Privacy
Ognuno ha diritto al rispetto della sua vita privata e familiare
(Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali)
La privacy nel mondo che cambia
di
15 marzo
La pubblicazione sulla stampa di notizie relative a un’inchiesta svolta dalla Procura di Potenza su un giro di ricatti a politici e personaggi dello spettacolo induce l’Autorità garante per la protezione dei dati personali a vietare la diffusione di «notizie e condotte private che non abbiano interesse pubblico». La violazione del provvedimento costituisce reato punibile con la reclusione da tre mesi a due anni.
Privacy e sicurezza
Una questione di grande importanza nelle società occidentali, specie dopo l’11 settembre 2001, riguarda il delicato rapporto tra la tutela della privacy e l’efficienza degli apparati di sicurezza e di prevenzione. L’Unione Europea, nata per promuovere il libero mercato e per svilupparsi come spazio di democrazia e libertà, dedica ora particolare attenzione anche alla salvaguardia della sicurezza dei cittadini, mentre crescono le spinte ad avvalersi di tutte le opportunità informative offerte dalle tecnologie per ottenere un controllo generalizzato, preventivo, e spesso pervasivo. Nel 2005 è stata, per esempio, adottata una direttiva sulla cosiddetta data retention, che comporta la conservazione di miliardi di informazioni, riguardanti aspetti essenziali della vita di relazione di tutti i cittadini europei. In Italia, con il cosiddetto decreto Pisanu, varato nel 2005, si sono previsti tempi molto lunghi di conservazione dei dati di traffico telefonico, estendendo tale obbligo anche ai dati di traffico telematico, sia pure per un tempo più breve. Disporre di una quantità notevole di dati non necessariamente significa ottenere maggior sicurezza e, in ogni caso, questa enorme massa di informazioni va adeguatamente tutelata, per garantire che venga utilizzata soltanto dai soggetti autorizzati e per le finalità stabilite. Non va, però, commesso neppure l’errore di considerare la privacy un ostacolo alla sicurezza, in quanto sicurezza e privacy sono due valori coessenziali di ogni sistema democratico. Quanto alle strutture italiane strumentali all’attività investigativa e di controllo, il Garante per la protezione dei dati personali, dopo aver adottato misure di tipo prescrittivo, ha avviato una specifica attività di indagine al fine di verificarne la puntuale applicazione. Tra le grandi banche dati proprie degli apparati di sicurezza, la più rilevante e nota è, senza dubbio, il CED, Centro di elaborazione dati del Dipartimento di pubblica sicurezza - Ministero dell’Interno (istituito con l. 1° aprile 1981, nr. 121). Attraverso il CED si provvede alla raccolta, classificazione e conservazione di informazioni e dati forniti, in particolare, dalle forze di polizia e utili alla tutela dell’ordine e della sicurezza pubblica e alla prevenzione e repressione della criminalità. Tale banca dati si connota come importante infrastruttura critica di interesse nazionale, caratterizzata dalla particolare tipologia delle informazioni e dei dati accessibili, dall’ampiezza del sistema informativo e dalle importanti finalità perseguite. Le modalità e la complessiva organizzazione del trattamento dei dati presso il CED assumono, quindi, particolare rilevanza e delicatezza per i cittadini e le istituzioni, tanto che l’accesso abusivo e l’utilizzazione impropria dei dati in esso contenuti, così come in altri sistemi informatici di interesse pubblico, sono previsti dall’ordinamento come specifiche ipotesi di reato. Con il citato intervento, il Garante ha prestato notevole attenzione alla necessità di garantire, sotto vari profili, standard elevati di sicurezza dei dati e dei sistemi rispetto al rischio di indebite operazioni di accesso, lettura, copia o modifica delle informazioni. Si tratta di prescrizioni utili anche per indurre nei cittadini una maggiore fiducia nelle strutture di sicurezza, con riferimento alle modalità di gestione e conservazione dei dati in loro possesso.
Privacy e rapporto con l’informazione
Il diritto alla privacy, inteso come diritto alla riservatezza, sorge anche come limite alla possibilità di divulgazione, attraverso i mezzi di informazione, dei fatti privati e, dunque, si pone come limite esterno e interno alla stessa libertà di informazione. Il rapporto tra privacy e diritto di cronaca è sempre stato molto delicato e complesso. La legislazione italiana sulla privacy ha recepito le più avanzate elaborazioni di dottrina e giurisprudenza in merito, che affidano un’ampia responsabilità alla consapevolezza deontologica degli operatori dell’informazione. Quando la notizia riguarda aspetti intimi e privati di un soggetto senza rispondere integralmente a un’esigenza di giustificata informazione su vicende di interesse pubblico, tale attività può configurare anche una violazione di quelle disposizioni della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali che contemperano il diritto al rispetto della vita privata e familiare con la libertà di espressione (art. 8 e 10). È, perciò, necessario che i mezzi di informazione procedano a una valutazione attenta, approfondita e responsabile, circa l’effettiva essenzialità dei dettagli pubblicati, nella consapevolezza che l’affievolita sfera di riservatezza di persone note o che esercitano funzioni pubbliche non esime dalla necessità, da parte del giornalista, di filtrare le fonti disponibili per la pubblicazione, anche alla luce del dovere inderogabile di salvaguardare la dignità delle persone e i diritti di terzi.
Di fronte alle notizie emerse nel 2006 e nel 2007 a seguito delle indagini della Procura della Repubblica di Potenza, il Garante ha ribadito ai mezzi di informazione – cui spetta il diritto-dovere di informare l’opinione pubblica – di considerare che ci si trova di fronte a episodi che, oltre ad avere ricadute sulla vita del paese, coinvolgono cittadini che devono essere protetti da ogni esposizione mediatica della loro sfera privata (provv. 21 giugno 2006 e 15 marzo 2007). Nelle numerose decisioni adottate in tali situazioni, infatti, non sono mancati interventi di divieto di pubblicazione, anche con riferimento a fatti riguardanti persone note o che svolgono funzioni pubbliche.
Il Garante ha, più volte, indicato prescrizioni vincolanti per tutti i mezzi di informazione nei casi in cui notizie e documenti possono, secondo la legislazione vigente, essere legalmente conosciuti anche da soggetti estranei alle vicende processuali. In tali occasioni, il Garante ha ribadito alcuni principi-guida da seguire per valutare la legittimità della pubblicazione delle notizie: l’essenzialità dell’informazione; l’interesse pubblico di conoscere i fatti; il dovere di rispettare sempre la dignità e la sfera sessuale delle persone; l’obbligo di prestare la dovuta attenzione ai minori e alle famiglie incolpevolmente coinvolte. Sotto un altro profilo, i regolatori nazionali si trovano, sempre più frequentemente, a dover fronteggiare una crescente spettacolarizzazione dell’informazione. In Italia, il Garante ha affrontato più volte questioni collegate alla raccolta e al trattamento abusivo di dati personali in programmi di informazione spettacolarizzata. Degno di menzione, in particolare, il caso in cui l’Autorità ha bloccato l’uso dei dati personali sulla base dei quali era stato realizzato un servizio televisivo riguardante un test sull’utilizzo di droghe effettuato su alcuni parlamentari, a loro insaputa (provv. 14 dicembre 2006). Il Garante ha osservato che le norme sulla privacy, in tale circostanza, erano state violate a prescindere dalla diffusione dei dati attraverso il programma televisivo, poiché tale grave violazione dei diritti degli interessati si concretizza già al momento stesso della raccolta dei dati. Si ricorda, infatti, che per chi svolge l’attività giornalistica vige il dovere di trattare i dati per scopi espliciti, di rendere noti la propria identità e lo scopo della raccolta dei dati, evitando artifici e comportamenti scorretti.
Privacy e intercettazioni telefoniche
Le attività investigative condotte dalla Polizia giudiziaria e dal pubblico ministero sono, sempre più spesso, caratterizzate dal ricorso alle intercettazioni telefoniche, che interessano la materia della protezione dati per almeno due aspetti. Il primo concerne la diffusione, tramite i mezzi di informazione, dei contenuti delle trascrizioni delle intercettazioni stesse e riguarda, quindi, il rapporto già considerato tra privacy e diritto di cronaca. Il secondo aspetto, invece, concerne il profilo della ‘sicurezza’ della conservazione dei dati personali raccolti e dei flussi informativi riguardanti le attività svolte per le intercettazioni disposte dalla magistratura.
Pur non dovendo venire a conoscenza del contenuto delle conversazioni telefoniche intercettate, i gestori telefonici infatti raccolgono, selezionano, elaborano e trattano una notevole quantità di dati personali riferibili agli indagati e ai terzi con i quali comunicano. Si tratta di dati personali riservati e delicati che attengono, in particolare, all’identità dei soggetti sottoposti a intercettazione, all’arco temporale di svolgimento dell’intercettazione e ai dati di traffico telefonico inerenti alle linee intercettate (data, ora, numero chiamato e durata della conversazione). In alcuni casi, poi, su richiesta dell’Autorità giudiziaria, tali dati sono integrati da informazioni tecniche aggiuntive, relative ai dettagli delle chiamate entranti, ai tentativi di chiamata in entrata o in uscita e ai dati di localizzazione geografica dell’utenza intercettata. Anche i servizi di messaggistica del tipo sms e mms sono oggetto di possibile attività di intercettazione.
In questo settore strategico, il Garante ha avviato un’attenta attività di accertamento sulle modalità con le quali i gestori telefonici adempiono alle richieste dell’Autorità giudiziaria, fornendo il servizio indispensabile per l’attività di intercettazione, ed è intervenuto imponendo ai gestori di dotarsi di rigide misure, al fine di incrementare in modo significativo i livelli di sicurezza dei sistemi (provv. 15 dicembre 2005).
Il Garante ha, peraltro, sottolineato la necessità che, per assicurare un’effettiva tutela alla riservatezza dei dati personali relativi alle intercettazioni telefoniche, misure analoghe a quelle previste per i gestori telefonici (per esempio posta elettronica certificata e firma digitale) siano adottate anche dagli uffici giudiziari.
La privacy e le sfide della modernità
Le acquisizioni tecnologiche e scientifiche devono sempre essere considerate positivamente nella loro essenza; è tuttavia indispensabile formulare regole e criteri relativi alle loro modalità d’uso per evitarne applicazioni improprie e possibili effetti negativi. È indispensabile, infatti, che il cittadino abbia fiducia nelle innovazioni tecnologiche e possa sentirsi sicuro del loro utilizzo. Per fare ciò, occorre garantire, per esempio, che nell’utilizzare le nuove tecnologie vengano richieste o archiviate solo le informazioni necessarie, che i dati trattati siano adeguatamente protetti e concretamente accessibili solo a chi ha diritto di conoscerli. Il Garante, per parte sua, rappresenta un osservatorio privilegiato sul modo in cui le innovazioni tecnologiche sono destinate a penetrare nell’attuale contesto sociale ed economico. In quest’ultimo periodo, in particolare, si sono intensificate le richieste di verifica preliminare (cosiddetto prior checking), previste dal Codice della privacy, che permettono al Garante di intervenire in settori delicati e prescrivere adeguate modalità di trattamento. Si tratta, infatti, di tecnologie che presentano rischi specifici (come quelli che implicano, per esempio, l’uso di dati biometrici) per le quali, pertanto, è previsto che il trattamento dei dati avvenga nel rispetto delle misure e degli accorgimenti prescritti dall’Autorità stessa. Volendo esemplificare, nel 2006, il Garante si è pronunciato favorevolmente sull’utilizzazione, nell’ambito di un progetto sperimentale di un grande istituto bancario, di una smart card contenente un microprocessore e le impronte digitali del cliente, per potergli garantire un’immediata identificazione allo sportello e l’accesso a operazioni bancarie on-line presso un apposito ‘chiosco elettronico’. Il Garante ha peraltro negato la possibilità della creazione di un archivio centralizzato delle impronte digitali della clientela, neppure a seguito di un’apposita cifratura delle stesse (provv. 23 febbraio 2006).
Un altro esempio di utilizzo delle nuove tecnologie, e delle implicazioni che ne conseguono sotto il profilo della protezione dati, riguarda le ‘etichette intelligenti’ (RFID, Radio Frequency IDentification), che hanno trovato applicazione nell’ambito delle aziende e, in particolare, della grande distribuzione, consentendo una migliore gestione di prodotti aziendali e una maggiore rapidità in alcune importanti operazioni. Gli utilizzi distorti di questa tecnologia potrebbero, tuttavia, comportare delicate questioni in materia di protezione dati. Il rischio consiste nell’utilizzare le cosiddette etichette intelligenti con modalità non rispettose della tutela dei dati personali, quali, per esempio, il tracciamento del consumatore, gli incroci non autorizzati fra banche dati contenenti informazioni personali, le utilizzazioni non segnalate. Si tratta, quindi, di definire regole precise che consentano di conciliare le potenzialità e i benefici della tecnologia RFID con la tutela dei dati personali dei consumatori. Sono stati individuati tre principi di riferimento: a) neutralità della tecnologia RFID, nel senso che tale tecnologia non deve essere ritenuta a priori più ‘pericolosa’ di altre per la tutela della privacy; b) privacy e sicurezza come necessarie componenti progettuali di ogni dispositivo RFID; c) trasparenza verso il consumatore, che quindi deve sapere se, come e quando siano utilizzati dispositivi RFID.
Un ulteriore esempio di ‘nuova tecnologia’ riguarda le cosiddette biobanche, cioè archivi e banche dati che conservano tracce e campioni biologici, acquisiti in conformità alle leggi, per finalità sanitarie, giudiziarie o di ricerca. Tra le diverse tipologie di biobanche, la più nota e delicata è quella contenente i dati genetici, dati estremamente delicati in quanto forniscono informazioni che vanno al di là della semplice identificazione della persona, potendo individuare anche lo stato di salute, l’etnia e i rapporti familiari. Occorre sottolineare poi, da un lato, la facilità con cui è possibile reperire materiale genetico (per esempio, attraverso la raccolta di un mozzicone di sigaretta o di un fazzoletto usato) per estrarne i dati, e quindi la facilità di conoscere informazioni sulla vita privata di una persona, anche all’insaputa dell’interessato; dall’altro, il fatto che i dati ricavabili da qualsiasi frammento di materiale genetico (saliva, capelli, pelle, sangue) permettono di ottenere informazioni non soltanto relative all’identità della persona, ma anche di tipo ‘predittivo’ sull’interessato e su tutti gli appartenenti al suo gruppo biologico, dal momento che il dato genetico può essere comune ai familiari. Com’è evidente, la violazione della sfera privata, di per sé già gravissima in generale, diviene in questo caso ancora più inquietante, al punto di porre con forza l’esigenza di una tutela rafforzata della privacy. La costituzione e l’utilizzazione delle biobanche, infatti, potrebbero seguire logiche di esclusivo sfruttamento economico contro gli interessi dei malati e della società nel suo complesso. Un trattamento illegittimo dei dati genetici, perché per esempio non correttamente conservati o comunicati, potrebbe costituire uno strumento
di gravissime discriminazioni capaci di ledere la dignità individuale e la vita professionale dei cittadini. Chi vorrebbe, per esempio, stipulare un contratto di lavoro o di assicurazione sulla vita con un soggetto geneticamente predisposto a contrarre una determinata malattia?
Anche per questi motivi, il Garante italiano ha recentemente adottato, dopo una lunga istruttoria in considerazione della delicatezza della materia, un’autorizzazione ad hoc sul trattamento dei dati genetici (provv. 22 febbraio 2007). Tale autorizzazione fissa in maniera specifica e sistematica i principi, i limiti e le garanzie in base ai quali deve essere trattata questa delicatissima tipologia di dati personali, anche con riferimento ad altri due importanti ambiti: la difesa di un diritto in sede giudiziaria e l’accertamento dei legami di consanguineità per il ricongiungimento familiare da parte degli stranieri.
La privacy nel contesto internazionale e globalizzato
Nell’attuale contesto economico e sociale ormai mondializzato, i problemi della privacy non possono più essere considerati come circoscritti al solo ambito nazionale ma tendono ad assumere un rilievo e una dimensione necessariamente globali.
Un primo, evidente, esempio riguarda l’applicazione della normativa sulla privacy in relazione ai problemi derivanti dall’utilizzo della rete Internet. Tale rete, infatti, per le sue caratteristiche tecniche, pone seri problemi circa l’efficacia delle legislazioni nazionali sulla privacy. Si fa riferimento, in particolare, all’accesso, attraverso i motori di ricerca, a informazioni di difficile reperibilità ‘diretta’ sulla rete e, quindi, al ruolo da riconoscere a tali operatori rispetto al trattamento di dati da essi veicolati. Si pongono, infatti, le problematiche relative alla permanenza in rete di informazioni personali che restano consultabili mediante i motori di ricerca, malgrado siano state corrette presso i siti web ‘sorgente’ dai quali le pagine sono state estratte. Spesso, peraltro, le società che gestiscono i motori di ricerca sfuggono all’applicazione della normativa nazionale sulla privacy perché hanno sede all’estero, al di fuori dell’Unione Europea, in Stati dove la protezione dei dati personali è assente o insufficiente rispetto a quanto previsto dal legislatore italiano e, più in generale, in ambito comunitario. Si pone, dunque, l’urgente necessità di garantire a ciascuno il ‘diritto all’oblio’, rimuovendo dalla rete le informazioni non più attuali, anche attraverso l’eliminazione di collegamenti obsoleti e indirizzi web non più esistenti. A tal fine, il Garante ha ribadito la necessità di prevedere forme di collaborazione con le società che gestiscono motori di ricerca e, in particolare, ha avviato una specifica attività di collaborazione con i rappresentanti di Google, uno dei più importanti motori di ricerca presenti sulla rete, per cercare di individuare una soluzione condivisa, in assenza di un regolatore ‘universale’.
Tale situazione ha reso evidente che, per tutelare efficacemente la privacy rispetto alle informazioni contenute in rete, in un contesto ormai sempre più globalizzato, le relative forme di tutela devono essere individuate non tanto a livello nazionale (o anche europeo) ma in un ambito ben più ampio. Nonostante l’esigenza di una regolamentazione ‘globale’ sia sempre più forte, il contesto internazionale di protezione della privacy risulta assai articolato e ancora rilevante è il divario di tutela prevista dai diversi ordinamenti. L’Unione Europea, per parte sua, si è assunta una ‘missione’ di leadership mondiale nella protezione dei dati, considerando il diritto alla privacy di portata fondamentale e cercando di imporre l’osservanza di alcuni principi-guida ai paesi extracomunitari, segnatamente agli Stati Uniti d’America, che non hanno implementato legislazioni generali sulla protezione dei dati personali. Un esempio eloquente è dato dalla sentenza della Corte di giustizia UE che ha annullato un accordo tra il Consiglio dell’Unione Europea e l’Amministrazione statunitense, in base al quale si consentiva il trasferimento verso gli USA dei dati relativi ai passeggeri europei in volo verso gli Stati Uniti (PNR, Passenger Name Records), per finalità di prevenzione del terrorismo. Si è ritenuto, infatti, che tale accordo, poi sostituito da una convenzione temporanea destinata a operare fino al 31 luglio 2007, non tutelasse adeguatamente i cittadini europei.
repertorio
La normativa italiana ed estera
di Paolo Ravaglioli
Il diritto alla privacy è oggetto di tutela da parte di tutti i principali ordinamenti giuridici nazionali. Sebbene sia difficile evidenziare una nozione unitaria di privacy nelle diverse discipline legislative, a livello dottrinale si è specificato che essa consiste nella pretesa vantata da individui, gruppi o istituzioni di determinare da sé stessi quando, come e fino a che punto un’informazione che li riguarda possa essere comunicata ad altri. Tratto comune di tutti gli ordinamenti è, quindi, il riconoscimento di un diritto della persona di disporre dei dati che la descrivono e che ne qualificano l’individualità. Un aspetto centrale di questo diritto è la facoltà di impedire l’utilizzo dei dati da parte di chiunque altro, inclusa l’autorità statale, a meno che l’interessato non abbia prestato il suo consenso. La differenza principale tra le disposizioni in materia di privacy sta, però, proprio nel modo in cui il criterio del consenso dell’interessato viene a operare in concreto: sono stati elaborati, infatti, due sistemi, concettualmente opposti tra di loro. Il primo sistema (opt-in system) si fonda sul divieto, per chiunque, di utilizzare i dati personali senza il consenso della persona interessata, che ha la facoltà di scegliere di entrare a far parte della categoria di individui i cui dati personali possono essere utilizzati, categoria dalla quale teoricamente tutti sono estranei fino al momento della manifestazione di volontà specifica. È evidente che qui il consenso opera come una concessione. In ambito europeo le uniche nazioni che hanno aderito integralmente a questa concezione sono l’Italia e la Danimarca. In Germania, pur essendo previsto che il soggetto interessato manifesti il suo consenso, se ne esclude la necessità per il trattamento dei cosiddetti ‘dati liberi’ (che si assimilano sostanzialmente ai dati anagrafici, come nome, cognome, indirizzo, recapito telefonico).
Il secondo sistema (opt-out system) si basa, al contrario, sulla facoltà di chiunque di utilizzare i dati personali di altri soggetti per il trattamento, la comunicazione e la diffusione. L’interessato ha il diritto di manifestare il dissenso all’uso dei suoi dati e di impedire che questi diventino oggetto di un trattamento, ponendosi quindi al di fuori della categoria di persone i cui dati possono essere utilizzati. Per esempio Francia, Spagna, Portogallo e Paesi Bassi aderiscono, con lievi varianti tra loro, all’opt-out system, riconoscendo alla persona il diritto di essere informata tanto in merito alla possibilità che i suoi dati potranno essere utilizzati per fini commerciali quanto alla possibilità di chiedere che i suoi dati vengano cancellati dagli archivi del titolare del trattamento. A livello europeo è fondamentale l’art. 8 della Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali del 1950: «Ognuno ha diritto al rispetto della sua vita privata e familiare, della sua abitazione e della sua corrispondenza». Da ciò discende che il diritto alla riservatezza si presenta come limite negativo all’ingerenza della normazione e dell’amministrazione, senza tuttavia escludere la possibilità di obblighi positivi dello Stato. Per quanto riguarda il trattamento dei dati personali la direttiva nr. 46 del 1995 impone a ogni paese di emanare una legge nazionale in materia. Per controllare che quanto previsto a livello di Unione Europea e, soprattutto, dalla legge nazionale sia rispettato, la direttiva prevede la presenza di un’autorità di vigilanza indipendente dal potere politico in ogni Stato membro. La normativa è stata poi integrata dalla direttiva nr. 66 del 1997 sul «trattamento dei dati personali e sulla tutela della vita privata nel settore delle telecomunicazioni».
Italia
I principi e le norme in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali sono fissati dalla l. 31 dicembre 1996, nr. 675, mirata a garantire che tale trattamento si svolga nel rispetto dei diritti, delle libertà fondamentali e della dignità delle persone fisiche, con particolare riferimento alla riservatezza e all’identità personale. L’assicurazione di analoga tutela è prevista per le persone giuridiche e per ogni altro ente o associazione. La legge istituisce un’autorità indipendente, denominata Garante per la protezione dei dati personali, organo collegiale composto da quattro membri eletti, due dalla Camera dei deputati e due dal Senato, tra persone che assicurino indipendenza e che siano esperti di riconosciuta competenza nelle materie del diritto o dell’informatica. Il Garante opera in piena autonomia con indipendenza di giudizio e di valutazione; ha il compito, tra l’altro, di istituire e tenere un registro generale dei trattamenti sulla base delle notificazioni ricevute; di controllare se i trattamenti sono effettuati nel rispetto delle norme di legge e di regolamento; di ricevere i reclami e le segnalazioni degli interessati e delle associazioni che li rappresentano; di adottare i provvedimenti previsti dalla legge o dai regolamenti; di promuovere, nell’ambito delle categorie interessate, la sottoscrizione di codici di deontologia e buona condotta; di predisporre annualmente una relazione sull’attività svolta da trasmettersi al Parlamento e al governo. La legge 96/675 stabilisce che il trattamento dei dati personali da parte dei privati o di enti pubblici economici possa avvenire solo con il consenso espresso dell’interessato, consenso che può anche avere a oggetto una parte soltanto delle operazioni proprie del trattamento. Il consenso non è richiesto quando il trattamento riguarda dati raccolti e detenuti in base a un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria, quando è necessario per l’esecuzione di obblighi derivanti da un contratto del quale è parte l’interessato ovvero quando l’informazione riguarda dati provenienti da pubblici registri, elenchi o documenti conoscibili da chiunque. Ancora, il consenso non è necessario quando il trattamento è finalizzato unicamente a scopi di ricerca scientifica o di statistica e si tratta di dati anonimi, quando è effettuato nell’esercizio della professione di giornalista, quando è necessario per la salvaguardia della vita o dell’incolumità fisica dell’interessato o di un terzo, quando è necessario ai fini dello svolgimento delle investigazioni di cui all’art. 38 delle norme di attuazione del codice di procedura penale. La legge prevede anche il diritto dell’interessato di conoscere l’esistenza di trattamenti che possono riguardarlo, di essere informato sul titolare e sul responsabile del trattamento e sulle finalità dello stesso, di ottenere dal titolare la conferma dell’esistenza o meno di dati che lo riguardano, la cancellazione di quelli trattati in violazione della legge, l’aggiornamento, la rettifica o l’integrazione dei dati, qualora vi abbia interesse, nonché il diritto a opporsi in tutto o in parte, per motivi legittimi, al trattamento dei dati personali che lo riguardano e di quello previsto a fini di pubblicità commerciale o di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato. I dati personali oggetto di trattamento devono comunque essere custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alla finalità della raccolta.
Francia
In Francia il diritto alla privacy rientra nella categoria dei ‘diritti della personalità’. La sua tutela, tuttavia, è stata affidata per oltre un secolo alle decisioni giurisprudenziali, visto che un riconoscimento legislativo del diritto al rispetto della vita privata (droit à la vie privée) si è avuto solamente nel 1970. Ne consegue che fin dal primo caso di riferimento in materia, l’affaire Rachel del 1858 (i giudici diedero soddisfazione alla protesta dei parenti di una famosa attrice di teatro, la Rachel appunto, il cui ritratto sul letto di morte era stato pubblicato in un giornale senza il loro previo consenso), la salvaguardia della riservatezza si è avuta attraverso un’applicazione estensiva dell’art. 1382 del codice civile, norma che sancisce in generale l’obbligo di risarcimento a carico di chi provoca un danno. Le sentenze contenenti i principi ispiratori della riforma hanno riconosciuto un diritto al risarcimento a personaggi pubblici (per esempio Brigitte Bardot nel 1965), per la pubblicazione di fotografie scattate in luoghi privati senza il consenso dell’interessato, e a cittadini comuni, per fotografie accompagnate da una didascalia sfavorevole o offensiva. Accanto al risarcimento sulla base dell’art. 1382, occasionalmente furono adottati provvedimenti di urgenza, come sequestri e altre misure inibitorie, disposti dal giudice en référé nei casi di pericolo grave e imminente di un danno.
Seguendo queste linee interpretative, si è arrivati alla legge nr. 643 del 17 luglio 1970, che porta innovazioni sia nella codificazione civile sia in quella penale. L’art. 22, infatti, modifica l’art. 9 del Code Napoléon, riconoscendo al giudice la possibilità di prescrivere tutte le misure atte a impedire o far cessare un attentato all’intimità della vita privata; misure che, se vi è urgenza, possono essere adottate en référé. Viene quindi eliminata l’esclusività del rimedio per danni che ostacolava l’esercizio delle azioni preventive. Non essendo, però, stata definita né la privacy né la tipologia della violazione, lo sviluppo della disciplina è rimasto compito della giurisprudenza. L’art. 23, invece, introduce nel codice penale gli articoli dal 368 al 372, i cosiddetti delitti di spionaggio audiovisivo.
Successivamente è stato affrontato il problema dei rischi che può comportare per la libertà di ciascuno l’archiviazione di dati personali nelle banche dati informatiche. Fondamentale a riguardo è il rilievo assunto dalla legge nr. 17 del 6 gennaio 1978, in cui si dichiara che «l’informatica deve essere al servizio di ogni cittadino» e che essa non deve attentare «né all’identità umana, né ai diritti dell’uomo, né alla vita privata» (art. 1). Come strumento effettivo di tutela è istituita la CNIL (Commission Nationale de l’Informatique et des Libertés), con lo scopo di regolamentare le banche dati nazionali, evitare ogni archiviazione effettuata in modo errato o disonesto e permettere il controllo dell’interessato. All’art. 28 è poi sancito un vero e proprio diritto all’oblio, ossia un principio per cui le informazioni non devono essere conservate sotto forma nominativa oltre una certa data. Altre disposizioni, di poco posteriori rispetto alla legge 78/17, si sono occupate del diritto di accesso, integrando la tutela dei dati personali, di modo che il segreto dei documenti amministrativi è passato da regola a eccezione.
In seguito, nel 2004, è stata promulgata la nuova legge sulla protezione dei dati (nr. 801) che recepisce la direttiva comunitaria 95/46. Rispetto alla precedente legge del 1978, il nuovo testo aumenta i poteri sanzionatori dell’autorità di protezione dati (CNIL), elimina l’obbligo di notificazione per i titolari che nominano un «referente per la protezione dei dati» e dispone l’obbligo di sottoporre a valutazione preliminare da parte della CNIL qualsiasi trattamento che comporti il ricorso a tecniche biometriche (per esempio impronte digitali e scansione retinica).
Germania
La tutela del diritto alla privacy in Germania è innanzitutto affidata alla Costituzione federale (Grundgesetz). Questa, discostandosi dal criterio analitico seguito dalla Costituzione di Weimar, non contiene un’indicazione dettagliata dei diritti della persona, ai quali è data comunque rilevanza nei due fondamentali articoli di apertura. L’art. 1 riconosce l’intangibile valore della dignità dell’uomo, mentre l’art. 2 sancisce il diritto al pieno sviluppo della persona. Attraverso di essi, adottando una particolare dottrina interpretativa (la cosiddetta interpretazione scientifico-spirituale) che dispensa dai limiti del dato letterale, la Corte Suprema federale ha sviluppato un generale diritto della personalità nell’ambito del quale si inserisce anche il diritto alla vita privata. La sfera privata comprende una sfera riservata e una sfera intima: la prima può trovare limite in presenza di prevalenti interessi della collettività, mentre la seconda costituisce un nucleo intangibile e attinente alla dignità umana, che non può essere in nessun caso sacrificato.
Come nelle altre esperienze giuridiche, anche in Germania la tutela della privacy nasce da casi che coinvolgono personaggi noti al pubblico (caso Shacht del 1954: il Tribunale federale, in nome del diritto della personalità, accolse il ricorso di un avvocato contro un giornale che aveva pubblicato senza consenso una sua lettera nella quale chiedeva di rettificare le notizie relative a un collegamento fra il suo cliente e i nazisti). Le fattispecie ricondotte a queste ipotesi normative, tuttavia, sono state in seguito estremamente varie, ricomprendendo casi riguardanti per esempio il segreto medico o il diritto all’espatrio, con la salvaguardia del diritto consistente talvolta in un impedimento all’altrui conoscenza e talaltra in una garanzia contro ingerenze della legge nella vita privata.
Anche l’archiviazione di dati personali in banche dati è stata fatta oggetto di tutela. Fin dal 1970 il Land dell’Assia si era dotato di una normativa a protezione dei dati (Datenschutzgesetz). Questa, tuttavia, era limitata al Land non solo geograficamente ma anche per materia, riguardando solo gli atti amministrativi. A livello federale una prima legge, emanata il 27 gennaio 1977, è stata sostituita dalla «Legge per lo sviluppo dell’elaborazione e della protezione dei dati personali» del 20 dicembre 1990, che prescrive che i dati delle persone fisiche (a esclusione di quelli liberi) possano essere trattati soltanto se ciò è previsto da una fonte normativa o in presenza di consenso. Alcuni riferimenti alla tutela della riservatezza dei dati personali sono pure contenuti nella legge federale del 1° agosto 1997 sulla comunicazione e l’informazione («Legge sulla protezione dei dati nei servizi telematici», poi emendata nel 2001). Per quel che concerne l’autorità di controllo, il compito è affidato al Delegato federale, eletto dalla Camera e dipendente dal Ministero dell’Interno, ma con indipendenza pari a quella di un giudice.
Gran Bretagna
Manca nel diritto inglese un riconoscimento esplicito del diritto alla privacy. Non esistono infatti speciali protezioni contro gli abusi di potere da parte della pubblica autorità e mezzi per prevenire comportamenti invadenti di mass media e di qualsiasi soggetto che si renda protagonista di un’intrusione nella vita privata di un altro individuo. La protezione che la legge conferisce alla riservatezza è indiretta, disseminata tra istituti e previsioni di diversa natura.
Eppure di privacy in Inghilterra si comincia a discutere fin dal 1849, quando, nel caso Prince Albert v. Strange, si riconobbe la presenza del reato di violazione di rapporto confidenziale (breach of confidence) per la pubblicazione non autorizzata di incisioni rappresentanti momenti di vita privata della famiglia reale. L’azione di breach of confidence presuppone tre elementi: l’informazione confidenziale, l’obbligo di riservatezza, l’uso non autorizzato della notizia. Altri strumenti di tutela della privacy sono dati dalle azioni di breach of copyright, esperibile quando vengono pubblicati documenti all’insaputa della persona titolare dei diritti di riproduzione, e di trespass to personal property, quando informazioni sulla vita privata altrui vengono acquisite in violazione del diritto di proprietà. Laddove, per qualsiasi motivo, queste causes of action non dovessero essere applicabili al caso specifico, il diritto alla privacy non è protetto dalla common law inglese.
Per quel che riguarda, invece, il trattamento dei dati personali, la materia è disciplinata fin dal 1984 con il Data protection act, normativa riformata nel 1998 per dare attuazione alla direttiva europea 95/46. Sono attribuiti all’interessato il diritto di accesso ai dati oggetto del trattamento e quello di opporsi al trattamento di dati che possa risultargli pregiudizievole. Il consenso dell’interessato, che pure è richiesto dalla legge inglese quale condizione per il trattamento dei dati personali, non viene previsto nel corpo della legge, bensì nell’allegato (Schedule 2).
Autorità garante per la protezione dei dati personali nel Regno Unito è l’Information Commissioner, che ha anche la facoltà di pubblicare codici di applicazione del diritto in questione riguardanti materie specifiche. Un esempio recente è dato dal Codice di buona condotta relativo al controllo dei lavoratori (2003).
Spagna
L’esperienza spagnola è sicuramente rilevante perché è in questo ordinamento che, per la prima volta, la tutela della riservatezza assume rilievo costituzionale attraverso una specifica previsione, l’art. 18. Prima della promulgazione di tale Carta nel 1978 erano state dottrina e giurisprudenza a riconoscere un diritto alla privacy, attraverso un’interpretazione analogica della disciplina penalistica, quindi prendendo in considerazione la tutela dell’onore e la protezione del domicilio.
L’art. 18,1 della Costituzione spagnola recita: «È garantito il diritto all’onore, alla intimità personale e familiare e alla propria immagine». Trovare una definizione certa e univoca per l’espressione ‘intimità personale e familiare’ non è semplice neppure in ambito spagnolo. La stessa Costituzione tenta di prevenire possibili conflitti tra diritti, prevedendo una gerarchia tra beni protetti: le libertà di espressione e di produzione artistica e scientifica trovano così un limite nel rispetto dei diritti all’onore, all’intimità e alla propria immagine (art. 20,4). Di aiuto è sicuramente la Ley Organica de regulación del tratamiento automatizado de los datos de carácter personal, del 1992, che limita l’uso dell’informatica per garantire l’onore e l’intimità personale e familiare e il pieno esercizio dei relativi diritti. In essa appare una differenziazione tra intimidad e privacidad, con la prima di estensione più ridotta. Neppure l’intimidad, tuttavia, è dotata del carattere dell’assolutezza, potendo essere limitata per interessi collettivi prevalenti, come la relevancia publica. Un altro elemento da cui dipendono l’estensione e lo spessore della protezione offerta dall’intimidad è costituito dall’atteggiamento del singolo, con l’applicazione del principio del consenso implicito.
La costituzionalizzazione dell’intimidad, comunque, ne ha garantito un grado superiore di protezione, rispetto alle analoghe figure di riservatezza presenti negli altri ordinamenti. La protezione si concretizza a livello normativo con la riserva di legge organica e quindi con una procedura aggravata per la relativa votazione; a livello giurisdizionale, con la previsione di un procedimento speciale di tutela (amparo judicial); a livello istituzionale, con la garanzia rappresentata dal Defensor del pueblo, con poteri di supervisione rispetto all’amministrazione pubblica.
Svezia
La Svezia è stata il primo paese a legiferare in tema di protezione dei dati personali a livello nazionale. Autorevole dottrina (K. Zweigert - H. Kotz) inserisce questo ordinamento nel cosiddetto sistema scandinavo, affine ma autonomo dalla tradizione della civil law. I diritti nordici affrontano il tema della privacy in primo luogo attraverso un diritto generale di pubblico accesso ai documenti amministrativi, che serve a conoscere quali informazioni riguardanti l’interessato sono in possesso dell’Autorità. A questo strumento di protezione si è aggiunto nel 1973 il Datalagen: un testo normativo concernente il trattamento dei dati sia nel settore pubblico sia in quello privato, che ha rappresentato un modello per gli altri paesi europei. È regolamentato l’accesso agli archivi, computerizzati e non, anche attraverso l’istituzione della prima figura di autorità della privacy (Dataispektionen). Questo duplice rimedio è integrato da regolamentazioni concernenti violazioni specifiche, per esempio in tema di intercettazioni.
Stati Uniti
È sicuramente negli Stati Uniti che, per la prima volta, avviene una formulazione consapevole e autonoma del right to privacy, grazie al saggio di S.D. Warren e L.D. Brandeis pubblicato nel 1890 nella Harvard Law Review. Nonostante gli sforzi dottrinari, tuttavia, per almeno mezzo secolo questo diritto sarà inteso a livello giurisprudenziale come riguardante aspetti già da tempo tutelati dalla common law, come nome e immagine, e legato indissolubilmente al concetto di proprietà.
Lo sviluppo della tutela della privacy ha una svolta con l’analisi effettuata da W. Prosser (On torts, 1941). Le sue conclusioni portano a negare un diritto unitario alla privacy, per coglierne diversi aspetti in varie figure di tort: a) introduzione nella sfera privata di un soggetto senza il consenso di questi (l’antico right to be left alone); b) rivelazione al pubblico di fatti imbarazzanti riguardanti una persona, fatti che tuttavia non rientrino nella categoria di legitimate news la cui diffusione è costituzionalmente garantita; c) pubblicità che metta in cattiva luce; d) appropriazione del nome o dell’immagine di un soggetto al fine di trarne vantaggi. Questa suddivisione è stata recepita dal Second restatement of torts (1977), principale punto di riferimento per le corti statunitensi.
L’analisi di Prosser, tuttavia, risulta incompleta in quanto individua soltanto quei pericoli che provengono da privati, tralasciando le violazioni che possono giungere dall’autorità pubblica. La tutela, in questi ultimi casi, è da ricercare allora nella Costituzione. Infatti se i torts proteggono generalmente l’individuo nei rapporti tra privati, i diritti e le libertà fondamentali che egli vanta verso le istituzioni trovano sanzione nella Carta costituzionale. Il leading case in materia è Griswold v. Connecticut (1965). La sentenza della Corte Suprema afferma che «il diritto alla privacy, pur non essendo esplicitamente previsto in Costituzione, gode tuttavia di rango costituzionale, poiché è garantito indirettamente da più norme, che riconoscono i diritti fondamentali del cittadino». Il riferimento si indirizza, quindi, verso diversi emendamenti: innanzitutto il IV (diritto alla sicurezza contro irragionevoli perquisizioni e sequestri), che si è specificato riguardare l’uomo prima ancora dei luoghi (concetto di privacy-dignity), ma anche il I (il Congresso non può emanare leggi che limitino la libertà di religione, assemblea e associazione), il IX (i diritti citati nella Costituzione non escludono l’esistenza di altri considerati tali dalla gente) e il XIV (estensione della protezione all’ambito della legge statale e federale).
Per quanto concerne il problema della protezione e del trattamento dei dati personali contenuti in archivi elettronici, è da notare come esso rivesta una scottante attualità, dovuta allo sforzo degli Stati Uniti nella lotta al terrorismo. La materia è regolata dal Freedom of Information Act (1966) e dal Privacy Act (1974). Il primo garantisce un diritto di accesso agli archivi governativi, per consentire al cittadino di controllare quanto l’autorità conosca sul suo conto, ma è soggetto comunque a ben nove eccezioni. Il secondo, dal quale sono esentati CIA e FBI, regola l’archiviazione e l’utilizzo dei dati personali da parte dell’autorità federale. Il Department of Homeland Security, responsabile del coordinamento delle misure antiterrorismo, chiede che un nuovo mega-archivio, di cui è stata proposta l’istituzione e che dovrebbe contenere un’ampia gamma di informazioni operative, comprese le segnalazioni di singoli cittadini su attività o eventi sospetti, sia sottratto alle norme federali fissate dal Privacy Act. Questo ha provocato la reazione critica di numerose associazioni americane per la difesa dei diritti civili.