La tutela dei dati personali nelle comunicazioni elettroniche

“La tutela dei dati personali nelle comunicazioni elettroniche:
applicabilità della disciplina vigente alle nuove frontiere della
tecnologia”
di Shara Monteleone1
Computerlaw.it 2005 – Alcuni diritti riservati
1
Dottoranda al Centro per l’integrazione e la comunicazione dei media (MICC), dell’Universita’ degli Studi di Firenze.
1
1. Premessa.
2. Il quadro normativo di riferimento.
3. I principi fondamentali.
4. Il trattamento dei dati on-line.
5. Dati sul traffico e dati relativi all’ubicazione.
6. Videosorveglianza.
7. Quale normativa per il futuro (prossimo)?
1. Premessa.
Lo sviluppo delle moderne tecnologie digitali se, da un lato, contribuisce ad ottimizzare la fruizione
di servizi nella società dell’informazione, dall’altro, pone nuovi e più complessi problemi in termini
di tutela di alcuni diritti e libertà fondamentali costituzionalmente garantiti, tra cui il diritto alla
riservatezza2. La libera circolazione di quantità sempre maggiori di informazioni, necessarie ad
aziende private e soggetti pubblici per l’esercizio delle loro attività, richiede, come contrappeso la
predisposizione di adeguate misure a garanzia del diritto di tutela dei dati personali, affinché non si
concretizzi una società della sorveglianza fondata su nuove forme di discriminazione sociale e sul
dominio delle logiche di mercato3.
Negli ultimi anni, dopo la diffusione di strumenti che consentono la “mobilità” di persone e
interessi, stanno prendendo rapidamente piede tecniche sempre più sofisticate di localizzazione, che
pongono seri dubbi di compatibilità con i diritti fondamentali e indisponibili della persona4.
E’ proprio nell’ottica di creare un sistema di garanzie e di tutele per il singolo individuo nel mondo
delle comunicazioni elettroniche che sono state varate in questi anni alcune importanti direttive
europee, e sono stati adottati provvedimenti a livello internazionale contenenti i parametri di
riferimento per legislatori nazionali e ‘tecnici’ del settore.
2. Il quadro normativo di riferimento.
La disciplina giuridica vigente in materia è costituita da un insieme di disposizioni contenute in
varie fonti normative operanti a più livelli. E’ bene in questa sede ricordare, prima fra tutte, la
Convenzione Europea Sui Diritti dell’Uomo del ’50, che all’art. 8 riconosce ad ogni persona il
diritto al rispetto della sua vita privata e familiare; in secondo luogo, la Convenzione di
Strasburgo n. 108 dell’81 “sulla protezione delle persone rispetto al trattamento automatizzato di
dati di carattere personale”; la Direttiva n. 95/46/CE, che ha tracciato i principi fondamentali in
materia di “tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla
libera circolazione di tali dati”; e ancora, la Carta dei diritti fondamentali dell’UE di Nizza del
2000 che dedica l’art. 8 alla “protezione dei dati di carattere personale”. Più recentemente con la
Direttiva n. 2002/58/CE “relativa al trattamento dei dati personali e alla tutela della vita privata nel
settore delle comunicazioni elettroniche”, il legislatore comunitario ha inteso armonizzare le
disposizioni degli Stati membri e assicurare al loro interno un livello equivalente di tutela del diritto
alla vita privata5. Le ultime disposizioni europee sono state recepite dal legislatore italiano con il
2
Sul fondamento costituzionale e sull’evoluzione storica del concetto di riservatezza cfr. G. Pascuzzi, Il diritto nell’era
digital, Studi e Ricerche, 2003 e R. Zaccaria, Diritto dell’informazione edella comunicazione, Cedam, Padova, 2004
3
V. Niger Privacy e comunicazioni elettroniche, Cedam, 2004 p.387 e D. Lyon,,La società sorvegliata, Feltrinelli,2002.
4
Cfr. T. Croce, Comunicazioni elettroniche, in Codice in materia di protezione dei dati, p. 1513, la quale sottolinea
come “la necessità di speciali norme di regolamentazione a tutela dei soggetti è implicita nella natura invasiva e
pervasiva degli strumenti utilizzati per la veicolazione delle comunicazioni elettroniche e digitali”.
5
Il provvedimento fa parte di un “pacchetto” di direttive europee diretto a formare il nuovo quadro normativo per le reti
e i servizi di comunicazione elettronica e completato dalle direttive “quadro”, “autorizzazioni”, “accesso e
interconnessione”, “servizio universale”. Un importante criterio stabilito a livello comunitario è quello della neutralità
tecnologica, secondo cui devono essere emanate regole neutrali rispetto alla tecnica utilizzata, in modo tale che lo stesso
servizio sia disciplinato con uguali criteri indipendentemente dalle modalità e dal mezzo con cui è fornito.
2
“Codice in materia di protezione dei dati personali” (D.lgs. n. 196/2003), entrato in vigore all’inizio
del 2004 e che ha sostituito la legge n. 675/96.
Può essere utile qui richiamare alcune definizioni contenute nel T.U. e mutuate dalla suddetta
direttiva: quella di “comunicazione elettronica”, intesa come ogni informazione scambiata o
trasmessa tra un numero finito di soggetti tramite un servizio di comunicazione (art.4, co.2, l a); di
“servizio di comunicazione”, consistente esclusivamente o prevalentemente nella trasmissione di
segnali su reti di comunicazione elettronica (art.4, co.2, l e); di “dato personale”, come qualsiasi
informazione relativa a persona fisica o giuridica, ente o associazione identificati o identificabili
anche indirettamente, mediante riferimento a qualsiasi altra informazione, compreso un numero di
identificazione personale. Di conseguenza non sono dati personali, i dati anonimi o comunque
inidonei a identificare la persona a cui si riferiscono.
3. Principi fondamentali.
Il nuovo Codice in particolare ha recepito alcuni dei principi fondamentali in materia, che devono
essere tenuti in considerazione, ai fini del presente lavoro, in quanto applicabili a tutti i tipi di
trattamento di dati personali6. All’art. 2 è stabilito che il trattamento dei dati deve svolgersi nel
rispetto dei diritti e libertà fondamentali, con particolare riguardo alla dignità, alla riservatezza e
all’identità personali7. Significativo poi il principio, indicato all’art. 3, di “necessità”, secondo il
quale i sistemi informatici e i programmi informativi devono essere configurati riducendo al
minimo l’utilizzazione di dati identificativi8. All’interessato - soggetto a cui si riferiscono i dati - è
riconosciuta una serie di diritti (art. 7), che vanno dal diritto di accesso ai propri dati9, al diritto di
aggiornamento, alla cancellazione, trasformazione in forma anonima o blocco dei dati trattati contra
legem; nonché al diritto di opposizione per motivi legittimi o in caso di trattamenti a fini di invio di
materiale pubblicitario, di vendita diretta, di ricerche di mercato. Circa i requisiti imprescindibili dei
dati oggetto di trattamento e le modalità di quest’ultimo si afferma, all’art. 11, il principio di liceità
e correttezza, di pertinenza e non eccedenza rispetto alle finalità della raccolta; queste ultime
devono essere determinate, esplicite e legittime.10 Nell’ambito delle regole generali valide per ogni
trattamento, rilevano in questa sede le norme sull’informativa11 e sulla “Definizione di profili e
della personalità dell’interessato”12, nonché quelle sul “Trattamento che presenta rischi specifici”,
particolarmente significative per il trattamento effettuato con strumenti elettronico-digitali13.
6
L’art. 1 afferma che “chiunque”, ogni persona fisica o giuridica, indipendentemente dalla sua nazionalità o residenza,
ha diritto alla protezione dei dati personali, e questo anche – e soprattutto – in relazione all’elaborazione automatica dei
dati personali. Si potrebbe affermare che tale principio è il fondamento giuridico della tutela della persona nei confronti
dei processi elettronici e digitali del trattamento dei dati personali; cfr. T. Croce, op. cit., p. 1515.
7
Sul concetto di identità personale, intesa come patrimonio unico di conoscenze ed esperienze appartenenti a ciascuno
di ognuno v. S. Rodotà, Tecnopolitica,il Mulino, Bologna.
8
Il trattamento è da escludersi quando le finalità perseguite nei singoli casi possono essere realizzate mediante dati
anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità. Al considerando
30 della Dir. n. 2002/58 si legge: “I sistemi per la fornitura di reti e servizi di comunicazione elettronica dovrebbero
essere progettati per limitare al minimo la quantità di dati personali necessari”.
9
Il diritto di acceso comprende la conferma dell’esistenza dei propri dati, l’indicazione dell’origine, delle finalità e delle
modalità del trattamento, degli estremi del titolare e del responsabile, dei soggetti terzi a cui i dati possono essere
comunicati.
10
Da ricordare, inoltre, che il Codice sancisce l’inutilizzabilità dei dati trattati in violazione di legge.
11
L’interessato deve essere informato oralmente o per iscritto circa: le finalità del trattamento, gli estremi del titolare,
l’obbligatorietà o meno del conferimento dei dati, le conseguenze di un eventuale rifiuto di rispondere; cfr. art. 13 Cod.
12
Si legge infatti all’art. 14 del Codice: Nessun atto o provvedimento giudiziario o amministrativo che implichi una
valutazione del comportamento umano può essere fondato unicamente su un trattamento automatizzato di dati
personali volto a definire il profilo o la personalità dell’interessato; l’interessato, inoltre, può opporsi ad ogni altro tipo
di decisione adottata sulla base di un suo profilo, salvo che sia stata adottata in occasione della conclusione o
esecuzione di un contratto.
13
Il trattamento dei dati che presenta rischi specifici per i diritti e le libertà fondamentali in relazione alla natura dei
dati, alle modalità di trattamento o agli effetti che può determinare è ammesso dal Codice (art. 17) nel rispetto di misure
3
Altro requisito fondamentale che rileva ai fini della legittimità del trattamento, ma che risulta spesso
di difficile applicazione concreta nel settore delle comunicazioni elettroniche, è rappresentato dal
consenso: esso opera in modo diverso a seconda della qualificazione soggettiva del titolare del
trattamento (soggetto pubblico o privato)14.
4.Trattamento dei dati on-line.
Per quanto riguarda più specificatamente il trattamento dei dati nell’ambito delle comunicazioni
elettroniche il Codice dedica alla relativa disciplina il Titolo X. Particolarmente significativo appare
il divieto imposto dall’art. 122 di utilizzare la rete di comunicazione elettronica per accedere alle
informazioni archiviate nelle apparecchiature terminali dell’abbonato o dell’utente, per archiviare
informazioni o monitorare le operazioni dell’utente15. Un esempio di applicazione concreta di tale
norma è senz’altro Internet, che espone l’utente al pericolo di acquisizione occulta dei dati e di
intrusione nella propria sfera privata: è noto, infatti, l’uso di dispositivi come i sofware spia, i
marcatori (cookies), i bachi invisibili16. Le informazioni così raccolte (username, password, durata
della connessione) possono diventare dati personali nel momento in cui ad esempio l’utente compila
on-line un modulo (guest-book), contenente i propri dati.17 A questo proposito si è rivelata
interessante la Raccomandazione n.2/2001 del Gruppo dei Garanti europeo, “Relativa ai requisiti
minimi per la raccolta dei dati on-line nell’UE”: fra le altre cautele disposte, quella di menzionare
chiaramente l’esistenza, le finalità e la validità di procedure di raccolta automatica di dati prima di
utilizzarle18; Gli utenti dunque devono essere informati dell’esistenza di dispositivi, dei rischi
connessi al loro utilizzo, della natura del trattamento e che il loro consenso qualificato è
indispensabile per l’installazione di marcatori, anche quando il loro uso sia legittimo per la fornitura
di un servizio richiesto dall’utente19.
5. Dati sul traffico e dati relativi all’ubicazione.
e accorgimenti a garanzia dell’interessato, ove prescritti dal Garante nell’ambito di una verifica preliminare all’inizio
del trattamento – effettuata anche per categorie di titolari o di trattamenti.
14
Nel primo caso il consenso non è richiesto per dati comuni (ma deve effettuarsi solo per lo svolgimento di funzioni
istituzionali); se si tratta di dati sensibili o giudiziari è consentito solo se previsto da espressa disposizione di legge che
indichi i tipi di dati, le modalità, e le finalità pubbliche perseguite. Nel caso di privati, è ammesso solo con il consenso
informato, espresso e riferito a uno specifico trattamento (per i dati sensibili è richiesta la forma scritta); v. art. 18 del
Codice.
15
Si rimette al codice deontologico, ancora da adottare, la determinazione dei limiti entro cui è possibile, con il
consenso espresso e informato dell’utente, tale uso della rete, per soli e determinati scopi di memorizzazione tecnica,
trasmissione, fornitura di un servizio richiesto dall’utente. Il rischio di lesione per la riservatezza dell’utente, dovuta alla
genericità delle espressioni usate dal legislatore comunitario (art.5) e nazionale (art.122) è messa in luce da certa
dottrina (v. S. Vigliar, Dir. Inf. 2003, p. 412).
16
Questi dispositivi, introdottisi nel terminale dell’utente possono accedere ai dati contenuti o memorizzare i siti web
visitati dall’utente, rilevandone i gusti e gli interessi, permettendo così di tracciarne il profilo. Non è un caso che la
direttiva n. 2002/58 (considerando 25) prenda, per la prima volta, in considerazione questi strumenti, consentiti quando
destinati a scopi legittimi e con le adeguate cautele. Tra le altre procedure si possono ricordare: gli spyware e gli
adware.
17
Si è osservato che spesso il fornitore di accesso ad Internet e il fornitore di contenuti web coincidono o vi sono tra
loro accordi commerciali, per cui è facile intuire come gli stessi possano incrociare le informazioni acquisite e ottenere
dati, anche sensibili, riconducibili a un soggetto identificato.
18
Inoltre è prescritto: di raccogliere esclusivamente i dati necessari per il conseguimento dello scopo prefisso (principio
della “minimizzazione”, ex art.6 Dir. n. 95/46); di incoraggiare la consultazione in forma anonima di siti commerciali e
l’uso di pseudonimi; di conservare i dati raccolti per il tempo strettamente necessario; per quanto riguarda la posta
elettronica, è stabilito che gli indirizzi reperiti su Internet all’insaputa dell’interessato non sono da considerare pubblici,
tali da essere utilizzati per fini diversi – in primis la commercializzazione diretta - da quelli di origine.
19
Il mancato rispetto delle regole che andranno a far parte del codice deontologico in materia (art.133) comporterà la
responsabilità del fornitore del servizio nei confronti dell’utente per trattamento illecito, con eventuale risarcimento del
danno.
4
Non si può prescindere, in questa sede, dall’analisi dalle disposizioni in tema di dati relativi al
traffico e all’ubicazione. Circa il primo tipo (Art. 123 Codice it. e art. 6 Dir. n. 2002/58) la regola è
che vadano cancellati o resi anonimi quando non più necessari ai fini della trasmissione della
comunicazione elettronica, salvo quelli strettamente necessari ai fini della fatturazione o di
pagamenti, che possono essere conservati dal fornitore di una rete o di un servizio di c.e. per non
più di sei mesi (un periodo più lungo è previsto eccezionalmente e per ipotesi specifiche dall’art.132
del Codice).
In deroga a quanto sopra esposto, è consentito il trattamento ulteriore di dati di traffico per la
commercializzazione di servizi di comunicazione o per la fornitura di servizi a valore aggiunto20,
ma solo nella misura e per la durata necessarie, nonché con il previo consenso dell’interessato, il
quale può revocarlo in ogni momento21. Viene così codificato il sistema dell’ opt-in, la possibilità
del cliente di scegliere liberamente se aderire o meno all’offerta di un servizio22.
Interessante, a questo proposito, anche il recente parere del Gruppo dei Garanti UE (9/2004) che,
nel ribadire i principi fondamentali in materia di conservazione dei dati di traffico (proporzionalità,
pertinenza, finalità specifica), afferma l’illegittimità di una conservazione indiscriminata dei dati di
traffico e la necessità che vi sia in concreto un’esigenza specifica23. Come ribadito di recente
(ottobre 2004) nella Conferenza del Consiglio d’Europa di Praga, è più che mai importante
favorire l’interazione tra soluzioni normative e autoregolamentative, che attraverso strumenti
adeguati (quali i Codici di condotta e la diffusione delle Privacy Enhancing Technology) conduca al
raggiungimento di alcuni degli obiettivi dell’UE in materia. 24
Per quanto riguarda la categoria dei dati relativi all’ubicazione25, ci si trova di fronte ad un’ipotesi
nuova nel panorama normativo comunitario e nazionale: si tratta di ogni dato di una rete di
comunicazione elettronica che indica la posizione geografica dell’apparecchiatura terminale
dell’utente26. Le preoccupazioni in tema di privacy derivano dalle tecniche adoperate nel
trattamento di questi dati, che per loro natura sono particolarmente invasive, potendo monitorare gli
spostamenti, l’attività dell’individuo, fino ad invadere la sua sfera di libertà e di dignità27. Anche in
questo caso il Codice (art. 126) stabilisce che possono essere trattati, nel rispetto del principio di
20
Servizi a valore aggiunto possono consistere ad esempio in suggerimenti sui pacchetti tariffari meno costosi,
orientamento stradale, informazioni sul traffico, previsioni meteorologiche, informazioni turistiche. Cfr. Considerando
18 della Dir. 2002/58.
21
Poiché i servizi a valore aggiunto richiedono il trattamento dei dati relativi al traffico e dei dati relativi all’ubicazione
(diversi dai dati relativi al traffico) oltre a quanto necessario per la trasmissione di una comunicazione, possono
configurare in concreto un abuso, con conseguente commissione di illecito civile, se non penale.
22
Il consenso, libero e consapevole, può essere fornito con qualsiasi modalità appropriata, compresa la selezione di
un’apposita casella di un sito Internet. I soggetti autorizzati ad effettuare i trattamenti dei dati di traffico sono solo gli
incaricati del trattamento che operano sotto la diretta autorità del fornitore del servizio o della rete, la cui identificazione
deve essere garantita anche mediante un’interrogazione automatizzata.
23
L’attenzione per le implicazioni in materia di privacy derivanti dall’uso di reti di comunicazione elettronica (a cui
sono collegati numerosi terminali mobili dell’utente) spiega la menzione dei dati sul traffico nell’art. 5 della direttiva
del 2002 (Riservatezza nelle comunicazioni): dati considerati “esterni”, come quelli relativi alla navigazione in Internet,
nel momento in cui forniscono, anche indirettamente, informazioni sull’utente (contenuti web, transactional data)
devono essere soggetti allo stesso livello di protezione del contenuto di una comunicazione (Cfr. Gruppo dei Garanti
UE, WP37). Ai fini del presente lavoro pare utile inoltre tenere in considerazione il divieto, contenuto sempre nell’art.5
della Dir. n.2002/58, di “ascolto, captazione, memorizzazione e di altre forme di intercettazione o di sorveglianza delle
comunicazioni ad opera di persone diverse dagli utenti senza il consenso di questi ultimi (una deroga è possibile solo
per ragioni di sicurezza nazionale o per il perseguimento di reati ex art. 15).
24
Tra gli altri obiettivi quello di sensibilizzare gli interessati, fornire un’informativa adeguata e chiara (il più possibile
standardizzata e accattivante per l’utente), garantire l’effettività del consenso prestato (qualsiasi deroga al consenso
deve essere controbilanciata da requisiti severi relativi all’informativa o alla trasparenza delle operazioni).
25
Occorre sottolineare che si tratta di uno dei trattamenti soggetti all’obbligo di notificazione al Garante ex art. 37
26
In base al considerando 14 della Dir. 2002/58 può riferirsi alla latitudine, longitudine, direzione di viaggio,
identificazione della cella di rete in cui un soggetto è ubicato.
27
Le reti mobili digitali, infatti, hanno la capacità di trattare dati che possiedono un grado di precisione maggiore
rispetto a quello necessario alla trasmissione e che vengono utilizzati per servizi a valore aggiunto (come servizi di
radioguida satellitare).
5
necessità e pertinenza, solo se anonimi o con il consenso dell’interessato; quest’ultimo deve essere
revocabile in ogni momento, gratuitamente e con una funzione semplice, anche in via temporanea, e
per ogni collegamento alla rete28.
Un altro aspetto delle comunicazioni elettroniche da tenere in considerazione è quello delle
“comunicazioni indesiderate”29 previsto dall’art. 130 che impone nuovamente la regola severa
dell’opt-in, del consenso preventivo dell’interessato, con l’ulteriore possibilità per questo di opporsi
in ogni momento.
6. Videosorveglianza.
Nel Codice e in numerosi provvedimenti del Garante è dedicata attenzione a questo fenomeno, per
la particolare potenzialità lesiva in tema di la privacy, la cui disciplina risulta interessante per
l’analisi dell’impatto delle più moderne tecnologie. Anche in questo caso è rimessa ad uno
strumento di autodisciplina (art. 134) la definizione di modalità specifiche di trattamento e di forme
semplificate di informativa per garantire i principi di cui all’art. 1130. Nel provvedimento generale
del 29/04/04 il Garante ha individuato i punti chiave di quello che costituirà il codice deontologico
(il rispetto delle cui disposizioni costituirà la condizione essenziale per legittimare il trattamento dei
dati personali effettuato dai soggetti pubblici o privati) e ha indicato alcune cautele minime che
devono essere osservate, avuto riguardo anche alla libera circolazione nei luoghi pubblici, in modo
da sottoporre i sistemi di monitoraggio a specifiche condizioni che assicurino il rispetto della
dignità e della privacy di ogni persona31. Attira l’attenzione, per la rilevanza rispetto al tema in
esame, la previsione (par.3.3.1.del provvedimento) della “verifica preliminare”, ad opera della
stessa Autorità, dei sistemi di videosorveglianza e raccolta di immagini incrociata e/o confrontata
con altri particolari dati personali (ad es. biometrici), con codici identificativi di carte elettroniche o
con dispositivi che rendono identificabile la voce; tale verifica (che risponde a quanto indicato dal
già menzionato art. 17 del Codice) è prevista anche in caso di digitalizzazione o indicizzazione delle
immagini e in caso di videosorveglianza dinamico-preventiva che non si limiti a riprendere
statisticamente un luogo ma rilevi percorsi o caratteristiche fisionomiche (ad es. riconoscimento
facciale) o eventi improvvisi. Quanto agli adempimenti previsti a carico dei titolari32, bisogna
osservare che i trattamenti in materia di videosorveglianza devono essere notificati solo se rientrano
in casi specifici previsti dal codice (art.37): si può qui ricordare il trattamento di dati genetici,
biometrici o che indicano la posizione geografica di persone od oggetti mediante una rete di
28
Uno specifico onere informativo è previsto anche in questo caso a carico del fornitore del servizio. Da rilevare che
quando tali dati si limitano a determinare la posizione geografica dell’apparecchio terminale dell’utente mobile e a
consentire la trasmissione di comunicazioni vanno equiparati ai dati relativi al traffico (art.6 Dir.2002/58/CE).
29
Tra le quali sono incluse le e-mail, gli sms, mms finalizzati all’invio di materiale pubblicitario o di vendita diretta o
per il compimento di ricerche di mercato. Cfr. art. 130 del Codice e art.13 della Dir. 2002/58/CE.
30
La Convenzione n. 108/81 e la Dir. n. 95/46/CE impongono l’applicazione della disciplina sul trattamento dei dati
personali anche ai dati cifrati o codificati, nonché ai suoni e alle immagini, qualora permettano di identificare un
soggetto anche in via indiretta.
31
Tra gli altri: il principio di liceità; il principio di necessità, la cui inosservanza comporta l’illiceità della
videosorveglianza, ex art. 3 e 11; principio di proporzionalità tra i mezzi applicati e i fini perseguiti; di finalità; di
pertinenza, adeguatezza e non eccedenza dei dati rispetto alle modalità di ripresa delle immagini (il ché equivale a un
dovere di utilizzo delle attrezzature solo in via sussidiaria; periodo determinato di conservazione dei dati, previsto solo
in relazione a illeciti verificatisi).
32
Ad es. devono essere designati per iscritto i responsabili e gli incaricati autorizzati ad utilizzare gli impianti di
videosorveglianza – un numero ristretto di persone; per quanto riguarda l’eventuale conservazione dei dati, che deve
essere limitata al massimo alle 24 ore successive alla rilevazione, salvo eccezioni, il Garante prescrive, oltre al criterio
di indispensabilità, che vi siano diversi livelli di accesso al sistema e di utilizzo eventuale delle informazioni; devono
essere garantite misure di sicurezza “idonee”, tali da ridurre al minimo i rischi di distruzione, perdita accidentale,
accesso non autorizzato, e “minime”, trattandosi di dati trattati con strumenti elettronici, ex Allegato B al Codice.
6
comunicazione elettronica (dati relativi all’ubicazione)33 e il trattamento di dati con l’ausilio di
strumenti elettronici volti a definire il profilo dell’interessato34.
Di recente la 26° Conferenza Internazionale dei Garanti35 si è conclusa con l’approvazione, tra
l’altro, di una Risoluzione attinente alla definizione di uno standard-quadro ISO in materia di
privacy: sarà interessante verificarne l’applicazione concreta nel prossimo futuro.36
7. Quale normativa per il futuro (prossimo)?
Molti i problemi ancora aperti in materia di tutela dei dati personali, dato soprattutto il divario che
esiste tra lo sviluppo galoppante delle tecnologie informatiche e il procedere lento del diritto che
richiede adeguati strumenti tecnologici perché la normativa sia davvero efficace e aderente alla
realtà sociale. Nell’annosa questione se sia necessario elaborare nuovi strumenti giuridici o se
possano essere utilizzate le categorie tradizionali del diritto, si inseriscono a pieno titolo i codici
deontologici, strumenti più flessibili che stanno dimostrando, nei diversi settori di applicazione, la
loro efficacia. All’adozione prossima di alcuni di questi strumenti di autoregolamentazione (in
materia di trattamento di dati via Internet e in materia di videosorveglianza) e alla loro concreta
portata applicativa dovra’ essere rivolta l’attenzione dei giuristi e degli operatori del settore.
Per concludere, come ha sottolineato Stefano Rodotà alla Conferenza di Wroclow, “Emerge la
necessità di un habeas data, di una protezione integrale della persona nella dimensione
elettronica…La tutela della privacy assurge da semplice tutela della vita privata a elemento
essenziale della cittadinanza nel nuovo millennio”.
33
Fanno eccezione -nel senso che sono esclusi dall’obbligo di notificazione - i dati che indicano la posizione geografica
di mezzi di trasporto aereo, navale e terrestre effettuati esclusivamente a fini di sicurezza; cfr. Provv. Garante 31/03/04
34
Interessante anche il divieto, nei trattamenti effettuati da soggetti pubblici, di collegamento telematico tra più
soggetti, anche raccordati ad un centro elettronico, che possa registrare un numero elevato di dati personali e ricostruire
interi percorsi effettuati in un determinato arco di tempo. Cfr. provv. Garante 24/04/04.
35
Cfr. le Risoluzioni adottate dalla Conferenza tenutasi a Wroclow, Polonia, 14-16 settembre 2004.
36
In particolare i Garanti hanno chiesto all’Organizzazione Internazionale per la Standardizzazione l’individuazione di
uno standard tecnologico fondato sulle prassi di leale informazione e sui principi di parsimonia, necessità e
armonizzazione nell’uso dei dati Lo standard dovrebbe poggiare sul rispetto di 3 parametri: offrire criteri di verifica
che facilitino il rispetto delle normative nazionali e internazionali da parte dei titolari; indicare se le misure a tutela della
privacy impiegate dai sistemi sono realmente efficaci; garantire che i dati personali siano trattati nel rispetto dei criteri
con cui sono stati raccolti, indipendentemente dal numero di soggetti che possono intervenire nella gestione o
trasmissione dei dati.
7