La ripresa autunnale porta molte novità legislative nel campo delle tecnologie dell'informazione.
La più attesa è certo il Codice in materia di protezione dei dati personali (decreto legislativo 30 giugno 2003, n. 196), con le disposizioni aggiornate sulle misure minime di sicurezza (Allegato B). Poi c'è lo schema del Codice delle comunicazioni elettroniche, che recepisce in un colpo solo ben cinque direttive europee (il cosiddetto "pacchetto" del 2002, che ridisegna l'intero settore delle telecomunicazioni). Infine, ma non ultima, la legge  di semplificazione 2001 (29 luglio 2003, n. 229), con diversi punti interessanti per le materie che ci interessano.

Nei prossimi numeri ci occuperemo dei diversi provvedimenti, alcuni dei quali richiedono una lettura molto attenta. E' il caso, prima di tutto, del "Codice della privacy": non è facile esprimere valutazioni sintetiche su un corpus di grandi dimensioni, che raccoglie e riordina oltre cinque anni di normativa di tutti i livelli, dalla legge del '96 ai provvedimenti del Garante. Un primo assaggio delle differenti letture che si possono dare del nuovo testo può emergere dal confronto degli articoli di due esperti di sicurezza, Andrea Gelpi e Corrado Giustozzi, che pubblichiamo in questo numero (Misure minime, qualche passo avanti e Dati al sicuro, non ci sono più scuse).

In tema di protezione dei dati personali merita un discorso a parte il provvedimento del Garante sul mail spamming. Ha riscosso l'attenzione dei media nella prima settimana di questo mese (con le solite superficialità e imprecisioni) ed è stato richiamato dalla newsletter del Governo due giorni fa, anche se il testo porta la data del 29 maggio.
"Il Garante vieta il mail spamming" è la notizia in sintesi, ma si sa che la sintesi va spesso a scapito della precisione. Infatti, come si legge nel provvedimento stesso, non c'è nessuna novità sostanziale nella normativa sull'argomento.

In effetti il Garante accoglie l'allarme per l'intollerabile e sempre crescente quantità di posta-spazzatura che intasa i server e riempie le mailbox degli utenti e richiama una per una le disposizioni legislative, regolamentari e amministrative sull'invio di messaggi commerciali non richiesti. Elimina anche qualche problema di natura strettamente giuridica, come la discutibile natura di "dato personale", qualche volta attribuita anche a stringhe di caratteri generate casualmente da un software: saltando a pie' pari la questione, il provvedimento ricorda che comunque è necessario il consenso preventivo per l'invio di qualsiasi messaggio non specificamente richiesto.
Anche per quanto riguarda gli indirizzi "conoscibili da chiunque" o il per mail grabbing  (raccolta automatica di indirizzi disponibili sul web), il Garante non ha dubbi: l'uso di tali indirizzi per l'invio di comunicazioni commerciali è in contrasto col "principio di finalità" dei trattamenti e quindi non è consentito.

Fin qui, tutto bene. Il problema è che buona parte della spazzatura che appesta le nostre caselle  è inviata da soggetti stabiliti all'estero, ai quali le disposizioni italiane e comunitarie non possono essere applicate. I rimedi contro lo spam extracomunitario non sono né facili né rapidi e in qualche caso possono mancare del tutto. Per buona misura, il provvedimento contempla anche questo aspetto e suggerisce anche qualche soluzione per una forma di "spamming legittimo". Quasi un manuale, dunque, ad uso degli spammatori e soprattutto delle loro vittime.
Comunque l'efficacia sostanziale del provvedimento del Garante non può che essere limitata, almeno fino a quando non si troveranno intese efficaci a livello internazionale. Intese che non appaiono dietro l'angolo.

In tutto questo c'è da registrare un aspetto importante: se il provvedimento del 29 maggio aiuta a capire un tema specifico, delicato e controverso, il codice che entrerà in vigore all'inizio del prossimo anno cerca di mettere ordine in tutto il complesso sistema della protezione della riservatezza. Certo, molti punti possono essere oggetto di discussione, dall'impostazione fin troppo analitica dell'articolato alle singole disposizioni e al modo in cui sono state raccordate all'insieme. Ma almeno adesso sappiamo di che cosa discutere.

E, cercando di osservare la situazione sotto l' angolazione più ampia possibile, possiamo avere la sensazione che con il Codice si apra una "seconda fase" nel sistema giuridico della tutela della riservatezza. In parte, ma solo in parte,  possiamo parlare anche di una "seconda generazione" di norme, particolarmente in relazione alle disposizioni contenute nel decreto legislativo 467/01 e nella direttiva 2002/58/CE (formalmente recepita dallo stesso Codice).

Questo significa che dobbiamo considerare conclusa la prima fase della normativa sulla protezione della riservatezza, quella in cui era necessario prima di tutto far entrare nella testa delle persone (e soprattutto delle aziende e degli enti pubblici) il principio stesso della tutela dei dati e della sua importanza nei rapporti sociali e commerciali.

Ora occorrono alcune "rifiniture", in primo luogo i codici deontologici che il nuovo testo prevede specificamente per molti comparti. A cominciare da quello, importantissimo, dei fornitori dei servizi di telecomunicazioni. Un settore di primo piano nella società dell'informazione, nel quale i problemi di tutela della riservatezza appaiono molto più impegnativi di quanto si possa verificare in altri campi.