La Privacy (e tutto ciò che è ad essa correlato) rappresenta, oggi, un argomento molto attuale e dibattuto. Questo articolo, come un filo di Arianna, si propone come "guida" nell'intricato bosco normativo, visualizzando gli aspetti più importanti di un settore delicato ed importante, soprattutto in relazione alle nuove metodologie di informazione.

L’assunzione delle informazioni relative a persone da parte di uffici, enti pubblici ed istituzionali, mass - media, società fornitrici di beni e servizi, e, comunque da parte di organismi preposti al contatto con gli utenti, è prassi costante ed incide spesso sugli aspetti più riposti della personalità. Per raggiungere lo scopo si utilizza qualsiasi mezzo, disposti, talvolta, ad infrangere qualsiasi confine. Difronte a tale prassi, si è, pertanto, avvertita l’esigenza e l’urgenza di tutelare, delle persone, il fondamentale diritto alla riservatezza, alla privacy, relativo al "patrimonio" personale proprio di ciascuno.

Inoltre, con l’avvento delle nuove tecnologie relativamente alla circolazione delle informazioni, ed in particolare di Internet, tale esigenza, nel cyberspazio, è diventata più pressante alla luce dello spirito che accompagna il www, cioè la libera diffusione delle notizie e delle informazioni in rete. E’ evidente, però, che operare in uno spazio virtuale comporta maggiori difficoltà nell’effettuare i necessari controlli per assicurare la privacy degli internauti.

In Italia, il processo normativo per l’introduzione di una disciplina apposita è stato lungo e tortuoso ed è giunto in ritardo rispetto agli altri paesi in ambito comunitario, tuttavia, il modello attualmente esistente risulta essere uno dei più moderni e garantisti.

Il processo suddetto è iniziato con la ratifica e conseguente esecuzione della Convezione Europea sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale (L. 98/1989). Successivamente si è pensato di attuare, senza apportare modifiche, la Direttiva CE sulla protezione dei dati (n.46/1995) ed infine si è approvata la L. n.675/1996.

La disciplina, relativa alle banche di dati personali è articolata in diverse fonti normative. Infatti, oltre alle numerose disposizioni che in vari settori (dal casellario giudiziale alla riforma della polizia, dallo statuto dei lavoratori ad altri singoli provvedimenti) hanno provveduto a tutelare i diritti della persona connessi con la privacy, di recente si debbono considerare, oltre alla citata legge, entrata in vigore l’8/5/97, i seguenti provvedimenti:

• L. n. 676/96, di delega al Governo per l’emanazione di disposizioni integrative della legislazione in materia;

• D. Lgs. n.123/1997, con cui si sono apportate alcune modifiche alla L. 675/1996;
• il Regolamento di attuazione della L. 675/1996;
• i provvedimenti del Garante per la protezione dei dati personali, cioè le deliberazioni dell’Autorità amministrativa indipendente, istituita dalla L 675/1996;
• D. Lgs. n.135/1999, con il quale si è disciplinato il trattamento dei dati personali da parte dei soggetti pubblici;
• DPR n.318/99, sui sistemi informativi e la tutela dei dati personali, con il quale si sono adottate le misure minime di sicurezza per trattamento di dati personali e le relative sanzioni;
• D. Lgs. n.467/01, dettante le disposizioni correttive ed integrative della normativa in materia di protezione dei dati personali.

La legge 675/96 fissa i termini per gli adempimenti da parte di coloro che detengono ed utilizzano banche di dati personali, stabilendo le regole di natura amministrativa, le sanzioni penali e, soprattutto gli scopi della normativa, volta essenzialmente a garantire la persona.

Le finalità sono, pertanto, precisate all’Art. 1 che stabilisce che il trattamento dei dati personali si deve svolgere nel " rispetto dei diritti, delle libertà fondamentali, nonché della dignità delle persone fisiche, con particolare riferimento alla riservatezza e all’identità personale"; tali garanzie sono estese anche ai diritti "delle persone giuridiche e di ogni altro ente o associazione". In una società esposta all’evoluzione delle tecnologie informatiche e caratterizzata dalla circolazione delle informazioni va indispensabilmente assicurata la tutela della persona, sia essa individuo, sia ente, in ogni settore ed occasione di vita di relazione.

Per meglio capire lo spirito della normativa è utile specificare cosa s’intende per "banca di dati", per "titolare" di banca di dati, per "responsabile" di banca di dati, per "dato personale", per "interessato", per "trattamento".

Per banca di dati s’intende un complesso di dati personali, ripartito in una o più unità, dislocate in uno o più siti, organizzato secondo una pluralità di criteri determinati in modo da facilitarne il relativo trattamento.

Per titolare s’intende la persona fisica, l’ente pubblico o privato cui competono le decisioni in ordine alle finalità ed alle modalità di trattamento.

Per responsabile s’intende la persona fisica o l’ente preposto dal titolare al trattamento.

Per dato personale s’intende qualunque informazione relativa a persona fisica e/o ente, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione.

Per interessato s’intende la persona fisica o l’ente a cui si riferiscono i dati personali.

Infine, per trattamento s’intende qualunque operazione inerente a dati personali, effettuata anche con l’ausilio di mezzi elettronici.

Oggetto della disciplina sono, quindi, sia banche organizzate mediante mezzi elettronici, sia tramite sussidi cartacei o in ogni altra forma mista ed anche nel caso in cui i dati siano detenuti all’estero.

I principi fondamentali a cui si ispira la legge sono due: da un lato, la libertà di raccolta, trattamento, comunicazione e trasferimento dei dati personali; dall’altro, il rispetto dei diritti della persona. Tali principi sono in contrapposizione, ma si ricompongono in unità, attraverso delle griglie, rappresentate da diritti, obblighi, modalità, adempimenti, divieti e sanzioni che, assicurano, almeno sulla carta, l’osservanza del secondo principio ispiratore della legge. Si ricava, quindi, un vero e proprio Codice dell’Informazione.

Per quanto riguarda le modalità di esercizio del primo principio, la legge prevede dei limiti.

Le operazioni di raccolta, di trattamento ecc. sono libere, ma devono avvenire in maniera trasparente e corretta. Il titolare è, infatti obbligato a notiziare il Garante dell’esistenza della banca di dati e del relativo trattamento se ciò reca pregiudizio ai diritti ed alle libertà dell’interessato. Inoltre, i dati devono essere trattati in modo lecito e secondo correttezza, raccolti e registrati per scopi determinati, espliciti e legittimi. Essi possono essere utilizzati in altre operazioni del trattamento, ma non in termini incompatibili con gli scopi per cui sono stati raccolti e, se necessario, possono essere aggiornati, sempre nel rispetto delle finalità del trattamento. Infine, devono essere conservati in una forma che consenta l’identificazione dell’interessato per un periodo di tempo non superiore a quello necessario allo scopo per il quale sono stati raccolti o successivamente conservati.

L’interessato, per come sopra definito, ha diritto:

• a conoscere, mediante accesso gratuito, l’esistenza di trattamenti di dati che possono riguardarlo;
• di essere informato sull’identità del titolare della banca di dati, del responsabile e delle finalità e modalità del trattamento;
• di ottenere l’acquisizione dei dati;
• di ottenere la cancellazione, la trasformazione in modo anonimo o il blocco dei dati trattati in modo illegale;
• di ottenere l’aggiornamento, la rettifica o l’integrazione dei dati;
• di conoscere l’identità dei soggetti ai quali i dati sono stati trasmessi;
• di opporsi per motivi legittimi al trattamento ed alla loro comunicazione a terzi per fini commerciali;
• di essere risarcito per il danno patrimoniale e morale.

Per quanto riguarda i dati, essi possono essere acquisiti solo con il consenso espresso dell’interessato, ed all’interno di essi, è necessario operare delle distinzioni.

Innanzitutto, vi sono dei dati che si possono raccogliere e trattare senza il consenso dell’interessato e cioè quelli raccolti e detenuti per:

• disposizione di legge, per l’esecuzione di obblighi derivanti da un contratto di cui sia parte l’interessato o per l’adempimento di un obbligo legale;
• i dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque;
• i dati utilizzati a scopo di ricerca scientifica o di statistica, sempre che siano anonimi;
• i dati acquisiti per l’esercizio della professione di giornalista, di attività economiche inerenti al segreto aziendale e industriale;
• i dati la cui raccolta è necessaria per la tutela della vita e dell’integrità psico-fisica dell’interessato e/o di terzi;
• i dati il cui consenso per la raccolta non è acquisibile per le condizioni in cui versa l’interessato al momento della raccolta;
• i dati la cui raccolta è necessaria per consentire l’espletamento di investigazioni da parte dei pubblici poteri e delle persone autorizzate e per far valere o difendere un diritto in via giudiziaria.

Tra i dati bisogna poi distinguere quelli c.d. sensibili , quelli "quasi sensibili" e quelli inerenti la salute . I primi sono idonei a rivelare:

1. l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni o organizzazioni a carattere religioso, filosofico, politico o sindacale;
2. lo stato di salute e la vita sessuale.

Per il trattamento di questi dati, oltre al consenso scritto dell’interessato, occorre l’autorizzazione del Garante. Inoltre, il trattamento di questa categoria di dati da parte di enti pubblici è consentito solo se previsto ed autorizzato da una specifica disposizione di legge, che precisi la natura dei dati, le operazioni eseguibili e le finalità di interesse pubblico perseguite. Relativamente alle associazioni, enti o organismi senza scopo di lucro, partiti e movimenti politici, comunità religiose, questi possono trattare i dati sensibili senza il consenso dell’interessato, ma solo con l’autorizzazione preventiva del Garante. I dati, però, devono essere riferirsi agli iscritti e non devono essere diffusi al di fuori dell’ambito dell’associazione o dell’ente. Il consenso dell’interessato e l’autorizzazione del Garante non sono necessari quando i dati sono relativi all’adesione ad associazioni e organizzazioni sindacali o di categoria e ad altre associazioni.

I secondi rappresentano una nuova categoria di dati, introdotta dall’ultimo provvedimento legislativo in materia. Caso tipico è dato dall’elenco di nominativi inseriti nelle centrali dei rischi a cui fanno riferimento gli istituti di credito in occasioni di finanziamenti o altre operazioni a terzi e che riguardano dati diversi dal semplice indirizzo o nominativo, ma meno riservati dei dati sulla salute. Il trattamento di tali dati presenta rischi specifici per i diritti e le libertà fondamentali e per la dignità dell’interessato, pertanto, è ammesso, nel rispetto di particolari accorgimenti e garanzie che saranno stabiliti dal Garante entro gennaio 2003.

I terzi, cioè quelli che evidenziano lo stato di salute, possono essere trattati dagli esercenti professioni sanitarie e dagli organismi sanitari pubblici con il consenso dell’interessato se hanno per oggetto la tutela della salute e dell’incolumità fisica, ed in questo caso non è necessaria l’autorizzazione del Garante. Se, invece, tali finalità riguardano un terzo o la collettività, il consenso dell’interessato può essere sostituito dall’autorizzazione del Garante. Tale dati sono resi noti all’interessato mediante un medico designato dallo stesso o dal titolare della banca di dati e la loro diffusione è vietata, salvo nei casi di prevenzione, accertamento e repressione di reati.

Per i dati personali è prevista una tutela di natura amministrativa e giurisdizionale.

Il primo tipo di tutela è affidato al Garante per la protezione dei dati personali, il secondo all’Autorità Giudiziaria Ordinaria. Nell’ambito del primo tipo, l’ultimo decreto legislativo amplia la competenza del Garante che, infatti, può bloccare il trattamento dei dati se risulta un’illecita utilizzazione o se il titolare non si adegua alle sue indicazioni. Per quanto riguarda, invece l’Autorità Giudiziaria, in caso di illegittimo trattamento le sanzioni previste sono penali, civili e amministrative. In campo civile, il risarcimento del danno può discendere o da una responsabilità di tipo contrattuale, che è relativa al rapporto tra l’interessato ed il titolare della banca dati, regolato da un contratto, oppure da una responsabilità extracontrattuale ( cioè al di fuori di un rapporto regolato da un accordo di natura contrattuale) relativa a rapporti anche tra l’interessato ed i terzi e che, può essere imputata a chiunque, non solo al titolare o al responsabile, ma a qualsiasi terzo.

Il trattamento dei dati personali da parte di soggetti pubblici, cioè Amministrazioni pubbliche, statali, regionali, provinciali e comunali, Enti pubblici con esclusione degli enti pubblici economici è disciplinato, come specificato sopra, dal d.lgs. n 135/99. Tali soggetti non necessitano di autorizzazione del Garante per il trattamento dei dati c.d. sensibili, purché esso sia effettuato:

• nel rispetto dei diritti, delle libertà fondamentali e della dignità dell’interessato;
• per svolgere attività istituzionali che non possono essere adempiute in modo diverso;
• in modo da assicurare l’esattezza, l’aggiornamento, la pertinenza e la completezza dei dati.

Il provvedimento in questione si riferisce soprattutto ai dati personali riguardanti lo stato civile, l’anagrafe e le liste elettorali, la cittadinanza, l’immigrazione e la condizione degli stranieri, l’esercizio dei diritti politici, il rapporto di lavoro, il volontariato e l’obiezione di coscienza, la tutela della salute, l’interruzione volontaria della gravidanza ed altre materie.

Tale quadro normativo in materia risulta applicabile, sia pure con le dovute eccezioni relative al particolare ambito virtuale in cui si opera, ad Internet.

Internet è stato correttamente definito dal Garante per la privacy nell’ultimo convegno internazionale come "un grande spazio che ha bisogno di regole, una dimensione che richiede un proprio quadro istituzionale." Cosa è emerso dal suddetto convegno? La necessità di approntare mezzi e tecnologie che consentano sul web il rispetto della vita privata, garantendo l’anonimato, la riservatezza, la possibilità di esprimere le proprie opinioni senza essere controllati o di fare acquisti senza essere sommersi da pubblicità non gradita. Non si può stravolgere il carattere di libertà della rete, ma è indispensabile coniugare tale libertà con dei principi da rispettare. Garanti di questi principi sono gli stessi internauti che hanno a loro disposizione la legge sulla privacy, che si auspichi che abbia, in tempi brevi, una diffusione ed un’osservanza internazionale. Navigare in rete è attualmente un’abitudine abbastanza diffusa, ma probabilmente, come si è evidenziato nel convegno, non si sa o non si riflette sulla circostanza che passare da un sito ad un altro significa lasciare la propria firma. Il navigante di Internet è un cittadino telematico inconsapevole che deposita in rete le più svariate informazioni sulla sua vita, i suoi gusti, le sue abitudini, cioè tutti quei dati che potrebbero essere utilizzati da coloro che operano in rete per scopi diversi, da una sorta di "controllo" ad una strategia di marketing.

Per questi motivi, il Garante Italiano per la privacy, Stefano Rodotà, insieme agli altri Garanti Europei, nell’ambito di una riunione comunitaria hanno adottato una Raccomandazione, indirizzata al Consiglio d’Europa, al Parlamento Europeo ed agli Stati membri, che stabilisce alcuni requisiti per la raccolta di dati personali online.

Il documento nasce dall’esigenza di fornire indicazioni concrete sia agli operatori del settore, responsabili del trattamento di dati personali nell’ambito di siti Web (i "titolari"), sia ai singoli cittadini, sia agli enti che, intendono creare una specie di "bollino di qualità," che certifichi la rispondenza delle procedure di trattamento dei dati utilizzate alle direttive dell’Unione Europea in materia.

Pertanto, i Garanti raccomandano:

• di fornire preventivamente a chiunque si colleghi ad un sito web che preveda la raccolta di dati personali le informazioni relative 1) all’identità ed indirizzo (elettronico o normale) del titolare; 2) alle finalità del trattamento; 3) all’obbligatorietà delle informazioni richieste all’utente; 4) alle modalità per esercitare i diritti di accesso, rettifica, cancellazione, opposizione al trattamento; 5) ai destinatari eventuali delle informazioni raccolte; 6) all’eventuale utilizzo di procedure automatiche per la raccolta dei dati; 7) alle misure di sicurezza adottate per garantire l’integrità e la riservatezza dei dati richiesti.
• di fornire le informazioni sopra elencate direttamene sul monitor del singolo utente, prima che avvenga la raccolta dei suoi dati, in modo da garantire la trasparenza e correttezza del trattamento.
• di procedere, da parte dei titolari, alla raccolta dei dati se la stessa risulta necessaria per le finalità specificate, se, invece, l’obiettivo può essere raggiunto senza elaborare dati personali, questi non devono essere raccolti. In tale ottica va accettato e favorito l’uso di pseudonimi, se quest’ultimi permettano di svolgere determinate transazioni. Inoltre, non devono essere raccolti più dati di quelli necessari per lo scopo dichiarato (c.d. principio di pertinenza) e quelli raccolti devono essere conservati solo per un periodo giustificato dalle finalità di trattamento.
• di non utilizzare indirizzi di posta elettronica ricavati da "aree pubbliche" di Internet (p.e. gruppi di discussione) per svolgere attività di marketing, nel caso in cui gli interessati non ne siano stati informati. Nel caso in cui, invece, tali informazioni siano state fornite e gli aventi diritto abbiano dato il loro consenso, l’uso di indirizzi di E mail per fini di marketing deve ritenersi lecito.

Infine, sempre in riferimento al Web, in base alle novità introdotte dall’ultimo decreto in materia, entro breve tempo il Garante per la privacy promuoverà un codice deontologico per il trattamento dei dati anche in Internet.

avv. Maria Cipparrone