I profili dinamici del Right to Privacy
di Alberto Mascia (Avvocato del Foro di Benevento - Studio legale Mascia)
Volendo idealisticamente ripercorrere la mai doma stagione terminologica e temporale che, in perfetto stile camaleontico, ha da sempre contraddistinto l’ ambito della privacy - seguendo l’espressione cara al mondo anglosassone -, l’originario right to be let alone ha dovuto necessariamente adeguarsi all’ incessante "passaggio di acqua sotto i mulini", espressione un pò rude, ma significativa del fondamentale esprit juridique che deve animare ogni riflessione attenta e presente. Voglio riferirmi cioè al profilo non meramente esclusivista - una sorta di anacronistico "no entry" da opporre ai possibili intrusori, ma soprattutto alla dinamicità del proprio "io" rinvenibile nel profilo del controllo, della informazione, degli "occhi ben aperti" che un ragionare in termini tecnologicamente galoppanti, impone di fare con riferimento ad uno o più dati , di carattere personale, al fine di essere "padroni attivi" di quelle che oserei definire delle proiezioni di sé. Diritto di accesso e quadro normativo di riferimento, come un binomio richiesto al fine di carpirne il significato, il contenuto, la ratio, garantirne l’ applicazione concreta e distruggere il mito, ahimè negativo, degli aspetti giuridici legati alla privacy come "vuote formule" o "chimere" alla portata di pochi "alfabetizzati" o "eletti". Per scoprire – trattasi di lettura interpretativa e non di vera scoperta – cosa può offrire lo scenario interno dal punto di vista regolamentativo, si può, anzi si deve, necessariamente partire dal T.U. sulla protezione dei dati personali, dai più denominato (seppur al riguardo pulsanti siano state le osservazioni critiche) "Codice" sulla privacy che, affrontando il passaggio dalla teoria delle formule alla pratica delle azioni, ha disciplinato il diritto di accesso ai dati personali e diritti ad esso collegati nel disposto di cui agli artt. 7, 8, 9 e 10. Prima di addentrarci in uno dei cardini del profilo dinamico del right to privacy, occorre altresì evidenziare il quadro di riferimento europeo, che nella Carta dei diritti proclamata a Nizza nel 2000, e nella Costituzione europea che la stessa ha inglobato (in attesa di una sua puntuale, pur se non semplice ratifica), vede una propria "luce sempre viva". Dal riconoscimento dei diritti fondamentali (art. I-9) alla inviolabilità della dignità umana (art. II-61), dal rispetto della vita privata (art. II-67) alla protezione dei dati di carattere personale in capo ad ogni persona (art. II-68), si viene delineando una "giuridicità" di indubbio rilievo, seppur di portata generale, in fieri, ma pur sempre idonea a fondare una privacy "sdoganalizzata". Non soltanto previsioni generali, ma disciplina specificamente indirizzata al profilo che interessa la presente riflessione, e quindi si arriva allo starting point del profilo dinamico, l’ art. 7 del T.U. suindicato, che ingloba di base un duplice ambito, da un lato cioè si parla di dati inerenti alla propria persona, vita, attività, comportamento, contesto sociale, e quant’altro la logica del trattamento porta con sé, in particolare quando ingloba strumenti tecnologici, e dall’altro la vera presa di coscienza, quella cioè che esistono dei diritti che noi "esseri trattati", "sorvegliati", molto spesso "giudicati", pur sempre schedati, abbiamo, di cui ignoriamo l’esistenza, ma della cui rilevanza non si può assolutamente dubitare. Va preliminarmente sottolineato come il contenuto dei diritti enucleati all’ interno dell’art. 7 citato, segue le orme della Direttiva n. 95/46 CE, ed in particolare del suo art. 12, appunto dedicato ed intitolato "Diritto di accesso".
È quantomai opportuno sdoppiare la struttura dell’ art. 7 configurando in primis (comma 1) una posizione giuridica soggettiva, configurabile come sussistente in capo all’interessato (definito, ex art. 4, comma 1, lett. i), come “la persona fisica, la persona giuridica, l’ente o l’associazione cui si riferiscono i dati personali”) e etichettato come "diritto di ottenere" tutta una serie di informazioni così sintetizzabili:
a) conferma circa l’ esistenza o meno di dati personali;
b) rilevanza dei suddetti dati, a prescindere o meno dalla loro registrazione (intendasi per registrazione la loro immissione quindi nella banca dati del titolare del trattamento);
c) comunicazione di tali dati (quindi il dare conoscenza degli stessi in "qualunque forma, anche mediante la loro messa a disposizione o consultazione" ex art. 4, comma 1, lett. l));
d) intelligibilità della comunicazione, quindi chiarezza, conoscibilità, comprensibilità della stessa.
Prima di continuare l’ esame della disposizione-guida, occorre brevissimamente ricordare che il precedente referente normativo era offerto dall’art. 13, comma 1, lett. c), prima parte (L. n. 675/96), mentre il comma 2 della citata norma del Codice privacy si ricollegava alla seconda parte dell’ art. 13 poc’ anzi indicato.
L’ attuale art. 7, che si ricollega – ricordiamolo - all’ art. 12 della Direttiva n. 95/46 citata, riporta, al comma 2, una serie di diritti di varia natura, volti ad una prestazione di tipo positivo da parte di coloro che trattano i dati, all’indicazione cioè:
a) dell’ origine dei dati, quindi da quali atti e da quali soggetti derivano i suddetti dati prima di essere trattati;
b) della finalità del trattamento, che è requisito fondamentale al fine di avere piena conoscenza dello scopo in base al quale i singoli dati verranno trattati, e delle modalità dello stesso, essendo quantomai interdipendente un fine e la relativa modalità proprio per consentire al diretto interessato di vigilare sulla legittimità del modus operandi;
c) della logica applicata in caso di trattamento con strumenti elettronici, quindi in buona sostanza tutte le notizie concernenti le concrete modalità di trattamento ove vi siano strumenti elettronici come "mezzo" utilizzato;
d) degli estremi (nome e cognome) dei soggetti del trattamento, quindi titolare, responsabili e rappresentante legale , sostanzialmente di coloro che sono i soggetti attivi del trattamento;
e) dei soggetti o categorie di soggetti cui i dati personali possono essere comunicati o possono averne conoscenza come rappresentante designato nel territorio dello Stato, responsabili o incaricati, ergo i soggetti cosiddetti destinatari del flusso di dati trattati, ad essi comunicati, mediante le svariate teniche comunicative.
Questa prima enucleazione di diritti può essere completata dal comma 3, art.7, che va collegato idealmente al precedente art. 13, comma 1, lett. c), punti 2, 3 e 4, L. 675/96, e che prevede il diritto di ottenere:
a) l’ aggiornamento dei propri dati (ove gli stessi riportino situazioni non corrispondenti ad esempio all’attualità del soggetto cui si riferiscono), la rettificazione (ove vi sia erroneità di elementi e notizie ad essi riconducibili) ovvero l’ integrazione (purchè vi sia un interesse in tal senso da parte dell’ interessato, alla completezza dei dati);
b) la cancellazione (intendersi quasi come estrema ratio, laddove non possa aversi una diversa protezione), la trasformazione in forma anonima (dato non riconducibile pertanto direttamente all’ interessato) o il blocco (misura dichiaratamente cautelativa, ex art. 4, comma 1, lett o), che lo definisce come "la conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento") dei dati trattati in violazione di legge (fin quando non si ritorni ad un trattamento in conformità di legge); devono essere ricompresi nell’ ipotesi de qua anche quei dati per i quali non è necessaria la conservazione in base agli scopi per cui sono stati raccolti o trattati successivamente (non ha senso un trattamento - che come tale non sarà necessario, come richiesto ex art. 3 -, senza uno scopo che lo sostenga e lo renda tale);
c) l’ attestazione (in forma documentale sostanzialmente) che le precedenti operazioni di cui alle lett. a) e b) siano state portate a conoscenza - anche nei contenuti delle singole operazioni compiute - di coloro cui i dati sono stati comunicati o diffusi, tralasciandosi una siffatta previsione ove vi sia l’ impossibilità di farlo o vi sia una sproporzione tra l’ impiego dei mezzi e il diritto tutelato.
Nella seconda parte dell’art. 7, viene sancito, al 4° co., lett. a), un ulteriore diritto, quello cioè di opposizione (precedentemente sancito nel vecchio art. 13, comma 1, lett. d) ed e)), sia in toto, sia su una parte dei propri dati, al trattamento degli stessi, in presenza di motivi legittimi (e secondo quanto ritenuto dai commentatori del Codice, si tratterebbe di una illegittimità delle regole adottate nel trattamento "contra legem"), collegandosi poi alla pertinenza dello scopo della raccolta. L’ aspetto realmente richiesto è però giustappunto la legittimità del trattamento e delle sue regole, che non possono salvare, laddove siano illegittime, un trattamento contraddistinto anche da uno scopo necessario.
Al suddetto comma 4, ma alla lett. b), viene sancito l’ altro diritto di opposizione (in assenza di riferimento espresso nella norma, dovrebbe ritenersi operante anche in mancanza di motivi legittimi) da parte dell’ interessato al trattamento dei propri dati, laddove si è in presenza di invio di materiale pubblicitario, vendita diretta di beni, compimento di ricerche di mercato o comunicazione commerciale
La prima evidente differenza rispetto al vecchio art. 13 è l’ omessa indicazione del "diritto di essere informato dal titolare, non oltre il momento in cui i dati siano comunicati o diffusi, della possibilità di esercitare gratuitamente tale diritto". Orbene, la mancata previsione della gratuità del suddetto diritto potrebbe far pensare ad altro. L’ art. 10, comma 7, prevede che, a seguito della richiesta ex art. 7, commi 1 e 2, lett. a), b) e c), laddove non risulti confermata l’ esistenza di alcun dato concernente l’ interessato, può essere richiesto allo stesso un contributo spese, non superiore ai costi in concreto sostenuti per la ricerca compiuta dal titolare.
Proprio con riferimento a quest’ ultimo profilo è intervenuta una recente deliberazione del Garante per la protezione dei dati personali, del 23 dicembre 2004 (in G.U. n. 55 dell’ 8 marzo 2005), riguardante il contributo spese relativo all’ esercizio dei diritti di accesso dell’ interessato. Il Garante ha colto l’occasione per ribadire il carattere tendenzialmente gratuito del diritto di accesso ai dati, presso società pubbliche o private, che riguardano l’ interessato e che vengono indicati nel citato art. 7, commi 1 e 2 (lett. a), b) e c)), avendo però cura di distinguere a secondo che venga confermata o meno l’ esistenza dei dati suindicati.
Nell’ ipotesi di confermata esistenza, la richiesta di trasposizione dei dati su supporti di uso comune quali floppy disk o cd-rom, non comporta alcun corrispettivo, cosa che invece può essere richiesta all’interessato, qualora i dati stessi figurino, come sottolineato dal comma 8 dell’ art. 10 T.U. privacy, su speciali supporti dei quali è richiesta espressamente la riproduzione (ad esempio quando si tratti di supporti audiovisivi, nastri o altri supporti magnetici), così come quando si impegnano i titolari in un notevole impiego di mezzi e in ricerche spesso laboriose che confermano l’esistenza di dati dell’ interessato trattati. La previsione di un ammontare non alto vuole evidentemente rispecchiare la necessità di non rendere oneroso l’ esercizio del suddetto diritto di accesso ai propri dati, fissando, con l’avvento della moneta unica, in euro 20,00 l’importo ritenuto congruo a tal fine, sulla base di valutazioni delle principali situazioni verificabili.
Un contributo di euro 10,00 (ricollegandosi a quanto veniva previsto dalla normativa previdente e precisamente all’art. 17, comma 7, D.p.r. n. 501/1998, che richiedeva £.20.000) può essere richiesto all’ interessato in caso di mancata conferma dell’esistenza di suoi dati, al fine di "ristorare" quasi il titolare dei costi sopportati per la ricerca effettuata per ogni singolo caso. Sempre avendo riguardo alla ipotesi di mancata conferma circa l’ esistenza di dati dell’ interessato, l’ammontare del contributo può essere fissato forfetariamente, secondo il Garante, in misura pari a euro 2,50 nel caso in cui i dati dell’ interessato siano stati oggetto di trattamento con strumenti elettronici e la risposta negativa venga data oralmente. Ovviamente, qualora i dati siano stati cancellati o non siano più reperibili, ma risulta che in precedenza siano stati comunque trattati, il contributo non è dovuto.
Ai fini del presente commento alla tematica del diritto di accesso, può essere utile completare la corrispondenza con il citato art. 10 (riscontro all’ interessato) che offre interessanti spunti, tra cui l’adozione "dovuta" di misure da parte del titolare tali da agevolare l’accesso all’interessato, anche - come ha ritenuto di recente il Garante in un comunicato stampa del 2 maggio 2005 n. 254 - attraverso una accurata selezione informatizzata, e atte a "semplificare le modalità e ridurre i tempi per il riscontro al richiedente".
Il suddetto comunicato è servito al Garante per evidenziare come l’accesso ai dati non comporta necessariamente l’indicazione, da parte dell’interessato, degli atti o documenti in cui gli stessi sono contenuti, essendo tenuto, il titolare, a dare tutte le informazioni in suo possesso. Va ricordato che la citata disposizione dell’art. 10 offre altri parametri di riferimento, quali l’estrazione da parte del responsabile o incaricato dei dati, la loro comunicazione al richiedente anche in forma orale, la loro "offerta" in visione con l’ausilio di strumenti elettronici, la trasposizione, ove venga richiesto, su supporto cartaceo o informatico o trasmissione in via telematica. Con riferimento alle modalità di comunicazione dei dati, il Garante ha sottolineato, ripercorrendo le norme del Codice privacy, come il titolare è tenuto a rendere i dati presenti nei propri archivi in forma intelligibile (quindi chiara e comprensibile come detto innanzi), senza esibire o rilasciare copia di atti o documenti in cui essi sono contenuti, ricorrendo invece tale evenienza laddove l’estrapolazione dei dati risulti di particolare difficoltà, escludendo però i dati che si riferiscano a terzi.
Per quanto concerne le modalità di esercizio dei diritti (art. 8) di cui all’ art. 7, vanno rilevate alcune brevi considerazioni. Innanzitutto l’esercizio anzidetto viene operato mediante apposita "richiesta" da parte dell’interessato, quindi una domanda contenente le sue generalità e l’indicazione dei dati o notizie da acquisire, che è effettuata senza vincoli formali, quindi indifferentemente sia in forma orale che per iscritto, e rivolta al titolare o al responsabile del trattamento. La presentazione della richiesta può avvenire personalmente o mediante un incaricato, da intendersi come una sorta di soggetto che agisce in nome e per conto dell’ interessato, e ad essa deve essere dato riscontro "senza ritardo", collegandosi chiaramente a quanto sancito dal successivo, e già innanzi ricordato, art. 10, ma evidenziando una pecca consistente nel non fissare un termine specifico, affidandosi invece ad una espressione generalmente e difficilmente interpretabile.
Va poi, in tale sede, soffermata l’ attenzione sul comma 4 dell’ art. 8, il cui contenuto non era riscontrabile nella regolamentazione ante Codice privacy, e che fa riferimento al concetto di "dati personali che non hanno carattere oggettivo", non oggetto di definizione espressa nel Codice anzidetto. Con riguardo a tali dati, di carattere soggettivo, si tratta di dati di tipo valutativo, secondo quanto dispone lo stesso comma 4, quindi consistenti in giudizi, opinioni, apprezzamenti che un soggetto compie su di un altro o su un dato fatto, e che ha carattere personale poiché si riferisce alla sfera dell’interessato. L’elemento da sottolineare però è che è esclusa la rettificazione e la integrazione di tali dati poichè rientrano nella sfera valutativa del soggetto che li ha esposti, come anche indicare al titolare le condotte da tenere e le decisioni da prendere.
A completamento del disposto normativo finora esposto subentra il versante delle modalità/formalità (art. 9) in base alle quali l’esercizio di cui innanzi può aver luogo. Partendo dalle forme, già parzialmente evidenziate in precedenza, è possibile ricorrere, in base al comma 1, alla lettera raccomandata, telefax, posta elettronica o – nei casi di cui all’ art. 7, commi 1 e 2 -, anche alla forma orale, ricordando che il Garante, prevedendo la possibilità di nuovi strumenti di comunicazione per inviare la richiesta, potrebbe individuare nuove soluzioni tecnologiche. La disposizione prosegue, al 2° comma, con una duplice previsione. Da un lato, viene sancita la possibilità per l’ interessato di "disporre" dei propri diritti conferendone l’ esercizio ad altre persone fisiche, enti, associazioni od organismi, mediante apposita delega o procura (ciò che viene trasferito non è il diritto, ma l’ esercizio dello stesso) avente forma scritta. Da un altro lato, viene consentito all’ interessato di poter esercitare i propri diritti facendosi assistere da una persona di fiducia, volendo intendere quest’ultima come persona che aiuta l’interessato stesso nell’esercizio de quo, dovendo sussistere semplicemente un rapporto fiduciario tra i due. Il successivo terzo comma si riferisce all’ esercizio dei diritti, in caso di persone decedute, da parte di chi vanta un proprio interesse (nel senso di azionarsi nel proteggere i dati della persona deceduta ove ciò potrebbe comportare un nocumento per l’ agente), di chi agisce a tutela dell’ interessato (nel qual caso non devesi dimostrare l’ esistenza di un interesse proprio dell’agente, ma si agisce per tutelare la memoria della persona deceduta da possibile danno derivante dal trattamento dei suoi dati, dovendosi però evidenziare la qualifica di erede, tutore o curatore ad esempio che legittima il suo intervento) o di chi agisce per ragioni familiari meritevoli di tutela (espressione piuttosto ampia, che legittima il familiare ad agire, laddove il trattamento o l’utilizzo dei dati del defunto possa provocare un danno alla famiglia).
Il comma 4° offre sistemi per poter accertare che colui che esercita i diritti sia l’ effettivo titolare degli stessi, sia nell’ipotesi in cui dovesse agire personalmente, che in quella di delega o procura, potendosi ricorrere a "idonei elementi di valutazione" (da vagliare ad opera del titolare o responsabile), ma anche a "atti o documenti disponibili" (ad esempio perché già a disposizione del titolare o del responsabile), alla "esibizione di copia di un documento di riconoscimento" o sua "allegazione" laddove la richiesta venga formulata per iscritto. Successivamente si passa ad esaminare il caso di persona che agisce per l’interessato, richiamandosi alla "esibizione o allegazione di copia della procura o delega", distinguendosi l’ ipotesi in cui la sottoscrizione delle stesse avvenga alla "presenza di un incaricato" (incaricato alias qualsiasi dipendente dell’ ente che presenzia alla sottoscrizione de qua), da quell’altra in cui esse siano sottoscritte da delegato o procuratore, e che negli atti la firma dell’interessato venga accompagnata dalla fotocopia non autenticata del proprio documento di riconoscimento (qualunque esso sia). In conclusione di comma viene previsto che nell’ ipotesi in cui l’ interessato sia una persona giuridica, ente o associazione, la richiesta viene "materialmente" presentata dalla persona fisica che agisce come organo delle stesse, non andandosi ad intaccare la capacità di agire delle persone giuridiche stesse, ma facendosi un discorso pratico.
Il conclusivo comma 5 stabilisce che la richiesta relativa ai diritti di cui all’art. 7, commi 1 e 2 "è formulata liberamente e senza costrizioni" (che in assenza di dati differentemente esplicativi, sembrerebbe invece riferirsi all’ assenza di formalità per l’esercizio della suddetta richiesta, come innanzi delineato), e può essere rinnovata "con intervallo non minore di novanta giorni", salvo casi giustificati, quindi di urgenza e necessità, che il titolare o responsabile (ossia i destinatari della richiesta stessa) dovranno valutare, nel qual caso l’ intervallo di tempo potrebbe essere anche inferiore ai novanta giorni previsti.
Un brevissima chiosa finale. Si è visto, in maniera piuttosto evidente, che il profilo dinamico del right to privacy è indissolubilmente legato ad una coscienza e conoscenza circa l’esistenza dei diritti e dei loro contenuti affinché il rispetto della propria persona - che non può più nutrirsi di pura e semplice esclusione dagli altrui occhi indiscreti, richiedendosi, necessariamente, una cultura del controllo, della protezione e della sacrosanta informazione sui profili che ci riguardano -, sia un rispetto di pura sostanza e non di mera formula.
Inserito il 07/06/2005 | E-Privacy