8
all’intimità della vita privata. Anche se in ritardo rispetto ai Paesi di common law, il
caso in questione è arrivato fino in Italia e non sono mancate considerazioni dottrinali,
le quali tradussero il termine privacy in riservatezza, cominciando a prospettare il
riconoscimento del relativo diritto. Tuttavia, prima di operare il “trapianto” in termini
comparatistici, la giurisprudenza italiana ha avuto un iter più lungo rispetto alla
giurisprudenza europea, come a voler frenare gli entusiasmi di chi, nella dottrina
italiana, aveva tentato di legare il caso americano alle allora scarne disposizioni di
legge.
2
Non sono mancate, inoltre, autorevoli opinioni di chi sosteneva che il diritto alla
riservatezza non avesse fondamento giuridico nel nostro sistema
3
, e anche questo può
aver influito nel ritardo della giurisprudenza. Tuttavia, si possono delineare delle
precise fasi che hanno poi portato al riconoscimento, almeno giurisprudenziale, del
diritto in questione. In un primo momento, si escluse l’esistenza del diritto alla
riservatezza, perciò si negava l’azione risarcitoria (o inibitoria), oppure la si concedeva
sulla base di diversi diritti della personalità già riconosciuti, come diritto al nome, il
diritto all’immagine, il diritto all’onore e alla reputazione. Inoltre, la contrapposizione
degli orientamenti tra le corti di merito, più aperte al riconoscimento di nuovi diritti, e
la Corte di Cassazione, più rigida nell’applicazione delle norme, rese più difficile
l’ingresso del diritto alla riservatezza nel nostro ordinamento. I primi casi inerenti alla
violazione della privacy riguardano persone notorie e risalgono agli anni Cinquanta;
nel dopoguerra la stampa e i mezzi di comunicazione si svilupparono velocemente e
non vi erano limiti alla critica e alla pubblicazione di fatti personali dei personaggi di
spicco. Si venne così a creare il terreno adatto per nuove esigenze di tutela, che
andavano oltre i diritti allora riconosciuti. I casi in questione sono tre : Il caso Caruso
4
,
2
Rodotà S., Tecnologie e Diritti,Bologna, 1995 e Tecnopolotica, Roma-Bari,1997 . Anche altri, quali
Alpa, Bessone, Losano, hanno contribuito dall’inizio degli anni settanta ad ampliare gli orizzonti
normativi della privacy, aprendo discussioni e proponendo progetti normativi che hanno segnato, in
seguito, la storia della privacy in Italia, partendo dalle banche dati fino ad Internet.
3
Pugliese G., Il preteso diritto alla riservatezza e le indiscrezioni cinematografiche, in Foro it.,1954, I,
c.117
4
Trib.Roma, 14 ottobre 1953, in Foro It.,1954,I,115. Il caso riguardava la vita privata del grande tenore
Enrico Caruso, romanzata nel film “Leggenda di una voce”, nel quale veniva fatto riferimento ad alcuni
episodi che descrivevano, tra l’altro, l’umile ambiente nel quale era vissuto il tenore in gioventù, la
tendenza alla ubriachezza, il tentativo di suicidio. Gli eredi di Caruso considerarono offensivo
dell’onore e della riservatezza queste sequenze e citarono in giudizio la società produttrice del film. In
primo grado, la corte riconobbe l’esistenza del diritto alla riservatezza, ma la Suprema Corte espresse
l’indirizzo opposto, stabilendo che “nell’ordinamento giuridico italiano non esiste un diritto alla
riservatezza, ma soltanto sono riconosciuti e tutelati, in modi diversi, i singoli diritti soggettivi della
persona: pertanto non è vietato comunicare, sia privatamente sia pubblicamente vicende, tanto più se
immaginarie, della vita altrui, quando la conoscenza non ne sia stata ottenuta con mezzi di per sé illeciti
9
Il caso Petacci
5
e il caso Soraya
6
. Come nella migliore tradizione del case law, che si
appiglia ai “leading precedent”
7
queste tre tappe furono determinanti per sviluppare
discussioni e controversie che, alla fine, riconobbero (anche se con qualche resistenza)
l’esistenza di un diritto alla riservatezza ed aprirono la strada alle odierne leggi di
tutela. In particolare, si può ripercorrere il percorso logico seguito dalla Suprema Corte
in relazione al caso Soraya per meglio comprendere come si è arrivati all’apertura. La
Corte infatti, richiama una serie di disposizioni per affermare che la tutela della
riservatezza è esplicitamente riconosciuta nel nostro ordinamento, elencando sia alcuni
articoli della Carta Costituzionale (artt.2, 3, 14, 15, 27, 29, 41 Cost.) sia la normativa
internazionale, dalla Dichiarazione dei diritti dell’ONU, alla Convenzione europea,
alle singole risoluzioni adottate dagli organismi internazionali. Per concludere la Corte
definisce il diritto alla riservatezza come segue: “tale diritto consiste nella tutela di
quelle situazioni e vicende strettamente personali e familiari le quali, anche se
verificatesi fuori del domicilio domestico, non hanno per i terzi un interesse
o con l’obbligo del segreto”. Tuttavia, qualche riserva era stata espressa riguardo alla privacy dei
personaggi pubblici o notori, per cui la riservatezza doveva essere contemperata con l’interesse
pubblico a conoscere i fatti relativi a queste persone, purché non fossero semplici pettegolezzi.
5
App.Milano, 26 agosto 1960, in Foro It.,1961, I, c.47 e Cass. 20 aprile 1963 n.990,in Foro It., 1963, I,
877 ; la famiglia Petacci si mosse contro l’autore del libro che rivelava certi aspetti della vita privata di
Claretta Petacci, l’amante del duce. Prima di essere di nuovo rifiutato in Cassazione, la corte d’appello
prese di nuovo in considerazione il diritto alla riservatezza accanto agli altri diritti della personalità,
riferendosi all’art 8 della Convenzione Europea dei diritti dell’uomo, il quale recita: “Tutti hanno diritto
al rispetto della loro vita privata e famigliare, del loro domicilio e della loro corrispondenza”. Tuttavia,
anche qui la Corte di Cassazione non fu conforme all’appello; si riconobbe la violazione di un diritto
assoluto della personalità, ma non di un autonomo diritto “tipico” alla riservatezza. Inoltre la Corte
ritenne superfluo il richiamo alla Convenzione europea dei diritti dell’uomo, in quanto il principio
espresso nell’art. 8 sarebbe già presente nel nostro ordinamento nell’art. 2 della Costituzione il quale
dispone che “la Repubblica riconosce e garantisce i diritti inviolabili dell’uomo sia come singolo sia
nelle formazioni sociali ove si svolge la sua personalità e richiede l’adempimento dei doveri
inderogabili di solidarietà politica, economica e sociale”.
6
Cass. 27 maggio 1975 n.1229 , in Foro It.,1976,I,2895 ; La questione riguardava la pubblicazione di
alcune foto nelle quali la principessa scambiava affettuosità con un famoso regista. Dopo l’esilio dalla
Persia, dove era imperatrice prima che scoprissero la sua sterilità, le veniva versato un appannaggio
purché si attenesse ad una vita illibata e senza scandali. In primo grado la domanda della principessa,
che vedeva lesa la sua immagine e la sua riservatezza, nonché violato il suo domicilio (le foto erano
state scattate all’interno della sua villa), venne accolta. In secondo grado la corte, forse per aderire
all’orientamento tenuto dalla Cassazione fino a quel momento, riformò parzialmente la sentenza di
primo grado, rimanendo restrittiva di fronte alla lesione della riservatezza e sottolineando, piuttosto, il
rapporto tra interesse pubblico all’informazione, diritto di cronaca e tutela dell’immagine e della
reputazione.
7
Terminologia del case law utilizzata per riferirsi ad un precedente dominante da cui poi si prende lo
schema logico decisionale per applicarlo a casi successivi. Posto che il riferimento al leading precedent
non ha lo stesso significato del case law, qui si vuole solo specificare il momento giurisprudenziale nel
quale si può dire superata la diffidenza verso il diritto alla privacy, che corrisponde appunto alla
motivazione addotta dalla Corte di Cassazione in riferimento al caso Soraya nel 1975.
10
socialmente apprezzabile, contro le ingerenze che, sia pure compiute con mezzi leciti,
per scopi non esclusivamente speculativi e senza offesa per l’onore, la reputazione o il
decoro, non siano giustificate da interessi pubblici preminenti”. La Corte si è inoltre
preoccupata di specificare che una definizione rigida non è opportuna, dovendo la
stessa essere adattata alle “esigenze degli ambienti, delle zone e dei tempi”. Quanto
alle persone notorie viene riaffermato il principio per cui una deroga è possibile solo
per “un reale interesse sociale o un interesse pubblico preminente”. In dottrina, la
sentenza incontra molti pareri favorevoli ed inizia la fase di sviluppo del diritto alla
riservatezza, come autonomo diritto della personalità.
1.2 La tutela dei dati personali e il quadro internazionale in materia
Dopo il caso Soraya, il legislatore italiano si trovò di fronte ad una nuova esigenza da
tutelare; tuttavia non bastava un impegno nazionale, e dato che nel frattempo gli stessi
dubbi erano già stati risolti in altri Paesi continentali molto tempo prima, il lavoro del
legislatore si svolse, alla fine, in concerto con gli altri Paesi europei. Bisogna inoltre
precisare che la privacy non era più attaccata solo dai mass media, ma ci si era resi
conto che anche la pubblica amministrazione o addirittura la sanità, potevano,
attraverso i loro archivi, divulgare notizie personali.
Il campo di indagine relativo alla riservatezza è dunque molto esteso e si intreccia con
gli altri diritti della personalità
8
, quali ad esempio:
1. il diritto all’immagine, che riguarda l’utilizzo dell’immagine altrui per scopi
informativi o commerciali;
2. il diritto all’identità personale
9
, cioè alla identità ideale che è costituita dal
patrimonio di valori, orientamenti politici, economici, sociali o sessuali proprio di un
individuo e che non può essere distorto nel modo in cui è presentato al pubblico;
3. il diritto al nome, non più solo segno distintivo della persona, ma espressione della
storia personale e del modo di essere di un individuo.
4. ai diritti del malato in generale, nonché all’identità genetica
5. il diritto di cronaca, con cui i diritti della personalità entrano facilmente in conflitto.
8
Alpa G., in op.cit.
9
In particolare, il diritto alla identità personale affianca e sorregge il diritto alla riservatezza nella stessa
legge 675/96, determinandone i confini di applicazione.
11
Dunque è facile comprendere come il primitivo “right to be let alone”, coniato dai
giuristi americani, prende oggi una forma molto più complessa dovuta soprattutto
all’evoluzione costante delle tecnologie, della telefonia e delle telecomunicazioni in
generale. La tutela della riservatezza, quindi, può essere interpretata in vario modo, a
seconda delle modalità con le quali si viola la sfera personale e quale diritto in
particolare viene colpito. Volendo dunque restringere il campo d’indagine, bisogna
guardare di nuovo, come nel caso Warren e Brandeis, alle “rivoluzioni” in atto,
sposando la tesi delle Cassazione che, già dalla prima definizione del diritto alla
riservatezza
10
, sottolineava la necessità di interpretare tale diritto alla luce del
momento storico al quale si riferisce. Se vogliamo leggere la privacy oggi, dobbiamo
considerare necessariamente la c.d. “società dell’informazione e dell’informatica”.
Con questo termine, si indica il momento storico attuale in relazione allo sviluppo
della tecnologia, che coinvolge tutte le attività umane. Nell’ambito dell’informatica,
che tocca tutti i nuovi settori tecnologici, la raccolta dati tramite la c.d. banche dati è
stata una un importante rivoluzione del nostro secolo. La possibilità di immagazzinare
velocemente i dati ha permesso una rapida evoluzione del flusso di informazioni. In
questo modo, anche la raccolta dati, rientra tra le attività che, come quella
giornalistica, può interferire con la riservatezza, in quanto le informazioni inerenti
l’individuo (i dati personali) contenute negli archivi elettronici (data base), senza un
controllo potrebbero danneggiare i diritti della personalità. L’utilizzo dei data base
nell’ambito del credito finanziario ed in particolare del “credit scoring”
11
, si sviluppò a
tal punto che lo stesso Congresso degli Stati Uniti, sollevando il problema
dell’evoluzione informatica nel settore presentò il Fair credit reporting Act
12
il 26
ottobre 1970, inteso a tutelare il cliente ogniqualvolta l’informazione fosse registrata
anche in forma automatizzata, regolamentando, per la prima volta in modo specifico,
10
Vedi nota n.13 di questo capitolo.
11
Con questo termine si indica quell’operazione finanziaria con la quale si decide se concedere o no un
credito in base ad un’operazione statistica (credit scoring system) che determina la solvibilità del
cliente.
12
Il FAIR contiene, tra i principi generali, numerosi riferimenti alla dignità della persona, ed
esplicitamente si riferisce alla tutela della privacy.(cfr. § 1681, Findings and Purpose)
12
l’attività delle agenzie di informazioni sulla solvibilità
13
. Un precedente importante
sulla tutela dei cittadini in rapporto al trattamento dei dati da parte della pubblica
amministrazione federale in USA è il Freedom of information Act, c.d. FOIA, del
1966, il quale era riferito solo al sistema di archiviazione cartacea, e per questo fu in
seguito integrato dal Privacy Act del 1974, e da una legge settoriale del 1996 per
renderlo finalmente applicabile anche agli archivi elettronici
14
. In Europa, gli anni
Settanta furono segnati da un’eterogenea normativa sui dati personali sottoposti a
trattamenti informatici, in attesa di una legislazione europea omogenea. La prima
legge organica e completa sulla protezione della riservatezza e sul controllo delle
banche dati, pubbliche e private, è stata quella emanata dal parlamento svedese, il
Datalegen 289/1973, poi modificato nel 1979. Seguì poi la Germania federale nel
1977 con la legge federale sulla protezione dei dati (Bundesdatenschutzgesetez,
Bdsg), che prevedeva in particolare la figura di un Garante per la protezione dei dati
personali sia per le persone fisiche che giuridiche (Datenschutz). Nel 1981 tutti i
Lander avevano già una legge sulla protezione dei dati personali. In Francia nel 1978
non solo vi era già una legge ovvero la “Loi informatique et libertés”, ma già si
parlava del principio della notifica preventiva ad un apposito organismo, il CNIL,
Commission Nationale Informatique. Un momento ancora più importante fu poi il
riconoscimento della privacy nella Costituzione del Portogallo del 1977, il cui articolo
35 dispone che “ogni cittadino ha il diritto di prendere cognizione dei suoi dati
personali inseriti in una banca dati, o dell’uso che ne viene fatto e di pretendere la loro
correzione e il loro aggiornamento. Anche i Costituenti spagnoli, nel 1978, ritennero
opportuno l’inserimento di un articolo ad hoc; l’art. 18 demanda ad un’apposita
legge
15
la fissazione dei limiti all’uso dell’informatica per garantire l’onore e l’intimità
personale e familiare dei cittadini e il pieno esercizio dei loro diritti. L’introduzione
nelle costituzioni del diritto alla riservatezza, ha creato una spaccatura tra gli Stati che
hanno inserito tale diritto nel testo costituzionale, spesso congiuntamente con il
trattamento dei dati personali, e quelli che, come in Italia, hanno preferito adottare solo
13
Per una panoramica sulle leggi internazionali sulla privacy vv. Di Salvatore Paola, Lo spazio di
Schengen a portata di mano con il recepimento della direttiva comunitaria, in Guida al Diritto, il Sole-
24 Ore, 1 febbraio 1997
14
Electronic Freedom information Act, 1996
15
La legge in questione è stata poi emanata nel 1993, con la particolarità che riguarda esclusivamente le
persone fisiche e anche qui viene creato un apposito organo di tutela.
13
una legge ordinaria, senza intervenire sulla Costituzione, se non applicando
un’interpretazione estensiva delle norme già esistenti.
16
Dunque, durante tutti gli anni Settanta, ci fu un proliferare di leggi in materia in tutti i
Paesi europei, ad eccezione di alcuni Paesi, tra cui l’Italia, dove la legge 675 sul
trattamento dei dati personali è datata 1996. Anche la strada percorsa a livello Europeo
per l’adozione di una normativa comunitaria omogenea è iniziata negli anni Settanta,
attraverso una serie di risoluzioni
23
, ma questo strumento, non avendo carattere
vincolante per i governi, risultò insufficiente. L’occasione per un incontro tra i Paesi
europei per armonizzare e discutere la questione è stata la Convenzione di Strasburgo
del 28 gennaio 1981
17
, il cui primo articolo indica come scopo ed oggetto della
Convenzione quello di garantire, sul territorio di ciascuna parte aderente, ad ogni
persona fisica, quali che siano la sua nazionalità o residenza, il rispetto dei suoi diritti
e delle sua libertà fondamentali e, in particolare, del diritto della vita privata, in
relazione all’elaborazione automatica dei dati a carattere personale che la riguardano.
Nel preambolo si ravvisa la necessità di una normativa per conciliare i valori
fondamentali della vita privata e della libera circolazione delle informazioni tra i
popoli la Convenzione, può riassumersi in una serie di principi fondamentali, poi
riconosciuti nelle legislazioni europee che seguirono
18
;
1. Qualità dei dati: l’elaborazione deve esercitarsi in modo lecito e corretto, per scopi
legittimi e con un utilizzo adeguato.
2. Divieti di elaborazione: non è consentito indagare sull’origine razziale, sulle
opinioni politiche e religiose, sulla salute, sulla vita sessuale e sulle condanne penali,
salvo che il diritto nazionale non preveda garanzie.
19
3. Sicurezza: devono essere previste misure preventive contro la distruzione e
l’accesso indiscriminato dei dati.
4. Conoscenza: deve essere garantito il libero accesso dell’interessato alla
conoscibilità dell’esistenza dei dati personali
16
Per l’Italia è l’ art. 2 della Costituzione, in conformità alla Cass. nel caso Petacci,
17
Convenzione del Consiglio d’Europa n. 108
18
Vigeva un obbligo degli Stati firmatari; questi dovevano adottare le misure necessarie per dare effetto
al contenuto della Convenzione al più tardi entro l’entrata in vigore della stessa. In realtà la
Convenzione fu un ponte tra le norme già esistenti e la normativa, vincolante, comunitaria.
19
Sono questi i c.d. dati sensibili, così come sono stati individuati dall’art.22 della legge 675/1996.
14
5. Diritto di rettifica e cancellazione: l’interessato può chiederla per i dati
illegittimamente acquisiti
20
6. Superamento dei limiti: le restrizioni possono essere limitate nei casi di impegni
statistici
21
e scientifici, di repressione dei reati, protezione dell’interessato e difesa
della libertà.
7. Movimento transfrontaliero dei dati: si sancisce la necessità di assistenza reciproca
fra gli Stati e la maggiore libertà di movimento oltre frontiera dei dati.
22
Quest’ultimo aspetto della convenzione ha poi assunto particolare importanza in
relazione all’Accordo di Schengen del 1985, relativo all’eliminazione graduale dei
controlli alle frontiere comuni, in quanto la libera circolazione riguardava i dati
personali ed in particolare anche quelli relativi al settore di polizia (Eurpol). L’Italia,
in quanto Stato firmatario, ha emanato una legge di ratifica dell’Accordo nel 1993
23
,
ma solo nel 1996, con la legge n.675, avvenne l’attuazione dell’art.117 dell’Accordo,
in base al quale l’Italia si impegnava a conformarsi alla Convenzione di Strasburgo. La
situazione è inoltre cambiata negli ultimi anni grazie all’intervento della Comunità
Europea con la Direttiva 95/46 , che ha reso omogenea la normativa in materia in
Europa ed ha permesso, agli Stati che già non ne avessero una, di formulare una legge
sulla base della direttiva stessa e a chi già ne aveva una in vigore, la possibilità (e
l’obbligo) di armonizzarla con la direttiva
24
. Il primo caso si può riferire all’Italia, la
cui legge sulla privacy, è stata formulata in termini molto simili alla normativa
comunitaria. Dunque, la legge 675/1996 non è stata solo importante dal punto di vista
giuridico – formale, riguardante la tutela dei dati personali nell’era dell’informatica,
ma ha anche aperto le porte, nel 1997, allo spazio europeo di Schengen. Inoltre,
sebbene ne fosse stata autorizzata la ratifica, con la legge n.98 del 1989, la
20
Le leggi in materia prevedono tuttavia una possibilità più ampia; generalmente si concede il diritto
alla cancellazione e alla rettifica indipendentemente dal fatto che i dati sono stati illegittimamente
acquisiti; cfr. art. 13 legge 675/1996.
21
Esempio tipico il censimento
23
la legge in questione è la 338 del 1993
24
Infatti, alcune leggi europee sono molto recenti perchè sono state riviste dai rispettivi governi ex novo
alla luce della direttiva; In Spagna, la legge che applica la direttiva europea è datata 1999, ed è stata
recentemente modificata nel 2000. In relazione alla nuova legge spagnola sui dati personali; Frosoni
T.E., La nuova legge spagnola sui dati personali, in Dir.Inf., 2000
15
Convenzione di Strasburgo era rimasta inattuata e la legge 675/1996 ne ha permesso,
finalmente, la concreta applicazione
25
.
1.3 La Direttiva 95/46/Ce e la struttura della legge 31 dicembre 1996 n. 675
Il timore che la gestione delle informazioni attraverso le banche dati si risolvesse in
uno svuotamento dei diritti della personalità, è stata, dopo la Convenzione di
Strasburgo e l’Accordo di Schengen, discussa in sede comunitaria, portando alla
approvazione della direttiva 95/46/Ce, relativa alla tutela delle persone fisiche con
riguardo alla tutela dei dati personali, nonché alla libera circolazione dei dati. La
direttiva ha dettato le norme per la piena realizzazione di un mercato interno, che
coinvolge anche la circolazione dei dati personali. Inoltre, tra le finalità della direttiva,
si fa riferimento alla salvaguardia dei diritti fondamentali in linea con quanto disposto
dalla Convenzione d’Europa del 1981 (Strasburgo), richiamata nell’undicesimo
“considerando” della direttiva. Trattandosi di uno strumento vincolante, i Paesi
membri hanno adattato alla direttiva le leggi già emanate o, come in Italia e in Grecia,
ne hanno emanato di nuove. In particolare, la normativa italiana di recepimento, la
legge 31 dicembre 1996 n. 675, si è ispirata in più punti alla normativa comunitaria,
talvolta con schemi più rigidi della direttiva stessa. Le differenze più importanti tra le
due normative riguardavano, soprattutto, i soggetti, i dati sensibili, la sicurezza e la
responsabilità. In primo luogo, la normativa comunitaria fa solo riferimento alle
persone fisiche, mentre l’art.1 della 675/96 include anche “le persone giuridiche e di
ogni altro ente e associazione”, estendendo il campo di applicazione della tutela.
Riguardo ai tipi di trattamento, inizialmente la normativa italiana era molto più rigida
rispetto al trattamento non automatizzato; la direttiva permetteva semplificazioni non
previste nella 675/96, ma che poi si sono realizzate per effetto del decreto legislativo
255/97 rispetto alla notificazione (semplificata).
26
Un’altra differenza riguarda il
25
Per la verità l'Italia già disponeva della spesso dimenticata legge 1° aprile 1981 n. 121
sull'amministrazione della pubblica sicurezza, in base alla quale ogni amministrazione, ente, impresa o
associazione privata che detenesse archivi magnetici per l'inserimento di dati o informazioni di cittadini,
di qualsiasi natura, doveva notificarne l'esistenza al ministero degli interni. L'interessato poteva chiedere
al Tribunale che i dati erronei, incompleti o illegittimamente raccolti fossero cancellati o integrati se
incompleti. Tuttavia questa normativa, oggi parzialmente abrogata, era dettata da ragioni di tutela
dell'ordine pubblico, legate alla stagione della cosiddetta "emergenza" e non sembra possa essere iscritta
nell'albero genealogico delle legislazione di tutela della protezione dei dati personali.
16
trattamento dei c.d. dati sensibili; la direttiva prevede che il solo consenso basti per il
trattamento legale di tali dati, mentre la legge italiana accanto al consenso ha previsto
l’autorizzazione del Garante, salvo comunque le norme relative all’attività
giornalistica, di cui all’art.22 della stessa legge. La sicurezza è un altro punto di
distacco; la direttiva 95/46 fa riferimento ai costi per la valutazione del sistema di
sicurezza, che deve essere appropriato rispetto ai rischi inerenti la natura dei dati da
proteggere. Il legislatore italiano non fa riferimento ai costi come criterio di
valutazione, risultando, nel contempo, più rigido. Da ultimo, diverso è il regime della
responsabilità prospettato dalla direttiva, secondo la quale l’illecito dà luogo al
risarcimento danno, ma l’esenzione totale o parziale dalla responsabilità è prevista nel
solo caso in cui il responsabile del trattamento “prova che l’evento dannoso non gli è
imputabile”
27
. La nozione di imputabilità qui espressa è diversa dalla nostra capacità
di intendere e di volere, dettata dal nostro codice civile all’art.2046. Infatti, la direttiva
annovera, tra le cause di esclusione, la forza maggiore o l’errore. Quindi “non
imputabile” significa esclusione della responsabilità per l’intervento di cause estranee
alla sfera del responsabile del trattamento. Da questa premessa, il legislatore italiano
ha optato per l’art.2050 c.c. relativo alla responsabilità oggettiva, dove l’unica prova
liberatoria consiste nell’aver adottato tutte le misure idonee per evitare il danno, anche
in questo caso, la normativa italiana risulta più severa. Tuttavia per il resto si ispira
quasi totalmente allo schema della direttiva, la quale prevede, sinteticamente:
1. Trattamento dei dati: sia il trattamento automatizzato che non automatizzato è
sottoposto alla direttiva, salvo la possibilità di semplificazione per questi ultimi e il
regime di eccezioni previsto, ad esempio, per la pubblica sicurezza, attività dello Stato
o per l’attività penale.
2. Legittimazione: la legittimazione al trattamento può avvenire solo dietro consenso
dell’interessato, salvo, anche in questo caso, specifiche eccezioni (adempimento
obbligo legale, salvaguardia interesse vitale dell’interessato, etc.)
3. Dati particolari (sensibili): ne è vietato il trattamento salvo la normativa nazionale o
altri fini lo consentano, purché vi sia il consenso. I dati in questione sono: le
convinzioni religiose, politiche o filosofiche; origine razziale o etnica; appartenenza
sindacale; vita sessuale e salute.
26
vv. art.7 comma 5 bis della l.675/1996.
27
art. 23, paragrafo 2 della direttiva.
17
4. Autorità di controllo: per ogni stato deve essere prevista un’“autorithy”
indipendente e specifica che sorveglia sull’adempimento della direttiva attraverso
interventi di attuazione.
5. Notificazione: il responsabile o il suo rappresentante devono notificare all’autorità
di controllo l’inizio del trattamento.
6. Trasferimento dei dati personali a Paesi terzi: su questo punto, il Paese terzo deve
garantire un livello di protezione adeguato, salvo consenso dell’interessato ed altre
specifiche eccezioni.
7. Codici di condotta: ovvero la possibilità di far accettare, sotto il controllo eventuale
dell’autorità di controllo, di codici deontologici in materia;
Inoltre a livello comunitario è previsto, all’art.29, un apposito gruppo per la tutela
delle persone, assistito da un comitato, per il monitoraggio sulla corretta applicazione
della direttiva. Nonostante alcune lievi differenze dal punto di vista terminologico,
anche la legge italiana segue questo schema, che ha trovato diverse, ma non
contrastanti, applicazioni in tutti i Paesi membri. La 675/1996, anche successivamente
ad alcuni interventi integrativi
28
, è sicuramente uno strumento d’avanguardia per la
protezione dei dati personali. Tuttavia, le attuali trasformazioni del sistema di
produzione e distribuzione delle merci, dovuto all’affermarsi della diffusione delle reti
telematiche, ha influenzato il passaggio dalla produzione di massa alla c.d.
personalizzazione di massa, basata appunto sulla profilazione degli utenti o
consumatori in base ai loro dati personali. Questo ha determinato un aumento di
richiesta di dati personali, ed Internet, come altre tecnologie moderne, consente un
riscontro dei gusti del consumatore, anche a costo di snaturarne l’identità personale e
spesso senza riguardo alla riservatezza. Dunque, alla luce di questi cambiamenti e
delle trasformazioni in atto sia livello nazionale che europeo, bisogna valutare
l’applicabilità della 675/96, cercando di adattarla, se possibile, a queste nuove
esigenze
29
.
28
L’integrazione è avvenuta sia a livello legislativo comunitario e nazionale che da parte del Garante
per la tutela della protezione dei dati personali.
29
Grippo V., Analisi dei dati personali presenti su Internet, la legge n.675/96 e le reti telematiche, in
Dir.Crit.dir.priv.,1997.
18
Capitolo 2. La legge 675/1996; applicabilità ad Internet
2.1 La tutela dei dati personali in relazione ad Internet
Il quadro internazionale sulla tutela dei dati personali è dunque molto complesso.
Innanzitutto, superato il concetto di privacy americana inteso come “right to be let
alone”, il diritto alla riservatezza assume un significato più ampio, anche grazie al suo
inserimento ufficiale tra i diritti della personalità
30
. Oggi infatti, la tutela dell’intimità
si traduce nella tutela di tutte quelle situazioni che possono rivelare, per qualsiasi
scopo, il modo di essere dell’uomo nella società. I campi nei quali la riservatezza entra
in gioco sono moltissimi ed oltre ai mass media classici quali la televisione, i giornali,
la radio, si aggiungono altri settori di nuova generazione, come le comunicazioni
radiomobili e la reti telematiche
31
. Riguardo alle telecomunicazioni, il legislatore
europeo è intervenuto con una direttiva “ad hoc”, ovvero la direttiva 95/46 sul
trattamento dei dati personali e sulla tutela della vita privata nel settore delle
telecomunicazioni, affinché la legge 675/96 venisse regolarmente applicata al settore.
Tuttavia, né la legge nazionale successiva di applicazione, ovvero il decreto legislativo
n.171 del 1998, né la direttiva in questione, hanno incluso nelle definizioni un esplicito
riferimento ad Internet, tranne che per l’aspetto relativo alla connessione
telefonica.
32
Inoltre, il diritto alla riservatezza entra a far parte della vita quotidiana
anche nei luoghi di lavoro, dove vi può essere un eccessivo controllo dei dipendenti, o
nella sanità, i cui archivi contengono informazioni personalissime. Ci sarebbero ancora
esempi e leggi da richiamare, ma l’aspetto che accomuna tutte queste sfaccettature non
è solo il dato personale che si muove in questi ambiti, ma è il metodo di trattamento
che si utilizza, ormai elettronico, che ne rende più difficile il controllo. Si è fatto già
30
Vedi cap.1
31
La telematica viene comunemente definita come l'attività di trasmissione a distanza, con l'ausilio di
una rete di telecomunicazioni, di informazioni digitali elaborate elettronicamente, in proposito vedi
D'Orazio V. R. - Zeno-Zencovich V. Profili di responsabilità contrattuale e aquiliana nella fornitura
di servizi telematici, in Dir. Inf, 1990, p.421 e seg.
32
Gasparinetti M., Internet e Privacy: quali regole?, pp 48
19
cenno alle reti telematiche, la più conosciuta è Internet, la rete mondiale alla portata di
tutti e con una serie di informazioni in continua crescita. Tutti i settori della vita
quotidiana stanno subendo la trasformazione telematica, presto la Rete sarà il mezzo di
comunicazione più diffuso al mondo, superando gli altri mass media, perché Internet
non è solo informazione, ma è anche telecomunicazione.
In particolare si pone il problema della profilazione
33
, ovvero di quell’operazione che,
attraverso il monitoraggio degli spostamenti in rete del soggetto- utente (c.d.
clicktrail), se ne può ricostruire il profilo personale, con il rischio che un’incontrollata
gestione di questi dati faccia emergere l’altra faccia della società dell’informazione;
ovvero quella che i sociologi chiamano “il Grande Fratello”
34
. Già da qui si
comprende come il discorso sui dati personali si allarga e assume dimensioni poco
gestibili. Innanzitutto la Rete è mondiale e le norme nazionali sono spesso insufficienti
a superare la transnazionalità, e si tratta di un sistema che, per adesso, viaggia
attraverso le linee telefoniche, mobili e fisse, coinvolgendo anche il settore telefonico
internazionale. Inoltre, Internet o, come spesso viene chiamato, il cyberspazio
35
,
manca di quella base territoriale tipica degli Stati su cui il potere possa essere
esercitato. Nella rete in cui opera Internet, certi programmi accessibili a tutti,
consentono di visitare un numero indefinito di luoghi situati nei più diversi Paesi. Ma
l’aspetto più pericoloso è che si tratta di un sistema molto debole dal punto di vista
della sicurezza. I “pirati” della Rete (i c.d. hackers), possono arrivare ad entrare nel
sistema di un qualsiasi computer e cancellare o modificare informazioni. Si è aperta
così l’era dei crimini on line e la riservatezza, senza un apposito spazio normativo
internazionale, è messa a rischio anche dal nuovo sistema di vendita dei dati personali,
che sulla Rete sta avendo un particolare successo, poiché a livello mondiale non è
ufficialmente vietata e non sufficientemente regolata e non è nemmeno chiaro se il
database aziendale debba ritenersi un bene suscettibile di vendita in sede fallimentare
o meno
36
. Del problema se ne sono accorti presto i Garanti Internazionali riuniti a
33
Maccaboni G. La profilazione dell’utente telematico fra tecniche pubblicitarie on- line e tutela della
privacy, in Dir. Dell’ informazione e dell’informatica, 2001
34
Il Grande Fratello di George Orwell, viene spesso menzionato dagli studiosi per sottolineare la
necessità di protezione nei confronti di chi ci controlla.
35
Termine coniato dall’autore Gibson William nel romanzo Neuromancer, 1984.
36
Newsletter Garante “del 17 - 23 settembre 2001” ; si tratta della possibilità che ditte in fallimento
decidano di vendere le proprie banche dati al migliore offerente per ricavare ulteriori liquidità. E' un
rischio reale, che negli USA è stato oggetto di sanzioni comminate dalla FTC nei confronti di società
20
Venezia in occasione del della 22ma Conferenza internazionale sulla privacy e la
protezione dei dati personali del 1998, i quali, “convenendo sulla necessità di ribadire
principi e criteri comuni per la protezione dei dati in una situazione in cui si fanno
sempre più pervasive le tecnologie di trattamento dei dati, e sulla consapevolezza che
aumenta il numero dei soggetti che possono utilizzarle e che si intensifica ogni giorno
di più la circolazione delle informazioni su scala mondiale”, hanno sottoscritto un
accordo detto “Carta di Venezia” nel quale si impegnano ad “assicurare
universalmente un livello di garanzie adeguato… indipendentemente dal luogo in cui i
dati sono trattati e dagli strumenti con i quali tali garanzie sono attuate a livello
nazionale e internazionale”
37
. Tuttavia, l’impegno preso dai Garanti, anche se
fondamentale per l’inizio di una linea d’azione comune, lascia ancora aperto il dubbio
se le leggi nazionali, comunitarie
38
ed internazionali possono coprire, anche solo in
attesa di una svolta, i problemi inerenti al trattamento dei dati in Rete o se invece ci si
debba affidare ai codici di autodisciplina, o ancor prima, alla autotutela
39
.
2.2 I principi della 675/96 ; chiarimenti sull’oggetto della legge
La legge italiana, la 675/1996, è stata chiamata spesso, “legge sulla privacy”; in realtà
se si studia a fondo la normativa, ci si accorge che l’oggetto che tratta non è la privacy
come si intendeva ai tempi di Warren e Brandeis, bensì un concetto più ampio e
complesso. La violazione della riservatezza o privatezza è diversa dalla violazione
della “intimità” ; la prima riguarda un insieme di informazioni che, collegate tra loro,
possono ledere la persona, la seconda riguarda solo aspetti specifici, come ad esempio
il domicilio, o le comunicazioni personali, presi singolarmente. Su quest’ultimo punto
(come Toysmart o Craftshop) che svolgevano attività di commercio elettronico e, a seguito del
fallimento, avevano successivamente deciso di rivendere i dati della clientela. In questo caso l'approccio
che l'autorità federale intende seguire consiste nel sensibilizzare le imprese sulla nuova normativa,
segnalando la necessità di informare con chiarezza il cliente sulla natura del rapporto contrattuale che
verrà ad instaurarsi. E' dunque necessario che le imprese informino la clientela e ne abbiano il consenso
prima di comunicare ad altri i dati che la riguardano.
37
Carta di Venezia 1998, disponibile negli atti del Congresso e sul sito del Garante privacy;
www.garanteprivacy.it
38
A livello comunitario, sono almeno quattro gli strumenti applicabili: la direttiva generale sulla
protezione dei dati, la già menzionata direttiva sulle telecomunicazioni, la direttiva sulle vendite a
distanza (97/7/CE) e la direttiva sul commercio elettronico (2000/31/CE).
39
Poullet Y., Internet e privacy; quali regole?,intervento sulla Riservatezza e sicurezza delle reti,1998
21
la legislazione spagnola è molto chiara perché mentre l’intimità è sufficientemente
tutelata dall’art.18 della Costituzione e dalle leggi di attuazione, la riservatezza può
risultare menomata dalle nuove tecnologie
40
. Dunque, un complesso di dati personali
può essere idoneo a distorcere l’identità personale, e per questo è meritevole di tutela.
L’identità personale, affiancata alla riservatezza nell’art.1 della legge 675/96, è quel
valore della persona, la quale ha un determinato interesse ad apparire di fronte agli
altri nel modo in cui essa desidera apparire, senza stravolgimenti (identità ideale).
Questi due diritti, alla riservatezza e all’identità personale, sono però protetti solo
indirettamente dalla legge italiana sulla tutela dei dati personali, perché questi hanno
per oggetto il valore dell’individuo nella considerazione sociale, e disciplina i dati
personali non in sé, ma in quanto al loro comunicazione o diffusione leda tale valore.
La legge 675/96 invece tutela i dati personali di fronte a qualsiasi attività che abbia per
oggetto i dati personali, secondo un lungo elenco di modalità di cui all’art.1 lettera b),
che peraltro è da considerarsi non tassativo. Per questo è stato sostenuto che l’oggetto
della legge in questione non fosse la riservatezza in sé, ma la trasparenza, in relazione
alla libertà della persona rispetto al potere informatico
41
. In questo contesto la
riservatezza sarebbe non un fine, ma un limite della legge stessa da conciliare con le
esigenze di trasparenza. Differentemente da quella italiana, altre normative europee,
come ad esempio quella francese, descrivono l’oggetto come nella direttiva
comunitaria 95/46 e lo identificano con la tutela del diritto alla riservatezza
42
. Se si
accetta dunque l’impostazione per la quale la legge 675/1996 non tutela il diritto alla
riservatezza, ma la trasparenza dei dati personali e l’utilizzo legittimo delle banche
dati, non è corretto parlare di legge sulla “privacy”. Tuttavia, è giusto riferirsi al
termine “privacy” se generalmente inteso, ma bisogna stare attenti a valutare il termine
in relazione alla normativa che si prende in considerazione per individuarne con
esattezza i confini giuridici.
I principi su cui conviene soffermarsi per avere una visione nitida dell’applicabilità
della legge 675/96 ad Internet, sono i seguenti:
Le finalità e definizioni di cui all’art.1,ovvero se tali definizioni possono applicarsi in
toto alla Rete;
40
Losano G.M., La legge spagnola sulla protezione dei dati personali, in Dir.Inf. 1993,867
41
Giannatonio E., in Commentario, op.cit, p.5
42
Questo nonostante non vi sia ancora una legge di applicazione della direttiva, ma c’è un progetto di
legge in corso di conclusione; vedi in www.cnil.fr
Ricevi informazioni sui nostri servizi, sulle offerte e non perdere news e consigli su università e lavoro.
