Tutela dati personali, Diritto dell'informatica

La tutela dei dati personali

Cosa si intende per diritto alla riservatezza?

Si tratta di un diritto della personalità. La sua evoluzione lo ha portato a connotarsi di significati diversi. Analizzando la cosiddetta “storia della privacy” infatti ci accorgiamo che:

• La figura del diritto alla riservatezza ha visto la luce per la prima volta nel mondo anglosassone nel 1800; in questa fase, caratterizzata per la diffusione di mezzi di comunicazione di massa (come la stampa), esso viene a connotarsi come right to let be alone (= diritto al riserbo). Si tratta inizialmente di una qualificazione di tipo proprietario, nel senso che la privacy veniva fatta coincidere con uno spazio quasi fisico, dal quale un soggetto aveva un diritto a tenere esclusi gli altri; intesa in questo senso, la privacy assunse presto una forte connotazione di ceto: si diceva infatti che il ricco ha più diritto alla riservatezza perché è proprietario di uno spazio più ampio, mentre i poveri vivono per strada.
• Naturalmente una simile ricostruzione è stata poi superata e la privacy è diventata, al contrario, un riferimento delle prerogative del lavoratore subordinato, il quale, tra i propri diritti, vede quello a non essere sorvegliato ed a non ricevere controlli sulle proprie opinioni.
• Con l’avvento dei primi elaboratori elettronici, il diritto alla riservatezza si è caricato anche di un diverso significato: in particolare, per privacy si è inteso anche il diritto a mantenere un controllo sulle proprie informazioni (diritto ad autodeterminarsi in ordine alla diffusione delle proprie informazioni).
• Nell’ultimo decennio, vi è stato un completo stravolgimento: si dice infatti che si è passati, con la diffusione dei social network, da un web statico ad un web dinamico, interattivo (cosiddetto web 2.0). Le conseguenze di questa evoluzione sono molteplici; basti pensare, da ultimo, al “fenomeno dei computer low cost”: in India, infatti, nel 2011 la società ITC, grazie ad incentivi governativi, ha messo in commercio un milione di computer ad energia solare a soli 25 euro; lo scopo è quello di ridurre il cosiddetto "digital divide" (= divario tra chi ha accesso effettivo alle tecnologie dell’informazione e chi ne è escluso per ragioni economiche, d’istruzione, d’età, di sesso, di provenienza geografica), mettendo tutti in condizione di poter accedere ad Internet.
• Inevitabilmente, anche il concetto di privacy ha cambiato fisionomia: essa non può più essere intesa soltanto in termini di difesa di uno spazio quasi fisico del soggetto (privacy statica); piuttosto va considerata quale diritto di “seguire” la circolazione dei propri dati (diritto di sequela dei propri dati).

In quest’ottica si colloca la direttiva CE 46/1995 (attuata in Italia con l. 675/1996), cosiddetta “data protection directive”, la quale prevede una complessa ed analitica descrizione del trattamento dei dati personali e delle condizioni alle quali esso può avere luogo. Molto importante è la definizione, che essa fa, del cosiddetto “dato personale”, il quale viene descritto come “qualsiasi informazione concernente una persona fisica identificata o identificabile (cosiddetta persona interessata); si considera identificabile la persona che può essere identificata, direttamente o indirettamente, mediante riferimento ad un numero d’identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale (vengono individuato ben sei aggettivi di identificazione)” (art 2).

Dov’è collocata la disciplina sul trattamento dei dati personali?

Innanzitutto, come si è appena sottolineato, nella direttiva 46/1995, e nella corrispondente l. 675/96. A tale direttiva, si aggiunge la direttiva 58/2002, in materia di riservatezza nelle comunicazioni elettroniche. Inoltre, bisogna tenere in considerazione anche la copiosa produzione “paranormativa” e “giurisprudenziale” del Garante per la protezione dei dati personali (autorità indipendente costituita nel 1996 per soprintendere sulla materia), la quale ha ispirato l’introduzione del cosiddetto Codice del trattamento dei dati personali (o Codice della privacy), d. lgs. 196/2003.

In particolare, il Codice del 2003 si compone di tre parti:

• I) Disposizioni generali (artt. 1-45), relative alle regole "sostanziali" della disciplina del trattamento dei dati personali, applicabili a tutti i trattamenti, salvo eventuali regole specifiche per i trattamenti effettuati da soggetti pubblici o privati.
• II) Disposizioni particolari per specifici trattamenti (artt. 46 - 140) ad integrazione o eccezione alle disposizioni generali della parte I.
• III) Disposizioni relative alle azioni di tutela dell’interessato e al sistema sanzionatorio (artt. 141 - 186).

Cosa prevede il Codice della privacy in materia di protezione dei dati personali?

In primis, sono individuati i “principi generali” chiamati a regolare la materia:

• A) L’art 1 introduce, per la prima volta espressamente, il diritto alla protezione dei dati personali (“chiunque ha diritto alla protezione dei dati personali che lo riguardano”); in dottrina ci si chiede se il diritto in questione sia suscettibile di autonoma tutela ovvero piuttosto possa trovare protezione solo ove dalla sua violazione derivi la lesione di un diritto collegato, come la riservatezza, il nome, l’immagine, ecc.
• L’art 2 stabilisce poi che il trattamento dei dati personali deve svolgersi nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato.
• Particolarmente importanti sono poi le definizioni contenute nell’art 4, le quali sono generiche proprio per garantire l’adeguamento del dettato normativo ai rapidi mutamenti della tecnologia: per trattamento si intende “ogni forma di contatto coi dati personali”; per dati personali si intende “ogni informazione che, direttamente o indirettamente, fa risalire ad un soggetto, persona fisica o giuridica che sia”; per interessato si intende “il soggetto i cui dati formano oggetto di trattamento”; con riferimento ai dati personali, poi si distingue tra comunicazione, cioè la “trasmissione da un soggetto specifico ad un altro” e diffusione che si risolve in una “comunicazione a soggetti indeterminati”.
• Un posto a sé, sul piano definitorio, occupano poi le classificazioni dei dati personali: la summa divisio che va operata è quella tra dati identificativi, cioè “dati che permettono l’identificazione dell’interessato” e dati sensibili, cioè “dati idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche e di altro genere, le opinioni politiche … nonché lo stato di salute e la vita sessuale”; naturalmente questi ultimi, qualificando la personalità del soggetto nelle sue scelte più intime, godono di maggiore tutela; vi sono poi anche i dati giudiziari, definiti come “dati idonei a rivelare i provvedimenti annotati nel casellario penale o le qualità di imputato o di indagato (cosiddetti carichi pendenti)”; per questi è previsto un peculiare regime di trattamento.

B) Date queste precisazioni, il legislatore individua il modello-base di disciplina del trattamento dei dati: si tratta di una serie di regole generali, che valgono per tutti i trattamenti e che possono poi subire deroghe a seconda dei vari settori in cui si opera. In particolare, si prevede che:

• I dati personali possono circolare ed essere ceduti purché vi sia il consenso dell’interessato (1) liberamente formato e manifestato e (2) preceduto da idonea ed esaustiva informazione. Per quanto attiene alla forma in cui tale consenso va manifestato l’art 23 opera una distinzione: per il trattamento dei dati ordinari, lo stesso può anche essere documentato per iscritto (forma scritta “ad probationem”: serve solo a dimostrare che una determinata volontà sia intervenuta); diversamente, per il trattamento dei dati sensibili, esso deve essere necessariamente manifestato in forma scritta (forma scritta “ad substantiam”: in assenza dell’elemento di forma richiesto, il negozio giuridico non esiste). Del consenso si può far a meno in talune ipotesi tassativamente indicate dall’art 24 (ad esempio, nel caso in cui il trattamento è necessario per salvaguardare la vita di un terzo ovvero per adempiere ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria).
• Oltre al consenso, per il trattamento dei dati sensibili e giudiziari è necessaria anche l’autorizzazione del Garante.
• I dati personali vanno trattati secondo liceità e correttezza, raccolti per scopi determinati espliciti e legittimi e, se necessario, devono essere conservati per un periodo di tempo non superiore a quello necessario agli scopi della loro raccolta (art 11).
• La condizione essenziale per la liceità e la correttezza dei trattamenti effettuati viene individuata nel rispetto dei codici di deontologia e di buona condotta. Si tratta, in particolare, di strumenti regolamentari contenenti regole elaborate direttamente dai soggetti interessati nell’ambito di determinati settori (si pensi, ad esempio, al codice deontologico dei giornali, il quale, applicabile non solo ai giornalisti iscritti all’albo, ma anche a tutti i soggetti che realizzano trattamenti diretti alla pubblicazione occasionale, costituisce attualmente, una fonte di primaria rilevanza nel bilanciamento fra i diritti dell’informazione e il diritto alla riservatezza di ciascun cittadino), a seguito di un atto propulsivo del Garante e in costante correlazione coi suoi poteri di controllo. Essi, poi, sono destinati ad essere via via, per impulso del Garante, allegati al Codice per la protezione dei dati con decreto del Ministro di Giustizia (art 12).
• I dati devono essere pertinenti e non eccedenti rispetto alle finalità della raccolta; tale principio va coordinato con quello della “necessità nel trattamento dei dati”, introdotto dall’art 3 (“i sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante il ricorso a dati anonimi”).
• L’interessato deve essere preliminarmente informato delle finalità del trattamento.