IL
DIBATTITO SULLA PRIVACY E' SEMPRE APERTO
di
Giovanni Buttarelli
Un
primo dato di fatto, tra queste prime assai brevi riflessioni, mi sembra
però pacifico: vi è un’attenzione istituzionale sulla materia che
rimane ad un discreto livello.
Non
è infatti comune che su una materia così delicata sia conferita per
tre volte una delega legislativa che presuppone un’apprezzabile
fiducia nel legislatore delegato. Non è frequente che in questa stessa
materia si dia una forte spinta ad un ampio testo unico (anzi ad un
codice) di tutte le disposizioni legislative e regolamentari recenti e
meno recenti, corredato anche dei codici deontologici che prenderanno
vita nei prossimi mesi.
Il
decreto legislativo che oggi commentiamo - il n. 467/2001
- rappresentava un passaggio delicato all’inizio di una nuova
legislatura. Ne è derivato un testo equilibrato che le Commissioni
parlamentari e l’Autorità garante hanno condiviso, denso di nuovi
obiettivi che fanno del 2002 l’anno certamente più impegnativo da
quando esiste la disciplina sulla protezione dei dati personali.
Siamo
ora in dirittura d’arrivo per quanto riguarda il recepimento delle due
note direttive comunitarie.
Prior checking e balance of interests trovano infatti
cittadinanza nella legge n. 675/1996, con norme-cornice che
presuppongono delicati provvedimenti attuativi dell’Autorità.
Fa capolino anche il principio comunitario di stabilimento, con
una disposizione (art. 1 del decreto) che ne recepisce una prima parte
sottoponendo alla legge italiana anche i trattamenti "invisibili"
di dati effettuati da siti web dislocati all’estero su postazioni
informatiche situate in Italia (cookies compresi).
Il principio andrà presto completato, con conseguente piena
applicazione dell’ulteriore disposizione comunitaria che prevede che
ciascun garante nazionale controlli, comunque, tutti i trattamenti che
si svolgono sul territorio nazionale, a prescindere dalla legge
nazionale ad essi applicabile.
Due
norme dell’odierno decreto (gli artt. 22 e 23) rispondono bene, poi, a
due obiezioni formali che la Commissione europea aveva mosso alla
disciplina del DLgs 171/1998 sull’identificazione della linea
chiamante e collegata e delle chiamate di disturbo e di emergenza.
L’evidente
filosofia generale del decreto, che recepisce diversa "giurisprudenza"
del Garante (anche quella recentissima in materia di diritto di accesso
ai dati del traffico telefonico in entrata), è quella di agevolare e
semplificare taluni adempimenti, mantenendo - ed anzi incrementando - le
garanzie sostanziali.
Le informative all’interessato sinora allungate da una discreta lista
di responsabili del trattamento risulteranno meglio leggibili, potendovi
figurare in calce l’indicazione di un solo responsabile - sempreché designato, si badi bene - preferibilmente menzionato nella figura
dell’interlocutore preposto ai rapporti con i cittadini interessati
che esercitano i propri diritti.
Le
esenzioni e semplificazioni alle notificazioni ipotizzate sin dal
momento dell’approvazione della legge sulla privacy, ed individuate
concretamente nei decreti legislativi del 1997, avevano dato già buoni
frutti se solo si confrontano le poco più di 300.000 notificazioni
sinora pervenute al Garante con i milioni di partite IVA in circolazione.
Era da tempo giunto il momento, però, per aggiornare il modello di
notificazione, per consentirne meglio l’invio per via telematica e per
trasformare in un ristretto elenco "in positivo" il novero dei
soggetti realmente tenuti alla notificazione, in quanto titolari di un
trattamento che può comportare in concreto, per modalità o dati,
pregiudizi ai diritti e alle libertà dell’interessato.
Ci
vorrà qualche mese per completare questa manovra. Ne deriva anche uno
spunto per rivedere tutto il DPR 501/1998, che già nel 2000 ha perso
pezzi importanti ripresi ed aggiornati nei tre regolamenti interni del
Garante. Verranno chiesti meno consensi, quando si tratta di attuare
obblighi contrattuali e precontrattuali. La soluzione era inevitabile,
dato che valeva già per i flussi verso l’estero e non comporterà
necessariamente una minore tutela per l’interessato. La
contrattualistica andrà infatti verificata e aggiornata anche in chiave
di garanzie, e si dovrà essere particolarmente prudenti nel convogliare
nell’ordinaria economia contrattuale finalità di trattamento
ulteriori e incompatibili.
Occorrerà rivalutare, poi, l’informativa, che da stanco e formale
adempimento dovrà caratterizzare sempre più una relazione leale e
corretta con l’interessato.
Un
dibattito costruttivo è auspicabile a proposito dei casi del balance of
interests e del prior checking.
Nel primo caso, il sistema "chiuso" di presupposti del
trattamento equipollenti al consenso (che predetermina rispetto alla
condotta ciò che è o non è lecito ed è quindi eventualmente
sanzionabile) ha portato il decreto legislativo a prevedere che il
titolare del trattamento non possa utilizzare dati personali senza
consenso, solo sulla base di una sua autonoma decisione che ritenga
sussistente un non meglio identificato "legittimo interesse"
proprio o del destinatario dei dati.
Un
dibattito su questa stessa testata potrebbe aiutare ad enucleare casi di
"legittimo interesse" che non siano già regolati da altri
articoli della legge (si pensi al caso dell’utilizzazione di fonti
pubbliche, disciplinato dagli artt. 12 e 20 della legge n. 675).
Aiuterebbe anche ad individuare criteri ragionevoli per stabilire quando
i diritti e le libertà fondamentali dell’interessato (come pure la
sua dignità e un suo concorrente legittimo interesse) non siano
prevalenti.
Si
avverte il bisogno di contributi scientifici anche per un’altra "scommessa"
del decreto legislativo di nuovo conio: quali sono i dati "semi-sensibili"
che per loro stessa natura (o per il modo con cui sono trattati o per
gli effetti che possono determinare) meritano una valutazione
preliminare all’inizio del trattamento, di modo che si possano
eventualmente prescrivere misure ed accorgimenti a garanzia degli
interessati ?
Quale livello di rischio per i diritti e le libertà dell’interessato
(come pure per la sua dignità) si dovrà prendere in questo caso in
considerazione?
Visto che si avverte sempre più l’esigenza di modulare le garanzie di
riservatezza dapprima più uniformi nell’originaria e generale legge
n. 675 (come dimostra la giusta previsione, nel 1999, di modalità di
trattamento ad hoc dei dati genetici), che spazio andrebbe dato, ad
esempio, a talune tecniche biometriche?
Per
brevità di esposizione, è forse opportuno tornare in un’altra
circostanza a parlare di sanzioni amministrative e penali rimodulate,
del neonato ravvedimento operoso in tema di misure di sicurezza e della
incrementata graduabilità dei poteri inibitori del Garante in caso di
trattamenti illeciti o non corretti.
L’ultimo breve cenno di questo contributo è semmai dovuto alla nuova
tipologia di codici deontologici, che da strumento di autodisciplina non
vincolante si trasformano in vere e proprie fonti secondarie di diritto
rilevanti, dinanzi al giudice e al Garante, per stabilire se un
trattamento sia lecito o meno.
Come
pronosticato – mi sia consentito ricordarlo - prima ancora entrasse in
vigore nel 1996 la legge n. 675, la disciplina del trattamento di dati
in Internet troverà il perno fondamentale nello strumento flessibile
del codice deontologico che verrà ufficialmente promosso entro il
prossimo 30 giugno. Dovrà essere redatto anch’esso sulla base del
principio di rappresentatività di cui all’art. 31, comma 1, lett. h),
della legge. Potrà preludere anche, come lascia intendere l’art. 20,
comma 2, lett. a), del nuovo decreto legislativo e come auspicava
l’importante decisione dei Garanti europei del 22 maggio 2001, a
certificazioni "certificate" di qualità, privacy oriented.
Si dovrà far presto per anticipare l’entrata in vigore delle previste
disposizioni di recepimento della direttiva sul commercio elettronico (che
per espressa previsione comunitaria non possono del resto, come è noto,
essere applicate alla vasta tematica del trattamento dei dati personali),
nonché per allegare il codice deontologico al testo unico (anzi, come
dicevo al codice con la "C" maiuscola) sulla privacy che
dovrebbe vedere la luce al più tardi nel prossimo dicembre.
Di
carne al fuoco torna ad essercene molta. Il dibattito è aperto.