5
L’ultimo decennio ha poi visto la nascita del fenomeno della cd.
“convergenza tecnologica”, per la quale un unico terminale può assolvere
alle funzioni più disparate, dalla semplice telefonata all’invio di documenti
multimediali verso indirizzi e-mail, alla partecipazione a videoconferenze o
ancora ad un collegamento permanente ad Internet, all’ascolto di musica o
alla visione della TV.
L’evoluzione poi nel campo della medicina e della scienza sembra poter
offrire all’umanità intera aspettative di vita inimmaginabili pochi decenni fa:
la clonazione, la biogenetica, le tecniche biometriche di riconoscimento, la
continua ricerca della perfezione assoluta…
Evidenti, tuttavia, appaiono oggigiorno le problematiche poste da questi
ultimi esempi, che ancora trovano (fortunatamente) nell’etica e nella
morale alcuni limiti al loro progresso assoluto. Meno evidenti invece
appaiono i rischi e le problematiche correlati all’utilizzo degli strumenti
tecnologici e dei mezzi di comunicazione sopra citati: ogni operazione da
noi effettuata, lascia nelle mani di un estraneo, le nostre “tracce “, i nostri
dati personali, così identificandoci o quantomeno rendendoci identificabili
agli occhi di un “qualcuno” interessato alla nostra vita. Da questi dati si
può facilmente risalire ai più intimi aspetti della vita privata del singolo,
come ad esempio quali prodotti sono stati acquistati con la carta di credito
e dove, con chi il soggetto intrattiene rapporti interpersonali, quali sono i
suoi hobby, le sue preferenze musicali, cinematografiche, culturali,
politiche, religiose (magari avendo raccolto le tracce disseminate nel Web
dopo la nostra “navigazione”)… il tutto in “tempo reale”, senza cioè l’attesa
di un lavoro di tipo archivistico svolto da un addetto, ma con un
elaboratore che ordina, a piacimento del titolare, i dati personali. L’utilizzo
più normale di tali informazioni si svolge nel settore commerciale e
promozionale: si permette cioè al titolare della banca di dati di effettuare
un marketing diretto dei propri prodotti, potendo indirizzare il messaggio
pubblicitario ad un target ben individuato.
Sebbene potenzialmente dannoso, fastidioso ed invadente, tale utilizzo
dei dati personali è ben poca cosa rispetto ad un utilizzo svolto a fini di
vero e proprio controllo (se non si vuol parlare di spionaggio) della vita e
delle scelte di ogni tipo del soggetto. Si pensi a titolo esemplificativo,
6
senza arrivare ad immaginare un fantascientifico scenario orwelliano con
tanto di Grande Fratello, alla possibilità, offerta da alcune compagnie di
telefonia mobile estere, di usufruire di un servizio di informazione circa la
localizzazione di un terminale di telefonia cellulare con il semplice invio di
un messaggio alla compagnia telefonica ove viene specificato il numero
telefonico del terminale del quale si vuole conoscere la posizione in quel
determinato momento. Senza poi contare l’installazione di telecamere
deputate alla sorveglianza dei locali e di spazi aperti, ovvero la possibile
raccolta ed elaborazione dei nostri dati genetici effettuata in funzione del
sistema di identificazione personale attraverso la tecnica biometrica.
Efficacemente accanto alla locuzione “società dell’informazione” ne sono
state affiancate delle altre, quali “società del controllo” o “società della
classificazione”.
Un tale quadro generale (seppur in apparenza eccessivamente
pessimistico), svincolato da una efficace tutela normativa, rischierebbe di
mettere in crisi l’intero sistema democratico oltre che la stessa personalità
del soggetto interessato, limitato in maniera totalizzante dei propri diritti
fondamentali.
Oltre a ciò si rilevano gli evidenti rischi collegati alla potenziale
utilizzazione di tali informazioni a favore della malavita organizzata, come
Mafia o Camorra, o dei narcotrafficanti, o, ancora, a favore delle opere di
controspionaggio.
E’ evidente pertanto la necessità di predisporre adeguati sistemi
normativi a tutela del “bene riservatezza” e a tutela dei dati personali,
esigenza che è stata sentita, come vedremo, sin dai primi consistenti
sviluppi dell’elaboratore elettronico, lo strumento tramite il quale possono
efficacemente esser raccolto e trattato un numero impressionante di
informazioni.
7
Capitolo I
La tutela dei dati personali: considerazioni generali in
ambito internazionale.
1.1. Primi interventi normativi sulle banche di dati personali e
loro evoluzione.
Il bisogno di una tutela dei dati personali è stata sentita dai vari
ordinamenti, sin dalla fine degli anni ’60, inizi anni ’70, anni nei quali
cominciano a fiorire le prime leggi tendenti a disciplinare le banche di
dati personali. I primi testi legislativi in materia sono stati emanati sin
dalla seconda metà degli anni ’60 negli USA: il Freedom of information
Act del 1966, ed il Privacy Act del 1974 tendono a disciplinare le
banche di dati personali possedute dall’amministrazione federale; le
banche di dati delle amministrazioni statali vengono disciplinate dalle
norme di ciascun singolo stato, solitamente ispirate alla normativa
federale; le informazioni detenute da enti privati poi, sono regolate da
una pluralità di leggi, federali o statali, a seconda del settore operativo
dell’ente.
Negli ordinamenti europei, le prime leggi nazionali, emanate nel
corso degli anni ’70, per la disciplina delle banche dati, sono state: la
“Datalag” svedese del 1973, la “Bundesdaten Schtzgesetz” (BDSG)
tedesca del 1977, la “Datenschutzgesetz” (DSG) austriaca e le leggi
danese, norvegese, islandese e lussemburghese.
Questa prima generazione di leggi è stata caratterizzata dalla
profonda diffidenza, dei vari Legislatori nazionali, nei confronti di un
nuovo strumento che è particolarmente idoneo a provocare danni
ingenti ed imprevedibili
1
: l’elaboratore. Le capacità e le potenzialità di
tale strumento, in gran parte all’epoca peraltro ancora sconosciute, si
erano infatti in quegli anni moltiplicate grazie all’evoluzione
tecnologica, che consentì di rendere meno costose e più piccole le
1
Giannantonio E., Manuale di diritto dell’informatica, 1997, Padova, pag. 33.
8
memorie, con la possibilità, pertanto, di creare “terminali
intelligenti” (cioè terminali autonomi rispetto all’elaboratore centrale) e
di poterli collegare tra loro, con un conseguente aumento della potenza
e della capacità di calcolo del sistema dovuto alla somma delle “forze”
dei singoli elaboratori. Si ha in tal modo una totale rivoluzione della
struttura architettonica
2
dei sistemi di calcolo, rimasta fino ad allora
inalterata, e che era caratterizzata dal cd. “schema stellare”
3
, a favore
di uno schema a rete, caratterizzato dalla concatenazione dei vari
elaboratori (gli host computers, che svolgono operazioni su dati che
provenienti da sistemi esterni) e dei vari terminali (su cui vengono
compiute le operazioni necessarie per richiamare i dati e i programmi
da far elaborare all’host computer o da elaborare in parte direttamente,
in quanto terminali “intelligenti”) tra loro collegati per mezzo di una
linea (una sorta di “autostrada” per i messaggi che vengono scambiati
tra i vari hosts per mezzo dei vari “svincoli”) e gestiti da un elaboratore
dedicato esclusivamente a tale funzione (il server).
Il timore dei primi Legislatori, intervenuti nel campo della tutela dei
dati personali, si è manifestato nella severità delle previsioni normative:
queste infatti vietano qualsiasi raccolta automatizzata di dati personali
non espressamente e specificatamente autorizzata con una legge o
con un provvedimento amministrativo.
La seconda generazione di leggi nel campo della tutela dei dati
personali, è invece, caratterizzata da normative più liberali
4
, in cui la
costituzione di banche dati automatizzate non è genericamente vietata
o specificatamente subordinata ad una diretta autorizzazione
amministrativa o legislativa, bensì, viene riconosciuta la libertà della
raccolta e della conservazione dei dati, salvo un onere di
comunicazione dell’avvenuta costituzione, da effettuarsi tramite una
notificazione all’ufficio o all’organo dedicato esclusivamente a tale
2
Losano M.G., Il diritto pubblico dell’informatica, 1986, Torino, pag. 5.
3
Tale schema era caratterizzato dalla presenza di un solo elaboratore “intelligente” posto
al centro della stella, ed una serie di terminali “non intelligenti” posti ai vertici della stella;
tali terminali erano in grado solo di porre domande e ricevere risposte dall’elaboratore
centrale, senza poter svolgere alcuna autonoma operazione.
4
Così Giannantonio E., Manuale di diritto dell’informatica cit., pag. 34
9
funzione, così da permettere il controllo della legittimità delle
informazioni raccolte.
A titolo esemplificativo, possono ritenersi appartenenti a tale
“generazione” la seconda legge svedese del 1979, modificativa
dell’originaria “Datalag” del ‘73, per mezzo della quale viene istituito
l’ufficio di controllo ispettivo (il Datainspektionen), la legge israeliana
del 1981 (la Protection of Privacy Law 5741/1981), la prima legge
fondamentale francese, la “Loi relative à l’informatique, aux fichiers et
aux libertés” del 1978.
Altre normative in tale materia sono poi state adottate agli inizi degli
anni ’80 in Ungheria (1981), in Svizzera (1981), in Canada, a livello
federale (1982).
Le normative emanate alla fine degli anni ’70 e nei primi anni ’80,
segnano, tuttavia, il passaggio dalla seconda alla cd. “terza
generazione” legislativa, in quanto presentano rilevanti innovazioni
conseguenti alla trasformazione in chiave tecnologica della società:
come già era stato previsto dalla Datalag svedese del 1979, l’ingresso
dello strumento del personal computer nella realtà quotidiana degli
individui, quale strumento di lavoro di ognuno
5
ha comportato il
proliferare di una miriade incalcolabile di piccole banche dati che
utilizzano apparecchi di dimensioni e costi modesti, la relativa
impossibilità materiale di un controllo di ciascuna banca di dati da parte
di un organo pubblico a ciò preposto, un crescente bisogno di
informazione da parte di ogni individuo, sia per un’esigenza personale
e professionale, sia per un’esigenza della collettività organizzata
riguardo alle scelte da effettuare in ambito politico ed organizzativo:
l’interesse all’informazione prende il sopravvento sull’interesse alla
riservatezza, è l’inizio dell’era dell’informazione globale. Ciò ha inoltre
comportato l’esigenza di acquisire una nozione di libertà informatica
nel senso di “libertà di adoperare senza vincoli ingiustificati i mezzi
informatici per le proprie personali esigenze”
6
, ed una nozione di
5
Come è stato definito da Borusso R., “la penna ed il quaderno dei giorni nostri”, in
Borusso R. Computer e diritto, vol II, Milano, 1988 pag. 218
6
Si veda Giannantonio E., Manuale di diritto dell’informatica, 1997, Padova, pag. 32.
10
“trattamento di dati effettuato a fini esclusivamente personali”
7
, in
modo tale di adeguare il contesto normativo in tale materia
all’evoluzione di un mondo che sempre più viaggia di pari passo
all’evoluzione tecnologica.
7
Tale enunciato è apparso per la prima volta nella legge danese n. 293/1978 in materia
di registri privati, ed è stato ripreso dalle successive leggi finlandese (L. n. 471/1987) ed
olandese (L. n. 665/1988), per poi essere infine recepito all’interno della Direttiva
Comunitaria n. 46/95 divenendo così un concetto fondamentale delle leggi europee.
11
1.2. La normativa europea: il bisogno di una tutela dei dati
personali adeguata ed uniforme.
Il 1981 ha rappresentato un anno di fondamentale importanza
nell’ambito della disciplina della tutela dei dati personali: il 28 Gennaio,
infatti, il Consiglio d’Europa ha emanato la “Convenzione per la
protezione delle persone in relazione all’elaborazione automatica dei
dati a carattere personale” e la Commissione delle Comunità Europee
la raccomandazione del 29 luglio, nella quale veniva raccomandato
agli Stati membri delle Comunità di firmare entro quell’anno e di
ratificare nel corso del 1982 la Convenzione del Consiglio d’Europa
8
.
In tale Convenzione erano enunciati, oltre alle definizioni di dato
personale e di elaborazione automatizzata, i principi fondamentali per
la protezione dei dati ed il campo d’applicazione della normativa,
tracciando così in questa materia una “linea guida” uniforme per
l’elaborazione e l’emanazione delle varie normative interne a ciascuno
Stato che ratificava il documento del Consiglio d’Europa.
Successivamente alla Raccomandazione del 1981, la Commissione
delle Comunità Europee ha attentamente studiato l’evoluzione delle
problematiche legate alla tutela dei dati personali. In particolare è stato
rilevato come, “mentre i progressi compiuti nello stato delle tecnologie
dell’informazione facilitano notevolmente il trattamento e lo scambio di
dati di qualsiasi natura, l’attuale stato della protezione delle persone
relativamente a tali attività nella Comunità registra notevoli difformità
negli Stati membri [nel campo, ad esempio, dell’inclusione o meno,
nell’ambito del campo applicativo della normativa, degli archivi
manuali, della protezione delle persone giuridiche e del trattamento di
particolari tipi di dati]”, come “la diversità degli approcci nazionali e la
8
La posizione dell’Italia, rispetto alla Convenzione del 1981, è risultata essere
particolarmente controversa: infatti essa, pur essendo uno degli Stati firmatari della
Convenzione, ha per lungo tempo disatteso le aspettative sull’emanazione di una
normativa sulla protezione dei dati personali, non potendo, pertanto, ratificare la
Convenzione stessa. Solo nel 1989 il Parlamento, con la L. n. 98/89, ha autorizzato il
Presidente della Repubblica a ratificare la Convenzione di Strasburgo, ma ciò, di fatto,
non ha sanato l’inadempienza dell’Italia rispetto al dettato del Consiglio d’Europa, è stato,
al contrario, oggetto di ulteriori commenti sfavorevoli in ambito comunitario
8
. Infatti, in
base agli artt. 4 e 22 della Convenzione, è stabilito che la ratifica presuppone
l’emanazione di una normativa interna conforme ai principi delineati dalla Convenzione
stessa. La ratifica, pertanto, in assenza di una normativa interna, non avrebbe dovuto
esser effettuata, e, comunque, è risultata totalmente inutile.
12
mancanza di un sistema di protezione a livello della Comunità
costituiscono un ostacolo al completamento del mercato interno”, e
che, a tal proposito, “se i diritti fondamentali delle persone interessate,
in particolare il diritto alla vita privata, non sono garantiti a livello
comunitario, si potrebbe assistere ad una limitazione del flusso
transfrontaliero di dati, nel momento stesso in cui tale flusso è
diventato indispensabile per le attività delle imprese e degli organismi
di ricerca, come anche per la collaborazione fra le amministrazioni
degli Stati membri nel quadro dello spazio senza frontiere previsto dal
Trattato istitutivo della Comunità europea”.
Pertanto, si era resa evidente la necessità dell’introduzione di
disposizioni armonizzate idonee a garantire la protezione dei dati e
della vita privata nelle reti digitali di telecomunicazione “per la
realizzazione del mercato interno delle apparecchiature e dei servizi di
telecomunicazione”, infatti, la mancata adozione di una politica di
creazione, di sviluppo e di promozione di norme di sicurezza per i
sistemi d’informazione, avrebbe “ostacolato fortemente le politiche ed i
programmi comunitari per lo sviluppo delle industrie dell’informazione e
delle telecomunicazioni”.
Sono queste appena illustrate le premesse in base alle quali la
Commissione delle Comunità Europee ha presentato al Consiglio, nel
Luglio del 1990, la proposta di direttiva intitolata “Protezione delle
persone con riguardo al trattamento dei dati a carattere personale”,
con lo scopo di predisporre, a livello comunitario, un determinato livello
di protezione dei dati personali equivalente in ciascuno Stato membro,
così da permettere il corretto funzionamento del mercato interno
attraverso l’eliminazione di quegli ostacoli che ponevano notevoli
limitazioni agli scambi di dati.
La proposta, dopo un travagliato iter, ha trovato l’approvazione del
Parlamento europeo e del Consiglio il 24 Ottobre 1995, ed è stata
pertanto emanata la Direttiva n. 46/95, intitolata “tutela delle persone
fisiche con riguardo al trattamento dei dati personali, nonché alla libera
circolazione di dati”
9
. La Direttiva ha quindi costituito un fondamentale
9
Pubblicata nella G.U.C.E. del 23 Novembre 1995.
13
impulso ai fini dell’emanazione all’interno di ciascuno Stato di
normative interne disciplinanti la protezione e la riservatezza dei dati
personali, consentendo, peraltro, di raggiungere l’obiettivo prefissato
dell’adeguata ed uniforme tutela dei dati a livello comunitario al fine di
favorire (o quanto meno di non ostacolare) lo sviluppo del mercato
interno. L’oggetto della Direttiva è costituito dalla fissazione dei
principi, dei diritti, delle definizioni e degli strumenti di controllo e di
tutela, che si sono ritenuti idonei a tracciare i contenuti fondamentali
delle varie normative statali al fine di permettere, uniformemente in
ciascuno Stato membro, un’adeguata tutela dei diritti e delle libertà
fondamentali, riguardo al trattamento dei dati personali.
Appare opportuno, in questa sede, soffermarsi su alcune delle
definizioni che sono dettate dall’art. 2 della Dir. n. 95/46, e che sono
state quindi adottate in ogni Ordinamento della Comunità Europea in
sede di recepimento della Direttiva, al fine consentire una più chiara ed
agevole lettura della presente trattazione. Pertanto si intenderà, per
“dato personale” qualsiasi informazione concernente una persona
fisica
10
identificata od identificabile (= persona “interessata”),
direttamente o indirettamente, in particolare mediante riferimento ad un
numero di identificazione o ad uno o più elementi specifici caratteristici
della sua identità fisica, fisiologica, psichica, economica, culturale o
sociale; per “trattamento” qualsiasi operazione o insieme di operazioni
compiute con o senza l’ausilio di processi automatizzati e applicate a
dati personali, come la raccolta, la registrazione, l’organizzazione, la
conservazione, l’elaborazione o la modifica, l’estrazione, la
consultazione, l’impiego, la comunicazione mediante trasmissione,
diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o
l’interconnessione, nonché il congelamento, la cancellazione o la
distruzione; per “titolare del trattamento” la persona fisica o giuridica,
l’autorità pubblica, il servizio o qualsiasi altro organismo che, da solo o
insieme ad altri, determina le finalità e gli strumenti del trattamento di
dati personali; per “incaricato del trattamento” la persona fisica o
10
All’interno dei singoli ordinamenti esisteranno poi delle differenze a seconda
dell’estensione o meno della tutela dei dati anche delle persone giuridiche, degli enti o
delle associazioni.
14
giuridica, l’autorità pubblica, il servizio o qualsiasi altro organismo che
elabora dati personali per conto del titolare del trattamento.
Ad oggi, quindici
11
dei Paesi membri dell’Ue hanno provveduto, in
tutto o in parte all’attuazione della Direttiva n. 95/46
12
, e, secondo il
primo rapporto sullo stato di attuazione, i cui risultati sono stati resi noti
il 15 Maggio 2003 dalla Commissione europea, non sono sorte
esigenze di revisione della Direttiva del 1995, linea questa approvata
anche dalla maggioranza degli Stati membri. Nel documento sono
state, tuttavia, evidenziate alcune difficoltà di applicazione omogenea
dei principi della direttiva, riconducibili ad alcune divergenze nelle
legislazioni di recepimento, alla ridotta sensibilizzazione dell’opinione
pubblica
13
in merito alla tutela dei dati personali, e ad una imperfetta
osservanza delle disposizioni nazionali da parte dei titolari del
trattamento di dati.
La Convenzione del 1981 ha, pertanto, costituito il punto di partenza
per un attento sviluppo della normativa comunitaria in tale materia, che
ha avuto come “traguardo” l’emanazione della Direttiva del 1995, vero
e proprio “cardine” per ciò che concerne la tutela dei dati personali nel
contesto europeo, grazie alla quale sono prolificate, in maniera più o
meno uniforme e nonostante le difficoltà sopra accennate, le varie
normative interne dei singoli Stati membri dell’Unione Europea.
14
11
Austria, Belgio, Danimarca, Finlandia, Germania, Francia, Grecia, Irlanda, Italia,
Lussemburgo, Paesi Bassi, Portogallo, Regno Unito, Spagna, Svezia.
12
Si veda la Relazione 2003, pubblicata dal Garante per la protezione dei dati personali,
pag. 16.
13
Ciò secondo un’indagine compiuta per conto della Commissione da Eurobarometro
sull’applicazione delle norme sulla privacy, i cui risultati sono stati pubblicati nel Febbraio
2004.
14
Ricevi informazioni sui nostri servizi, sulle offerte e non perdere news e consigli su università e lavoro.
