Premessa sul Garante e sulla legge

Senza gli echeggianti richiami del Garante, forse la legge 31 dicembre 1996, n. 675 già languirebbe, tanto è ostica da capire, ardua da applicare, eccedente il bisogno che ne avvertiva la gente. Legge che si apre con enfasi sulle "libertà fondamentali", ma per affidarsi a un tale organo ipercentrico, dotato di poteri sofisticati, autoreferente anche nell'ispirare il legislatore delegato. Al quale, esso Garante deve "segnalare ... 1'opportunità di provvedimenti normativi richiesti dall'evoluzione del settore" (art. 32/1 lett. m), ma con la persuasività che gli viene dall'essere il solo a conoscere le esigenze tecniche di rapporto fra le direttive della Comunità Europea, la propria interpretazione della legge e l'operatività del proprio Ufficio. Nel cui cervellone elettronico si chiude un circolo tecnologico, timori di eterodirezione informatica, essendo all'origine di una legge resa possibile dall'informatica stessa. Ma senza che questa ne risolva le complicazioni giuridiche.

A monte di esse sta l'ambiziosa sommatoria di due fondamentali quanto eterogenei intenti politici: la tutela della privatezza, esposta all'aggressività pubblicizzante dei media; la tutela della libertà individuale come autodeterminazione, esposta al pericolo di manipolazioni rese possibili da un controllo eteronomo di dati personali. La prima, invocata fin dal 1890 negli Stati Uniti da Brandeis, in uno storico articolo intitolato "The Right to the Privacy" e solo con molto ritardo presa in considerazione in Europa, come droit à la vie privée. La seconda, tuttora negata negli U.S.A., mentre si afferma in Europa. ove sull'interesse mercantile prevale, dopo le esperienze totalitarie, il timore delle schedature occulte, gestite senza informazione e consenso degli interessati.

Funzionali alla difesa del primo bene sono le limitazioni imposte all'esercizio del giornalismo; alla difesa del secondo ogni altra previsione. Nei due campi i dati personali sono infatti agiti diversamente: nei pezzi di cronaca li si trova di consueto connotativi, ridondanti, soggettivistici; nelle banche dati hanno da essere denotativi, oggettivi, semplici (conforme al significato lessicale, statistico e informatico della parola "dato" e alla elaborabilità dello stesso), ancorché aggregabili. Il trattamento giornalistico è centrato sulla coppia pragmatica raccolta-diffusione del dato; il trattamento delle banche dati è centrato sulla coppia conservazione-utilizzabilità.

La sincreticità della legge si è riflessa anzitutto nella onnicomprensiva definizione del dato personale, più applicabile in verità alla mediatica che all'informatica ("qualunque informazione relativa a una persona") e - specie in Italia - in un garantismo più attento alla comunicabilità dei dati personali ai terzi clic alla loro accumulazione organizzata. Fatto, quest'ultimo, connesso - come si vedrà - a scostamenti del nostro legislatore dalla direttiva europea nei senso d'uno zelo dall'accento utopistico, udibile nel singolare Grund accord tra una nota libertaria e una totalizzante.

"I dati personali": Le valutazioni soggettive

Avere, già la direttiva 45/1996 C.E., attribuito al "dato personale" significato più elastico e ampio ha introdotto una contraddizione con la durezza e unitarietà del dato quale cifra semantica usata dalla logica binaria informatica e in genere nelle banche dati. Durezza del dato cui dovrebbe rifarsi la nozione giuridica. Anche perché la tutela della privacy e della reputazione personale dall'offesa giornalistica, che ha influenzato la definizione giuridica del dato personale, è parte minimale della normativa e ha sanzioni penali e civili in tutt'altre parti dell'ordinamento.

V'è perciò bisogno di precisare la nozione del "dato personale", in modo da liberare da vincoli e comminatorie tutta quella fascia della comunicazione umana e del tessuto dei pezzi di cronaca che, sebbene attinente alle persone, non si compone in realtà di dati personali essendo costituito da considerazioni, valutazioni, deduzioni soggettive, le quali, salvo le stime rigorosamente tecniche, ossia oggettivate, i giudizi clinici, o produttivi di effetti giuridici diretti, non possono integrare dati personali per il semplice fatto che questi, attenendo all'interessato, non possono essere prodotti da chi li tratta.

Raccolto nella presunzione della sua oggettiva verità, il dato personale è il nucleo verificabile dell'informazione sulla persona, non "qualsiasi informazione sulla stessa". La riprova positiva è che l'interessato ha diritto alla sua esattezza e al suo aggiornamento (art. 9 lett. c della legge).

Se, volendo fare un esempio di vitale interesse per un settore costituzionalmente difeso ma ignorato da questa legge, quello della protezione dei minori, una relazione di servizio sociale elabora deduzioni e valutazioni in ordine alla personalità, al comportamento, alle relazioni familiari di determinati soggetti, un simile contenuto dell'atto, per il proprio soggettivismo controvertibile, non può identificarsi come composto di dati personali.

"La raccolta": Il fine specifico

Il meccanismo garantistico stabilito dalla legge scatta, in ordine ai dati personali, in forza di un principio di anticipazione formalizzante che suscita palpabile disagio se non rigetto sociale. Di regola, la raccolta del dato deve essere preceduta dal consenso informato dell'interessato e, prima ancora, al Garante è da notificare il proposito di procedere al trattamento dei dati.

E' opportuno pertanto sottolineare che "raccolta" significa acquisizione, non è sinonimo di percezione del dato: presuppone un finalismo. Finalismo chiaro anche se inespresso nell'art. 10/3 della legge, che contempla la "registrazione", o la "comunicazione" del dato a un soggetto diverso dal ricevente come atti di trattamento conseguenti alla raccolta.

Se un fine specifico di trattamento ulteriore non fosse richiesto, e il mero ricevimento del dato costituisse, di regola, "trattamento", questo si avrebbe nel caso del dato personale ricevuto da un "telefono amico", dal medico durante una visita, dal sacerdote confessore, fatti cui, ai fini del rapporto fra interessato e titolare del trattamento, è indifferente la presenza del segreto professionale.

In base alla legge è peraltro evidente che, se, dopo una ricezione del dato non configurabile come "raccolta" per difetto del fine specifico, subentra in chi lo ha ricevuto la volontà di trattarlo, il trattamento sarà illecito, senza possibilità di sanatoria mediante la sola informativa dell'interessato, avendo questa una efficacia legittimante solo nel caso di raccolta non avvenuta presso di lui (v. art. 10/3 e le eccezioni di cui al comma successivo). Si dovrà perciò richiedere, sia pure ex post, il consenso dell'interessato.

"La conservazione": Documenti, fascicoli, archivi comuni pubblici e privati

Il discorso sulla conservazione dei dati si fa complesso. è qui che i problemi risentono del radicalismo del legislatore italiano.

La direttiva europea. pur affermando - nel punto 27 del preambolo - che occorre difendere le persone dal "trattamento dei dati sia automatizzato, sia manuale", ha soggiunto "che nondimeno, riguardo al trattamento manuale, la presente direttiva si applica soltanto agli archivi e non ai fascicoli non strutturati". Nell'art. 2/c la direttiva spiega che il termine "archivio" significa "un insieme strutturato di dati personali, accessibili secondo criteri determinati ... ". E' l'equivalente della locuzione "banca di dati" usata dal nostro legislatore, che la definisce "complesso di dati personali ... organizzato secondo una pluralità di criteri determinati tali da facilitarne il trattamento". L'archivio strutturato deve rispondere al requisito d'una pluralità di criteri selettivi, capaci di rendere celere e completa la ricerca di dati associabili (come avviene negli archivi elettronici e in quelli automatici o manuali a schede perforate).

Se non che, mentre in sede europea, per essere più netti, si è concluso il punto del preambolo dichiarando "che i fascicoli e le serie di fascicoli, nonché le rispettive copertine, non strutturati secondo criteri specifici, non rientrano in nessun caso nel campo di applicazione della presente direttiva", il nostro legislatore non ha raccolto questa esclusione dei trattamenti manuali non riportati in archivi strutturati, decisiva per l'effettualità della legge.

Un corollario lo si vede nella differenza tra l'art. 18/1 della direttiva C.E., che stabilisce l'obbligo di notificare all'autorità di controllo "la realizzazione di un trattamento...interamente o parzialmente automatizzato ... ", escludendo quindi i trattamenti manuali. e l'art. 5bis lett. e della nostra legge che, avendo assoggettati pure i trattamenti manuali a quell'obbligo, concede loro una ipotesi minimale di "notificazione in forma semplificata". E questo benché nella direttiva l'art. 18 sia compreso nel capo Il, le cui disposizioni, secondo l'art. 5, non sono derogabili dagli Stati membri.

Il Garante aderisce fedelmente alla legge. La presenza di una "banca di dati" è da lui assunta come una ipotesi, non come normale condizione dei "trattamenti" e punto focale della ratio normativa. In materia di dati sensibili ha mostrato espressa attenzione a materiale non strutturato come cartelle cliniche, certificati e altri documenti di tipo sanitario, o amministrativo (vedi Autorizzazione n. 2/1997, punto 1/1 c), a ricette mediche recanti l'indicazione nominativa del paziente. Materiale che potrebbe appartenere a una banca di documenti contenenti dati, cioè a un archivio comune, non a una "banca di dati" in senso tecnico giuridico.

Il Garante si ritiene competente in ordine ad atti e attività di raccolta e scritturazione anche manuale di dati estranea a ogni sistema strutturato di accumulazione e gestione logica. La legge n. 675/96, del resto, è stata formulata in modo da tenere fuori soltanto "le rubriche telefoniche o analoghe", purché "utilizzate unicamente per ragioni d'ufficio e di lavoro", e non senza altre limitazioni (art. 7/5ter, lett. d).

Nello stesso tempo però, sorgendo dal garantismo diffuso un'esigenza pratica di deflazione, il sistema legge-Garante ricorre a esenzioni o semplificazioni riguardo a singoli adempimenti e ad autorizzazioni generali di carattere provvisorio nell'imminenza, annunziata dal Garante, di una novellazione soprattutto mirata alla disciplina dei dati sensibili. Senza evitare, però, un vortice di questioni, tra cui ne spiccano due.

Stabilisce l'art. 13 che l'interessato ha diritto "di ottenere a cura del titolare o dal responsabile (del trattamento), senza ritardo, la conferma della esistenza o meno di dati personali che lo riguardano ... ". La domanda è come una siffatta ottemperanza sia praticamente possibile, se si tratta di ricercare semplici dati personali non già in una "banca dati", ma in ogni atto di un ufficio.

Stabilisce l'art. 16 che, cessato il trattamento, i dati possono essere: o distrutti, o ceduti ad altro titolare per un trattamento di analoga finalità, o conservati per fini esclusivamente personali. La domanda è come una simile previsione secca sia rispettabile, senza violare, nei pubblici uffici, il D.P.R. 30 settembre 1963, n. 1409, artt. 30-35, che ha stabilito l'obbligo di tutti gli Enti pubblici di conservare i propri archivi, istituendo anche una sezione d'archivio per i documenti relativi ad affari esauriti da oltre 40 anni, sotto la vigilanza delle Sovrintendenze archivistiche, anche in ordine allo scarto degli atti. Per gli uffici comunali la disciplina in materia di archivio e protocollo continua a essere in sostanza quella disposta nel 1897 dalla circolare 17100-2 del Ministero dell'interno, che previde l'archivio "corrente" per le pratiche in corso e quello "di deposito" per gli affari esauriti. Quanto all'idea di obliterare i nomi delle persone nei documenti conservati, non può sottacersi che potrebbe condurre a commettere, anche negli archivi privati, falsi materiali per alterazione. E che sopprimere in tutto o in parte atti pubblici, o scritture private vere, integra il delitto di cui all'art. 490 c.p.

Una volontà di abrogare ogni disposizione che, direttamente o indirettamente, comporti la conservazione di dati personali non sembra univocamente contenuta nella legge.

Di conseguenza, nell'attuale improbabilità di un capovolgimento riduttivistico dell'orientamento del Garante, tale da circoscrivere le garanzie agli atti registrati nelle banche di dati o comunicati a terzi senza essere registrati (si faccia attenzione a questa alternativa nell'art. 10/3), l'interrogativo è come risolvere giuridicamente il secondo dei due problemi anzidetti, giacché il primo è strettamente pratico.

Non scorgiamo altro rimedio che ritenere gli atti, i documenti, i fascicoli conservati per il loro valore di prova giuridica o storica, soprattutto quelli rientranti nella disciplina archivistica pubblica, perciò stesso destinati a un trattamento, sotto specie di "conservazione", di durata indefinita. Che, in altre parole, non possa dirsi "cessato" il trattamento allorché risulta conseguito lo scopo documentale immediato della "registrazione" (tenendo presente la coincidenza, in ogni memorizzazione oggettiva, fra registrazione e salvataggio conservativo del dato).

La necessità di "far valere o difendere un diritto in sede giudiziaria"
Il diritto del minore

La conservazione dei dati personali è specialmente necessaria ai fini della protezione minorile. Nei Tribunali per i minorenni i procedimenti di volontaria giurisdizione, anche approdati a pronunce definitive, restano potenzialmente pendenti in vista di modifica o revoca delle stesse, data l'evolutività intrinseca alle situazioni minorili. Presso i servizi che quelle situazioni seguono sul territorio, il valore delle informazioni raccolte non cessa neppure al raggiungimento della maggiore età dell'interessato, se egli ha ancora bisogno di assistenza o fratelli più piccoli bisognosi di analoga protezione. Non di rado conoscere le vicissitudini personali e familiari è utile anche nell'interesse di minori appartenenti alla cerchia parentale allargata, o alla generazione successiva, vista la tendenza di certi modelli comportamentali a riprodursi. Fissare un termine per l'obliterazione dei dati personali nei fascicoli minorili, anche detenuti dai servizi sociali, potrebbe quindi essere deleterio.

Il buon senso ci dice che i dati personali conservati a fini di assistenza e protezione, da soggetti per giunta obbligati al segreto d'ufficio e al segreto professionale, non sono per insidiare la libertà dei cittadini, ma se del caso per aiutarli.

Nondimeno la legge 675/96, attenta alle esigenze della difesa sociale (accertamento, repressione, prevenzione dei reati, ex art. 4/1 lett. e), non lo è a quelle della protezione sociale. In ciò ancora staccandosi dalla direttiva europea, che nel punto 34 del preambolo contempla, con riferimento al trattamento di categorie di dati sensibili, la protezione sociale insieme con la sanità pubblica. Distacco cui si aggiunge quello dall'art. 8/3 della direttiva, nel quale si consente il trattamento di dati sensibili a ogni persona soggetta al segreto professionale. Più arcigna, la nostra legge quasi nulla concede, portando a conseguenze estreme la privatezza del dato personale.

Ma un valore pubblico come la difesa dei minori non può soccombere all'impennarsi della tutela individualistica senza portare al tramonto l'intero diritto minorile. E lo sviluppo di questo è coerente agli artt. 30 e 31 della Costituzione, la legge n. 675 del 1996 richiede o una interpretazione o una modifica atta a toglierla dalla rotta di collisione con la protezione giudiziaria dei minori.

Misurarsi con la privacy dei genitori per proteggere il figlio minorenne è problematica ordinaria della giustizia minorile, che presidia esattamente l'incrocio tra garanzie della famiglia e diritto del minore anche di fronte alla famiglia. Per contro, la l. n. 675/1996, curatasi del diritto del minore a consentire attraverso il legale rappresentante al trattamento dei dati personali, sembra eludere l'ipotesi che il genitore esercente la potestà abbia interesse a bloccare ogni raccolta di dati rivelatori della propria inettitudine o irresponsabilità verso il figlio.

The righi to be let alone (il diritto di ciascuno a essere lasciato solo), in cui si identificò il concetto di privacy, non può tradursi nell'isolamento del minore. Se i servizi locali dovessero condizionare al consenso informato dei genitori la raccolta di dati personali relativi ai cosiddetti minori "a rischio", gli strumenti di monitoraggio sociale finirebbero fuori uso proprio nelle situazioni più pericolose. Cosa che, a una lettura ottusa della legge, parrebbe inevitabile soprattutto in ordine ai dati sensibili, quasi sempre emergenti dai fattori del pregiudizio minorile, sotto specie di malattie (sovente psichiatriche), o di turbe sessuali, o di alterità etnica o religiosa.

Va messa in risalto la condizione giuridicamente. deteriore che sembra caratterizzare la protezione del minore rispetto a quella dell'adulto incapace di intendere e di volere. I dati personali di questo possono essere trattati senza il suo consenso se necessari per salvarne la vita o l'incolumità (art. 12 lett. g). Il pericolo per l'incolumità è insito anche nella sua mera incapacità di provvedere a se stesso in assenza di adeguata assistenza. Per cui non sorge nei suoi confronti il rompicapo di un consenso che l'incapace non può prestare finché non sia legalmente rappresentato. Del minore a rischio di pregiudizio, invece, non può dirsi che sia sempre in gioco la vita o l'incolumità fisica. Anche perché, fino a prova contraria, ad assisterlo provvedono i genitori.

Misero salvacondotto per i servizi sociali sarebbe il solo rilievo che l'art. 35 della legge punisce come delitto i trattamenti eseguiti senza il consenso dell'interessato, e le comunicazioni di dati sensibili fatte in violazione dell'art. 22, unicamente ove ricorra il fine specifico di "trarne per sé o per altri profitto o arrecare ad altri un danno"; fine che dovrebbe escludersi in chi agisce allo scopo di tutelare in sede giudiziaria la persona del minore.

è perciò di estrema importanza vedere se davvero la legge non permetta implicitamente la protezione del minore, dal momento che tiene conto del "rango" del diritto da difendere (vedi art. 22/4).

Orbene: alla protezione giudiziaria del minore non possono non essere applicabili le previsioni che, a diversi effetti, troviamo negli artt. 10/4, 12 lett. h, 20/1 lett. g., 22/4, 28/4 lett. e, ripetitivamente dedicate alla necessità di "far valere o difendere un diritto in sede giudiziaria".

Il Garante, nell'autorizzazione n. 6 (sul "trattamento di dati sensibili da parte degli investigatori privati"), ha dichiarato non applicabile la legge ai trattamenti diretti alla tutela di un proprio diritto anche mediante comunicazione a un'autorità giudiziaria. Affrancamento sicuramente estensibile ai trattamenti ritenuti necessari dal legale rappresentante dell'interessato. Per cui l'ente assistenziale agente in forza di tutela, di tutela provvisoria, o di potere tutelare sul minore assistito (vedi art. 3, l.11 maggio 1983, n. 184) ha esso pure facoltà di trattare dati sensibili, del minore rappresentato e di altre persone, qualora sia necessario per fare valere o difendere il diritto di lui in sede giudiziaria.

Ma non può bastare.

Se la tutela e la tutela provvisoria presuppongono un provvedimento ablativo o sospensivo della potestà genitoria, ciò vuol dire che per chiederlo furono a suo tempo raccolti dati personali. Il potere gestorio del tutore è un post rispetto alla protezione giudiziaria del minore. Che, fra l'altro, le più volte si attua mediante pronunce non afferenti alla nomina di un tutore, bensì, di solito, ad affidamenti anche semplicemente direttivi al servizio locale (art. 333 c.c.).Il problema è appunto dare modo ai servizi di trattare dati relativi al minore e ad altre persone della sua cerchia familiare quando ancora l'Ente assistenziale non ne ha la rappresentanza legale.

Si tenga presente che, opportunamente, l'ordinamento non attribuisce legittimazione processuale agli enti di assistenza e ai loro servizi come tali, volendo evitare di contrapporli alle famiglie in difficoltà, nei cui confronti essi devono sostenere il doppio difficile ruolo di assistenza e di controllo sociale nell'interesse dei minori. Il sistema di protezione pubblica funziona attraverso riferimenti, o direttamente fatti al Tribunale per i minorenni (procedura di adottabilità), o fatti al pubblico ministero minorile, legittimato al pari dei parenti del minore, a domandare al giudice di provvedere sulla potestà dei genitori (art. 336 c.c.).

Se non si vuole paralizzare questa essenziale funzione dei servizi sociali e interrompere la comunicazione con la giustizia minorile, va loro riconosciuta una facoltà di trattare dati personali, anche sensibili, senza il consenso dell'interessato e senza informarlo, allorché sia indispensabile per la tutela di un determinato minore.

Tale facoltà è riconosciuta a investigatori privati e avvocati per la tutela giudiziaria dei propri clienti, con una estensione temporale implicita e conforme ad attività prodromiche e strumentali agli atti di difesa nel processo. La legge stessa, impiegando la formula "per far valere o difendere un diritto in sede giudiziaria", attrae il momento preparatorio, inteso a "far valere" il diritto, nell'orbita garantita del momento processuale, in cui propriamente si iscrive il diritto di difesa.

Il dovere pubblico degli operatori sociali, di rendere possibile la protezione giudiziaria dei minori, non può tradursi in una facoltà più angusta di quella data agli investigatori privati. Lo pretendono non uno ma due principi costituzionali: il diritto di difesa del minore e il compito della Repubblica di proteggere l'infanzia e la gioventù.