Professor Rodotà, nella relazione dello scorso anno ha lanciato l’allarme sul commercio illegittimo dei dati personali. Cosa dirà questa volta al Parlamento?

Sarà una relazione tra passato e futuro: il bilancio dei primi quattro anni e il programma per i prossimi quattro. Anche se usare la parola "programma" in un settore in rapida evoluzione è impegnativo. Ci sono, comunque, questioni da affrontare in tempi stretti, come l’attuazione della delega governativa per regolamentare l’utilizzo dei dati personali in determinati settori: la videosorveglianza, Internet, il direct marketing, la pubblica amministrazione.

Settori a cui corrisponderanno altrettanti decreti?

Sarà il Governo a deciderlo.

Ma secondo voi?

Un solo grande decreto o una molteplicità di provvedimenti? Non abbiamo un orientamento definito. Dipenderà anche dal tipo di norme che si metteranno a punto. Può darsi, infatti, che per alcuni settori la questione possa essere affrontata con un numero ridotto di disposizioni.

State pensando a una cornice normativa da "riempire" con i codici deontologici?

È una delle possibilità.

La delega scade a fine anno. Ce la farete?

Penso di sì, anche se i decreti devono arrivare in Parlamento al più tardi all’inizio di novembre. I primi contatti con la presidenza del Consiglio sono, però, stati positivi.

Una delle deleghe riguarda Internet. Avete concluso l’indagine sui siti italiani?

No, è ancora in corso. Il fatto è che non ci si può fermare a valutare qualche schermata. Bisogna andare più a fondo per verificare che l’informativa e la richiesta di consenso al trattamento dei dati siano espressi in maniera adeguata. Anche perché le tecnologie di raccolta delle informazioni personali si fanno sempre più sottili.

C’è chi continua a reclamare la libertà della Rete.

La privacy non può essere considerata come un valore antagonista alle esigenze di mercato. E le imprese più avanzate, in particolare negli Stati Uniti, se ne sono rese conto. Hanno capito che adottare politiche di riservatezza rappresenta un valore aggiunto, che crea una relazione di fiducia con i consumatori. Ci sono, dunque, possibilità di alleanze virtuose tra i Garanti della privacy e settori avanzati dell’industria.

Il nuovo Governo è liberista. La legge 675/96 impone, invece, molti vincoli. Non teme frizioni?

Io parto, ovviamente, da una premessa diversa: non si tratta di vincoli, ma di strumenti necessari per la tutela di libertà fondamentali della persona. C’è, certo, l’esigenza di trovare un equilibrio tra l’iniziativa economica e i valori della libertà personale. Ma devo dire che in molti settori economici la contrapposizione sta venendo meno. C’è – ripeto – la possibilità di un’allenza virtuosa. Di recente, al Parlamento europeo ho partecipato a un’audizione in cui era presente anche la Nokia, che parlava a nome di un consistente numero di imprese europee. La società telefonica si è detta contro lo spamming, l’invio di pubblicità all’insaputa dell’utente. Il ragionamento è semplice: se infastidisco il mio potenziale cliente, rischio di perderlo.

L’alleanza virtuosa è più facile se la normativa da applicare è snella. Pensate di alleggerire la legge sulla privacy?

Sì, anche se non ci deve essere alcuna diminuzione delle garanzie della persona. Ma come abbiamo fatto fin dall’inizio, quando ci siamo resi conto che imporre la notificazione alla bocciofila di periferia era una pura idiozia, così ora stiamo lavorando per introdurre altre facilitazioni.

Cioè?

Per esempio, le norme penali. In molti casi, a nostro giudizio, sono eccessive. Se un adempimento è assistito da una norma penale, come si fa poi a fare "emergere" gli inadempienti?

Ma di fronte al carcere si dovrebbe essere poco disinvolti...

Mi spiego con un esempio relativo alla notificazione. Se non l’ho fatta, non cercherò di mettervi riparo. Perché in caso di notifica tardiva, il Garante è comunque obbligato a segnalare il ritardo all’autorità giudiziaria. E scattano le sanzioni penali. Ecco perché stiamo ragionando sulla possibilità di sostituire alla sanzione penale quella amministrativa, che consente di fare emergere un ravvedimento virtuoso.

Insomma, un condono?

No, per carità. Condoni niente. Ciò che cambia è proprio la norma di base. Ci sono, poi, altre situazioni – per esempio il mancato rispetto di un provvedimento del Garante o le misure minime di sicurezza – dove la sanzione penale è l’unico strumento sanzionatorio.

In questi primi quattro anni avete ricevuto circa 300mila notificazioni. Ma che fine ha fatto il registro dei trattamenti?

Esiste, anche se dobbiamo ancora mettere a punto le modalità tecniche per poterlo consultare dall’esterno. Nel registro sono state già inserite 270mila notifiche. Per le altre è stato stipulato un contratto con una società esterna.

Un po’ poco per quella che doveva essere una fotografia a tutto tondo dei trattamenti di dati personali effettuati in Italia.

Dobbiamo metterci d’accordo. Per avere una fotografia di tutte le informazioni trattate in Italia avremmo dovuto ricevere 10 milioni di notificazioni, con un effetto di accumulo che avrebbe paralizzato la nostra attività. Per questo abbiamo, a suo tempo, circoscritto l’obbligo della notificazione a determinate realtà. Certo, così non si ottiene la fotografia che si pensava.

Che senso ha, allora, questa mini-fotografia, tanto più che è stata scattata con un modello di notificazione "prolisso"?

Stiamo lavorando anche alla semplificazione del modello e per l’inizio del 2002 partirà la notificazione telematica. Che senso ha questo adempimento? Di certo lo aveva quando le banche dati erano poche e grandi e si poteva dare ai cittadini l’opportunità di conoscerne i contenuti, in modo da assicurare un controllo sociale. Oggi gli archivi sono milioni e l’utilità della notificazione è bassa. C’è, però, un vincolo comunitario di cui tener conto. Per questo, valuteremo se portare in sede di Garanti europei la proposta sull’abolizione del vincolo.

Finora, infatti, di blocco della trasmissione di informazioni personali verso Paesi privi di garanzie analoghe a quelle comunitarie si è solo parlato. Ma senza crederci più di tanto. E, infatti, Rodotà ammette: "il blocco non l’abbiamo mai preso in considerazione".

A settembre, però, si inizierà a fare sul serio, perché il gruppo dei Garanti della privacy europei voterà un provvedimento che vincolerà il trasferimento dei dati personali verso Paesi extra-Ue a ben precise condizioni. Che non sono solo i principi generali sanciti dalla direttiva europea 95/46/Ce e recepiti dai legislatori nazionali. Per quanto ci riguarda, è l’articolo 28 della legge 675 che disciplina la trasmissione di informazioni personali oltreconfine, imponendone il divieto quando l’ordinamento dello Stato di destinazione o di transito dei dati non assicura un livello di tutela della privacy adeguato o, nel caso di informazioni sensibili, pari a quello italiano.

A settembre, a queste regole generali si aggiungeranno quelle operative stilate dai Garanti europei alla luce del cosiddetto safe harbour (il "porto sicuro" in cui, secondo l’accordo raggiunto con gli Usa, "riparano" i dati personali quando viaggiano verso gli Stati Uniti; accordo al quale hanno aderito aziende come la Microsoft, la Hewlett Packard, la General Electric) e delle clausole contrattuali messe a punto dalla commissione europea a metà giugno scorso.

In pratica, cosa accadrà? "Agli operatori – spiega Rodotà – diremo: se volete trasferire dati personali verso Paesi extra-Ue dovete verificare se l’interlocutore fa riferimento al safe harbour (questo, nel caso l’interlocutore sia statunitense). Se, invece, si tratta di un altro Paese, dovete controllare se esiste una dichiarazione, da parte dei Garanti europei, di adeguatezza della disciplina nazionale dello Stato destinatario delle informazioni personali a quella comunitaria. Un simile riconoscimento è avvenuto per la Svizzera, l’Ungheria, il Canada. Non, per esempio, per l’Australia, che pure è un mercato importante. Nel caso dell’Australia, così come di tutti i Paesi extra-Ue per i quali non c’è stata la dichiarazione di adeguatezza, si farà riferimento alle clausole contrattuali fissate a livello europeo. Ultima ipotesi è quella di predisporre un contratto ad hoc e di sottoporlo al Garante nazionale per una valutazione".