dati personali, entrato in vigore nell'ordinamento
italiano il 1° gennaio di quest'anno, si pone come il primo modello di
legislazione organica e completa, che racchiude in un testo unitario l'intera
disciplina della materia considerata; e si colloca nel quadro di una tutela
avanzata dei diritti fondamentali della persona, attraverso una molteplicità di
profili innovativi.
Sul piano delle nuove garanzie esso reca il riconoscimento del diritto alla
protezione dei dati personali, quale fondamentale attribuzione nuova e autonoma
della persona, parallela al più generale diritto alla riservatezza.
Per tale profilo il Codice si ispira alla Carta dei diritti fondamentali dell'Unione
europea, che opera una distinzione tra il tradizionale "rispetto della vita
privata e della vita familiare" (che costituisce l'essenza della privacy)
(art. 7) e il diritto alla protezione dei dati personali (art. 8).
Nella formula dell'art. 7 (tutela della riservatezza) si rispecchia
soprattutto il momento individualistico di un potere giuridico, spettante ad
ogni persona, che si esaurisce sostanzialmente nell'escludere dalla propria
vita privata le interferenze altrui; mentre la protezione dei dati si
concretizza nei poteri di intervento, spettante ad ogni soggetto, nei confronti
di chiunque gestisca informazioni personali aventi un impatto sociale. Sicché
nella prima formula si configura una tutela statica; mentre nell'art. 8 della
Carta medesima si delinea una tutela dinamica, rivolta a seguire e controllare
la circolazione dei dati personali e la loro proiezione nei vari circuiti
sociali, economici culturali etc.
In tal modo le regole introdotte costituiscono il punto di equilibrio,
individuato dal legislatore, tra l'interesse individuale al controllo dei dati
e l'interesse collettivo alla circolazione delle informazioni.
Un ulteriore profilo di garanzia si rinviene nella introduzione del principio di
necessità, in base al quale i sistemi informativi devono essere predisposti in
modo da assicurare che i dati personali o identificativi siano utilizzati solo
se indispensabili per il raggiungimento delle finalità consentite; e non anche
quando i medesimi obiettivi possano essere raggiunti mediante l'uso dei dati
anonimi. Il principio introdotto integra e completa quello di pertinenza e non
eccedenza dei dati trattati. Ed è da notare che tale "clausola di
necessità" era stata introdotta anche nella legislazione tedesca che all'art.
3a del Bundesdatenschutzgesetz del maggio 2001 aveva dato rilievo alla
"parsimonia e misura nell'utilizzo dei dati personali", per cui la
scelta di sistemi di elaborazione dati deve avere sempre come obiettivo quello
di ridurre, quanto più possibile, il trattamento o l'utilizzazione di dati
personali.
Nella sistematica del Codice italiano prende risalto un'ulteriore misura di
garanzia rivolta alla protezione dei dati personali. La regola generale (art.
11) dispone che i dati personali devono essere trattati in modo lecito e secondo
correttezza, raccolti e registrati per scopi determinati, espliciti e legittimi
e utilizzati in termini compatibili con tali scopi; ma a presidio di tali
requisiti la norma configura una misura inibitoria e caducante, la quale
statuisce che i dati personali trattati in violazione di tale disciplina non
possono essere utilizzati. Si tratta di una misura di contrasto della
illiceità del tutto nuova in quanto crea la categoria giuridica della
inutilizzabilità dei dati personali nei casi di trattamenti anomali. Il potere
sanzionatorio di tale misura è notevole, poiché esso toglie al trattamento
irregolare ogni possibilità di produrre effetti giuridici.
II. Il Codice, oltre alla accurata opera di rimodellamento della numerosa
serie di leggi accumulatesi nel tempo, ha posto in essere un pieno adeguamento
alla normativa comunitaria.
Un fitto e raffinato strumentario di nuove garanzie è introdotto, nel Titolo
decimo del Codice, in riferimento al campo delle comunicazioni elettroniche,
nelle quali il diritto alla protezione dei dati personali non può essere inteso
soltanto come guscio protettivo dell'individuo, ma riguarda l'individuo
soprattutto nella sua proiezione nei cicli di sviluppo economico-sociale.
Rispetto al passato, i sistemi informativi diventano il tessuto connettivo
essenziale di qualsiasi attività economica, poiché l'informazione inerente
ai fornitori, ai clienti, ai processi produttivi distributivi e amministrativi,
è fonte di conoscenza, efficienza e vantaggio competitivo.
In relazione a tali fattori emergenti, le regole del Codice italiano mirano ad
assicurare una disciplina unitaria dei nuovi servizi e tecnologie comunicative,
mantenendo un elevato e omogeneo livello di tutela dei dati di utenti e di
abbonati, e attuando i criteri garantistici della direttiva 2002/21/CE del 7
marzo 2002, rafforzati da ulteriori integrazioni.
Il molteplice nucleo di garanzie recate dal Codice riguarda: 1) le informazioni
raccolte nei riguardi dell'abbonato e del cliente; 2) i dati relativi al
traffico, analiticamente disciplinati nei tempi, nella durata, nella tenuta; 3)
la documentazione dei dati di traffico ai fini della fatturazione; 4) la
identificazione della linea chiamante; 5) il trattamento dei dati relativi all'ubicazione
dell'abbonato o dell'utente; 6) i mezzi di contrasto delle chiamate di
disturbo; 7) le modalità di inserimento e di successivo utilizzo dei dati
personali relativi agli abbonati negli elenchi cartacei o elettronici a
disposizione del pubblico; 8) i mezzi di opposizione alle comunicazioni
indesiderate (il c.d. spamming).
III. Nel novero dei profili innovativi recati dal Codice assume
particolare rilievo l'introduzione delle nuove fonti normative rappresentate
dai codici di deontologia e di buona condotta. Essi (che trovano la loro radice
in quelle "norme sulla normazione" costituite dagli articoli della
direttiva-madre, la 95/46/CE) si sono affermati come strumenti necessari per una
tutela dei trattamenti dei dati personali sistematica ed efficace.
Essi rappresentano una nuova area della strumentazione normativa e una nuova
articolazione del sistema delle fonti di produzione del diritto. La
flessibilità che li caratterizza conferisce loro il grande vantaggio di poter
essere agevolmente modificati, poiché ogni eventuale cambiamento e integrazione
delle regole non richiede i tempi lunghi di un complicato procedimento
legislativo di riforma; e pertanto sono particolarmente idonei a disciplinare
anche materie attraversate da una forte dinamica innovativa come quella delle
comunicazioni on line e delle incessanti innovazioni tecnologiche.
Il codice italiano apre la nuova fase dei codici "di terza
generazione", caratterizzata dall'ampliamento della loro efficacia e
dalla rilevanza delle materie fondamentali che vanno a disciplinare.
La codificazione autodisciplinare così prevista pone in risalto due aspetti
innovativi: a) il ruolo del Garante; b) l'intreccio tra le fonti di diritto
interno e quelle comunitarie.
Quanto al primo profilo il ruolo assegnato al Garante non è meramente
propulsivo, ma include un ampio potere di indirizzo e di controllo, consistente
nell'esame dei titoli di legittimazione rappresentativa dei soggetti
elaboratori delle regole, e inoltre nella valutazione della conformità delle
norme proposte ai principi della legislazione sui dati personali nonché alle
raccomandazioni adottate dal Consiglio d'Europa.
Quanto al secondo profilo la codificazione deontologica si configura come
il punto di confluenza di tre fattori: gli atti comunitari (specificamente le
raccomandazioni del Consiglio d'Europa); i poteri propulsivi e di indirizzo
dell'Autorità garante; l'elaborazione delle regole da parte dei soggetti
rappresentativi di determinate categorie professionali. Si realizza per tal modo
uno dei maggiori valori innovativi, cioè il policentrismo delle fonti dei
sistemi giuridici più avanzati, ordinati su più livelli (i c.d.
"ordinamenti binari").
Ha rilievo preminente la considerazione che tutta la vasta area dei trattamenti
di dati personali è caratterizzata da una evoluzione tecnologica incessante,
impetuosa: di qui la necessità che le regole inerenti a tale materia abbiano
sufficienti requisiti di elasticità, capacità di adattamento alla incessante
evoluzione dei settori interessati alla disciplina.
Sicché a tali esigenze ben corrisponde una regolamentazione a rete (che
si contrappone a quella tradizionale verticistica o a piramide) e a
costruzione progressiva, che si rende configurabile attraverso i codici di
deontologia e buona condotta.
E' da notare che, per effetto del ruolo propulsivo dell'Autorità garante,
sono stati finora emanati: il codice deontologico per l'attività
giornalistica; il codice deontologico per i trattamenti a scopi statistici e di
ricerca scientifica; il codice deontologico per i trattamenti a scopi storici.
Attualmente sono in fase di elaborazione altri sette codici, concernenti
rilevanti settori connessi alla tutela di diritti fondamentali.
Limitandoci a far richiamo ai più importanti, gli ambiti di tali codici sono
relativi ai seguenti trattamenti di dati personali effettuati:
- nell'ambito dei servizi di comunicazione e informazione offerti per via
telematica;
- per finalità previdenziali o per la gestione dei rapporti di lavoro;
- a fini di invio di materiale pubblicitario o di vendita diretta;
- a fini di regolamentazione della videosorveglianza.
IV. Un ulteriore fattore di garanzia di forte rilevanza è costituito
dalla disciplina dei soggetti pubblici, rivolta ad apprestare la tutela dei
diritti dei cittadini nei confronti dei corpi amministrativi che procedono a
trattamenti di dati personali.
Come è noto, la direttiva comunitaria del 1995 aveva lasciato totalmente in
ombra la disciplina del trattamento dei dati personali da parte dei soggetti
pubblici.
E il quadro normativo tracciato dalla legge-base italiana del 1996 conteneva un
esiguo numero di norme concernenti la pubblica amministrazione, limitandosi a
enunciare i seguenti principi:
a) i soggetti pubblici possono trattare dati personali comuni solo per lo
svolgimento delle funzioni istituzionali e nei limiti stabiliti dalle leggi e
dai regolamenti vigenti nei settori di riferimento;
b) quando i dati sono di carattere particolare la disciplina richiede maggiori
garanzie. I soggetti pubblici, per poter effettuare trattamenti inerenti ai dati
sensibili, hanno bisogno di essere autorizzati da una dettagliata disposizione
di legge, che preveda quali dati possono essere trattati, le operazioni che
possono essere eseguite, le rilevanti finalità di interesse pubblico
perseguite.
Il nuovo Codice ha ampliato notevolmente il nucleo delle regole inerenti ai
trattamenti dei dati in ambito pubblico, costituendo un momento di avanzamento e
innovazione della disciplina giuridica.
Esso rafforza il sistema delle garanzie avendo un duplice obiettivo:
a) definire i principi generali in base ai quali i soggetti pubblici sono
autorizzati a trattare i dati personali e, in particolare quelli sensibili, con
specifiche cautele e criteri rigorosi;
b) individuare alcune rilevanti finalità di interesse pubblico per cui il cui
perseguimento è consentito tale trattamento, nonché le operazioni eseguibili e
i tipi di dati che possono essere trattati.
Inoltre nel Codice viene delineata la serie di gestioni pubbliche di dati
caratterizzate da un interesse pubblico di grado particolare, in quanto
qualificato come rilevante. Si tratta di funzioni essenziali dell'ordinamento
giuridico, come quelle attinenti all'applicazione della disciplina in materia
di elettorato e di esercizio di diritti politici; o attinenti all'instaurazione
e gestione di rapporti di lavoro di qualunque tipo; o concernenti le attività
di istruzione e formazione in ogni ambito scolastico; o inerenti alla disciplina
in materia di concessione di benefici economici, elargizioni, emolumenti; o
relativi alla tutela della salute o ai rapporti con enti di culto.
Tale nucleo di regole incide sulla trama fondamentale di rapporti fra il potere
pubblico e la collettività, in un complesso contesto di reciproche esigenze e
di reciproci limiti e in una necessaria rispondenza fra l'azione pubblica e la
sfera della libertà e dei diritti dei cittadini.
L'attuazione di tale nucleo normativo è un banco di prova dei valori
custoditi e tutelati dall'ordinamento giuridico.
Incompleti sarebbero i profili della normativa se non si ponesse in risalto un
altro punto di innovatività. Cioè è consentito il trattamento dei dati da
parte di soggetti pubblici, solo se autorizzato da disposizioni di legge, nelle
quali siano specificate, tra l'altro, le rilevanti finalità di interesse
pubblico. Ma ove manchi tale esplicita regola, il Garante può (nelle more della
specificazione legislativa) determinare, su richiesta dei soggetti pubblici, l'individuazione
di quelle specifiche attività di interesse pubblico, che valgono ad autorizzare
i trattamenti. Viene in rilievo l'attribuzione al Garante di un potere
sostitutivo delle norme mancanti, introducendo, in tal modo, una innovazione
rispetto al sistema di regole disciplinanti la varie autorità indipendenti, la
cui potestà normativa era limitata alle fonti secondarie.
V. Nel quadro di misure più efficaci e più moderne a tutela dei
trattamenti dei dati personali il Codice assicura nuove garanzie. E' da
rilevare che in ambito europeo si segnala una sempre maggiore sensibilità al
problema della sicurezza informatica, anche a causa di paventati attacchi ad
alta tecnologia. In particolare, si segnala un recente documento dell'OCSE
contenente le linee di guida per la sicurezza informatica delle reti. Le
istituzioni comunitarie hanno tenuto conto di tale documento, mediante una
risoluzione del Consiglio europeo del 18 febbraio 2003, che prevede anche la
creazione di una Cybersecurity task force. E in sintonia con tali
orientamenti, il Codice elabora, nel Titolo quinto, un efficiente serie di
regole concernenti le misure di sicurezza dei dati e dei sistemi, con
particolare riguardo alle misure minime di sicurezza, con specifica rilevanza
delle modalità inerenti sia ai trattamenti con strumenti elettronici, sia a
quelli senza l'ausilio di tali strumenti.
VI. Abbiamo cercato di indicare, in maniera sintetica, i caratteri del
codice italiano, nei profili innovativi di tutela e di garanzia di diritti
fondamentali. Sono i tratti fondamentali di un ciclo evolutivo, ma che non
possiamo considerare concluso. La frontiera dei diritti inviolabili dei
cittadini non è un dato immobile o statico, perché attraverso le nuove formule
di tutela si sta costruendo lo statuto della persona umana e del cittadino
europeo nella incessante sequenza delle diverse generazioni di diritti.
|
Pagina stampabile
