PRIVACY: DA COSTO A RISORSA Roma 5-6 dicembre 2002 USO A FlNI PRIVATI DEI DATI PERSONALI IN MANO PUBBLICA di Lo sfruttamento economico dei dati personali detenuti da soggetti pubblici presenta indubbie lusinghe: si tratta di grandi numeri, e di dati di rilevante interesse. I soggetti pubblici sono storicamente attrezzati a raccogliere e conservare dati, ma non rientra nella loro tradizione sfruttarli economicamente, attività per la quale è necessaria una attitudine imprenditoriale. Sicuramente un privato saprebbe trarne maggiore profitto, con significative esternalità positive: l'informazione è un fattore importante della produzione e più essa è accessibile, anche se a pagarnento, più razionali sono le scelte degli attori del processo economico. È dunque facile cogliere le potenzialità del tema e comprendere i vantaggi che alle imprese deriverebbero dalla accessibilità e facile fruibilità di tali dati. Nel contempo sorgono istintivamente delle perplessità. I soggetti pubblici acquisiscono dati personali in genere sulla base di un rapporto di soggezione del privato il quale è obbligato a fornirli oppure, se vuole avvalersi di taluni servizi o prestazioni, deve identificarsi. Questi dati, acquisiti ratione imperii, verrebbero poi ceduti dietro corrispettivo a terzi i quali li utilizzerebbero per trarne profitto. L'intuitivo squilibrio della situazione descritta si fa più razionale se essa è analizzata con una visuale più ampia. La disciplina del trattamento dei dati personali - a livello comunitario - è anche una regola di allocazione di risorse informative. Non ci si stancherà di evidenziare lo stretto legame fra la Direttiva 46/95 sul trattamento dei dati personali e la - di poco successiva - Direttiva 9/96 sulla tutela giuridica delle banche dati. Con quest'ultima si accorda protezione ad un insieme di informazioni; con la prima si fissano dei limiti alla libera appropriabilità di talune informazioni, i dati personali. L'individuo controlla i dati che lo riguardano e stabilisce se e come possano essere appropriati da terzi. La proposta di direttiva sul "riutilizzo dei documenti del settore pubblico e il loro sfruttamento a fini commerciali" altera significativamente il bilanciamento degli interessi raggiunto da una lettura coordinata delle due direttive. Il primo punto critico è stato già evidenziato: l'individuo è tenuto a fornire i propri dati a soggetti pubblici, venendone in tal modo espropriato. Vi sono tuttavia una serie di vantaggi che egli trae da tale coattiva comunicazione: ottiene l'erogazione di taluni servizi; riceve certezza in ordine al proprio status o a suoi diritti. Il sistema presenta dunque una sua razionalità nel rapporto privato - soggetto pubblico - anche se è economicamente poco efficiente nel rapporto fra soggetto pubblico e impresa. Nel sistema divisato egli, indirettamente, cederebbe - senza consenso e senza corrispettivo - i suoi dati a terzi. È vero che questi pagherebbero, ma l'utilità economica spetterebbe solo all'ente pubblico. Quest'ultimo - e non più l'interessato - avrebbe un property right sui dati che gli sono conferiti dai singoli in virtù del rapporto di autorità o di amministrazione. Il secondo punto critico è connesso: la comunicazione dei dati al soggetto pubblico risponde a precise finalità ed è strumentale allo svolgimento di attività pubbliche che, per definizione, dovrebbero essere nell'interesse generale, oltre che, sovente, presentare utilità concrete per l'interessato. È questo interesse generale che guida l'attività del soggetto pubblico imponendo il rispetto di una serie di principi ormai acquisiti nel sistema costituzionale e comunitario: la legittimità, l'imparzialità, la non discriminazione, la proporzionalità della sua azione. Da ciò conseguono regole procedimentali, controlli, responsabilità. È facile comprendere che, nel momento in cui i dati sono conferiti a soggetti privati in primo luogo le finalità del trattamento cambiano mettendo in evidenza l'utilità economica del titolare; in secondo luogo il soggetto privato non è - ne è logico che sia - gravato dagli oneri che invece sono propri del soggetto pubblico, essendo la sua azione libera nelle forme e nei fini. In terzo luogo il soggetto privato non ha quelle responsabilità o anche solo quella "accountability" che invece sono imposte al soggetto pubblico. Ed in ogni caso mentre quest'ultimo è tendenzialmente un soggetto unico, ben individuato, la cessione a terzi di dati pubblici operata nel rispetto del principio di non discriminazione moltiplica i soggetti potenzialmente autori di trattamenti non corretti rendendo estremamente difficile - anche grazie alla circolazione transfrontaliera dei dati - il controllo da parte dell'interessato. È possibile evitare tali inconvenienti e conciliare tutela dei dati personali con circolazione delle informazioni? Al quesito possono darsi alcune risposte ma esse, come si vedrà, non sono del tutto soddisfacenti. a) restrizione dei dati trasferibili a soggetti privati: una prima strada da percorrere potrebbe essere quella di cercare di restringere la categoria di dati trasferibili a terzi, escludendo, ad esempio, quelli sensibili o "semi-sensibili" ovvero altri come ad esempio quelli inerenti a rapporti tributari. Non pare convincente ed efficiente la soluzione - individuata dalla proposta di direttiva - di consentire la cessione dei dati per i quali l'ordinamento nazionale ammette un diritto di accesso. Tale diritto, infatti si configura in maniera variegata e riguarda solitamente un dato, un soggetto, non una massa di dati relativa ad una molteplicità di soggetti. Peraltro il diritto di accesso è solitamente finalizzato al soddisfacimento di un preciso interesse individuale. Come è stato opportunatamente osservato dalla giurisprudenza, la circostanza che un dato sia conservato in un pubblico registro non legittima di per sé la diffusione urbi et orbi del dato medesimo. b) restrizione delle finalità per le quali i dati possono essere ceduti: un'altra -strada potrebbe essere quella di consentire la cessione dei dati pubblici ai privati a condizione che essi ne facciano il medesimo uso consentito al soggetto pubblico. Ancorché razionale, la soluzione è di ben scarsa utilità: il privato vuole acquisire i dati pubblici perché vuole sfruttarli in modo più intenso e innovativo. Se dovesse limitarsi a farlo ad imitazione del soggetto pubblico (ad es. rilascio di attestazioni o "visure") sarebbe sufficiente un suo collegamento telematico con il sistema che gestisce i dati pubblici. c) restrizione dei soggetti cui cedere i dati: al fine di assicurare un maggiore controllo sul corretto utilizzo dei dati da parte di terzi sarebbe possibile pensare di restringere il numero dei soggetti privati abilitati al trattamento dei dati personali pubblici. Si tratta di una linea antitetica a quella della proposta di Direttiva che si fonda sul principio di non discriminazione (e dunque di astratta illimitata fruibilità). Tuttavia non è difficile scorgere i prevalenti interessi generali che suggeriscono una limitazione a pochi soggetti del riutilizzo di tali dati. È evidente che in tal modo si pone il problema della scelta del o dei soggetti: ma qui i meccanismi comunitariamente compatibili sono ben collaudati e vanno dalla qualità ed affidabilità del soggetto all'eventuale offerta economica presentata per aggiudicarsi la gara. d) una ipotesi alternativa: i dati personali pubblici come res extra commercium: non si può peraltro ignorare una diversa prospettiva che configuri i dati personali detenuti dai soggetti pubblici come res extra commercium e dunque in radice sottratte ad uno sfruttamento economico diretto o tramite terzi. Dal punto di vista norrnativo si possono rinvenire significativi elementi nella Direttiva 46/95 essendo la cessione a terzi per scopi di lucro incompatibile con le finalità per le quali i dati sono stati raccolti. Oltretutto verrebbe a crearsi un vistosa disparità fra dati detenuti da titolari privati - che possono essere comunicati a terzi solo in ipotesi limitate e in genere con il consenso dell'interessato - e dati detenuti da titolari pubblici abilitati ad una generale disseminazione dei dati. Ma vi sono anche ragioni d'ordine più generale: tutti ricordiamo che la prima spinta verso la protezione della riservatezza informatica nasce dalla preoccupazione efficacemente rappresenta dalla figura letteraria del "Grande Fratello" di George Orwell. Ed è nei confronti delle banche di dati pubbliche -le uniche all'epoca - che si appunta l'attenzione. Lo Stato dovrebbe ora trasformarsi da potenziale "nemico" della riservatezza individuale in suo difensore, tutelando in tal modo anche il rapporto di fiducia con le parti del contratto sociale. I dati personali pubblici vanno gestiti direttamente dallo Stato, al pari di altri beni fuori commercio, come quelli ambientati e molti di quelli culturali. Ed il richiamo all'ambiente e all'arte non appare fuori luogo perché ci porta - in un dibattito sulla riservatezza da costo a risorsa - a riflessioni che sono state ampiamente svolte nel confrontarsi fra ragioni dell'ecologia e sviluppo sostenibile, fra difesa del patrimonio nazionale e corretta fruizione dello stesso. Si tratta di problemi di difficile soluzione, ma sicuramente il dibattito sulla tutela dei dati personali assume dimensioni più vaste e implicazioni di policy di più ampio respiro. Roma, 6 dicembre 2002 |