Diritti interna

Doveri interna

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

1. La tutela dei dati personali: una novità nella legislazione italiana - Relazione 1997 - 30 aprile 1998

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
1343305
Data:
30/04/98
Tipologia:
Relazione annuale

Indice

Relazione annuale 1997 

1. La tutela dei dati personali: una novità nella legislazione italiana

 

1.1 Le linee-guida delle leggi 31 dicembre 1996  n. 675 e n. 676


1.1.1. Premessa
Le leggi nn. 675 e 676 del 31 dicembre 1996 hanno innovato profon damente la legislazione italiana in materia di diritti della personalità, colmando una lacuna avvertita da più parti nel corso degli anni.

Il Parlamento, nel dare attuazione alla convenzione n. 108/1981 del Consiglio d´Europa e ad altri atti internazionali e comunitari, tra cui la direttiva n. 95/46/CE del 24 ottobre 1995, ha mostrato particolare sensi bilità alla protezione della riservatezza e dell´identità personale, interve nendo con una disciplina di ampio respiro.

iter delle due leggi si è sviluppato nel corso di più legislature, sin dal primo progetto presentato nel 1984. In particolare, a partire dal 1992, si sono succeduti alcuni disegni di legge che le interruzioni anticipate delle legislature non hanno permesso di approvare tempestivamente, considerato anche il vivace dibattito suscitato.

Gli interventi normativi del 1996 si sono articolati in una pluralità di innovazioni e sono destinati ad incidere in maniera significativa sull´assetto dei diritti garantiti costituzionalmente, favorendone un corretto bilanciamento.

La legge n. 675/1996 mira infatti ad introdurre una tutela efficace e tempestiva dei vari aspetti nei quali si articolano i diritti fondamentali della personalità, attraverso un processo normativo sviluppato in diverse disposizioni alcune delle quali sono già in vigore, mentre altre verranno introdotte dal Governo in attuazione delle deleghe legislative contenute nella legge n. 676/1996.

Analogamente a quanto avvenuto nelle legislazioni straniere più recenti, la tecnica normativa ha valorizzato solennemente il diritto alla riservatezza e il diritto all´identità personale, e si è poi articolatata in una disciplina dell´attività di raccolta e di elaborazione delle informazioni che, in varia forma, attengono alla persona.

Di conseguenza, in linea con quanto previsto dalla citata direttiva europea, l´approccio normativo ha posto come oggetto della nuova disciplina, il "trattamento" di qualunque informazione di carattere personale, anche se non riguardante la sfera più intima della persona.

Il legislatore ha posto l´accento sulla trasparenza che deve caratterizzare la raccolta e l´elaborazione di informazioni, sulle finalità perseguite dai soggetti che elaborano dati personali nonché sul diritto degli interessati di ricevere tutela prima ancora che l´elaborazione possa aver provocato un danno.

Superando l´esperienza delle legislazioni in materia di tutela dei dati ("Datenschutz") di prima e seconda generazione, la legge n. 675/1996 ha evitato di porre eccessiva enfasi sul consenso dell´interessato o sulla necessità, per chi raccoglie ed elabora informazioni, di ottenere il rilascio di un´autorizzazione preventiva, ed ha preferito regolare in manieracomplessiva i flussi delle informazioni, individuando limiti e garanzie e tenendo conto di altri interessi pubblici e privati meritevoli di considerazione.

In questo quadro, in luogo di un´autorizzazione preliminare al trattamento che, come si dirà tra breve, è stata prevista solo in alcune ipotesi, sono stati posti a carico dei soggetti che elaborano i dati alcuni oneri di informazione agli interessati e di dichiarazione ad un´autorità indipendente.

Si è evitato, così, un sovraccarico di adempimenti e di procedure che avrebbero comportato un inutile impianto burocratico, e si è adottata una soluzione tale da garantire un progressivo aggiornamento delle normative attraverso integrazioni e correzioni, che, pur mantenendo un elevato grado di tutela delle persone, permette di semplificare il più possibile gli oneri a carico dei soggetti impegnati a diverso titolo in un´attività di informazione.

In tal modo, la concezione "statica" del diritto alla riservatezza ha ceduto il passo ad una visione dinamica, che è legata all´odierna intensità della circolazione dei dati e che al tempo stesso non esaurisce il diritto alla riservatezza in un mero "diritto all´indennizzo".

Tale visione si incentra nel riconoscimento all´interessato del diritto di essere informato sui trattamenti di dati che lo riguardano e sulle relative finalità, nella possibilità di esprimere o meno il consenso in diversi casi, nonché nel diritto di verificare la correttezza dell´elaborazione anche attraverso l´accesso alle informazioni raccolte nei suoi confronti. Per alcune categorie di dati definiti dalla legge "sensibili", al consenso scritto dell´interessato si aggiunge l´ulteriore garanzia rappresentata da un´autorizzazione rilasciata al soggetto che intende raccogliere ed elaborare dati.

Il Parlamento ha così dotato l´Italia di un modello legislativo moderno che offre un´ampia tutela riferita alle informazioni concernenti, oltre che le persone fisiche, gli enti collettivi (persone giuridiche, associazioni, fondazioni, organismi pubblici). E cioé, anche quando le stesse sono elaborate con mezzi non automatizzati o non sono inserite in vere e proprie banche dati.

La legge n. 675/1996 è obiettivamente complessa, in quanto abbraccia un arco notevole di attività pubbliche e private e tende ad assicurare un livello elevato di tutela della persona.

Come si vedrà, l´intento del Garante nella prima fase di applicazione della nuova legge è stato quello di interpretare ed attuare le norme in modo da assicurare la piena applicazione delle garanzie snellendo, al tempo stesso, adempimenti e modalità.

Analogamente a quanto avvenuto in altri Paesi, l´innesto di un corpo così articolato di principi comporta alcune difficoltà applicative fisiologiche, che l´esperienza e gli eventuali correttivi possono permettere di risolvere in un quadro di corretto bilanciamento dei diritti e delle libertà.

1.12. Nuove forme di tutela dei diritti della personalità
Per effetto della legge n. 675/1996, che si pone come disciplina generale sul trattamento dei dati personali, il diritto alla riservatezza assume connotati del tutto nuovi rispetto all´originario nucleo del "diritto ad essere lasciato solo", definito in via prevalentemente giurisprudenziale e solo nell´ambito di alcuni settori, come quello dell´attività giornalistica o dell´attività di impresa.

Senza entrare nel merito del dibattito che ha appassionato la dottrina circa l´esistenza di un unico, complesso diritto della personalità o di più diritti, oggi il diritto alla riservatezza e il diritto all´identità personale son assistiti da nuove forme di tutela che mirano a garantire il complesso "dei diritti e delle libertà fondamentali nonché della dignità delle persone fisiche" (art. 1 legge n. 675/1996).

Tali posizioni sostanziali sono ora tutelate, per effetto della nuova legge, in ogni settore della vita sociale, pubblica o privata, e nel contesto di qualunque attività nella quale si effettui un trattamento di dati personali.

Questa trasversalità aumenta il grado di tutela della persona, in quanto la protezione dei dati si innesta, talora in modo problematico, con varie discipline di settore che troveranno una sistemazione più armonica e compiuta attraverso i decreti delegati previsti dalla legge n. 676/1996.

Il binomio riservatezza-identità personale è valorizzato, non a caso nell´art. 1 della legge.

Da un lato, la solenne formula che indica le finalità della legge elimina ogni dubbio sulla piena cittadinanza nel nostro ordinamento del diritto all´identità personale, che la dottrina e la giurisprudenza anche costituzionale avevano già inserito nel "catalogo" dei diritti fondamentali e inalienabili della persona.

Dall´altro, la medesima formula testimonia una linea di tendenza che, mentre permette che una fascia di informazioni personali possa circolare anche in assenza di un previo consenso dell´interessato, accentua il diritto di quest´ultimo ad una tutela "forte" della sua legittima aspettativa ad essere "rappresentato" dagli altri in una maniera corrispondente al proprio modo d´essere.

In altre parole, l´ordinamento fornisce adeguata protezione anche alla dimensione sociale della persona e alla sua partecipazione alla vita di relazione nelle multiformi manifestazioni morali, culturali e professionali.

1.13 La protezione multiforme dei dati personali
Sul piano della tecnica normativa, il legislatore ha previsto forme di protezione differenziata della riservatezza, al fine di contemperarla con interessi pubblici e privati meritevoli di una qualche tutela (art. 3 legge n. 675/1996: trattamenti per finalità esclusivamente personali; art. 4: attività per scopi di difesa, di sicurezza dello Stato, di giustizia e di tutela della sicurezza dei cittadini; art. 12, comma 1, lett. f): trasparenza delle attività economiche; art. 27: trattamenti effettuati dalla pubblica amministrazione).

Questa differenziazione della tutela dei dati e delle modalità della loro circolazione è collegata al progressivo abbandono dell´originaria matrice "proprietaria" del diritto alla riservatezza, intesa come bene ad uso rigorosamente esclusivo del soggetto al quale avrebbe dovuto riconoscersi il diritto di estromettere chiunque altro dalla propria sfera privata.

Ci si è invece indirizzati verso una protezione di tipo dinamico e procedimentale, che rappresenta il nucleo forte della nuova legge, in base alla quale i trattamenti dei dati sono disciplinati secondo procedure e requisiti corrispondenti ad uno schema tipico, senza esclusione, però, di alcune particolarità che modellano la disciplina rispetto ad esigenze di maggior tutela della riservatezza o di protezione di interessi contrapposti, riscontrabili in alcuni settori.

1.1.4. Le scelte del legislatore e il margine di manovra comunitario
Il recepimento della direttiva comunitaria n. 95/46/CE (c.d. "direttiva-quadro") ha rappresentato per il legislatore l´occasione per offrire una risposta capace di soddisfare in termini di più ampio respiro le esigenze che avevano originato il fervido dibattito in materia di tutela nei confronti delle banche dati, sfociato dapprima nella costituzione del ´Comitato di studi per le libertà individuali e l´informatica´ (1975) e, di seguito, nella Commissione ´Mirabelli´ (1980).

Parallelamente al disposto della direttiva-quadro, la disciplina italiana presenta due cardini fondamentali.

Dal punto di vista sostanziale, la legge collega la tutela della riservatezza al "trattamento" dei dati personali, e considera secondaria la circostanza dell´inserimento delle informazioni in una "banca dati" o in un "archivio" (circostanza centrale per alcune legislazioni straniere approvate prima dell´adozione della direttiva), che avrebbe impedito una tutela efficace dei dati "dispersi", non organizzati, cioé, in un insieme sistematico.

Sotto il profilo procedimentale, il nuovo quadro di trasparenza dell´attività di raccolta dei dati si basa, anzitutto, sugli obblighi di informativa all´interessato e di acquisizione, ove necessario, del consenso, nonché sul "diritto di accesso" che il più delle volte può essere esercitato direttamente nei confronti del soggetto che elabora i dati.

Tale trasparenza è rafforzata da un regime di pubblicità dei trattamenti, che trova il suo fulcro nella "notificazione" al Garante (art. 7) prevista dalla legge n. 675/1996. Il decreto legislativo n. 255/1997 ha, poi, opportunamente circoscritto la notificazione ai soli trattamenti caratterizzati da maggiori rischi di danno all´interessato riducendo, così, il rischio di un eccessivo impatto amministrativo (art. 1, comma 1, lett. f), legge n. 676/1996).

Il livello elevato di tutela dei diritti che il Parlamento ha voluto assicurare con voto pressoché unanime traspare, in particolare, dalle seguenti scelte:

a) sono stati ricompresi nell´ambito di applicazione della legge anche i trattamenti non automatizzati di dati personali elaborati al di fuori di archivi o banche dati, che la direttiva-quadro non considera nell´ambito del processo di armonizzazione delle legislazioni europee. Si è prevenuto, così, il rischio di una facile elusione della normativa, e al tempo stesso si è rispettato il dettato costituzionale che non avrebbe permesso una differenziazione della tutela basata sulle modalità di organizzazione dei dati. Di converso, è stata prestata attenzione alla sfera di libertà di chi elabora dati per fini esclusivamente personali (art. 3), e si è previsto che qualunque individuo possa utilizzare dati nell´ambito della propria vita di relazione, comunicandoli anche a terzi purché in maniera non sistematica, senza la necessità di osservare i vari adempimenti previsti dalla legge;

b) il trattamento dei dati "sensibili" è assistito da particolari cautele che si basano su prescrizioni analitiche contenute in un´autorizzazione rilasciata dal Garante al privato o all´ente pubblico economico che elabora i dati, ovvero (se a trattare i dati è una pubblica amministrazione) in una puntuale disposizione di legge (art. 22, comma 3). Tale assetto risulta più attento ai rischi di discriminazione e di lesione dei diritti, se confrontato con quello imposto, come grado minimo di tutela, dall´articolo 8 della direttiva;

c) l´ambito di applicazione della tutela della riservatezza risulta esteso, sotto il profilo soggettivo. Infatti, la legge include nella definizione dell´interessato, oltre alla persona fisica, la persona giuridica, l´ente o associazione cui si riferiscono i dati personali (art. 1, comma 2, lett. f)). Di conseguenza, le informazioni che si riferiscono a tali enti collettivi godono di varie garanzie dalle quali sarebbero state escluse ove il legislatore si fosse limitato ad attuare pedissequamente la direttiva-quadro, la quale tutela le sole persone fisiche. In tal modo, il Parlamento ha confermato l´orientamento giurisprudenziale che riconosce il diritto all´identità anche alle persone giuridiche, ed ha anticipato una soluzione che un´ulteriore direttiva europea rende necessaria per tutti i dati in circolazione nelle reti e che siano relativi ad abbonati, persone fisiche o giuridiche (direttiva n. 97/66/CE, in materia di tutela della vita privata nel settore delle telecomunicazioni).

 

12. I diritti dell´interessato: riflessi in tema di tutela sostanziale e procedimentale


12.1. I diritti garantiti dall´art. 13 della legge
La chiave di volta della nuova disciplina risiede nella previsione della possibilità per il cittadino o per qualunque altro soggetto di esercitare i diritti di cui all´art. 13 della legge, e nei correlati adempimenti posti a carico del "titolare" e del "responsabile" del trattamento.

Fin dalla fase della raccolta dei dati, e nel corso del loro ulteriore trattamento, è assicurata tutela all´interesse della persona a vedere difesa la propria sfera di riservatezza - aspetto della propria libertà che si concreta nella reazione ad aggressioni altrui attraverso il ricorso all´autorità giudiziaria o al Garante - nonché al diritto di proporre un´azione invia preventiva, facoltà che rappresentano un aspetto "attivo" della libertà, e cioè un immanente potere di controllo delle informazioni e dei dati personali.

Tale tempestiva possibilità di controllo determina lo spostamento del fulcro della tutela dei diritti della personalità, dal momento della loro possibile lesione a quello, anteriore, del coinvolgimento dell´interesse stesso. Ciò comporta un effetto positivo, sotto almeno due aspetti:

a) attraverso il diritto di accesso, rettifica, integrazione e cancellazione dei dati, nonché di opposizione al trattamento ´per motivi legittimi´, si raggiunge il risultato di diminuire al minimo il rischio di lesioni;

b) conseguentemente, si favorisce un´apprezzabile diminuzione del contenzioso amministrativo e giudiziario. Va rilevato, peraltro, che la nuova legge non dovrebbe comportare un incremento dei conflitti proposti avanti all´autorità giudiziaria per la violazione dei diritti della personalità, in quanto ha introdotto un sistema di "doppio binario" per la tutela dei diritti, rendendo alternativi al ricorso giurisdizionale i rimedi amministrativi dinanzi al Garante, i quali ultimi si sviluppano secondo procedure più snelle, destinate a concludersi in tempi rapidi (artt. 29 e 31).

12.2 L´accesso al registro dei trattamenti
Per effetto della nuova disciplina, chiunque sia interessato al trattamento di dati personali ha, anzitutto, il diritto di accedere gratuitamente al registro dei trattamenti, che è tenuto presso il Garante e che include le notificazioni obbligatorie per legge (art. 31, comma 1, lett. a)).

Il registro, ovviamente, non contiene i nominativi delle persone oggetto dei vari trattamenti, ma reca una serie di indicazioni generali che possono essere utili agli interessati per comprendere le principali caratteristiche dei trattamenti in corso e per facilitare l´eventuale esercizio del diritto d´accesso, che può essere fatto valere gratuitamente presso i singoli titolari o responsabili.

Queste misure si affiancano a quelle, ben note, che la legge 7 agosto 1990, n. 241, ha introdotto in tema di trasparenza del procedimento amministrativo, e favoriscono la trasparenza nel trattamento dei dati personali, da chiunque effettuato, in ambito sia pubblico sia privato. Ad esse, si somma la scelta operata con il decreto legislativo n. 255/1997 in sintonia con la direttiva comunitaria, volta a garantire che i soggetti che non notificano il trattamento al Garante, in quanto si avvalgono di una causa di esonero, forniscano egualmente a chiunque ne faccia richiesta le notizie che andrebbero riportate nella notificazione (art. 7, comma 5-quinquies legge n. 675/1996).

In tal modo si fornisce un ulteriore strumento di tutela contro i trattamenti illeciti, in particolare nei confronti di quelli che possono essere effettuati senza l´informativa o il consenso dell´interessato.

In questa prima fase applicativa, l´attività del Garante è stata orientata a favorire la capacità di assorbimento dei nuovi adempimenti da parte dei titolari. In questa direzione, il Garante ha valutato con favore la proposta di introdurre le forme semplificate e gli esoneri previsti dalla legge-delega (sanciti poi dal d.lg. n. 255/1997) e il contestuale differimento "ragionato" delle scadenze previste in tema di notificazione.

Gli esoneri e le semplificazioni previsti dal decreto legislativo n. 255/1997 hanno introdotto una notevole deflazione rispetto ai trattamenti di cui in genere è nota l´esistenza (si pensi, tra l´altro, a quelli necessari per assolvere un compito previsto dalla legge, da un regolamento o dalla normativa comunitaria, ovvero per adempiere ad obblighi contabili, retributivi, previdenziali, assistenziali o fiscali).

Scaduti i nuovi termini previsti per le notificazioni al Garante, graduati fino al 30 giugno 1998, tutto ciò permetterà una più agevole istituzione e consultazione del registro delle notificazioni, ponendosi in armonia con le esigenze di semplificazione dell´azione amministrativa e senza contraddire l´esigenza di un´omogeneità del grado di tutela dei diritti della persona.

Contemporaneamente a queste iniziative, il Garante si è adoperato per semplificare in altro modo la notificazione dovuta per legge, ed ha predisposto a tal fine un modello unico - su supporto informatico e cartaceo - che ha distribuito mediante vari canali, in particolare attraverso gli uffici postali.

12.3. Le richieste rivolte al titolare e al responsabile del trattamento
Le posizioni attive degli interessati comprendono, anzitutto, il diritto di ottenere direttamente dai soggetti che elaborano i dati la conferma dell´esistenza o meno delle informazioni che li riguardano nonché, tra l´altro, delle finalità del trattamento.

Rientra inoltre nelle prerogative dell´interessato la possibilità di veder prontamente rispettati i requisiti di liceità e correttezza del trattamento dei dati, anche attraverso la cancellazione delle informazioni trattate in violazione di legge, l´aggiornamento, la rettifica o l´integrazione dei dati stessi.

La garanzia di effettività di tali diritti, nel caso in cui il titolare del trattamento non adempia alle richieste dell´interessato, è rimessa inoltre ai provvedimenti inibitori e coercitivi che l´Autorità garante può adottare anche su ricorso dell´interessato e che sono assistiti dal presidio della sanzione penale.

Particolarmente degna di nota è l´introduzione del diritto di rettifica, attraverso il quale si può ottenere concreta soddisfazione dell´interesse alla correttezza e alla veridicità dei dati prima ancora della loro eventuale messa in circolazione, interesse che rimaneva assolutamente pretermesso nel sistema di tutela antecedente alla legge n. 675/1996, il quale assicurava la sola tutela civile risarcitoria senza alcuna possibilità di un´effettiva riparazione o di una garanzia contro il ripetersi dell´evento dannoso.

Da un lato, quindi, l´interessato ha acquisito il diritto di chiedere ed ottenere senza ritardo l´aggiornamento, la rettificazione e l´integrazione dei dati erronei, inesatti, incompleti o non aggiornati (artt. 9 e 13 della legge). Dall´altro, nel caso di inadempimento anche parziale da parte del titolare o del responsabile, l´interessato può beneficiare dei poteri autoritativi del Garante, connotati in termini di assoluta novità nella materia della tutela dei diritti della persona.

Il Garante, infatti, oltre a inibire in termini più tradizionali quei comportamenti che consistono in un fare illecito, può indicare "le misure necessarie a tutela dei diritti dell´interessato" (art. 29, comma 4), e dunque impartire qualunque prescrizione atta a tutelare l´interessato da un comportamento omissivo o elusivo

12.4. Altre prerogative previste dalla legge n. 675 a tutela della riservatezza e bilanciamento con altri interessi
La legge n. 675/1996 offre una varietà di strumenti che permettono all´interessato di adire il Garante mediante segnalazioni, reclami e ricorsi, nonché con richieste volte ad accedere ai dati per i quali non è previsto l´accesso in forma diretta (artt. 14 e 32, comma 6).

Questa pluralità di strumenti ha favorito un quadro di garanzie anche nelle more della disciplina più compiuta contenuta nel regolamento sull´organizzazione e il funzionamento dell´Ufficio del Garante (approvato dal Consiglio dei ministri il 19 dicembre 1997 e di imminente pubblicazione), che fissa nel dettaglio le regole del contraddittorio relative ai ricorsi e cioè ai mezzi di tutela che presuppongono una trattazione secondo una procedura più articolata.

Il numero e l´importanza delle questioni sinora esaminate dal Garante (vedi cap. 4) rivela la diffusa sensibilità che la legge n. 675/1996 ha stimolato nella società civile.

Le pronunce del Garante si sono articolate, soprattutto, in segnalazioni con le quali sono state rappresentate ai titolari del trattamento le modifiche da apportare (art. 31, comma 1, lett. c)), oppure, per alcuni casi di accertata violazione di legge, in provvedimenti con i quali si è vietata la prosecuzione del trattamento (art. 31, comma 1, lett. l)).

L´entrata in vigore del citato regolamento offrirà un quadro più completo che permetterà all´interessato di modulare meglio le proprie azioni (ferma restando la possibilità di adire la magistratura civile e penale, nelle forme ordinarie). Si potrà infatti scegliere con maggiore consapevolezza tra gli strumenti di tutela che offrono flessibilità in termini di forme e di tempi di trattazione (si allude alle segnalazioni e ai reclami: art. 31, comma 1, lett. d)) e i mezzi che, nonostante una procedura minutamente regolata, possono risultare maggiormente incisivi, considerata l´immediata "esecutività" dei provvedimenti anche cautelari del Garante e la tutela penale prevista a sostegno del loro rispetto (artt. 29 e 37).

Il Garante ha valorizzato nei propri provvedimenti un approccio non autoritativo e ispirato alla "persuasione", attraverso "segnalazioni" dirette ai titolari e ai responsabili dei trattamenti. Si è invece circoscritto l´intervento più propriamente interdittivo ai casi di manifesta violazione di legge, nei quali si è applicato l´art. 31, comma 1, lett. l) (divieto del trattamento dei dati in ragione del concreto rischio del verificarsi di un pregiudizio per uno o più interessati).

Un rilievo notevole ha assunto, ad esempio, la facoltà dei cittadini di inoltrare segnalazioni al Garante concernenti, in particolare, l´inosservanza anche parziale degli obblighi di informativa e di richiesta del consenso, a seguito delle quali il Garante ha invitato vari titolari a modificare i formulari o modelli da loro predisposti, concedendo più volte un termine congruo per l´adeguamento.

Questa complessiva impostazione è sembrata in linea con le esigenze manifestate da più parti volte ad individuare, anche con la collaborazione dell´Ufficio del Garante, le modalità più idonee e snelle per applicare i principi di garanzia nei diversi, e spesso articolati settori, considerate le obiettive difficoltà di introdurre una nuova disciplina in contesti della vita economica nei quali si erano consolidate prassi che appaiono inadeguate; difficoltà che in alcuni casi rendono comprensibile l´aspirazione all´introduzione graduale delle nuove regole. Particolare attenzione è stata data dal Garante alla tutela dei diritti collegati alla riservatezza e, segnatamente, al bilanciamento dei diritti della personalità con la concorrente esigenza, avvertita anche dall´opinione pubblica, intesa ad evitare un arretramento della qualità e del livello di circolazione delle informazioni, specie di quelle detenute da organi pubblici ed accessibili in base alla legge n. 241/1990.

Le decisioni del Garante hanno evidenziato che il maggior grado di tutela apprestato al diritto alla riservatezza dalla legge n. 675/1996 non ha in alcun modo diminuito le prerogative di trasparenza e di libertà di informazione sia nei procedimenti della pubblica amministrazione, sia nei vari settori della vita sociale. Ad esempio, in risposta ad istanze e quesiti proposti anche da organi pubblici, il Garante ha riconosciuto la compatibilità delle nuove disposizioni con le norme di legge che prevedono:

a) la possibilità di rendere conoscibili al pubblico, in vario modo, alcune informazioni concernenti le classi stipendiali, le retribuzioni e le altre indennità corrisposte ad amministratori, dirigenti e lavoratori dipendenti ed autonomi da parte dei concessionari dei pubblici servizi (provvedimento del 16 settembre 1997);
b) la pubblicità della situazione patrimoniale dei titolari di determinate cariche pubbliche elettive o di incarichi direttivi (provvedimento dell´8 gennaio 1998);
c) la conoscibilità e la fruibilità da parte dei parlamentari dei dati personali contenuti nelle dichiarazioni e nei documenti forniti dall´AIMA, in applicazione della legge n. 204/1997 sulle quote-latte (provvedimento del 10 febbraio 1998).

Peraltro, sotto un altro versante, il Garante ha ribadito che la disciplina dell´accesso ai trattamenti prevista dalla legge n. 675/1996 non ha ampliato il regime della conoscibilità degli atti e dei documenti delineato da altre disposizioni legislative. Specificatamente, si è constatato che non sono stati attenuati i limiti all´accesso derivanti dalla legge n. 241/ 1990, la quale collega la conoscibilità degli atti detenuti dalle amministrazioni all´esistenza di un interesse personale e concreto in relazione alla tutela di situazioni giuridicamente rilevanti; e cioè in occasione di pareri richiesti, ad esempio, in tema di conoscibilità dei verbali di commissioni consultive presso la Presidenza del Consiglio dei ministri (provvedimento del 22 gennaio 1998).

 

13. I nuovi strumenti di tutela


13.1. Tre sedi di tutela del diritto alla riservatezza
Il settore dove si possono evidenziare meglio le scelte fondamentali del legislatore, e dunque verificare ricadute del tutto peculiari della normativa sull´ordinamento giuridico e sull´assetto degli interessi coinvolti, è quello del sistema delle garanzie e dei controlli apprestati per l´effettività della tutela.

Si registra, in definitiva, il superamento dello schema di tutela del diritto alla riservatezza imperniato unicamente sulla repressione dei comportamenti illeciti attraverso gli ordinari strumenti giurisdizionali, a favore di forme differenziate e progressive di tutela anche cautelare:

a) in una prima fase, affidata all´esercizio dei diritti di cui all´art. 13 della legge, il cittadino è posto in grado di esercitare il diritto di accesso direttamente nei confronti dei soggetti che trattano i dati a lui riferibili, e dunque innesca un primo meccanismo che è collegato all´obbligo di informativa da parte del titolare e del responsabile del trattamento, i quali devono attivarsi anche per dare riscontro alle richieste dell´interessato (artt. 10, 11 e 13);

b) nel caso in cui l´interessato non veda soddisfatte le sue richieste, la tutela dell´effettività delle situazioni giuridiche può spostarsi nella sede giurisdizionale o, attraverso il ricorso al Garante, in quella amministrativa (art. 29 della legge), la quale comporta l´eventuale esercizio dei poteri interdittivi del Garante anche sul piano cautelare.

Particolarmente significativa risulta la previsione di forme specifiche di tutela coercitiva e inibitoria, collegate agli obblighi di fare e non fare posti dalla legge n. 675/1996 e incanalate nel solco di un procedimento amministrativo avanti al Garante, ma ´rafforzate´ dalla contestuale previsione di sanzioni penali per l´inosservanza degli atti che le concretano.

Tale previsione non intacca minimamente la competenza del giudice ordinario, ma è frutto dell´avvertita opportunità di destinare forze e competenze specifiche in capo ad una Autorità caratterizzata da un forte connotato di indipendenza ed autonomia, al fine di creare forme immediate ed efficaci di tutela complementari e non in contraddizione con l´ordinario processo civile che resta, peraltro, l´unica sede esclusivamente "competente" per determinati aspetti (ad esempio, per il risarcimento del danno).

Ciò corrisponde all´esigenza di far fronte alla velocità di propagazione e alla potenziale ampiezza dei destinatari della diffusione dei dati, specie nel caso di trattamenti per via telematica, nonché all´opportunità di non inflazionare ulteriormente il già gravoso carico di lavoro della giustizia ordinaria.

L´istituzione e i poteri del Garante, con la contestuale previsione di meccanismi a garanzia sia dell´osservanza delle forme procedimentali, sia dei provvedimenti adottati, rappresentano una scelta "forte" del legislatore a favore di un sistema coerente, e denotano una novità assoluta nella tutela dei dati personali, affidata fino ad oggi alla sola garanzia giurisdizionale del risarcimento del danno alla riservatezza e, sotto il profilo penale, sostanzialmente limitata alla punibilità di alcune fattispecie.

Va inoltre osservato che gli artt. 21, comma 3 e 31, comma 1, lett.l) della legge n. 675/1996 estendono i poteri coercitivi del Garante, in sede cautelare o "definitiva", dall´ambito della garanzia amministrativa su ricorso all´attivazione di procedimenti - che possono iniziare anche d´ufficio - a tutela di uno o più interessati ovvero di rilevanti interessi della collettività non individualizzati;

c) la tutela successiva alla lesione della riservatezza è affidata al risarcimento del danno e alla previsione di alcune sanzioni anche penali. Tali sanzioni sono state previste in considerazione degli obblighi nascenti da convenzioni e atti comunitari, a seguito di un raffronto con le legislazioni degli altri Paesi e con le disposizioni sanzionatorie già vigenti in Italia che tutelano in varia forma il diritto alla riservatezza e la segretezza della corrispondenza. Particolarmente significativa è, oggi, la conferma della configurabilità di una responsabilità civile per trattamento illecito di dati personali (evidenziata dagli articoli 18 e 29, comma 9, della legge) che dimostra, sul versante delle sanzioni civili, la preferenza del legislatore (in atto anche per altre attività socialmente rilevanti) per i rimedi inibitori, riparatori e sanzionatori, anziché per i controlli preventivi.

La risarcibilità del danno "da computer", in assenza di una normativa specifica che inquadrasse la relativa responsabilità, era materia oggetto dell´elaborazione dottrinaria e giurisprudenziale, nel cui ambito si erano prospettate distinte ipotesi di utilizzazione di norme applicate analogicamente, quali l´art. 2050 del codice civile in tema di ´attività pericolose´ e l´art. 2049 del medesimo codice sulla responsabilità del produttore.

La legge n. 675/1996 ha ampliato la possibilità di riparazione del danno morale, che viene ad essere oggi risarcibile anche nei casi di inosservanza dei requisiti di liceità dei trattamenti, indipendentemente dalla presenza di fattispecie penalmente rilevanti.

Dal punto di vista processuale, invece, la prova liberatoria dinanzi al giudice civile è stata disciplinata in conformità all´art. 2050 del codice civile.

La legge, così, ha tenuto presente la necessità di agevolare la riparazione dei danni subiti per effetto della gestione dei dati, attività che per la sua potenziale invasività, velocità ed ampiezza di diffusione, è equiparata alle c.d. "attività pericolose" senza che ciò ne comporti, però, una valutazione negativa. Al contrario, l´ordinamento tiene conto dell´importanza sociale delle attività particolarmente rischiose, e si limita ad evitare che i danneggiati possano incorrere in difficoltà nel provare determinati elementi del fatto illecito.

Al tempo stesso, il legislatore ha avvertito la necessità di riconoscere il diritto al risarcimento del danno morale proprio nei casi che non sono sanzionati sul piano penale e che comportano più frequentemente un danno alla persona, in particolare nei casi di violazione dei principi di qualità, esattezza, completezza ed aggiornamento delle informazioni (art. 9).

Si è voluto quindi assicurare protezione a qualsiasi lesione della privacy collegata alla violazione delle disposizioni della legge, indipendentemente dalla rilevanza penale della fattispecie e si è superato così (in termini particolarmente innovativi per la tradizione giuridica italiana) lo schema risarcitorio tipico del danno non patrimoniale. Il sistema di garanzie offerte dalla nuova normativa è integrato, infine, dalla previsione di alcune sanzioni penali, temperate dalla rilevanza, di regola, delle sole condotte dolose e dall´introduzione, per alcuni casi, di un dolo specifico rappresentato dal fine di trarre un profitto per séo per altri o di recare ad altri un danno (artt. 34, 35, 36, 37 e 38).