Il progresso della tecnica ha fatto balzare alla ribalta una modalità di intromissione nella sfera privata di ciascuno del tutto nuova e neppure lontanamente prospettabile anche soltanto alcuni decenni orsono.
Ci si riferisce all'
elaborazione elettronica dei dati personali che permette di reperire dati di soggetti ricavati dalle fonti più diverse nella memoria elettronica, talvolta di enorme ampiezza, di cui sono dotati i sistemi elaborativi
nota1. Questa possibilità implica,
ex se, che la persona schedata abbia perduto il bene della riservatezza. E' inoltre possibile che la "schedatura" venga a comporre un'immagine del soggetto non conforme al reale a causa dei criteri di raccolta dei dati personali (ciò che ben può implicare una parallela lesione del diritto all'identità personale).
E' evidente la gravità del problema costituito a tal proposito dal contenuto e dal controllo delle banche dati a servizio della P.A. e dei privati. Ad esempio il CED presso il Ministero dell'interno tiene la raccolta dei dati e delle informazioni di cui agli
artt. 6,
7 e
8 della L. n. 121/1981. Cfr. sul punto le disposizioni di cui agli abrogati
artt. 53 e ss. del D.Lgs. n. 196/2003 (t.u. in materia di privacy) che prevedevano specifiche disposizioni relativamente al trattamento di dati personali da parte delle forze di polizia, venute meno per effetto dell’
art. 49, comma 1, D.Lgs. n. 51/2018.
La nostra appartenenza alla CEE e la sottoposizione agli accordi di Shengen, intesi a rendere possibile la libera circolazione delle persone nell'ambito della CEE, hanno imposto inoltre l'adozione di apposite norme (Trattati e Convenzioni Internazionali Pubblica Sicurezza 30/09/1993,
art. 10) che riguardano l'utilizzo di dati sulle persone.
Va segnalata anche
la possibilità di un potenziale conflitto di istanze tra il cosiddetto diritto alla trasparenza, inteso come diritto del cittadino a conoscere elementi del procedimento amministrativo e ad accedere ai dati disponibili presso la P.A. (c.d. diritto di accesso)
e diritto alla riservatezza dei singoli. La L. n. 241/1990 (come modificata per effetto della
L. n. 15/2005; cfr. anche il relativo regolamento di cui al
D.p.r. n. 184/2006) prevede infatti all'
art. 24 l'esclusione del diritto di accesso per casi determinati. Insomma: deve esistere un interesse concreto, personale ed attuale allo scopo di poter concretamente accedere agli atti del procedimento (cfr.
Tar Sicilia, Sez. II, 374/2016).
Ulteriori provvedimenti normativi hanno ancor più ristretto tale diritto, anche in relazione ad aspetti di essenziale importanza a fini generali, quali ad esempio gli accertamenti di natura medica (D.M. 10 gennaio 1996, n. 60,
art. 2 - Categorie di documenti inaccessibili per motivi di riservatezza di terzi, persone, gruppi ed imprese). Al riguardo l'
art. 59 del D.Lgs. n. 196/2003 (t.u. in materia di privacy
nota2) come modificato per effetto dell'entrata in vigore del
GDPR (Regolamento UE 2016/679) prescrive che i presupposti, le modalità, i limiti per l'esercizio del diritto di accesso a documenti amministrativi contenenti dati personali (e la relativa tutela giurisdizionale)
restano disciplinati dalla predetta L. n. 241/1990 e successive modificazioni anche per quanto riguarda i tipi di dati sensibili e giudiziari e le operazioni di trattamento eseguibili in esecuzione di una richiesta di accesso. Ai sensi del comma 1
bis, aggiunto per effetto della novellazione del 2018,
"i presupposti, le modalità e i limiti per l'esercizio del diritto di accesso civico restano disciplinati dal D.Lgs. n. 33/2013".
Un ulteriore possibilità di accedere a dati personali o comunque riservati è contenuta nell'
art. 11 della "Direttiva recante indirizzi per la protezione cibernetica e la sicurezza informatica nazionale" adottata con D.P.C.M. del 24 gennaio 2013. Il provvedimento, adottato nel quadro della prevenzione degli attacchi cibernetici, conferisce la possibilità che venga consentito all'autorità l'accesso a banche dati altrimenti non accessibili, se non previa autorizzazione dell'autorità giudiziaria.
In materia tributaria l'accesso alle varie banche dati ed alle informazioni disponibili sul singolo contribuente ha dato luogo ad interventi del legislatore che, se da un lato potrebbero essere giustificati dalla lotta all'evasione fiscale, dall'altro hanno finito per configurare un intollerabile ed ingiustificato attacco alle libertà personali. Si pensi al c.d. "redditometro", vale a dire alla serie di parametri elaborati dal ministero ed elaborati dall'Agenzia delle Entrate per determinare in via presuntiva, in base ai consumi del contribuente ed alle sue abitudini di vita il reddito di costui. Tale strumento è stato reputato addirittura illegittimo (cfr.
Tribunale di Napoli, 21 febbraio 2013) sulla scorta dell'intollerabile contrarietà dello stesso ai fondamentali principi costituzionali e comunitari del diritto alla riservatezza. Conseguentemente è stato addirittura ordinato all'Agenzia delle Entrate di astenersi dal trattare i dati personali del contribuente, sulla scorta della nullità (dunque della disapplicabilità) del D.M. 24 dicembre 2012, n. 65648. Tuttavia è stato deciso che tale norma non si pone a base del c.d. "metodo sintetico" di accertamento dei redditi, in relazione alla cui fruizione dunque l'AE conserva il proprio potere (
Cass. Civ. Sez. I, 17486/2018).
Si configura altresì un nuovo potenziale conflitto tra diritto alla riservatezza e diritto del singolo e delle collettività alla tutela di interessi primari quali la salute. Si pensi ad infezioni quali l'AIDS e, correlativamente, alle esigenze di riservatezza del malato, da contemperarsi con quelle di tutela della salute pubblica. Esiste in proposito una normativa che sembrerebbe aver privilegiato essenzialmente il primo aspetto (L. n. 135/1990, "Programma di interventi urgenti per la prevenzione e la lotta contro l'AIDS"
artt. 5 e
6). E' in seguito intervenuta la Corte Costituzionale, provvedendo a rettificare l'originaria portata del disposto della legge in accordanza con elementari esigenze di protezione della salute di terzi (
Corte Costituzionale, 218/1994).
Anche in questo settore con il
D.Lgs. n. 196/2003 (t.u. in materia di privacy) si è cercato di apportare una disciplina di ordine generale.
L'intero Titolo V del detto t.u. era infatti dedicato al trattamento dei dati in ambito sanitario. Fondamentali si ponevano le ormai abrogate (per effetto dell'
art. 27 del D.Lgs. n. 101/2018) prescrizioni relative all'
art. 81 del D.Lgs. n. 196/2003 (in riferimento alla prestazione del consenso in ordine al trattamento dei dati idonei a rivelare lo stato di salute) ed all'
art. 83 del D.Lgs. n. 196/2003 (contenente la previsione di ulteriori misure per il rispetto dell'interessato). Il novellato
art. 75 del D.Lgs. n. 196/2003 che "apre" il predetto titolo V (ormai "svuotato") prescrive attualmente che "Il trattamento dei dati personali effettuato per finalità di tutela della salute e incolumità fisica dell'interessato o di terzi o della collettività deve essere effettuato ai sensi dell'
art. 9, paragrafi 2, lettere h) ed i), e
3 del regolamento (cioè del GDPR), dell'
art. 2 septies del presente codice, nonché nel rispetto delle specifiche disposizioni di settore."
Quanto agli interventi giurisprudenziali in materia, va osservato come la S.C. abbia statuito che nessuno possa essere sottoposto senza il suo consenso, al test anti HIV, potendosene prescindere soltanto nelle ipotesi di indifferibile urgenza del trattamento sanitario, ovvero per specifiche esigenze di pubblico interesse, quali il rischio di contagio (
Cass. Civ., Sez. III, 2468/2009).
Non meno rilevanti problemi pone il contemperamento tra diritto in esame e quello di cronaca e di critica
nota3.
Merita di essere segnalata l'emanazione della
Dir. CE 58/02 relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche. A tutto campo l'intervento normativo comunitario, dettato allo scopo di armonizzare la legislazione degli Stati membri in tema di protezione della vita privata in riferimento al trattamento dei dati personali nell'ambito delle comunicazioni elettroniche. Da un lato infatti occorre assicurare la funzionalità dei sistemi e delle procedure adottate dai gestori dei servizi di comunicazione e da quelli che si occupano dell'erogazione di specifici servizi, dall'altro è indispensabile che ciò non si risolva in intollerabili intrusioni o nell'utilizzo non autorizzato di dati personali degli utenti.
A proposito di intrusioni va infine segnalata l'istituzione, per il tramite del
D.P.R. n. 178/2010, del c.d.
"registro delle opposizioni" . Si tratta di un elenco al quale è possibile che si iscriva ogni soggetto titolare di un'utenza telefonica che non desideri essere contattato allo scopo di ricevere proposte commerciali. A tal fine gli operatori che intendono proporre la vendita di beni e servizi per il tramite del servizio telefonico avranno l'onere di preventivamente confrontare i nominativi di cui dispongono con quelli contenuti in detto registro, dovendo essere espunti coloro che vi risultano iscritti.
Va posta in luce anche la potenziale attitudine degli algoritmi dei motori di ricerca sul web a rivelare, associando gli elementi delle stringhe di ricerca, dati personali ed anche sensibili. Sulla rete infatti sono presenti miliardi di dati che ben possono manifestare vicende quali pronunzie penali, esistenza di malattie, di procedimenti esecutivi, di vicende attinenti la vita sessuale di persone determinate. E' stato al riguardo deciso come da un lato l'attività di un motore di ricerca vada qualificato come "trattamento di dati personali", dall'altro come il detto gestore sia obbligato, a richiesta dell'interessato, a sopprimere dall'elenco dei risultati di una ricerca effettuata a partire dal nominativo di una persona, dei collegamenti verso pagine contenenti dati sensibili, quali pignoramenti eseguiti contro la stessa (
Corte Giustizia CEE n. C-131/12 del 13 maggio 2014). Speciale attenzione va dedicata ai c.d. "cookies" (letteralmente "biscotti"), che consentono di raccogliere dati di un utente durante la sua navigazione in un sito internet. Essi infatti non soltanto possiedono una rilevante valenza dal punto di vista della statistica (permettendo di conoscere dati quali il traffico di un sito e le pagine visitate), ma permettono la c.d. "profilazione" dell'utente, vale a dire una vera e propria schedatura dei gusti, delle preferenze, delle attitudini e, potenzialmente, anche delle opinioni di chi naviga sul web. Appare evidente non soltanto la rilevanza di una tale attività sotto il profilo del diritto alla riservatezza, ma anche sull'utilizzo potenzialmente assai pregiudizievole dei dati. Proprio in considerazione della delicatezza del tema, l'attività è stata disciplinata con l'emanazione di un provvedimento ad hoc "Individuazione delle modalità semplificate per l'informativa e l'acquisizione del consenso per l'uso dei cookie." (
Garante Privacy, Provv. 8 maggio 2014).
Il delicato tema della profilazione degli utenti e del trattamento dei c.d. "big data" è uno degli argomenti che, non a caso, risulta essere stato oggetto di speciale attenzione nel GDPR.
Note
nota1
V. Buttarelli, Banche dati e tutela della riservatezza, Milano, 1997.
top1nota2
In relazione alle problematiche che abbiamo evocato è intervenuta in un primo tempo la
L. 675/1996, ("Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali"), modificata dal
D.Lgs. n. 123/1997 nonché, successivamente, dal
D.Lgs. n. 467/2001 , unitamente alla
L. n. 676/1996 ("Delega al Governo in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali"), attributiva al singolo di un "diritto all'autodeterminazione informativa". In base a questa normativa si è per la prima volta posto il principio, ai fini della legittimità del trattamento di dati personali, del necessario consenso dell'interessato. Cfr. al riguardo Giannantonio-Losano-Zeno Zencovich, La tutela dei dati personali: commentario alla L. 675/1996, Padova, 1997.Venne inoltre istituita un'Autorità Garante, organo indipendente al quale è stato affidato il controllo del settore, affinché il nuovo diritto fosse rispettato. La gestione di banche dati è stata espressamente qualificata attività pericolosa ai sensi e per gli effetti di cui all'
art. 2050 cod. civ., con specifica previsione dell'inerente risarcibilità pure del danno "non patrimoniale" (
art. 2059 cod. civ
.). La detta normativa è stata abrogata in esito all'entrata in vigore del D.Lgs. n. 196/2003 (t.u. in materia di privacy) con il quale è stato compiuto un notevole sforzo di sistemazione dell'intera materia.
top2nota3
Cfr. Calò, Nuova disciplina del trattamento dei dati personali, in St. CNN n.1644 del 16 dicembre 1997, p.4 e ss.. E' stato deciso che in detti dati vada ricompresa l'effige della persona. Quando la pubblicazione di essa non fosse giustificata in base ai riconosciuti limiti relativi al diritto di cronaca, occorrerebbe pertanto il consenso dell'interessato (
Tribunale di Biella, 29 marzo 2003). Da segnalare, in materia,
Garante Privacy del marzo 2003, in base al quale devono reputarsi vietate la pubblicazione e la diffusione dell'immagine di persone in manette o di foto segnaletiche quando ciò non sia giustificato da "comprovati fini di giustizia o di polizia" ovvero "rilevanti motivi di interesse pubblico".
top3Bibliografia
- BUTTARELLI, Banche dati e tutela della riservatezza, Milano, 1997
- CALO', Nuova disciplina del trattamento dei dati personali, St.CNN 1644, 1997
- GIANNANTONIO LOSANO ZENO ZENCOVICH, La tutela dei dati personali: commentario alla L. 675/1996, Padova, 1997