La tutela dei dati personali nelle comunicazioni elettroniche
Transcript
La tutela dei dati personali nelle comunicazioni elettroniche
“La tutela dei dati personali nelle comunicazioni elettroniche: applicabilità della disciplina vigente alle nuove frontiere della tecnologia” di Shara Monteleone1 Computerlaw.it 2005 – Alcuni diritti riservati 1 Dottoranda al Centro per l’integrazione e la comunicazione dei media (MICC), dell’Universita’ degli Studi di Firenze. 1 1. Premessa. 2. Il quadro normativo di riferimento. 3. I principi fondamentali. 4. Il trattamento dei dati on-line. 5. Dati sul traffico e dati relativi all’ubicazione. 6. Videosorveglianza. 7. Quale normativa per il futuro (prossimo)? 1. Premessa. Lo sviluppo delle moderne tecnologie digitali se, da un lato, contribuisce ad ottimizzare la fruizione di servizi nella società dell’informazione, dall’altro, pone nuovi e più complessi problemi in termini di tutela di alcuni diritti e libertà fondamentali costituzionalmente garantiti, tra cui il diritto alla riservatezza2. La libera circolazione di quantità sempre maggiori di informazioni, necessarie ad aziende private e soggetti pubblici per l’esercizio delle loro attività, richiede, come contrappeso la predisposizione di adeguate misure a garanzia del diritto di tutela dei dati personali, affinché non si concretizzi una società della sorveglianza fondata su nuove forme di discriminazione sociale e sul dominio delle logiche di mercato3. Negli ultimi anni, dopo la diffusione di strumenti che consentono la “mobilità” di persone e interessi, stanno prendendo rapidamente piede tecniche sempre più sofisticate di localizzazione, che pongono seri dubbi di compatibilità con i diritti fondamentali e indisponibili della persona4. E’ proprio nell’ottica di creare un sistema di garanzie e di tutele per il singolo individuo nel mondo delle comunicazioni elettroniche che sono state varate in questi anni alcune importanti direttive europee, e sono stati adottati provvedimenti a livello internazionale contenenti i parametri di riferimento per legislatori nazionali e ‘tecnici’ del settore. 2. Il quadro normativo di riferimento. La disciplina giuridica vigente in materia è costituita da un insieme di disposizioni contenute in varie fonti normative operanti a più livelli. E’ bene in questa sede ricordare, prima fra tutte, la Convenzione Europea Sui Diritti dell’Uomo del ’50, che all’art. 8 riconosce ad ogni persona il diritto al rispetto della sua vita privata e familiare; in secondo luogo, la Convenzione di Strasburgo n. 108 dell’81 “sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale”; la Direttiva n. 95/46/CE, che ha tracciato i principi fondamentali in materia di “tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati”; e ancora, la Carta dei diritti fondamentali dell’UE di Nizza del 2000 che dedica l’art. 8 alla “protezione dei dati di carattere personale”. Più recentemente con la Direttiva n. 2002/58/CE “relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche”, il legislatore comunitario ha inteso armonizzare le disposizioni degli Stati membri e assicurare al loro interno un livello equivalente di tutela del diritto alla vita privata5. Le ultime disposizioni europee sono state recepite dal legislatore italiano con il 2 Sul fondamento costituzionale e sull’evoluzione storica del concetto di riservatezza cfr. G. Pascuzzi, Il diritto nell’era digital, Studi e Ricerche, 2003 e R. Zaccaria, Diritto dell’informazione edella comunicazione, Cedam, Padova, 2004 3 V. Niger Privacy e comunicazioni elettroniche, Cedam, 2004 p.387 e D. Lyon,,La società sorvegliata, Feltrinelli,2002. 4 Cfr. T. Croce, Comunicazioni elettroniche, in Codice in materia di protezione dei dati, p. 1513, la quale sottolinea come “la necessità di speciali norme di regolamentazione a tutela dei soggetti è implicita nella natura invasiva e pervasiva degli strumenti utilizzati per la veicolazione delle comunicazioni elettroniche e digitali”. 5 Il provvedimento fa parte di un “pacchetto” di direttive europee diretto a formare il nuovo quadro normativo per le reti e i servizi di comunicazione elettronica e completato dalle direttive “quadro”, “autorizzazioni”, “accesso e interconnessione”, “servizio universale”. Un importante criterio stabilito a livello comunitario è quello della neutralità tecnologica, secondo cui devono essere emanate regole neutrali rispetto alla tecnica utilizzata, in modo tale che lo stesso servizio sia disciplinato con uguali criteri indipendentemente dalle modalità e dal mezzo con cui è fornito. 2 “Codice in materia di protezione dei dati personali” (D.lgs. n. 196/2003), entrato in vigore all’inizio del 2004 e che ha sostituito la legge n. 675/96. Può essere utile qui richiamare alcune definizioni contenute nel T.U. e mutuate dalla suddetta direttiva: quella di “comunicazione elettronica”, intesa come ogni informazione scambiata o trasmessa tra un numero finito di soggetti tramite un servizio di comunicazione (art.4, co.2, l a); di “servizio di comunicazione”, consistente esclusivamente o prevalentemente nella trasmissione di segnali su reti di comunicazione elettronica (art.4, co.2, l e); di “dato personale”, come qualsiasi informazione relativa a persona fisica o giuridica, ente o associazione identificati o identificabili anche indirettamente, mediante riferimento a qualsiasi altra informazione, compreso un numero di identificazione personale. Di conseguenza non sono dati personali, i dati anonimi o comunque inidonei a identificare la persona a cui si riferiscono. 3. Principi fondamentali. Il nuovo Codice in particolare ha recepito alcuni dei principi fondamentali in materia, che devono essere tenuti in considerazione, ai fini del presente lavoro, in quanto applicabili a tutti i tipi di trattamento di dati personali6. All’art. 2 è stabilito che il trattamento dei dati deve svolgersi nel rispetto dei diritti e libertà fondamentali, con particolare riguardo alla dignità, alla riservatezza e all’identità personali7. Significativo poi il principio, indicato all’art. 3, di “necessità”, secondo il quale i sistemi informatici e i programmi informativi devono essere configurati riducendo al minimo l’utilizzazione di dati identificativi8. All’interessato - soggetto a cui si riferiscono i dati - è riconosciuta una serie di diritti (art. 7), che vanno dal diritto di accesso ai propri dati9, al diritto di aggiornamento, alla cancellazione, trasformazione in forma anonima o blocco dei dati trattati contra legem; nonché al diritto di opposizione per motivi legittimi o in caso di trattamenti a fini di invio di materiale pubblicitario, di vendita diretta, di ricerche di mercato. Circa i requisiti imprescindibili dei dati oggetto di trattamento e le modalità di quest’ultimo si afferma, all’art. 11, il principio di liceità e correttezza, di pertinenza e non eccedenza rispetto alle finalità della raccolta; queste ultime devono essere determinate, esplicite e legittime.10 Nell’ambito delle regole generali valide per ogni trattamento, rilevano in questa sede le norme sull’informativa11 e sulla “Definizione di profili e della personalità dell’interessato”12, nonché quelle sul “Trattamento che presenta rischi specifici”, particolarmente significative per il trattamento effettuato con strumenti elettronico-digitali13. 6 L’art. 1 afferma che “chiunque”, ogni persona fisica o giuridica, indipendentemente dalla sua nazionalità o residenza, ha diritto alla protezione dei dati personali, e questo anche – e soprattutto – in relazione all’elaborazione automatica dei dati personali. Si potrebbe affermare che tale principio è il fondamento giuridico della tutela della persona nei confronti dei processi elettronici e digitali del trattamento dei dati personali; cfr. T. Croce, op. cit., p. 1515. 7 Sul concetto di identità personale, intesa come patrimonio unico di conoscenze ed esperienze appartenenti a ciascuno di ognuno v. S. Rodotà, Tecnopolitica,il Mulino, Bologna. 8 Il trattamento è da escludersi quando le finalità perseguite nei singoli casi possono essere realizzate mediante dati anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità. Al considerando 30 della Dir. n. 2002/58 si legge: “I sistemi per la fornitura di reti e servizi di comunicazione elettronica dovrebbero essere progettati per limitare al minimo la quantità di dati personali necessari”. 9 Il diritto di acceso comprende la conferma dell’esistenza dei propri dati, l’indicazione dell’origine, delle finalità e delle modalità del trattamento, degli estremi del titolare e del responsabile, dei soggetti terzi a cui i dati possono essere comunicati. 10 Da ricordare, inoltre, che il Codice sancisce l’inutilizzabilità dei dati trattati in violazione di legge. 11 L’interessato deve essere informato oralmente o per iscritto circa: le finalità del trattamento, gli estremi del titolare, l’obbligatorietà o meno del conferimento dei dati, le conseguenze di un eventuale rifiuto di rispondere; cfr. art. 13 Cod. 12 Si legge infatti all’art. 14 del Codice: Nessun atto o provvedimento giudiziario o amministrativo che implichi una valutazione del comportamento umano può essere fondato unicamente su un trattamento automatizzato di dati personali volto a definire il profilo o la personalità dell’interessato; l’interessato, inoltre, può opporsi ad ogni altro tipo di decisione adottata sulla base di un suo profilo, salvo che sia stata adottata in occasione della conclusione o esecuzione di un contratto. 13 Il trattamento dei dati che presenta rischi specifici per i diritti e le libertà fondamentali in relazione alla natura dei dati, alle modalità di trattamento o agli effetti che può determinare è ammesso dal Codice (art. 17) nel rispetto di misure 3 Altro requisito fondamentale che rileva ai fini della legittimità del trattamento, ma che risulta spesso di difficile applicazione concreta nel settore delle comunicazioni elettroniche, è rappresentato dal consenso: esso opera in modo diverso a seconda della qualificazione soggettiva del titolare del trattamento (soggetto pubblico o privato)14. 4.Trattamento dei dati on-line. Per quanto riguarda più specificatamente il trattamento dei dati nell’ambito delle comunicazioni elettroniche il Codice dedica alla relativa disciplina il Titolo X. Particolarmente significativo appare il divieto imposto dall’art. 122 di utilizzare la rete di comunicazione elettronica per accedere alle informazioni archiviate nelle apparecchiature terminali dell’abbonato o dell’utente, per archiviare informazioni o monitorare le operazioni dell’utente15. Un esempio di applicazione concreta di tale norma è senz’altro Internet, che espone l’utente al pericolo di acquisizione occulta dei dati e di intrusione nella propria sfera privata: è noto, infatti, l’uso di dispositivi come i sofware spia, i marcatori (cookies), i bachi invisibili16. Le informazioni così raccolte (username, password, durata della connessione) possono diventare dati personali nel momento in cui ad esempio l’utente compila on-line un modulo (guest-book), contenente i propri dati.17 A questo proposito si è rivelata interessante la Raccomandazione n.2/2001 del Gruppo dei Garanti europeo, “Relativa ai requisiti minimi per la raccolta dei dati on-line nell’UE”: fra le altre cautele disposte, quella di menzionare chiaramente l’esistenza, le finalità e la validità di procedure di raccolta automatica di dati prima di utilizzarle18; Gli utenti dunque devono essere informati dell’esistenza di dispositivi, dei rischi connessi al loro utilizzo, della natura del trattamento e che il loro consenso qualificato è indispensabile per l’installazione di marcatori, anche quando il loro uso sia legittimo per la fornitura di un servizio richiesto dall’utente19. 5. Dati sul traffico e dati relativi all’ubicazione. e accorgimenti a garanzia dell’interessato, ove prescritti dal Garante nell’ambito di una verifica preliminare all’inizio del trattamento – effettuata anche per categorie di titolari o di trattamenti. 14 Nel primo caso il consenso non è richiesto per dati comuni (ma deve effettuarsi solo per lo svolgimento di funzioni istituzionali); se si tratta di dati sensibili o giudiziari è consentito solo se previsto da espressa disposizione di legge che indichi i tipi di dati, le modalità, e le finalità pubbliche perseguite. Nel caso di privati, è ammesso solo con il consenso informato, espresso e riferito a uno specifico trattamento (per i dati sensibili è richiesta la forma scritta); v. art. 18 del Codice. 15 Si rimette al codice deontologico, ancora da adottare, la determinazione dei limiti entro cui è possibile, con il consenso espresso e informato dell’utente, tale uso della rete, per soli e determinati scopi di memorizzazione tecnica, trasmissione, fornitura di un servizio richiesto dall’utente. Il rischio di lesione per la riservatezza dell’utente, dovuta alla genericità delle espressioni usate dal legislatore comunitario (art.5) e nazionale (art.122) è messa in luce da certa dottrina (v. S. Vigliar, Dir. Inf. 2003, p. 412). 16 Questi dispositivi, introdottisi nel terminale dell’utente possono accedere ai dati contenuti o memorizzare i siti web visitati dall’utente, rilevandone i gusti e gli interessi, permettendo così di tracciarne il profilo. Non è un caso che la direttiva n. 2002/58 (considerando 25) prenda, per la prima volta, in considerazione questi strumenti, consentiti quando destinati a scopi legittimi e con le adeguate cautele. Tra le altre procedure si possono ricordare: gli spyware e gli adware. 17 Si è osservato che spesso il fornitore di accesso ad Internet e il fornitore di contenuti web coincidono o vi sono tra loro accordi commerciali, per cui è facile intuire come gli stessi possano incrociare le informazioni acquisite e ottenere dati, anche sensibili, riconducibili a un soggetto identificato. 18 Inoltre è prescritto: di raccogliere esclusivamente i dati necessari per il conseguimento dello scopo prefisso (principio della “minimizzazione”, ex art.6 Dir. n. 95/46); di incoraggiare la consultazione in forma anonima di siti commerciali e l’uso di pseudonimi; di conservare i dati raccolti per il tempo strettamente necessario; per quanto riguarda la posta elettronica, è stabilito che gli indirizzi reperiti su Internet all’insaputa dell’interessato non sono da considerare pubblici, tali da essere utilizzati per fini diversi – in primis la commercializzazione diretta - da quelli di origine. 19 Il mancato rispetto delle regole che andranno a far parte del codice deontologico in materia (art.133) comporterà la responsabilità del fornitore del servizio nei confronti dell’utente per trattamento illecito, con eventuale risarcimento del danno. 4 Non si può prescindere, in questa sede, dall’analisi dalle disposizioni in tema di dati relativi al traffico e all’ubicazione. Circa il primo tipo (Art. 123 Codice it. e art. 6 Dir. n. 2002/58) la regola è che vadano cancellati o resi anonimi quando non più necessari ai fini della trasmissione della comunicazione elettronica, salvo quelli strettamente necessari ai fini della fatturazione o di pagamenti, che possono essere conservati dal fornitore di una rete o di un servizio di c.e. per non più di sei mesi (un periodo più lungo è previsto eccezionalmente e per ipotesi specifiche dall’art.132 del Codice). In deroga a quanto sopra esposto, è consentito il trattamento ulteriore di dati di traffico per la commercializzazione di servizi di comunicazione o per la fornitura di servizi a valore aggiunto20, ma solo nella misura e per la durata necessarie, nonché con il previo consenso dell’interessato, il quale può revocarlo in ogni momento21. Viene così codificato il sistema dell’ opt-in, la possibilità del cliente di scegliere liberamente se aderire o meno all’offerta di un servizio22. Interessante, a questo proposito, anche il recente parere del Gruppo dei Garanti UE (9/2004) che, nel ribadire i principi fondamentali in materia di conservazione dei dati di traffico (proporzionalità, pertinenza, finalità specifica), afferma l’illegittimità di una conservazione indiscriminata dei dati di traffico e la necessità che vi sia in concreto un’esigenza specifica23. Come ribadito di recente (ottobre 2004) nella Conferenza del Consiglio d’Europa di Praga, è più che mai importante favorire l’interazione tra soluzioni normative e autoregolamentative, che attraverso strumenti adeguati (quali i Codici di condotta e la diffusione delle Privacy Enhancing Technology) conduca al raggiungimento di alcuni degli obiettivi dell’UE in materia. 24 Per quanto riguarda la categoria dei dati relativi all’ubicazione25, ci si trova di fronte ad un’ipotesi nuova nel panorama normativo comunitario e nazionale: si tratta di ogni dato di una rete di comunicazione elettronica che indica la posizione geografica dell’apparecchiatura terminale dell’utente26. Le preoccupazioni in tema di privacy derivano dalle tecniche adoperate nel trattamento di questi dati, che per loro natura sono particolarmente invasive, potendo monitorare gli spostamenti, l’attività dell’individuo, fino ad invadere la sua sfera di libertà e di dignità27. Anche in questo caso il Codice (art. 126) stabilisce che possono essere trattati, nel rispetto del principio di 20 Servizi a valore aggiunto possono consistere ad esempio in suggerimenti sui pacchetti tariffari meno costosi, orientamento stradale, informazioni sul traffico, previsioni meteorologiche, informazioni turistiche. Cfr. Considerando 18 della Dir. 2002/58. 21 Poiché i servizi a valore aggiunto richiedono il trattamento dei dati relativi al traffico e dei dati relativi all’ubicazione (diversi dai dati relativi al traffico) oltre a quanto necessario per la trasmissione di una comunicazione, possono configurare in concreto un abuso, con conseguente commissione di illecito civile, se non penale. 22 Il consenso, libero e consapevole, può essere fornito con qualsiasi modalità appropriata, compresa la selezione di un’apposita casella di un sito Internet. I soggetti autorizzati ad effettuare i trattamenti dei dati di traffico sono solo gli incaricati del trattamento che operano sotto la diretta autorità del fornitore del servizio o della rete, la cui identificazione deve essere garantita anche mediante un’interrogazione automatizzata. 23 L’attenzione per le implicazioni in materia di privacy derivanti dall’uso di reti di comunicazione elettronica (a cui sono collegati numerosi terminali mobili dell’utente) spiega la menzione dei dati sul traffico nell’art. 5 della direttiva del 2002 (Riservatezza nelle comunicazioni): dati considerati “esterni”, come quelli relativi alla navigazione in Internet, nel momento in cui forniscono, anche indirettamente, informazioni sull’utente (contenuti web, transactional data) devono essere soggetti allo stesso livello di protezione del contenuto di una comunicazione (Cfr. Gruppo dei Garanti UE, WP37). Ai fini del presente lavoro pare utile inoltre tenere in considerazione il divieto, contenuto sempre nell’art.5 della Dir. n.2002/58, di “ascolto, captazione, memorizzazione e di altre forme di intercettazione o di sorveglianza delle comunicazioni ad opera di persone diverse dagli utenti senza il consenso di questi ultimi (una deroga è possibile solo per ragioni di sicurezza nazionale o per il perseguimento di reati ex art. 15). 24 Tra gli altri obiettivi quello di sensibilizzare gli interessati, fornire un’informativa adeguata e chiara (il più possibile standardizzata e accattivante per l’utente), garantire l’effettività del consenso prestato (qualsiasi deroga al consenso deve essere controbilanciata da requisiti severi relativi all’informativa o alla trasparenza delle operazioni). 25 Occorre sottolineare che si tratta di uno dei trattamenti soggetti all’obbligo di notificazione al Garante ex art. 37 26 In base al considerando 14 della Dir. 2002/58 può riferirsi alla latitudine, longitudine, direzione di viaggio, identificazione della cella di rete in cui un soggetto è ubicato. 27 Le reti mobili digitali, infatti, hanno la capacità di trattare dati che possiedono un grado di precisione maggiore rispetto a quello necessario alla trasmissione e che vengono utilizzati per servizi a valore aggiunto (come servizi di radioguida satellitare). 5 necessità e pertinenza, solo se anonimi o con il consenso dell’interessato; quest’ultimo deve essere revocabile in ogni momento, gratuitamente e con una funzione semplice, anche in via temporanea, e per ogni collegamento alla rete28. Un altro aspetto delle comunicazioni elettroniche da tenere in considerazione è quello delle “comunicazioni indesiderate”29 previsto dall’art. 130 che impone nuovamente la regola severa dell’opt-in, del consenso preventivo dell’interessato, con l’ulteriore possibilità per questo di opporsi in ogni momento. 6. Videosorveglianza. Nel Codice e in numerosi provvedimenti del Garante è dedicata attenzione a questo fenomeno, per la particolare potenzialità lesiva in tema di la privacy, la cui disciplina risulta interessante per l’analisi dell’impatto delle più moderne tecnologie. Anche in questo caso è rimessa ad uno strumento di autodisciplina (art. 134) la definizione di modalità specifiche di trattamento e di forme semplificate di informativa per garantire i principi di cui all’art. 1130. Nel provvedimento generale del 29/04/04 il Garante ha individuato i punti chiave di quello che costituirà il codice deontologico (il rispetto delle cui disposizioni costituirà la condizione essenziale per legittimare il trattamento dei dati personali effettuato dai soggetti pubblici o privati) e ha indicato alcune cautele minime che devono essere osservate, avuto riguardo anche alla libera circolazione nei luoghi pubblici, in modo da sottoporre i sistemi di monitoraggio a specifiche condizioni che assicurino il rispetto della dignità e della privacy di ogni persona31. Attira l’attenzione, per la rilevanza rispetto al tema in esame, la previsione (par.3.3.1.del provvedimento) della “verifica preliminare”, ad opera della stessa Autorità, dei sistemi di videosorveglianza e raccolta di immagini incrociata e/o confrontata con altri particolari dati personali (ad es. biometrici), con codici identificativi di carte elettroniche o con dispositivi che rendono identificabile la voce; tale verifica (che risponde a quanto indicato dal già menzionato art. 17 del Codice) è prevista anche in caso di digitalizzazione o indicizzazione delle immagini e in caso di videosorveglianza dinamico-preventiva che non si limiti a riprendere statisticamente un luogo ma rilevi percorsi o caratteristiche fisionomiche (ad es. riconoscimento facciale) o eventi improvvisi. Quanto agli adempimenti previsti a carico dei titolari32, bisogna osservare che i trattamenti in materia di videosorveglianza devono essere notificati solo se rientrano in casi specifici previsti dal codice (art.37): si può qui ricordare il trattamento di dati genetici, biometrici o che indicano la posizione geografica di persone od oggetti mediante una rete di 28 Uno specifico onere informativo è previsto anche in questo caso a carico del fornitore del servizio. Da rilevare che quando tali dati si limitano a determinare la posizione geografica dell’apparecchio terminale dell’utente mobile e a consentire la trasmissione di comunicazioni vanno equiparati ai dati relativi al traffico (art.6 Dir.2002/58/CE). 29 Tra le quali sono incluse le e-mail, gli sms, mms finalizzati all’invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato. Cfr. art. 130 del Codice e art.13 della Dir. 2002/58/CE. 30 La Convenzione n. 108/81 e la Dir. n. 95/46/CE impongono l’applicazione della disciplina sul trattamento dei dati personali anche ai dati cifrati o codificati, nonché ai suoni e alle immagini, qualora permettano di identificare un soggetto anche in via indiretta. 31 Tra gli altri: il principio di liceità; il principio di necessità, la cui inosservanza comporta l’illiceità della videosorveglianza, ex art. 3 e 11; principio di proporzionalità tra i mezzi applicati e i fini perseguiti; di finalità; di pertinenza, adeguatezza e non eccedenza dei dati rispetto alle modalità di ripresa delle immagini (il ché equivale a un dovere di utilizzo delle attrezzature solo in via sussidiaria; periodo determinato di conservazione dei dati, previsto solo in relazione a illeciti verificatisi). 32 Ad es. devono essere designati per iscritto i responsabili e gli incaricati autorizzati ad utilizzare gli impianti di videosorveglianza – un numero ristretto di persone; per quanto riguarda l’eventuale conservazione dei dati, che deve essere limitata al massimo alle 24 ore successive alla rilevazione, salvo eccezioni, il Garante prescrive, oltre al criterio di indispensabilità, che vi siano diversi livelli di accesso al sistema e di utilizzo eventuale delle informazioni; devono essere garantite misure di sicurezza “idonee”, tali da ridurre al minimo i rischi di distruzione, perdita accidentale, accesso non autorizzato, e “minime”, trattandosi di dati trattati con strumenti elettronici, ex Allegato B al Codice. 6 comunicazione elettronica (dati relativi all’ubicazione)33 e il trattamento di dati con l’ausilio di strumenti elettronici volti a definire il profilo dell’interessato34. Di recente la 26° Conferenza Internazionale dei Garanti35 si è conclusa con l’approvazione, tra l’altro, di una Risoluzione attinente alla definizione di uno standard-quadro ISO in materia di privacy: sarà interessante verificarne l’applicazione concreta nel prossimo futuro.36 7. Quale normativa per il futuro (prossimo)? Molti i problemi ancora aperti in materia di tutela dei dati personali, dato soprattutto il divario che esiste tra lo sviluppo galoppante delle tecnologie informatiche e il procedere lento del diritto che richiede adeguati strumenti tecnologici perché la normativa sia davvero efficace e aderente alla realtà sociale. Nell’annosa questione se sia necessario elaborare nuovi strumenti giuridici o se possano essere utilizzate le categorie tradizionali del diritto, si inseriscono a pieno titolo i codici deontologici, strumenti più flessibili che stanno dimostrando, nei diversi settori di applicazione, la loro efficacia. All’adozione prossima di alcuni di questi strumenti di autoregolamentazione (in materia di trattamento di dati via Internet e in materia di videosorveglianza) e alla loro concreta portata applicativa dovra’ essere rivolta l’attenzione dei giuristi e degli operatori del settore. Per concludere, come ha sottolineato Stefano Rodotà alla Conferenza di Wroclow, “Emerge la necessità di un habeas data, di una protezione integrale della persona nella dimensione elettronica…La tutela della privacy assurge da semplice tutela della vita privata a elemento essenziale della cittadinanza nel nuovo millennio”. 33 Fanno eccezione -nel senso che sono esclusi dall’obbligo di notificazione - i dati che indicano la posizione geografica di mezzi di trasporto aereo, navale e terrestre effettuati esclusivamente a fini di sicurezza; cfr. Provv. Garante 31/03/04 34 Interessante anche il divieto, nei trattamenti effettuati da soggetti pubblici, di collegamento telematico tra più soggetti, anche raccordati ad un centro elettronico, che possa registrare un numero elevato di dati personali e ricostruire interi percorsi effettuati in un determinato arco di tempo. Cfr. provv. Garante 24/04/04. 35 Cfr. le Risoluzioni adottate dalla Conferenza tenutasi a Wroclow, Polonia, 14-16 settembre 2004. 36 In particolare i Garanti hanno chiesto all’Organizzazione Internazionale per la Standardizzazione l’individuazione di uno standard tecnologico fondato sulle prassi di leale informazione e sui principi di parsimonia, necessità e armonizzazione nell’uso dei dati Lo standard dovrebbe poggiare sul rispetto di 3 parametri: offrire criteri di verifica che facilitino il rispetto delle normative nazionali e internazionali da parte dei titolari; indicare se le misure a tutela della privacy impiegate dai sistemi sono realmente efficaci; garantire che i dati personali siano trattati nel rispetto dei criteri con cui sono stati raccolti, indipendentemente dal numero di soggetti che possono intervenire nella gestione o trasmissione dei dati. 7