Principali fonti legislative nazional

Come già messo in evidenza, in Italia è mancata per molto tempo una norma che definisse e tutelasse la riservatezza ed i dati personali, pur esistendo un mosaico di disposizioni che proteggevano “l’area della vita privata”147

Al riguardo, l’art. 8 dello Statuto dei lavoratori del 1970, il quale vieta la raccolta delle opinioni politiche, sindacali e religiose dei dipendenti, è considerato l’atto di nascita in Italia della protezione dei dati personali. Ciò con l’evidente paradosso per cui quello che era stato definito un diritto tipico della borghesia entra nell’ordinamento giuridico positivo italiano con una legge volta alla tutela dei lavoratori 148_.

Anche nel nostro Paese, però, negli anni 80 hanno cominciato a svilupparsi le banche dati informatiche e l’utilizzo della tecnologia su scala non elitaria, ma di massa, tanto che la dottrina ha iniziato a ritenere quasi realistici gli scenari fantastici descritti da Orwell 149_{. Si è iniziato, perciò, ad} avere coscienza sempre di più che le tecnologie informatiche sono in grado di muovere un numero incredibile di informazioni, sottoponendo il cittadino ad una nuova forma di dominio sociale: il potere informatico150_.

Tuttavia, mentre in quegli anni, in Europa alcuni stati hanno già cominciano ad emanare leggi a tutela della privacy151 _{e nel 1981 è stata}

147_{Si pensi all’art 10 c.c. sul diritto di immagine, all’art 21 e all’art.24 della legge sul diritto d’autore,} riguardo l’anonimato e l’inedito, l’art 595, 2c c.p., sulla difesa dell’onore contro la rivelazione di fatti determinati, all’art 614, sull’inviolabilità del domicilio e all’art 616 c.p., sull’inviolabilità della corrispondenza.

148_{Così S NIGER, Le nuove dimensioni della privacy, op cit. pag 52; Vedi S. RODOTà, La <<privacy >>}

tra individuo e collettività,op. cit.. Si veda anche quanto descritto da B. GUIDETTI SERRA nel libro Le schedature Fiat, Rosenberg & Sellier, 1984. Per una lettura diversa si veda ad esempio, T.M. UBERTAZZI, in Diritto alla privacy, natura e funzioni giuridiche, op. cit., il quale osserva che: “Mi sembra che al momento

dell’emanazione dello statuto dei lavoratori fosse avvertita in Italia non tanto la ‘paura della schedatura’ (…) quanto la ‘paura’ della discriminazione. (…). La pretesa alla riservatezza, e mi ripeto, riguardava infatti ancora alla fine degli anni 70 persone note riprese con il teleobiettivo e non era ancora avvertita come interesse da proteggere del quisque de popolo. Sicuramente l’art.8 è stato nel corso degli anni applicato alla tutela del diritto alla riservatezza, o meglio di un suo aspetto particolare, ma mi sembra implausibile sostenere che il legislatore abbai previsto la norma dello statuto con il preciso e principale obiettivo di tutelare la privacy del lavoratore dipendente. In quest’ottica mi sembra, inoltre, che lo statuto dei lavoratori ha per lo più dimostrato che il suo intento non era tanto di conferire un potere di controllo al lavoratore sui propri dati personali quanto invece di rendere effettivo un controllo sulla posizione contrattuale ‘forte’ del datore di lavoro”.

149_{V S. RODOTà Elaboratori elettronici e controllo sociale, il Mulino, Bologna,1973 ; G.B. FERRI, Persona e}

privacy, op. cit.; T. M. UBERTAZZI, Diritto alla privacy, natura e funzioni giuridiche, op. cit.; S. NIGER, Le nuove dimensioni della privacy op. cit.

150_{S.NIGER,Le nuove dimensioni della privacy, op. cit.}

151_{Ad esempio, in Francia la Loi n 78-17 del 1978 relativa a l’informatique, aux fichiers et auw liberties} o nel Regno Unito il Data protection Act emanato nel 1984.

adottata a Strasburgo dal Consiglio d’Europa la “Convenzione per la protezione delle persone rispetto al trattamento automatizzato dei dati di carattere personale” n. 108, entrata in vigore a partire dal 1 ottobre 1985152_, in Italia, invece, tutte le diverse proposte di legge, aventi lo scopo di regolare in maniere completa il diritto alla riservatezza non sono state approvate153

La legge 31 dicembre 1996, n. 675 – Tutela delle persone e di altri soggetti

rispetto al trattamento dei dati personali – ha rappresentato, così, la prima legge

organica sulla tutela dei dati personali nel nostro ordinamento.

Tale legge frutto, come si è visto, di un lungo dibattito parlamentare e di una lunga elaborazione dottrinale, ha recepito i principi della Convenzione n. 108 di Strasburgo e della Direttiva comunitaria 95/46/Ce.

Adottata in adempimento della suddetta direttiva comunitaria e degli obblighi derivanti dal Trattato di Schengen154_{, la normativa italiana ne ha} allargato però in modo significativo l’ambito di applicazione, con l’esplicito riferimento nell’art. 1 alla tutela della dignità delle persone fisiche e all’identità personale, nonché con l’estensione della tutela anche ai trattamenti non organizzati in banche dati e ai dati delle persone giuridiche155_.

L’art. 1 della legge ha individuato, infatti, l’obiettivo della disciplina nel far sì che il trattamento dei dati personali si svolga “nel rispetto dei diritti, delle libertà fondamentali, nonché della dignità delle persone fisiche, con particolare riferimento alla riservatezza e all'identità personale” garantendo anche “i diritti delle persone giuridiche e di ogni altro ente o associazione”.

In questo modo, l’oggetto della tutela non è stato limitato al diritto di ciascuno ad esigere che i trattamenti automatizzati dei suoi dati personali avvengano nel rispetto di regole e principi, ma ha finito per interessare una parte rilevante dei cd. diritti della personalità.

152_{Consultabile su http://www.governo.it/GovernoInforma/Dossier/social_network/108.pdf.} 153 _{Es. i progetti Accade (presentato il 21 aprile 1981), Picano (presentato il 24 febbraio 1982),} Mirabelli ( presentato il presentato il 20 luglio 1982), Martinazzoli (presentato il 4 maggio 1984), Bozzi (presentato il 29 gennaio 1985- questo progetto prevedeva l’introduzione nel testo costituzionale degli artt 21 bis e 21 ter. In particolare, l’art. 21 bis recitava che “nei limiti e nei modi stabiliti dalla legge, tutti hanno diritto di cercare, trasmettere e ricevere informazioni, nonché di accedere ai documenti e agli atti amministrativi che lo riguardano. Sono vietati la raccolta e l’uso di informazioni che implicano discriminazioni o lesioni dei diritti fondamentali della persona”.

154 _{l'Europa avrebbe permesso di godere dei benefici dell'Accordo di Schengen solo se il paese} membro avesse adeguato la normativa sul trattamento dei dati personali.

Nella legge n. 675/96, pertanto, la riservatezza si presenta come uno soltanto dei diritti presi in considerazione, “come una specificazione in un quadro connotato dalla esplicita rilevanza attribuita al complesso dei diritti e delle libertà fondamentali. Una lettura condotta solamente in termini di privacy porterebbe a un’impropria ricostruzione di questo stesso concetto, che va inteso nella più larga dimensione fatta propria dal legislatore italiano”156_.

Inoltre, con la suddetta legge è stato positivizzato l’aspetto dinamico assunto dalla privacy nella società dell’informazione, ovvero l’autodeterminazione informativa. E’ stata, infatti, disciplinata la possibilità di accedere alle informazioni che riguardano la propria persona, al fine di controllare la correttezza della loro acquisizione, correggere gli eventuali errori e sorvegliarne l'impiego nel corso del tempo.

In seguito, in virtù della legge delega n. 127/2001, è stato adottato il D.lgs. n. 196/03, Codice in materia di protezione dei dati personali157_.

Pur non contenendo norme regolamentari (non è un Testo Unico cd. misto), il decreto è andato oltre la ricognizione compilativa delle disposizioni legislative vigenti, operando una riorganizzazione completa del materiale normativo, finalizzata ad una maggiore coerenza e ad un rafforzamento di tutela, anche alla luce delle successive direttive comunitarie, dei principi elaborati dalla dottrina, delle interpretazioni operate dalla giurisprudenza e dal Garante per la protezione dei dati personali, istituito con la precedente legge n. 675/96.

Il nuovo Codice, in virtù della materia che mal si presta a discipline troppo rigide e definite, ha come caratteristica fondamentale, anche criticata come si vedrà, quella di fornire appunto una cornice normativa di principi e di indirizzi, lasciando la regolamentazione concreta e specifica ai provvedimenti dell’Autorità garante.

Inoltre, nonostante il mancato inserimento delle norme regolamentari, la previsione di un disciplinare tecnico per le cd misure minime di sicurezza, così come l’allegazione degli esistenti codici di deontologia e di buona condotta, nonché la previsione dell’inserimento automatico di quelli che

156_{S. NIGER, Le nuove dimensioni della privacy., pag 111.}

verranno successivamente adottati158_{, hanno consentito di ritenere,} comunque, il Testo Unico uno strumento agile e sufficientemente completo, il primo modello in ambito europeo di codificazione organica in materia.

Il Codice si compone di tre parti, contenenti rispettivamente: le disposizioni generali, concernenti le regole sostanziali della disciplina del trattamento dei dati personali, applicabili a tutti i trattamenti, salvo eventuali regole specifiche per i trattamenti effettuati da soggetti pubblici e privati; le disposizioni particolari per specifici trattamenti, ad integrazione o eccezione delle disposizioni generali; le disposizioni relative alle azioni di tutela dell’interessato e al sistema sanzionatorio.

Il nuovo Codice ha assegnato un rilevo maggiore ai diritti e alle libertà fondamentali159_{, riconoscendo per la prima volta espressamente un diritto} alla protezione dei dati personali. Ciò, si ripete, ha valorizzato l’aspetto dinamico che è venuto a caratterizzare il concetto di privacy, con lo sviluppo preponderante delle nuove tecnologie: dalla tradizionale tutela del riserbo all’attribuzione all’interessato del diritto all’autodeterminazione informativa160_.

Mentre la legge n. 675 del 1996 poneva al centro del sistema normativo gli adempimenti formali dell’informativa del consenso, della notifica al Garante e le stesse modalità di esercizio dei diritti, il nuovo Codice ha privilegiato gli aspetti di garanzia della persona, assegnando un ruolo prevalente al procedimento di “trattamento”, alle situazioni soggettive da

158 _{L’osservanza sia delle norme sulle cd. misure minime di sicurezza sia di quelle autonomamente} datasi dalla categorie professionali, costituiscono condizione necessaria per determinare la liceità del trattamento dei dati personali. Vedi G.P. CIRILLO, Il nuovo codice in materia di trattamento dei dati e gli schemi

di riferimento relativi alla tutela dei diritti fondamentali della persona e dei cd. diritti dell’interessato, in G.

SANTANIELLO (a cura di), La protezione dei dati personali, Cedam, Padova, 2005.

159_{G. P. CIRILLO, Il nuovo codice in materia di trattamento dei dati e gli schemi di riferimento relativi alla tutela}

dei diritti fondamentali della persona e dei cd. diritti dell’interessato, op. cit; S. NIGER, Le nuove dimensioni della privacy, op. cit.; M. SGROI, (a cura di) , Nuovi ambiti di tutela della personalità, op. cit.

160_{Si è già evidenziato come l’autonomia concettuale del diritto alla protezione dei dati personali era sta} già riconosciuta nella Carte dei diritti fondamentali dell’Unione europea (art 8). Come ha osservato S. RODOTà, la costruzione di un habeas data prende le mosse proprio dal diritto di controllare l’uso che altri facciano delle informazioni che lo riguardano: “La libertà personale non è difesa soltanto attraverso il diritto di essere lasciato solo, secondo la definizione che racchiude la più antica essenza della privacy e che si concreta nel potere di impedire la circolazione dei dati personali. Diviene un potere di controllo sull’esterno, sia per mantenere l’integrità di sé seguendo on ogni momento i dati diffusi nell’ambiente, sia per impedire la violazione della propria sfera privata attraverso informazioni non gradite. Il controllo sulle informazioni in entrata, strutturato in un più generale <<diritto di non sapere>>, diventa un momento caratterizzante della nuova definizione della privacy e incarna quel momento di intangibilità del corpo e di divieto sue invasioni cha appartiene alla più antica tradizione dell’habeas corpus” . S. RODOTà, Libertà

personale. Vecchi e nuovi nemici, in M. BOVERO (a curadi), Quale libertà. Dizionario contro i falsi liberali,

questo generate e i rimedi contro le “devianze” rispetto alle regole prefissate.

Non è un caso, quindi, che la Parte I del Codice abbia posto subito in primo piano i diritti e le libertà fondamentali degli interessati e collochi, invece, gli obblighi di tipo formale e procedurale nella Parte II.

In tal senso, viene in rilievo la positivizzazione del principio secondo cui la disciplina del trattamento dei dati personali deve garantire un livello

elevato di tutela dei diritti e delle libertà fondamentali dell’interessato (art. 2,

comma 2). Tale principio che deve orientare sia le normative regolamentari, sia le discipline dei diversi codici di deontologia, così come qualunque operatore si trovi ad applicare il Codice, ivi compresi il Garante e i giudici.

La nuova disciplina ha arricchito l’elenco delle definizioni contenuto nella legge n. 675/09, aggiungendo nozioni, come quella dei dati identificativi o quella dei dati giudiziari161_{, ovvero chiarendo nozioni già}

161 _{Art. 4. Definizioni (consultabile integralmente su http://www.garanteprivacy.it/garante/} doc.jsp?ID=1311248)

1. Ai fini del presente codice si intende per:

a) "trattamento", qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati;

b) "dato personale", qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;

c) "dati identificativi", i dati personali che permettono l'identificazione diretta dell'interessato;

d) "dati sensibili", i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale;

e) "dati giudiziari", i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del D.P.R.. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale;

f) "titolare", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza;

g) "responsabile", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali;

h) "incaricati", le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile;

i) "interessato", la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali;

l) "comunicazione", il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;

m) "diffusione", il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;

indicate, ma con opportune precisazioni (es. la definizione di banca dati). Inoltre ha semplificato sia gli adempimenti a carico delle imprese e delle pubbliche amministrazioni, sia le modalità di esercizio dei diritti.

Si segnala, inoltre, che il Codice, sotto l’impronta della direttiva 2002/58/CE162_{, contiene un’importante innovazione all’articolo 3,} introducendo il principio di necessità: “i sistemi informativi e i programmi informatici sono configurati riducendo al minimo l’utilizzazione dei dati personali e dei dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettono di identificare l’interessato solo in caso di necessità”163_.

L’inserimento di tale principio ha corrisposto anche alla crescente importanza del principio di precauzione, al quale fa riferimento l’articolo 174 del Trattato dell’Unione europea164_{, attualmente enunciato all'art. 191} del Trattato sul funzionamento dell'Unione europea.

Sempre riguardo alle maggiori innovazioni previste del Codice, si evidenzia il principio sancito dall’art 11 comma 2165_{, secondo il quale i dati}

n) "dato anonimo", il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile;

o) "blocco", la conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento;

p) "banca di dati", qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti;

q) "Garante", l'autorità di cui all'articolo 153, istituita dalla legge 31 dicembre 1996, n. 675. (…)

162_{Direttiva 2002/58/CE, consultabile su http://www.garanteprivacy.it/garante/doc.jsp?ID=35284.} Il principio è presente anche nella legislazione tedesca, art 3 – Parsimonia e misura nell’utilizzo dei dati personali – del Federal Data Protection Act (Bundesdatenshutzgesetz), adottato il 18 maggio 2001.

163 _{“Il principio di necessità contribuisce a laicizzare il rapporto tra l’innovazione scientifica e la} società.”, cosi S. RODOTà, Laicizzare il rapporto fra innovazione e società, in Innovazioni tecnologiche e privacy, op. cit.

164_{L’Unione Europea ha recepito il principio nel trattato in materia di protezione ambientale, tuttavia,} nella pratica, nei documenti di orientamento politico e nelle sentenze della Corte di Giustizia il campo d'applicazione del principio è molto più vasto e si estende anche alla politica dei consumatori e alla salute umana, animale o vegetale.

Per questi motivi, il Consiglio, nella sua risoluzione del 13 aprile 1999, ha chiesto alla Commissione di elaborare degli orientamenti chiari ed efficaci al fine dell'applicazione di detto principio. Da qui la “Comunicazione della Commissione sul principio di precauzione” del 2 febbraio 2000, sul ricorso al principio di precauzione. Vedi http://europa.eu/legislation_summaries/consumers/ consumer_safety/l32042_it.htm

165_{Art. 11. Modalità del trattamento e requisiti dei dati} 1. I dati personali oggetto di trattamento sono: a) trattati in modo lecito e secondo correttezza;

b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi;

trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati.

Per comprendere la portata di tale previsione, è necessario considerare che prima dell’introduzione del Codice, gli interventi inibitori disposti prevalentemente in via amministrativa dal Garante (oltre ai pochi casi presso la giurisdizione civile o penale in materia di provvedimenti di sequestro penale) hanno avuto come scopo per lo più quello di interrompere le condotte illecite e di ordinare, ad esempio, di astenersi dal proseguire il trattamento in violazione di legge.

Così, seppur in alcuni casi è stata accolta, in tutto o in parte, la specifica istanza dell’interessato, ai sensi dell’art 13 della legge n. 675/96, volta a cancellare i dati trattati con effetto ex nunc, nella maggioranza delle situazioni il Garante ha fatto piuttosto uso del potere di “segnalazione”166_, d’ufficio o su istanza di parte o reclamo, accertando un’inosservanza di legge, senza adottare un provvedimento inibitorio con conseguenze dirette sulla sorte dei dati personali indebitamente trattati.

La figura dell’inutilizzabilità, quindi, ha rivisto molto il sistema di protezione dei dati, perché fa seguire all’illecito trattamento la conseguenza giuridica forse più significativa167_{, con effetto, tra l’altro, insanabile.}

Altri principi rilevanti, sanciti sempre dall’art 11 del Codice, riguardano il principio di liceità e correttezza del trattamento168_{e, soprattutto, il principio} di finalità. La raccolta dei dati deve avvenire, infatti, per uno o più scopi o finalità determinate, esplicite e legittime.

Tale principio costituisce un forte strumento di controllo per la circolazione dell’informazione, consentendo all’interessato di esercitare in modo più efficace il controllo sul flusso dei propri dati personali.

Questo, poi, “si traduce nella manifestazione di un consenso, ove previsto, libero e informato e nel diritto alla cancellazione, rettificazione o

d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati;

e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.

2. I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati.

166_{Art 31, comma 1 della legge n. 675/96.}

167_{L’inutilizzabilità è prevista in sede pensale per le fonti di prova acquisite in violazione dei divieti di} legge (art 191 c.p.p.).

integrazione dei dati. Il principio di trasparenza, inoltre consente di valutare in modo più analitico la pertinenza dei dati rispetto agli scopi prefissati, nonché il periodo di necessaria conservazione degli stessi.”169_.

Superato tale periodo, infatti, i dati devono essere cancellati o trasformati