Francesco Pizzetti
La Relazione di quest’anno non riguarda solo il bilancio della nostra attività ma contiene anche una riflessione sul ruolo, la funzione e i compiti della nostra Autorità. Lo impongono il delicato momento che il Paese attraversa e le tematiche attualmente in discussione in Parlamento che continuamente evocano la privacy, anche se non sempre in modo appropriato.
1. Il Trattato di Lisbona e la protezione dei dati personali
La protezione dati intesa come diritto fondamentale ha trovato finalmente nel Trattato di Lisbona il definitivo riconoscimento e si estende ora a tutti i settori di competenza dell’Unione, incluso quello relativo alla politica estera e di sicurezza comune.
Il Trattato stabilisce, inoltre, che la protezione dei dati deve essere garantita da Autorità indipendenti. Il che pone problemi importanti di omogeneità fra le Autorità nazionali quanto a poteri, compiti e forme di indipendenza, che dovranno essere sempre più convergenti.
Ci aspettano dunque innovazioni legislative significative anche a livello nazionale.
Per questo, nella discussione in corso sul riordino delle Autorità, chiediamo attenzione alla peculiarità della nostra, la sola che trova copertura diretta nel Trattato di Lisbona e la sola chiamata a tutelare un diritto fondamentale.
Tutti gli Stati dell’Unione devono rispettare questo vincolo, secondo un principio di coerenza e di adattamento al nuovo quadro europeo.
Il tema delle Autorità indipendenti a radicamento europeo rappresenta dunque una sfida importante.
2. L’Autorità e il crocevia della protezione dati oggi
Il compito di proteggere i dati dei cittadini da trattamenti illeciti e di vigilare affinché chi ha il dovere di tutelarli lo faccia in modo adeguato, pone l’Autorità a un crocevia in cui si intersecano tutte le relazioni umane che vivono di scambio di informazioni.
Un crocevia diventato cruciale con lo sviluppo delle tecnologie di comunicazione e con la globalizzazione delle reti, che danno vita a forme di relazione mai prima concepite, quali i social network, a nuove modalità di localizzazione e di mappatura, ad una sempre più pervasiva messa in rete di ogni aspetto della nostra vita.
Una realtà multiforme, nella quale presente, passato e futuro perdono ogni distinzione e tutto rischia di diventare un eterno presente.
Il mondo è sempre di più un intreccio di strade digitali, fra loro interconnesse, che si intersecano, si incrociano, si dividono, prendono direzioni diverse.
***
Di fronte a tutto questo tanto l’osservatore quanto il regolatore possono essere colti dallo sconforto e da senso di impotenza. Non a caso vi è chi sostiene che il mondo di oggi e ancora più quello di domani non consentiranno più alcuna riservatezza, realizzando una società in cui tutti hanno accesso a tutto, nella quale nulla potrà più essere nascosto.
Il mondo della conoscenza totale e, si potrebbe dire, persino della onniscienza, che potrebbe trasformarsi presto nell’incubo del controllo di tutti su tutto, annullando ogni spazio, sia pur minimo, di individualità.
I mutamenti in atto mettono in tensione valori, principi, diritti e ci obbligano a ripensare le categorie giuridiche sulle quali abbiamo costruito i nostri ordinamenti.
Questo vale ancora di più per la nostra Autorità che, grazie alle scelte del legislatore, ha competenze più significative di quelle di altri Paesi.
In Italia la protezione dei dati non si applica solo alle persone fisiche ma anche a quelle giuridiche e la nostra Autorità, unica nel panorama europeo, ha una specifica competenza anche sull’uso dei dati personali fatto dai mezzi di informazione che ci rende spesso arbitri del rapporto, sempre instabile, fra libertà di informazione e tutela della riservatezza.
Abbiamo infine poteri più ampi di altre Autorità anche nell’attività di controllo e, più in generale, nei settori dell’amministrazione pubblica, della sicurezza e della organizzazione della giustizia.
Tutto questo fa della nostra Autorità un osservatorio privilegiato sul presente e molto di più sul futuro.
3. Gli aspetti quantitativi della nostra attività
Anche quest’anno la nostra attività è stata impegnativa.
Il numero complessivo dei provvedimenti collegiali si è avvicinato nel 2009 ai seicento. Quasi quattromila i quesiti, i reclami e le segnalazioni ai quali l’Ufficio ha dato risposta. Quarantatré le violazioni segnalate all’Autorità giudiziaria.
Più di quattrocento le attività ispettive e di accertamento, in gran parte svoltesi con l’ausilio della Guardia di Finanza, al cui nucleo privacy e al suo Comandante va sempre il nostro più caloroso ringraziamento.
Tenendo conto anche del primo semestre 2010, ammontano a più di tre milioni di euro le sanzioni riscosse, fra le quali una di più di un milione comminata a un grosso gestore telefonico relativamente a un traffico di schede telefoniche prepagate.
Oltre seicento le contestazioni ancora da definire. Intensa come sempre la nostra attività a livello europeo e internazionale. Impegnativa l’attività di informazione e comunicazione svolta dall’apposito servizio. In modo del tutto collaterale, a questa attività ha contribuito anche il Laboratorio, organizzato, per sua iniziativa e al di fuori delle nostre attività istituzionali, dal collega Fortunato, mentre il collega Paissan ha dedicato un impegno particolare al lavoro di diffusione dei nostri provvedimenti in materia di informazione e il Vice Presidente Chiaravalloti di quelli relativi alla ricerca farmaceutica e sanitaria.
Un’attività, insomma, che anche quest’anno è stata sicuramente all’altezza del nostro tradizionale impegno.
Di questo lavoro vogliamo dare atto a tutto l’Ufficio e ai due Segretari generali che si sono succeduti dall’anno scorso ad oggi, il Presidente Patroni Griffi e il dottor De Paoli.
Sappiamo però che è necessario fare sempre di più, anche se i tagli resi indispensabili dai problemi di finanza pubblica hanno ridotto le nostre entrate e posto nuovi vincoli.
Peraltro abbiamo accettato con senso di responsabilità di contenere le spese e noi stessi stiamo ripensando alcune nostre modalità di azione per ridurre ulteriormente i costi.
Siamo un’Autorità snella, con un numero ridotto di personale estremamente capace, che pensiamo dia al Paese più di quanto costa.
Il prossimo anno segnerà il quindicesimo anniversario dell’approvazione della legge italiana di protezione dati. Un quindicennio per noi di costante sviluppo, che è importante continui per il futuro.
Anche per questo chiediamo che non ci siano fatti mancare i mezzi necessari alla nostra attività.
4. La privacy consolidata
In importanti settori si è ormai radicata la consapevolezza della necessità di proteggere i dati personali. Rispetto a questi si può parlare di una “privacy consolidata”.
Ci riferiamo innanzitutto al cuore storico della legge, quello che afferma e tutela il principio del consenso e ancor più quello dell’informativa come condizioni per l’uso lecito dei dati, ai quali si aggiungono il diritto dei cittadini a conoscere se altri conservino e utilizzino i loro dati, come li abbiano acquisiti, quali ne siano le ragioni che giustifichino il trattamento, compreso il diritto a chiedere ed ottenere la correzione dei dati inesatti e la cancellazione di quelli conservati illegittimamente.
Per quanto riguarda questi principi la battaglia per diffondere nel Paese il diritto alla protezione dei dati ha fatto enormi progressi.
Questo non significa che le violazioni non vi siano e in qualche caso siano impudentemente ripetute, ma almeno da parte di chi le compie e di chi le subisce vi è la consapevolezza che si tratta di comportamenti illeciti, oltre che incivili.
***
Grazie alle decisioni e alle linee guida approvate dal Garante negli ultimi anni, la tutela dei dati nel rapporto di lavoro appare ormai consolidata. Non ci si riferisce solo alle regole che impediscono un uso dei dati dei lavoratori sotto forma di controllo a distanza, vietato in primo luogo dallo Statuto dei lavoratori, ma anche a quelle che ne limitano la raccolta e la conservazione nel rispetto dei principi di pertinenza e di necessità. É il caso ad esempio dei dati biometrici e sensibili dei lavoratori e delle modalità prescritte per il loro utilizzo. Importanti anche le linee guida e i provvedimenti sull’uso di e-mail e di Internet sul posto di lavoro. Questa tematica, insieme alla protezione dei dati dei clienti e dei fornitori, è stata spesso al centro di tensioni fra Autorità e imprese, specialmente quelle di minori dimensioni.
La semplificazione da noi a suo tempo compiuta ha peraltro consentito di trovare un ragionevole punto di equilibrio tra le diverse esigenze in gioco.
Crediamo che i risultati siano assolutamente accettabili e ci auguriamo che la nuova spinta a rendere meno burocratica l’attività di impresa non comprometta gli equilibri raggiunti.
***
La crisi in atto ripropone problemi noti relativi al rapporto fra imprese, utenti e consumatori. Due i settori nei quali si continuano a registrare pressioni significative. Il primo riguarda le centrali rischi che, attraverso la raccolta e conservazione dei dati relativi ai comportamenti dei debitori rispetto al credito al consumo, consentono di ridurre rischi e perdite.
Si tratta di uno strumento che da un lato incide direttamente sui cittadini che rischiano di vedersi negato l’accesso al credito a seguito di un temporaneo momento di difficoltà, ma dall’altro diminuisce, specie nei momenti di crisi, il rischio di impresa. Problemi oggi acuiti dalla crisi e dalle difficoltà in cui vivono persone e aziende.
Finora si sono mantenuti i punti di equilibrio sanciti dal Codice deontologico del credito al consumo, e le richieste delle imprese di istituire centrali rischi anche in altri settori non hanno trovato soddisfazione.
É una situazione in costante tensione, che deve essere seguita con attenzione e con senso di responsabilità.
Diverso il discorso sul monitoraggio dei comportamenti dei debitori per individuare le situazioni di estremo bisogno ed offrire, almeno rispetto ai servizi essenziali, forme adeguate di sostegno.
La normativa attuale non consente di dare una risposta.
Ci auguriamo che, con l’ausilio del legislatore, si trovi una soluzione equilibrata e coerente col sistema complessivo.
***
Anche rispetto alla profilazione dei consumatori a fini commerciali si è raggiunto da tempo un equilibrio consolidato, che tuttavia rischia continua- mente di essere compromesso.
Sistemi sempre più sofisticati di monitoraggio dei comportamenti, realizzati incrociando tecnologie diverse, conducono a forme nuove di profilazione, specialmente nell’ambito dei servizi forniti sulla rete.
L’uso delle moderne tecnologie e la dimensione globalizzata della rete, rende sempre più difficile assicurare il rispetto delle nostre regole da parte di operatori che, radicati in altri Paesi con legislazioni assai più permissive, danno vita anche a una concorrenza sleale sul territorio nazionale.
A questo fenomeno ci stiamo opponendo in ogni modo. L’Autorità non può accettare che i cittadini siano privati di ogni adeguata tutela.
***
Infine, un altro settore importante sul quale in questi anni si è raggiunto un soddisfacente consolidamento è quello dei dati sensibili, anche se purtroppo continuano comportamenti gravemente lesivi che richiedono il nostro intervento.
Recentemente abbiamo prescritto agli operatori sanitari di non raccogliere informazioni idonee a rivelare la sindrome HIV al momento della mera accetta- zione del paziente compiuta da personale ausiliario o di segreteria, riservando la legittimità del trattamento soltanto al medico durante l’attività di cura.
Inizialmente alcune categorie di medici hanno considerato eccessiva questa forma di tutela, ritenendo che mettesse a rischio la loro salute.
Successivamente le ragioni e il senso del provvedimento sono stati compresi.
In materia sanitaria abbiamo svolto un’importante opera di regolazione dedicata al fascicolo sanitario elettronico e ai referti on line.
Un lavoro, condotto in collaborazione con le Regioni e il Ministero della Salute e accompagnato da una ampia consultazione pubblica, che per la prima volta in Europa ha definito linee guida per il corretto trattamento dei dati e prescritto le necessarie misure di sicurezza.
Il Garante ha così anche evitato il rischio che in assenza di criteri uniformi, si adottassero scelte organizzative e tecniche diverse tra le Regioni che avrebbero impedito la realizzazione di un sistema interconnesso a livello nazionale.
Si pensi al previsto Casellario dell’Assistenza per la raccolta, conservazione e gestione dei dati, dei redditi e di altre informazioni relative ai soggetti aventi titolo a prestazioni assistenziali. Una banca dati delicatissima, condivisa tra le amministrazioni centrali dello Stato, gli enti locali, le organizzazioni no profit e gli organismi di previdenza e assistenza obbligatorie.
Agli stessi criteri ci siamo ispirati nel definire le modalità di trattamento dei referti on line.
Sempre in materia sanitaria il Garante ha reso pareri rilevanti come quello sui registri delle protesi mammarie, che ha evitato l’inutile esposizione dei dati anagrafici delle donne interessate.
5. La privacy consolidata: le grandi banche dati
Un altro filone della privacy consolidata riguarda le grandi banche dati.
Il nostro controllo inizialmente rivolto alle banche dati dei gestori telefonici si è poi esteso all’anagrafe tributaria e quest’anno alle banche dati dell’INPS.
Abbiamo accumulato grande esperienza nell’analizzare tutte le diverse criticità delle banche dati, specie quando vi accedano una pluralità di soggetti.
Mettiamo l’esperienza acquisita a disposizione del federalismo fiscale, che prevede la costituzione di nuove banche dati e una fitta rete di relazioni fra queste e i diversi livelli di governo territoriali.
Il nostro lavoro sarà utile anche per l’attuazione della manovra finanziaria ora all’esame del Parlamento, che istituisce nuove banche dati in settori partico- larmente sensibili.
Conforta che la norma preveda esplicitamente che la sua realizzazione dovrà avvenire nel rispetto della protezione dati.
Impegnativa anche la prevista Anagrafe immobiliare integrata, che sarà gestita dall’Agenzia del territorio ma consentirà l’accesso e la consultazione anche ai Comuni. Anche qui il nostro intervento potrà assicurare la massima protezione dei dati e dei trattamenti.
Sono previsti poi nuovi e ingenti flussi di dati nell’attività dei Comuni relativa agli accertamenti tributari e contributivi nonché per la comunicazione all’INPS dei dati dei beneficiari di talune prestazioni.
Numerose le innovazioni per quanto riguarda le attività di censimento svolte dall’ISTAT.
6. La protezione dati nell’ambito delle telecomunicazioni
In questi anni l’Autorità ha contribuito a consolidare la protezione dati nel settore dei gestori telefonici e delle banche dati contenenti dati di traffico.
Recentemente abbiamo fatto un ulteriore passo avanti per imporre regole all’attività di profilazione della clientela e alla vendita, da parte di società specializzate, dei dati telefonici a fini di marketing.
Un lavoro impegnativo, realizzato grazie a una intensa attività ispettiva.
Si è dimostrato così che l’Autorità non si limita a richiamare regole formali ma si impegna per stroncarne in concreto le violazioni.
Siamo però sempre attenti a ricercare il giusto equilibrio tra la tutela dei cittadini e la necessità di non ostacolare lo sviluppo economico.
La protezione dati non è un nemico da battere ma un aspetto essenziale di una società ben regolata.
Insoddisfacenti invece i risultati raggiunti nella lotta contro le chiamate telefoniche pubblicitarie, contro i fax indesiderati e contro ogni altro mezzo di comunicazione utilizzato illecitamente per finalità di marketing.
Malgrado l’aumento delle sanzioni, questo settore continua a non rispettare le regole.
Anzi, avvalendosi sempre di più delle differenze di legislazione tra gli Stati, e spesso continuando a farsi scudo dei lavoratori precari impiegati nei servizi, si persiste senza pudore in una competizione selvaggia.
Recentemente il legislatore ha deciso di passare dal sistema che per poter effettuare attività di telemarketing richiedeva un consenso preventivo
ad uno, meno garantista, che consente tale pubblicità salva la successiva facoltà del cittadino di opporsi.
Il nostro auspicio è che il nuovo sistema, che peraltro tarda ad essere pienamente attuato, trovi maggiore rispetto da parte degli operatori e assicuri una tutela più efficace per i cittadini.
Se però esso sarà violato con la stessa intensità e la medesima spudoratezza con cui si è agito finora, l’Autorità prenderà tutte le iniziative possibili, compresa la richiesta di un intervento delle istituzioni europee, Corte di Giustizia inclusa.
7. L’Autorità tra cittadini e imprese
Nel corso dell’ultimo anno l’azione dell’Autorità, finalizzata a trovare l’equilibrio tra difesa degli utenti e dei consumatori e esigenze dell’impresa, si è manifestata in molti campi.
Abbiamo avviato un grosso sforzo per mantenere alta la tutela dei cittadini, abbattendo però le barriere formali che ostacolano di fatto gli investimenti stranieri. Per questo, in linea con gli altri Garanti europei, abbiamo consentito alle multinazionali di adottare regole interne uniformi e vincolanti di protezione dati applicabili in tutti i Paesi le cui Autorità le ritengano adeguate e non in contrasto con la legge nazionale. Un caso importante ha riguardato il così detto Whistleblowing, e cioè le segnalazioni relative a irregolarità all’interno delle imprese fatte con la garanzia dell’anonimato. Un istituto pensato nel mondo americano dopo i grandi fenomeni di corruzione finanziaria degli ultimi anni.
La sua introduzione in Italia incontra ostacoli legati all’ordinamento civilistico e alla disciplina del lavoro, che lo rendono inapplicabile in mancanza di norme specifiche.
Abbiamo inviato, per ora senza avere risposta, una segnalazione al Parlamento per chiedere interventi normativi adeguati, a dimostrazione che operiamo sempre in una logica di sistema, attenta a tutelare i diritti fondamentali dei cittadini ma anche ad aiutare la competitività del settore economico e produttivo.
Abbiamo avviato una intensa attività di verifica delle modalità con le quali le banche e gli istituti finanziari trattano, archiviano e proteggono i dati dei clienti, che ha fatto emergere punte di eccellenza ma anche ritardi, inadeguatezze e carenze.
In dialogo col mondo bancario e con le Associazioni del settore detteremo presto linee guida che contengano misure di sicurezza e prescrizioni specifiche che vadano oltre le attuali, spesso incomprensibili, informative.
8. La privacy bloccata
Il bilancio dell’anno trascorso e il crescente radicamento della cultura della protezione dei dati personali dimostrano il rafforzamento dell’Autorità, specialmente nei settori più strategici e presso i decisori costituzionali, quali il Governo, il Parlamento, la Pubblica Amministrazione e in generale la società.
Vi è però anche una privacy che si confronta con carenze strutturali del Paese, e che dunque registra talvolta oggettive sconfitte.
Il riferimento è essenzialmente al settore della giustizia, ad alcuni apparati di sicurezza e alle strutture sanitarie.
***
Ai trattamenti dei dati giudiziari e, più in generale, dell’organizzazione giudiziaria, abbiamo dedicato tempo e attenzione, adottando provvedimenti, defi- nendo linee guida, disponendo ispezioni nei tribunali ordinari e amministrativi.
Più volte negli anni abbiamo scritto al Consiglio Superiore della Magistratura e al Ministro della Giustizia per chiedere risorse adeguate agli uffici giudiziari.
Il risultato è stato insoddisfacente. Purtroppo siamo in presenza di carenze gravissime.
Il collasso in cui versano molti uffici giudiziari è al di là non solo delle nostre regole ma anche, semplicemente, dei principi minimi di una civiltà giuridica adeguata a una società democratica.
Noi comunque continueremo a chiedere anche alla organizzazione giudizia- ria più rispetto delle nostre regole.
Del resto non abbiamo mai mancato di dare al Ministero della Giustizia e in genere all’organizzazione giudiziaria la nostra collaborazione.
Lo testimonia il parere sul processo civile telematico, e le misure di sicurezza raccomandate affinché fosse fin dall’inizio orientato alla piena tutela dei dati giudiziari trattati.
***
Un altro settore nel quale abbiamo operato senza risparmio ma senza ottenere risultati adeguati riguarda le strutture collegate alle attività di polizia e di polizia giudiziaria.
Come nel passato per il Centro elaborazione dati interforze, quest’anno abbiamo ispezionato la struttura italiana del sistema Schengen, dando prescrizioni allo stato solo parzialmente attuate.
Chiediamo inutilmente da anni di conoscere l’elenco delle banche dati di polizia esistenti nel Paese ma, malgrado le promesse e gli impegni assunti, non lo abbiamo ancora ricevuto.
Il terzo grande settore nel quale abbiamo registrato, almeno fino ad ora, non poche sconfitte è quello ospedaliero.
A causa delle carenze organizzative, strutturali e persino edilizie, le nostre linee guida rivolte alle strutture sanitarie affinché la dignità del malato fosse meglio tutelata, hanno trovato finora una applicazione a macchia di leopardo.
9. La privacy tra contraddizioni e tensioni: il principio di trasparenza e il suo equilibrio instabile col principio di riservatezza
Vi sono poi fenomeni in atto che sempre più coinvolgono la nostra attività.
Il primo di questi è il crescente affermarsi del diritto dei cittadini a conoscere ogni aspetto del modo di operare della Pubblica Amministrazione, specialmente con riguardo all’uso delle risorse.
Nel nostro ordinamento questa tensione alla conoscenza di ogni attività connessa all’utilizzo di denaro pubblico ha preso il nome di trasparenza.
Si tratta di un principio finalizzato a rovesciare il tradizionale rapporto tra amministrazione e cittadini, finora caratterizzato dalla separatezza e dal segreto, solo moderatamente corretti dal diritto di accesso agli atti e dalla partecipazione ai procedimenti.
Esso peraltro ha già trovato applicazione in numerose leggi recenti che hanno imposto forme di pubblicità o di consultazione pubblica di un numero crescente di atti e di decisioni, specialmente relativi ad attività di erogazione di contributi assistenziali e di ammissione al godimento di servizi a domanda individuale.
Con la così detta riforma Brunetta la trasparenza è diventata un principio cardine della Pubblica Amministrazione, strutturalmente legato all’uso della rete, e alla messa on line delle informazioni.
Per la sua ampiezza e pervasività tale principio si pone in naturale tensione con quello della riservatezza e mette in discussione alcuni cardini della protezione dei dati: lo stretto collegamento tra la finalità che si persegue con la diffusione del dato; l’individuazione di chi abbia diritto a conoscerlo; per quanto tempo debba essere diffuso; quando debba essere cancellato.
Tutti aspetti che perdono efficacia di fronte a una trasparenza considerata una finalità in sé. É evidente peraltro che non è possibile affermare a cuor leggero che l’amministrazione debba mettere on line tutte le informazioni di cui è in possesso, o che per ogni tipo di informazione debbano valere le stesse regole. In questo modo si renderebbe concreto il rischio di un controllo globale di tutti su tutti.
Il risultato sarebbe una società nella quale non vi è più riservatezza alcuna e ciascuno, solo perché è entrato in rapporto con la Pubblica Amministrazione, deve accettare la conoscibilità totale delle informazioni che lo riguardano.
Non vi sarebbe più difesa alcuna dei dati sensibili, né difesa possibile della dignità di chi ha chiesto e ricevuto un sussidio, un sostegno alla sua disabi- lità, una risposta a uno stato di necessità o il riconoscimento di un titolo preferenziale legato alle sue condizioni economiche, sociali, di salute.
Una società mostruosa, quella casa di vetro che è stata sempre il sogno di ogni dittatura e di ogni concezione basata sul totale prevalere dell’interesse della collettività rispetto ad ogni spazio di libertà e di autonomia del singolo.
Un incubo, destinato a diventare ancora più orrido se non si mettesse alcun limite all’accessibilità ai dati messi in rete da parte dei motori di ricerca. Questi, infatti, li decontestualizzano dai siti delle amministrazioni facendoli diventare parti di biografie artificiali e spesso artificiose, costruite sulla base di criteri ignoti ai più.
La nostra Autorità è da tempo impegnata a rispondere a richieste di parere relative a trattamenti on line di singole categorie di dati, in particolare quelle relative ai trattamenti economici e a altri dati specifici dei dirigenti della Pubblica Amministrazione. A queste richieste abbiamo dato risposta, comin- ciando ad affrontare alcuni dei nodi più significativi.
Riteniamo urgente ora redigere nuove linee guida, che consentano di adempiere al dovere di trasparenza senza ledere i principi della riservatezza.
Il nostro obiettivo è che esse siano pronte subito dopo il periodo estivo.
Opereremo in serrato dialogo con la CIVIT, la nuova Commissione cui spetta definire invece le linee guida della trasparenza, e promuoveremo la più ampia consultazione possibile.
Contiamo su un dibattito pubblico consapevole, che su questi temi aiuti la comunità nazionale a fare un importante salto in avanti.
Si dovrà comunque evitare anche solo il sospetto che in nome della riservatezza si proteggano i corrotti, i trattamenti di favore, gli sprechi, e si
impedisca il corretto controllo democratico dei cittadini. L’Autorità del resto ha sempre valorizzato la conoscibilità dell’uso delle risorse pubbliche. É emblematico il caso della Rai, rispetto al quale fin dal 1997 l’Autorità ha sempre detto che la protezione dati non è di ostacolo alla conoscibilità dei dati aziendali relativi all’uso delle risorse pubbliche, a partire dagli emolumenti corrisposti.
Diverso invece il discorso sulle modalità di diffusione di queste informazioni che, come abbiamo di recente precisato, sono previste dalla legge solo attraverso la pubblicazione sul sito della Azienda. Recentemente, insieme ad altre Autorità, siamo stati nuovamente investiti del problema dal Direttore generale della Rai.
Esamineremo nuovamente con attenzione il tema, anche se non sembrano esservi state innovazioni normative che impongano di cambiare orientamento.
10. La privacy tra contraddizioni e tensioni: la libertà di stampa e il suo equilibrio instabile col principio di riservatezza
Un altro settore in costante tensione con i principi di protezione dati, specialmente declinati come diritto alla riservatezza, è quello della libertà di stampa, di informazione e di opinione.
Il diffondersi generalizzato dei siti on line dei giornali e del mondo dei media pone problemi del tutto nuovi.
É inevitabile chiedersi se la riproduzione on line di archivi dei giornali e di trasmissioni video si configuri in ogni caso come esercizio attuale di una libertà di stampa e di informazione diventata senza tempo, o se invece, specialmente per gli archivi risalenti negli anni, si debba considerare diffusione di documentazione storica, e dunque debba essere attratta sotto la disciplina di protezione dati applicata a questo tipo di attività.
Con riferimento alla diffusione in Internet, si pone anche per questi archivi l’interrogativo se, in quali casi, e fino a che punto sia utile e opportuno disporre che i siti on line dei giornali e degli altri media, o almeno quella parte che contiene gli archivi del passato, sia resa sempre e comunque accessibile ai motori di ricerca che catturano e decontestualizzano informazioni che, pur risalenti nel tempo, entrano così a far parte di un eterno presente, senza alcuna verifica della sussistenza di un ragionevole interesse pubblico a conoscerle.
Sono problemi estremamente importanti, che ci vengono posti sempre più frequentemente.
Finora ci siamo orientati caso per caso. Spesso chiediamo che i siti dei giornali rendano impenetrabili ai motori di ricerca determinate notizie del passato che giudichiamo non più di interesse pubblico.
In altri casi invece respingiamo il ricorso o la segnalazione, ritenendo che per la rilevanza della notizia e per il breve periodo trascorso, sussista ancora l’interesse a conoscere.
É evidente però che occorre un ampio e serio dibattito pubblico, da condurre innanzitutto con gli operatori del settore ma che deve coinvolgere tutta la società.
***
Su un terreno più tradizionale la ricerca del giusto punto di equilibrio fra libertà di stampa, diritto all’informazione e tutela della riservatezza delle persone, ha riguardato lo scorso anno due filoni particolarmente significativi.
Il primo, che ha prevalentemente coinvolto le persone comuni, ha ribadito le modalità e i limiti che l’informazione deve rispettare quando si tratta di vittime di fatti di violenza, in particolare sessuale.
Abbiamo ripetutamente ricordato che in questi casi occorre una protezione rafforzata da parte dei mezzi di informazione, evitando di fornire dettagli che possano identificare le vittime.
Il secondo filone ha interessato ancora una volta le persone note e i loro figli.
In un caso il Garante ha accolto il ricorso di un padre che lamentava la pubblicazione di foto dei suoi figli in piscina, insieme a lui e alla sua compagna in quanto si è dimostrato che, per le specifiche circostanze di fatto, questo poteva ledere gravemente sotto il profilo psicologico i ragazzi.
In un altro caso è stato respinto il ricorso di un genitore altrettanto noto, che lamentava la pubblicazione della foto della figlia minore su un settimanale.
Il rigetto è stato deciso perché la foto era stata scattata in una occasione pubblica, con la piena consapevolezza del padre e con evidenti finalità di diffusione.
***
Abbiamo seguito e stiamo seguendo il dibattito in corso, dentro e fuori il Parlamento, sul disegno di legge ormai universalmente noto come la legge sulle intercettazioni telefoniche.
L’Autorità si è sinora rigorosamente astenuta dall’intervenire, ritenendolo inopportuno, tanto più che il Parlamento può in ogni momento chiedere il nostro parere attraverso un’apposita audizione.
A questa linea intendiamo restare fedeli. Tuttavia questa Relazione è rivolta innanzitutto al Parlamento. É dunque doveroso in questa sede fare qualche precisazione sugli aspetti che più toccano da vicino il rapporto tra indagini giudiziarie, esercizio del diritto di informare e tutela della riservatezza.
In linea di principio il rapporto tra libertà di stampa e riservatezza deve sempre essere valutato caso per caso. Libertà di stampa e riservatezza sono fra di loro in inevitabile tensione e, a seconda dei casi e della sussistenza o meno dell’interesse pubblico a conoscere, il cursore si sposta o a favore della libertà di stampa o a favore della riservatezza.
Per quanto riguarda poi il rapporto tra indagini giudiziarie e tutela della riservatezza, l’interesse a che il giudice possa accertare i fatti fa sempre prevalere la bilancia a favore della giustizia, salvo il dovere del giudice, imposto anche dal diritto alla protezione dei dati personali, di proteggere le informazioni di cui è venuto a conoscenza per motivi di giustizia e di utilizzarle secondo le regole stabilite dal codice di rito.
In linea di principio poi i mezzi di indagine che il legislatore consente ai giudici di utilizzare vanno valutati con riguardo alle esigenze di giustizia, il che non esclude affatto che il legislatore possa compiere anche una prudente valutazione del loro impatto sui diritti fondamentali dei cittadini.
Non vi è dubbio però che neanche i diritti fondamentali di per sé possono essere limite assoluto all’attività giudiziaria ed ai mezzi di indagine che il legislatore consente ai giudici di utilizzare.
Né contrasta di per sé con la libertà di stampa il fatto che, per mettere al riparo l’attività giudiziaria, specie nella fase delle indagini preliminari, da fughe di notizie che potrebbero pregiudicarla, si pongano limiti alla diffusione di atti giudiziari, specie se secretati dal giudice.
Diverso invece il caso in cui si stabiliscono specifici limiti alla diffusione di dati giudiziari in ragione del tipo di mezzo di indagine col quale tali dati sono stati raccolti. É il caso che ricorre nel disegno di legge in discussione, dove si pongono limiti specifici alla pubblicabilità delle intercettazioni, non perché contenute in atti giudiziari, che come tali possono essere diffusi per riassunto, ma in quanto dati raccolti con lo strumento delle intercettazioni.
In questo caso infatti si sente il bisogno di una motivazione che giustifichi questi particolari limiti rispetto a questo specifico mezzo di indagine. Ed è a questo fine che da parte dei proponenti si fa particolare riferimento alla privacy.
In un tale contesto però ci si riferisce non alla tutela in concreto e rispetto a casi specifici di questo diritto, quanto piuttosto a una difesa anticipata, disposta in via generale e astratta, nei confronti di qualunque dato raccolto, nel presupposto che, in ragione della natura dello strumento di indagine usato, debba sempre prevalere la tutela di questi dati perché raccolti nell’ambito di conversazioni fra persone. Così facendo però si sposta oggettivamente il punto di equilibrio tra libertà di stampa e tutela della riservatezza, tutto a favore della riservatezza. In questo senso sia consentito dire che si tratta di una scelta impegnativa che, proprio perché effettuata in via generale e astratta, e prescindendo dal contenuto dei dati raccolti, sposta il cursore tutto a favore dei limiti alla conoscibilità e quindi della riservatezza. Questo può giustificare che da molte parti si affermi che, così facendo, si pone in pericolo la libertà di stampa. Anche se è innegabile che questa preoccupazione, nella assolutezza in cui è stata manifestata, presenti un qualche eccesso, giacché in ogni caso la scelta compiuta non incide su qualunque altro ambito di esercizio della libertà di stampa e, anche rispetto alle attività giudiziarie, riguarda solo la pubblicazione dei testi delle intercettazioni, essendo gli altri aspetti contenuti negli altri provvedimenti conoscibili per riassunto.
***
Su un piano del tutto diverso si colloca la preoccupazione per le sanzioni previste per gli editori, che comportano necessariamente un loro maggiore intervento rispetto alla pubblicazione delle notizie.
In verità in molti Paesi anche di grande tradizione democratica, la libertà di stampa è concepita come un diritto e un dovere degli editori non meno che dei direttori e dei giornalisti.
É vero però che nel caso italiano la scelta compiuta da questo disegno di legge costituisce una discontinuità significativa.
L’Italia, infatti, con la legge sulla stampa approvata in diretta attuazione della Costituzione, ha consapevolmente distinto la responsabilità e il ruolo dell’editore da quello del direttore, mettendo i direttori al riparo da ogni condizionamento diretto da parte dell’editore, anche in ragione del fatto che questi, nel nostro Paese, ben raramente sono editori puri.
Un altro aspetto è per noi particolarmente importante.
Il risultato complessivo delle scelte fatte nel testo ora in discussione alla Camera, è quello di aver dato al Paese una sorta di regime della libertà di stampa a due velocità, specialmente nel rapporto con il rispetto della riservatezza.
Nel limitato ambito del disegno di legge infatti ogni violazione da parte della stampa relativa alle intercettazioni è sanzionata penalmente e la responsabilità è condivisa con l’editore.
Per tutto il restante ambito nel quale si dispiega la libertà di informazione e si ripropone il delicato equilibrio fra diritto a informare e ad essere informati e tutela della riservatezza, tutto resta come prima.
Il presidio di questo delicatissimo punto di equilibrio rimane affidato totalmente al Garante e ai giudici eventualmente aditi in sede civile e penale.
Un sistema che, per sua natura, richiede un bilanciamento caso per caso, da operare sulla base delle norme del Codice della privacy e del Codice deonto- logico dell’attività giornalistica.
Ci chiediamo se non sarebbe stato più opportuno rinunciare alla creazione di questa sorta di doppio regime, e continuare ad affidare tutto alla nostra Autorità e ai giudici, eventualmente prevedendo piuttosto che il Garante senta, prima di decidere, i rappresentanti della stampa e degli editori.
Siamo però consapevoli che il modo col quale talvolta i giornalisti hanno fortemente criticato le nostre decisioni, e gli eccessi da loro compiuti in questi anni, attraverso la pubblicazione per intere pagine di intercettazioni sempre riferite alla politica o agli ambienti dello sport e dello spettacolo e quasi mai ai fatti di criminalità comune o organizzata, anche quando questi ingenerano grande allarme sociale, giustifica in parte il sospetto che spesso si abbiano a cuore più gli indici di vendita, gli share e la concorrenza fra le testate, che non l’oggettivo interesse dell’opinione pubblica.
Di qui il manifestarsi di reazioni legislative che hanno condotto a scelte tanto impegnative quanto oggettivamente discutibili.
Un’ultima annotazione.
Troppo spesso si sente ripetere, anche da personalità di grande autorevolezza, che il giornalista ha il dovere di pubblicare ogni informazione di cui venga a conoscenza.
Una affermazione che dimentica, ad esempio, che il nome della vittima di una violenza sessuale è una notizia, ma non per questo essa è sempre pubblicabile.
Si tratta di una affermazione che inoltre è in contrasto col corretto rapporto tra libertà di stampa e tutela delle persone almeno quanto contrasta la posizione opposta, secondo la quale il legislatore ha il diritto di escludere a priori, sia pure in casi specifici e per una sorta di tutela anticipata della riservatezza, la pubblicabilità di qualunque notizia.
L’una posizione sposta, a priori e per definizione, il cursore tutto a favore della libertà di stampa. L’altra lo sposta invece tutto, e in modo egualmente aprio- ristico, a favore della riservatezza.
Due letture entrambe unilaterali.
Noi, per parte nostra, cercheremo di essere sempre, nell’ambito di nostra competenza, un presidio affidabile del corretto rapporto tra informazione e riservatezza.
11. La privacy tra contraddizioni e tensioni: protezione dati e sicurezza
Un altro settore nel quale si registra una permanente tensione è quello della sicurezza, caratterizzato dalla necessità di combattere, avvalendosi di tecno- logie sempre più avanzate, forme vecchie e nuove di criminalità.
Con il provvedimento generale in materia di videosorveglianza abbiamo dedicato un’ampia riflessione ai temi della sicurezza, promuovendo anche una consultazione col Dipartimento della Pubblica sicurezza e con ANCI.
In questo quadro abbiamo innanzitutto approfondito i nuovi poteri dei sindaci in materia di sicurezza urbana, distinguendo fra i casi in cui questi attengono alla sicurezza e quelli che riguardano piuttosto la qualità della vita nell’ambito urbano.
Abbiamo dettato importanti raccomandazioni alle strutture di sicurezza, invitandole a utilizzare l’informativa per segnalare la presenza di telecamere o altre forme di controllo a distanza. La conoscenza da parte dei cittadini dell’esistenza di questi strumenti non solo risponde al rispetto di un principio di civiltà ma ha anche un effetto deterrente.
Abbiamo prescritto regole particolari per i casi in cui videocamere installate da privati siano collegate alla Questura ovvero siano interconnesse fra le diverse polizie locali.
Allo stesso modo abbiamo prescritto che quando si intenda far uso delle così dette “videocamere intelligenti” che permettono particolari forme di controllo, sia preliminarmente chiesto il parere dell’Autorità, attivando la proce- dura della verifica preliminare.
Anche quest’anno è continuata positivamente la nostra attività col Ministero dell’Interno, sempre più richiesta anche nelle fasi di elaborazione dei provvedimenti ministeriali.
Siamo impegnanti da tempo a collaborare per la messa a punto delle regole che devono presiedere alla istituzione delle banche dati DNA e al loro funziona- mento. Attività, questa, essenziale per poter dare piena attuazione al Trattato di Prüm che prevede appunto lo scambio di informazioni relative al DNA tra le strutture di sicurezza dei Paesi aderenti. Una tematica molto delicata affrontata anche in sede europea nell’ambito del WPPJ che la nostra Autorità guida e presiede.
Un altro settore al quale abbiamo prestato attenzione è quello relativo all’eventuale uso di body scanner.
In conformità alle pronunce adottate congiuntamente dalle Autorità europee, abbiamo indicato in più sedi le linee di fondo che devono essere rispet- tate ove si intenda ricorrere a queste forme di controllo.
Sappiamo che in Italia è stata condotta una prolungata sperimentazione delle diverse tecnologie utilizzabili.
Siamo disponibili, se richiesti, ad una adeguata verifica preliminare.
***
L’uso della rete pone nuovi rischi per la sicurezza.
La rete è infatti lo “strumento” sul quale si basano non solo i grandi sistemi produttivi ma anche le strutture di sicurezza interna e di difesa esterna degli Stati.
Tutte le comunicazioni e le attività possono essere pregiudicate da attacchi informatici.
Occorre al più presto dare piena attuazione alla Convenzione sul Cybercrime, entrata in vigore il 1 luglio 2004 e recepita in Italia con la l. n. 48 del 2008, alla quale l’Autorità sta prestando la massima attenzione.
Abbiamo, infatti, guidato il gruppo di lavoro che ha promosso iniziative comuni fra tutte le Autorità europee e abbiamo partecipato, unica Autorità di protezione dati presente, alla Conferenza organizzata nell’ambito del Consiglio di Europa.
Occorre riflettere anche sui rischi che pone la nuova tecnologia del “cloud computing”, con la quale i dati verranno sempre più sottratti alla disponibilità materiale di chi li produce e usa, e gestiti da enormi server collocati in ogni parte del pianeta. Un fenomeno che moltiplicherà i servizi di “remote hard disk” e renderà sempre più ampio il ricorso all’outsourcing e all’hosting dei sistemi, moltiplicando i servizi forniti da terzi secondo modalità che favoriscono sempre di più la delocalizzazione dei dati conservati.
Si tratta di una nuova frontiera che allarma tanto le strutture militari quanto quelle di sicurezza interna, e che coinvolge problemi di enorme portata.
L’Autorità si è mossa da tempo. In questa prospettiva abbiamo adottato il provvedimento sugli Amministratori di sistema ed abbiamo compiuto ispezioni presso alcune banche dati di interesse nazionale al fine di verificare se sono state compiute le analisi necessarie sui rischi, attuate misure idonee di protezione delle reti e dei sistemi, fatte le verifiche circa la loro affidabilità quando si ricorre ai servizi in outsourcing. É necessario adesso un salto di qualità. Occorre che, anche adottando le eventuali modifiche normative, sia posto al più presto a disposizione dell’Autorità un elenco esaustivo delle banche dati di interesse nazionale e della loro dislocazione, comprese quelle gestite da privati.
É indispensabile una forte collaborazione internazionale, che tuttora manca.
12. La privacy del futuro: le nuove sfide
La rete e i sistemi che su di essa operano pongono problemi continuamente nuovi. Nella realtà virtuale gli istituti giuridici tradizionali e gli stessi principi della protezione dati sono messi a dura prova.
Si pensi al contrasto, che appare tuttora insanabile, tra la protezione del diritto di autore e la necessità di non consentire tracciamenti indiscriminati della navigazione in Internet per perseguire eventuali violazioni.
Un tema complesso che non ha ancora trovato convincenti soluzioni condivise.
Si pensi a quello che impropriamente si definisce diritto all’oblio, e che non è altro che il diritto di ottenere la non reperibilità dei propri dati quando non c’è interesse pubblico attuale a conoscerli. Un diritto difficilissimo da far valere sulla rete.
Si pensi agli interrogativi che pongono i motori di ricerca, che per loro natura non hanno limiti alla cattura e utilizzo di dati personali.
Si pensi ai rischi, spesso ignoti agli utenti, posti dai social network.
Si pensi alla difficoltà di verificare, anche al fine di una loro tutela, l’età degli utenti che accedono alla rete e la loro capacità giuridica.
Si pensi alla difficoltà di conciliare la messa in rete di informazioni pubbliche per le quali è previsto un termine massimo di pubblicità, con la difficoltà, oggi quasi insormontabile, di garantire che sulla rete questi dati possano essere cancellati con certezza alla scadenza del tempo previsto.
Si pensi ai rischi legati ad incidenti informatici che non a caso oggi le direttive del secondo “pacchetto Telecom”, finalizzate a favorire sempre di più l’integrazione dei sistemi europei di telecomunicazione, impongono di segnalare immediatamente alle Autorità competenti.
Particolari riflessioni richiedono i rischi connessi ai nuovi servizi offerti da Google.
É il caso di Google Latitude, che consente a un utente la localizzazione geografica di un altro utente semplicemente acquisendo il consenso con un sms, o Google Maps, che nella modalità my location localizza la posizione del soggetto che ne fa uso.
Attualmente l’attenzione nostra e di molte Autorità europee è concentrata soprattutto su Google Street View che, oltre ad aver mappato le nostre città ha raccolto illecitamente informazioni su reti wireless prive di protezione.
Lo scenario è sempre più complesso e articolato, e impone un continuo sforzo di riflessione e di azione.
Da un lato si tratta di garantire la libertà sulla rete. Dall’altro di imporre agli operatori regole e misure idonee a proteggere la sicurezza della rete e i diritti di chi vi opera.
Su questi temi e sulle soluzioni che, anche a livello internazionale, sapremo individuare, si gioca il futuro della privacy.
13. L’importanza dell’Autorità per il sistema Paese
Il bilancio dei risultati raggiunti permette di comprendere meglio quale sia oggi il “posto” della nostra Autorità, anche con riferimento ai problemi più rilevanti che il Paese dovrà affrontare.
Due gli aspetti essenziali.
Il primo: la protezione dati non può più limitarsi alla tutela del diritto del singolo ma è sempre di più una componente essenziale del sistema Paese, specie riguardo ai servizi di telecomunicazione e a quelli a rete.
Il secondo: è sempre più urgente creare regole di protezione dei dati internazionalmente riconosciute. É questa una condizione essenziale per fronteggiare la nuova età della globalizzazione telematica, assicurando anche adeguati sistemi di controllo.
Senza un quadro di regole comuni e internazionalmente riconosciute, il cammino verso una efficace protezione dei dati è destinato a incontrare un muro invalicabile.
In questo scenario si colloca anche l’attività svolta dalla Commissione europea, finalizzata a definire il “future of privacy”.
La nostra Autorità è in prima fila su questa frontiera. Abbiamo l’ambizione di essere una preziosa torre di avvistamento, che scruta incessantemente l’orizzonte anche per anticipare il più possibile i problemi del futuro.
L’obiettivo che ci motiva ogni giorno è di essere sempre all’altezza di quello che il Paese ha il diritto di attendersi.
É questo il nostro patriottismo costituzionale, perché questo è il nostro lavoro.
Francesco Pizzetti
Presidente
Garante per la protezione dei dati personali