|
Istituto
di Studi Europei |
Università
degli Studi di Cagliari |
L’Europa informatica e l’Italia:
Problemi e prospettive
Cagliari 21-22 marzo 1997
Convegno Internazionale
LA TUTELA DEI DATI DI CARATTERE PERSONALE NEL CONTESTO PANEUROPEO
INTRODUZIONE
Nel corso dell'ultimo secolo, come fa osservare il Frosini, la cultura giuridica delle società occidentali ha elaborato un nuovo diritto soggettivo, riferito al soggetto umano in quanto collocato in una trama di relazioni sociali con gli altri soggetti, che è stato chiamato "diritto alla riservatezza", s'intende alla riservatezza della propria vita privata, cioè alla tutela dell’intimità personale.
La generale tendenza a disporre per gli scopi più vari amministrativi, professionali, commerciali, ecc. - di archivi informatizzati che contengono una notevole quantità di dati, il cui trattamento in tempo reale consente una crescita delle capacita conoscitive e delle possibilità di intervento nel settore considerato, viene bilanciata, per così dire, dalla consapevolezza che questo accrescimento deve avvenire, per non risultare pericoloso, in modo ordinato e secondo regole predefinite.
A partire dagli anni sessanta gli Stati piu industrializzati, dove l'applicazione dei nuovi strumenti informatici alla vita sociale, culturale, economica del paese cominciava a far sentire la sua influenza, si sono misurati con l'idea di proteggere i singoli individui esposti nella loro sfera piu intima e profonda a trattamenti di vario genere. Le persone si trovavano, quindi, ad essere sia soggetti attivi - in quanto utilizzatori di banche dati - sia soggetti passivi (essendo i loro stessi dati personali inseriti ed elaborati dagli archivi informatizzati).
Si è, pertanto, fatta strada l'esigenza di proteggere la persona durante questo processo e ciascun Paese ha adottato nel tempo le disposizioni legislative e le procedure che riteneva più opportune a perseguire lo scopo anzidetto, compatibilmente con il proprio sistema giuridico, sociale, culturale e tenendo conto degli interessi preminenti, sia pubblici che privati.
E poiché, le potenzialità dannose non esplicavano i loro effetti solamente sul territorio di ciascuno Stato, in quanto in una moderna società industriale gli scambi di informazioni e le interrelazioni sono continue e funzionali alla crescita stessa, si è fatta strada la consapevolezza che non fosse più sufficiente una disciplina nazionale del fenomeno, ma che andasse favorita e stimolata la definizione di un quadro legale generale a livello europeo, dettando una sorta di disciplina comune, cui rapportare l'azione dei singoli Stati.
Negli anni '70 questo tentativo ha impegnat.o varie organizzazioni internazionali "regionali", fra cui il Consiglio d'Europa e la Comunita Europea. Ma solo nel 1981 si perverrà alla firma della Convenzione europea sulla protezione delle persone riguardo al trattamento automatizzato di dati di carattere persona1e, elaborata del Consiglio d'Europa (Convenzione n. 108 del 28 gennaio 1981), cui successivamente si sono aggiunte Raccomandazioni settoriali, come ad esempio la Racc. (87) 15 sull'utilizzazione dei dati a fini di polizia.
La Convenzione 108 affermava alcuni principi chiave, corrispondenti all'idea generale dell'esistenza di un diritto all'informazione da parte dell'individuo cioè del suo diritto di effettuare un controllo sull'uso dei propri dati personali inseriti in un archivio elettronico.
La Convenzione lasciava poi agli Stati la scelta di come introdurre i principi nei propri ordinamenti.
Per migliorare ed armonizzare l'approccio dei Paesi membri sull'argomento, la Cornmissione europea, sul finire del 1990, ha presentato un "pacchetto" di proposte, tra cui spicca la proposta di Direttiva sulla tutela delle persone fisiche riguardo al trattamento dei dati personali. L'iniziativa nasce quindi per rendere piu incisivi ed omogenei nell’applicazione i principi già contenuti nella Convenzione.
Analoga tendenza a partire dalla Convenzione di Strasburgo per definire un ambito di collaborazione più stretto si è riscontrato anche, in particolare, tra i Paesi aderenti all’Accordo di Schengen, relativo alla soppressione graduale dei controlli alle frontiere comuni.
Nella Convenzione di applicazione, firmata nel luglio 1990 si prevede l’istituzione del Sistema Informativo Schengen (S.I.S.), considerato lo strumento fondamentale per assicurare il perseguimento delle finalità dell’Accordo stesso.
Il S.I.S., nelle intenzioni dei contraenti costituisce una "misura compensativa" alla caduta dei controlli, doganali e di polizia, ed un imprescindibile strumento per garantire la cooperazione giudiziaria e di polizia, anche transfrontaliera.
Nella Convenzione, il Capitolo secondo è dedicato alla gestione ed utilizzazione del sistema, mentre il successivo Capitolo terzo detta regole specifiche in materia di protezione dei dati personali e di sicurezza dei dati. Nel definire i principi che sovraintendono alla raccolta ed al trattamento dei dati, anche qui, gli Stati contraenti fanno riferimento alla Convenzione del Consiglio d'Europa cui si aggiunge, come anticipato, per la sua specificità, la Raccomandazione (87) 15 sui dati della polizia.
LA NORMATIVA COMUNITARIA IN MATERIA DI PROTEZIONE DI DATI.
Nell’ambito delle Comunità europee. la Commissione si occupò del problema di adottare provvedimenti comuni per proteggere i cittadini a partire dal 1973 e nel 1974 il Parlamento europeo emanò una Risoluzione in cui veniva incaricata la Commissione di preparare al più presto una direttiva sul tema "informatica e libertà".
Occorsero, invece diversi anni di studi riunioni per raggiungere un accordo tra l vari Stati membri cosi che la Direttiva 95/46/CE del Parlamento europeo e del Consiglio "relativa alla tutela delle persone fisiche con riguuardo al trattamento dei dati personali nonché alla libera circolazione di tali dati" porta la data del 24 ottobre 195. La suddelta Direttiva detta i principi guida ai quali qli Stati membri dovranno adeguarsi con le rispettive legislazioni. entro il 1998, per giungere allo stesso livello di tutela in tutta la Comunità, così da permettere la libera circolazione delle informazioni all'interno dell’Unione.
Va sottolineato che le disposizioni della Direttiva non si applicano ai trattamenti di dati aventi come oggetto la pubblica sicurezza, la difesa, la sicurezza dello Stato e le attivita dello Stato in materia di diritto penale.
La Direttiva prevede che la raccolta delle informazioni avvenga in maniera trasparente in modo da impedire abusi, e si prevede che i dati raccolti non possano essere utilizzati per finalità diverse da quelle fissate al momento della creazione della banca dati. Ai cittadini dovrà essere garantito l’accesso ai dati che li riguardino il diritto di ottenere la rettifica delle informazioni errate e di rifiutare, in alcuni casi, l’utilizzo delle notizie a carattere personale.
Nel caso di "dati sensibili", (cioè quelli che riguardano particolarmente la sfera personale come quelli attinenti alla salute, alla vita sessuale, alle opinioni politico-religiose, all’origine etnica o razziale), la Direttiva prevede che la loro elaborazione possa avvenire solo con l’esplicito consenso del cittadino.
Possono fare eccezione casi in cui sopravvenga un importante interesse di natura generale (ad esempio nel campo della ricerca medica e scientifica) ed allora dovranno essere trovate forme alternative di salvaguardia. Anche per le informazioni utilizzate a scopi giornalistici, artistici o letterari, la Direttiva chiede agli Stati membri di assicurare adeguate deroghe ai criteri di protezione della "privacy".
Ad ogni Stato membro viene lasciato un margine di discrezionalità per l’applicazione della Direttiva, così potrebbero rimanere delle differenze di legislazione tra un Paese e l’altro: in tal caso la Direttiva stabilisce che si applicherà la legge dello Stato in cui risiede il soggetto, che elabora i dati.
Sempre in ambito comunitario, norme specifiche sulla protezione dei dati di carattere personale sono state inserite nelle due Convenzioni firmate a Bruxelles il 26 luglio 1995 relative, rispettivamente, all’istituzione di un Ufficio europeo di polizia (Europol) e di un Sistema informativo doganale (Sid), così come nel Progetto di Convenzione per il Sistema informativo europeo (Sie), che è stato mutato sulle norme concernenti il Sistema d’Informazione Schengen (Sis) della Convenzione di Applicazione dell’Accordo di Schengen sull’abolizione dei controlli alle frontiere interne (firmata nel 1990 da Francia, Germania, Belgio, Paesi Bassi e Lussemburgo ed a cui hanno aderito in seguito anche Italia, Spagna, Portogallo, Grecia ed Austria e negli ultimi tempi i Paesi Nordici: Finlandia, Svezia, Norvegia e Islanda).
In particolare sono stati regolamentati i seguenti aspetti: diritto di accesso "indiretto" al sistema informatico per le persone interessate attraverso l’organo di controllo nazionale preposto alla protezione dei dati (nelle Convenzioni sono previsti, comunque, determinati motivi di rifiuto dell’informazione); diritto di ricorso giurisdizionale per i cittadini; istituzione di un’Autorità comune di controllo; disposizioni sull’utilizzazione, la rettifica e la cancellazione dei dati, nonché sulla responsabilità in caso di comunicazione di dati erronei. In effetti ognuna delle predette Convenzioni prevede che ciascuno Stato membro deve adottare, al più tardi al momento dell’entrata in vigore della Convenzione stessa, le disposizioni necessarie per assicurare un livello di protezione dei dati, almeno equivalente a quello derivante dai principi della Convenzione del Consiglio d’Europa del 28 gennaio 1981 e della Raccomandazione n.R. (87) 15.
Pertanto, l’esistenza di leggi nazionali sulla protezione dei dati è condizione indispensabile per consentire il flusso internazionale dei dati da uno Stato all’altro. La Convenzione del Consiglio d’Europa l’abbiamo già passata in rassegna. Per quanto concerne la Raccomandazione n.R. (87) 15 del Comitato dei Ministri del Consiglio d’Europa del 17 settembre 1987, essa regola l’uso dei dati di carattere personale nel settore specifico della polizia. Ovviamente, essendo una raccomandazione, gli Stati sono liberi di conformarsi o meno ai suoi principi.
Si segnala, comunque, che il suo principio 6.4 consente restrizioni al diritto di accesso, rettifica o cancellazione qualora ciò sia indispensabile all’esercizio di una funzione legittima da parte della polizia, o sia altrimenti necessario alla protezione della persona interessata e dei diritti e della libertà altrui.
Il rispetto dei diritti fondamentali è richiamato anche negli articoli F. 2 e K. 2 del Trattato di Maastricht sull’Unione europea. In particolare nel Titolo Vi "Disposizioni relative alla cooperazione nei settori della giustizia e degli affari interni" l’art. K. 2, paragrafo 1, stabilisce che "i settori contemplati dall’art. K. 1 (fra cui figurano, tra l’altro, i controlli alle frontiere esterne, la lotta contro l’immigrazione clandestina e la cooperazione di polizia) vengono trattati nel rispetto della Convenzione europea sui diritti dell’uomo...".
LE LEGGI DEGLI ALTRI STATI SULLA PROTEZIONE DEI DATI E LA CONVENZIONE N. 108 DEL CONSIGLIO D’EUROPA.
Con il moltiplicarsi dei computers e delle banche dati, in Europa la prima legge a tutela dei cittadini - contenente il diritto alla riservatezza, il controllo sui dati ed un magistrato per la protezione dei dati - fu emanata nel 1970 da un Land della Germania Federale.
La prima legislazione nazionale generale in materia di protezione dei dati fu poi quella svedese del 1973; quindi possiamo ricordare il Privacy Act degli U. S. A. nel 1974, alcune disposizioni della Costituzione portoghese nel 1977, di quella spagnola nel 1978 ed a seguire le leggi della Nuova Zelanda, del Canada, della Francia, della Danimarca, della Norvegia, dell’Austria e del Lussemburgo.
Nel 1971, nell’ambito del Consiglio d’Europa, fu creato un Comitato sulla protezione della vita privata dell’individuo di fronte alle banche automazione dei dati, che predispose due Risoluzioni del Comitato dei Ministri nella materia, rispettivamente nel 1973 e 1974, e poi si dedicò al progetto di Convenzione che fu adottato dal Comitato dei Ministri nel settembre del 1980. Tale Convenzione di Strasburgo n. 108 sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale, aperta alla firma degli Stati il 28 gennaio 1981, costituisce a tutt’oggi il testo fondamentale sulla materia.
L’Italia, pur avendo firmato la predetta Convenzione ed avendo emanato la relativa legge di ratifica (legge 21 febbraio 1989, n.98), non aveva potuto finora depositare lo strumento di ratifica (e quindi la Convenzione non era entrata in vigore), in quanto mancava una normativa nazionale di esecuzione dei principi della Convenzione; questa normativa è oggi contenuta nel disegno di legge approvato dal Parlamento nel dicembre 1996, dopo un iter durato numerose legislature. Pertanto, tra i Paesi comunitari, adesso solo la Grecia non ha ancora una legge specifica sulla tutela dei dati personali.
Il campo di applicazione della Convenzione n. 108 abbraccia tutte le operazioni di elaborazione automatizzata di dati a carattere personale nei settori pubblico e privato. La suddetta Convenzione impone alle singole Parti contraenti di adottare nei rispettivi ordinamenti interni uno standar minimo di misure a tutela dei soggetti interessati, in modo da assicurare che il trasferimento dei dati elaborati al di là delle frontiere nazionali non si risolva in un pregiudizio per detti soggetti, quindi condiziona la trasmissione dei dati da un Paese all’altro all’equivalenza della protezione dei dati nei due Stati.
Tali misure devono conformarsi ai seguenti principi: i dati vanno ottenuti ed elaborati in modo lecito e corretto e registrati ed impiegati per scopi determinati e legittimi: essi, inoltre, devono essere esatti e conservati per una durata non superiore a quella necessaria per il raggiungimento della finalità perseguita; i dati vanno protetti contro la distruzione, l’accesso e la diffusione non autorizzata; i dati personali indicanti l’origine razziale, le opinioni politiche, i credi religiosi e quelli relativi alle condanne penali, allo stato di salute o alla vita sessuale non possono essere elaborati automaticamente se non con l’adozione di speciali garanzie.
Ogni persona deve poter essere informata dell’esistenza di una banca dati, dei fini della stessa, dell’identità e residenza del suo responsabile; deve avere la possibilità di sapere se in tale Casellario siano registrati dati ad essa relativi, di conoscerne il contenuto e di ottenere la rettifica o la cancellazione ove siano stati elaborati in violazione delle norme della Convenzione; deve, infine, disporre della facoltà di ricorso.
Deroghe al diritto all’informazione dell’interessato sono consentite solo in pochi casi predeterminati dall’art. 9 della Convenzione stessa, in particolare quando ricorrano ragioni attinenti alla sicurezza dello Stato, alla sicurezza pubblica ed alla repressione dei reati. Giova sottolineare che la Convenzione n. 108 consente ad ogni Stato di dichiarare che non la applicherà ad alcune categorie di banche dati ed il Governo italiano, al momento della firma, si è avvalso di tale clausola, escludendo il Centro Elaborazione Dati delle Forze di Polizia.
LEGGE 31 DICEMBRE 1996, N. 675 - TUTELA DELLE PERSONE E DI ALTRI SOGGETTI RISPETTO AL TRATTAMENTO DEI DATI PERSONALI
A questo punto rimane da vedere che cosa cambierà in Italia con l’arrivo della nuova normativa.
Le finalità affermate dalla legge sono quelle di garantire che il trattamento dei dati personali si svolga nel rispetto dei diritti, delle libertà fondamentali e della dignità delle persone fisiche e giuridiche e degli enti non riconosciuti, con particolare riferimento alla riservatezza ed all’identità personale.
Sull’argomento è stata sentita l’opinione del professor Alessandro Pace, ordinario di diritto costituzionale all’Università degli Studi di Roma La Sapienza: lo stesso fra l’altro ha detto: "il discorso è molto vasto e mi rendo conto che è banale rispondere riaffermando il precetto del rispetto del singolo: ma in realtà è necessario diffondere una cultura del rispetto, anche perché la nostra Costituzione è carente in materia di "privacy", basti pensare che gli unici articoli che toccano l’argomento sono il 13, il 14 ed il 15 (che tutelano rispettivamente la libertà personale, il domicilio, la libertà e la segretezza della corrispondenza), dai quali è arduo desumere una disciplina sul trattamento dei dati personali.
Le banche dati possono perfettamente sussistere ed operare; ciò che conta è che l’elemento personale non venga diffuso a fini commerciali e decontestualizzati.
Infatti, il diritto alla riservatezza è anzitutto diritto all’identità personale, ad essere se stessi; laddove vi sia una proiezione pubblica - non autorizzata - della propria immagine o del dato riguardante la propria persona, vi può essere lesione dell’onore o della dignità del soggetto. É per questo che il sequestro e l’inibizione dell’utilizzo delle informazioni non sono sufficienti, ma si devono prevedere anche sanzioni civili che risarciscano il danno. Il tutto va bilanciato con la tutela del diritto di manifestazione del pensiero, che si specifica, però, nel divieto di diffondere ciò che è soggettivamente falso.
Quindi, sono d’accordo sulle banche dati, posso essere d’accordo sulla diffusione degli elementi che riguardano il soggetto, purché vi sia rispetto della libertà e della dignità della persona".
A livello internazionale, l’approvazione da parte del Parlamento italiano della Legge sulla protezione dei dati ha rimosso, comunque, l’ostacolo principale per la piena partecipazione del nostro Paese all’Accordo di Schengen per la Libera Circolazione delle Persone ed il Superamento delle frontiere interne.
Nel 1997 l’Italia entrerà nel Sistema di Schengen, entro e non oltre il mese di ottobre. É questa l’importante decisione scaturita dalla riunione del Comitato Esecutivo Ministeriale Schengen svoltasi la mattina del 19 dicembre 1996 a Lussemburgo (l’approvazione della Legge, da parte del Parlamento Italiano, era del 18 dicembre 1996).
"Senza questa Legge - spiega il dottor Buttarelli, dell’Ufficio legislativo del Ministero di Grazia e Giustizia in una intervista - non ci sono state finora il Italia vere e proprie regole per capire fino a che punto si potessero raccogliere informazioni su altre persone, e quali fossero i mezzi a disposizione dell’interessato per opporsi nel caso le informazioni si rivelassero erronee o raccolte in modo illecito. Con la Legge è istituito il principio della trasparenza: chi intende creare una banca dati dovrà darne comunicazione ad un "Garante" per la tutela delle persone rispetto al trattamento dei dati. Il Garante istituirà un registro, di pubblico accesso, attraverso cui i cittadini potranno capire chi sta trattando i loro dati e per quale motivazione, con la facoltà di chiederne anche la modifica o la cancellazione". Non solo: per raccogliere i dati sarà necessario anche informare gli interessati ed ottenere il loro consenso (alcune deroghe, più o meno ampie a seconda dei casi, sono ammesse - oltre che per il Centro Elaborazione Dati del Dipartimento della P.S., per i Servizi Segreti, per il Casellario Giudiziale ed altri soggetti pubblici per finalità di difesa e di sicurezza dello Stato, di prevenzione, accertamento e repressione dei reati. Solo per alcune categorie di operatori, come i medici, i giornalisti e chi svolge investigazioni difensive); e nel caso di "dati sensibili" - relativi cioè alle convinzioni religiose o politiche, alla razza, alla salute, al sesso e così via - il Garante dovrà concedere un’apposita autorizzazione. "In questo modo - precisa il dottor Buttarelli - non sarà più necessario avviare controversie dinanzi ad un Giudice per opporsi a dati raccolti con malizia o non aggiornati, e sarà possibile correggerli a priori, prima che il danno venga arrecato. Questa nuova trasparenza permetterà di tutelare quel diritto all’identità personale riconosciuto recentemente anche in una sentenza della Corte Costituzionale. Il diritto, cioè, ad essere se stessi, ad essere correttamente rappresentati dagli altri. La Legge offre, in questo modo, anche una garanzia - sia pur elastica - di "diritto all’oblio": in poche parole, "il diritto a che l’immagine che viene diffusa della persona corrisponda al presente. Alla sua identità attuale, evitando che, ad esempio, vengano rivangati episodi armai appartenenti al passato". Altro punto rilevante della normativa è quello che garantisce il diritto ad essere valutati non solo dalle "macchine": ad esempio, non si potrà più essere assunti o avere avanzamenti di carriera soltanto in base ad elaborazioni computerizzate".
In effetti, di questa Legge, che ha avuto un "iter" faticosissimo, la prima bozza risale al 1992.
Dall’"altra parte della barricata", infatti, ci sono esigenze assai forti: dal diritto di cronaca e di libertà di stampa alla tutela dell’ordine pubblico e della sicurezza dello Stato, dall’interesse medico-scientifico a quello statistico, fino al diritto d’impresa ed alle esigenze di "marketing". "Sia chiaro - prosegue il dottor Buttarelli - la Legge non impedirà che ad esempio le informazioni raccolte su di noi con le carte di credito - che rispondono in origine all’esigenza di disegnare il profilo del consumatore in modo da individuare comportamenti anomali e dunque possibili frodi - vengano "girate" ad altre società, magari per l’invio di materiale pubblicitario. Comunque i cittadini interessati ne dovranno essere informati e sarà necessario il loro consenso al momento della conclusione del contratto. Certamente, i primi passi nella realtà di tutti i giorni di questa Legge non saranno facili: si tratta di una normativa complessa e che coinvolge tantissime categorie ed ordinamenti. Ma proprio per questo sono state predisposte delle norme transitorie tali da rendere il suo impatto più morbido: poi verranno i "decreti delegati"(1), che saranno dedicati a settori specifici e di grande delicatezza, quali la telefonia, la prevenzione dei crimini informatici, la disciplina dell’accesso anonimo in rete. Del resto in Italia la normativa in questo settore non poteva più aspettare: l’esperienza degli altri Paesi europei ci può aiutare ad affrontarla meglio. "Sto pensando, ad esempio, alle iniziative messe in campo dagli altri Garanti per dare "pubblicità" alle rispettive leggi sulla "privacy": "depliant" illustrativi che utilizzano un linguaggio molto semplice, istruzione in rete 24 ore su 24, persino dischetti dove sono già predisposti i modelli di notificazione. É poi realistico immaginare che la Legge possa subire qualche modifica "sul campo": basti pensare che, ad esempio, in Austria, dove il primo testo risale al 1978, ci sono state correzioni pressoché una volta l’anno".
(1) - Legge 31 dicembre 1996, n. 676: Delega al Governo in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali.
