dalla registrazione d’ogni traccia che lasciamo,
…. potrà nascere la libertà di donne e uomini …”
Stefano Rodotà
(…) considerando che l’instaurazione e il funzionamento del mercato interno, nel quale, …, è assicurata la libera circolazione delle merci, delle persone, dei servizi e dei capitali, esigono non solo che i dati personali possano circolare liberamente da uno Stato membro all’altro, ma che siano altresì salvaguardati i diritti fondamentali della persona;”
Questi due “considerando” della Direttiva 95/46/CE ci indicano molto chiaramente il motivo per cui la Comunità Europea ha disciplinato, prevedendo un regime di rigorosa tutela e protezione, tutte le operazioni di raccolta, conservazione ed elaborazione dei dati personali, imponendo, di conseguenza, a tutti gli Stati membri, di adottare quella normativa nazionale che obbliga ogni cittadino (e impresa), a gravosi adempimenti burocratici nel trattamento dei i dati individuali.
E tutto ciò, almeno in origine, solo per la piena realizzazione del mercato interno!?
In realtà, questo “prestito”, attinto dal legislatore comunitario dalla tradizione culturale (più che dal diritto) anglosassone, ha motivazioni ben più profonde.
La “protezione dei dati personali” ha assunto sempre più consistenza come aspetto fondamentale del “diritto alla riservatezza”, e questo “diritto alla privacy” (da alcuni definito come “costellazione di diritti”) è, non solo in se stesso, un valore essenziale della persona, bensì spesso è strumentale alla fruizione di altri diritti fondamentali (quali il diritto di cronaca, di iniziativa economica, al lavoro, alla salute, ecc.); ecco la ratio per cui il legislatore comunitario, proteggendo lo scambio di dati personali, ha inteso tutelare maggiormente anche la riservatezza della vita privata degli individui, in base ad una equazione, per la verità, non sempre così automatica.
Naturalmente il Parlamento italiano è intervenuto per recepire la citata Direttiva, con la nota legge 31/12/1996 n.675 sul “trattamento dei dati personali”. In seguito, al fine di razionalizzare le norme esistenti, il Decreto legislativo n. 196 del 30/6/2003, ha riunito in un testo unico la legge anzidetta (esplicitamente abrogata, anche se restano numerosi gli atti – persino “ufficiali” delle Pubbliche Amministrazioni – nei quali appare ancora un riferimento alla “675” come se fosse ancora in vigore…), e gli altri atti normativi che si sono succeduti, tenendo conto della Direttiva 2000/58/CE sulla “riservatezza delle comunicazioni elettroniche” e delle decisioni dell’ufficio del Garante per la protezione dei dati personali. In generale, l’ordinamento giuridico comunitario e, in particolar modo, quello italiano, hanno plasmato, accanto alle potestà tradizionali, i poteri Garanti. In altri termini il sistema ha sentito la necessità di configurare, per alcuni diritti fondamentali della persona, una forma rafforzata di salvaguardia e di vigilanza, affidata a organismi autonomi sottratti al circuito parlamentare e governativo.
Il “Codice della privacy” si pone come il primo modello di codificazione organica e completa (e finora unico in ambito europeo) della materia; esso introduce molti profili innovativi nella normativa, e intende garantire che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali (tutelati, in generale, dalla Costituzione della Repubblica), nonché della dignità delle persone fisiche, con particolare riferimento alla riservatezza e all’identità personale (la tutela si estende anche ai diritti delle persone giuridiche).
La norma impone a tutte le imprese pubbliche e private, e a tutti coloro che trattano dati personali – specie se sensibili e giudiziari – di attuare una lunga serie di adempimenti per garantire che questi dati non vadano persi o cadano in mani sbagliate. Alle aziende e ai professionisti si chiede molto. E non si tratta solo di provvedimenti una tantum, ma di riorganizzare le attività e di formare il personale sulla base delle nuove norme, poiché il nuovo decreto presuppone un aggiornamento e una verifica continui, applicandosi sia al trattamento dei dati con mezzi informatici, che con altri mezzi come gli archivi cartacei.
Chi non si adegua rischia pesanti sanzioni sia amministrative, che penali (ritenute da molti eccessive, specie se “l’incauto trattamento di dati” non abbia causato danni concreti): multe e/o reclusione per punire il “reato” di omessa adozione di misure di sicurezza, fatto salvo il diritto degli eventuali danneggiati di chiedere il risarcimento dei danni ex art.2050 del Codice Civile. I controlli, precedentemente gestiti dalla sola struttura del Garante, sono stati ora affidati alla Guardia di Finanza ed alla Polizia Postale, certamente molto più presenti negli ambiti aziendali.
Per altro verso, il Codice della privacy prevede la fattispecie di reato di “Trattamento illecito di dati“, per il quale è punito con pene detentive gravi (da un minimo di sei mesi a un massimo di tre anni), colui che, dolosamente, comunica o diffonde dati personali senza i requisiti richiesti dalla legge (o peggio per trarne profitto ovvero per causare un danno ad altri). È necessario precisare però, che, come ha ribadito una recente giurisprudenza, perché si configuri il reato, si deve verificare un “danno patrimoniale concreto” per l’interessato titolare dei dati.
Andando oltre questi aspetti strettamente tecnici, anche se molto rilevanti per le libertà (e il patrimonio) dei cittadini, il nucleo centrale della tutela legale della privacy sta nel concetto per cui i “dati personali sono beni giuridici meritevoli di tutela” e, in quanto tali, ne viene determinato il modo di utilizzo e protetta l’integrità.
Altro concetto cardine è che ognuno di noi è “proprietario assoluto” dei suoi dati personali, e in quest’ottica diviene anche “garante di sé stesso”, in caso di uso scorretto o non spontaneamente permesso. L’interessato può e deve, in primo luogo, agire direttamente nei confronti del soggetto in possesso dei dati (titolare), chiedendo che i suoi diritti, se violati, vengano ripristinati. L’interessato, dopo essersi rivolto al titolare del trattamento, in mancanza di soddisfazione, può rivolgersi all’Autorità giudiziaria o, con ricorso, direttamente al Garante.
Occorre riconoscere che questo complesso di norme è, per i profani, piuttosto complesso e ostico; le regole e i principi sono numerosi, e per di più, vanno letti in modo combinato, così da scoprire che determinati adempimenti, in assenza delle condizioni richieste dalla legge, in realtà, non sono obbligatori per tutti (es. la redazione del Documento Programmatico sulla sicurezza -DPS- misura che deve essere adottata solo quando il trattamento abbia ad oggetto dati sensibili o giudiziari e sia effettuato con strumenti elettronici; il consenso scritto non serve quando il trattamento è necessario ad adempiere un obbligo di legge, o derivante da un contratto, e negli altri casi elencati nell’art.24 del Codice). Tuttavia il “timore” ispirato dalla complessità di queste norme ha permesso, e permette ancora, a molti “professionisti della privacy” (spesso se dicenti e interessati solo a vendere il proprio prodotto software), di imporre a tanti soggetti, svantaggiati per cultura giuridica (come piccole imprese commerciali e artigianali, o singoli professionisti), inutili e pesanti adempimenti, frutto di costose quanto superflue consulenze.
Indubbiamente, la grande trasformazione tecnologica ha cambiato il quadro dei diritti civili e politici, e ha ridisegnato il ruolo dei poteri pubblici, mutando i rapporti personali e sociali. E’ giusto invocare la protezione della vita privata, ma non basta, quando il nostro modo di vivere é divenuto un flusso continuo e inarrestabile di informazioni, che noi stessi alimentiamo per avere accesso a beni e servizi. La legittimazione sociale della tecnologia, allora, non può essere affidata soltanto all’imperativo della sicurezza o alla logica dell’efficienza economica. Deve essere sempre misurata con il metro della democrazia e del rispetto della persona, soprattutto nel nuovo mondo della comunicazione elettronica di Internet.
La rete sta realizzando una nuova, grande redistribuzione del potere, per questo è continuamente a rischio. In nome della sicurezza si restringono libertà, come in nome di una logica di mercato miope si restringono possibilità di accesso alla conoscenza. Il web rischia di divenire (o è già diventato) uno strumento per controllare i milioni di persone che se ne servono, per impadronirsi di dati personali contro la volontà degli interessati, per chiudere in recinti “proprietari” le nuove forme della conoscenza. Senza una forte tutela delle informazioni che le riguardano, le persone rischiano sempre di più d’essere discriminate per le loro opinioni, credenze religiose, condizioni di salute: la privacy si presenta cosi come un elemento fondamentale dalla “società dell’eguaglianza”.
Ma curiosamente la difesa della privacy si afferma in una realtà in cui nessuno sembra desiderala più. In passato la persona comune era estremamente gelosa della propria vita privata e temeva il pettegolezzo, oggi benché i delegati a proteggere la privacy si diano da fare per impedire che dati personali, comunque raccolti, vengano indebitamente divulgati, la persona comune non perde occasione per cornunicarli, compila decine di certificati di garanzia per oggetti che mai nessuno gli riparerà, richieste di essere tenuto al corrente su prodotti commerciali di poco conto, risponde a questionari, ecc. ecc.
Pertanto il lavoro vero, cui devono dedicarsi le varie autorità per la difesa della privacy, non sarà di assicurarla a coloro che la sollecitano (percentualmente pochi sul totale della popolazione), bensì di farla considerare un bene prezioso a coloro che vi hanno entusiasticamente rinunciato. Dipende anche da noi…
dal film “Nemico Pubblico” di Tony Scott (1998)
1
GUCE L 281 del 23/11/1995, pag.31 – 50
É un organo collegiale, composto da quattro membri eletti dal Parlamento, i quali rimangono in carica per un mandato di quattro anni rinnovabile. (www.garanteprivacy.it)
L’attuale collegio, presieduto da Francesco Pizzetti in sostituzione di Stefano Rodotà, si è insediato il 18 aprile 2005.
“1. Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall’articolo 33 è punito con l’arresto sino a due anni o con l’ammenda da diecimila euro a cinquantamila euro.”
In seguito è prevista una modalità di estinzione di questo vero e proprio “reato”, per cui all’autore viene assegnato un termine entro il quale adottare le misure di sicurezza. Se al successivo controllo risulta l’adempimento, l’autore del reato è ammesso dal Garante a pagare una somma pari al “quarto del massimo dell’ammenda stabilita per la contravvenzione”.
·
·
·
·
Per esercitare questi e gli altri diritti previsti dall’articolo 7 del Codice occorre presentare un’istanza al titolare o al responsabile (se designato), senza particolari formalità . Sul sito del Garante è disponibile un modello da utilizzare per esercitare questi diritti. L’istanza può essere presentata direttamente al titolare (o al responsabile, se designato) o anche essere trasmessa mediante lettera raccomandata, telefax o posta elettronica.
Privacy: riservatezza e protezione dei dati
“…solo se non saremo implacabilmente seguiti
“…considerando che i sistemi di trattamento dei dati sono al servizio dell’uomo; che essi, indipendentemente dalla nazionalità o dalla residenza delle persone fisiche, debbono rispettare le libertà e i diritti fondamentali delle stesse, in particolare la vita privata, e debbono contribuire al progresso economico e sociale, allo sviluppo degli scambi nonché al benessere degli individui;
Alberto Monari
“la sola privacy che avete è nella vostra testa. E forse neppure in quella”
Brevi paragrafi di testo, numerati progressivamente, che costituiscono il preambolo degli atti normativi vincolanti nel sistema comunitario. Essi elencano le motivazioni politico-giuridiche che hanno portato all’adozione dell’atto.
Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
Cfr. “Il Codice italiano della privacy nella prospettiva europea” di Giuseppe Santaniello, su Interlex (www.interlex.it) del 19/01/2004.
“Codice in materia di protezione dei dati personali”, pubblicato in GURI n.174 del 29.07.2003, entrato in vigore il 1 gennaio 2004.
Il Garante per la protezione dei dati personali è un’autorità indipendente istituita originariamente dalla legge 675 per assicurare la tutela dei diritti e delle libertà fondamentali ed il rispetto della dignità nel trattamento dei dati personali.
I dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, politico, filosofico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale, possono essere trattati soltanto con il consenso scritto dell’interessato e con l’autorizzazione del Garante (art.4 e 20 Dlgs.196/2003).
I dati personali idonei a rivelare le imputazioni contenute nel casellario giudiziale, i dati dell’anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato in un procedimento penale.
Il Codice richiede l’adozione di due tipi di misure di sicurezza, quelle “minime” e quelle “idonee”, da adottare a seconda del tipo di dato personale trattato, per garantire che questi ultimi siano custoditi e controllati, al riparo da rischi.
In particolare, occorre, a titolo esemplificativo: proteggere e inventariare tutte le banche dati, adottare misure logistiche e fisiche di protezione, adeguarsi agli obblighi di informativa e consenso, nominare i responsabili e incaricati, formare il personale preposto, redigere, nei casi richiesti, il Documento Programmatico sulla Sicurezza e aggiornarlo annualmente.
Art. 2050 c.c.(Responsabilità per l’esercizio di attività pericolose). “Chiunque cagiona danno ad altri nello svolgimento di un’attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno”. E’ interessante sottolineare come la legge consideri il “trattamento dei dati personali”, dal punto di vista civilistico, un’attività “pericolosa”, che può oggettivamente produrre un danno, economicamente valutabile.
Art. 169 Dlgs.196/03 Misure di sicurezza
Titolo III Sanzioni, Capo II Illeciti Penali, Art.167 Dlgs.196/03.
Corte Suprema di Cassazione, III° sez. penale. Sentenza n. 30134 del 9 luglio 2004.
La Corte ha spiegato che, per effetto della modifica legislativa del Dlgs.196/03, il reato di “Trattamento illecito di dati” è divenuto da “reato di pericolo presunto”, un “reato di pericolo concreto”: di conseguenza, affinché la condotta di chi diffonde dati personali altrui sia punibile, è necessario che tale diffusione abbia determinato un “danno patrimoniale apprezzabile”; in caso contrario, la violazione è solo formale e, quindi, non punibile.
Cfr. “Privacy e misure di sicurezza, alla luce del codice in materia di tutela dei dati personali” di Maurizio Sala e Marco Vincenti, in: “Archivio Civile, n. 6, 2004” editrice La Tribuna.
Anche in presenza di un esplicito consenso al trattamento, la legge si preoccupa di disciplinare il modo in cui i dati debbano essere trattati. L’articolo 11 del DLgs. 196/2003, impone che i dati acquisiti e trattati debbano essere pertinenti, completi e non eccedenti rispetto alle finalità per i quali sono raccolti o successivamente trattati.
Il Dlgs.196/03 riconosce all’interessato (è la persona fisica o giuridica, l’ente o l’associazione cui si riferiscono i dati) vari diritti nei confronti del titolare del trattamento tra i quali, in particolare, il diritto:di accedere ai dati che lo riguardano,di ottenerne l’aggiornamento, la rettificazione o l’integrazione,di ottenerne la cancellazione, la trasformazione in forma anonima o il blocco, se trattati in violazione di legge,di opporsi al trattamento effettuato a fini promozionali, pubblicitari o commerciali oppure in presenza di motivi legittimi.
Cfr. Art.19 ALLEGATO B al Dlgs.196/2003: Disciplinare tecnico in materia di misure minime di sicurezza.
Cfr. “L’uomo nuovo di internet” di Stefano Rodotà, inserto “Cultura” de “la Repubblica” 28/10/2005.
Cfr. “Il problema non è garantire la privacy. E’ educare chi non la vuole ad apprezzarla” Umberto Eco, da “Espresso” 28/5/1998.