Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

 

 Tutela dei dati personali - Legge 675/96

Uno scenario senza certezze e senza confini
di Manlio Cammarata - 07.05.98

Con un convegno sul tema "Internet e privacy, quali regole?" il Garante celebra il primo anniversario dell'entrata in vigore della legge italiana sulla protezione dei dati personali.
La scelta dell'argomento è significativa, perché indica da una parte l'importanza del problema della riservatezza nelle attività telematiche, dall'altra l'urgenza di fare chiarezza in uno scenario tanto vasto quanto confuso.

Il programma del convegno, che prevede la partecipazione di numerose personalità internazionali, rivela una corretta impostazione del problema, che non può essere visto in un'ottica locale, ma richiede una stretta cooperazione tra tutti gli stati del mondo. Tuttavia è strano che non sia stata prevista una partecipazione delle associazioni degli Internet provider, che sono i diretti interessati e potrebbero offrire un contributo non trascurabile sui complessi aspetti - non solo tecnici - della protezione dei dati sulla Rete.
Il fatto è che in Italia si pensa agli Internet provider solo per tartassarli (quando non per multarli...) o per tentare di renderli responsabili, indiscriminatamente, di tutto quanto passa per la Rete. Soprattutto non si riesce a capire che tra gli Internet service provider devono essere distinte due categorie del tutto diverse: quella dei fornitori di accessi (access provider) e quella dei fornitori di contenuti (content provider), che svolgono lavori del tutto diversi e hanno quindi diverse responsabilità.

Non a caso, nella proposta di Carta delle garanzie di Internet formulata da questa rivista, i diversi ruoli sono ben classificati nelle definizioni contenute nell'articolo 2, mentre le responsabilità sono specificamente e separatamente descritte nei diversi articoli dell Titolo II.
La differenza di ruoli e di responsabilità tra le diverse categorie di provider è di particolare rilievo anche per quanto attiene alla protezione dei dati personali, perché sulla Rete si possono diffondere sia i dati personali degli abbonati - il cui trattamento è sotto il controllo dei fornitori di accessi - sia altre informazioni, trattate dai fornitori di contenuti, in particolare di servizi on-line (commercio elettronico e altre attività che prevedono l'acquisizione di dati degli utenti). Ne abbiamo discusso in dettaglio poche settimane fa, a proposito della notificazione dei trattamenti di dati personali da parte degli Internet provider e non è il caso di ripetere qui le considerazioni già espresse nei diversi articoli della serie.

Ora è necessario vedere la questione da un altro punto di vista. Dal convegno che si apre domani, 8 maggio, il Garante ricaverà molte indicazioni utili per formulare proposte adeguate al Governo, che entro la fine di ottobre dovrà emanare un decreto legislativo per stabilire le modalità applicative della legislazione in materia di protezione dei dati personali ai servizi di comunicazione e di informazione offerti per via telematica, individuando i titolari del trattamento di dati inerenti i servizi accessibili al pubblico e la corrispondenza privata, nonché i compiti del gestore anche in rapporto alle connessioni con reti sviluppate su base internazionale, come prescrive la legge 676/96, articolo 1, comma 1, lettera n).

Tralasciamo, per il momento, le non poche questioni che possono essere sollevate su questa previsione normativa e puntiamo lo guardo sulle "connessioni con reti sviluppate su base internazionale", che è una delle tante definizioni di Internet in giuridichese. L'internazionalità di Internet è il problema essenziale, perché nessuna legislazione nazionale può dettare regole efficaci per tutta le Rete, e non solo nel campo della protezione dei dati personali.
Cerchiamo di mettere a fuoco il problema. Queste sono le disposizioni della legge 675/96 che riguardano il trattamento di dati personali su Internet:

Art. 2. (Ambito di applicazione)
1. La presente legge si applica al trattamento di dati personali da chiunque effettuato nel territorio dello Stato.

Art. 6. (Trattamento di dati detenuti all'estero)
1. Il trattamento nel territorio dello Stato di dati personali detenuti all'estero è soggetto alle disposizioni della presente legge.
2. Se il trattamento di cui al comma 1 consiste in un trasferimento di dati personali fuori dal territorio nazionale si applicano in ogni caso le disposizioni dell'articolo 28.

Art. 28. (Trasferimento di dati personali all'estero)
1. Il trasferimento anche temporaneo fuori del territorio nazionale, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento deve essere previamente notificato al Garante, qualora sia diretto verso un Paese non appartenente all'Unione europea o riguardi taluno dei dati di cui agli articoli 22 e 24.
2. Il trasferimento può avvenire soltanto dopo quindici giorni dalla data della notificazione; il termine è di venti giorni qualora il trasferimento riguardi taluno dei dati di cui agli articoli 22 e 24.
3. Il trasferimento è vietato qualora l'ordinamento dello Stato di destinazione o di transito dei dati non assicuri un livello di tutela delle persone adeguato ovvero, se si tratta dei dati di cui agli articoli 22 e 24, di grado pari a quello assicurato dall'ordinamento italiano. Sono valutate anche le modalità del trasferimento e dei trattamenti previsti, le relative finalità, la natura dei dati e le misure di sicurezza.

Ora cerchiamo di applicare queste disposizioni alle normali attività in ambito Internet. Un fornitore di informazioni italiano, con sede in Italia, che diffonde le sue pagine Web (contenenti dati personali) da un server posto in un altro Stato, ricorre nella previsione dell'articolo 6, commi 1 e 2, e dell'articolo 28. Fin qui è tutto chiaro. Ma anche chi mette on line dall'Italia informazioni personali deve fare i conti con l'articolo 28, per la globalità della Rete, e anche perché, presumibilmente, i dati vanno anche verso paesi che "non assicurano un livello di tutela delle persone adeguato" (escludiamo, in linea di principio, che si tratti dei dati indicati dagli articoli 22 e 24, i cosiddetti "dati sensibili").

Ma ora immaginiamo che un abbonato a un fornitore italiano compili un modulo per un acquisto telematico inviato da un fornitore estero. La prima fase del trattamento, che consiste nella raccolta dei dati, avviene in territorio italiano, quindi è soggetta alla legge italiana, in forza dell'articolo 2. Quindi il fornitore straniero dovrebbe, tanto per incominciare, notificare il trattamento al nostro Garante. Il che appare alquanto improbabile...
Ancora, facciamo l'ipotesi che un operatore straniero compia, interamente all'estero, trattamenti su dati, disponibili sulla Rete, di cittadini italiani: questi non avrebbero alcuna protezione dalla nostra legge.

E' evidente che nessuna regolamentazione nazionale può risolvere questi problemi, che pure riguardano i diritti fondamentali della persona. Sarebbe quindi necessario un concerto internazionale per armonizzare le norme dei diversi paesi.
Ma se proviamo a immaginare quale accordo sia possibile tra una moltitudine di stati, ciascuno con il proprio ordinamento sulla tutela della riservatezza (per non parlare di quelli che non hanno una normativa in materia), ci rendiamo conto che l'obiettivo è molto difficile da raggiungere, per non dire impossibile.

Allora tanto vale fare un passo più avanti e cercare di rendere realistica quella che oggi a molti sembra ancora un'utopia: regolare, con accordi internazionali, la Rete come "luogo". Creare cioè una normativa comune che consideri i comportamenti su Internet, quando non riconducibili a un ambito nazionale definito, come atti compiuti in un territorio particolare (o "metaterritorio"), con un proprio ordinamento. Ho avanzato questa tesi meno di un anno fa in Quali leggi per il "territorio Internet"?, articolo che ha riscosso qualche consenso e molte critiche.
Ma allora, se si continua a dire che Internet è "un territorio senza leggi, un Far West" (facendo seguire la considerazione che le leggi nazionali non sono adeguate), perché non si pone mano alla produzione delle norme di cui si lamenta la mancanza?
In realtà Internet non è un territorio senza leggi, è un territorio senza confini e con un ordinamento molto confuso.

E quale occasione migliore di un convegno internazionale sul diritto alla riservatezza si può trovare per avviare lo studio di una regolamentazione comune della Rete? Potrebbe essere questo il motivo di fondo delle "celebrazioni" del primo anno di vita della legge 675/96.
Non dimentichiamo che, solo pochi anni fa, molti consideravano utopistica, per non dire folle, l'idea di una moneta comune del "territorio Europa"...