Italia
Autorità, Signore, Signori
È terminato il secondo anno di attività del nostro Collegio.
Un anno importante che coincide col decennale della nostra Autorità. Un periodo relativamente breve per un uomo, brevissimo per una Istituzione. Pure in così poco tempo la cultura della tutela dei dati personali si è diffusa nel nostro Paese più che in ogni altro Stato europeo.
Lo scorso anno, abbiamo richiamato l’attenzione sull’importanza crescente della protezione dei dati nella società contemporanea.
Il cambiamento tecnologico fa vivere tutti noi in un mondo sempre più “scisso” tra una realtà materiale, nella quale le persone e le cose hanno una fisicità misurabile e definibile e intrecciano relazioni che producono informazioni, ma non si esauriscono in esse; e una realtà immateriale, quella della innovazione tecnologica e della rivoluzione telematica, nella quale le persone e le cose si trasformano in flussi e intrecciano relazioni che consistono unicamente in uno scambio di dati.
La nostra attività diventa sempre più rilevante. Garantire un’adeguata protezione dei dati è, ogni giorno di più, una precondizione essenziale per il corretto funzionamento della democrazia e l’effettivo godimento delle libertà e dei diritti fondamentali.
Essere sicuri che i nostri dati sono protetti e tutelati, sia prima di essere immessi che quando circolano attraverso le reti, è essenziale per evitare che le nuove tecnologie non diventino una minaccia, trasformandoci negli abitanti di un universo tecnologico incontrollabile e inquietante.
Consapevoli del bisogno di sicurezza che spinge a dotarsi di sempre più penetranti strumenti di controllo, lo scorso anno abbiamo evidenziato il rischio di una società che, per difendersi e salvare il proprio corpo, mette a rischio la propria libertà e, dunque, la propria anima.
Con lo sguardo rivolto alla realtà nazionale, abbiamo sottolineato il proliferare di grandi banche dati prive di protezioni adeguate.
Consapevoli delle esigenze della giustizia e dell’informazione, abbiamo chiesto leggi più chiare, misure meglio calibrate, poteri più duttili per affrontare una realtà così complessa, senza dover ricorrere sempre alla minaccia di un divieto o, peggio, della sanzione penale.
Attenti alle ragioni dei cittadini e a quelle delle Amministrazioni, abbiamo ripetuto che, nel rispetto del principio di trasparenza, la protezione dei dati è essenziale in una organizzazione amministrativa, non prigioniera del puro formalismo burocratico e adeguata all’era digitale.
Guardando ai consumatori e ai lavoratori, abbiamo richiesto al mercato, alle imprese e ai datori di lavoro di non trascurare mai la tutela dei dati. Conosciamo le esigenze della produzione e dell’economia, ma non possiamo accettare che la protezione dati sia considerata soltanto come un costo e un fastidioso adempimento.
Infine, con lo sguardo rivolto in particolare ai giovani, abbiamo sottolineato la necessità di una corretta “cultura dell’innovazione”, affinché nessuno diventi strumento cieco di chi organizza e gestisce le nuove tecnologie.
Sulla scia di queste considerazioni, lo scorso anno abbiamo sviluppato un ambizioso programma che ci ha impegnato su molti fronti.
Siamo qui per rendere conto del lavoro svolto e per dire che, su queste linee, continueremo ad operare con rafforzata convinzione.
Il fenomeno della penetrabilità delle grandi banche dati da parte di chi agisce illegalmente, senza incontrare barriere adeguate, è esploso con modalità e dimensioni preoccupanti.
Le forme indebite di ricorso all’uso di videocamere, videotelefonini e, in generale, a tecniche ingannevoli per acquisire e trattare dati anche delicatissimi, sono cresciute a dismisura.
Il furto di informazioni colpisce allo stesso modo la gente comune e i personaggi pubblici. Troppo spesso l’appropriazione illegittima dei dati e il loro utilizzo, legato a strategie sapienti di inquinamento della nostra società, rende meno giusta la giustizia, meno sicura la sicurezza, meno libera la democrazia, meno competitiva l’attività economica e finanziaria, meno credibile tutta la società.
Questo sta avvelenando il Paese.
In Italia c’è una emergenza nella protezione dati che ha assunto una dimensione pari ad altre nostre emergenze nazionali, quali quella ambientale, quella energetica, quella infrastrutturale, che tanto negativamente incidono anche sull’immagine del Paese.
In un dibattito confuso e frastornante, le ragioni di chi chiede di avere dati per garantire più sicurezza e più giustizia fiscale devono misurarsi ogni giorno con le obiezioni di chi si oppone, in nome del pericolo derivante dalla mancanza di protezioni adeguate.
Un conflitto altrettanto problematico si registra, talvolta, nel settore dell’informazione.
La libertà di informazione è sacrosanta e irrinunciabile in una democrazia. Ma non può essere invocata per considerare lecita la condotta di chi si procura informazioni illegalmente e con artifici inaccettabili. Troppo spesso il diritto ad informare e ad essere informati è invocato per giustificare chi, magari estraneo al mondo dell’informazione, raccoglie notizie e dati a scopo di ricatto o di condizionamento, sotto la minaccia di renderle pubbliche.
La nostra stessa Autorità rischia di essere strattonata da una parte o dall’altra a seconda delle convenienze.
Non va bene. Non può andare bene.
Molte volte il Garante si trova di fronte a un dilemma inaccettabile.
Intervenire, anche a rischio di apparire strumento di censura (il Garante censore), o insensibile alle ragioni della sicurezza e della giustizia fiscale (il Garante ipergarantista). Oppure rinunciare ad agire efficacemente, correndo il pericolo di essere percepito come una istituzione inutile e fragile.
Dobbiamo ripeterlo: il nostro compito è tutelare e difendere il cittadino, i suoi diritti, la sua libertà, la sua necessità di vivere e di operare senza essere continuamente controllato e schedato.
È certamente vero che non c’è libertà senza sicurezza, ma è ancora più vero che non c’è sicurezza che valga la perdita di ogni libertà. Ripetiamo che la protezione dati non è e non sarà mai “antagonista” al bisogno di sicurezza, ma riaffermiamo che essa è un elemento essenziale di un sistema democratico di tutele.
Le azioni, le parole e le immagini si trasformano in miriadi di dati, che moltiplicano all’infinito, come in un prisma, i mille diversi aspetti della realtà materiale.
Ogni individualità si disarticola e si scompone in tanti frammenti quanti sono i dati e le informazioni che
Sulla rete i dati vivono una vita propria, senza regole e senza possibilità di prevedere tutte le finalità e tutti i contesti in cui saranno utilizzati.
Nella realtà immateriale si possono assumere nuove identità, inserire informazioni vere o false, comunicare con gli altri in modo circolare, diventare allo stesso tempo produttori e destinatari di notizie.
Nel mondo della comunicazione globale, di YouTube e di Google, tutto cambia dimensione e impatto.
Come applicare le regole dell’informazione al fenomeno dei blog, i siti autogestiti che ogni giorno si moltiplicano sulla rete?
Cosa significa diritto all’oblio, di fronte ai motori di ricerca che conservano e mettono a disposizione per un tempo tendenzialmente indeterminato dati e informazioni sulle persone?
Cosa vale esercitare i propri diritti di fronte a dati che circolano sulla rete senza possibilità di ottenere che siano cancellati o rettificati se inesatti o lesivi della nostra dignità?
Qual è la differenza tra uso personale e uso pubblico delle immagini nel mondo delle videocamere e dei videotelefonini che mandano in tempo reale in rete foto e filmati?
Come garantire la tutela di una cartella clinica, di un dato sensibile relativo alla salute, trattati elettronicamente?
Come aiutare i nostri cittadini a utilizzare queste innovazioni senza lasciarli indifesi di fronte a strumenti di cui non conoscono l’invasività e spesso l’assenza di limiti?
Non possiamo accettare che il mondo di Internet sia visto dai nostri ragazzi come una sorta di “Paese dei balocchi”, nel quale tutto è bello e possibile.
Questa è la nuova frontiera.
Una frontiera difficile da difendere per almeno due ragioni.
La prima, il continuo mutare delle tecnologie.
La seconda, la dimensione globale che la caratterizza.
Una dimensione che richiede regole condivise a scala planetaria e che obbliga a misurarsi con i limiti che le leggi nazionali ed europee incontrano.
Una Autorità nazionale ed europea aperta al mondo
4. Ci si interroga spesso sul ruolo delle Autorità indipendenti, e come esse si giustifichino nel nostro ordinamento costituzionale.
Non si può capire però questo fenomeno fuori del contesto europeo e internazionale. Esse, infatti, sono nate innanzitutto come Autorità di garanzia, tenute a vigilare sul rispetto da parte degli Stati membri degli indirizzi di volta in volta adottati nel processo di costruzione e consolidamento dell’Unione.
Questo è anche il fondamento della nostra Autorità.
Con un elemento importante in più: noi siamo parte integrante di un sistema che ha portato alla massima espansione la tutela dei nuovi diritti fondamentali.
Fin dall’inizio, l’adozione di un quadro normativo comune europeo di protezione dati ha avuto alla base il rispetto e la tutela della dignità della persona. L’inserimento nella Carta di Nizza di una specifica norma che rafforza sia il nuovo diritto che il ruolo delle nostre Autorità è stato solo l’ultima importante tappa di questo processo.
Più di recente, anche in relazione all’ampliamento dello spazio europeo di libertà e di giustizia e alla progressiva integrazione dei sistemi di sicurezza, la frontiera della protezione dati ha assunto una nuova dimensione.
È sempre più importante che lo scambio di informazioni fra apparati di polizia e fra autorità giudiziarie avvenga nel rispetto di regole di protezione comuni, condivise da tutti gli Stati membri.
Occorrono, anche in questi settori, nuove norme capaci di garantire il rispetto dei diritti costituzionali dei cittadini.
Bisogna inoltre evitare che si sviluppi una sindrome “bulimica” per la raccolta e l’archiviazione dei dati, trasformando anche l’Unione in un universo di controllati e spiati.
Le Autorità garanti nazionali e il Garante europeo sono impegnate su questi temi. La recente istituzione del Working party on police and justice, la cui presidenza è stata affidata all’Autorità italiana, costituisce un passo avanti importante per l’estensione dei principi di protezione dati anche nei settori della giustizia e della sicurezza.
5. Dopo l’11 settembre 2001, il mondo è entrato nell’epoca del terrore globale.
Alla crescente spinta a incentivare la collaborazione fra i sistemi di sicurezza, deve corrispondere una comune sensibilità verso i diritti dei cittadini, indipendentemente dalla loro nazionalità.
Questo ha comportato un periodo di tensione fra Stati Uniti e Unione europea.
Le Autorità americane hanno acquisito i dati delle transazioni finanziarie dei cittadini europei (è il caso Swift) e le informazioni personali sui passeggeri a bordo di voli che transitano nello spazio aereo americano (è
A fine giugno si sono registrati passi in avanti. La Presidenza tedesca e il Vicepresidente della Commissione Frattini hanno negoziato con gli USA una modifica nel numero e nelle modalità di acquisizione dei dati relativi ai passeggeri e, con riguardo all’utilizzazione dei dati delle transazioni finanziare, hanno registrato la disponibilità ad accettare che un’alta personalità europea eserciti, direttamente in territorio americano, poteri di controllo.
Sono passi ancora insufficienti pur se apprezzabili, che le Autorità garanti valuteranno con attenzione.
Peraltro queste vicende dimostrano che è sempre più necessario un lavoro comune tra le Autorità, anche nelle sedi internazionali.
Con questo spirito lavoreremo nel prossimo anno, quando toccherà a noi organizzare la Conferenza europea di tutte le Autorità di protezione dati.
L’attività svolta nel corso del 2006
Il cittadino al centro
Nel 2006 sono stati adottati 630 provvedimenti collegiali di cui 435 ricorsi; 13 i pareri dati al Governo; 350 le ispezioni e i controlli; 158 le violazioni amministrative contestate; 11 le segnalazioni all’Autorità Giudiziaria; 2.717 le segnalazioni e i reclami evasi; 679 i quesiti a cui si è data risposta.
La maggior parte dei provvedimenti adottati sono a difesa del cittadino senza aggettivi, del consumatore, dell’utente.
6.1. Basti pensare ai provvedimenti che fissano le regole alle quali devono attenersi i call center per esercitare correttamente l’attività di promozione pubblicitaria ed evitare l’intollerabile fenomeno delle chiamate non desiderate e dei servizi non richiesti.
Altri provvedimenti hanno riguardato le tecnologie che, utilizzate per dare ai cittadini migliori servizi, sono però potenzialmente in grado di localizzarli o profilarli indebitamente. Fra questi, quelli relativi all’uso delle tessere elettroniche nei servizi pubblici di trasporto; al monitoraggio del funzionamento dei sistemi di informazioni creditizie e all’accesso a tali sistemi da parte degli operatori telefonici; all’invio di fax pubblicitari indesiderati; e, infine, quelli, sempre numerosi, volti a un corretto utilizzo dei sistemi di videosorveglianza.
6.2. Grande attenzione è stata dedicata alla tutela dei dati sensibili, in particolare quelli relativi alla salute e alle abitudini sessuali.
Ricordo il blocco della diffusione su Internet di dati sanitari di persone nominativamente individuate; il divieto ad alcune agenzie immobiliari di schedare i clienti secondo l’origine razziale, le convinzioni religiose e le preferenze sessuali; il provvedimento che ha proibito ad una Regione di diffondere, sul proprio sito, i dati sanitari di circa 4.500 disabili.
Di rilievo anche il provvedimento che ha dettato alle ASL alcuni principi generali a tutela degli invalidi civili.
Altri interventi hanno riguardato il rapporto tra tutela dei dati personali ed esercizio della libertà di informazione.
Vanno ricordati, innanzitutto, quelli con i quali il Garante ha impedito la diffusione televisiva di dati sanitari raccolti con artifici per verificare l’eventuale utilizzo di sostanze stupefacenti da parte di uomini politici contattati in Piazza Montecitorio e di semplici ragazzi ripresi nei bagni di una discoteca.
Il provvedimento che interessava gli uomini politici ha fatto discutere, perché si è insinuato che l’obiettivo fosse di assicurare loro una particolare protezione. È vero il contrario. Noi abbiamo adottato quel provvedimento “anche” se riguardava uomini politici. Era importante, infatti, affermare il principio che è necessaria una protezione rafforzata quando si trattano dati sanitari, e che mai essi possono essere acquisiti con modalità ingannevoli.
Ancora più importante era spiegare a tutti la pericolosità sociale dell’utilizzazione di tecniche fraudolente per appropriarsi di campioni biologici delle persone, stante le informazioni che si possono trarre sullo stato di salute e sulle stesse previsioni di vita. Pericolo questo tanto più grave oggi che le tecniche di analisi possono diventare di massa, favorendo un rischioso “fai da te”.
L’informazione e i diritti della persona
7. Molta attenzione è stata dedicata al rapporto tra informazione e tutela dei dati personali con una cura particolare verso i soggetti più deboli, i minori e i cittadini incolpevoli.
In molti casi, l’intervento è stato realizzato attraverso forme di soft ruling, quali comunicati stampa e dichiarazioni dei membri del Collegio, nonché partecipando all’aggiornamento delle regole deontologiche della Carta di Treviso, specificamente posta a tutela dei minori. Un altro importante contributo in questo settore è stata l’edizione aggiornata del volume “Privacy e giornalismo”, che contiene una raccolta organica dei provvedimenti adottati negli anni.
Sempre fra gli interventi più significativi a tutela dei minori segnalo, in particolare, il ribadito divieto di rendere noti i dati relativi all’adozione senza il consenso dei genitori.
Degni di menzione sono anche il richiamo operato dal Garante con riguardo alle delicate vicende che hanno coinvolto un’intera comunità scolastica in un’inchiesta di pedofilia, nonché l’intervento con il quale si è criticata la pubblicazione dell’immagine di un feto privo di vita.
Alcuni provvedimenti si sono misurati direttamente con la ineliminabile tensione che sussiste tra libertà di stampa e tutela della riservatezza.
In questo quadro, si colloca innanzitutto il recente provvedimento con il quale il Garante ha disposto il blocco della divulgazione di fotografie scattate violando il domicilio privato, indipendentemente dalla rilevanza pubblica della persona ritratta.
È stato così riaffermato che l’inviolabilità di domicilio vale per tutti.
Sempre in tema di privacy e giornalismo, il Garante ha adottato nel giugno 2006 e nel marzo 2007, due provvedimenti generali che hanno fatto molto discutere.
Riguardavano la pubblicazione di dati relativi alle abitudini e ai comportamenti sessuali di numerose persone, note e meno note, della politica e dello spettacolo così come gente comune, tutte coinvolte nelle intercettazioni raccolte nel corso delle indagini giudiziarie. La vicenda ha posto in luce aspetti problematici che interpellano l’Autorità, il mondo dell’informazione e il legislatore. I punti da approfondire sono almeno due: i soggetti cui affidare la tutela della riservatezza e della dignità personale; la tipologia dei provvedimenti da adottare e delle sanzioni da applicare.
La normativa vigente coinvolge tre soggetti differenti: l’Ordine dei giornalisti, che ha nel proprio codice deontologico regole precise a presidio della libertà di informazione; il Garante, che può intervenire, anche d’ufficio, con provvedimenti di urgenza e interdittivi; il giudice ordinario, civile o penale a seconda dei casi.
È giusto chiedersi se questo complesso sistema sia da mantenere o da rivedere, così come è giusto interrogarsi su quale debba essere il ruolo dell’Autorità, oggi concepita come il bastione più avanzato di una tutela che, in via generale, il giudice può assicurare con tempi più lenti e strumenti, anche procedurali, più macchinosi.
Sotto il profilo sanzionatorio, poi, è senz’altro opportuno apportare modifiche alla normativa vigente, individuando per i provvedimenti del Garante soluzioni diverse dalla sanzione penale, che in materia di stampa potrebbe assumere un suono nefasto.
Si potrebbe prevedere, ad esempio, che il Garante possa stabilire in via equitativa forme di indennizzo la cui accettazione sia rimessa alla volontà delle parti e, in aggiunta, disporre la pubblicazione del provvedimento con modalità adeguate a quelle della notizia data.
Altri aspetti riguardano le modalità di utilizzo dei dati raccolti per fini di giustizia e la loro diffusione da parte dei mezzi di informazione: in particolare le intercettazioni.
Anche qui sono in gioco valori fondamentali.
Il diritto-dovere del giudice a svolgere le indagini e a raccogliere le prove con i mezzi previsti dalla legge; il diritto della difesa, che richiede la conoscenza completa degli elementi e delle prove di accusa; il diritto del giornalista a pubblicare l’informazione quando essa sia di interesse pubblico; il diritto delle persone al rispetto e alla tutela dei loro dati, specie quando essi riguardino informazioni sensibili ovvero attengano a terzi incolpevoli, incidentalmente citati nelle prove raccolte; il diritto dei minori e dei familiari a non vedere inutilmente lesa la loro sensibilità e la loro personalità.
Si tratta di una tematica che, ad oggi, non ha trovato adeguata soluzione.
La mancata risposta del Parlamento ad alcuni problemi da noi sollevati lo scorso anno ha esposto il Garante a una difficile ricerca del giusto equilibrio fra esigenze contrapposte. L’auspicio, dunque, è che questo dibattito giunga rapidamente a una conclusione chiara e definita nelle opportune sedi parlamentari.
Nel frattempo il Garante non può non raccomandare alla stampa e ai mezzi di informazione attenzione, moderazione e rigoroso rispetto del codice deontologico ogni volta che si trattino notizie che possono ferire la sensibilità e la dignità delle persone e dei familiari.
Banche dati e garanzie di protezione
8. Abbiamo sempre prestato attenzione alle implicazioni sistemiche della protezione dati, operando nella logica di una Autorità “esperta nel trattamento dei dati”, che si sente parte essenziale di una democrazia moderna.
L’attività ispettiva e di controllo è stata intensa e impegnativa.
Nel settore delle telecomunicazioni abbiamo svolto 16 ispezioni, di cui 3 nel 2007, che hanno riguardato i 4 maggiori gestori telefonici. Le prescrizioni impartite hanno mirato a: a) mettere in sicurezza lo scambio di informazioni tra gestori ed Autorità giudiziaria relative alle intercettazioni, compresi i dati di traffico e di localizzazione degli utenti; b) proteggere i dati e i tabulati relativi alle singole utenze; c) definire le misure tecniche ed organizzative necessarie per garantire la corretta conservazione dei dati.
Tale attività si concluderà nel prossimo autunno con l’adozione definitiva del provvedimento generale sulle regole e i tempi per la conservazione dei dati di traffico.
Quasi contestualmente alle ispezioni ai gestori telefonici, il Garante ha continuato e concluso gli accertamenti nei confronti della più grande banca dati di polizia del Paese, il CED.
L’attività è durata parecchi mesi e ha condotto a tre distinti provvedimenti.
Tra le principali prescrizioni impartite, la riduzione del numero dei soggetti abilitati alla consultazione e all’inserimento dei dati; l’introduzione di procedure di autenticazione per l’accesso, compreso l’utilizzo di dati biometrici; l’introduzione di sistemi di sicurezza che segnalino eventuali anomalie.
Possiamo affermare che, se nel passato fossero stati già operativi gli accorgimenti e i sistemi di protezione da noi imposti, molte delle violazioni e degli accessi illeciti riscontrati non si sarebbero verificati o, comunque, non nella misura in cui ciò è avvenuto.
Per questo l’Autorità continuerà a svolgere sempre più intensamente la sua attività di verifica in questi settori così delicati.
Per questo avvieremo quanto prima anche un’attività collaborativa e di vigilanza nei confronti dei Servizi, che aiuti ad evitare per il futuro ogni abbassamento del livello di guardia.
Continueremo anche a intervenire con determinazione per quanto riguarda le misure di sicurezza che devono essere adottate dagli Uffici giudiziari.
Sinora abbiamo incontrato difficoltà ad ottenere risultati apprezzabili, dovute non tanto e non solo a inadempienze di singoli o di specifici Uffici, quanto e soprattutto alla crisi endemica di risorse umane e finanziarie che attanaglia la Giustizia.
L’ispezione che stiamo svolgendo al Tribunale di Roma (ad oggi sono stati effettuati 4 accertamenti in loco e ne sono previsti altrettanti) ci conferma in questa convinzione.
Non intendiamo, tuttavia, demordere e dunque non cesserà la nostra pressione sugli Uffici Giudiziari, sul Consiglio Superiore della Magistratura e sul Ministero della Giustizia.
Da tempo, chiediamo l’emanazione dei previsti decreti dei Ministri dell’Interno e della Giustizia, ai quali spetta indicare le banche dati attualmente esistenti, operanti per finalità di giustizia e sicurezza.
Rinnoviamo la nostra richiesta. In mancanza di un elenco ufficiale e definito, il Garante non può assicurare un adeguato controllo.
Nel prossimo anno dedicheremo inoltre tempo ed energie agli istituti finanziari e di credito e, successivamente, ai soggetti esercenti servizi di massa e a quelli che operano nei settori previdenziali e assicurativi. In tutti questi ambiti, e in particolare in quello delle banche e delle istituzioni finanziarie, è infatti molto alto il costo economico e sociale che la mancanza di misure di sicurezza adeguate può far pagare ai cittadini.
10. All’incrocio tra il tema delle banche dati e quello della raccolta e utilizzazione delle informazioni per finalità di sicurezza e giustizia, si pone un problema delicatissimo, da troppo tempo non affrontato.
Mi riferisco al trattamento e alla conservazione dei campioni biologici e dei codici identificativi del DNA.
Come è noto, tutto ciò che attiene all’utilizzo, trattamento e conservazione del DNA è motivo di grande preoccupazione, in ragione delle delicatissime informazioni, appartenenti non solo alla persona interessata ma a tutto il suo gruppo biologico, che si possono trarre da un dato genetico.
Il Codice della privacy prevede una specifica autorizzazione – di recente adottata dal Garante – in ordine alla raccolta, trattamento e conservazione dei campioni di DNA soprattutto per fini scientifici o di ricerca.
Nel settore della sicurezza e della giustizia manca, invece, una normativa che disciplini la materia.
La recente esperienza, compiuta nell’ambito di un’attività ispettiva presso il RIS di Parma, ci ha fatto toccare con mano l’esistenza di banche dati di campioni e di codici genetici, conservati da strutture con compiti investigativi e di polizia giudiziaria.
Dobbiamo richiamare con forza l’attenzione del Parlamento sulla necessità di approvare al più presto una legge che dia un’idonea base normativa ad un fenomeno oggi incontrollato.
Tutto ciò diventa ancora più urgente in vista dell’attuazione del Trattato di Prüm, che comporta comunque che ciascun Paese si doti di una propria banca dati genetica.
Ovviamente l’Autorità chiede, sin d’ora, di essere attivamente coinvolta.
Ribadiamo, infine, che occorre vigilare per evitare utilizzazioni indebite del DNA nell’ambito delle assicurazioni e dei rapporti di lavoro, così come inammissibili banalizzazioni nel ricorso al trattamento di questi dati.
Una Pubblica Amministrazione a prova di privacy
11. Il 2006 è stato, per le Amministrazioni, l’anno della protezione dei dati e dell’adozione dei regolamenti per il trattamento dei dati sensibili.
È stato un lavoro enorme, che ha impegnato l’Autorità nell’esaminare ed esprimere i previsti pareri su 106 regolamenti, di cui 14 schemi-tipo, ma che ha consentito a tutta la PA di riflettere su se stessa, assumendo la tutela dei dati come un principio essenziale di organizzazione.
L’Autorità intende ora dedicare sforzi e risorse a verificare che le Amministrazioni applichino i regolamenti, aggiornandoli quando necessario.
Con analogo spirito abbiamo operato rispetto all’Amministrazione finanziaria, settore delicato nel quale, al fine di combattere l’evasione fiscale, si registra una raccolta e un utilizzo massiccio di dati.
Il Garante non intende in alcun modo costituire un ostacolo a questa azione, ma considera suo obbligo istituzionale vigilare che questo avvenga nel rispetto delle nostre regole.
A questo fine stiamo lavorando da tempo con l’Agenzia delle Entrate, con la quale è stato anche costituito un tavolo di lavoro comune.
Il Garante ha reso all’Agenzia ben 7 pareri, di cui 5 nei soli primi mesi del 2007, invitando sempre a ridurre al minimo l’utilizzo dei dati personali e a evitare inutili duplicazioni di banche dati.
Per quanto attiene ai profili della sicurezza, poi, il Garante ha richiesto adeguate procedure di autenticazione dei soggetti incaricati.
Anche in questo settore, infatti, si sono verificati accessi illeciti che hanno riguardato non solo uomini politici e alte personalità, ma anche ignari e semplici cittadini.
Abbiamo, comunque, già in programma per i prossimi mesi un’attività ispettiva-collaborativa sulle banche dati di cui si avvalgono le Agenzie del Ministero dell’Economia.
Infine, sempre nell’ambito della PA, dedicheremo particolare attenzione alle carte di identità, carte sanitarie e carte dei servizi elettroniche, anche per evitare inutili duplicazioni.
Una protezione dati più semplice e più efficace per i lavoratori e le imprese
12. Relativamente alle imprese e al mondo del lavoro ricordiamo le linee-guida adottate in alcuni settori specifici: la gestione del rapporto di lavoro dei dipendenti privati e dei dipendenti pubblici e la gestione della posta elettronica e internet nei luoghi di lavoro.
Sono provvedimenti importanti, relativi ad attività lavorative profondamente modificate dalle nuove tecnologie, e ancora una volta il Garante è intervenuto a supplenza del legislatore che meglio di noi potrebbe dare a questi problemi una risposta adeguata, salvaguardando allo stesso tempo la libertà di impresa e il diritto alla riservatezza dei lavoratori.
Nello stesso senso si muove il provvedimento relativo alle linee guida per le piccole imprese. Esso ha però anche una finalità di semplificazione, in armonia con quanto previsto dall’art. 2 del Codice, che assume proprio la semplificazione come un parametro fondamentale di una buona normativa di protezione dati.
Il Garante ha voluto indicare modalità di tutela dei dati adeguate e proporzionate alle dimensioni degli operatori e alle caratteristiche della loro attività. Riteniamo infatti che il metodo corretto da seguire non sia quello di procedere con l’accetta a modifiche legislative, adottate sotto la pressione delle categorie di volta in volta interessate. È opportuno, piuttosto, operare con interventi mirati che, come vuole anche la Direttiva europea, prevedano una modulazione differenziata dei livelli e delle misure di tutela, ma non che un intero settore venga sottratto alla normativa.
Per questa ragione, dobbiamo manifestare la nostra contrarietà rispetto alla recente decisione della Camera di sottrarre le imprese fino a quindici dipendenti dalla normativa sulla protezione dei dati per le attività connesse all’ordinaria gestione amministrativa e contabile.
Auspichiamo che, al Senato, questa norma venga riesaminata e riproponiamo la nostra collaborazione per individuare altre e migliori soluzioni.
Riconfermiamo infine la disponibilità a concorrere con la nostra esperienza a una saggia opera di semplificazione anche nei diversi ambiti indicati dal Governo con il “Piano di azione per la qualità della semplificazione e della regolazione” recentemente approvato e chiediamo, fin da ora, di essere adeguatamente coinvolti.
13. Le considerazioni svolte inducono ad una più ampia riflessione.
La normativa, europea e nazionale, in materia di protezione dati è innanzitutto finalizzata alla tutela delle persone.
Tale finalità dà forza e concretezza a quello che oggi è per l’Unione europea un diritto fondamentale ma, talvolta, ha condotto ad una normazione nazionale tendenzialmente orientata ad assicurare la massima e preventiva tutela delle persone che possano trovarsi in una “situazione di rischio”.
In questo modo si è mosso anche il Garante.
Siamo consapevoli, però, che è necessario evitare sia un’ipertrofia normativa, sia una tutela fondata sul proliferare di una disciplina di dettaglio, spesso a forte carattere burocratico-formale, senza un’adeguata attenzione alle diverse realtà e settori in cui le norme sono destinate ad operare.
Occorre evitare di imporre eccessivi oneri, burocratici e finanziari, tali da provocare, specie negli operatori, resistenze e forme di inadempimento passivo, che si traducono in un abbassamento delle garanzie per i cittadini.
Il principio di proporzionalità, che è uno dei pilastri della protezione dei dati, deve consentire di tutelare adeguatamente questo diritto fondamentale, senza gravare di oneri inutili o eccessivi i destinatari delle prescrizioni.
Per questo siamo interessati a forme di differenziazione delle misure di sicurezza e ricordiamo la necessità di adeguare e, ove opportuno, rivedere l’Allegato B del Codice, che oggi le specifica. Un aggiornamento reso necessario non solo dallo sviluppo delle nuove tecnologie, ma anche dall’esperienza maturata dal Garante.
È importante, infine, un costante rapporto con gli operatori e le associazioni dei consumatori e delle imprese, che non si esaurisca in modalità formali di consultazione, ma si sviluppi in forme effettive di cooperazione.
14. Intendiamo promuovere ulteriormente i codici deontologici, forma duttile di autoregolamentazione, che bene si adatta alle esigenze e alle specificità dei settori coinvolti.
Negli anni scorsi, ne sono già stati approvati alcuni, ma molto resta da fare.
È in stato di avanzatissima redazione, dopo anni di lavoro, il codice deontologico degli avvocati e degli investigatori privati, che speriamo giunga presto a conclusione.
Pensiamo, inoltre, che sia utile avviare i lavori per l’elaborazione di nuovi codici, accogliendo anche le richieste di settori diversi da quelli previsti dal Codice.
Mi riferisco, in particolare, alle vendite per corrispondenza e, più in generale, al marketing.
Nella linea di incentivare un atteggiamento sempre più responsabile della protezione dati, è opportuno ribadire la necessità di introdurre anche in Italia, almeno nelle strutture di una certa dimensione, la figura del privacy officer.
Questi soggetti potranno costituire una rete di interlocutori permanenti, assicurando anche un’elevata capacità di collaborazione tecnica con l’Autorità.
Una protezione dati sostenibile in un’economia globalizzata
15. Perseguire la tutela dei dati personali in una visione attenta alle esigenze dell’economia e dello sviluppo significa anche affrontare il problema del trasferimento dei dati all’estero e, in generale, della loro circolazione al di fuori dell’Unione.
In molti Paesi manca un’adeguata soglia di protezione dei dati e questo, nell’era della globalizzazione, costituisce un ostacolo allo svilupparsi di facili e fluide relazioni economiche e commerciali.
È questo un problema che tocca sempre più da vicino anche le imprese italiane, man mano che i processi di ristrutturazione conducono alcuni settori della nostra economia, primo fra tutti quello delle istituzioni finanziarie, alla creazione di organizzazioni multinazionali forti.
Il nostro Codice civile e la nostra legge sulla protezione dati ostacolano l’adozione di forme flessibili di tutela già praticate in altri Paesi dell’Unione.
Occorre trovare soluzioni idonee, coinvolgendo le imprese e, se opportuno, segnalando al Parlamento la necessità di nuove regole e istituti giuridici.
L’educazione alla privacy
Ai giovani è stata dedicata la giornata europea della protezione dati.
Registriamo con piacere che la tematica della privacy ha assunto finalmente un rilievo formativo tale da essere inserita, quest’anno, addirittura tra le prove scritte di maturità.
Continueremo a incentivare la nostra presenza nelle scuole e la nostra attenzione ai problemi dei giovani, così come abbiamo fatto di recente intervenendo in giudizio nel caso Peppermint, relativo al problema della condivisione di files musicali.
Nello sforzo di incrementare ogni forma di comunicazione e diffusione dei nostri valori, continueremo a favorire le iniziative di un componente del nostro Collegio che ha dato vita a un Laboratorio finalizzato a promuovere una visione ampia di privacy, attenta anche a sviluppare una più serena vita di relazione, e che si articola in incontri e seminari presso varie Università e scuole.
Il rapporto con le Istituzioni
17. Qualche considerazione infine sul rapporto tra il Garante e le Istituzioni.
La normativa ci affida non solo il potere e il dovere di fare segnalazioni al Parlamento, ma stabilisce anche che l’attività regolatoria del Governo, quando tocca aspetti connessi con il trattamento dei dati, deve essere necessariamente sottoposta al nostro parere.
Al Governo chiediamo attenzione al nostro ruolo.
Auspichiamo un rapporto sempre più stretto col Parlamento, e ci auguriamo che sia possibile avere un raccordo istituzionale più strutturato ed organico di quanto le audizioni e la Relazione annuale ci consentono oggi. Diamo volentieri atto, comunque, che l’attenzione del Parlamento verso di noi è stata in questi ultimi mesi molto significativa. Dopo le quattro audizioni del 2006, quest’anno siamo già stati sentiti sei volte.
Crediamo importante un raccordo costante anche con le Regioni e, in genere, con tutti i livelli di governo territoriale.
Il collegamento tra il Garante e le altre Istituzioni è di vitale importanza, così come lo è quello sviluppato da tempo con le altre Autorità di vigilanza e quello con le associazioni dei consumatori, che ci sono sempre state vicine. Lo stesso vogliamo fare con le altre associazioni di categoria.
La nostra collocazione istituzionale ci impone di essere sempre dalla parte dei cittadini e di operare per accrescere il livello di civiltà giuridica e sociale nel nostro Paese.
Lo vogliamo fare con l’orgoglio di chi sa di essere sulle frontiere più avanzate del diritto costituzionale moderno, ma anche con pragmatismo e concretezza.
Vogliamo aiutare i cittadini, le imprese, l’economia a vivere e a crescere nella competitività e nelle tensioni di un mondo globale, senza dover rinunciare ma anzi rafforzando i valori dello Stato democratico.
Questo è il nostro compito. Questo è il nostro impegno.
Consulta il profilo Who is who di Francesco Pizzetti