PRIVACY: L’IDENTITÀ PERSONALE NELLA SOCIETÀ DELL’INFORMAZIONE.
La continua evoluzione di contenuto del diritto alla privacy, di per sé sensibile alla fluidità dei valori sociali e soprattutto alla diffusione della più avanzata tecnologia, ha imposto, nel corso del tempo, un progressivo adeguamento delle forme di tutela rispetto alle possibili violazioni della riservatezza¹.

In questi anni la privacy assume connotati molteplici. La dignità, la libertà di pensiero, la salute personale, il libero esercizio di un culto religioso o della propria sessualità, trovano oggi un comune denominatore nel riconoscimento in capo alla persona di auto determinarsi nella propria sfera privata senza subire intromissioni dall’esterno.

La possibilità di compiere delle scelte indipendenti, specchio di una società che tende all’individualismo, passa attraverso i concetti di riservatezza ed intimità. Configurare tali concetti significa stabilire i confini tra sfera privata e sfera pubblica, ovvero tra l'individuo e il sociale. L'individuo negozia continuamente le proprie informazioni personali che divengono il bene principale di scambio per poter accedere a determinati servizi. Il singolo deve decidere in quale misura intende partecipare alla società civile, e di conseguenza cedere le proprie informazioni in quantità e qualità necessarie al conseguimento del proprio interesse. L’accesso ad ogni tipo di servizio è, dunque, condizionato dal rilascio di determinati dati.

Ciò offre la possibilità a chi acquisisce tali dati di catalogare informazioni e creare una pluralità di schede personali. In sostanza vengono ad esistere agenti che raccolgono e gestiscono banche dati, suscettibili di interesse da parte di molti.

Quella che gli americani chiamano dossier society è dunque una nuova dimensione civile fatta di rapporti sociali e comunicazioni tenute attraverso le evolutissime reti tecnologiche.

Una realtà così descritta mette in discussione il ruolo giuocato dal diritto, come a suo tempo notava Norberto Bobbio:<<nella moderna società industriale sta verificandosi una possibile riduzione della funzione specifica del diritto come mezzo di controllo sociale e ciò per varie ragioni: aumento dei mezzi di comunicazione di massa ed introduzione di mezzi di controllo sociale di tipo persuasivo e non coattivo la cui efficacia è affidata al condizionamento psicologico>>².

Al contrario il diritto mantiene una funzione propria, quella di tutelare l’individuo dal condizionamento psicologico. Il giurista, pertanto, deve predisporre un adeguato sistema di protezione della libera capacità di autodeterminazione dell’individuo in modo tale da consentirgli la volontaria partecipazione alla società nella misura da lui stesso stabilita.

Le recenti innovazioni nel settore informatico, in particolare la larga diffusione avuta di Internet nella quotidianità, modificano nuovamente il concetto di Privacy. L'utente della Rete nutre due esigenze fondamentali di tutela: la segretezza della propria corrispondenza informatica e, soprattutto, evitare che altri si introducano nella propria banca dati informatizzata e personale³

Il concetto di riservatezza, pertanto, assume rispetto al fenomeno delle telecomunicazioni altri connotati. Infatti, la tecnologia informatica ha cominciato a giocare un ruolo importante, a volte vitale, in tutti i settori della società organizzata, tanto da costituire un settore autonomo dell’economia: "il settore quaternario"⁴. Di conseguenza la riservatezza è diventata un aspetto essenziale anche della tecnologia informatica e, quindi, di Internet.

Ampia la categoria di rischi cui viene esposta la persona e i flussi di informazioni che la riguardano. L’insufficienza dei sistemi informatici di protezione delle banche dati, vittime delle intrusioni degli hacker, i pirati informatici, la mancanza di una regolamentazione che tuteli la segretezza della corrispondenza elettronica, la possibilità per chiunque di pubblicare ogni genere di notizia, informazione, immagine od opinione senza essere sottoposto a nessun filtro, ne sono alcuni esempi.

Nel World Wide Web usuale è scambiare le informazioni personali per ottenere la attivazione di un servizio nella maggior parte dei casi gratuito (ad esempio una casella postale elettronica, e-mail), o per partecipare a Newsgroup, cioè siti di discussione. Spesso questi siti consentono a scienziati o professionisti, posti in diverse località del globo, di confrontare e approfondire assieme tematiche, o sperimentare le tecniche più avanzate. Altre volte questi siti possono consentire l'incontro di gruppi xenofobi, di cultori della pedofilia, o promuovere scopi contrari all'ordinamento positivo in genere.

Peraltro, ogni dato immesso nella rete costituisce un segnale che può essere seguito, rintracciato e decodificato. La strumentalità di un siffatto monitoraggio alla soddisfazione di interessi "occulti" è fin troppo chiara.

Del resto la società dell'informazione, dei media, ci insegna come i dati sulle persone rappresentano la vera materia prima per chiunque persegue strategie industriali o commerciali, per i rapporti con i consumatori e per il controllo dei dipendenti, in generale per chiunque aspiri ad esercitare un potere abusivo sugli altri⁵

Quella passiva, che non vuole intromissioni di terzi dall'esterno nella propria sfera privata, e quella attiva di chi, rilasciando i propri dati, abbia paura di accedere a servizi e accessori non voluti, magari per effetto di un monitoraggio pirata di agenti economici, o di subire ritorsioni da parte delle autorità governative, compreso l'ostracismo sociale, o di chi abbia solo il desiderio di preservare la propria privacy quanto più possibile. L’uso di pseudonimi, peraltro, in campo letterario o scientifico è pratica oramai comune ed assodata nella cultura occidentale⁶.

In questo senso ulteriore aspetto del fenomeno, non per questo di minore importanza, è rappresentato dalla possibilità di manifestare liberamente le proprie opinioni, diffondendole nel Web.

Ma la libera manifestazione del pensiero, come è noto ad ogni giurista, incontra gravi limiti a confronto con gli altri diritti fondamentali della persona. Il bilanciamento che deve essere realizzato incontra gravi problemi sotto il profilo di una elaborazione del sistema di tutela giuridica, ovvero nella individuazione degli istituti già presenti nell'ordinamento e suscettibili di applicazione regolamentare al fenomeno in parola.

Ambedue, tuttavia, sembrano opera irrealizzabile per via del difficile superamento di una serie di ostacoli. Infatti, elaborare un nuovo sistema normativo incontra innanzi tutto la necessità una disciplina uniforme a livello internazionale. La circolazione dei dati a mezzo Internet opera con flussi transfrontalieri, il che pone un problema di dotare di extraterritorialità la tutela giuridica. Peraltro, la regolamentazione della "Rete" spaventa coloro che temono il pericolo di una eccessiva rigidità della disciplina, soprattutto con riferimento ai diversi approcci concettuali adottati nei singoli Paesi nei confronti della Privacy. Gli U.S.A. per esempio hanno sempre preferito un approccio liberistico, deregulation, con le comunicazioni proprio per favorire lo sviluppo dell'industria in questo settore. La tutela ai diritti della persona viene data in questo paese dalla sola giurisdizione delle Corti e da una debole struttura normativa.

I paesi aderenti alla Unione Europea, invece, perseguono una elaborazione normativa per principi che muove dalla Dichiarazione Europea per i diritti dell'uomo (art.8)⁷ passa per l'applicazione della Direttiva 95/46 CE, relativa alla tutela delle persone in riferimento al trattamento dei dati personali e alle banche dati, recepita in Italia con ala legge 675/96, che istituisce una Autorità Garante della Privacy, organo amministrativo indipendente, con giurisdizione alternativa a quella del giudice ordinario. E', questa, una Autorità che promuove l'elaborazione di codici deontologici nei vari settori dell'informazione, dell'editoria, che controlla e dirige l'applicazione della normativa nei vari ambiti della Pubblica Amministrazione, che risponde alle interrogazioni dei privati e produce raccomandazioni alle imprese. L'estensione dell'indicata disciplina normativa al settore delle telecomunicazioni è stata attuata con l'art.14 della Direttiva 97/66 UE.

L'approccio comunitario europeo, ha riscosso indubbiamente risultati migliori, tanto da spingere la UE a chiedere a viva voce agli U.S.A una regolamentazione più capillare del settore delle telecomunicazioni che adegui la sicurezza e riservatezza dei flussi di dati transfrontalieri a quella approntata dai paesi europei⁸. Di fatto rileva che i principali operatori Internet, provider e server di gestione della Rete, hanno la loro sede negli Stati Uniti d'America.

Quanto all'estensione dei mezzi di tutela giuridici, già esistenti nell'ordinamento, sorgono problematiche affini a quelle appena rappresentate, in ordine alla extraterritorialità dei soggetti operanti su Internet, e soprattutto alla loro pluralità nella gestione della stessa informazione e distribuzione. Può, infatti, aversi ad esempio il Provider in U.S.A. ed il server su cui si trasmette in Italia o in Nuova Guinea. Ciascuno di questi soggetti può gestire, conservare, modificare o fare altro uso della stessa informazione. In che modo allora regolamentare l'ambito di operatività di tutti questi soggetti, soprattutto sotto il profilo delle responsabilità e della relativa tutela giurisdizionale?

LINEE DI AZIONE E LIVELLO MINIMO DI PROTEZIONE DELLE BANCHE DATI
L’impianto normativo oggi esistente in Italia in materia di privacy, per quanto recente, non riesce a fare fronte al fenomeno Internet. Con la legge 675/1996 si è venuto a sancire la tutela civilistica della riservatezza nel trattamento dati da parte dei gestori dell'informazione. La stessa legge sancisce le responsabilità per chi viola la riservatezza (art.18), prevedendone la risarcibilità del danno secondo quanto dispone l'art. 2050 in tema di attività pericolose. Ma il danno "morale"(art.29, II co.), cui si riferisce la legge, anche per la violazione delle modalità del trattamento previste dall'art.9, deriva dall'illecito utilizzo dei dati trattati in violazione del principio di finalità del trattamento e del consenso in merito rilasciato dal titolare dell'informazione⁹ Il "danno da informazione", dunque, è frutto di una tutela successiva al verificarsi dell'illecito.

Questo tipo di tutela rimane di difficile applicazione ai fenomeni illeciti commessi sul Web, rispetto ai quali è orientamento Comunitario l'istruzione di codici di autodisciplina degli operatori telematici, e perciò un atteggiamento tutelare di tipo preventivo dell'informazione. Del resto, lo schema del consenso al trattamento dei dati personali, nonché il rispetto del principio di finalità, non trovano applicazione nei confronti dei navigatori del Web, alcuni dei quali operano con lo scudo dell'anonimato o attraverso atti di pirateria o di monitoraggio fraudolento.

L’indirizzo seguito sino ad oggi è stato quello segnato dal "Piano pluriennale d’azione comunitaria su Internet" approvato dal Consiglio d’Europa a partire dal 10 gennaio 1998 e concluso al 31 dicembre 2001. Il Piano proponeva di promuovere l’uso sicuro di Internet attraverso l’autodisciplina dei soggetti, soprattutto industria ed utenti, il filtraggio, la valutazione e la sensibilizzazione, attraverso un opera di cooperazione finalizzata alla elaborazione di soluzioni tecniche efficaci valide per tutto l’ambiente comunitario e compatibili con quello esterno.

Cooperazione ed autodisciplina rappresentavano per il Piano elementi essenziali ai fini della limitazione dei dati a contenuto illegale su Internet. La limitazione deve andare di pari passo con i contenuti a riguardo espressi dalle Raccomandazioni del Consiglio sulla tutela dei minori e della dignità umana.

Pertanto, i sistemi operativi realizzati dai gestori in ottemperanza al piano di azione devono comprendere la capacità di valutare il contenuto dell’informazione e predisporre dei filtri con i quali l’utente possa selezionare il contenuto desiderato. A tal proposito è stata creata una rete europea di Hot-line, ossia dei centri che consentono agli utenti di segnalare siti a contenuto ritenuto illegale. Questi centri hanno consentito lo scorso anno di individuare un considerevole numero di siti per pedofili, smantellati poi attraverso l’opera congiunta di un team di pirati informatici selezionato dal Ministero dell’Interno Italiano. Problemi, tuttavia, sorgono in merito alla competenza relativa alla persecuzione e punizione dei responsabili della circolazione illegale di informazioni. Ma di questo ci occuperemo più avanti.

Le Linee d’Azione esposte devono essere completate con una attività di sensibilizzazione del pubblico che si affaccia su Internet, operata per mezzo delle associazioni sovranazionali e nazionali, soprattutto dei consumatori e delle istituzioni educative.

La carta dei principi ispiratori dell’azione dei Paesi membri dell’UE ha avuto forte riscontro nei diversi contesti nazionali e soggiace oggi alla valutazione finale dei risultati prodotti.

In Italia le Linee guida hanno ricevuto un rafforzamento normativo già introdotto dal Legislatore della 675/1996 sotto il profilo della responsabilità dei gestori del trattamento, nelle persone del titolare e del responsabile, a fronte della predisposizione delle misure di sicurezza minime del trattamento, per la individuazione delle quali si era rinviato ad altra futura norma secondaria(art.15, II co.).

L'azione preventiva a tutela delle informazioni veicolate attraverso elaboratori elettronici, accessibili da altri elaboratori, o operanti in una rete di telecomunicazione disponibile al pubblico, è stata, seppure tardivamente, realizzata con il DPR 318/1999. Il regolamento, recante norme per la individuazione del livello minimo di protezione richiesto dalla norma in precedenza richiamata, configura l'obbligo di adottare un complesso di misure tecniche, organizzative, informatiche, logistiche e procedurali di sicurezza(art.1, I co., lett.a)).

Il DPR, inoltre, crea la nuova figura dell'amministratore di sistema, sovrintendente alle risorse del sistema operativo dell'elaboratore. A ciascun utente o incaricato del trattamento deve essere attribuito un codice identificativo personale ed esclusivo per l'utilizzazione dell'elaboratore. L'accesso degli incaricati è sottoposto al rilascio dell'autorizzazione, a fronte di richiesta motivata, e di una specifica chiave di accesso da parte del titolare del trattamento.

Sembra chiaro che il Legislatore abbia voluto, nella sede qui richiamata, approntare maggiore protezione in particolare ai dati sensibili accessibili da rete pubblica. La conferma sta nel fatto che in aggiunta alle misure tecniche, il Regolamento pone a carico dei gestori la definizione di un documento programmatico della sicurezza e la messa in atto di misure organizzative e di verifica di efficacia.

La disciplina in esame ribadisce la validità del parallelo corrente tra "banca dati e domicilio". Il sistema di protezione minimo richiesto dal DPR acclara l'esigenza a che l'avente diritto sull'informazione manifesti la propria volontà di esclusione degli estranei dal suo "domicilio", ovvero la loro ammissione previo consenso. L'art. 36 della legge 675/96 rafforza questa esigenza qualificando come reato la mancata adozione delle misure minime di sicurezza.

L'orientamento indicato sembra essere stato recepito anche dalla Cassazione¹⁰ non senza ricevere critiche a riguardo¹¹ Infatti, la Corte estende la disciplina dell'art.615 Ter c.p., in materia di accesso abusivo a sistema informatico o telematico, al fenomeno del hacking o craking, ma va anche oltre ritenendo essenziale, in mancanza di una infrazione vera e propria del sistema di sicurezza minimo predisposto, la "tacita" volontà del dominus contraria all'intromissione dell'estraneo. Detta volontà può bene rintracciarsi nella protezione esterna alla banca dati, approntata in sede organizzativa del soggetto titolare, dalla quale si evince, per i giudici cassazionisti, il rilascio implicito dell'autorizzazione, e, dunque, la tacita volontà di limitare l'accesso ad una precisa finalità.

Chi non condivide questa pronuncia si chiede, giustamente, come sia possibile attribuire un effetto discriminatorio ad una volontà tacita, e, soprattutto, come chi accede possa distinguere sì fatta volontà. Il ragionamento della Corte non contempla, peraltro, che nella Rete vi sia la possibilità per un esterno di operare sulla banca dati di un altro operatore senza che questi ne avverta la presenza.

E' allora evidente il limite della pronuncia della Corte, ma, ancor prima, quello della norma penale di cui all'art. 615 Ter c.p.

PLURISOGGETTIVITA’ DEGLI OPERATORI DEL WEB
La diversa natura dei comportamenti posti in essere su Internet ed il loro modus operandi cagionano l’impossibilità di individuare in modo chiaro i soggetti che operano nella Rete e le loro finalità.

Il nodo del problema giuridico risiede, infatti, nella qualificazione giuridica dei soggetti agenti in relazione alla funzione della attività da loro svolta La relatività di questi rapporti pone in crisi anche i diversi orientamenti giurisprudenziali e le Autorità Garanti che possono limitarsi a vietare singoli comportamenti specifici ed a sancire il rispetto della segretezza delle comunicazioni e della posta elettronica, ma non riescono a uniformare la disciplina in questo settore.

Le diverse forme di regolamentazione dei soggetti, le raccomandazioni, le delibere dell'Organo Garante, codici di autodisciplina o deontologia, leggi dello Stato, vanno progressivamente a formare il mosaico di una disciplina che interviene a diversi livelli e con modalità diverse. Nel progetto Europeo gli uffici di Garanzia servono in vero, non tanto a disciplinare la privacy, ma ad interpretare e promuovere con differenti modalità i diversi interventi nei vari settori di uso e diffusione di informazioni nel rispetto dei principi guida. La polifunzionalità dell'attività del Garante e la scelta per un intervento diversificato rappresentano la giusta risposta alla oleosità della materia, che sfugge ad un possibile binario normativo, fatto solo di principi e limiti tassativi.

Responsabilizzare in primis i soggetti che veicolano le informazioni è il passo iniziale e "semplice" da compiere. Soggetti quali i provider ed i server, necessari alla circolazione in rete delle comunicazioni, vengono oggi responsabilizzati in funzione del trattamento dei dati da loro gestiti e raccolti nel limite della finalità del servizio svolto.

Tuttavia, il trattamento dati in parola è finalizzato a far circolare informazioni, presentando così la difficoltà di delimitare la responsabilità di questi operatori, che, se da un lato non devono conoscere dell’informazione, dall’altro, hanno il dovere di valutarla e filtrarla, senza in ogni caso arrogarsi l'autorità di censurarla.

In questo senso pesa la vacuità della Raccomandazione n. R5 (99) "per la protezione della privacy su Internet". Il documento richiamato si struttura sull’esperienza inglese dell’associazione no-profit "Cyber-Rights & Cyber-Liberties". Il gruppo di giuristi che ne faceva parte elaborò una lettera che ogni Internet Server Provider doveva ricevere dai propri utenti i quali segnalavano gli obblighi di legge che esistono in materia di privacy nel loro paese, così vincolando il Server- Provider ad un principio di finalità del trattamento. L'esperimento, però, non ha fatto altro che ripetere a rovescio il meccanismo del consenso al trattamento dei dati, senza riuscire a superare il problema delle configurazione delle responsabilità degli operatori in relazione alle condotte illecite tenute.

A riguardo due profili vengono in considerazione. Gli operatori sono responsabili per comportamento attivo, inteso come vera e propria violazione della riservatezza e della segretezza della comunicazione privata veicolata e per la diffusione impropria dell’informazione acquisita; oppure per negligenza, ossia un comportamento passivo colposo tale da consentire a terzi l’accesso illecito all’informazione detenuta senza predisposizione delle appropriate misure minime di protezione, o senza aver operato il filtraggio dell'informazione.

Nel primo caso dubbi non vi sono circa l'illiceità del comportamento. Nel secondo emergono molte perplessità su quali debbano essere le misure minime, e quale il limite e la modalità dell'attività di filtraggio, donde è difficile delineare i tratti di un'eventuale responsabilità.

Si aggiunga come l'estensione che alcuni fanno dei principi di tutela del domicilio¹² alle caselle di posta elettronica, ai dati raccolti sul proprio computer o alle comunicazioni¹³, mal si adattano ad un mercato dell’informazione in cui è lo stesso utente ad immettere propri dati nel circolo di Internet senza avere chiare le finalità del consenso rilasciato.

Lo schema di tutela ora proposto, dunque, rimane pur sempre legato ad un principio di autodisciplina degli operatori. L’unico mezzo di difesa dell’utente medio è informarsi e capire quando non usare di un servizio in Rete o di un Server. Una pratica intuitiva piuttosto paradossale, se non simile all’autotutela.

Contrariamente a quanto detto, bisogna evidenziare come l'adozione di una disciplina organica vada ad incontrare il muro di un applicazione extraterritoriale su soggetti di difficile qualificazione giuridica. Una normativa capillare andrebbe, inoltre, a pregiudicare i diritti di quelli che navigano in libertà su Internet senza ledere nessuno. In altre parole si andrebbe incontro ad una grave limitazione della libera manifestazione del pensiero. Allo stesso utente verrebbe preclusa la libera determinazione circa la fruizione di un determinato servizio o la immissione di certe informazioni nella Rete

A fronte di ciò i principi di valutazione e filtraggio cari alla Linea di Azione del Consiglio dell'UE potrebbero essere tacciati di abuso o, comunque, invadenza della privacy del singolo da parte di Autorità o soggetti concessionari preposti al controllo delle informazioni circolanti sul Web. Uno spettro da non sottovalutare. Né pare possibile vincolare la libertà di disporre delle proprie informazioni qualora le si voglia immettere sulla rete.

Opportuno, allora, non compiere scelte ordinatorie avventate ma valutare nell’esperienza quotidiana il fenomeno fino al raggiungimento di un equilibrio dei diritti ed interessi coinvolti.

Marzo 2001