Cookie free: nessun "biscotto" per spiare i lettori. Sono in corso di eliminazione i link di facebook, che tracciano chi clicca su "mi piace" o "condividi"

Difendere la privacy, questo è l'obiettivo

Privacy e sicurezza - Manlio Cammarata - 15 ottobre 2019

Gli antichi saloni e gli sterminati corridoi del Ministero di Grazia e Giustizia hanno qualcosa di solenne e grandioso che mette in guardia il cronista. Qui non si scherza.
Infatti non manca la grinta al giovane pubblico ministero che mi aspetta nell'Ufficio legislativo del Ministero di grazia e giustizia. Il dottor Giovanni Buttarelli ha davanti a sé l'articolo pubblicato un mese fa, pieno di sottolineature con l'evidenziatore arancione. Il tono cortese non nasconde l'intenzione di dare battaglia in difesa del testo incriminato. A proposito di incriminazioni: perlustro rapidamente la scrivania con lo sguardo, ma non vedo nulla che possa assomigliare a un avviso di garanzia. Forse per questa volta me la cavo.

Sono le legittime perplessità e riserve che può avere un interprete che legge un testo così complesso. Però non ho notato sostanziali critiche di merito, e le perplessità sono fugate pacificamente o dal testo stesso o dalla relazione e dai lavori preparatori, o dal contesto comunitario. Perché la prima cosa che va detta è che il disegno di legge è conforme alla proposta di Direttiva comunitaria e alla convenzione di Strasburgo. La proposta di Direttiva comunitaria è stata discussa per quasi cinque anni, è stata sottoposta all'approvazione del Parlamento europeo, è stata presentata già in una versione modificata, dopo un'ennesima e faticosissima discussione. Ora è giunta a livello di "posizione comune", questo è il termine tecnico, per cui almeno quattordici stati su quindici condividono integralmente il tenore di questo provvedimento. C'è solo il Regno Unito che ha qualche perplessità su due o tre punti; si vedrà nella fase definitiva se, come credo, questi dubbi potranno essere sciolti.

Le disposizioni di cui nell'articolo si mette in dubbio il significato sono state centellinate sillaba per sillaba e hanno un loro pacifico significato in tutto il contesto comunitario. Mai un'interpretazione potrebbe essere data in contrasto con la "ratio" che emerge dai lavori preparatori e dalla Direttiva comunitaria, perché questa legge esige la stretta relazione tra il Garante e le altre autorità di controllo. Poi ci sono degli organi, a Strasburgo e a Bruxelles, deputati a tamponare eventuali difformità che si possono verificare in fase di attuazione. C'è una stretta collaborazione proprio per evitare difformi interpretazioni e difformi applicazioni. E ci sono anche delle procedure che consentiranno di eliminare eventuali disarmonie, che comunque vanno messe in conto, perché si tratta di una disciplina di impatto molto vasto.

Vorrei dire che questa è anzitutto una legge di principi.

Le norme-manifesto lasciano il tempo che trovano. Queste norme, anche se è difficile capirle in una prima lettura, hanno delle loro esigenze di tecnica legislativa. Purtroppo la tecnica legislativa non è una scienza o un'arte pensata in funzione dell'uomo della strada, questo bisogna riconoscerlo. Di fronte a questa difficoltà, di fronte a queste maglie strette della tecnica legislativa, fare del terrorismo interpretativo non aiuta. Una legge pensata in un'altra maniera, cioè con un testo che spiegasse "terra terra" i principi a cui lei accennava, non sarà possibile farla, perché noi abbiamo anche l'esigenza di depositare questo disegno, come abbiamo già fatto, presso alcuni organismi internazionali, che dovranno verificare la conformità con i testi comunitari e con le convenzioni, in relazione con altri provvedimenti, e quindi non si può fare diversamente.

Alcuni dubbi trovano spiegazione nella relazione illustrativa alla legge, che è uno dei testi che, con i lavori preparatori, hanno una chiara efficacia in sede interpretativa. Per quanto riguarda il concetto di banca dati, questa definizione non è negoziabile, perché si trova in molte leggi europee e nella proposta di Direttiva comunitaria. Negli altri paesi non ha suscitato i problemi che si paventano qui, non c'è nessuna intenzione di disciplinare l'agenda personale o un taccuino automatizzato, che in nessun paese è oggetto di disciplina. Questo lo dice la stessa relazione alla legge. La pluralità di criteri è stata citata a proposito della banca dati al fine di restringere l'applicabilità della Direttiva alle banche dati di carattere manuale. Non va dimenticato infatti che, per quanto attiene alle banche dati automatizzate, la disciplina non si applica alla banca dati, ma al trattamento, e questa è una scelta ormai consolidata. Si notifica il trattamento, non la banca dati. Questo perché non c'è stata concordia a livello europeo, ma anche oltre, sul concetto di banca dati, e si è constato che una definizione statica non sarebbe aderente agli sviluppi della realtà tecnologica. La scelta di puntare l'attenzione sulle operazioni di trattamento consente di fare un unica notificazione per una pluralità di operazioni e soprattutto per una pluralità di banche dati. La definizione di banca dati ha una rilevanza del tutto residuale, al solo fine di chiarire in quale ambito la legge si applichi per gli archivi cartacei. La "ratio" della Direttiva e del disegno di legge è di applicare questa sfera di garanzie soltanto agli archivi cartacei che, per tipo di impostazione e quindi per la compresenza di diversi criteri, consentano di reperire un dato in tempo quasi reale, agevolando la cirolazione delle informazioni e ponendo le stesse difficoltà rispetto all'intreccio dei dati e ai flussi di informazioni che si registrano a proposito delle informazioni automatizzate. Ciò significa che per un comune schedario in ordine alfabetico sono in vigore le garanzie comuni previste dall'attuale legislazione.

Anche la definizione di banca dati ad uso personale è maturata e consolidata in quindici anni di legislazione europea. Lei potrà fare uso della sua agendina automatizzata o no, senza dover fare una notificazione al garante e senza dover essere soggetto passivo di una richiesta di accesso dell'interessato, perché lei utilizza questa agendina per uno scopo personale.

A Strasburgo e a Bruxelles ci sono tonnellate di carta che chiariscono il senso di questa disposizione. E' netta la nostra scelta di fare un passo avanti rispetto ad altre leggi, che non consentono di concepire una banca dati di uso personale quando lo scopo è collegato a un'attività professionale. Si è chiarito che lo scopo personale può essere anche di natura professionale, contrariamente ad altre leggi di area europea. La legge belga, ad esempio, prevede che la banca dati ad uso personale che attenga anche a una attività professionale, anche autonoma, vada notificata. Naturalmente bisognerà poi andare a vedere se ci saranno fenomeni di elusione, perché se un datore di lavoro custodisse dati relativi alla salute o alle opinioni dei lavoratori nella propria agenda personale, credo che l'autorità garante e l'autorità giudiziara potrebbero fare obiezioni. L'unico pricipio che si applica alle banche dati personali è quello relativo alla sicurezza. La legge si disinteressa di questi archivi, ma impone al titolare di non lasciare i dati alla portata di chiunque.

Si è constatato che il momento in cui il titolare si disfa dei dati è un momento piuttosto delicato. C'è il principio in base al quale i dati raccolti per uno scopo non possono essere utilizzati per altre operazioni di trattamento in termini non compatibili con il primo scopo. Anche attraverso la distruzione dei dati si possono ledere i diritti dell'interessato: supponiamo che io diffonda dati inesatti e non accertati, e che l'interessato eserciti il suo diritto di far integrare i dati e di far ridivulgare i dati aggiornati e integrati. Io potrei aggirare questa richiesta distruggendo il dato. Per questo anche la distruzione dei dati non è del tutto disponibile.

Può essere congelato. L'articolo 4 non obbliga a cancellare, ma a non conservare i dati in una forma che consenta l'dentificazione dell'interessato. Affermando il "diritto all'oblio" il dato potrà essere reso anonimo. Ma qui entriamo nella materia dei decreti delegati.

Presto fatto. Prima di tutto non esiste una categoria generale di dati o archivi storici. Nell'amministrazione dello Stato ci sono documenti pubblici e privati che conflusicono negli Archivi dello Stato. C'è l'articolo 33, comma 2, che fa salve le disposizioni sugli archivi di Stato. L'articolo 4 lettera e) sancisce un principio elastico, perché lo scopo che giustifica la raccolta può essere anche di lunghissima durata, non è detto che debba esistere necessariamente un termine per ogni tipo di dato, ma un determinato scopo può presupporre una conservazione a tempo indeterminato.

Possiamo fare l'esempio di un dato conservato da un datore di lavoro, relativo a un'indennità di malattia di un dipendente. Questo dato potrà servire tra molti anni, magari per una indagine sui tumori: bisogna dirlo al lavoratore. Quello che non si dovrà fare più è decidere in base alle convenienze del momento, e in segreto, quale sarà la sorte del dato. Questa è una legge che, più che sacrificare l'informazione, impone limpidezza e trasparenza nella gestione dei dati. C'è un'esigenza di conservare dei dati per trenta, per cinquanta, per settanta anni? Bene, basta dirlo.

Questo è un problema reale, ed è un problema di cui la Camera si è resa conto approvando un ordine del giorno che invitava il Governo a rafforzare quest'organo. Questo invito è stato accolto escludendo un congruo numero di notificazioni, è stato eliminato l'obbligo di notificazione per tutti i dati relativi a persone giuridiche, enti associazioni, e per tutti i dati di carattere manuale. E' stato introdotto per le aziende un sistema di notificazione semplificato, per cui ci si potrà avvalere di moduli forniti dai registri delle imprese delle Camere di commercio, che hanno un'esperienza consolidata su questo tipo di operazioni. Il decreto delegato regolerà eventuali ipotesi che ora non siamo in grado di prevedere in maniera esauriente. Va notato che la Convenzione di Strasburgo obbliga gli Stati a garantire a chiunque di conoscere l'esistenza di un trattamento. Questo lo si ottiene informando l'interessato, oppure prevedendo un sistema di notificazione pubblica, dal quale si deve arguire che l'interessato è legalmente informato. La Direttiva prevede l'obbligo di informare l'interessato quando il dato non è stato raccolto presso di lui, quindi non ha potuto essere informato al momento della raccolta.

Il testo approvato dal Consiglio dei Ministri prevede un collegamento funzionale, che dovrà essere sviluppato, tra il Garante per la protezione dei dei dati e l'AIPA.

Questo articolo trova spiegazione in un verbale della Commissione Giustizia della Camera...

...ed è perfettamente corrispondente con la Direttiva comunitaria...

Mi dispiace, per me è un testo chiarissimo.

Questo provvedimento si applica agli archivi cartacei, limitatamente a quelle informazioni che sono già inserite in un archivio definito dall'articolo 1, o possono esservi inseriti successivamente. Che cosa significa "possono essere inseriti successivamente"? Significa che, poiché la Direttiva e il disegno legge prevedono un sistema di garanzie dell'interessato e poiché, limitatamente ai dati cartacei, si vuole disciplinare soltanto i dati che sono inseriti in una banca dati, qualcuno potrebbe raccogliere dei dati riservandosi di registrarli successivamente. La Convenzione di Strasburgo prevedeva questo sistema di garanzie a partire dalla registrazione dei dati, il che ha portato a fenomeni di elusione su scala europea, perché nella fase della raccolta i diritti dell'interessato non erano garantiti. La Direttiva ha anticipato questa sfera di tutela al momento della raccolta. Qui si innestano due esigenze: disciplinare la fase della raccolta da un lato, e dall'altro evitare di applicare la disciplina anche ai dati cosiddetti "dispersi", al semplice foglio di carta o a un insieme non strutturato di fogli di carta, ma soltanto a vere e proprie banche dati cartacee. Come si fa quindi a stabilire quando si è in presenza di un foglio disperso se questo foglio può essere successavimante inserito in un archivio? Nel precedente disegno di legge avevamo usato l'espressione "destinati a essere registrati". I Deputati hanno detto che quella formulazione della norma non era condivisibile, in quanto dava rilevanza a una destinazione di carattere soggettivo, a un'indagine sull'intenzione del titolare, che era di difficile configurazione. Hanno voluto un sistema obiettivo, imponendo al titolare un onere al momento della raccolta. Il titolare, quando raccoglie un dato, ha l'onere di applicare le garanzie prevste dalla legge, se è ipotizzabile che quel dato possa essere inserito in una banca dati anche in un momento sucessivo. Sostanzialmente si giunge a un sistema in base al quale non si dovranno applicare le regole soltanto quando è escluso alla radice che un dato disperso possa essere inserito successivamente in una banca dati. Non si può andare in giro a raccogliere dati, per sondaggi o per altre cose, magari raccogliendo informazioni su opinioni politiche, e poi decidere, al di fuori di un quadro di garanzie, di registrarli in una banca dati e avvertire l'interessato solo in quel momento. L'interessato deve essere avvisato al momento della raccolta.

Chiariamo una cosa: la legge non si occupa di tutte le BBS in quanto tali, ma solo degli aspetti che si riferiscono alla diffusione di dati personali. Altri generi di informazioni non ci interessano. Per queste operazioni molti Stati prevedono una procedura di carattere autorizzatorio, cioè non si possono esportare dati se non c'è una specifica autorizzazione. C'è poi dappertutto un divieto di esportazione dei dati se il paese di destinazione non offre una protezione di grado equivalente. C'è una giurisprudenza consolidata delle autorità di controllo europee, che dialogo intensamente tra loro. C'è una uniformità di vedute circa il grado di protezione offerto nel paese destinatario, non solo a livello di leggi, ma anche con mezzi di tutela supplementari, contrattuali, norme civilistiche e così via. Ma ormai sono stati monitorati, se così si può dire, tutti i paesi, anche per i traffici che riguardano le prenotazioni delle compagnie aeree e simili. Noi abbiamo previsto una disciplina snella, che non necessita di autorizzazione. C'è soltanto l'attesa di un termine. Chiariamo anche che un conto è la consultazione, che non è oggetto di attesa del termine, e un conto è l’esportazione. L’attesa c'è solo quando si devono mandare dei dati all'estero. Il meccanismo di informazione di cui all'articolo 18, comma 3, esiste in riferimento a banche dati che hanno la loro sede e la loro gestione in territorioestero. Internet non rientra nel campo italiano, quindi rientra in questa disciplina. Il trattamento di dati personali che hanno una loro disciplina all'estero, e Internet ha una disciplina anche in altri paesi, non trova disciplina necessaria in ambito italiano, per evitare una sovrapposizione di disposizioni. Sostanzialmente si confida nelle disposizioni protettive della disciplina straniera. Nel caso di banche dati di società collegate o controllate, che dialogano tra loro per via telematica, si forma un unico sistema complesso e si procede a una sola notificazione.

Internet è al centro dell'attenzione delle autorità che in campo europeo e in campo americano si occupano della protezione dei dati. La Direttiva prevederà un comportamento uniforme verso Internet da parte di tutti i paesi europei. Il 25 e 26 febbraio ci sarà a Bruxelles un vertice del G7 sulla società dell'informazione, che affronterà queste tematiche partendo dal Rapporto Bangemann. In questo ambito si parlerà anche della protezione dei dati. Anche tra le imprese è ormai pacifico che lo svluppo della società dell'informazione deve portare ad una diffusa affidabilità degli strumenti informatici, affidabilità che esiste se il cittadino è posto in condizione di essere garantito anche da un punto di vista psicologico contro l'uso illegittimo delle informazioni.

[RIQUADRATO]

Leggi chiare per la società dell’informazione

La protezione dei dati individuali è un argomento di capitale importanza nella società dell’informazione. Aumentano infatti di giorno in giorno gli archivi digitali che contengono informazioni sulle persone. Dalle banche alle strutture sanitarie, dagli abbonamenti a pubblicazioni cartacee o elettroniche alle “mail list” di Internet, su ciascuno di noi si accumulano dati su dati che, correlati tra loro, possono aiutare a costruire “profili” estremamente dettagliati di ogni cittadino.

Nel disegno di legge (che da ora in poi chiameremo forse “legge Buttarelli”) tutto questo è previsto, regolamentato e sanzionato, in armonia con le disposizioni presente nelle legislazioni europee, e non solo europee. Qui occorre una prima considerazione molto interessante: le leggi della società dell’informazione nascono già come leggi in qualche modo internazionali o sovranazionali, proprio per la caratteristica di “ubiquità” che oggi ha assunto l’informazione. Non serve regolamentare il funzionamento di una banca dati in Italia, quando dall’Italia posso elaborare in tutta tranquillità dati presenti un un computer che si trova in Francia o in Groenlandia o in Madagascar. Sappiamo bene che ormai il luogo fisico in cui si trovano un’informazione o un sistema di eleborazione non ha rilevanza per le possibilità di trattamento, se non per la bolletta telefonica.

Ma lo sviluppo della società dell’informazione comporta un sostanziale progresso nella partecipazione di tutti gli individui alla conoscenza e aumenta il numero di persone coinvolte nei processi decisionali, fino a far intravvedere un’utopia che si chiama “democrazia elettronica”. Questo significa che cresce ogni giorno il numero di individui che vogliono sapere e vogliono conoscere, perché vogliono decidere con la propria testa. Dunque vogliono essere informati anche sulle leggi che li riguardano (Lo dimostra il numero di lettere che MCmicrocomputer riceve sugli argomenti pubblicati in queste pagine. Le richieste e i suggerimenti in materia di informatica e diritto aumentano di giorno in giorno). Quindi si deve porre il problema di scrivere leggi che il cittadino medio riesca a capire, per poterle osservare.

Osserva Buttarelli nell’intervista che la tecnica legislativa si deve preoccupare di una serie di problemi molto complessi, e quindi le leggi non sono scritte per essere capite dall’uomo della strada, ma per essere interpretate dagli esperti.

Non è il caso di tediare i lettori di una rivista di informatica con sottili disquizioni giuridiche. Basti dire che nelle facoltà di Giurisprudenza esiste una materia che si chiama “Teoria dell’interpretazione giuridica”, che in molti casi confina con la “Filosofia del diritto”, disciplina spesso astrusa e comunque di scarso interesse per l’uomo della strada. Ma un’osservazione non può essere tralasciata: le leggi dovrebbero essere scritte in modo che le capisca chi le deve rispettare, prima di chiamare in causa l'interpretazione che ne possono dare i giudici nel momento in cui il cittadino sia chiamato a rispondere della loro violazione. E' una situazione paradossale: la legge viene interpretata solo nel momento in cui si rileva una possibile violazione. Poi, magari, dall'interpretazione compiuta dal giudice si conclude che la violazione non c’è stata. C'è qualcosa che non va, in questo meccanismo.

La legge in sintesi: resta il problema di Internet

Dalle spiegazioni sul disegno di legge fornite dal suo “dominus” Giovanni Buttarelli, si può provare a trarre una sintesi su quello che bisognerà fare se la legge verrà approvata in questa forma, cosa che appare molto probabile.

1. La maggior parte dei trattamenti di dati che riguardino persone fisiche dovranno essere notificati al Garante. Attenzione: quello che va notificato è il trattamento, non la banca dati in sé.

2. Il trattamento di dati ad uso personale, anche se contenuti in archivi informatici, non deve essere notificato. All’uso personale è equiparato l’uso professionale in un’attività di lavoro autonomo.

3. La notificazione può valere per più banche dati e per più trattamenti, e deve contenere una serie di indicazioni sullo scopo della raccolta, del trattamento e della sua durata, che può essere anche molto lunga o addirittura a tempo indeterminato, se lo scopo lo giustifica. Trascorso il tempo indicato, i dati possono essere “congelati” o resi anonimi, e non possono essere ceduti a terzi per scopi diversi da quelli indicati nella notificazione.

4. Ogni individuo ha il diritto di essere informato se esistono dati che lo riguardano, per quale motivo vengono raccolti e conservati; può opporsi alla loro comunicazione o diffusione e può esigere che vengano corretti o completati nel caso presentino inesattezze o omissioni.

5. Uno dei diritto fondamentali del cittadino è il “diritto all’oblio”: le informazioni, al di fuori di casi particolari, non possono essere conservate all’infinito, perché potrebbero trasformarsi in una specie di “condanna a vita” (norme di questo genere esistono già per il Casellario Penale).

6. Il disegno di legge non riguarda le strutture telematiche (BBS e altre) se non per il fatto che possono comprendere archivi di dati personali. Deve essere quindi notificato il trattamento, come per qualsiasi altra banca dati. Si deve anche notificare l’eventuale esportazione di dati, con trenta giorni di anticipo.

Quest’ultimo punto lascia alcuni margini di indeterminatezza. Quando una struttura telematica è collegata a Internet, può ricevere e mandare dati in tutto il mondo, senza la possibilità di prevedere dove e quando. E quindi anche in paesi che non offrono le stesse garanzie di protezione in vigore nello Stato di origine. Il problema è complesso e dovrà essere risolto in sede comunitaria. La Direttiva che sarà emanata tra alcuni mesi stabilirà norme comuni per tutti i paesi europei.