M. Maglio: La nuova legge delega (6.10.1998 n. 344 ) e le prospettive future

Con la legge 6 ottobre 1998 n. 344 fissati i nuovi termini per la correzione e l'integrazione della legge 31 dicembre 1996 n. 675

L'INTEGRAZIONE E LA CORREZIONE DELLA LEGGE PER LA TUTELA DEI DATI PERSONALI: LA NUOVA LEGGE DELEGA E LE PROSPETTIVE FUTURE

di
Marco Maglio

(Avvocato - Presidente della Commissione per la legislazione e l'autodisciplina di AIDiM)

Premessa

Un aspetto qualificante del meccanismo normativo predisposto dal legislatore per disciplinare il trattamento dei dati personali è stato sicuramente l'approvazione della legge delega n. 676 del 31 dicembre 1996. Questa legge ha attribuito al Governo un'essenziale funzione di adeguamento delle norme generali sul trattamento dei dati personali emanate, non va dimenticato, sotto la pressione di una direttiva comunitaria e di rilevanti scadenze derivanti da accordi internazionali precedentemente assunti dal nostro Paese. Sembra quindi di poter dire che il legislatore italiano si sia ben reso conto della natura non perfetta ma perfettibile della legge n. 675 /1996, affidando al Governo il compito di emanare disposizioni integrative e correttive della legge sulla tuela dei dati personali, come esplicitamente recitava la legge delega n. 676/1996, entro il termine - peraltro privo di apparato sanzionatorio - di diciotto mesi dall'entrata in vigore della stessa legge delega.

Venuta a scadere l'efficacia di questo strumento normativo il 23 luglio 1998 senza che la gran parte dei provvedimenti integrativi avesse visto la luce, il Parlamento ha deciso di reiterare il provvedimento che attribuisce al Governo la funzione di legislatore delegato fissando la nuova scadenza per il suo esercizio al 31 luglio 1999. Nella sostanza la legge delega 6 ottobre 1998 n. 344 definisce l'ambito dell'azione correttiva ed integrativa del Governo richiamando i medesimi settori di intervento indicati nella prima legge delega. Tuttavia è stata introdotta un'importante innovazione per quanto attiene al meccanismo di approvazione dei decreti legislativi: essi dovranno infatti essere emanati previo parere delle Commissioni permanenti del Senato della Repubblica e della Camera dei Deputati competenti per materia. Questo parere dovrà essere espresso entro trenta giorni dalla richiesta, indicando specificamente le eventuali disposizioni non ritenute corrispondenti ai principi e ai criteri direttivi contenuti nella legge di delegazione. In ogni caso, per evitare inerzie e ritardi, il Governo procederà comunque alla emanazione dei decreti legislativi qualora il parere non sia espresso entro trenta giorni dalla richiesta.

Con questa previsione il Parlamento ha scelto di riassumere una funzione di verifica dell'operato del Governo, il quale, in base alla precedente legge delega, aveva invece piena autonomia rispetto al Potere legislativo per l'emanazione dei provvedimenti integrativi e correttivi.

In senso generale va osservato che l'argomento della "imperfezione genetica" della legge n. 675/1996 è stato solitamente cavalcato dai tanti detrattori della legge per sostenerne l'intrinseca debolezza e per affermarne l'implicita inapplicabilità in attesa che il legislatore delagato eserciti i suoi poteri. Questa interpretazione è decisamente da sconfessare. Innanzitutto perché si scontra con i principi generali del nostro ordinamento che impongono l'applicazione ed il rispetto delle leggi formalmente vigenti; inoltre questa concezione della legge n. 675/1996 come legge ancora "in itinere" rischia di creare ritardi e spiacevoli equivici che limiterebbero fortemente nel nostro paese il raggiungimento di una maggiore consapevolezza del rispetto della riservatezza e dell'equilibrato rapporto tra individuo e collettività.

Peraltro gli interventi del Legislatore delegato finora hanno in gran parte rimediato a macroscopiche dimenticanze o sviste del legislatore ordinario. E le critiche espresse sulla sostanza di alcuni interventi specifici non devono far dimenticare la validità di questo meccanismo di perfezionamento che rappresenta uno strumento di forte spinta verso l'affermazione di un testo normativo che recepisca le esigenze di tutti gli operatori che trattano dati personali e consenta di realizzare in concreto le esigenze di una piena tutela del diritto alla riservatezza delle persone rispetto al trattamento dei dati personali.

Inoltre la complessità e la delicatezza della materia oggetto della legge n. 675/1996, accompagnata dalla sostanziale inesistenza nel nostro paese di una cultura della riservatezza che sappia sostenere questo testo normativo, rendono necessario un periodo di rodaggio delle norme per poter comprendere come si comportino nel caso concreto e per apportare le necessarie modifiche per renderle efficaci ed efficienti, anche dal punto di vista tecnico.

Per un corretto esercizio della delega legislativa è necessario evitare che questo mezzo di perfezionamento venga utilizzato per finalità diverse da quelle per le quali è stata concepita e diventi lo strumento attraverso il quale singole categorie di soggetti o gruppi di potere si sottraggano dalla rigorosa affermazione dei principi contenuti nella legge 675/1996.

Precisata la rilevanza di questa delega al Governo, il quale diventa quindi il soggetto anche normativamente responsabile della formazione della coscienza sociale della riservatezza nel nostro paese, esaminiamo più da vicino le caratteristiche di questo testo.

L'ambito di applicazione della legge delega

Il Governo della Repubblica ha ricevuto dal Parlamento una delega per emanare, entro il 31 luglio 1999, uno o più decreti legislativi recanti disposizioni integrative della legislazione in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali, con l'osservanza dei seguenti principi e criteri direttivi:

a) specificare le modalità di trattamento dei dati personali utilizzati a fini storici, di ricerca e di statistica, tenendo conto dei principi contenuti nella raccomandazione n. R. (83) 10, adottata il 23 settembre 1983 dal Consiglio d'Europa, e successive modificazioni, con particolare riferimento alla durata della loro conservazione ed alle garanzie adeguate prescritte dalla normativa comunitaria riguardo ai dati raccolti per scopi diversi da quelli statistici, storici o scientifici e successivamente conservati per tali, diverse, finalità;

b) garantire la piena attuazione dei principi previsti dalla legislazione in materia di dati personali nell'ambito dei diversi settori di attività, nel rispetto dei criteri direttivi e dei principi della normativa comunitaria e delle seguenti raccomandazioni adottate dal Consiglio d'Europa:

- n. R. (81) 1, del 23 gennaio 1981, in materia di dati sanitari, e successive modificazioni;

- n. R. (85) 20, del 25 ottobre 1985, sui dati utilizzati per fini di direct marketing;

- n. R. (86) 1, del 23 gennaio 1986, sui dati impiegati per scopi di sicurezza sociale;

- n. R. (89) 2, del 18 gennaio 1989, sui dati utilizzati per finalità di lavoro;

- n. R. (90) 19, del 13 settembre 1990, in materia di dati personali utilizzati per finalità di pagamento e di altre operazioni connesse;

- n. R. (91) 10, del 9 settembre 1991, sulla comunicazione a terzi dei dati personali detenuti da organi pubblici;

- n. R. (95) 4, del 7 febbraio 1995, sulla protezione dei dati personali nel settore dei servizi di telecomunicazione, con particolare riguardo ai servizi telefonici;

c) razionalizzare il trattamento economico del personale del Garante per la protezione dei dati personali in relazione a quello previsto dall'ordinamento per ogni altra Autorità di garanzia secondo il tendenziale criterio dell'uniformità a parità di responsabilità costituzionale;

d) individuare i presupposti per l'attribuzione di un numero di identificazione personale, ivi compreso il codice fiscale, e per il trattamento del medesimo e delle informazioni ad esso connesse, nonché per il collegamento con altri dati, sentita l'Autorità per I'informatica nella pubblica amministrazione, prevedendo adeguate garanzie con riferimento ai numeri di identificazione personale connessi a dati di carattere sensibile o idonei a rivelare i provvedimenti relativi a procedimenti penali;

e) stabilire le modalità e i termini per l'aggiornamento, per la rettificazione e per le altre modificazioni dei dati effettuati in conseguenza dell'esercizio dei diritti delI'interessato o di un provvedimento del Garante per la protezione dei dati personali, quando i dati personali sono riprodotti su disco ottico;

f) prevedere forme semplificate di notificazione del trattamento dei dati personali e del loro trasferimento all'estero, con particolare riguardo ai trattamenti non automatizzati di dati diversi da quelli sensibili e da quelli di cui all'articolo 686 del codice di procedura penale, ed ulteriori casi di esonero dal relativo obbligo per trattamenti da individuare preventivamente che, in ragione delle relative modalità o della natura dei dati personali, non presentino rischi di un danno all'interessato, ferma restando l'applicabilità delle altre disposizioni di legge;

g) prevedere forme di semplificazione degli adempimenti a carico delle piccole imprese e di coloro che esercitano imprese artigiane;

h) estendere l'applicazione delle disposizioni relative al trattamento dei dati da parte di chi esercita la professione di giornalista, ad eccezione delle disposizioni concernenti i dati sensibili, ai soggetti che esercitano con carattere di continuità l'attività di pubblicista o di praticante giornalista;

i) adattare, ai trattamenti in ambito pubblico esclusi dall'applicazione della legislazione in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali, i principi desumibili dalla medesima legislazione, sulla base dei seguenti criteri:

- pieno recepimento dei princìpi medesimi;

- rispetto dei principi stabiliti dalla Convenz¡one n. 108 sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale, adottata a Strasburgo il 28 gennaio 1981 e resa esecutiva con legge 21 febbraio 1989, n. 98, nonché della normativa comunitaria, tenendo conto dei criteri di cui alla raccomandazione n. R. (87) 15, adottata il 17 settembre 1987 dal Consiglio d'Europa;

- ricognizione puntuale dei soggetti pubblici titolari dei trattamenti esclusi, nonché dei medesimi trattamenti;

- introduzione degli adattamenti resi indispensabili dalla specificità degli interessi perseguiti dai suddetti trattamenti in ambito pubblico;

- particolare considerazione per trattamenti di dati che implichino maggiori rischi di un danno all'interessato;

- specificazione delle modalità attraverso le quali si svolge il controllo sul rispetto delle disposizioni di legge che presiedono ai suddetti trattamenti in ambito pubblico;

l) prevedere norme che favoriscano lo sviiuppo dell'informatica giuridica e le modalità di collegamento, per l'autorità giudiziaria e per l'autorità di pubblica sicurezza, con le banche dati della pubblica amministrazione;

m) mantenere il raccordo tra le attività del Garante per la protezione dei dati personali e quelle dell'Autorità per l'informatica nella pubblica amministrazione, anche modificando le disposizioni della legislazione in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali, nonché l'armonizzazione dello stato giuridico del relativo personale;

n) stabilire le modalità applicative della legislazione in materia di protezione dei dati personali ai servizi di comunicazione e di informazione offerti per via telematica, individuando i titolari del trattamento di dati inerenti i servizi accessibili al pubblico e la corrispondenza privata, nonché i compiti del gestore anche in rapporto alle connessioni con reti sviluppate su base internazionale;

o) individuare i casi in cui, all'atto della comunicazione o della diffusione di dati personali provenienti da archivi, registri, elenchi, atti o documenti tenuti da pubbliche amministrazioni, debba essere indicata la fonte di acquisizione dei dati.

Va precisato che i provvedimenti operanti in questo settore dovranno avere natura meramente integrativa, lasciando invariato l'impianto generale fissato dai principi generali della legge n. 67571996.

Peraltro la legge delega precisa anche lo spazio e l'ambito delle misure e disposizioni espressamente correttive (quindi modificative) della legislazione in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali. Infatti il Governo della Repubblica è delegato ad emanare, sempre entro il 31 luglio 1999, uno o più decreti legislativi che contengano disposizioni correttive della legislazione in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali, con l'osservanza dei seguenti princìpi e criteri direttivi:

a) rispetto dei principi e della impostazione sistematica della legislazione in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali;

b) introduzione delle sole correzioni a tale legislazione che, dopo il primo periodo di applicazione della medesima, sentiti il Garante per la protezione dati personali e, nelle materie di sua competenza, l'Autorità per l'informatica nella pubblica amministrazione, si dimostrino necessarie per realizzarne pienamente i principi o per assicurarne la migliore attuazione o per adeguarla all'evoluzione tecnica del settore.

La legislazione delegata nel quadro del sistema normativo vigente

Il quadro generale delineato dalla legge delega n. 344/1998 prospetta una rapida evoluzione delle norme poste a tutela della riservatezza della persona nel trattamento dei dati personali. In particolare il meccanismo che consente al Governo, con parere delle Commissioni Parlamentari competenti, di ritoccare, per un periodo di tempo predeterminato, la disciplina dettata dalla legge n. 675/1996 offre la possibilità di attribuire efficacia pratica ad una normativa di difficile interpretazione.

Non si può tuttavia nascondere che il prezzo che, in nome della perfettibilità normativa, rischia di essere pagato dal sistema giuridico in termini di stabilità e coerenza sia alto. Se la delega per le correzioni e le integrazioni dovesse trasformarsi, attraverso una sua reiterata riapprovazione all'atto della scadenza, in una mera dilatazione del termine di recepimento delle norme, si porrebbero indubbiamente dei problemi di liceità costituzionale in relazione all'articolo 76 Cost. e sarebbe gravemente compromesso il canone della certezza del diritto. La degradazione delle norme generali contenute nella legge n. 675/1996 al rango di mere "disposizioni transitorie", vincolanti fino all'entrata in vigore delle norme correttive, è un pericolo concreto che può minare le fondamenta della cultura della riservatezza e del rispetto che, con fatica, si va affermando nella coscienza sociale, prima che nel nostro ordinamento giuridico.

Milano, ottobre 1998