Prime riflessioni sul disegno di legge 1901 bis
1. Premessa
Esistono due aspetti del diritto di libertà del cittadino che sono meritevoli
di tutela giuridica nella società dell'informatica:
a) il diritto di libertà d'uso dei mezzi informatici per la raccolta e
l'elaborazione di informazioni nell'ambito delle attività private,
professionali ed imprenditoriali e per il perseguimento dei fini delle pubbliche
amministrazioni;
b) il diritto di libertà delle persone, i cui dati sono oggetto di raccolta e
di elaborazione, che devono essere tutelate da intrusioni nella loro sfera
privata (diritto alla riservatezza) e dal pericolo di pregiudizi che potrebbero
derivare da un uso eccessivo e/o distorto dei mezzi informatici, idoneo ad
instaurare una vera e propria posizione di dominio sulla persona (c.d. potere
informatico).
Una disciplina normativa delle attività informatiche non può prescindere
dalla valutazione di entrambi tali diritti, tenendo conto che il massimo di
tutela dell'uno non può che comportare il massimo di compressione per l'altro;
sicché qualsiasi soluzione legislativa deve necessariamente scaturire da un
equilibrato contemperamento delle due contrapposte esigenze.
La disciplina normativa delle banche-dati dovrebbe mirare, da un lato, ad
assicurare il massimo di libertà possibile nell'uso dei mezzi informatici
(tenendo conto che limitazioni eccessive avrebbero ricadute negative, non solo
nello sviluppo dell'informatica, ma anche in qualsiasi altro settore economico
e, persino, culturale, attesa l'importanza che essa ha assunto nella nostra
società); dall'altro, tuttavia, dovrebbe garantire un'adeguata tutela dai
pericoli che possono derivarne, in una società in cui sistemi hardware e
software sempre più potenti e sofisticati sono messi a disposizione a prezzi
decrescenti e lo strumento informatico è, ormai, di uso comune, non solo
nell'industria, nelle professioni e nella pubblica amministrazione, ma anche
nelle attività private.
Nè va trascurata la prorompente crescita della telematica, che, a fronte dei
numerosi aspetti positivi, accresce i rischi indicati, sia per la facilità
dell'interconnessione tra banche dati (che opera come moltiplicatore dei dati
disponibili), sia perché, sviluppandosi la vita di relazione delle persone
attraverso la comunicazione telematica, è senza dubbio più facile accumulare
in archivi elettronici le più disparate notizie sulle persone: i giornali che
leggiamo, gli oggetti che acquistiamo, gli argomenti per cui abbiamo interesse,
etc.
Le esigenze di tutela che rendono necessaria, in qualche misura, una
compressione del diritto di libertà d'uso del mezzo informatico, sono
valutabili sotto due profili.
a) con riferimento alla raccolta ed alla conservazione di dati che devono
rimanere oggettivamente riservati (c.d. dati "sensibili", quali quelli
relativi alle opinioni, alla salute, alle abitudini sessuali etc.) ed in
relazione ai quali il problema della tutela si pone in modo non dissimile (se
non sotto il profilo quantitativo) rispetto ad un archivio cartaceo;
b) con riferimento all'interconnessione tra gli archivi ed alle elaborazioni di
dati personali, non necessariamente appartenenti alla categoria dei dati
sensibili, che consentono all'utilizzatore di acquisire qualcosa di nuovo in
termini di conoscenza su cui può fondarsi il c.d. "potere
informatico".
In particolare, la possibilità di correlare una grande quantità di
informazioni, aventi la più diversa origine, effettuando il trattamento di dati
relativi a singole persone, consente la realizzazione di veri e propri profili
della personalità dei singoli individui, da utilizzare, eventualmente
comparandoli con modelli statistici o con profili tipo, per scelte decisionali
relative ai soggetti interessati; e tutto ciò potrebbe avvenire anche
all'insaputa del soggetto stesso, e senza alcuna garanzia in ordine alla
genuinità delle informazioni ed all'attendibilità del procedimento.
Tali elaborazioni acquistano connotazioni di maggiore pericolosità - e
richiedono di conseguenza una più pregnante disciplina normativa - allorché il
soggetto che esercita il "potere informatico" si trovi in una
posizione di supremazia rispetto alla persona i cui dati vengono trattati; non
vi è dubbio, infatti, che il cittadino è più "debole" allorché il
trattamento dei dati viene effettuato da un soggetto pubblico ai fini
dell'esercizio della funzione amministrativa o giudiziaria, o da un soggetto
privato che si trova di fatto in una situazione di supremazia, come nel caso del
datore di lavoro, o che può, comunque, incidere in modo assai profondo
sull'immagine e sulla vita di relazione della persona, come nel caso di
esercizio dell'attività giornalistica.
2. Banche dati pubbliche e cittadino
Non sembra che tali aspetti siano stati adeguatamente affrontati nel disegno di
legge 1901 bis, che, al contrario, contiene alcune formulazioni assai
discutibili che meritano di essere segnalate.
Un primo rilievo è dato dall'esclusione della necessità del consenso
dell'interessato per il trattamento dei dati personali effettuato da soggetti
pubblici diversi dagli enti pubblici economici (art. 11, comma 4), che, proprio
perché generalizzata, conferma la cennata posizione di "debolezza"
nei confronti del potere informatico della pubblica amministrazione.
Un secondo rilievo critico emerge, poi, dalla tortuosa formulazione dell'art.
4, che esclude dall'applicabilità della disciplina della legge i trattamenti
(ivi indicati) ricollegabili ad attività di polizia e sicurezza pubblica ed a
servizi giudiziari, estendendo comunque ad essi le norme relative alle modalità
di raccolta e di custodia dei dati, ed al Garante, nonché quanto previsto
dall'art. 17, intitolato "limiti all'utilizzabilità dei dati
personali". La disciplina di tali trattamenti, risultante dalla
formulazione non lineare della norma e dalle ampie zone d'ombra lasciate dalle
eccezioni, è destinata a far sorgere problemi interpretativi (anche per la
sovrapposizione delle dette norme a quelle speciali che disciplinano i singoli
servizi) e non garantisce in modo certo i diritti del cittadino nei confronti
dell'operato della pubblica amministrazione, proprio nell'ambito di attività in
cui egli ha maggiore necessità di essere tutelato.
3. Aspetti problematici dell'art. 17
Una più approfondita analisi merita, in particolare, il menzionato articolo 17,
che, seguendo non lineari moduli di normazione, fingendo di proibire, in realtà
autorizza qualcosa di nuovo, che lascia perplessi ed appare pericoloso. Vale la
pena di riportarne per intero il testo:
"1. Nessun atto o provvedimento giurisdizionale o amministrativo che
implichi una valutazione del comportamento umano può essere fondato unicamente
su un trattamento automatizzato di dati personali volto a definire il profilo o
la
personalità dell'interessato. 2. L'interessato può opporsi ad ogni altro
tipo di decisione adottata sulla base del trattamento di cui al comma 1, ai
sensi dell'art. 13, comma 1, lettera d)".
La norma, nel vietare che l'atto o provvedimento siano fondati
"unicamente" sul trattamento automatizzato, in realtà autorizza l'uso
di tale trattamento, purché la decisione non sia fondata solo su quello; se
l'interessato si oppone all'uso "parziale" dei risultati del
trattamento, il Giudice o la Pubblica Amministrazione non li potranno utilizzare
per la decisione o per il provvedimento amministrativo.
Tale disciplina è assai discutibile.
Invero, in primo luogo, può ipotizzarsi che tramite il trattamento
automatizzato si ricavino notizie relative a fatti o documenti che riguardano il
soggetto e che sono già custodite in banche dati; ma, in tal caso non si vede
perché non possano essere prese in considerazione, anche se non
"unitamente" ad altri elementi ricavati senza l'uso dell'elaboratore,
posto che quello informatico non è altro che uno strumento per mezzo del quale
si ha notizia di fatti o atti (naturalmente salva la prova della verità) anche
in altro modo documentabili ed acquisibili al procedimento.
D'altra parte, non si comprende perché l'interessato dovrebbe avere facoltà
di opporsi all'uso di notizie risultanti da banche dati informatiche, quale per
esempio quella del casellario giudiziale contenente i precedenti penali, allorché
tali dati siano esatti (e peraltro facilmente documentabili mediante la
produzione in giudizio delle copie delle sentenze); le notizie così acquisite -
in questo ed in altri casi analoghi - potranno essere verificate processualmente
e, quindi, specificamente provate.
Non vi è ragione per porre limiti, durante le indagini, a trattamenti
informatici consistenti nella interrogazione di banche dati al fine di acquisire
notizie relative a fatti e a documenti da utilizzare nel processo; nè,
tantomeno, può ritenersi necessario subordinare al consenso dell'interessato il
trattamento nell'ambito delle banche-dati "endoprocessuali",
costituite dalle spesso copiose documentazioni del processo; in tali casi
l'informatica costituisce uno strumento per la migliore conoscenza di vicende
che, in ogni caso, sono singolarmente documentabili e riscontrabili e che
potranno essere valutate dal giudice secondo il suo libero apprezzamento.
In secondo luogo, può invece ipotizzarsi che il trattamento informatico
indicato dall'art. 17 vada al di là della notizia di un fatto o di un
documento, ma esprima una valutazione automatizzata sul soggetto.
Ciò, a mio avviso dovrebbe essere in ogni caso vietato.
Invero, in linea generale, sussiste un divieto (art. 220 c.p.p.) allo
svolgimento in materia penale di perizie "psicologiche" finalizzate ad
individuare "il carattere e la personalità dell'imputato, ed in genere le
qualità psichiche indipendenti da cause patologiche", sicché, con
riferimento alla valutazione della responsabilità penale, deve ritenersi
vietato ricavare profili relativi al carattere ed alla personalità, ancorché
mediante strumenti tecnici di tipo informatico (la realizzazione di un software
che effettui una valutazione psicologica del soggetto e l'uso dello stesso mi
sembra compreso nel divieto di perizia).
Ma, anche negli altri casi in cui tale divieto di perizia non sussiste, deve
escludersi che le valutazioni possano essere effettuate sulla base di
"trattamenti automatizzati" volti a definire il profilo o la
personalità dell'interessato; il giudice, infatti, ove sia richiesta dalla
legge la valutazione della personalità del soggetto, deve formare e motivare il
suo libero convincimento sulla base di elementi di fatto.
L'attuale formulazione dell'art. 17 è, quindi, insoddisfacente, posto che,
da un lato, potrebbe comportare ingiustificate limitazioni nell'uso
dell'informatica come strumento di conoscenza di fatti o documenti da utilizzare
nei procedimenti, mentre, dall'altro, sembrerebbe consentire l'uso di
trattamenti "automatizzati", relativi alla valutazione delle persone,
che dovrebbero essere vietati.
Sotto altro profilo, la norma in discussione appare criticabile per
l'equiparazione che viene effettuata tra procedimento giurisdizionale e
procedimento amministrativo, giacché il giudizio si fonda, comunque, sul
principio del libero convincimento del giudice e del libero apprezzamento delle
prove, mentre il procedimento amministrativo ha un fondamento diverso e
disciplina non omogenea, posto che, a seconda dei casi, può definirsi con
provvedimenti vincolati oppure, in tutto o in parte, discrezionali.
Sarebbe auspicabile la formulazione di una disciplina più chiara e più
dettagliata in merito ai limiti del trattamento automatizzato dei dati nei due
diversi ambiti, giurisdizionale e amministrativo; e, in particolare, con
specifico riferimento ai procedimenti giudiziari, dovrebbe essere consentito il
trattamento dei dati come fonte di conoscenza di fatti e atti destinati ad
essere oggetto di valutazione nel giudizio, e, di contro, dovrebbero essere
vietati, in linea generale, i trattamenti informatici finalizzati a realizzare
profili psicologici o analisi valutative della personalità dei soggetti
interessati.
4. Disciplina del potere informatico del datore di lavoro
Il disegno di legge non disciplina in modo specifico l'esercizio del potere
informatico del datore di lavoro, limitandosi a mantenere in vigore le norme
degli artt. 4 e 8 della L. 20.5.1970 n. 300 (Statuto dei Lavoratori) che
rispettivamente vietano l'uso di impianti per il controllo a distanza dei
lavoratori e le indagini sulle "opinioni politiche, religiose o sindacali
del lavoratore, nonché su fatti non rilevanti ai fini della valutazione
dell'attitudine professionale del lavoratore".
La specifica disciplina preesistente andrebbe raccordata con quella generale
delle banche dati contenuta nel disegno di legge, anche in considerazione della
necessità di meglio definire con riferimento ai datori di lavoro i dati
"eccedenti" che nel caso sono costituiti da quelli non necessari alla
valutazione attitudinale del lavoratore; peraltro, il trattamento di una gran
quantità di dati personali, acquisiti mediante prove selettive, test,
questionari, colloqui con i superiori gerarchici etc. rendono particolarmente
incisivo il potere informatico del datore di lavoro, sicché sarebbe opportuno
introdurre adeguate garanzie in ordine alla natura dei trattamenti informatici
dei dati che possono venire effettuati.
5. Banche dati giornalistiche
Quanto alle banche dati relative all'esercizio della professione giornalistica,
il disegno di legge prevede numerose eccezioni ai vincoli della disciplina
generale, a fronte delle quali non sono previste adeguate garanzie e cautele
volte a salvaguardare il cittadino da possibili abusi.
Va ricordato che nell'esercizio dell'attività giornalistica è normale che dati
e notizie delle persone siano acquisiti senza il consenso delle stesse,
addirittura segretamente e con il diritto-dovere del giornalista di mantenere
segreta la sua fonte; le notizie riguardano, spesso, fatti avente carattere
"scottante" per la persona interessata, e quindi le relative banche
dati contengono una quantità di notizie che per le modalità della raccolta o
la natura delle stesse non possono essere detenute da altre banche dati.
La necessità di eccezioni per le banche dati giornalistiche va riconosciuta,
posto che l'estensione alle stesse della disciplina generale, che pone rigorosi
limiti alle informazioni personali, verrebbe in conflitto con il diritto
d'informazione costituzionalmente garantito; a fronte delle eccezioni, tuttavia,
dovrebbe essere prevista una disciplina particolare finalizzata ad impedire gli
abusi che pur potrebbero verificarsi.
In particolare, si può ipotizzare che qualsiasi informazione su singole persone
potrebbe essere immagazzinata, anche per un uso futuro ed eventuale, con una
ridondanza di dati non strettamente correlata all'esercizio "attuale"
del diritto di cronaca.
Tale limite potrebbe, altresì, sussistere con riferimento ai dati relativi a
fatti di cronaca risalenti a molti anni prima, posto che la permanenza di essi
è in conflitto con il c.d. diritto "all'oblio" delle persone
interessate; tuttavia, la tutela di tale diritto individuale confligge con il
diritto di cronaca degli storici, per cui sarebbe opportuna una specifica
disciplina legislativa in ordine alla conservazione dei dati nelle banche dati
giornalistiche apparendo di dubbia applicabilità la previsione dell'art. 9,
lett. e) che limita la conservazione dei dati in forma che consente
l'identificazione dell'interessato ad "un periodo di tempo non superiore a
quello necessario agli scopi per i quali essi sono stati raccolti o
successivamente trattati".
E', in ogni caso, necessaria una specifica normativa di tutela delle persone
con riferimento alla conservazione di dati nelle banche dati giornalistiche, non
potendosi escludere, in un Paese in cui l'informazione è sempre più
controllata dal grande potere politico ed imprenditoriale, che, tramite le
banche dati giornalistiche, le informazioni personali siano acquisite e trattate
per altri fini, con elusione dei divieti che la legge in discussione pone in
linea generale a tutela dei cittadini; la sussistenza di un interesse collettivo
rende necessaria una chiara disciplina legislativa, mentre non convince la
soluzione del disegno di legge (art. 23-bis) che affida la disciplina del
trattamento e della diffusione dei dati delle banche dati giornalistiche ad un
codice deontologico della categoria.
6. Un suggerimento de jure condendo
In conclusione, il disegno di legge, merita critiche sotto più profili.
Da un lato, appare frutto di impostazioni quantomeno "datate", quali
la disciplina della notificazione e le norme sull'accesso, che appaiono inidonee
a tutelare effettivamente il cittadino da possibili abusi, posto che il
nominativo di ciascuno può essere contenuto in una o più delle decine di
migliaia di banche dati possibili, senza che possa essere seriamente sostenuto
che ciascuno possa esercitare il controllo dei propri dati su ognuna di esse.
Dall'altro, appare inadeguato a fornire una tutela del cittadino nelle
situazioni in cui è più "debole" nei confronti del potere
informatico.
Sarebbe necessaria una profonda rielaborazione, che, sfrondando gli aspetti di
eccessiva burocratizzazione (e scarsa efficacia pratica) della disciplina
vincolistica, colga l'aspetto dinamico consistente nell'interconnessione tra gli
archivi e nell'elaborazione dei dati, concentrando la disciplina normativa nella
previsione di cautele contro possibili e specifici abusi che potrebbero
verificarsi nei singoli settori di attività.
(18.06.95)
Il dr. Vincenzo Faravino è pretore del lavoro in Agrigento