Presidente della Commissione per la Legislazionee l'Autodisciplina di AIDiM (Associazione Italiana per il DirectMarketing) UNO SGUARDO D'INSIEME SULLA LEGGE: I PRECEDENTIED I FONDAMENTI NORMATIVI. Da qualche tempo la vita quotidiana delle aziendeitaliane sembra orientarsi verso una crescente attenzione peri problemi connessi alla tutela della privacy ; questa insospettabilesensibilità, che finalmente avvicina il nostro paese allatradizione culturale di molte altre nazioni, trova una sua immediatagiustificazione normativa : l'otto maggio 1997, infatti, èentrata in vigore la legge 31 dicembre 1996 n. 6751 intitolata alla "tutela della riservatezza delle personee di altri soggetti rispetto al trattamento dei dati personali". Va preliminarmente precisato che questa fonte legislativasi inserisce in un quadro normativo particolarmente ricco e variegato:in ambito europeo l'Italia era rimasto l'unico paese, con la Grecia,a non essere dotata di una specifica legislazione di settore relativaal trattamento dei dati personali. Peraltro questa anomalia italianarisultava particolarmente gravosa dopo che il Parlamento ed ilConsiglio dell'Unione Europea hanno emanato il 24 ottobre 1995 2 la direttiva 95/46/CE per la "tutela delle persone fisichecon riguardo al trattamento dei dati personali nonché allalibera circolazione di tali dati". La direttiva, fissandoil termine del 24 ottobre 1998 per l'emanazione delle normativedi recepimento da parte dei singoli stati membri, ha acceleratoun processo di elaborazione normativa che nel nostro paese avevamosso i suoi primi passi nel decennio precedente attraverso lacosiddetta "Commissione Mirabelli", la quale aveva elaboratoun primo progetto di legge sulla tutela dei dati personali. Ma vicende di varia natura avevano impedito di giungereall'emanazione di una normativa nei tempi previsti. In realtà la legge italiana, che rappresentail primo esempio di attuazione nazionale della normativa comunitariadel 1995, introduce finalmente nel diritto positivo del nostropaese il principio per il quale la riservatezza delle personefisiche e giuridiche (comprese quindi le società di capitali,le associazioni riconosciute e gli enti dotati di personalitàgiuridica) costituisce un diritto assoluto ed inviolabile, meritevoledi tutela attraverso la comminazione di sanzioni civili, penalied amministrative. Le finalità della normativa sono poste, percosì dire, in epigrafe alla legge e costituiscono il contenutodell'articolo 1 della normativa in esame: (Finalità e definizioni). La presente legge garantisce che il trattamentodei dati personali si svolga nel rispetto dei diritti e dellelibertà fondamentali delle persone fisiche, con particolareriferimento alla riservatezza e all'identità personale; garantiscealtresì i diritti delle persone giuridiche e di ogni altroente o associazione. Questo concetto deve essere tenuto sempre presentesia da parte dell'interprete sia da parte dei destinatari dellanormativa. Infatti non va mai dimenticato che l'immaterialitàdell'oggetto disciplinato dalla legge, insieme alla novitàdell'argomento per la cultura diffusa nella società italiana,possono dare adito a ricostruzioni di comodo della normativa inesame, la quale, se non viene correttamente ancorata a solidiprincipi di riferimento, rischia di franare sotto le spinte deicontrastanti interessi che si agitano attorno a queste norme. Un ulteriore caposaldo della normativa, che occorremettere espressamente in evidenza, è richiamato dall'articolo9 della legge, che vale la pena qui integralmente richiamare: (Modalità di raccolta e requisitidei dati personali). 1. I dati personali oggetto di trattamento devonoessere:
Quindi, la normativa, che potrebbe apparire agliocchi di un interprete disattento come un intricato ginepraio,in realtà fonda su questi due pilastri una costruzione che,almeno nelle sue fondamenta, possiamo definire solida e ben progettata.Che poi l'edificazione dei piani superiori di questo edificiosia coerente, conforme ai principi e funzionale per le esigenzedella vita quotidiana è una valutazione che oggi sarebbeprematura e, peraltro, non attiene alle esigenze di questo scritto. Va, poi ricordato, per inciso, che la violazionedell'articolo appena citato, per precisa previsione di legge costituisceelemento fondante della responsabilità civile del soggettoche non ha rispettato la previsione normativa: quindi chi violal'articolo 9 della legge n. 675/1996, nel caso in cui la sua condottaattiva od omissiva abbia causato un danno al titolare del datopersonale, sarà tenuto a risarcire quel danno (sia nellasua componente economica sia nel suo contenuto non patrimoniale).E non sembra cosa da poco. Evidenziati i due capisaldi della normativa, si puòtentare una generalissima rappresentazione della disciplina alsolo fine di prendere confidenza con il contenuto della leggee senza nessuna pretesa di esaustività, riservando a successiviinterventi l'approfondimento delle specifiche problematiche che il testo in commento determina per gli operatori economici. Appare utile esordire analizzando il concetto di "dato personale",cioè dell'oggetto del quale la legge si occupa e nei confrontidel quale spesso si manifestano errori di prospettiva e difettidi comprensione. Per poter comprendere quali conseguenze avranno lenorme che il legislatore italiano ha introdotto con la legge del31 dicembre 1996 n. 675, occorre preliminarmente comprendere checosa si intenda per "dato personale". Troppo spesso si dà per scontato questo aspettoche , invece, è essenziale per cogliere la portata dellalegge e le sue conseguenze. Solitamente si verifica una sovrapposizionetra questo aspetto del problema e le cosiddette "liste dinomi". Se ci affidiamo al riferimento normativo troviamoun primo parametro di valutazione. L'articolo 1 lettera c) della legge n. 675/1997 cosìqualifica il dato personale: dato personale è qualunque informazione relativaa persona fisica, persona giuridica, ente od associazione, identificatio identificabili, anche indirettamente, mediante riferimento aqualsiasi altra informazione, ivi compreso un numero di identificazionepersonale; Nella prassi è assai comune che il dato personalesi identifichi con il nome e il cognome della persona interessata.Questo non è corretto. Il nome della persona interessataè semplicemente lo strumento attraverso il quale un'informazionepuò essere attribuita ad un soggetto determinato. Può succedere che in una banca dati sianocontenuti solo il nome ed il cognome della persona interessata.A bene riflettere però anche in questo caso il nome e cognomedella persona interessata non sono il "vero" dato personale.Semmai l'informazione preziosa che qualifica la banca dati, nellaquale sono inseriti i dati anagrafici dell'individuo, è costituitadal fatto che in quella lista sono stati inseriti soggetti chesono accomunati da una caratteristica concreta (ad esempio: sonotutti acquirenti di prodotti per corrispondenza). Come si vede, quindi, occorre fare chiarezza su questopunto per evitare di fallire miseramente l'obiettivo della comprensionedella legge e di commettere conseguentemente comportamenti illeciti. Non manca chi sostiene che per evitare di incorrerenelle restrizioni della legge sarà sufficiente riportarenella banca dati solo il nome ed il cognome dell'interessato.In realtà questa soluzione denota un errore di fondo nell'esamedella disciplina introdotta dal legislatore. La banca dati costituisceinfatti un contenitore nel quale sono raccolti i soggetti chepresentano determinate caratteristiche e che, quindi, appartengonoad una determinata categoria. Quindi è il fatto che un nomee cognome siano inseriti in una banca dati a costituire un datopersonale il cui trattamento è disciplinato dalla legge. La legge non vuole che il formalismo prevalga sullasostanza. Questo elemento emerge in tutta evidenza se consideriamouna specie dei dati personali che la legge qualifica come "datisensibili". A questa specie di dati si riferisce in particolarel'art. 22 che li qualifica come dati personali idonei a rivelare l'origine razzialeed etnica, le convinzioni religiose, filosofiche o di altro genere,le opinioni politiche, l'adesione a partiti, sindacati, associazioniod organizzazione a carattere religioso, filosofico, politicoo sindacale, nonchÈ i dati personali idonei a rivelarelo stato di salute e la vita sessuale Nella definizione, in verità assai ampia e probabilefonte di problemi applicativi, la qualità di dato sensibileè collegata alla idoneità del dato a costituirestrumento di conoscenza per rivelarel'origine razziale ed etnica, le convinzioni religiose, filosoficheo di altro genere, le opinioni politiche, l'adesione a partiti,sindacati, associazioni od organizzazione a carattere religioso,filosofico, politico o sindacale e a rivelare lo stato di salutee la vita sessuale della persona. In linea teorica , quindi qualsiasi dato , anchequello in apparenza più neutro e innocuo, può esserestrumento idoneo a rivelare uno degli elementi indicati dall'articolo22 della legge n. 675/1996. Ad esempio, perfino il nome di unapersona può essere idoneo a rivelare alcuni aspetti "sensibili"della sfera personale di un soggetto. Analizzando il cognome degliabitanti di una città sarà possibile discriminare, conbuon margine di approssimazione, gli abitanti che hanno una certaorigine etnica. Quindi non è tanto il dato personale ad esserein sé sensibile; quanto, piuttosto, l'uso del dato stessoche un soggetto possa farne. In conclusione emerge in tutta evidenza il carattereplastico del concetto di dato personale (e consequenzialmentedi dato sensibile). I destinatari delle norme poste dal legislatoreper disciplinare questa materia faranno bene a sintonizzarsi immediatamentesu questa lunghezza d'onda ed a rendersi conto che in questo argomentonulla è scolpito sulla pietra. Nulla è statico ed immutabile;tutto è semmai flessibile ed in grado di adattarsi all'ingegnoumano. Conseguentemente anche le norme che si riferiscono a questamateria non possono essere lette in chiave formalistica ma debbonoessere colte nel loro aspetto dinamico e sostanziale.
3. I RIFLESSI APPLICATIVI DELLA LEGGE N. 675/1996SULLA CULTURA AZIENDALE Come è noto la legge n. 675 del 31 dicembre1996, pone a carico dei soggetti che effettuano attivitàdi trattamento dei dati personali ( cosiddetti "titolari")l'obbligo di effettuare una serie di adempimenti che hanno loscopo di permettere ai soggetti cui si riferiscono i dati personali(cosiddetti "interessati"), di esercitare i dirittiche la nuova legge ha loro attribuito. Questi adempimenti in parte producono effetti sullastruttura organizzativa del Titolare (ci si riferisce alla nominadel o dei Responsabili e degli Incaricati del trattamento, nonchÈall'individuazione delle misure di sicurezza idonee a garantirela massima riservatezza possibile alle operazioni di trattamento),in parte attengono ai rapporti del Titolare con soggetti esterniall'organizzazione aziendale (in particolare la notificazioneal Garante per la protezione dei dati personali cfr. Articolo7 della legge). Un ulteriore aspetto, forse il più delicato,sul quale la legge influisce in modo rilevante è quello relativoal rapporto diretto tra il Titolare del trattamento e l'Interessato.La nuova disciplina impone, in termini generali, di stabilireun "contatto" tra questi due soggetti. La ragione diquesta previsione risiede nel seguente principio: l'Interessato dispone di un diritto di controllosui dati che lo riguardano e può esercitare consapevolmentetale diritto solo se viene informato dell'esistenza di un trattamentosui suoi dati personali. Infatti in seguito a questa informazioneegli potrà liberamente decidere se prestare il suo consensoall'uso dei suoi dati personali, salvo alcuni casi eccezionaliin cui il consenso dell'Interessato non è richiesto dallalegge. Pertanto, in estrema sintesi, occorre chiarire cheda questo punto di vista, gli obblighi che la legge pone a caricodel Titolare sono di duplice natura: a) da un lato è posto l'obbligo di informarel'interessato oralmente 3 o per iscritto delle notizie elencatenell'articolo 10 della legge n. 675 / 1996 (con il limite, precisatonel secondo comma dell'articolo stesso, di non fornire nell'informazionegli elementi già noti alla persona che fornisce i dati personali); b) dall'altro è stabilito l'obbligo di chiedereil consenso espresso all'interessato per poter effettuarel'operazione di trattamento (salvi, come detto, i casi in cuiil consenso non è necessario ai sensi dell'articolo 12 dellasuddetta legge) Va ulteriormente precisato che un regime affine,ma lievemente diverso, è previsto per poter effettuare legittimamentele attività di comunicazione e diffusione deidati personali. Senza scendere nei dettagli, possiamo qui ricordareche la legge differenzia l'attività di trattamento dalleattività di comunicazione e diffusione dei dati disciplinandoin modo più rigoroso queste due ultime attività, presumibilmenteper la loro natura intrinsecamente lesiva della riservatezza:in particolare sono previsti più limitati casi di esclusionedella necessità del consenso (cfr. articolo 20 della leggen. 675 / 1996) e, soprattutto il regime transitorio previsto allarticolo 41 della legge è particolarmente rigoroso. Mentreper il trattamento, la necessità del consenso dell'interessatoè prevista solo per i dati raccolti dopo l'entrata in vigoredella legge (cioè dall'8 maggio 1997), per quanto attienealla comunicazione e la diffusione dei dati il consenso ènecessario anche per i dati raccolti prima dell'entrata in vigoredella legge. Questa diversificazione di disciplina non potrànon avere ripercussioni sul tipo di messaggio che il Titolaredovrà formulare all'interessato per informarlo come richiestodalla legge e per richiederne il consenso ( salvo che questo nonsia necessario): assai diverso sarà il contenuto della fraseda inserire nei messaggi promozionali o di raccolta dei dati aseconda dell'utilizzo che si intende fare dei dati così selezionati. Il Titolare, quindi, dovrà chiedersi preventivamenteche cosa intende fare con i dati raccolti (per esempio, se desiderasemplicemente raccoglierli per uso personale oppure vuole creareuna banca dati per svolgere attività di comunicazione o diffusionedei dati stessi); solo una volta che si sia data una rispostaprecisa a questa domanda potrà decidersi il contenuto dellafrase che occorre formulare, anche oralmente, per assolvere gliobblighi previsti dagli articoli 10, 12, 22 della legge in questione. Al di là di queste osservazioni , resta comunqueevidente la necessità di far maturare, al più presto,anche nelle aziende una cultura della riservatezza che permettadi comprendere che la privacy è un diritto inviolabiledel cittadino e che essa può diventare un servizio aggiuntivoche le imprese devono saper proporre ai loro potenziali clienti. Proviamo ora ad immaginare uno schema di sintesiche riassuma il processo logico da seguire per verificare il rispettodella legge n. 675/1996 da parte di una struttura aziendale organizzata.Sembra utile distinguere il problema in due precisi aspetti: dauna parte considerando il flusso dei dati personali all'internodell'azienda (per esempio nel passaggio da un ufficio all'altro)dall'altra prendendo in esame la dinamica dei dati personali dall'internoall'esterno dell'azienda (ad esempio nell'attribuzione di notizierelative ai propri clienti ad un fornitore della societàper la spedizione dei prodotti ordinati dai clienti stessi).
5. UNA RIFLESSIONE CONCLUSIVA: DIARIO DI UN GIURISTAD'IMPRESA NELL'ERA DEL DIRITTO ALLA RISERVATEZZA Desidero chiudere queste note introduttive sullanuova legge per la tutela della riservatezza nel trattamento deidati personali con una riflessione che traggo dalla mia quotidianaesperienza nei rapporti con le aziende. Le mie giornate di giurista d'impresa sono semprepiù spesso attraversate da telefonate allarmate di colleghie di uomini d'azienda i quali mi chiedono pareri sulle conseguenzeche deriveranno, per la loro attività, dalla legge sul trattamentodei dati personali. Ascolto sempre con attenzione le domande che mi vengonosottoposte e cerco di dare una risposta basata sulla conoscenzadel dato normativo e sulla ragionevolezza. Devo dire che in questi ultimi tempi le richiestesi sono moltiplicate e sembra quasi che l'entrata in vigore dellalegge abbia risvegliato anche coloro che hanno sempre sottovalutatol'importanza della nuova normativa. Per quanto mi riguarda l'allenamento compiutoin questi mesi mi permette di affrontare oggi con più consapevolezzala legge, che per molti è invece , ancora, un oggetto misterioso.Di questo ovviamente sono grato a quanti mi hanno posto i quesiti,spronandomi ad una costante riflessione sulla legge. Eppure, pur essendomi ormai "affezionato"a queste norme, dopo mesi di frequentazione quotidiana, condividol'esperienza di molti colleghi che non sono ancora riuscitia "chiudere il cerchio magico" che ogni legge, ben fatta,solitamente disegna nelle menti degli interpreti. A mio parere una legge, per certi versi, è similead un essere umano. Anche le norme hanno un'origine genetica chene condiziona il successivo sviluppo. E come gli individui, anchele leggi possono essere più o meno mature e adulte. Secondome il grado di maturità di una legge si misura in base aquesta verifica: una legge è matura se è precisanell'individuazione del suo principio ispiratore e riesce a tradurrecoerentemente questo principio nelle norme che la costituiscono. Solo se viene rispettato questo criterio la leggeè in grado di condurre una esistenza autonoma e di generarebuoni frutti. Se manca questa coerenza la legge stessa richiederàfrequenti verifiche e adattamenti e dovrà affidarsi alladiscrezionalità di giudici ed interpreti. Non so se la legge n. 675, nata il 31 dicembre 1996,sia già una legge matura ed "adulta". Sono dispostoad ammettere che le difficoltà interpretative riscontratenella mia esperienza quotidiana nascano anche dall'eccesso dizelo dei giuristi che, avendo deciso di affrontare questo argomentocon serietà e rispetto, si pongono problemi di coerenza delsistema e di rispetto dei principi fondamentali. Tuttavia, mi trovo nel concreto imbarazzo di individuarequale sia il vero principio ispiratore della legge, al di làdelle affermazioni teoriche, e spesso non riesco a ritrovare trale norme quello che mi aspetterei applicando gli schemi del ragionamentologico deduttivo: dal principio generale alle norme particolari. Passando dalla teoria alla pratica, nel caso di questalegge mi chiedo, solo per fare un esempio, per quale motivo ilnostro legislatore si sia voluto occupare della "tutela dellepersone e di altri soggetti rispetto al trattamento dei dati personali",ignorando invece il problema della libera circolazione dei datistessi. Non credo sia un caso che il titolo della direttivacomunitaria su questo argomento sia per l'appunto "Tuteladelle persone fisiche con riferimento al trattamento dei datipersonali e alla loro libertà di circolazione", mentre il nostro Parlamento ha individuato la legge 31dicembre 1996 n. 675 semplicemente come norme sulla "Tuteladelle persone e di altri soggetti rispetto al trattamento deidati personali". A mio parere i due aspetti della tutela della riservatezzae della libertà di circolazione dei dati personali devonoessere coerentemente valutati in un quadro unitario e regolatisulla base delle medesime norme, quasi come le due facce di unastessa medaglia . Solo così si può disciplinare inmodo equilibrato questa delicata materia e contemperare esigenzeapparentemente confliggenti. E questo, sembra di poter dire, illegislatore comunitario l'aveva compreso. Peccato che la nostralegge sembri proprio, come gli sceneggiati televisivi di anticamemoria, solo "liberamente tratta " dalla direttivacomunitaria. Cercherò, in ogni caso , di non considerareil problema delle norme poste a tutela del diritto alla riservatezzasoltanto nei suoi aspetti più esteriori ed immediati, cadendovittima del tipico vizio genetico della cultura contemporaneala quale è stata molto correttamente definita come "culturadell'ultimo segmento". Mi sembra, comunque, che la vicenda della legge italianasulla tutela della riservatezza sia la dimostrazione che èproprio vero quello che un illuminato giurista osserva a propositodel nostro sistema di produzione delle norme giuridiche: i testinormativi nascono perfetti nel chiuso degli uffici legislativi,creati da tecnici competenti e sensibili. Poi arrivano nelle manidel legislatore che, per adeguarli alle sue non sempre lineariesigenze, ne stravolge la coerenza interna e l'ordine logico erazionale. E inevitabilmente sorgono i problemi interpretativied applicativi. 1) La legge 31 dicembre 1996 n. 675, pubblicata sul supplementoordinario n. 3 della Gazzetta Ufficiale della Repubblica Italianan. 5 dell'8 gennaio 1997 consta di 45 articoli e prevede la suaentrata in vigore 120 giorni dopo la sua pubblicazione. Per alcunispecifici aspetti della normativa è stabilito che le disposizionidi legge si applicano a partire dal 1 gennaio 1998. Per ulterioririferimenti cfr. art. 45 L.675/1996. Peraltro la legge èstata già modificata dal decreto legislativo 9 maggio 1997n. 123. 2) La direttiva 95/46/CE del 24 ottobre 1995 è "relativaalla tutela delle persone fisiche con riguardo al trattamentodei dati personali, nonché alla libera circolazione ditali dati". 3) La possibilità di fornire l'informativa all'interessatoanche oralmente è stata introdotta dall'articolo 1 del decretolegislativo 9 maggio 1997 n. 123 che ha modificato l'articolo10 della legge 31 dicembre 1996 n. 675. La formulazione originariaprevedeva che l'informativa doveva essere formulata esclusivamenteper iscritto, con evidente aggravio procedurale per quelle attività(ad esempio il telemarketing) basate sull'utilizzo di messaggiesclusivamente verbali. |