Argomento di sicuro interesse all’interno del più esteso ambito del diritto dell’informatica è quello che nel gergo comune viene definito diritto della privacy. Materia senza dubbio affascinante, rispetto alla quale tuttavia esiste una certa confusione.
La sensazione che è dato avvertire, nonostante siano passati circa otto anni dall’emanazione del d.lgs. 196/2003, è che non siano ancora chiari il reale potenziale di detto strumento normativo e il suo reale oggetto o ambito applicativo. Nel linguaggio di strada, ma purtroppo, anche nel linguaggio invalso tra i professionisti del diritto, si tende a sovrapporre il termine riservatezza con privacy.
Se però, con privacy ci si riferisce a: “l’insieme di regole tese a disciplinare il trattamento dei dati personali”, allora tale sovrapposizione risulta fuorviante e tecnicamente non corretta. È bene precisare che riservatezza e privacy stanno tra loro in un rapporto di genus ad speciem.
Infatti, il diritto alla riservatezza è diritto di matrice giurisprudenziale mentre il c.d. “codice privacy” è un’articolazione normativa di questo più ampio diritto, dotato di maggior specificità poiché ha come oggetto il più settoriale ambito del trattamento dati personali.
Diversamente, il diritto alla riservatezza nasce sulla scorta degli artt. 13, 14, 15 Cost. e a seguito della giurisprudenza formatasi con i casi: Caruso (Cass. 22 dicembre 1956 n. 4487); Petacci (Cass. 20 aprile 1963 n. 990), Soraya Esfandiari (Cass. 27 maggio 1975 n. 2129), Veronesi (Cass. 22 giugno 1985 n. 3769). Oggetto di questa prescrizione è “il diritto a restare da soli”, che rende meglio l’idea se tradotto in inglese, “right to be alone”, poiché la tradizione anglosassone si è, da sempre, mostrata particolarmente attenta a questa dimensione dei diritti individuali.
Tornando al c.d. “diritto della privacy”, va detto che il via alla legislazione in tale ambito, è arrivato dall’Unione Europea con la direttiva 95/46. Dato sicuramente sorprendente è la tempestività con cui il legislatore italiano ha provveduto ad attuare la suddetta direttiva, infatti, essa veniva recepita con legge già l’anno successivo alla sua entrata in vigore con la famosa l. 675/1996 e gli emendamenti del giorno successivo portati dalla l. 676/1996.
Demoralizzante, invece, la constatazione a seguito della quale è dato rinvenire che molti enti, tra cui buona parte pubblici, continuino, tutt’oggi, a riferirsi alla legge del ‘96 senza considerare le innovazione apportate nel 2003.
Da ultimo, infatti, fu emanato quello che noi conosciamo come codice in materia di protezione dei dati personali, anche brevemente “codice privacy”, ovvero il d.lgs. 196/2003 che, peraltro, ha abrogato tutta le precedente normativa.
Il testo del 2003 si presenta molto “anglosassone”, non solo nella sostanza, ma anche nelle tecnica redazionale, avendo cura di definire ogni termine utilizzato nella legge, attraverso un ampio e sistematico elenco dei vocaboli e dei relativi significati. Con una elencazione molta esaustiva, ma non di certo tassativa, il decreto lascia intendere che rientra nel trattamento ogni operazione che va dalla raccolta del dato alla sua distruzione.
Del tutto intuitivo è che le vicende giuridiche che possono intervenire, dal momento in cui un dato viene raccolto fino a quando lo stesso verrà distrutto, sono moltissime e variegate. Sinteticamente può considerarsi titolare di un trattamento dati e, pertanto, soggetto alle regole previste dal codice privacy chiunque ponga in essere una profilassi di dati personali.
Il codice impone che il dato raccolto venga trattato solo ed esclusivamente per le finalità per le quali è stato acquisito.
Il noto comico genovese Beppe Grillo, in uno dei suoi spettacoli, volutamente provocando l’opinione pubblica, sostenne che, grazie al codice privacy, nessuno di noi avrebbe più potuto tenere le proprie agende o rubriche telefoniche;
Tale affermazione risulta sicuramente fuorviante. Dal momento che le nostre agende (ancorché cartacee, il codice si applica sia a sistemi di raccolta informatici che non) rispondono a finalità esclusivamente personali sicché non sono soggette alle regole in materia di privacy. Questo è l’unico, generalissimo, caso di esclusione dell’applicazione del d.lgs. 196/2003.
Diversamente, quando un soggetto acquisisce dati personali al fine di utilizzarli per scopi di natura commerciale, o per comunicarli o diffonderli deve rispettare le regole del codice.
Per concludere: in tutti i casi in cui si realizzi un trattamento, nei termini, e con le finalità già esplicate, il d.lgs. 196/2003 prevede tutta una serie di adempimenti consequenziali, che il titolare del trattamento deve porre in essere, pena l’inutilizzabilità dei dati stessi.
Tra questi rientrano, in taluni casi, la richiesta del consenso all’interessato da parte del titolare del trattamento; l’esplicazione di un’informativa, rivolta dal titolare del trattamento all’interessato in ordine alla natura del trattamento; l’adozione delle misure di sicurezza, minime o idonee e preventive, tra le quali rientra la redazione ogni anno di un documento programmatico per la sicurezza.
Quelli appena indicati valgono a solo titolo esemplificativo della fitta rete di accorgimenti voluta dal legislatore con l’emanazione del d.lgs. 196/2003.