Grazie, signor Presidente. Vorrei iniziare con un'affermazione molto personale. Non è certo la prima volta che ho occasione di parlare in Italia di problemi legati alla protezione dei dati. Ma è senz'altro la prima volta che, con mio grande piacere, non devo focalizzare le mie osservazioni sulla necessità di norme vincolanti che garantiscano una protezione efficace. Dopo tanti anni di lunghe e complesse discussioni, l'Italia si è unita al gruppo degli Stati dell'Unione Europea che hanno già approvato leggi in materia di protezione dati.

Vorrei anche ricordare che la legge italiana è stata adottata alla fine del 1996, ed è stata seguita a ruota da un altro ritardatario, la Grecia, all'inizio del 1998. Gli ultimi sono dunque stati i primi. Gli ultimi, perché Italia e. Grecia erano gli unici Stati membri dell'UE ancora privi di una legge in materia; sono però stati anche i primi, perché nessun altro Stato membro ha recepito la Direttiva con pari rapidità. Ebbene, se si esaminano i due testi di legge è facile individuare una differenza sostanziale che attiene direttamente alla nostra discussione. Mentre la legge italiana, quando si parla di trasferimento di dati, si uniforma alla Direttiva, la legge greca è decisamente più ribelle. Di fatto, essa rinuncia ad inserire una disposizione corrispondente all'art. 26 della Direttiva, e quindi rifiuta di accettare in modo esplicito la possibilità che il requisito dell'adeguatezza sia soddisfatto attraverso l'autodisciplina.

Tuttavia, anche se le due leggi scelgono un approccio diverso, esse possono essere interpretate correttamente, in ultima analisi, solo nel contesto di una scelta di politica generale compiuta dalla Direttiva che, per quanto menzionata esplicitamente nel preambolo, tende ad essere dimenticata - o, meglio, repressa. Il punto di vista assunto dalla Direttiva è che la protezione dei dati rappresenta un processo aperto. La Direttiva, in altre parole, non fornisce risposte definitive. Semmai, essa invita gli Stati membri ad adoperarsi costantemente per mettere a punto strumenti innovativi e migliori in grado di garantire una protezione efficiente. Solo in tal modo gli Stati membri potranno adempiere all'esortazione della Direttiva di considerare ed attuare la protezione dei dati in quanto strumento essenziale per garantire i diritti fondamentali degli interessati. E solo in tal modo gli Stati membri avranno la possibilità di adattare le norme relative al trattamento alle esigenze dei vari ambiti di trattamento e alle sfide poste da una tecnologia in continua evoluzione. In breve, Grecia ed Italia adottano un approccio diverso nel quadro di quello che la Direttiva chiama il "margine di manovra".

Il risultato, tuttavia, è quello che in questi giorni è stato descritto, soprattutto in rapporto alle conseguenze della Direttiva sul trasferimento di dati verso e dagli Stati Uniti, come una situazione di grave conflitto - un assunto che, a giudizio di alcuni commentatori, giustifica la conclusione che il 24 ottobre, la data entro cui gli Stati membri devono recepire la Direttiva, sarà il D-day della protezione dati. Si potrebbe anche andare oltre, affermando che, a causa delle discrepanze fra la legge italiana e quella greca, il confronto transatlantico si è ormai esteso all'Europa dando luogo ad un conflitto intraeuropeo di non minore gravità. Nessuna delle due ipotesi è corroborata dalla storia della protezione dati o dalle intenzioni della Direttiva e dagli sviluppi effettivamente intervenuti negli Stati membri.

Permettetemi di ricordarvi come stavano le cose quando la Direttiva non esisteva ancora. I trasferimenti internazionali di dati potevano essere meno frequenti, ma giocavano comunque un ruolo non trascurabile. Quindi, non sorprende il fatto che i paesi ove già sussistevano leggi in materia abbiano dovuto definire norme applicabili ai flussi di dati transfrontalieri. E per quanto possa sembrare sorprendente, il risultato fu che, nonostante le differenze fra le singole leggi, si giunse ad un approccio comune: il principio di equivalenza. Alcuni paesi, come quelli scandinavi, le ricompresero espressamente nella legislazione positiva; altri, come la Germania, vi dettero attuazione attraverso norme di legge e con l'attività delle Autorità di protezione dati.

E' in rapporto a tale principio che, ad esempio, l'Autorità svedese di protezione dati si oppose rigidamente al trasferimento di dati di cittadini svedesi verso il territorio britannico in relazione ad una particolare tessera sanitaria che si intendeva introdurre in tale Paese, motivando tale rifiuto con l'assenza in Gran Bretagna di disposizioni che garantissero la protezione dei dati. Per lo stesso motivo l'Autorità dell'Assia respinse la richiesta di un trasferimento di specifici dati sanitari verso i Paesi Bassi, dove i dati sarebbero stati sottoposti a trattamento per creare un registro internazionale relativo a determinate patologie. Le stesse considerazioni spinsero l'Autorità austriaca a vietare il trasferimento di dati relativi a dipendenti verso un altro paese in cui, a differenza dell'Austria, non esistevano norme che consentivano a rappresentanti dei lavoratori di compartecipare alle decisioni dei datori di lavoro in merito all'utilizzo dei dati che li riguardavano. Infine, il progetto della General Motors di centralizzare il trattamento dei dati dei dipendenti fallì per una serie di critiche sostanzialmente analoghe a quelle mosse dall'autorità austriaca. Si può dunque concludere senza alcun dubbio che i problemi di cui stiamo discutendo sono tutt'altro che nuovi.

Vorrei sottolineare anche un secondo punto di pari importanza. Man mano che alla prima generazione di norme omnibus facevano seguito regole che integravano volutamente i principi generali attraverso disposizioni settoriali contestualizzate, nella stessa misura aumentava la flessibilità delle norme e sempre più appariva possibile adattare le richieste di trasferimento alle specifiche caratteristiche del trattamento previsto. Il tentativo più recente di massimizzare tale flessibilità è rappresentato dall'inclusione dell'autodisciplina prima nella legge britannica e in quella olandese, e successivamente nella stessa Direttiva. Dunque, non è corretto supporre che l'autoregolamentazione sia virtualmente sconosciuta alla legislazione in materia di protezione dati.

Tuttavia, nè le leggi nazionali né la Direttiva considerano l'autodisciplina un'alternativa all'introduzione di norme vincolanti, possono favorire esplicitamente l'adozione di codici di autodisciplina, ma al contempo affermano con estrema chiarezza che si tratta di un ulteriore elemento normativo - e dunque non rappresenta una risposta soddisfacente e sufficiente ai problemi derivanti dal trattamento di dati personali. In altri termini, come affermato chiaramente dalla Direttiva, le norme elaborate dai titolari devono essere oggetto di una specifica procedura per essere accettate. In primo luogo, esse devono uniformarsi ai requisiti fissati nella legislazione in materia di protezione dati. Inoltre, sono considerate uno strumento normativo valido solo se sono state sottoposte all'esame delle autorità di controllo e nella misura in cui queste ultime vi abbiano dato approvazione.

E' per tale motivo che, nonostante la diversità degli approcci adottati, la legge italiana e quella greca riflettono una percezione comune del trasferimento di dati verso paesi terzi. Ogniqualvolta si debba decidere sull'ammissibilità di tale trasferimento, occorre rispettare l'ordine sancito anche dal Gruppo costituito ai sensi dell'art. 29: l'adeguatezza presuppone in primo luogo la presenza di norme vincolanti. Queste ultime non devono indubbiamente far parte di una legge generale sulla protezione dei dati nè devono coprire tutti gli aspetti regolamentati dalla legislazione degli Stati membri e dalla Direttiva, né fare proprie in tutto e per tutto le posizioni dell'Unione Europea. Tuttavia, il trattamento di dati personali deve essere soggetto a norme vincolanti basate su un testo legislativo. L'autodisciplina può dunque contribuire a particolareggiare e potenziare la protezione degli interessati, ma non può prendere il posto di norme vincolanti. Ancora una volta, si tratta di un elemento di regolamentazione aggiuntivo, e non di uno strumento da mettere sullo stesso piano delle prescrizioni di legge.

So bene che da più parti si tenta di dequalificare la richiesta di norme vincolanti descrivendole come il prodotto di una netta differenza culturale fra europei ed americani - per cui i primi sarebbero convinti seguaci di un intervento statale pressoché onnipervasivo, mentre i secondi sarebbero a favore di un approccio decisamente libertario che pone l'accento sull'autonomia decisionale dei soggetti interessati. Sono però convinto che tutte queste supposizioni non tengono assolutamente conto soprattutto delle esperienze maturate negli ultimi decenni. Per esempio, dove si trovano le fonti della legislazione europea in materia di antitrust o pari opportunità se non nella legislazione americana? E perché, contrariamente all'esempio prima menzionato in cui si prevedeva il trasferimento di dati sanitari verso i Paesi Bassi, le autorità di protezione dati non hanno alcuna difficoltà a consentire la trasmissione negli USA di determinati dati sanitari per scopi di ricerca, se non perché esistono norme precise e vincolanti per il trattamento di dati personali nel settore della ricerca? Inoltre, se la memoria non m'inganna, gli USA non hanno avuto particolari esitazioni ad emanare disposizioni vincolanti nel caso della crittografia, disposizioni che hanno fatto la propria comparsa anche in norme analoghe emanate successivamente da alcuni paesi europei.

L'insistenza sulle differenze culturali e, quindi, sulla priorità dell'autoregolamentazione non rappresenta altro, dunque, che un tipico meccanismo di autodifesa. Nei momento stesso in cui si manifesta la necessità di norme vincolanti, viene presentata quale alternativa reale e persino migliore l'autoregolamentazione - e questo per evitare, sia pure all'ultimo minuto, una decisione di natura legislativa. Non stupisce pertanto che esista una impressionante concordanza fra le argomentazioni utilizzate, sia che si considerino le reazioni suscitate in Germania e Gran Bretagna negli anni '70 e '80 o il dibattito attualmente in corso negli USA. La risposta non può dunque che essere identica a quella fornita quando la protezione dei dati muoveva i primi passi: quello che ci serve, per usare un'espressione fatta propria anche dal Commissario Monti, è un sistema complesso di norme e non una regolamentazione definita dai titolari e basata sulla loro valutazione dell'importanza e dei limiti del trattamento di dati personali.

Il rifiuto di ridurre le norme sull'utilizzo di dati personali a disposizioni fondate sull'autoregolamentazione riflette la convinzione espressa durante il dibattito parlamentare relativo alla Legge sulla protezione dei dati del Land Assia (1970), ed anche le considerazioni del Presidente della Repubblica francese nel suo discorso alla Commissione incaricata di redigere la prima proposta di legge francese nel 1974, le conclusioni della Corte costituzionale federale tedesca nella sentenza emessa nel 1983 in materia di censimento e, non in ultimo, le nette affermazioni della Commissione europea, del Consiglio e del Parlamento europeo in merito all'esigenza di una Direttiva. La protezione dei dati viene considerata, in tutti i documenti citati, una conditio sine qua non per la tutela e l'esercizio di diritti fondamentali, e quindi un elemento costitutivo delle società democratiche.

Vorrei concludere con alcune osservazioni su un tema diverso ma comunque profondamente legato alla nostra discussione: il ciberspazio. Internet rappresenta sia la piazza di un mercato che il foro. Spesso viene ancora vista come una personificazione della libertà di espressione, ma da lungo tempo ha trasceso questi limiti in direzione del mercato o, se vogliamo essere più espliciti, del bazar. Quello a cui stiamo dunque assistendo è la crescente trasformazione del singolo in un bene di consumo. Se pensiamo al caso di John Moore, l'ormai famoso paziente della University of California a Los Angeles che era stato immediatamente giudicato un vero e proprio tesoro per la medicina dai sanitari che lo avevano avuto in cura, e che solo dopo molto tempo e per puro caso scoprì che il suo sangue e le sue cellule erano divenuti una fonte inesauribile di brevetti, cosicché chiese di ricevere una porzione sostanziosa dei profitti, dovrebbe farci riconsiderare con attenzione quelli che sono gli scopi effettivi della protezione dati.

Il singolo che naviga per Internet non è mai solo. Egli lascia inevitabilmente tracce che vengono continuamente registrate e consentono quindi di comporre e ricomporre a piacere i dati che lo riguardano fino ad ottenere il profilo più vantaggioso in termini commerciali. Pertanto, quello che ora più che mai non possiamo evitare è un dibattito sugli effetti della crescente commercializzazione in rapporto alla protezione dei dati. Se si riduce ad un semplice diritto di proprietà, la sua giustificazione originaria, e finora la sola valida, viene a perdersi. L'unico quesito pertinente riguarda come garantire al singolo la possibilità di ottenere il prezzo migliore per i propri dati. Dunque, per quanto sia necessario un sistema di norme complesso e al contempo flessibile, come sostenuto dal Dr. Buttarelli, occorre che prima si faccia chiarezza sugli scopi di tale regolamentazione.

Inoltre, in passato più volte ci si è resi conto dei limiti di un approccio puramente normativo. Le deficienze di un approccio del genere sono state già evidenziate in rapporto alla decentralizzazione del trattamento ottenuta con l'aiuto dei personal computer ed all'utilizzo crescente delle cosiddette "carte intelligenti"; esse risaltano in misura ancora maggiore in rapporto ad Internet. In ultima analisi, l'unica possibilità per la protezione dati è costituita dalla scelta del legislatore di promuovere una tecnologia di potenziamento della privacy (PET) incorporandola sia nel software che nell'hardware. La globalizzazione delle comunicazioni impone inoltre un approccio normativo egualmente di ordine globale. Tuttavia, vorrei ribadire che i cambiamenti tecnologici, per quanto importanti, non dispensano dall'applicare quei principi che garantiscono il rispetto e la realizzazione di diritti fondamentali, se si vuole evitare che il cambiamento tecnologico comporti un cambiamento nella struttura della società.

Grazie.