Ai miei splendidi genitori,
ai miei nonni,
a Flaminia,
e a tutti coloro che
hanno creduto in me
in questi anni.
PRESENTAZIONE
Il presente lavoro intende esaminare in modo dettagliato il regime di protezione dei dati personali in Irlanda, soprattutto a seguito della crescente importanza che le informazioni hanno assunto negli ultimi decenni grazie allo sviluppo di Internet e delle nuove tecnologie.
In particolare, nella prima parte verrà analizzata l'evoluzione storico-giuridica del concetto di privacy a partire dai suoi albori nel 1890, quando Warren e Brandeis svilupparono la definizione di "right to be let alone", fino ad arrivare ad una definizione attuale sempre più focalizzata sui diritti degli individui a vedere protetti i propri dati personali attraverso una maggiore autodeterminazione informativa.
Si passa, poi, nei successivi capitoli ad analizzare nello specifico la disciplina irlandese sulla protezione dei dati personali, a partire dal Data Protection Act del 1988 fino alla modifica avvenuta nel 2003, passando anche per la Direttiva comunitaria 95/46/CE che ha dato la spinta all'Irlanda per uniformarsi alla disciplina europea in materia.
In seguito si esaminano le figure dei principali soggetti preposti al trattamento di dati personali e sensibili in Irlanda, nonché i diritti che i soggetti interessati possono far valere al fine di avere il controllo sulle proprie informazioni.
Si descrivono, infine, i compiti e i poteri dell'Autorità indipendente (Data Protection Commissioner) cui sono attribuite funzioni di controllo sulle modalità di gestione dei dati stessi da parte dei responsabili, concludendo con una disamina di alcuni casi concreti e reali che il Commissioner si è trovato ad affrontare, al fine di rendere maggiormente
comprensibile la legislazione sulla Data Protection irlandese e
INDICE
INTRODUZIONE ... 6
CAPITOLO 1 ... 9
Il diritto alla privacy dalle origini ad oggi: evoluzione normativa comunitaria e irlandese. ... 9
1.1 Gli albori del diritto alla privacy: l’esperienza americana ... 9
1.1.1 I primi tentativi di una configurazione dottrinale e giurisprudenziale della privacy in Italia: dai diritti della personalità al diritto alla riservatezza ... 14
1.1.2 Le problematiche della tutela del diritto alla privacy nell’odierna società dell’informazione. ... 21
1.2 La disciplina del trattamento dei dati personali (Data Protection): definizione e cenni introduttivi. ... 21
1.2.1 La normativa comunitaria in tema di protezione dei dati personali: dalla Convenzione di Strasburgo del 1981 alla Direttiva 95/46/CE ... 23
1.2.2 La disciplina italiana sul trattamento dei dati personali ... 31
1.2.3 Data protection in Irlanda: Data Protection Acts del 1988 e 2003…. ... 36
Capitolo 2 ... 41
I principi della Data Protection e le figure interessate al trattamento dei dati personali in Irlanda. ... 41
2.1 I principi generali nel trattamento dei dati personali relativi alla qualità dei dati ... 41
2.2 Le figure interessate al trattamento dei dati personali ... 51
2.2.1 Il Data subject ... 51
2.2.2. Il Data Controller ... 58
2.2.3 Il Data processor ... 60
2.3 I principi relativi alla legittimazione del trattamento dei dati61 2.3.1 Il consenso della persona interessata ... 63
2.3.2 Trattamento necessario per l’esecuzione di un contratto, di misure precontrattuali, per adempiere un obbligo legale o per salvaguardare un interesse vitale della persona interessata ... 78
CAPITOLO 3 ... 83
Il trattamento dei dati sensibili ... 83
3.1 I dati sensibili nel Data Protection Act irlandese: nozione ed ambito di applicazione ... 83
3.1.1 Consenso esplicito ... 85
3.1.2 Trattamento relativo ai dati dei lavoratori ... 86
3.1.3 Lesioni, danni alla salute o ai beni ... 86
3.1.4 Trattamento da parte di associazioni o fondazioni senza scopo di lucro nei confronti dei suoi membri o di persone che abbiano contatti regolari con esse ... 87
3.1.5 Dati resi manifestamente pubblici dalla persona interessata o necessari per costituire, esercitare o difendere un diritto per via giudiziaria ... 88
3.1.6 Amministrazione della giustizia ... 89
3.1.7 Scopi medici ... 90
3.1.8 Scopi statistici ... 95
3.1.9 Scopi politici e di rilevante interesse pubblico ... 96
3.1.10 Tasse, dazi doganali, imposte e Social welfare Acts ... 97
CAPITOLO 4 ... 100
L’autorità indipendente deputata al controllo e alla gestione dei dati personali: il Data Protection Commissioner. ... 100
4.1 Il Data Protection Commissioner ... 100
4.1.2 Origini e disciplina ... 100
4.1.2 Le funzioni e i poteri del Commissioner ... 105
4.2 Judicial review sull’operato del Commissioner nell’esercizio dei propri poteri ... 112
4.3 La registrazione presso il Commissioner ... 113
Capitolo 5 ... 117
Casi di studio ... 117
5.1 Introduzione ... 117
5.2 Caso Europe vs Facebook ... 117
5.3 Case Study 9/2013: Data controller legitimately uses CCTV in disciplinary proceedings. ... 119
5.4 Case study 6/2013: Doctor discloses sensitive personal data to insurance company without consent ... 121
5.5 Case study 10/2009: Mobile network operators fails to suppress costumer marketing preferences ... 122
5.6 Case study 10/2011: Financial institutions deny right of access to credit assessments ... 124
CONCLUSIONI ... 126
INTRODUZIONE
La privacy è, ad oggi, un diritto riconosciuto dall'ordinamento giuridico di tutti i paesi europei e della maggior parte degli Stati esistenti.
La sua affermazione come posizione giuridica tutelata è il frutto di un lento processo di riconoscimento; fino alla fine del 1800 si garantiva protezione esclusivamente al diritto di proprietà e si tutelavano le persone rispetto alle invasioni fisiche della loro abitazione.
Solo nel 1890 negli Stati Uniti è stato riconosciuto il cd. “right to be let alone”, diritto ad essere lasciati soli, cioè il diritto di impedire ad altre persone di invadere la sfera privata di ogni individuo, indipendentemente dal luogo in cui tale violazione avveniva.
“I mutamenti politici, sociali economici obbligano al riconoscimento di nuovi diritti”: così scrivevano nel 1890 Warren e Brandeis nell’articolo che, ancora oggi, viene ritenuto il fondamento del “ Right of privacy”.
La citazione dell’articolo di Warren e di Brandeis è divenuta quasi obbligatoria quando si parla di privacy e, in particolare, di legge sulla protezione dei dati personali.
Possiamo dire che, fin dalla sua origine, la privacy è stata intesa come una sorta di strumento attraverso il quale ognuno di noi può tracciare un confine tra se stesso e gli altri.
Proprio per questo motivo il concetto stesso di privacy ed il suo significato hanno subito profondi cambiamenti nel corso degli anni, anche in relazione al mutare della società e degli strumenti tecnologici utilizzati comunemente, diventando così
quel diritto ad esercitare un controllo sulle informazioni che ci riguardano.
Con l'affermazione delle moderne tecniche di comunicazione e la facilità di diffusione delle informazioni, infatti, è diventato sempre più importante evitare che altre persone potessero abusare delle informazioni relative ad un soggetto, raccogliendole a sua insaputa e utilizzandole per finalità non consentite.
Da questa evoluzione del concetto di privacy deriva l'attuale legislazione in materia di dati personali.
Ho scelto di interessarmi al regime di protezione dei dati personali in Irlanda perché da qualche anno a questa parte l’Irlanda, e in particolare Dublino, è diventata una sorta di “Silicon Valley d’Europa”.
La maggior parte delle aziende informatiche, ma anche multinazionali farmaceutiche e imprese che offrono servizi finanziari, principalmente americane, hanno infatti trasferito la propria sede europea in Irlanda.
Questo ha comportato, come conseguenza diretta, la necessità di trattare una grandissima quantità di dati personali e sensibili relativi a cittadini provenienti dall’intera area EMEA (Europe, Middle East, Africa), rendendo, quindi, necessario un aumento delle tutele e delle regolamentazioni in materia. In particolare, lo sviluppo della normativa relativa alla protezione dei dati personali in Irlanda prende le mosse dalla
“Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale”, conclusa a Strasburgo nel 1981 (Conv. n. 108/1981), per poi evolversi nel 1988 nel primo Data Protection Act, il quale regola, solo relativamente alle procedure automatizzate, la
raccolta, il trattamento, la conservazione e la comunicazione dei dati personali nei settori pubblici e privati.
Si arriva, infine, nel 2003, all’emendamento del Data Protection Act a seguito dell’evoluzione delle leggi sulla privacy in Europa con la Direttiva 95/46/CE.
Il DPA del 2003 estende, innanzitutto, il concetto di dati personali alle procedure manuali e quello di trattamento ad ogni operazione effettuata sui dati che, se rilevante, deve avvenire sempre con il consenso dell’interessato.
Inoltre chiarisce, e in molti casi estende, le responsabilità dei gestori e aumenta la protezione sui dati sensibili, per il trattamento dei quali diventa necessario ottenere un esplicito consenso da parte dei responsabili.
L’obiettivo principale di questa tesi è quello di mettere in luce le questioni giuridiche e applicative relative alla gestione e alla protezione delle informazioni nel sistema normativo irlandese, nonché di descrivere i soggetti istituzionali coinvolti nel trattamento dei dati. Tra queste, il Data Protection Commissioner, un’autorità indipendente i cui compiti principali consistono nel cercare di risolvere, in modo amichevole quando possibile, eventuali controversie tra le parti e nel garantire la legittimità del trattamento di dati personali.
Attraverso una descrizione dettagliata di quelli che sono i diritti degli interessati nel trattamento dei dati che li riguardano e i poteri di chi ha il compito di trattarli, risulta evidente la necessità di effettuare un contemperamento tra le due posizioni, cercando di proteggere la privacy dei singoli individui da una parte e di soddisfare le legittime esigenze di trattamento dall’altra.
CAPITOLO 1
Il diritto alla privacy dalle origini ad oggi:
evoluzione normativa comunitaria e irlandese.
1.1 Gli albori del diritto alla privacy: l’esperienza americana
Il concetto di diritto alla “Privacy e protezione dei dati personali” (o Data protection), anche se apparentemente potrebbe sembrare di recente interesse, affonda le sue radici giuridiche in un’espressione attribuita a due noti giuristi statunitensi di nome Warren e Brandeis, i quali nel 1890, scrissero un saggio dal titolo “The Right to Privacy”.1
In realtà non furono Warren e Brandeis i primi a porsi il problema della necessità di una tutela della riservatezza dell'individuo. Due anni prima, nel 1888, il giudice Thomas Cooley scrisse un saggio sugli illeciti extracontrattuali2, in cui esaminò il diritto alla privacy come funzionale alla sicurezza delle persone. Nonostante il testo del trattato riguardasse gli “illeciti extracontrattuali” e non i “diritti della persona”, il giudice coniò un'interessante formula che venne poi utilizzata da molta dottrina e giurisprudenza successiva, e ripresa due anni dopo dagli stessi Brandeis e Warren, anche se in forma sintetica ed
1 S. D.Warren e L.D. Brandeis, The right to privacy, in 4 Harvard Law Review, 2 T.C. Cooley, A Treatise on the Law of Torts or the Wrongs which Arise
Independent of Contract, Callaghan & Company, Chicago, IL, 1888, p. 29. La citazione "the right to be let alone" è tratta dalla prefazione alla seconda edizione dell'opera del giudice Cooley, che fu scritta nel 1879.
in ambito diverso: "the right to one's person may be said to be
a right of complete immunity: to be let alone".3
Si parla, quindi, di un vero e proprio desiderio di essere lasciati in pace, almeno tra le mura domestiche, e sia il giudice Cooley che successivamente gli avvocati Warren e Brandeis, individuarono in questa aspirazione un vero e proprio diritto, che in quanto tale, meritava di essere riconosciuto e protetto dall’ordinamento.
All’epoca, il giovane avvocato Warren, trovatosi personalmente coinvolto nelle conseguenze di un uso disinvolto della stampa a causa del suo matrimonio con la figlia di un senatore e del suo stile di vita all’insegna del lusso, ritenne che la sua notorietà non potesse giustificare un’indiscriminata e fastidiosa ingerenza nei suoi affari personali e in quelli dei suoi familiari. Questo dette lo spunto allo stesso Warren e al suo vecchio compagno di studi Brandeis (poi diventato giudice della Corte Suprema USA dal 1916 al 1939), per analizzare quali informazioni concernenti la vita privata di una persona dovessero essere di pubblico dominio e quali fossero meritevoli di tutela e, di conseguenza, per riprendere e sviluppare nella loro opera il concetto di “right
to be let alone” coniato da Cooley, ovvero il diritto di essere
lasciati soli, di vivere in pace la propria vita.
La loro indagine si focalizzò principalmente sulle innovazioni tecnologiche dell’epoca: la “stampa rotativa”, definita come un mezzo di diffusione delle notizie cosi efficace da cambiare l’impatto delle stesse sulla società, e la fotografia. Entrambe, secondo i due giuristi, erano potenzialmente idonee a violare
3 Nicola Lugaresi, Internet, Privacy e Pubblici Poteri negli Stati Uniti, Dott. A.
la sfera privata di ogni individuo attraverso una diffusione delle informazioni mai vista prima.
Per capire meglio la portata sociale di queste innovazioni, è necessario calarle nel contesto storico in cui ciò avvenne. A quel tempo, gli Stati Uniti stavano subendo un profondo cambiamento a causa dell’industrializzazione: le piccole comunità agricole non rispondevano più alle esigenze della nuova classe operaia, che lavorando nelle fabbriche, aveva bisogno di vivere in città. Non abbiamo più, quindi, una quotidianità basata su rapporti di parentela o di vicinato, grazie ai quali ogni esperienza è condivisa e ogni sapere è collettivo, ma grandi città e lavoro frenetico, con conseguente sfaldamento delle rassicuranti relazioni interpersonali.4
A ovviare a questa improvvisa mancanza di eventi di comune interesse da commentare e di informazioni di cui poter usufruire, nascono la stampa dei quotidiani e la fotografia istantanea, che permettono una rinnovata compenetrazione negli affari altrui, rilevanti o frivoli che siano.
Alan Westin, professore di Diritto Pubblico presso la Columbia University di New York, ritenuto uno dei maggiori esperti di privacy negli Stati Uniti, a seguito di un’analisi sul contesto storico in cui si trovavano a scrivere Warren e Brandeis, affermò che la classe sociale più offesa e presa di mira durante questa rivoluzione del settore tecnologico era proprio l’aristocrazia alla quale i due giuristi di Boston appartenevano e che la stessa aristocrazia riteneva l’esposizione pubblica della loro vita privata ingiustificata ed aggressiva.
4 N. Bernardi, M. Perego, M. Polacchini, M. Soffientini, Privacy Officer. La figura
Alla luce di quanto finora detto, risulta chiaro come il punto di forza dello scritto di Warren e Brandeis stia nel voler superare l’idea di privacy come proprietà privata, per ricondurla a quelli che sono i diritti della persona.
Nonostante l’opera di Warren e Brandeis, le Corti, nei decenni successivi, non mostrarono grande interesse per la protezione della vita privata dalla diffusione della stessa attraverso i nuovi mezzi di comunicazione. Questo era dovuto al fatto che il concetto di privacy che si era sviluppato negli Stati Uniti anteriormente al saggio dei due giuristi, si concentrava maggiormente sull’intangibilità del domicilio e della proprietà privata, piuttosto che sull’inviolabilità della dignità umana e della riservatezza.
In seguito, anche la giurisprudenza americana ha spostato l’attenzione sulla tutela della privacy intesa nel suo aspetto dinamico, quale diritto da parte degli individui ad avere potere di controllo sulla circolazione dei proprio dati personali. A questo proposito è indicativa la sentenza della Corte Suprema concernente il caso United States Department of Justice v.
Reporters Comm. for freedom of press5, nella quale la Corte
ha dichiarato che esistono dei documenti talmente privati, ad esempio la fedina penale di un individuo, da non poter essere mai divulgati, a prescindere dall’interesse pubblico che lo richiede. Al contrario, qualsiasi altro documento personale potrà essere rilasciato soltanto se soddisferà i criteri di interesse pubblico richiesti dalla Corte, e cioè in caso di materiale inerente operazioni di governo.
A livello federale, l’esigenza di una legge che tutelasse gli individui da interferenze non giustificate scaturì, in particolare, da un evento. Il 17 giugno 1972 vennero arrestati cinque uomini nel tentativo di inserire delle cimici nei telefoni degli uffici del Comitato Nazionale del partito democratico, che aveva sede presso l'hotel Watergate. Grazie anche all'inchiesta di due giornalisti del noto quotidiano Washington
Post, due dei cinque uomini arrestati vennero poi identificati
come ex agenti della CIA, molto vicini al presidente repubblicano Nixon. Nonostante i primi tentativi d’insabbiamento, lo scandalo che ne seguì fu di proporzioni smisurate. Tutti i cittadini americani, sempre più allarmati, seguirono in diretta gli atti di un processo che portò alle dimissioni del presidente, e durante il quale le potenzialità delle intercettazioni telefoniche e delle cimici spia furono ben sviscerate sotto gli occhi di tutti.
Si rese, quindi, necessaria una legge sulla privacy che ponesse un freno agli svariati abusi commessi nell'uso delle informazioni che le agenzie e gli enti pubblici avevano a disposizione a riguardo dei cittadini. Nacque così il Privacy Act del 1974.6
Benché la legge riconosca agli individui un diritto di cognizione, d’accesso e di rettifica dei propri dati, la stessa è stata oggetto di numerose critiche a causa di alcune carenze in essa evidenziate.
Il Privacy Act, infatti, oltre ad escludere numerosi dati riguardanti l’individuo dall’applicazione della legge, ha poi
6 5 U.S.C. § 552a As Amended.
regolato la raccolta e l’utilizzo dei dati soltanto nel settore pubblico e ne prevede l’applicazione per le sole Agenzie federali, escludendo quindi quelle statali e locali. Tali lacune sono state colmate in seguito con l’emanazione di altri testi legislativi federali, i quali sono intervenuti anche per regolare la privacy in specifici settori, come il Family educational rights
and privacy Act del 1974; il Video privacy protection Act del
1988, fino ad arrivare al Genetic Information Non-
Discrimination Act del 2008.
L’ordinamento statunitense, per altro, a differenza di quanto avviene in Europa, non prevede la presenza di un’Autorità di garanzia relativamente al trattamento dei dati personali; tuttavia, si caratterizza per un estremo attivismo delle associazioni a tutela della privacy, come l’American Civil
Liberties Union, l’Electronic Privacy Information Center e l’Electronic Frontier Foundation.
1.1.1 I primi tentativi di una configurazione dottrinale e giurisprudenziale della privacy in Italia: dai diritti della personalità al diritto alla riservatezza
Anche se in ritardo rispetto ai Paesi di common law, il caso dei due giuristi bostoniani arrivò fino in Italia e non mancarono considerazioni dottrinali volte a riconoscere il diritto alla privacy anche nel nostro ordinamento.
Prima della legge 675/96 è mancata nel nostro ordinamento una norma che riconoscesse una tutela in via generale al diritto alla riservatezza; per questo motivo, il suo fondamento giuridico si è ricercato inizialmente in alcune norme del Codice
civile, nella Carta Costituzionale e nei testi internazionali. In particolare, l’espressione diritto alla riservatezza è entrata nel linguaggio giuridico italiano principalmente per opera di Adolfo Ravà, e in seguito a Carnelutti, che, di fronte all’assenza di un esplicito riconoscimento di un autonomo e rilevante diritto alla riservatezza nel nostro ordinamento, ha fatto riferimento all’esistenza di norme che ne rappresentavano alcune manifestazioni.
L’intuizione di Ravà, in particolare, fu che “la qualità di persona richiede ed esige che alla persona stessa sia riservata una certa sfera relativa ai dati più gelosi e più intimi di essa e della sua attività” e, a conclusione del suo percorso argomentativo, egli arriva poi ad affermare che “da ciò deriva un generale diritto alla riservatezza che ha molteplici implicazioni”.7
Le norme richiamate dal giurista furono gli artt. 6-7-9-10 del Codice Civile del 1942 e gli artt. 96 e 978 della legge sul Diritto d’Autore del 22 aprile 1941, n. 633.
Prendendo spunto da questi articoli, ci sono state delle interpretazioni difformi che hanno portato di conseguenza a teorie tra loro contrastanti. La teoria elaborata da Ravà fu oggetto di contestazioni sia da parte di Pugliese che da parte di De Cupis.
Il primo ha contestato l’applicabilità analogica dell’art. 10 c.c. e 96-97 l.a., sostenendo che la tutela dell’immagine è in grado di
7 A. Ravà, Istituzioni di diritto privato, Cedam, Padova, 1938, pp. 174-‐175. 8 Gli articoli 96 e 97 della legge sul diritto d’autore e l’art. 10 c.c. disciplinano
la diffusione dell’immagine con regole ispirate ad un intento di tutela contro la diffusione delle proprie fattezze fisiche e perciò del riserbo riguardo ad esse.
proteggere soltanto le sembianze della persona e non anche la segretezza delle vicende relative alla sua vita privata.9
De Cupis, invece, criticava le argomentazioni proposte da Pugliese, definendo il diritto alla riservatezza come “quel modo di essere della persona il quale consiste nell’esclusione dell’altrui conoscenza di quanto ha riferimento alla persona medesima”10. Egli ha, quindi, individuato il fondamento positivo del diritto alla riservatezza nel diritto all’immagine, proponendo di applicare in via analogica al diritto alla riservatezza tutte le norme poste a tutela del diritto all’immagine stesso.
Alla costruzione dei diritti della personalità come pluralita’ di diritti, venne poi contrapposta altra dottrina, tra cui Gianpiccolo, la quale sull’esempio della dottrina tedesca prima, e della giurisprudenza costituzionale poi, ha preferito delineare un unico diritto della personalità, detta anche teoria monista.
Partendo dal presupposto di considerare la persona umana come un valore unitario, si riteneva che le singole norme non rappresentassero il presupposto di tanti autonomi diritti della personalità, bensì la disciplina specifica di alcuni aspetti particolari della sua tutela.11
Il principale vantaggio di questa teoria, considerata prevalente anche a livello giurisprudenziale, è quello di considerare le norme maggiormente elastiche e quindi capaci di adattarsi a nuovi o imprevisti strumenti di violazione dell’interesse da essa protetto.
9 G. Pugliese, Il preteso diritto alla riservatezza e le indiscrezioni
cinematografiche, nota a Trib. Roma, 14 settembre 1953 ,in Foro it., 1954, I, 115.
10 A. De Cupis, I diritti della personalità, Vol. I, Giuffrè, Milano, 1973.
11 S. Niger, Le nuove dimensioni della privacy: dal diritto alla riservatezza alla
La mancanza di una specifica disposizione costituzionale in materia di riservatezza, ha portato ad utilizzare in funzione integrativa e suppletiva, i principi dell’ordinamento repubblicano posti dalla Costituzione del 1948. Le disposizioni richiamate sono quelle che garantiscono la riservatezza dall’altrui interferenza e cioè l’inviolabilità della libertà personale, la libertà morale, la segretezza delle comunicazioni e del domicilio, quindi artt. 13, 14, 15 della Costituzione.
E’ opinione diffusa che, attraverso la libertà morale, l’ordinamento protegga l’individuo contro “illecite interferenze nella sua sfera psichica e in particolare riguardo al potere di autodeterminazione, interesse fondamentale della persona umana. Tale libertà di autodeterminazione, potrebbe, tuttavia, essere notevolmente compromessa dalla negazione di tutela alla riservatezza. Non è dubitabile, infatti, che l’individuo possa avere interesse a non fare conoscere certe idee o certe vicende in ambienti nei quali sarebbero causa di riprovazione e addirittura di discriminazione”, e che quindi sia indotto a compiere delle scelte che, per quanto conformi al modo di pensare comune, non siano sentite e che, pertanto, pregiudichino la sua libertà di autodeterminazione.
“In tal modo la rilevanza costituzionale dell’interesse alla riservatezza risulta indirettamente dalla protezione che l’ordinamento assicura alla libertà morale e più specificatamente alla liberta di autodeterminazione”.12
Alla libertà personale viene, così, ricondotto anche il diritto di controllare, nella vita di relazione, la rivelazione e l’uso pubblico di dati, notizie e informazioni che siano attinenti alla
propria persona e risultino in grado di porre quest’ultima in una posizione deteriore o in una falsa luce agli occhi della gente”.13
A colmare le lacune in ambito legislativo in tema di diritto alla privacy, prima della legge n. 675/96, è intervenuta la Corte di Cassazione. Anche in Italia, così come negli Stati Uniti, i primi casi inerenti alla violazione della privacy riguardarono personaggi noti, i cui fatti personali venivano pubblicati sui quotidiani senza limiti alla critica.
La prima importante pronuncia in materia risale al 1956 e coinvolge il celebre tenore Enrico Caruso14, la cui vita venne romanzata nel film “Leggenda di una voce”. Nella pellicola venivano descritti dettagli della sua vita privata, come la sua inclinazione all’ubriachezza, le sue umili origini e il tentativo di suicidio, che gli eredi di Caruso considerarono offensivi dell’onore e della riservatezza e per questo citarono in giudizio la società produttrice del film.
La Corte di Cassazione in tale occasione si espresse in modo deciso contro l’esistenza di un diritto alla riservatezza stabilendo che “nell’ordinamento giuridico italiano non esiste un diritto alla riservatezza, ma soltanto sono riconosciuti e tutelati, in modi diversi, i singoli diritti soggettivi della persona: pertanto non è vietato comunicare, sia privatamente sia pubblicamente vicende, tanto più se immaginarie, della vita altrui, quando la conoscenza non ne sia stata ottenuta con mezzi di per se illeciti o con l’obbligo del segreto”. Oltre a dichiarare illesa la riservatezza del tenore, la Corte di
13 A. Baldassarre, Diritti della persona e valori costituzionali, Giappichelli,
Torino, 1997.
Cassazione aveva pure escluso che, nel caso di specie, fossero stati lesi il diritto al nome e all’immagine.
Un primo cauto cambiamento di rotta si è avuto nel 1963 con la sentenza relativa al caso Petacci.15 La fattispecie in esame riguardava la pubblicazione di un libro che parlava della vita di Claretta Petacci, l’amante di Mussolini. I familiari della Petacci avevano citato l’autore del libro e l’editore, sostenendo che la pubblicazione ledesse la riservatezza della loro congiunta e che ne offendesse la memoria.
La Corte di Cassazione, in questo caso, emise una sentenza che mutò la rigida posizione iniziale sul tema della privacy. Nella massima si legge: “sebbene non sia ammissibile il diritto tipico alla riservatezza, viola il diritto assoluto di personalità, inteso quale diritto erga omnes alla libertà di autodeterminazione nello svolgimento della personalità dell’uomo come singolo...”.
Tuttavia, bisognerà aspettare il 1975 per avere il riconoscimento nel nostro ordinamento di un diritto alla riservatezza da parte della Corte di Cassazione, consistente “nella tutela di quelle situazioni e vicende strettamente personali e familiari, le quali, anche se verificatesi fuori dal domicilio domestico, non hanno per i terzi un interesse socialmente apprezzabile, contro le ingerenze che, sia pure compiute con mezzi leciti, per scopi non esclusivamente speculativi e senza offesa per l’onore, la reputazione o il decoro, non sono giustificate da interessi pubblici preminenti”.
15 App. Milano, 26 agosto 1960, in Foro It., 1961, I, c.47 e Cass. 20 aprile 1963
La questione riguardava la pubblicazione di alcune foto nelle quali l’ex imperatrice di Persia Soraya Esfandiari veniva colta in intimità con un famoso regista, tra le mura della sua abitazione. In questo caso, la Corte, prima di tutto, ha definito il diritto alla riservatezza come “quel complesso di norme ordinarie e costituzionali che, tutelando aspetti peculiari della persona, nel sistema dell’ordinamento sostanziale, non possono non riferirsi anche alla sfera privata di essa”, e poi ha operato un espresso richiamo agli artt. 2, 3, 27, 29 e 41 Cost., quali norme da cui ricavare i principi di tutela della sfera privata del soggetto con conseguenti limitazioni ad altre garanzie costituzionali quali, per esempio, il diritto all’informazione.16
In tal modo si supera la concezione proprietaria di riservatezza, si pongono limiti al diritto di cronaca e si ammetteva che anche le persone note hanno diritto alla stessa tutela della propria riservatezza.17
Dopo il caso Soraya, il legislatore si trovò di fronte ad una nuova esigenza da tutelare: la privacy, infatti, non era più attaccata solo dalla stampa, ma ci si era resi conto che anche la sanità o la pubblica amministrazione, attraverso i loro archivi, potevano divulgare con facilità notizie personali.
16 Cass. 27 maggio 1975 n.1229, in Foro It., 1976, I, 2895.
17 V. anche G. Barbieri, Sul regime delle situazioni puramente
private delle persone: privatezza e riservatezza, in Rass. dir. civ., 1970, 81; Cossu C., Dal caso Soraya alla nuova legge sulla tutela della riservatezza, in Contr. Impresa, 1998, I, 50.
1.1.2 Le problematiche della tutela del diritto alla privacy nell’odierna società dell’informazione.
A distanza di oltre un secolo dallo scritto di Warren e Brandeis, l’informazione ha assunto un peso notevole e possiamo comprendere come il primitivo “right to be let alone” prenda oggi una forma più complessa a causa della crescente evoluzione delle tecnologie informatiche.
Infatti, in una società dell’informazione come quella in cui viviamo, dove il crescente sviluppo della tecnologia, della telefonia e delle telecomunicazioni hanno portato ad avere tutto a portata di click, con i dovuti rischi che ne conseguono, i diritti della personalità sono esposti a pericoli ben maggiori. Per questo motivo si è reso necessario ampliare considerevolmente la disciplina relativa alla tutela della privacy e dei dati personali, per adeguarlo ai tempi.
Questo soprattutto sulla base di una serie di eventi recenti (come ad esempio la perdita e la violazione di dati, nonché l’insorgere dalla pirateria informatica) che non hanno fatto altro che confermare che, quando si parla di valutare e affrontare i rischi associati alla presenza in rete di certi dati personali, la strada per arrivare ad una regolamentazione completa è ancora lunga.
1.2 La disciplina del trattamento dei dati personali (Data Protection): definizione e cenni introduttivi.
Per dare una definizione corretta di Data Protection è necessario spiegare innanzitutto cosa s’intende per Personal
data. Sono dati personali tutte quelle informazioni che identificano o rendono identificabile una persona fisica e che possono fornire dettagli sulle sue caratteristiche, abitudini, stile di vita, relazioni personali, stato di salute, nonché situazione economica, culturale o sociale.
Abbiamo già detto come l’avvento della tecnologia abbia accresciuto in modo esponenziale i rischi per la privacy di ogni individuo e questo a causa delle tracce che vengono continuamente lasciate ogni volta che si acquistano servizi online, si visita una pagina web e si compilano questionari online; e senza dubbio, la velocita con la quale i dati sono trasmessi in rete, contribuisce a rendere incontrollabile il
flusso, la circolazione e lo scambio degli stessi.18
In base all’art.8 della Carta dei diritti fondamentali dell’Unione Europea, “ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano” e “tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo, inoltre, ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica”.19
Alla luce di quanto appena esposto, possiamo definire la Data
Protection law come la regolamentazione relativa all'uso dei
dati personali, ovvero quelli che riguardano qualsiasi persona fisica.
18 V. Caridi, La tutela dei dati personali in internet: la questione dei logs e dei
cookies alla luce delle dinamiche economiche e dei dati personali, in Riv. It. Dir. Pubb. Com., 2001, p. 763 ss.
19 Carta dei Diritti Fondamentali dell’Unione Europea promulgata il 18
Il regime giuridico relativo alla protezione dei dati personali disciplina quindi, se, quando e in che modo le organizzazioni possono raccogliere ed elaborare i dati personali e può essere applicato ad ogni tipologia di informazione, da quelle generali a quelle strettamente confidenziali.
Tale regime è importante sotto due aspetti: da un lato, quello relativo ai doveri delle organizzazioni che trattano i dati e dall’altro quello relativo ai diritti degli individui i cui dati sono trattati. Torneremo in seguito su questo argomento.
1.2.1 La normativa comunitaria in tema di protezione dei dati personali: dalla Convenzione di Strasburgo del 1981 alla Direttiva 95/46/CE
L'auspicabilità di una legislazione sulla protezione dei dati personali è da ricondurre al crescente uso dei computer a partire dagli anni '70 e alle potenziali minacce che la manipolazione di tali dati poneva rispetto alla privacy individuale; minacce diventate sempre più evidenti in seguito alla gestione computerizzata dei dati, che ha aumentato la quantità di informazioni disponibili in rete.
La mancanza di una qualsiasi regolamentazione relativa al trattamento dei dati personali, spinse alcuni Stati europei (tra cui Svezia, Rep. Federale tedesca, Spagna, Austria, Danimarca, Norvegia e Francia) ad emanare le prime leggi nazionali in materia, le quali però si rivelarono presto disomogenee e incomplete, tanto da spingere il legislatore europeo ad intervenire.
Il percorso a livello europeo che ha portato a riconoscere la protezione dei dati personali come diritto fondamentale della persona è iniziato con la stipula nel 1950 della Convenzione per la salvaguardia dei diritti umani e delle libertà fondamentali.
In particolare, l’art. 8 della CEDU, riprendendo l’art. 12 della Dichiarazione Universale dei diritti dell’uomo20, ha previsto le prime disposizioni volte al rispetto della vita privata e familiare stabilendo che “ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e della propria corrispondenza. Non può esservi ingerenza di un’autorità pubblica nell’esercizio di tale diritto a meno che tale ingerenza sia prevista dalla legge e costituisca una misura che, in una società democratica, è necessaria alla sicurezza nazionale, alla pubblica sicurezza, al benessere economico del paese, alla difesa dell’ordine e alla prevenzione dei reati, alla protezione della salute o della morale, o alla protezione dei diritti e delle libertà altrui”.
Restando nell’ambito del Consiglio d’Europa, il trattamento dei dati personali è stato oggetto di un’altra importante decisione nel 1981, quando lo stesso Consiglio ha proposto ed emanato la “Convenzione sulla protezione delle persone rispetto al
trattamento automatizzato di dati di carattere personale”. Essa
si inserisce in quella serie di strumenti giuridici elaborati per tutelare l’individuo dall’uso illecito degli elaboratori elettronici ed ha il carattere e l’obbligatorietà di un accordo internazionale (Conv. 108/1981).21
20 Approvata dall’assemblea delle Nazioni Unite il 10 dicembre 1948.
21 Convenzione per la protezione delle persone in relazione all’elaborazione
automatica dei dati a carattere personale, conclusa a Strasburgo il 28 gennaio 1981.
Quanto allo scopo perseguito dalla Convenzione n. 108, l’art. 1 descrive la finalità principale della stessa, che è quella di “garantire, sul territorio di ogni Parte, ad ogni persona fisica, qualunque siano la sua cittadinanza o residenza, il rispetto dei diritti e delle liberta fondamentali, ed in particolare del diritto alla vita privata, nei confronti dell’elaborazione automatizzata dei dati di carattere personale che la riguardano (protezione dei dati)”.22
In particolare, la Corte di Strasburgo ha affermato che la memorizzazione e/o la comunicazione di dati a carattere personale costituisce un’ingerenza rispetto alla vita privata23 e ha pertanto stabilito che la raccolta di dati di natura pubblica può rilevare per il rispetto della vita privata, allorché siano raccolti e memorizzati in maniera sistematica in banche dati e registri tenuti dalle autorità pubbliche. Inoltre, relativamente alla qualità dei dati trattati, l’art. 5 stabilisce che i dati a carattere personale devono essere “ottenuti ed elaborati in modo corretto e lecito, registrati per scopi determinati e legittimi ed impiegati in una maniera non incompatibile con detti fini, adeguati, pertinenti e non eccessivi riguardo ai fini per i quali vengono registrati, esatti e, se necessario, aggiornati e infine conservati in una forma che consenta l’identificazione delle persone interessate per una durata non superiore a quella necessaria ai fini per i quali sono registrati”. Sullo Stato incombe, quindi, secondo la Corte di Strasburgo sia un obbligo negativo consistente nel non divulgare dati personali contro la volontà del soggetto interessato, sia un obbligo positivo volto a permettere l’accesso del soggetto
22 Convenzione di Strasburgo n. 108/1981, Capitolo 1, Art.1
23 Sentenza del 26 marzo 1987, Leander vs. Sweden, in Racc. A 116. ; Sentenza
stesso ai propri dati personali, eventualmente raccolti dalla pubblica autorità.
A tale Convenzione ha poi fatto seguito la Direttiva del Parlamento europeo e del Consiglio n. 95/46/CE, che riprendendo i principi della Convenzione, costituisce il testo di riferimento, a livello europeo, in materia di protezione dei dati personali e introduce un più complesso sistema di garanzia degli stessi, anche per i trattamenti non automatizzati.
Tale Direttiva nasce da due esigenze: quella di uniformare le leggi in materia di trattamento dei dati personali nei singoli Stati membri, e quella di integrare le leggi nazionali stesse, che da sole, non erano sufficienti a far fronte alle preoccupazioni circa la quantità d’informazioni detenute in forma elettronica dalle organizzazioni.
Essa definisce un quadro normativo volto a stabilire un equilibrio fra un livello elevato di tutela della vita privata delle persone e la libera circolazione dei dati personali all'interno dell'Unione europea (UE). A tal fine, la direttiva fissa limiti precisi per la raccolta e l'utilizzazione dei dati personali e chiede a ciascuno Stato membro di istituire un organismo nazionale indipendente incaricato della protezione di tali dati.24
La Direttiva 95/46 CE definisce, pertanto, le condizioni in base alle quali il trattamento e l’elaborazione dei dati personali sono leciti, la qualità che i dati devono avere e i diritti dei soggetti interessati.
In primo luogo, l’art. 2 si occupa di fissare la definizione di alcuni dei concetti più importanti quando si parla di
24 Art. 28, Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24
trattamento di dati personali, come ad esempio il significato di
dati personali (“qualsiasi informazione concernente una
persona fisica identificata o identificabile”, considerando identificabile “la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale”), quello di
trattamento di dati personali (“qualsiasi operazione o insieme
di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali…”), e quello relativo alle diverse figure coinvolte nel trattamento di dati personali, quali il responsabile del trattamento, l’incaricato, i terzi e il destinatario del trattamento.
All’art. 3, invece, si legge che le disposizioni della presente Direttiva si applicano “al trattamento di dati personali interamente o parzialmente automatizzato nonché al trattamento non automatizzato di dati personali contenuti o destinati a figurare negli archivi”, ma non si applica “ai trattamenti di dati personali effettuati per l’esercizio di attività che non rientrano nel campo di applicazione del diritto comunitario e a quelli effettuati da una persona fisica per l’esercizio di attività di carattere esclusivamente personale o domestico”.
Il nucleo fondamentale della disciplina è costituito dal capo secondo della Direttiva (artt. 5-21), poiché in esso sono indicate le condizioni di liceità del trattamento, dopo l’enunciazione della regola generale secondo la quale i dati personali devono essere trattati “lealmente e lecitamente”.25
Fondamentale supporto giuridico della liceità del trattamento è costituito anche dal consenso consapevole dell’interessato, che implica l’informazione dello stesso sui trattamenti che lo riguardano.
Inoltre, l’art. 7 stabilisce che il trattamento dei dati personali può essere effettuato solo con il consenso della persona interessata, tranne quando il consenso è necessario i) per l’esecuzione di un contratto di cui l’interessato è parte, ii) per adempiere ad un obbligo contrattuale, iii) per proteggere gli interessi vitali della persona interessata, iv) per eseguire al meglio un compito di interesse pubblico o connesso all’esercizio di un’autorità ufficiale e infine v) per soddisfare i legittimi interessi del responsabile del trattamento dei dati personali, a meno che su tali interessi non prevalgano interessi o diritti fondamentali dei soggetti interessati.26
E’ previsto inoltre un generale divieto di trattamento dei cosiddetti “dati sensibili”, integrato da regole derogatorie per casi speciali. (artt. 8 e 9 Dir.).
All’interessato, la Direttiva riconosce alcuni diritti fondamentali, quali il diritto di informazione (artt.10 e 11), relativo alle circostanze più significative del trattamento; quello di accesso (art. 12), che consiste nel diritto dell’interessato di accedere ai dati che lo riguardano e di essere informato sulla loro consistenza, sull’origine e sulle finalità del trattamento; e diritto di opposizione della persona interessata, al trattamento dei suoi dati personali (art. 14). Sono previste norme dirette a garantire la riservatezza e la sicurezza dei trattamenti (artt.16 e 17 Dir.) e un’intera sezione è dedicata agli obblighi di
notificazione a carico del responsabile del trattamento prima di procedere alla realizzazione del trattamento medesimo. Per quanto riguarda la tutela giurisdizionale, a questa è dedicata una minore importanza all’interno della Direttiva, in quanto l’aspetto sanzionatorio è quello in cui i singoli ordinamenti nazionali affermano più marcatamente la loro individualità (artt. 22-24 Dir.).
All’art. 25 troviamo invece delle limitazioni riguardo al trasferimento dei dati personali verso Paesi “terzi” (non appartenenti all’UE o allo Spazio Economico Europeo), che è vietato a meno che il Paese in questione garantisca un livello di protezione adeguato, sulla base di una specifica decisione di adeguatezza da parte della Commissione europea, come previsto dal comma 6 dello stesso articolo.
Un altro pilastro importante della Direttiva 95/46/CE consiste senz’altro nell’istituzione di un Gruppo di lavoro comunitario di raccordo fra le varie Autorità garanti nazionali, il cd. Working
Party (art. 29), che si è rivelato fondamentale nell’opera di
interpretazione delle norme già esistenti e nel contributo offerto alla successiva evoluzione normativa.
Il merito principale da riconoscere alla Direttiva è sicuramente quello di essere riuscita a contemperare le molte facce del rapporto tra l’evoluzione tecnologica e la gestione delle informazioni, attraverso la creazione di un sistema di principi, ruoli e responsabilità che si è rivelato in grado di vincolare i singoli Stati membri a conformarsi ad esso, pur lasciandogli un significativo margine di libertà nell’adattamento allo stesso. L'obiettivo del Consiglio Europeo era quello di spingere gli Stati membri ad uniformarsi alla direttiva entro il 1998,
potendo gli stessi scegliere tra due alternative: modificare le leggi esistenti per renderle in linea con la Direttiva, oppure adottare nuove leggi. La maggior parte degli Stati non ha attuato la Direttiva nei tempi richiesti, e molti non si sono uniformati fino al 2001 o 2002. C’è da dire, però, che mentre in molti casi si trattava soltanto di adeguare leggi già esistenti alle nuove necessità27, in altri vi era alla base una mancanza totale di regolamentazione in materia. L’Italia, ad esempio, ha mancato per molto tempo di emanare una norma che definisse e tutelasse la riservatezza e i dati personali, e possiamo dire che la Direttiva 95/46/CE ne costituisce il punto di partenza.
In seguito alla Direttiva 95/46/CE, si sono susseguiti una serie di provvedimenti comunitari che, modificando quelli precedenti, hanno innovato la normativa sulla protezione dei dati personali.
Nello specifico abbiamo: la Direttiva 97/66/CE 28 , che integrando quella del 1995, traduce i principi enunciati in quest’ultima in norme specifiche per il settore delle telecomunicazioni; la Direttiva 2002/58/CE 29 relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche; e infine la Direttiva
27 E’ quanto accade in Svezia, Germania, Francia, Irlanda, nei quali le prime
normative in materia di Data protection iniziano ad aversi a partire dal 1973.
28 Direttiva 97/66/CE del Parlamento Europeo e del Consiglio del 15 dicembre
1997 sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle telecomunicazioni.
29 Direttiva 2002/58/CE del Parlamento Europeo e del Consiglio del 12 luglio
2002 relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche).
2006/24/CE30, detta anche direttiva e-privacy, che va a modificare e integrare quella del 2002.
1.2.2 La disciplina italiana sul trattamento dei dati personali
Abbiamo già detto come l’Italia sia stato uno degli ultimi Paesi europei ad aderire e ratificare la Convenzione di Strasburgo del 1981 e la successiva Direttiva 95/46/CE relative alla protezione degli individui rispetto al trattamento di dati personali. I motivi del ritardo possono essere sicuramente attribuiti al fatto che l’Italia ha preso coscienza del fenomeno molto tardi, senza contare che per molto tempo si è minimizzato il problema considerandolo prematuro.
La legge 31 dicembre 1996, n. 675, relativo alla “Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali”, ha rappresentato, quindi, la prima legge in materia nel nostro ordinamento.
Tale legge, però, anche se adottata in adempimento alla Direttiva 95/46/CE e agli obblighi derivanti dal Trattato di Schengen31, ne ha allargato significativamente l’ambito di applicazione.
Infatti, mentre la Direttiva 95/46 prevede che il trattamento dei dati personali debba avvenire nel pieno rispetto dei diritti e
30 Direttiva 2006/24/CE del Parlamento Europeo e del Consiglio del 15 marzo
2006 riguardante la conservazione di dati generati o trattati nell’ambito della fornitura di servizi di comunicazione elettronica accessibili al pubblico o di reti pubbliche di comunicazione e che modifica la direttiva 2002/58/CE.
31 Art. 126, Titolo VI dell’Accordo di Schengen del 14 giugno 1985. Tale
articolo prevede che a ciascuna Parte contraente sarà permesso di godere dei benefici dell’Accordo di Schengen solo se adeguerà le disposizioni nazionali sul trattamento dei dati personali ad un livello che sia almeno pari a quello derivante dai principi della Convenzione del Consiglio d’Europa del 28 gennaio 1981.
delle libertà fondamentali delle persone, l’art. 1 della legge n. 675/96 aggiunge a questi un elemento importante: il rispetto della dignità delle persone fisiche, con particolare riferimento alla riservatezza e all’identità personale. Inoltre, garantisce i medesimi diritti alle persone giuridiche e ad ogni altro ente o associazione.
In questo modo, si è esteso l’oggetto della tutela della legge stessa, che arriva ad interessare, oltre all’esigere che i trattamenti automatizzati dei dati di ciascuno avvenga nel rispetto delle regole, anche una parte rilevante dei diritti della personalità.
Sulla base dell’art. 28 della Direttiva del 1995, inoltre, ogni Stato membro ha l’obbligo di disporre che una o più autorità pubbliche siano incaricate di sorvegliare, nel suo territorio, l’applicazione delle disposizioni di attuazione della direttiva stessa. La Direttiva non si è limitata a stabilire la creazione di apposite autorità di controllo, ma è intervenuta su alcune caratteristiche e requisiti che le stesse devono necessariamente avere. E’ richiesto infatti che le autorità “agiscano in modo indipendente in ciascuno Stato membro”, definendo tale affermazione come un “elemento essenziale per la tutela delle persone con riguardo al trattamento dei dati personali”. L’Italia ha adempiuto alla Direttiva con l’art. 30 l. 675/96.
La l. 675/96 ha avuto una duplice importanza: da una parte ha positivizzato due figure di creazione giurisprudenziale, ovvero il diritto alla riservatezza e quello all’identità personale, dall’altra, attraverso il richiamo ai diritti e alle libertà fondamentali e alla dignità della persona, ha segnato il punto di arrivo degli sforzi di dottrina e giurisprudenza volti a
dimostrare che si tratta non già di concetti vuoti, ma di aspetti qualificanti dell’esistenza umana e come tali bisognosi di una specifica tutela.32
In seguito alla legge del 1996 è stato adottato il D.lgs. n. 196/03, Codice in materia di protezione dei dati personali.33 Il decreto ha operato una riorganizzazione completa del materiale normativo, finalizzata ad una maggiore coerenza e ad un rafforzamento di tutela. Ha come caratteristica fondamentale quella di fornire una cornice normativa di principi e di indirizzi, lasciando la regolamentazione concreta e specifica ai provvedimenti dell’Autorità garante.
Nonostante il mancato inserimento all’interno dello stesso delle norme regolamentari, il Decreto può essere considerato uno strumento sufficientemente completo da farne il primo modello in ambito europeo di codificazione organica in materia. Mentre la legge n.675 del 1996 poneva al centro del sistema normativo gli adempimenti formali dell’informativa del consenso e della notifica al Garante, il nuovo Codice ha privilegiato gli aspetti di garanzia della persona, assegnando un ruolo centrale alle situazioni soggettive generate dal trattamento dei dati personali e ai rimedi contro la violazione delle regole prefissate.
La l. 196/2003 si compone di tre parti, che rispettivamente riguardano: le disposizioni generali, concernenti le regole relative al trattamento dei dati personali; le disposizioni particolari per specifici trattamenti, che integrano o derogano
32 Giuseppe Cassano, Il diritto alla riservatezza e accesso ai documenti
amministrativi, Milano, 2001.
33 Decreto Legislativo 30 giugno 2003, n. 196, "Codice in materia di protezione
dei dati personali", pubblicato nella Gazzetta Ufficiale n. 174 del 29 luglio 2003 -‐ Supplemento Ordinario n. 123.
alla disciplina generale; le disposizioni relative alle azioni di tutela dell’interessato e al sistema sanzionatorio.
Il nuovo Codice, a differenza della legge del 1996 che poneva al centro del sistema normativo soprattutto gli adempimenti formali dell’informativa del consenso, della notifica al Garante e le modalità di esercizio dei diritti, ha voluto privilegiare gli aspetti di garanzia della persona, mettendo in primo piano i diritti e le libertà fondamentali degli interessati.
L’art. 1 della legge dichiara, infatti, che “chiunque ha diritto alla protezione dei dati personali che lo riguardano”.
Questo primo principio deve essere considerato, però, in modo più generale rispetto al concetto di privacy, la quale consiste nel diritto di essere protetti contro le intrusioni nella propria vita privata.
La legge 196/2003 comprende molto più di questo. All’art. 2, infatti, si legge che il trattamento dei dati personali deve svolgersi “nel rispetto dei diritti e delle libertà fondamentali, nonché’ della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali”.
Va notato che, nonostante la struttura di base della legge sia rimasta più o meno invariata rispetto alla precedente, ci sono comunque state alcune significative modifiche.
Un’importante novità del Codice si ha all’art. 3, il quale sotto l’impronta della direttiva 2002/58/CE, introduce il principio di necessità nel trattamento dei dati personali, stabilendo che i sistemi informativi e i programmi informatici devono essere configurati “riducendo al minimo l’utilizzazione di dati personali e identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate
mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità”.
Sempre a proposito delle maggiori innovazioni previste dal Codice, viene in rilievo il principio sancito dall’art. 11 comma 2, secondo il quale i dati trattati in violazione della disciplina in materia di trattamento dei dati personali non possono essere utilizzati. Prima dell’introduzione della legge del 2003, infatti, in presenza di una condotta illecita o del trattamento dei dati in violazione di legge, gli interventi inibitori predisposti in via amministrativa dal Garante consistevano soprattutto nell’accertamento dell’inosservanza di legge e nella predisposizione di un’interruzione della condotta illecita stessa, senza la possibilità di adottare un provvedimento inibitorio che avesse conseguenze dirette sulla sorte dei dati personali illecitamente trattati.
Un altro principio rilevante nell’ambito della normativa sul trattamento dei dati personali è quello relativo al consenso. L’art. 23, comma 1 del Codice prevede che “il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell’interessato. Questo articolo è importante perché dimostra e conferma quanto la libera scelta e il potere decisionale dell’interessato in materia dei diritti fondamentali sia centrale nel nuovo Codice. Una volta prestato il consenso, il soggetto interessato continua ad avere un potere di controllo sulle modalità del trattamento dei dati che lo riguardano, potendo anche revocarlo.
Anche se la revocabilità del consenso non è prevista esplicitamente, il suo fondamento andrebbe ricercato in quello