GNOSIS
Rivista italiana
diintelligence
Agenzia Informazioni
e Sicurezza Interna
» ABBONAMENTI

» CONTATTI

» DIREZIONE

» AISI





» INDICE AUTORI

Italiano Tutte le lingue Cerca i titoli o i testi con
Per Aspera Ad Veritatem n.3
Sistemi informatici e tutela dei dati personali alla luce dell'accordo di Schengen

Vanna PALUMBO




La generale tendenza a disporre per gli scopi più vari - militari, amministrativi, professionali, commerciali - di una notevole quantità di archivi informatizzati che contengono una quantità di dati impressionante, il cui trattamento in tempo reale consente una crescita notevolissima delle capacità conoscitive e delle possibilità di intervento nel settore considerato, viene bilanciata, per così dire, dalla consapevolezza che questo accrescimento deve avvenire, per non risultare eccessivamente traumatico e pericoloso, in modo ordinato e secondo regole predefinite.
A partire dagli anni sessanta gli Stati più industrializzati, ove l'applicazione dei nuovi strumenti informatici alla vita sociale, culturale, economica del paese cominciava a far sentire la sua influenza, si sono misurati con l'idea di proteggere i singoli individui esposti nella loro sfera più interna e profonda a trattamenti di vario genere e spesso inconsapevolmente. Le persone si trovavano quindi ad essere sia soggetti attivi - in quanto utilizzatori di banche dati - sia soggetti passivi (essendo i loro stessi dati personali inseriti ed elaborati dagli archivi informatizzati).
Il passaggio dalla raccolta manuale (archivio cartaceo) a quella informatizzata ha consentito di trattare e incrociare in tempi assolutamente brevi una enorme massa di dati provenienti da diversi archivi, costruiti per differenti finalità e operanti da diversi punti del territorio nazionale ed estero.
Si è pertanto fatta strada l'esigenza di proteggere la persona durante questo processo e ciascun Paese ha adottato nel tempo le disposizioni legislative e le procedure che riteneva più opportune a perseguire lo scopo anzidetto compatibilmente con il proprio sistema giuridico, sociale, culturale e tenendo conto degli interessi preminenti, sia pubblici sia privati.
Poiché tuttavia le potenzialità di danno alla persona a causa del trattamento non esplicavano i loro effetti solamente sul territorio dello Stato ove il dato era raccolto, in quanto in una moderna società industriale gli scambi di informazioni e le interrelazioni sono continue e funzionali alla crescita stessa, si è fatta strada la consapevolezza che non fosse più sufficiente una disciplina nazionale del fenomeno, ma che andasse favorita e stimolata la definizione di un quadro legale generale a livello europeo, dettando una sorta di disciplina comune, cui rapportare l'azione dei singoli Stati.
Dagli anni '70 questo tentativo ha impegnato le più rilevanti organizzazioni internazionali "regionali" (OCSE, Consiglio d'Europa, Comunità Europea) ma è solo nel 1981 che si perverrà alla firma della Convenzione europea sulla protezione delle persone riguardo al trattamento automatizzato di dati di carattere personale, elaborata dal Consiglio d'Europa (convenzione n. 108 del 28 gennaio 1981), cui successivamente si sono aggiunte Raccomandazioni settoriali, come ad esempio la Racc. (87) 15 sull'utilizzazione dei dati a fini di polizia.
La Convenzione 108 introduceva e dettava alcuni princìpi chiave, corrispondenti all'idea generale dell'esistenza di un diritto all'informazione da parte dell'individuo, cioè del suo diritto di effettuare un controllo sull'uso dei propri dati personali inseriti in un archivio elettronico.
La Convenzione lasciava poi agli Stati la scelta di come introdurre i princìpi nei propri ordinamenti.
Per migliorare e "armonizzare" l'approccio dei Paesi membri delle Comunità europee sull'argomento e, quindi, per rendere più incisivi e omogenei nell'applicazione i princìpi già contenuti nella Convenzione 108, la Commissione europea, sul finire del 1990, ha presentato un "pacchetto" di proposte, tra cui spicca la proposta di Direttiva sulla tutela delle persone fisiche riguardo al trattamento dei dati personali.
Si cercava così di definire un cerchio concentrico di diametro più ristretto nell'ambito dei Paesi firmatari della Convenzione di Strasburgo (cioè quelli facenti parte del Consiglio d'Europa), con omogeneità di regole e comportamenti nei rapporti interni tra singoli Stati e nei confronti dei Paesi terzi, derivante dai reciproci vincoli della comune appartenenza alla Comunità europea.
Analoga tendenza a partire dalla Convenzione di Strasburgo per definire un ambito di collaborazione più stretto si è riscontrato anche, in particolare, tra i Paesi aderenti all'Accordo di Schengen, relativo alla soppressione graduale dei controlli alle frontiere comuni.
Nella Convenzione di applicazione, firmata nel luglio 1990, si prevede l'istituzione del Sistema Informativo Schengen (S.I.S.), considerato lo strumento fondamentale per assicurare il perseguimento delle finalità dell'accordo stesso.
Il S.I.S., nelle intenzioni dei contraenti, costituisce una "misura compensativa" alla caduta dei controlli, doganali e di polizia, e un imprescindibile strumento per garantire la cooperazione giudiziaria e di polizia, anche transfrontaliera.
Nella Convenzione, il Capitolo secondo è dedicato alla gestione e utilizzazione del sistema, mentre il successivo Capitolo terzo detta regole specifiche in materia di protezione dei dati personali e di sicurezza dei dati: nel definire i princìpi che sovraintendono alla raccolta e al trattamento dei dati anche qui gli Stati contraenti fanno riferimento alla Convenzione del consiglio d'Europa cui si aggiunge, come anticipato, per la sua specificità, la Raccomandazione (87) 15 sui dati della polizia.


Il nuovo rapporto che si è venuto a instaurare tra cittadini e tra questi e lo Stato nella moderna società tecnologica ha dato luogo, come abbiamo visto, al sorgere del potere informatico e della libertà informatica come diritto soggettivo. Si è dunque posto il problema fondamentale di come regolare il rapporto tra potere e libertà e in questa nuova forma sono state, perciò, adottate soluzioni diverse, che corrispondono a scelte decisionali diverse nella determinazione del limite tra potere pubblico di controllo e di intervento e libertà privata di iniziativa per la raccolta e la tutela delle informazioni.
I progressi dell'informatica hanno reso possibile il trattamento massiccio e rapido di dati differenti e il loro incrocio. I tipi di informazioni che possono essere inseriti in un elaboratore elettronico non sono sottoposti a limitazioni. Queste informazioni, che possono essere contenute in archivi sia privati sia pubblici, comprendono dati statistici, tecnologici, lavori di ricerca e di essi alcuni possono essere resi di pubblico dominio, altri no. Le informazioni, infatti, possono assumere un carattere di delicatezza o sensibilità con riferimento agli aspetti politici, commerciali oppure rispetto alla sfera personale del soggetto interessato e l'utilizzo non legittimo di queste informazioni può avere conseguenze diverse a seconda della loro natura e del grado di sensibilità.
Nel corso dell'ultimo secolo, come osserva Frosini, la cultura giuridica delle società occidentali ha elaborato un nuovo diritto soggettivo, riferito al soggetto umano in quanto collocato in una trama di relazioni sociali con gli altri soggetti, che è stato chiamato "the right to privacy", traducibile in italiano come "diritto alla riservatezza", s'intende alla riservatezza della propria vita privata, cioè alla tutela dell'intimità personale.
Questo nuovo diritto, che si configura come caratteristico delle società industriali di massa, in cui l'informazione è divenuta il prodotto di mezzi di comunicazione di massa, è un diritto di libertà attribuito all'uomo come singolo, che è stato poi esteso anche alle formazioni sociali in cui l'uomo svolge la sua attività al pari degli altri diritti inviolabili o diritti umani riconosciuti in Italia dalla Costituzione all'art. 2. Esso è stato attribuito a tutti gli uomini dalla Dichiarazione universale dei diritti dell'uomo (art. 12: divieto di ogni interferenza arbitraria con la privacy).
La concezione che aveva ispirato l'enunciazione del diritto alla riservatezza e, quindi, la definizione dell'essenza del diritto stesso ha subìto, nella seconda metà di questo secolo, un cambiamento, essendosi arricchito il suo contenuto: esso viene infatti oggi riferito specificamente alla libertà negativa di informazione nei confronti delle raccolte di dati personali negli archivi magnetici degli elaboratori elettronici; ossia della facoltà di rifiutare o di vietare l'uso dei propri dati per l'impiego nelle banche dati informatiche, pubbliche o private.
Questa nuova forma di libertà negativa corrisponde alla libertà positiva di esercitare un diritto di controllo sui dati riferiti alla propria persona, che siano già usciti dalla sfera della riservatezza per diventare elementi di un archivio elettronico privato o pubblico.
È questa la libertà informatica, che consiste nel diritto di autotutela della propria identità informatica, ossia quale essa risulta dalla raccolta e dal confronto dei dati personali inseriti nella memoria del calcolatore.
Si verifica, quindi, un vero e proprio dualismo tra diritto alla riservatezza e diritto all'informazione.
Per Frosini, nella società informatizzata, che rappresenta ormai il destino delle società industriali avanzate, tutti i cittadini sono ormai esposti, fin dalla nascita, al rischio di una metaforica espropriazione della loro identità, in quanto soggetti ad un potere informatico sempre più diffuso, più particolarizzato, più penetrante. Si pensi alla carta d'identità obbligatoria, all'anagrafe sanitaria, a quella fiscale, agli archivi magnetici dei pagamenti effettuati con carte di credito, alle schede e carte di credito telefoniche, alle prenotazioni di viaggi aerei ecc., insomma a tutte quelle forme di registrazione e di sorveglianza elettroniche cui il cittadino non può sottrarsi.
Il potere informatico è un potere di informazione e il "right to privacy" è, perciò, diventato un diritto di libertà informatica. Esso tuttavia non può essere configurato come una difesa della personalità dall'invadenza altrui, giacché la schedatura informatica è una necessità ai cui vantaggi non si può rinunziare, ma va intesa come una forma di partecipazione responsabile al controllo collettivo, come un potere privato di controllo dell'informazione.
I cittadini che vedono la graduale introduzione del computer nella amministrazione pubblica si formeranno un'idea sia dei vantaggi sia degli inconvenienti che esso comporta. Apprezzeranno la rapidità, la chiarezza, la logica con cui è trattata l'informazione nei processi amministrativi che li riguardano; ma potrebbero preoccuparsi per ciò che può apparire loro come un incremento del potere delle autorità conseguente all'informatizzazione dell'attività amministrativa. Uno dei timori più fortemente espressi è quello che la diffusione dell'uso dei computers e la creazione di banche-dati e archivi strutturati possa consentire ad alcune amministrazioni di scambiarsi delle informazioni sulle stesse persone, permettendo così allo Stato di formulare e aggiornare un esatto profilo di tutte le caratteristiche che costituiscono la personalità dei singoli cittadini, al di fuori e al di là della volontà e conoscenza da parte degli stessi. Anche se in realtà non è affatto semplice costruire tali profili, per l'esistenza di una serie di difficoltà tecniche, ciò nonostante, questa capacità potenziale della pubblica amministrazione moderna ha alimentato in alcune persone il timore della perdita della propria sfera di riservatezza, della propria intimità.
Inoltre, la possibilità che la stessa informazione possa essere usata per più di uno scopo - e cioè al di fuori delle finalità per le quali è stata raccolta - proprio poiché diverse branche dell'amministrazione possono accedervi, ha determinato molti dubbi circa i reali scopi per cui l'informazione viene richiesta e circa la confidenzialità dell'informazione stessa.
Una difficoltà implicita nei dibattiti sulla difesa della privacy di fronte alle banche pubbliche di dati deriva dal delicato problema di trovare un equilibrio tra i diversi interessi. I Governi devono affrontare da un lato i difensori dei diritti della persona che richiedono misure volte ad assicurare la natura confidenziale dei dati di cui lo Stato dispone riguardo ai cittadini e dall'altro coloro i quali richiedono l'eguale e libero accesso dei cittadini alle informazioni a disposizione delle autorità pubbliche.
La nozione di vita privata, come già rilevato, non ha valore assoluto ma dipende largamente dalle idee e dalla cultura di ciascuna società; si tratta in realtà di un concetto tratto dalla sociologia, che sfugge quindi ad una definizione giuridica precisa.
Nelle Linee direttive dettate dall'OCSE si definisce dato di carattere personale ogni informazione relativa a una persona fisica identificata o identificabile.
Il problema che pone l'informatizzazione per quanto concerne la vita privata è quindi quello di sapere se lo sviluppo della attività di raccolta e trattamento dell'informazione, ai diversi fini sia pubblici sia privati, se non adeguatamente controllata possa portare ad un enorme potere di infiltrazione e di controllo da parte dello Stato sulla vita degli individui, nonché sull'attività delle organizzazioni e delle persone giuridiche.
Questo può far sì che gli individui percepiscano la stessa attività come una minaccia addirittura duplice: una minaccia proveniente dallo Stato e una che origina dal soggetto privato che ha il possesso dei dati personali che li riguardano. Da ciò discende che gli interventi a tutela della vita privata si accompagnano, di regola, a quelli adottati a tutela dei dati di carattere personale. Eppure alcuni aspetti della protezione dei dati di carattere personale non hanno legami immediati con la vita privata, come, ad esempio, l'utilizzo di informazioni inesatte o incomplete come base di decisioni suscettibili di incidere sui diritti o sulle situazioni giuridiche soggettive.
Tuttavia, nonostante le difficoltà e le difformità delle definizioni il punto fondamentale è e resta sempre il medesimo: quello di stabilire un equilibrio tra il diritto dell'individuo a misure di protezione della sua vita privata contro indebite interferenze attraverso la tutela dei dati di carattere personale e di consentire il migliore svolgimento dell'attività della pubblica amministrazione - ove il trattamento dei dati sia effettuato dal settore pubblico - ovvero la libera circolazione dei dati, qualora il trattamento sia effettuato da privati.
Dagli anni '70 nelle legislazioni degli Stati maggiormente industrializzati e, quindi, più sensibili a questo tipo di problemi, sono state introdotte numerose disposizioni per regolare il fenomeno tutelando la riservatezza. Tutti i Paesi con legislazione sulla protezione dei dati personali hanno istituito l'obbligo di provvedere ad una registrazione delle banche dei dati.
La regolamentazione prevista per la loro tenuta può riguardare il settore pubblico o quello privato o tutti e due. Può, in quest'ultima ipotesi, dettare una disciplina generale valida per entrambi, oppure differenziare i princìpi e le modalità di esercizio.
Alcuni Paesi proteggono, poi, solo i dati relativi a persone fisiche, con riferimento al loro uso da parte delle pubbliche amministrazioni, altri invece tutelano anche i dati delle persone giuridiche private.
La composizione dell'organo competente per la protezione dei dati appare anch'essa molto differenziata nei vari Paesi. Altro problema è rappresentato dall'ambito di applicazione delle norme. La legislazione di tutela deve applicarsi solo agli archivi di dati elettronici o può estendersi anche agli archivi manuali strutturati?
Ciascun Paese ha affrontato la questione con le proprie tradizioni, la propria cultura e in base al proprio sistema giuridico: alcuni hanno preferito dettare una disciplina di carattere generale, altri hanno privilegiato un approccio settoriale, dettando regole differenziate per i diversi settori di attività (es. banche, assicurazioni, attività medica, attività di polizia) - ancorché talora non disgiunto dalla previsione di talune regole generali - alcuni hanno introdotto la distinzione fra trattamento effettuato nel settore pubblico e trattamento effettuato in quello privato, altri hanno preferito disciplinare soltanto il primo, lasciando al privato la facoltà di organizzarsi attraverso l'adozione di codici di condotta.
Corrispondentemente alla necessità di definire i diritti dell'individuo, e in alcuni casi anche delle persone non fisiche, nonché i mezzi di ricorso che l'ordinamento predispone a tutela degli stessi, si pone la questione di pronunciarsi sulla necessità o meno di istituire un organismo di protezione dei dati dotato di requisiti di indipendenza e di una certa stabilità nel tempo cui affidare i compiti di registrazione delle banche-dati esistenti, consulenza e controllo. Quasi tutti i Paesi europei che negli anni si sono dotati di una legislazione specifica sulla protezione dei dati si sono orientati in questo senso e così sembrano del pari inclini a fare la Proposta di Direttiva comunitaria, nonché le iniziative legislative presentate al Parlamento italiano.
Il dibattito sulla tutela dei dati di carattere personale riguarda sia le banche-dati c.d. interne sia quelle destinate alla attività commerciale.
Sono, infatti, assoggettate alle regole dettate tutte le organizzazioni (private e pubbliche) che posseggano una o più banche-dati.
Un elemento fondamentale è poi quello di individuare il responsabile del trattamento.
Le regole di tutela dei dati sovraintendono al modo in cui le informazioni relative alle persone sono raccolte, trattate, diffuse, anche oltre le frontiere del paese; esse si applicano prescindendo alla verifica dell'esattezza dei dati in questione. Basta il solo fatto che il gestore o responsabile della banca-dati abbia inserito o trattato delle informazioni di carattere personale senza rispettare le norme che presiedevano alle rispettive operazioni (ad es. il consenso della persona interessata).
Ove invece si sia in presenza di una divulgazione di informazioni false e lesive della reputazione del soggetto cui si riferiscono, al responsabile saranno applicabili le opportune sanzioni penali.
Nella Proposta di Direttiva europea una questione chiave è rappresentata, appunto, dal consenso della persona interessata: secondo quanto previsto, il trattamento e la diffusione di dati possono essere legittimamente effettuati solo se la persona cui i dati si riferiscono abbia dato il suo consenso dopo essere stata informata dal responsabile dell'archivio degli scopi della raccolta.
L'attenzione che le istituzioni e le organizzazioni a livello europeo hanno dimostrato al problema della tutela della vita privata in relazione alla creazione e all'uso di banche-dati su base elettronica nasce sicuramente dall'esigenza di stabilire un quadro giuridico e di azione comuni.
Al riguardo molto sensibili sono stati l'OCSE, il Consiglio d'Europa e, più recentemente, le Istituzioni comunitarie. La loro azione ha avuto ed ha un ruolo importantissimo di riferimento per le legislazioni nazionali adottate negli anni, anche se è pur vero che i loro stessi interventi hanno in un certo senso preso l'avvio proprio grazie all'esperienza dei Paesi al riguardo più avanzati.
Il riconoscimento delle possibili conseguenze del trattamento e della diffusione elettronica dei dati è alla base delle Linee direttive in materia di protezione della vita privata e sul flusso transfrontaliero dei dati, emanate dall'OCSE nel 1981 e della quasi coeva Convenzione n. 108 del Consiglio d'Europa sulla protezione delle persone nei riguardi del trattamento informatizzato dei dati di carattere personale.
A questi strumenti sta per aggiungersi la proposta di Direttiva della Commissione europea.
Per quanto concerne più specificamente i dati di polizia, cioè i dati di carattere personale raccolti e trattati nelle banche-dati gestite dalle forze di polizia, va fatto inoltre riferimento alla Raccomandazione n. (87) 15 del Consiglio d'Europa, ai capitoli della convenzione di applicazione dell'accordo di Schengen e, infine, alla proposta di Direttiva comunitaria istitutiva del S.I.E. (Sistema informativo europeo).


Nel 1971 un sottocomitato del Comitato di Cooperazione giuridica (CD-CJ) ricevette l'incarico di studiare gli aspetti civilistici del diritto alla vita privata in correlazione con le realizzazioni scientifiche e tecniche moderne. Preso in esame il rapporto del Comitato di esperti in materia di diritti dell'Uomo e tenuto conto della raccomandazione n. 509 (1968) dell'assemblea consultiva relativa alle realizzazioni scientifiche e tecnologiche moderne, il sottocomitato concluse i suoi lavori affermando la priorità del problema della protezione della vita privata dell'individuo di fronte alle banche automatizzate di dati. Il Comitato dei Ministri decise di istituire un apposito Comitato di esperti sulla protezione della vita privata nei confronti delle banche-dati cui conferì il mandato di studiare un'azione appropriata di intervento nel settore.
Avendo il rapporto degli esperti messo in evidenza l'inadeguatezza delle legislazioni degli Stati parte, tra il 1972 e il 1973, il CD-CJ esaminò e sottopose al Comitato dei Ministri le proposte formulate dagli esperti. Sulla base di questi lavori il Comitato dei Ministri adottò nel 1973 e nel 1974 due Risoluzioni concernenti la protezione della vita privata dell'individuo di fronte alle banche-dati automatizzate, nel settore privato e nel settore pubblico, lasciando liberi gli Stati di scegliere le modalità più opportune per renderle operative nella propria legislazione interna. L'allegato della Risoluzione (73) 22 ha enucleato dieci princìpi base da adottare nel settore privato:
I. le informazioni registrate devono essere esatte e aggiornate. I dati sensibili (cioè quelli su razza, sesso, opinioni politiche, religiose nonché altri dati che possono essere usati in maniera discriminatoria per il soggetto) non devono, come regola, essere registrati o diffusi;
II. le informazioni devono essere adeguate e pertinenti in rapporto alle finalità per cui sono state registrate;
III. le informazioni non devono essere ottenute con mezzi fraudolenti o sleali;
IV. debbono essere stabilite regole per determinare il periodo al di là del quale certe categorie di informazioni non possono essere più conservate o usate;
V. senza apposita autorizzazione dei soggetti i cui dati sono stati inseriti nella banca-dati le informazioni relative non possono essere utilizzate a fini diversi da quelli della registrazione, né comunicati a terze persone;
VI. le persone cui si riferiscono le informazioni hanno il diritto di conoscere i loro dati, le finalità per le quali erano stati raccolti e immagazzinati, e le comunicazioni effettuate;
VII. si deve adottare la massima diligenza per correggere le informazioni inesatte e per cancellare quelle obsolete o ottenute con mezzi illeciti;
VIII. devono essere prese precauzioni contro gli abusi o il cattivo uso delle informazioni. Le banche-dati elettroniche devono essere dotate di sistemi di sicurezza che impediscano a persone non autorizzate di accedere alle informazioni, di accertare eventuali fughe di notizie e individuarne gli autori;
IX. l'accesso ai dati deve essere limitato alle persone che hanno un interesse legittimo. I tecnici responsabili debbono attenersi a regole di condotta destinate a impedire il cattivo uso dei dati e in particolare a informare la condotta professionale;
X. i dati statistici non possono essere diffusi che in forma aggregata e in modo tale che non possano portare alla identificazione di specifici individui.
L'allegato alla Risoluzione (74) 29, relativa al settore pubblico, conteneva i seguenti otto princìpi:
1. il pubblico deve essere regolarmente informato della creazione, del funzionamento e dello sviluppo delle banche dati elettroniche nel settore pubblico;
2. le informazioni debbono essere ottenute mediante mezzi leciti, essere esatte e aggiornate, adeguate e pertinenti alle finalità perseguite. Si deve adottare la massima diligenza per correggere le informazioni inesatte e per cancellare quelle inadeguate, non pertinenti e obsolete;
3. nel caso di banche dati che trattano informazioni concernenti l'intimità della vita privata delle persone o quando il trattamento delle informazioni può essere all'origine di discriminazioni:
a) la loro creazione deve essere prevista da una legge o da un regolamento speciale e la loro esistenza deve essere resa pubblica in conformità con il sistema giuridico di ciascuno Stato parte;
b) le leggi e i regolamenti sopra citati devono precisare le finalità della registrazione e della utilizzazione di tali informazioni, così come le condizioni alle quali esse potevano essere comunicate all'interno del settore pubblico o a persone e a organismi privati;
c) le informazioni registrate, salvo deroghe espressamente autorizzate, non devono essere utilizzate a fini diversi da quelli stabiliti;
4. devono essere stabilite delle regole per determinare il termine al di là del quale certe categorie di informazioni non possono essere più conservate o utilizzate, fatta eccezione per utilizzazioni a fini statistici, scientifici o storici;
5. ciascuna persona ha il diritto di conoscere le informazioni registrate sul suo conto. Qualsiasi eccezione a questo principio o qualsiasi limitazione all'esercizio del diritto deve esser strettamente regolata;
6. devono essere adottate precauzioni contro qualsiasi abuso e cattivo uso delle informazioni;
7. l'accesso alle informazioni che non possono essere comunicate liberamente al pubblico deve essere consentito solo alle persone autorizzate a prenderne conoscenza per l'esercizio della loro funzione;
8. i dati utilizzati a fini statistici possono essere diffusi solo qualora sia stata resa impossibile la loro attribuzione ad una persona determinata.
Tuttavia, nonostante l'introduzione di questi princìpi, la protezione dell'individuo poteva lo stesso essere frustrata e grandemente circoscritta a causa della notevole crescita delle trasmissioni di dati da un Paese all'altro. Il flusso e il trattamento transfrontaliero dei dati potevano consentire infatti di aggirare le disposizioni esistenti in un Paese e operare la raccolta e il trattamento in altro Paese privo di strumenti giuridici di tutela: proprio per queste ragioni allora il Consiglio d'Europa predispose un progetto di Convenzione, che fu poi approvata dal Comitato dei Ministri il 17 settembre 1980 e quindi firmata il 28 gennaio 1981 (n. 108).
La Convenzione mirava a rinforzare e integrare le legislazioni esistenti nei Paesi aderenti al Consiglio d'Europa garantendo un eguale standard di protezione ai cittadini dei Paesi contraenti e obbligando al rispetto di questo standard, definito minimo, anche nei flussi transfrontalieri di dati.
La Convenzione, all'art. 4, richiede, quale condizione essenziale della sua entrata in vigore nei confronti di ciascuno Stato, che questo attui nella sua legislazione interna i princìpi fondamentali elencati nel Capitolo II della stessa Convenzione. Tali princìpi attengono alla qualità (art. 5) e alla sicurezza dei dati (art. 7), al divieto di elaborazione informatica di determinate categorie di dati (i dati c.d. sensibili) salvo idonee garanzie per il trattamento (art. 6), al diritto di accesso e ai diritti complementari della persona interessata (art. 8), alle sanzioni e alle forme di tutela (art. 10).
Come esplicitato nella stessa relazione illustrativa al Disegno di legge di ratifica della Convenzione, i princìpi su richiamati determinano:
- che i dati vanno ottenuti ed elaborati in modo lecito e corretto e registrati e impegnati per scopi determinati e legittimi; essi, inoltre, debbono essere esatti e conservati in modo da consentire l'identificazione delle persone interessate e per una durata non superiore a quella necessaria per il raggiungimento delle finalità perseguite;
- i dati stessi vanno protetti contro la distruzione, l'accesso e la diffusione non autorizzata;
- i dati personali indicanti l'origine nazionale, le opinioni politiche, i credi religiosi e quelli relativi alle condanne penali, allo stato di salute o alla vita sessuale non possono essere elaborati automaticamente se non con l'adozione di speciali garanzie;
- ogni persona deve poter essere informata dell'esistenza di un casellario automatizzato di dati a carattere personale, dei fini dello stesso, dell'identità e residenza del suo responsabile; deve avere la possibilità di sapere se in tale casellario siano registrati dati ad essa relativi, di conoscerne il contenuto e di ottenerne la rettifica o la cancellazione ove siano stati elaborati in violazione delle norme della Convenzione; deve, infine, disporre della facoltà di ricorso.
Deroghe a tali princìpi sono consentite solo in pochi casi predeterminati dall'art. 9; in particolare, quando ricorrano ragioni pertinenti alla sicurezza dello Stato, alla sicurezza pubblica, agli interessi monetari dello Stato e alla repressione di reati.
Il Parlamento ha autorizzato la ratifica della Convenzione, che è entrata in vigore sul piano internazionale il 1° ottobre 1985, con la legge 21 febbraio 1989, n. 98, ma, come meglio emergerà nel successivo capitolo III, non ha ancora adottato la necessaria normativa interna di carattere generale sulla protezione dei dati, secondo quanto prescritto dall'art. 4 della Convenzione e questa non può quindi avere vigore nel nostro Paese se non dopo aver conseguito il suddetto adempimento.
Tornando brevemente alle disposizioni della convenzione n. 108, questa contiene tre gruppi di previsioni: la prima (cap. III) individua le regole per il trasferimento di dati personali attraverso le frontiere, la seconda (cap. IV) disciplina le modalità per la reciproca assistenza e per la cooperazione tra le parti contraenti. Il capitolo V prevede la costituzione di un Comitato consultivo in cui sono rappresentati tutti gli Stati ratificanti ed è ammessa la partecipazione di altri Stati in qualità di osservatori (l'Italia ha recentemente ottenuto di farvi parte, grazie alla presentazione in Parlamento, nel corso della XI Legislatura, del disegno di legge n. 1526): il Comitato ha il compito di seguire l'applicazione della Convenzione, verificare i problemi eventualmente insorti, fare proposte ed emettere pareri, nonché proporre emendamenti alla stessa. Ed è proprio nell'ambito di questo Comitato che si è deciso di concentrare l'attività, una volta sanciti i princìpi comuni di base, definendo regole per interventi settoriali, contenuti in specifiche Raccomandazioni che potessero tenere nella dovuta considerazione le peculiarità di ciascuno dei settori disciplinati. Ad esempio nel 1981 relativamente alle banche dati nel settore della sanità, nel 1983 in quello della ricerca scientifica, nel 1985 sul marketing, nel 1987 riguardo alle banche dati nel settore della polizia.


L'altro grande punto di riferimento, a livello europeo, è da rinvenirsi nell'attività svolta dalle Istituzioni comunitarie.
Fin dal 1973 la Commissione, in una comunicazione al Consiglio relativa alla politica della Comunità per l'informatica, metteva in rilievo la necessità di tutelare i diritti dei cittadini di fronte alla creazione di banche-dati. Nel 1975 il Parlamento europeo approvò una relazione che prospettava l'urgenza di pervenire a una Direttiva sul tema della libertà dell'individuo e informatica. Nel 1977 il Consiglio dei Ministri affidava alla Commissione lo svolgimento di studi congiunti sui temi della sicurezza, sulla valutazione e realizzazione di sistemi informatici. Sempre il Parlamento europeo nel 1979 votava una Risoluzione che impegnava la Commissione a preparare, tenendo conto delle raccomandazioni elaborate dallo stesso Parlamento, una proposta di Direttiva relativa all'armonizzazione delle legislazioni sulla tutela dei dati.
La concretizzazione di quanto richiesto dal Parlamento ha però tardato altri dieci anni: è solo alla fine del 1990 che la Commissione presenta un "pacchetto" di interventi, di cui il più incisivo è la proposta di Direttiva (doc. COM (90) 314 final, SYN 287) relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali.
Come rileva la stessa Commissione nel presentare la proposta, "il crescente ricorso al trattamento di dati personali in tutti gli aspetti delle attività economiche e sociali, come anche le nuove esigenze in materia di scambio di dati connesse con il rafforzamento della costruzione comunitaria, rendono indispensabile nella Comunità l'adozione di misure volte a garantire la protezione delle persone relativamente al trattamento dei dati personali e a rafforzare la sicurezza del trattamento dei dati nel contesto, in particolare, dello sviluppo delle reti aperte di telecomunicazioni".
Da un lato i progressi compiuti nel campo delle tecnologie dell'informazione facilitano notevolmente il trattamento e lo scambio di dati di qualsiasi natura, dall'altro però, sempre nell'analisi della Commissione, lo stato della protezione delle persone relativamente a queste attività differisce profondamente all'interno della Comunità. Anche se, come già accennato, fin dagli anni '70 molti Stati membri si sono dotati di strumenti normativi volti a limitare e a disciplinare l'utilizzazione di questo tipo di dati, alla fine del 1990, data della presentazione della proposta, nonostante l'omogeneità degli obiettivi, continuavano a registrarsi notevoli difformità tra uno strumento e l'altro. Inoltre alcuni Stati, tra cui l'Italia, non avevano ratificato la Convenzione del Consiglio d'Europa e non disponevano pertanto di una legislazione al riguardo.
Secondo la Commissione, le diversità degli approcci nazionali - in particolare per quanto concerneva il campo di applicazione (inclusione o meno degli archivi manuali, protezione o meno anche delle persone non fisiche e giuridiche), e le condizioni da rispettare per poter effettuare il trattamento dei dati (portata dell'obbligo di notifica, informazione all'atto della raccolta, trattamento dei dati sensibili) - sussistevano nonostante la ratifica da parte degli stessi Paesi della Convenzione del Consiglio d'Europa - l'unico strumento giuridicamente vincolante elaborato fino a quel momento - e impedivano il completamento del mercato interno (art. 100A dell'Atto Unico Europeo, base giuridica della proposta di Direttiva).
L'approccio della Commissione, che informa la proposta di Direttiva, mira a garantire un elevato livello di protezione mediante un sistema comunitario di protezione che si basa su di una gamma di misure tra loro complementari: considerato che le legislazioni nazionali hanno per oggetto di garantire i diritti fondamentali delle persone, in particolare quello alla vita privata e tenuto conto che la stessa Comunità si è pronunciata per la protezione dei diritti fondamentali nel terzo paragrafo del Preambolo dell'Atto Unico europeo, l'azione, per la Commissione, non deve avere come effetto di ridurre la protezione, ma, anzi, di garantire un livello più elevato ed omogeneo all'interno della Comunità.
Mentre la protezione dei diritti dell'uomo e delle libertà fondamentali è scopo "diretto" della Convenzione n. 108, questa finalità assume nella proposta di Direttiva un ruolo diverso: essa è considerata - come si evince anche dalla base giuridica proposta - quale presupposto imprescindibile per l'obiettivo primario, che è quello di assicurare che la libera circolazione delle persone, merci, servizi e capitali possa svolgersi, insieme ai compiti delle amministrazioni nazionali degli Stati membri, senza ostacoli.
La Commissione ritiene inoltre che, ad integrazione del ravvicinamento a un livello elevato dei diritti riconosciuti alle persone, sia indispensabile intraprendere una politica attiva in materia di sicurezza dei sistemi di informazione. La sicurezza dei sistemi è ritenuta importantissima sia per le persone sia per il commercio, l'industria e le amministrazioni pubbliche, tanto che nel "pacchetto" di proposte quella relativa ad una decisione nella specifica materia è stata esaminata e approvata in breve tempo.
Nella proposta di Direttiva generale (SYN 287), è previsto che gli Stati stessi garantiscano i princìpi in essa enunciati. Essi riguardano, in particolare, le condizioni in cui il trattamento dei dati personali è legittimamente effettuato, i diritti della persona interessata (diritto all'informazione, diritto all'accesso, di rettifica, di opposizione), le qualità che debbono avere i dati (esattezza, raccolta effettuata in maniera leale, registrazione per finalità determinate). È inoltre prevista la costituzione di un Gruppo per la protezione dei dati personali con funzioni consultive rispetto alla Commissione e compiti in parte comparabili a quelli del Comitato consultivo previsto dalla Convenzione n. 108.
La proposta di Direttiva concerne le attività che rientrano nel campo di applicazione del diritto comunitario svolte sia dal settore pubblico sia da quello privato.
Dopo l'adozione della Direttiva, gli Stati membri non potranno più porre restrizioni alla circolazione dei dati personali nella Comunità (ormai divenuta Unione) fondandole sulla protezione della persona interessata, poiché tutte le persone beneficeranno in ogni Stato membro di una protezione equivalente di elevato livello.


L'Accordo di Schengen, firmato nel 1985 da Francia, Germania, Belgio, Olanda, Lussemburgo, è nato per l'eliminazione graduale dei controlli alle frontiere comuni e, quindi, si è posto come un esempio di accelerazione del processo d'integrazione Europea.
Difatti esso mira a realizzare, soprattutto, quella libera circolazione delle persone che risultava esser uno dei dossiers più spinosi sul tavolo dei Paesi membri della Comunità europea.
Con l'Atto Unico del 1987, la realizzazione della libera circolazione delle persone diviene uno degli obiettivi fondamentali per il completamento del mercato interno e, di conseguenza, l'atteggiamento delle Istituzioni europee - soprattutto della Commissione - verso l'Accordo di Schengen è quello di considerarlo come un laboratorio, il banco di prova di un'Europa senza frontiere.
Dal 1985 alla metà del 1990 i Paesi aderenti hanno lavorato per predisporre la Convenzione complementare dell'Accordo: infatti l'ambizioso obiettivo non poteva - come apparso ben presto - non essere accompagnato da una analitica ricognizione delle legislazioni e delle prassi amministrative esistenti nei Paesi nelle materie interessate, nonché dalla previsione di una serie di "misure di compensazione" per consentire l'eliminazione delle frontiere interne senza ripercussioni o "deficit di sicurezza".
La Convenzione prevede quindi una collaborazione organizzata nei settori giustizia, polizia e immigrazione, cioè proprio in quei settori su cui meno aveva agito l'integrazione comunitaria, essendo tradizionalmente rientranti nella sfera di sovranità nazionale.
L'Italia, inizialmente estranea all'Accordo, manifestò il suo interesse ai lavori in corso e fu successivamente ammessa come osservatore. Firmò poi la Convenzione di applicazione nel novembre 1990 e ha recentemente ratificato la Convenzione con la legge 30 settembre 1993, n. 388.
Successivamente sono entrate a far parte dell'Accordo di Schengen anche Spagna, Portogallo e Grecia, portando a nove il numero dei paesi dell'unione Europea che vi partecipano. È inoltre imminente l'ingresso dell'Austria, in parallelo con la sua entrata nell'Unione.
L'Accordo non è ancora entrato in vigore sul piano internazionale a causa di taluni rinvii dovuti alla non perfetta messa a punto dei sistemi di trasmissione e comunicazione di dati.
È infatti fondamentale per la funzionalità dell'intero Accordo che si realizzi la piena operatività e la contestuale messa in esercizio del S.I.S. (Sistema Informativo Schengen).
Si tratta di un sistema d'informazione comune che si compone di una parte nazionale (N. SIS) e di una parte di supporto tecnico (C.SIS).
Le sezioni nazionali sono pressoché identiche e contengono tutti i dati di riferimento. L'unità di supporto centrale, con sede a Strasburgo, assicura che tutti gli N. SIS contengano le stesse informazioni.
Infatti i cambiamenti che dovessero essere effettuati dal Paese che immette l'informazione nel sistema dovrebbero essere automaticamente trasmessi dal C. SIS a tutte le sezioni nazionali del S.I.S.
Scopo del S.I.S. è quello di mantenere l'ordine e la sicurezza pubblica, inclusa la sicurezza dello Stato, e applicare le disposizioni della convenzione relative ai movimenti delle persone all'interno dei territori degli Stati contraenti attraverso l'utilizzo dei dati forniti dal sistema.
Può essere inserito nel S.I.S. soltanto un numero limitato di dati e, precisamente, quelli elencati dall'art. 94; oltre alle informazioni fondamentali per l'identificazione (nome, luogo e data di nascita, sesso, nazionalità), si tratta di altri dati di utilità per lo svolgimento di indagini di polizia (segni di riconoscimento fisici della persona segnalata, l'eventuale presenza di armi, la propensione alla violenza, motivi della segnalazione e sua finalità).
Altri dati, in particolare quelli considerati "sensibili" dalla convenzione n. 108 cui Schengen fa espressamente riferimento, non possono essere conservati.
Presupposto del sistema è quello di seguire nello spazio la persona segnalata nel S.I.S. Se una persona viene fermata o controllata nel territorio di uno dei paesi Schengen, i funzionari di polizia potranno verificare se la stessa persona figura sulla lista delle persone segnalate.
La Convenzione agli artt. 95-99 specifica in quali casi può essere effettuata la segnalazione:
- se vi è una richiesta di estradizione;
- persone cui è già stato rifiutato l'ingresso in uno dei paesi Schengen (inammissibile ai fini Schengen);
- minori o persone scomparse;
- testimoni in processi criminali;
- persone da sottoporre a sorveglianza discreta (una delle forme di collaborazione tra polizie previste dall'Accordo).
Gli articoli da 102 a 118 della Convenzione sono dedicati alla tutela e alla sicurezza dei dati.
Il principio di base, fissato dall'art. 102, è che i dati trasmessi al S.I.S. e ivi inseriti possano essere usati solo per gli scopi specifici per i quali è autorizzata la raccolta (principio del fine limitato). Le uniche deroghe consentite riguardano la necessità di prevenire un pericolo serio e imminente all'ordine e alla sicurezza pubblica, per serie ragioni riguardanti la sicurezza dello Stato o per prevenire un crimine. In questa ultima ipotesi però occorre la previa autorizzazione del paese che ha inserito il dato e questo deve riguardare le categorie di persone indicate.
È vietato inoltre l'inserimento dei dati del S.I.S. in altri archivi nazionali.
L'art. 101 specifica quali autorità nei rispettivi Paesi possono avere accesso ai dati del S.I.S.
La Convenzione inoltre detta disposizioni relativamente alla durata o alla permanenza negli archivi informatizzati delle informazioni, specificando che i dati debbono essere conservati solo per il tempo strettamente necessario.
Quanto alla posizione della persona interessata, gli artt. 109 e 110 prevedono il diritto di accesso e quello di rettifica. Tuttavia il diritto di accesso deve essere esercitato secondo le leggi nazionali del Paese dove viene invocato. È però nella facoltà della persona scegliere a quale Paese indirizzare la richiesta.
Comunque il diritto di accesso può essere rifiutato qualora sia indispensabile per il perseguimento dei fini assegnati oppure per proteggere i diritti e le libertà di terzi; e inoltre quando è stato adottato un provvedimento di sorveglianza discreta e questo riferisca ad esigenze di sicurezza dello Stato.
Alla persona interessata viene riconosciuto il diritto di agire in giudizio per far correggere, cancellare o inserire dati, nonché per richiedere il risarcimento dei danni.
La Convenzione di applicazione prevede poi che ciascun Paese designi una autorità responsabile, secondo le leggi nazionali, che abbia affidato il compito di operare un controllo indipendente sui "file" contenuti nella sezione nazionale del S.I.S. e per controllare che la raccolta e il trattamento dei dati nello stesso inseriti sia effettuata nel rispetto dei diritti della persona interessata.
La stessa Autorità può effettuare, a richiesta, questo controllo.
L'art. 115 istituisce poi l'Autorità comune di controllo, un organo incaricato della supervisione dell'unità centrale di supporto tecnico (C. SIS), da effettuare secondo le regole fissate dalla Convenzione n. 108 del Consiglio d'Europa e dalla Raccomandazione (87) 15 concernente i dati di polizia.
L' Autorità comune di controllo ha inoltre una funzione di armonizzazione.
L'Italia, nell'autorizzare la ratifica dell'Accordo, ha precisato (art. 9) che l'autorità che ha la competenza centrale per la sezione nazionale del S.I.S. è il Ministero dell'Interno, mentre quella incaricata di esercitare un controllo indipendente è il Garante della protezione dei dati.
Poiché, tuttavia, questa figura non è ancora in funzione, essendo decaduto per fine legislatura il disegno di legge che ne prevedeva l'istituzione - come meglio esposto al Cap. III - i suddetti compiti saranno, nel frattempo, affidati al Comitato parlamentare che ha il controllo, ai sensi della legge n. 121 del 1981, sul centro elaborazione dati delle forze di polizia.
Gli artt. 10, 11 e 12 dettano norme integrative e di raccordo rispetto alla disciplina nazionale predisposta dalla legge 121 del 1981. L'art. 12, in particolare, introduce il principio della responsabilità per danni in caso di violazione delle norme disciplinanti la raccolta, la conservazione e l'utilizzazione dei dati inseriti nel N. SIS.
Oltre al Sistema Informativo Schengen, la Convenzione prevede, in diverse disposizioni, la possibilità che gli Stati contraenti possano scambiarsi informazioni per via informatica (ad es. nel settore dell'asilo).
Essa richiede però, come presupposto imprescindibile, che il trattamento autorizzato dei dati personali avvenga solo dopo che siano state adottate dagli stessi Stati - al più tardi al momento dell'entrata in vigore della Convenzione - le disposizioni nazionali necessarie per ottenere un livello di protezione dei dati personali almeno pari a quello derivante dai princìpi della Convenzione del Consiglio d'Europa del 28 gennaio 1981 sulla protezione delle persone nei riguardi del trattamento automatizzato di dati di natura personale.
Come dianzi accennato, dell'Accordo di Schengen sono parte 9 dei 12 paesi membri dell'Unione Europea, mentre gli altri tre (Regno Unito, Irlanda, Danimarca) hanno scelto di non aderire.
Tuttavia lo scorrere del tempo ha in un certo senso determinato anche le istituzioni comunitarie, e segnatamente il Consiglio, ad adottare misure volte ad accelerare la realizzazione della libera circolazione delle persone, l'unico settore che era rimasto escluso dal completamento del mercato interno.
Prima in sede di cooperazione intergovernativa, ora avvalendosi del nuovo titolo VI del trattato di Maastricht, relativo alla cooperazione nei settori della giustizia e degli affari interni, si sta per giungere alla elaborazione definitiva di una proposta di direttiva che istituisce il Sistema Informativo Europeo (S.I.E.). Il sistema, destinato a "compensare" il deficit derivante dall'eliminazione delle frontiere interne secondo l'art. 8 A del trattato è palesemente mutuato sul S.I.S. nelle finalità e nell'architettura.
È infatti frutto della precisa scelta di estendere a 12 il sistema già messo a punto tra i partners Schengen con i dovuti, necessari adattamenti, per evitare l'insorgere di nuovi conflitti e la riapertura di vecchie problematiche: di ciò il Preambolo prende chiaramente atto.
Il Sistema Informativo Europeo è un sistema comune, costruito e gestito dai paesi membri dell'Unione che dovrebbe permettere alle autorità designate dagli stessi, tramite ricerca informativa, di avere accesso alle informazioni relative a persone e oggetti per effettuare controlli di frontiera e controlli doganali e di polizia (anche relativi all'immigrazione).
Il sistema è descritto nella Convenzione omonima, il cui scopo precipuo è di accompagnare l'operatività della Convenzione sulle frontiere esterne e, in particolare, rendere concretamente operante il principio della libera circolazione delle persone.


Il nostro Paese non è riuscito finora a dotarsi di una legge generale sulla protezione della vita privata rispetto al trattamento automatizzato dei dati e questa mancanza sta facendo pesantemente sentire i suoi effetti soprattutto con riguardo al mantenimento degli obblighi internazionali assunti.
Infatti, pur avendo dal 1989 autorizzato la ratifica della Convenzione n. 108 del Consiglio d'Europa, non ha potuto finora procedere al deposito dello strumento di ratifica mancando le disposizioni interne di attuazione, come prescrive l'articolo 4 della stessa Convenzione.
Di conseguenza si trova in difficoltà nella discussione in corso a Bruxelles sulla proposta di Direttiva SYN 287 e non può agevolmente sedersi insieme ai partners Schengen, essendo lo scambio di dati subordinato anch'esso alla garanzia di norme equivalenti. Quest'ultimo problema, tuttavia, è meno grave, anche se sussistono fondati timori che sarà di ostacolo alla accettazione, da parte degli altri Stati Schengen, dell'entrata in funzione del S.I.S. finché non sarà approvata la legge generale già citata, essendo lo scambio di dati previsto da quella Convenzione coperto quasi integralmente dalle vigenti norme della legge n. 121 del 1981 e dalle disposizioni complementari contenute nella legge di autorizzazione alla ratifica.
Quanto all'evoluzione storica del diritto alla riservatezza nell'ordinamento giuridico italiano, è mancata fino agli anni Settanta la consapevolezza di una sua identificazione in forma autonoma, dotata di connotati propri e non assimilabile ai diritti individuali già conosciuti e regolamentati.
La prima formulazione del diritto alla riservatezza si fa risalire alla legge n. 300 del 1970, c.d. "Statuto dei Lavoratori", la quale agli articoli 4, 5 e 6 vieta l'uso di impianti audiovisivi e di altre apparecchiature per finalità di controllo a distanza dell'attività dei lavoratori e al successivo articolo 8 fa divieto al datore di lavoro ai fini dell'assunzione, come nel corso dello svolgimento dei rapporti, di effettuare indagini, anche a mezzo di terzi, sulle opinioni pubbliche, religiose o sindacali del lavoratore, nonché sui fatti non rilevanti ai fini della valutazione dell'attività professionale.
Norme analoghe sono state previste in materia di trattamento dei militari dalla legge n. 382 del 1978 che fa divieto dell'uso di schede informative ai fini di discriminazione politica dei militari.
Nel tempo si è assistito a una stratificazione di disposizioni settoriali che, pur avendo al momento contribuito, in certo qual modo, alla soluzione di delicate problematiche, compongono un quadro incompleto e, soprattutto, disorganico.
Paradossalmente, o forse non così tanto, l'unico vero nucleo di una disciplina della materia è contenuto nella legge 1° aprile 1981 n. 121 sul nuovo ordinamento dell'amministrazione di Pubblica sicurezza.
Questa legge, nel ridefinire l'assetto organico e strutturale dell'amministrazione della Pubblica Sicurezza all'indomani della smilitarizzazione della Polizia di Stato, prevede, all'art. 8, l'istituzione del centro elaborazione dati, per la raccolta delle informazioni e dei dati relativi alla tutela dell'ordine e della sicurezza pubblica.
Data la delicatezza dei risvolti sulla vita degli individui, la stessa legge detta una serie di disposizioni tendenti, anche, a garantire il soggetto interessato del trattamento.
Gli articoli da 6 a 12 regolano la tutela della riservatezza, seppur limitatamente ai dati personali elaborati dal Centro elaborazione dati del ministero dell'Interno.
La tutela apprestata da questa legge non può essere invocata quando la riservatezza individuale venga violata da banche di dati di imprese private o enti pubblici.
La legge prevede una competenza del Ministero dell'Interno sulle banche-dati personali, imponendo agli enti pubblici e privati di notificare allo stesso l'esistenza delle proprie banche-dati.
Per il resto non vi sono altri obblighi in quanto le norme ricordate fanno riferimento ai princìpi cui si devono attenere gli operatori della polizia nella gestione delle informazioni raccolte dal Centro.
Vi sono norme volte a garantire indirettamente la riservatezza, in quanto fissano rigorosi criteri di accesso ai dati (passwords e chiavi di accesso). Si stabilisce inoltre che i dati e le informazioni sul conto di persone possano essere raccolti esclusivamente per fini di tutela dell'ordine e sicurezza pubblica (principio della finalizzazione della raccolta del dato).
Viene anche accolto il principio del divieto di raccolta di dati sensibili, ma con un temperamento, dovuto alla specificità dei compiti dell'organo che effettua la raccolta: la legge fa infatti divieto di memorizzare informazioni sul conto di una persona "per il solo fatto" della sua appartenenza a una razza, gruppo di opinione, religione.
Un secondo gruppo di norme tende a tutelare direttamente la riservatezza, istituendo una serie di controlli interni ed esterni al gestore dei dati: oltre ai controlli interni, amministrativi, la legge istituisce un Comitato di controllo parlamentare e, infine, un controllo giurisdizionale.
Nel successivo regolamento, approvato nel 1982, sono specificamente fissate le norme e le procedure di accesso.
Per concludere occorre fare cenno al disegno di legge recentemente presentato dal Governo e che, prima dello scioglimento anticipato della XI legislatura, aveva ricevuto l'approvazione della Commissione Giustizia della Camera, che lo aveva discusso in sede deliberante.
Questo disegno di legge, già licenziato da un ramo del Parlamento e di imminente (A.S. 2296) definitiva approvazione, persegue la finalità di introdurre nell'ordinamento norme relative a ogni forma di elaborazione di dati personali, compresi quindi anche gli archivi manuali, da chiunque effettuata, tranne le autorità indicate esplicitamente e le raccolte effettuate per uso strettamente personale.
Per tutelare il diritto alla riservatezza il disegno di legge prevede l'istituzione di un Garante per la protezione dei dati, authority indipendente con compiti di tenuta del registro delle banche-dati, di vigilanza, di sorveglianza sul settore.
Vengono quindi fissati i princìpi cui deve ispirarsi la raccolta e il trattamento dei dati, il divieto di raccolta dei dati sensibili, il principio del consenso dell'interessato.
In larga misura il disegno di legge tiene conto dell'elaborazione in corso presso la Comunità europea onde evitare che si creino distorsioni tra l'impostazione dei due strumenti normativi in corso di elaborazione.
Va inoltre segnalato, per completezza, che il quadro normativo sarà integrato con l'approvazione del D.L. n. 1901-ter recante delega al Governo per l'emanazione di disposizioni integrative di quelle contenute nell'emananda legge, di cui sopra fatto cenno, attualmente all'esame della Camera dei Deputati.



© AGENZIA INFORMAZIONI E SICUREZZA INTERNA