Francesco Pizzetti
TUTELE DELLA RISERVATEZZA E DATI PERSONALI NELLA SOCIETA' CONTEMPORANEAFacoltà di Giurisprudenza, Aula Conferenze
Modena, 15 marzo 2010
La materia della protezione dei dati personali e l’attività dell’Autorità che presiedo presentano aspetti molto affascinanti e ricchi di sfaccettature.
Secondo la normativa europea (Direttiva n. 95/46/Ce) e italiana (l. n. 675 del 1996 e ora d.lgs n. 196 del 2003, Codice in materia di protezione dei dati personali) tutte le informazioni riconducibili ad una persona identificata o identificabile sono considerate dati personali. In molti Paesi europei la normativa disciplina esclusivamente il trattamento dei dati delle persone fisiche, mentre in Italia sono definiti dati personali anche quelli che si riferiscono alle persone giuridiche, società, imprese ed enti pubblici.
Il decreto legislativo 30 giugno 2003, n. 196, denominato Codice in materia di protezione dei dati personali, con il quale il legislatore, dopo diversi interventi legislativi, ha realizzato un’importante operazione di sistemazione normativa, riconosce all’art. 1 il diritto alla protezione dei dati, garantendo gli strumenti di tutela ad esso correlati non solo alle persone fisiche ma anche alle persone giuridiche.
Il Codice, che tra l’altro ha completato il recepimento della direttiva n. 95/46/Ce, prevede inoltre che ogni trattamento di dati deve svolgersi nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali.
Pertanto, il diritto alla protezione dei dati non solo viene riconosciuto come diritto fondamentale della persona ma, accanto al diritto alla riservatezza e all’identità personale, costituisce il confine invalicabile di qualsiasi attività di trattamento.
Le disposizioni del Codice sono incentrate sulla tutela della persona sia come singolo, sia come soggetto che vive e opera all’interno di una società sempre più innescata nel processo di globalizzazione. Per questo la protezione dei dati deve essere garantita nel rispetto delle esigenze di una civiltà moderna, divenire effettiva e assecondare il progresso economico e sociale, nonché l’evoluzione delle tecnologie e la sicurezza degli individui.
In questo delicato rapporto tra effettività di tutela e crescita sociale, il ruolo dell’Autorità è quello di concorrere a realizzare il giusto ed equilibrato bilanciamento tra le differenti modalità con le quali il singolo intende partecipare alla società civile.
L’Autorità è chiamata a vigilare sull’intenso e crescente uso dei dati, dalla raccolta allo scambio, alla messa in circolazione, assicurando contestualmente che tali dinamiche avvengano nel rispetto delle regole giuridiche e di correttezza, al fine di ingenerare nei cittadini una visione fiduciosa della società e della realtà quotidiana, correlata alla certezza che sia sempre assicurata la tutela e il rispetto delle persone.
Questa materia che sembra molto nuova, in realtà è correlata all’esistenza dell’uomo. Non si vive senza lasciare tracce della propria esistenza e, dunque, senza “produrre” dati. E non è una novità che i dati personali siano da sempre oggetto di utilizzazione: osservare i comportamenti altrui è sempre stata un’attività degli uomini. Tuttavia, solo a partire da un determinato momento storico, si inizia ad avvertire l’esigenza di proteggere i dati.
La ragione che, forse, può spiegare questo cambiamento è fortemente legata allo sviluppo tecnologico che ha permesso di moltiplicare gli strumenti di raccolta, archiviazione e diffusione di una gamma sempre più vasta di informazioni.
Il diritto alla privacy tradizionalmente inteso nasce nella Boston di fine ‘800, quando due importanti avvocati – Warren e Brandeis - scrivono un saggio in cui analizzano i diversi aspetti legati a un problema ancora oggi molto attuale: quello del rapporto tra la libertà di informazione e il diritto alla riservatezza, distinguendo tra persone comuni e persone pubbliche e sottolineando che per queste ultime il diritto all’informazione è tendenzialmente prevalente sulla riservatezza, poiché il personaggio pubblico, in ragione dell’attività che è chiamato a svolgere, deve rendere conto del proprio operato. Resta intesto che anche con riferimento alla persona pubblica l’informazione deve essere veritiera, non essere raccolta con l’artificio e l’inganno, e inerente alla attività pubblica svolta dal soggetto.
Quella del bilanciamento tra diritto alla riservatezza e libertà di informazione è una tematica complessa, destinata a variare a seconda del momento e per la quale è pertanto difficile poter dare delle indicazioni precise. Oggi, per esempio, si è sviluppata una maggiore sensibilità ad elevare il livello di riservatezza anche con riferimento alle persone pubbliche. Si tratta di una materia problematica e complessa che rende peraltro difficile l’attività del Garante e che è rimessa, in larga parte anche alla responsabilità degli stessi giornalisti, e, più in generale, della società intera. L’intervento dell’Autorità Garante è inevitabilmente residuale, avviene su ricorso o su segnalazione ed è un intervento difficile perché la stampa non è sottoponibile a censura né a sequestro. Quindi, quando in nome della riservatezza, si fa prevalere il diritto alla protezione individuale, impedendo la diffusione di una notizia, ci si muove sempre su un terreno terribilmente scivoloso, poiché in un contesto così delicato il rischio di essere considerati censori è molto elevato.
Ritornando al dato storico, occorre precisare che nella tradizione americana affonda le sue radici la consapevolezza di libertà e di dignità individuale che sta alla base del diritto alla privacy, la cui violazione ha portato a fondare nell’ordinamento americano il diritto al risarcimento del danno.
In Europa, dove il diritto alla privacy è nato più tardi e le popolazioni occidentali sono state sempre consapevoli dei rischi insiti nell’uso delle tecnologie, l’esigenza di riconoscere il diritto alla protezione dei dati, è avvertita inizialmente per limitare il potere di controllo dello Stato sui cittadini.
Se pensiamo a “Il grande fratello” di Orwell è evidente che l’esigenza di tutelare i dati viene avvertita nel momento in cui questi cominciano ad essere acquisiti e trattati con tecnologie tali da far diventare possibile un controllo totale e pervasivo sui comportamenti delle persone.
Infatti, non può tralasciarsi che le vicende del ‘900 hanno visto l’Europa diventare sempre più attenta al controllo dei cittadini e utilizzare le nuove tecnologie per meglio raggiungere tale obiettivo.
Il primo importante e storico caso di trattamento automatizzato di dati in Europa risale al 1938 quando le Squadre di Azione Socialista organizzarono la c.d. notte dei cristalli, distruggendo in una stessa notte centinaia di vetrine di negozi di ebrei. Ovviamente, l’individuazione sicura dei negozi di proprietà di ebrei, implicava una conoscenza precisa delle informazioni necessarie per tale operazione. Si ritiene che questo sia stato reso possibile dal fatto che le S.A.S. utilizzarono gli archivi automatizzati IBM del Ministero dell’Interno o dell’Unioncamere tedesca.
Successivamente, il regime sovietico e quello nazista svilupparono in misura crescente la capacità di controllo dei loro cittadini attraverso modalità legate alle nuove tecnologie, sia in ordine all’acquisizione dei dati, sia in ordine all’archiviazione, alla conservazione e all’incrocio, come ben evidenziato nel romanzo di Orwell “1984”.
Tutto questo determinò nel contesto europeo il fenomeno dello Stato controllore, quello che è anche al centro del film “Le vite degli altri”.
Nel secondo dopoguerra gli Stati dell’Europa occidentale avvertirono l’esigenza di importare l’esperienza del diritto alla protezione dei dati che era maturata nel mondo americano. La tradussero, però, in modo tipicamente europeo, cioè non rivendicando il diritto del cittadino ad avere una tutela risarcitoria da parte del giudice, ma facendo dello Stato il titolare del dovere di proteggere i dati dei cittadini.
Naturalmente questa origine ideologica era molto legata alla volontà di antagonismo con i Paesi dell’Est.
Successivamente, la protezione dei dati viene concepita come diritto fondamentale fino al suo riconoscimento formale con la Convenzione europea dei diritti dell’uomo e con la Carta dei Diritti fondamentali dell’Unione europea.
La prima legge sulla protezione dati è di un Lander tedesco e risale agli anni ’60, ma solo negli anni ’70, ’78 e ’80 gli Stati europei, in particolare la Germania Federale, la Francia, il Belgio e l’Olanda emanano leggi di protezione dati. Alcuni Paesi, come l’Italia, arrivano invece più tardi (per quanto riguarda il caso specifico del nostro Paese, la legge sulla privacy e l’Autorità nascono solo nel 1996 anche per consentire all’Italia di aderire al Trattato Schengen).
Tuttavia, all’indomani del Trattato di Maastricht, le leggi nazionali sulla protezione dei dati si mostrano inadeguate e non in linea con il processo di integrazione e completamento dell’Unione europea, atteggiandosi piuttosto quali barriere immateriali alla libertà di circolazione delle persone.
Questa è la ragione di fondo del perché l’Europa arriva a dotarsi di una Direttiva di armonizzazione finalizzata a fissare i principi comuni in materia di protezione dei dati per garantire una normativa uniforme all’interno dell’Unione Europea, principi che gli Stati membri devono recepire attraverso le normative nazionali.
Infatti, con la Direttiva n. 95/46/CE viene affermato il principio della libera circolazione dei dati all’interno dell’Unione Europea e viene prevista la nascita delle Autorità indipendenti, organismi istituiti per vigilare sulla corretta applicazione delle leggi nazionali e dei principi fissati dal legislatore comunitario.
Le Autorità sono, dunque, la longa manus dell'Europa, sono lo strumento dell’armonizzazione. E per tale ragione devono essere indipendenti.
L’Europa con la direttiva di armonizzazione ha stabilito alcune caratteristiche fondamentali che le Autorità devono avere e poi ha lasciato ai legislatori nazionali stabilire come regolarle; e, infatti, il modello delle autorità è molto diverso da Stato a Stato. Ma seppure con modelli diversi, le Autorità hanno come caratteristica la necessità di indipendenza dal Parlamento e dal Governo, e l’obbligo di segnalare alla Commissione le leggi nazionali emanate in contrasto con la Direttiva.
L’Autorità italiana opera in una posizione assolutamente strategica e delicata. Diversamente da altre Autorità indipendenti, non è deputata a garantire il contraddittorio economico ma è chiamata a bilanciare diritti costituzionalmente garantiti, quali il diritto alla riservatezza e alla protezione dei dati personali con la libertà di circolazione delle informazioni e il suo naturale ruolo di soggetto regolatore del flusso dei dati si inserisce nel sistema giuridico ed economico nel suo complesso, nell’organizzazione e nel funzionamento della società contemporanea, proiettata oramai nell’era telematica e tecnologica.
Con il Trattato di Lisbona, infine, la protezione dati diventa un diritto riconosciuto dal Trattato dell’Unione e le Autorità di protezione dati ricevono una copertura europea rafforzata rispetto alle altre autorità quali Antitrust, Agcom che rimangono autorità di controllo e regolazione previste dalle direttive di settore, mentre le Autorità di protezione dati vengono espressamente previste anche dal Trattato.
I Paesi dell’Ue nel positivizzare il diritto alla protezione dei dati, hanno previsto normative che nei settori della sicurezza e della giustizia consentono di utilizzare i dati dei cittadini senza il loro consenso.
Nel nostro ordinamento anche nella pubblica amministrazione, come nei settori giustizia e sicurezza, è consentito l’utilizzo dei dati dei cittadini senza il loro consenso, a condizione che questi siano preventivamente informati delle finalità e modalità del trattamento dei propri dati. Occorre tuttavia evidenziare che in questo ambito la tutela appare garantita in quanto l’amministrazione può trattare i dati dei cittadini esclusivamente per il perseguimento delle finalità istituzionali che le competono.
Mentre il principio del consenso, il diritto ad essere informati, il diritto di accesso, il diritto alla cancellazione dei dati erronei sono principi cardine del rapporto tra soggetti privati, questi principi non valgono allo stesso modo rispetto alle attività poste in essere dai giudici e dalle polizie, né valgono allo stesso modo rispetto alla attività della pubblica amministrazione. La pubblica amministrazione non ha bisogno del consenso se deve trattare il dato per perseguire le proprie finalità istituzionali. Ha, però, il dovere di informare i cittadini sull’uso del dato, nonché di dare riscontro alla richiesta di accesso del cittadino che vuole sapere se è in atto un trattamento di dati personali che lo riguardano.
Con riferimento ai dati sensibili – ossia quelli relativi alla salute, alle abitudini sessuali, alle inclinazioni politiche, religiose, ecc. – la pubblica amministrazione può effettuare il trattamento di tali dati soltanto in presenza di una puntuale disposizione di legge nella quale sono specificati i tipi di dati che possono essere trattati e di operazioni eseguibili nonché le finalità di rilevante interesse pubblico perseguite da ciascuna amministrazione. Salva la possibilità di rimettere a un regolamento della medesima amministrazione l’individuazione dei dati e delle operazioni eseguibili, nei casi in cui la legge si limiti a specificare le finalità di rilevante interesse pubblico e il trattamento autorizzato risulti funzionale all’attuazione delle stesse.
Per quanto riguarda il settore giustizia e sicurezza il diritto di accesso ai dati da parte dei cittadini è molto affievolito, invece, rispetto all’attività dei servizi segreti non è affatto previsto mentre viene garantito il diritto di ricorrere all’Autorità garante perché verifichi se i dati sono trattati in modo lecito e corretto.
Questo è in generale il contesto complessivo nell’ambito del quale ci muoviamo.
Una considerazione importante deve, infine, essere rivolta alle tecnologie.
L’innovazione tecnologica, e principalmente la moltiplicazione di reti e archivi informatici, sta determinando una profonda trasformazione nella società.
Siamo entrati in una nuova epoca in cui occorre considerare i condizionamenti che derivano dall'uso delle nuove tecnologie. Le nuove tecnologie attribuiscono al dato e all'evento, prima circoscritti in un contesto locale, una dimensione globale. Si pensi, ad esempio ai video diffusi su Youtube: lo scherzo fatto in aula a un bambino disabile o a una professoressa se una volta era una vicenda gestibile all’interno della scuola con gli strumenti disciplinari scolastici, adesso con Youtube cambia dimensione.
La rete offre le opportunità della intercomunicazione senza limiti e senza frontiere: i social network, facebook, costituiscono le nuove potenzialità della rete ma pongono problemi nuovi e rilevanti. Si pensi a quante persone si vedono rifiutare la domanda di assunzione, in virtù delle informazioni che diffondono attraverso facebook. Sempre più frequentemente i datori di lavoro, infatti, non si limitano a valutare i curricula degli aspiranti candidati, ma acquisiscono ulteriori informazioni dei potenziali candidati prevalentemente attraverso la rete.
Sulla rete, inoltre, diventa estremamente difficile trovare l’equilibrio tra diritto alla conoscenza e diritto alla riservatezza (così come è difficile trovarlo tra diritto alla sicurezza e diritto alla riservatezza, tra diritto all’informazione e diritto alla riservatezza) perché assistiamo al crescente e un po’ irresponsabile fenomeno di messa in rete di tutto il nostro passato.
Si pensi ad esempio agli archivi on-line dei giornali che consentono a chiunque di accedere a notizie che, pur essendo risalenti nel tempo, tornano a far parte della vita dei protagonisti che pensavano di aver dimenticato il loro passato.
Il Garante, a seguito di numerose richieste di intervento da parte di ricorrenti e segnalanti, ha rilevato che il trattamento dei dati personali, effettuato mediante la riproposizione dell’articolo sul sito Internet dell’editore del quotidiano, non risulta in termini generali illecito: esso, infatti, è riferito a notizie relative a fatti veri e di interesse pubblico; e ciò, tanto al tempo della sua pubblicazione, quanto attualmente per chi opera una ricerca relativa alla vicenda in questione.
Tuttavia, il Garante, tenendo conto delle peculiarità del funzionamento della rete, che può comportare la diffusione di un gran numero di dati personali riferiti a un medesimo interessato e relativi a vicende anche risalenti nel tempo, e in considerazione del tempo trascorso dalla vicenda oggetto degli articoli, ha ritenuto, in alcuni casi, che una perenne associazione all’interessato della vicenda stessa può comportare un sacrificio sproporzionato dei suoi diritti. L’Autorità in alcuni provvedimenti ha indicato, pertanto, quale misura a tutela dei diritti dell’interessato, che la pagina web contenente i dati personali del ricorrente fosse sottratta dalla reperibilità sui comuni motori di ricerca, pur restando tale pagina inalterata nel contesto dell’archivio e consultabile telematicamente accedendo all’indirizzo web dell’editore.
In altri casi, invece, il Garante ha ritenuto legittimo il trattamento di dati personali consistente nella riproposizione dell’articolo sull’archivio on line del giornale e nella reperibilità dello stesso anche attraverso l’utilizzo di un motore di ricerca, qualora riferito a notizie relative a fatti di persistente interesse pubblico.
Un’altra tematica legata alla rete riguarda la tutela del diritto d’autore. Scaricare dalla rete canzoni e musica mediante il peer to peer costituisce senza dubbio un atto illecito perché viola il diritto d’autore, ma su tale diritto ad oggi prevale la libertà di navigare in rete, tutelata dal diritto alla protezione dei dati che preclude la possibilità di risalire all’intestatario di un indirizzo ip e, quindi, di risalire all’identità dell’utente.
Perciò libertà di circolazione senza controllo della navigazione o controllo sulla navigazione per proteggere beni essenziali, quali il minore o il diritto d’autore? Non possiamo non considerare che la rete ci pone nuovi problemi e ci obbliga ad inventare nuove regole, e questo naturalmente non significa voler regolare la rete, bensì regolare l’uso della rete che è una cosa diversa, sapendo che la rete è uno strumento preziosissimo ma anche pericolosissimo.
Secondo la normativa europea (Direttiva n. 95/46/Ce) e italiana (l. n. 675 del 1996 e ora d.lgs n. 196 del 2003, Codice in materia di protezione dei dati personali) tutte le informazioni riconducibili ad una persona identificata o identificabile sono considerate dati personali. In molti Paesi europei la normativa disciplina esclusivamente il trattamento dei dati delle persone fisiche, mentre in Italia sono definiti dati personali anche quelli che si riferiscono alle persone giuridiche, società, imprese ed enti pubblici.
Il decreto legislativo 30 giugno 2003, n. 196, denominato Codice in materia di protezione dei dati personali, con il quale il legislatore, dopo diversi interventi legislativi, ha realizzato un’importante operazione di sistemazione normativa, riconosce all’art. 1 il diritto alla protezione dei dati, garantendo gli strumenti di tutela ad esso correlati non solo alle persone fisiche ma anche alle persone giuridiche.
Il Codice, che tra l’altro ha completato il recepimento della direttiva n. 95/46/Ce, prevede inoltre che ogni trattamento di dati deve svolgersi nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali.
Pertanto, il diritto alla protezione dei dati non solo viene riconosciuto come diritto fondamentale della persona ma, accanto al diritto alla riservatezza e all’identità personale, costituisce il confine invalicabile di qualsiasi attività di trattamento.
Le disposizioni del Codice sono incentrate sulla tutela della persona sia come singolo, sia come soggetto che vive e opera all’interno di una società sempre più innescata nel processo di globalizzazione. Per questo la protezione dei dati deve essere garantita nel rispetto delle esigenze di una civiltà moderna, divenire effettiva e assecondare il progresso economico e sociale, nonché l’evoluzione delle tecnologie e la sicurezza degli individui.
In questo delicato rapporto tra effettività di tutela e crescita sociale, il ruolo dell’Autorità è quello di concorrere a realizzare il giusto ed equilibrato bilanciamento tra le differenti modalità con le quali il singolo intende partecipare alla società civile.
L’Autorità è chiamata a vigilare sull’intenso e crescente uso dei dati, dalla raccolta allo scambio, alla messa in circolazione, assicurando contestualmente che tali dinamiche avvengano nel rispetto delle regole giuridiche e di correttezza, al fine di ingenerare nei cittadini una visione fiduciosa della società e della realtà quotidiana, correlata alla certezza che sia sempre assicurata la tutela e il rispetto delle persone.
Questa materia che sembra molto nuova, in realtà è correlata all’esistenza dell’uomo. Non si vive senza lasciare tracce della propria esistenza e, dunque, senza “produrre” dati. E non è una novità che i dati personali siano da sempre oggetto di utilizzazione: osservare i comportamenti altrui è sempre stata un’attività degli uomini. Tuttavia, solo a partire da un determinato momento storico, si inizia ad avvertire l’esigenza di proteggere i dati.
La ragione che, forse, può spiegare questo cambiamento è fortemente legata allo sviluppo tecnologico che ha permesso di moltiplicare gli strumenti di raccolta, archiviazione e diffusione di una gamma sempre più vasta di informazioni.
Il diritto alla privacy tradizionalmente inteso nasce nella Boston di fine ‘800, quando due importanti avvocati – Warren e Brandeis - scrivono un saggio in cui analizzano i diversi aspetti legati a un problema ancora oggi molto attuale: quello del rapporto tra la libertà di informazione e il diritto alla riservatezza, distinguendo tra persone comuni e persone pubbliche e sottolineando che per queste ultime il diritto all’informazione è tendenzialmente prevalente sulla riservatezza, poiché il personaggio pubblico, in ragione dell’attività che è chiamato a svolgere, deve rendere conto del proprio operato. Resta intesto che anche con riferimento alla persona pubblica l’informazione deve essere veritiera, non essere raccolta con l’artificio e l’inganno, e inerente alla attività pubblica svolta dal soggetto.
Quella del bilanciamento tra diritto alla riservatezza e libertà di informazione è una tematica complessa, destinata a variare a seconda del momento e per la quale è pertanto difficile poter dare delle indicazioni precise. Oggi, per esempio, si è sviluppata una maggiore sensibilità ad elevare il livello di riservatezza anche con riferimento alle persone pubbliche. Si tratta di una materia problematica e complessa che rende peraltro difficile l’attività del Garante e che è rimessa, in larga parte anche alla responsabilità degli stessi giornalisti, e, più in generale, della società intera. L’intervento dell’Autorità Garante è inevitabilmente residuale, avviene su ricorso o su segnalazione ed è un intervento difficile perché la stampa non è sottoponibile a censura né a sequestro. Quindi, quando in nome della riservatezza, si fa prevalere il diritto alla protezione individuale, impedendo la diffusione di una notizia, ci si muove sempre su un terreno terribilmente scivoloso, poiché in un contesto così delicato il rischio di essere considerati censori è molto elevato.
Ritornando al dato storico, occorre precisare che nella tradizione americana affonda le sue radici la consapevolezza di libertà e di dignità individuale che sta alla base del diritto alla privacy, la cui violazione ha portato a fondare nell’ordinamento americano il diritto al risarcimento del danno.
In Europa, dove il diritto alla privacy è nato più tardi e le popolazioni occidentali sono state sempre consapevoli dei rischi insiti nell’uso delle tecnologie, l’esigenza di riconoscere il diritto alla protezione dei dati, è avvertita inizialmente per limitare il potere di controllo dello Stato sui cittadini.
Se pensiamo a “Il grande fratello” di Orwell è evidente che l’esigenza di tutelare i dati viene avvertita nel momento in cui questi cominciano ad essere acquisiti e trattati con tecnologie tali da far diventare possibile un controllo totale e pervasivo sui comportamenti delle persone.
Infatti, non può tralasciarsi che le vicende del ‘900 hanno visto l’Europa diventare sempre più attenta al controllo dei cittadini e utilizzare le nuove tecnologie per meglio raggiungere tale obiettivo.
Il primo importante e storico caso di trattamento automatizzato di dati in Europa risale al 1938 quando le Squadre di Azione Socialista organizzarono la c.d. notte dei cristalli, distruggendo in una stessa notte centinaia di vetrine di negozi di ebrei. Ovviamente, l’individuazione sicura dei negozi di proprietà di ebrei, implicava una conoscenza precisa delle informazioni necessarie per tale operazione. Si ritiene che questo sia stato reso possibile dal fatto che le S.A.S. utilizzarono gli archivi automatizzati IBM del Ministero dell’Interno o dell’Unioncamere tedesca.
Successivamente, il regime sovietico e quello nazista svilupparono in misura crescente la capacità di controllo dei loro cittadini attraverso modalità legate alle nuove tecnologie, sia in ordine all’acquisizione dei dati, sia in ordine all’archiviazione, alla conservazione e all’incrocio, come ben evidenziato nel romanzo di Orwell “1984”.
Tutto questo determinò nel contesto europeo il fenomeno dello Stato controllore, quello che è anche al centro del film “Le vite degli altri”.
Nel secondo dopoguerra gli Stati dell’Europa occidentale avvertirono l’esigenza di importare l’esperienza del diritto alla protezione dei dati che era maturata nel mondo americano. La tradussero, però, in modo tipicamente europeo, cioè non rivendicando il diritto del cittadino ad avere una tutela risarcitoria da parte del giudice, ma facendo dello Stato il titolare del dovere di proteggere i dati dei cittadini.
Naturalmente questa origine ideologica era molto legata alla volontà di antagonismo con i Paesi dell’Est.
Successivamente, la protezione dei dati viene concepita come diritto fondamentale fino al suo riconoscimento formale con la Convenzione europea dei diritti dell’uomo e con la Carta dei Diritti fondamentali dell’Unione europea.
La prima legge sulla protezione dati è di un Lander tedesco e risale agli anni ’60, ma solo negli anni ’70, ’78 e ’80 gli Stati europei, in particolare la Germania Federale, la Francia, il Belgio e l’Olanda emanano leggi di protezione dati. Alcuni Paesi, come l’Italia, arrivano invece più tardi (per quanto riguarda il caso specifico del nostro Paese, la legge sulla privacy e l’Autorità nascono solo nel 1996 anche per consentire all’Italia di aderire al Trattato Schengen).
Tuttavia, all’indomani del Trattato di Maastricht, le leggi nazionali sulla protezione dei dati si mostrano inadeguate e non in linea con il processo di integrazione e completamento dell’Unione europea, atteggiandosi piuttosto quali barriere immateriali alla libertà di circolazione delle persone.
Questa è la ragione di fondo del perché l’Europa arriva a dotarsi di una Direttiva di armonizzazione finalizzata a fissare i principi comuni in materia di protezione dei dati per garantire una normativa uniforme all’interno dell’Unione Europea, principi che gli Stati membri devono recepire attraverso le normative nazionali.
Infatti, con la Direttiva n. 95/46/CE viene affermato il principio della libera circolazione dei dati all’interno dell’Unione Europea e viene prevista la nascita delle Autorità indipendenti, organismi istituiti per vigilare sulla corretta applicazione delle leggi nazionali e dei principi fissati dal legislatore comunitario.
Le Autorità sono, dunque, la longa manus dell'Europa, sono lo strumento dell’armonizzazione. E per tale ragione devono essere indipendenti.
L’Europa con la direttiva di armonizzazione ha stabilito alcune caratteristiche fondamentali che le Autorità devono avere e poi ha lasciato ai legislatori nazionali stabilire come regolarle; e, infatti, il modello delle autorità è molto diverso da Stato a Stato. Ma seppure con modelli diversi, le Autorità hanno come caratteristica la necessità di indipendenza dal Parlamento e dal Governo, e l’obbligo di segnalare alla Commissione le leggi nazionali emanate in contrasto con la Direttiva.
L’Autorità italiana opera in una posizione assolutamente strategica e delicata. Diversamente da altre Autorità indipendenti, non è deputata a garantire il contraddittorio economico ma è chiamata a bilanciare diritti costituzionalmente garantiti, quali il diritto alla riservatezza e alla protezione dei dati personali con la libertà di circolazione delle informazioni e il suo naturale ruolo di soggetto regolatore del flusso dei dati si inserisce nel sistema giuridico ed economico nel suo complesso, nell’organizzazione e nel funzionamento della società contemporanea, proiettata oramai nell’era telematica e tecnologica.
Con il Trattato di Lisbona, infine, la protezione dati diventa un diritto riconosciuto dal Trattato dell’Unione e le Autorità di protezione dati ricevono una copertura europea rafforzata rispetto alle altre autorità quali Antitrust, Agcom che rimangono autorità di controllo e regolazione previste dalle direttive di settore, mentre le Autorità di protezione dati vengono espressamente previste anche dal Trattato.
I Paesi dell’Ue nel positivizzare il diritto alla protezione dei dati, hanno previsto normative che nei settori della sicurezza e della giustizia consentono di utilizzare i dati dei cittadini senza il loro consenso.
Nel nostro ordinamento anche nella pubblica amministrazione, come nei settori giustizia e sicurezza, è consentito l’utilizzo dei dati dei cittadini senza il loro consenso, a condizione che questi siano preventivamente informati delle finalità e modalità del trattamento dei propri dati. Occorre tuttavia evidenziare che in questo ambito la tutela appare garantita in quanto l’amministrazione può trattare i dati dei cittadini esclusivamente per il perseguimento delle finalità istituzionali che le competono.
Mentre il principio del consenso, il diritto ad essere informati, il diritto di accesso, il diritto alla cancellazione dei dati erronei sono principi cardine del rapporto tra soggetti privati, questi principi non valgono allo stesso modo rispetto alle attività poste in essere dai giudici e dalle polizie, né valgono allo stesso modo rispetto alla attività della pubblica amministrazione. La pubblica amministrazione non ha bisogno del consenso se deve trattare il dato per perseguire le proprie finalità istituzionali. Ha, però, il dovere di informare i cittadini sull’uso del dato, nonché di dare riscontro alla richiesta di accesso del cittadino che vuole sapere se è in atto un trattamento di dati personali che lo riguardano.
Con riferimento ai dati sensibili – ossia quelli relativi alla salute, alle abitudini sessuali, alle inclinazioni politiche, religiose, ecc. – la pubblica amministrazione può effettuare il trattamento di tali dati soltanto in presenza di una puntuale disposizione di legge nella quale sono specificati i tipi di dati che possono essere trattati e di operazioni eseguibili nonché le finalità di rilevante interesse pubblico perseguite da ciascuna amministrazione. Salva la possibilità di rimettere a un regolamento della medesima amministrazione l’individuazione dei dati e delle operazioni eseguibili, nei casi in cui la legge si limiti a specificare le finalità di rilevante interesse pubblico e il trattamento autorizzato risulti funzionale all’attuazione delle stesse.
Per quanto riguarda il settore giustizia e sicurezza il diritto di accesso ai dati da parte dei cittadini è molto affievolito, invece, rispetto all’attività dei servizi segreti non è affatto previsto mentre viene garantito il diritto di ricorrere all’Autorità garante perché verifichi se i dati sono trattati in modo lecito e corretto.
Questo è in generale il contesto complessivo nell’ambito del quale ci muoviamo.
Una considerazione importante deve, infine, essere rivolta alle tecnologie.
L’innovazione tecnologica, e principalmente la moltiplicazione di reti e archivi informatici, sta determinando una profonda trasformazione nella società.
Siamo entrati in una nuova epoca in cui occorre considerare i condizionamenti che derivano dall'uso delle nuove tecnologie. Le nuove tecnologie attribuiscono al dato e all'evento, prima circoscritti in un contesto locale, una dimensione globale. Si pensi, ad esempio ai video diffusi su Youtube: lo scherzo fatto in aula a un bambino disabile o a una professoressa se una volta era una vicenda gestibile all’interno della scuola con gli strumenti disciplinari scolastici, adesso con Youtube cambia dimensione.
La rete offre le opportunità della intercomunicazione senza limiti e senza frontiere: i social network, facebook, costituiscono le nuove potenzialità della rete ma pongono problemi nuovi e rilevanti. Si pensi a quante persone si vedono rifiutare la domanda di assunzione, in virtù delle informazioni che diffondono attraverso facebook. Sempre più frequentemente i datori di lavoro, infatti, non si limitano a valutare i curricula degli aspiranti candidati, ma acquisiscono ulteriori informazioni dei potenziali candidati prevalentemente attraverso la rete.
Sulla rete, inoltre, diventa estremamente difficile trovare l’equilibrio tra diritto alla conoscenza e diritto alla riservatezza (così come è difficile trovarlo tra diritto alla sicurezza e diritto alla riservatezza, tra diritto all’informazione e diritto alla riservatezza) perché assistiamo al crescente e un po’ irresponsabile fenomeno di messa in rete di tutto il nostro passato.
Si pensi ad esempio agli archivi on-line dei giornali che consentono a chiunque di accedere a notizie che, pur essendo risalenti nel tempo, tornano a far parte della vita dei protagonisti che pensavano di aver dimenticato il loro passato.
Il Garante, a seguito di numerose richieste di intervento da parte di ricorrenti e segnalanti, ha rilevato che il trattamento dei dati personali, effettuato mediante la riproposizione dell’articolo sul sito Internet dell’editore del quotidiano, non risulta in termini generali illecito: esso, infatti, è riferito a notizie relative a fatti veri e di interesse pubblico; e ciò, tanto al tempo della sua pubblicazione, quanto attualmente per chi opera una ricerca relativa alla vicenda in questione.
Tuttavia, il Garante, tenendo conto delle peculiarità del funzionamento della rete, che può comportare la diffusione di un gran numero di dati personali riferiti a un medesimo interessato e relativi a vicende anche risalenti nel tempo, e in considerazione del tempo trascorso dalla vicenda oggetto degli articoli, ha ritenuto, in alcuni casi, che una perenne associazione all’interessato della vicenda stessa può comportare un sacrificio sproporzionato dei suoi diritti. L’Autorità in alcuni provvedimenti ha indicato, pertanto, quale misura a tutela dei diritti dell’interessato, che la pagina web contenente i dati personali del ricorrente fosse sottratta dalla reperibilità sui comuni motori di ricerca, pur restando tale pagina inalterata nel contesto dell’archivio e consultabile telematicamente accedendo all’indirizzo web dell’editore.
In altri casi, invece, il Garante ha ritenuto legittimo il trattamento di dati personali consistente nella riproposizione dell’articolo sull’archivio on line del giornale e nella reperibilità dello stesso anche attraverso l’utilizzo di un motore di ricerca, qualora riferito a notizie relative a fatti di persistente interesse pubblico.
Un’altra tematica legata alla rete riguarda la tutela del diritto d’autore. Scaricare dalla rete canzoni e musica mediante il peer to peer costituisce senza dubbio un atto illecito perché viola il diritto d’autore, ma su tale diritto ad oggi prevale la libertà di navigare in rete, tutelata dal diritto alla protezione dei dati che preclude la possibilità di risalire all’intestatario di un indirizzo ip e, quindi, di risalire all’identità dell’utente.
Perciò libertà di circolazione senza controllo della navigazione o controllo sulla navigazione per proteggere beni essenziali, quali il minore o il diritto d’autore? Non possiamo non considerare che la rete ci pone nuovi problemi e ci obbliga ad inventare nuove regole, e questo naturalmente non significa voler regolare la rete, bensì regolare l’uso della rete che è una cosa diversa, sapendo che la rete è uno strumento preziosissimo ma anche pericolosissimo.
Francesco Pizzetti
