Con il proliferare delle nuove tecnologie che rendono sempre maggiormente disponibili informazioni e dati, si intensifica la richiesta conoscitiva da parte del settore investigativo. Infatti, chi lavora e opera nei settori dell'investigazione e della prevenzione e repressione dei reati, sottolinea l'utilità di qualsivoglia informazione.
Se ciò è plausibile, lo è anche, però, il diritto del cittadino a vedere protetta la propria sfera personale da controlli e intrusioni indebite ed eccessive.
Oggi l'obiettivo "sicurezza" ha assunto la massima centralità nell'azione politica e di governo, a livello europeo e mondiale.
La ricerca della minaccia che sta intorno a noi ha portato a raffinare e incrementare l'uso degli strumenti e delle tecniche di controllo sociale e a moltiplicare la raccolta e la classificazione delle informazioni che riguardano la vita e i comportamenti dei cittadini.
Se pensiamo al PNR chiesto dagli Stati Uniti ai Paesi dell'Unione Europea, è facile comprendere la mole di informazioni che, quotidianamente, sono conservate e analizzate.
Restando nel nostro Continente, possiamo notare la graduale ma rapida intensificazione dell'interconnessione delle Banche Dati utilizzate per i controlli sui movimenti delle persone, per il contrasto all'immigrazione clandestina (così i nuovi sistemi SIS II e VIS II) ovvero per la cooperazione rafforzata che sta alla base del Trattato di Prum, che prevede la possibilità di scambiarsi informazioni riguardanti anche i profili di DNA. Si tratta, come è evidente, di soluzioni che implicano un sempre più intenso e ampio scambio e comunicazione di dati fra i Paesi dell'Unione. Risulta evidente a tutti cosa ciò significhi sul piano delle indispensabili garanzie che vanno assicurate per evitare errori, gravi violazioni o lesioni dei diritti individuali.
Il Trattato di Prum prevede l'obbligo per gli Stati membri di creare e gestire archivi nazionali per l'analisi e la conservazione dei profili del DNA unicamente a fini identificativi e soltanto per lo scambio tra gli Stati membri, riservando alla normativa interna la disciplina sul trattamento dei dati.
Il Garante da tempo ha rilevato l'esigenza di un intervento legislativo che disciplini l'interazione di Banche Dati e il loro rapporto con la raccolta e utilizzazione delle informazioni per finalità di sicurezza e giustizia, con particolare riferimento al trattamento e alla conservazione dei campioni biologici e dei codici identificativi del DNA.
La materia impone, inoltre, complessi e importanti interventi anche per quanto riguarda il rafforzamento dei poteri di controllo su questi dati, sia nella fase della raccolta sia nel momento successivo della loro utilizzazione.
Il Garante nella segnalazione del 19 settembre 2007 ha sensibilizzato il Parlamento e il Governo verso scelte normative che assicurino garanzie effettive e concrete.
Successivamente, in data 15 ottobre 2007, la Presidenza del Consiglio dei Ministri ha chiesto il parere del Garante su uno schema di Disegno di legge volto a istituire una Banca Dati nazionale del DNA e un connesso laboratorio centrale.
Il Garante, nell'esprimere il parere, ha precisato che il ddl in questione richiedeva taluni miglioramenti, al fine di contemperare l'avvertita esigenza di efficace contrasto del crimine con un'adeguata tutela dei diritti degli interessati.
In primo luogo è stata prospettata al legislatore la necessità di definire un modello di Banca Dati, attivata solo per finalità specifiche di identificazione di persone, in armonia con quanto previsto dal menzionato Trattato di Prum e dalla Decisione adottata a livello europeo.
Inoltre, l'Autorità ha chiesto al Governo di individuare garanzie idonee ad assicurare che le operazioni di prelievo dei campioni, di analisi degli stessi e di conservazione e successiva distruzione dei reperti siano eseguite da personale altamente specializzato.
Si è segnalata, infine, l'opportunità di rivalutare la previsione contenuta in quello schema relativa al prelievo obbligatorio di campioni nei confronti di intere categorie di soggetti, nonché l’ assoluta necessità di determinare modalità idonee a prevenire il rischio che il prelievo di un campione biologico venga eseguito più volte sulla stessa persona senza giustificato motivo.
In data 22 dicembre 2008 il Senato ha approvato il ddl che contiene le norme per la ratifica dell'adesione al Trattato di Prum. In questo modo l'Italia potrà partecipare pienamente allo scambio di informazioni previsto dal Trattato nell'ambito della cooperazione transfrontaliera nella lotta al terrorismo, alla criminalità organizzata e alla migrazione illegale.
Il ddl istituisce la Banca Dati Nazionale del DNA a carattere interforze, collocata nell'ambito del Dipartimento della Pubblica Sicurezza del Ministero dell'Interno, e il Laboratorio Centrale della Banca Dati, presso il Dap del Ministero della Giustizia.

Senza dubbio, gli ultimi anni sono stati caratterizzati dalla crescente pubblicazione, ad opera della stampa e della televisione, di materiale tratto da atti di indagine.
Le vicende che hanno coinvolto politici, imprenditori e personaggi dello spettacolo hanno fatto rilevare quanto frequentemente le informazioni raccolte durante le indagini siano state oggetto di pubblicazione e di diffusione al di fuori dei processi e, spesso, prima ancora dell'inizio del processo.
Tutto questo ha sicuramente contribuito a consolidare il connubio esistente tra giustizia e sistema mediatico, nonché a rievocare l'antico dibattito sul contemperamento tra il diritto di cronaca e il diritto alla protezione dei dati, all'interno del quale si inserisce il rapporto tra l'utilizzo dello strumento investigativo delle intercettazioni di comunicazioni e di conversazioni telefoniche e i limiti alla liceità della pubblicazione integrale del loro contenuto da parte dei giornalisti.
Certamente le intercettazioni rappresentano un utile strumento di indagine per gli inquirenti ma, allo stesso tempo, non bisogna trascurare che tale attività costituisce anche una delle forme più invasive della sfera personale dell'individuo, poiché incide su quella libertà di comunicazione che l'art. 15 della Costituzione considera un diritto fondamentale, comprimibile solo con atto motivato dell'Autorità giudiziaria e con le garanzie stabilite dalla legge.
Le attività di intercettazione telefonica come mezzo di investigazione legittimo risultano essere comunque numerosissime nel nostro Paese. Ciò comporta, in primo luogo, la necessità che gli uffici giudiziari adottino misure di sicurezza adeguate a tutelare tutti i dati raccolti e trattati per finalità di giustizia e, in particolare, a proteggere le trascrizioni e i verbali delle intercettazioni anche da una diffusione a mezzo stampa e, in generale, da conoscenze indebite e illegittime.
Per quanto riguarda il problema di un'eventuale pubblicazione del loro contenuto da parte dei media, occorre segnalare che in più occasioni l'Autorità ha affrontato il profilo della tutela dei diritti della persona in relazione alla pubblicazione di trascrizioni di intercettazioni telefoniche e richiamato gli operatori della stampa al rispetto delle norme dettate dal Codice di procedura penale, dal Codice in materia di protezione dei dati personali e dal Codice deontologico dei giornalisti.
L'Autorità è più volte intervenuta invitando i giornalisti a valutare con attenzione le notizie, anche rispetto a persone che hanno rilievo pubblico, e distinguendo tra informazioni necessarie per la valutazione dei fatti e informazioni che invece attengono prevalentemente alla sfera privata del soggetto.
L'Autorità ha anche fornito importanti indicazioni circa la necessità di tutelare la posizione dei soggetti coinvolti dalle pubblicazioni ma estranei ai fatti di rilevanza penale, nonché delle persone offese e di tutti coloro che, comunque non risultano sottoposti ad indagine al momento della pubblicazione e ha evidenziato che la posizione del terzo incolpevole, dei familiari e dei minori deve essere sempre tutelata, così come particolare cautela deve essere prestata alle informazioni di natura sensibile.
Anche in occasione della presentazione della Relazione annuale al Parlamento l'Autorità ha richiamato l'attenzione sulla pubblicazione di notizie acquisite nel corso d'indagini giudiziarie e, nel ribadire che tutti i dati giudiziari devono essere protetti con vincoli giuridici più chiari e con misure tecniche adeguate, ha ricordato l'impegno con cui l'Ufficio ha lavorato in questo delicato settore indicando precise istruzioni anche agli uffici giudiziari.
Un'altra questione strettamente correlata alla protezione delle informazioni rivenienti dalle attività di intercettazioni, attiene alla "sicurezza" della conservazione dei dati personali raccolti e dei flussi informativi contenuti nelle Banche Dati di traffico nell'ambito delle telecomunicazioni, con riferimento alle attività svolte dai gestori telefonici e telematici per le intercettazioni disposte dalla magistratura.
Su questo aspetto l'Autorità ha avviato un'attenta attività di accertamento e già nel 2005 è intervenuta prescrivendo ai gestori l'adozione di rigide misure, al fine di incrementare in modo significativo i livelli di sicurezza dei sistemi utilizzati.

A fronte dell'esigenza di delineare un quadro unitario di misure e accorgimenti per i professionisti che, nell'ambito del procedimento penale, civile ed amministrativo, trattano dati personali in qualità di periti ausiliari o consulenti tecnici del Giudice e del Pubblico Ministero, ovvero che svolgono le stesse attività per conto delle parti private, l'Autorità in data 26 giugno 2008 ha adottato un provvedimento di carattere generale recante le "Linee guida in materia di trattamento di dati personali da parte dei consulenti tecnici e dei periti ausiliari del Giudice e del Pubblico Ministero".
Le linee guida hanno fornito rigorose indicazioni sulla gestione delle informazioni raccolte e degli archivi di questi professionisti che, operando su incarico di una o più autorità giudiziarie e, dunque, anche per giudizi differenti, vengono a conoscenza e accumulano una grande quantità di dati personali.
Tali professionisti, infatti, in virtù delle loro competenze extragiuridiche di natura tecnica e scientifica vengono a contatto con una moltitudine di informazioni e di dati personali riferiti sia alle parti processuali sia a soggetti che, a vario titolo, partecipano al processo.
Tra le indicazioni contenute nel provvedimento è importante segnalare che il consulente e il perito possono raccogliere e trattare lecitamente dati personali nei limiti in cui sia necessario per adempiere all'incarico ricevuto e solo nell'ambito dell'accertamento demandato. Pertanto, le relazioni e le informative fornite al magistrato ed eventualmente alle parti non devono né riportare dati non pertinenti all'oggetto della perizia, né contenere informazioni personali di soggetti estranei al procedimento.
L'eventuale utilizzo incrociato di dati è consentito solo se collegato alle indagini che sono state delegate e se autorizzato dalle singole autorità giudiziarie interessate.
Una volta espletato l'incarico, l'ausiliario del Giudice deve consegnare, per il deposito agli atti del procedimento, non solo la propria relazione ma anche la documentazione fornitagli dal magistrato e quella ulteriore acquisita nel corso dell'attività svolta. Al di fuori delle ipotesi stabilite per legge o da specifiche autorizzazioni del magistrato, il consulente e il perito non possono, quindi, conservare, in originale o in copia, in formato elettronico o su carta, le informazioni personali raccolte nel corso dell'incarico.
Le informazioni acquisite nel corso dell'accertamento possono essere comunicate alle parti con le modalità e nel rispetto dei limiti fissati dalle norme sulla segretezza e riservatezza degli atti processuali. Eventuali comunicazioni di dati a terzi, se ritenute indispensabili per le finalità dell'indagine, devono rispettare quanto stabilito per legge o essere preventivamente autorizzate dal magistrato.
Fino al momento della consegna al Giudice o al Pubblico Ministero delle risultanze dell'attività svolta, consulenti e periti sono obbligati ad adottare misure tecniche ed organizzative per evitare una indebita divulgazione delle informazioni o la loro perdita o distruzione.
Il perito, inoltre, può essere autorizzato a servirsi di ausiliari di sua fiducia per lo svolgimento di attività materiali. In tale ipotesi il perito o il consulente, rivestendo quindi la qualità di titolare del trattamento, con un preventivo incarico scritto, deve fornire tutte le istruzioni necessarie sulle corrette modalità di utilizzazione, conservazione, custodia dei dati e l'ambito di trattamento consentito.
Le linee guida forniscono, infine, alcune indicazioni utili per chi svolge l'attività di consulente tecnico di parte tra cui numerosi accorgimenti e misure e, in particolare, l'obbligo delle misure generali e minime di sicurezza, la nomina degli incaricati, l'obbligo di segretezza e il dovere di rispettare i principi di liceità, pertinenza e necessità.

La direttiva europea 95/46/CE – di cui la legge n. 675 del 1996 e successivamente il dl n. 196 del 2003 costituiscono attuazione – ha introdotto nell'ordinamento comunitario e in quello dei Paesi membri dell'Unione Europea la formula dei Codici deontologici che costituiscono un nuovo modello di normazione, basato su un processo di autoproduzione di regole da parte delle stesse categorie di soggetti che dovranno applicarle.
Si tratta di un fenomeno che esprime una vera e propria esigenza di sostituire, in alcuni peculiari settori di attività, una legge generale e astratta con normazioni specifiche, volte a privilegiare determinati valori della persona e particolari interessi delle formazioni sociali e dei cittadini, siano essi produttori, utenti o consumatori.
Secondo l'impostazione seguita dal legislatore, il ruolo riservato in materia al Garante non è solo di carattere propulsivo, poiché l'Autorità deve esercitare un ampio potere di indirizzo e di controllo, a partire dalla valutazione del livello di rappresentatività dei soggetti chiamati a collaborare all'elaborazione delle regole comuni, sino alla verifica della rispondenza dei progetti normativi ai principi stabiliti in tema di dati personali dalla legislazione italiana, dalla normativa comunitaria e dalle Raccomandazioni del Consiglio d'Europa. La "supervisione" del Garante, quindi, è fondamentale, in quanto attraverso la redazione di un buon testo normativo risulta possibile integrare la disciplina normativa e, al contempo, responsabilizzare maggiormente gli stessi titolari del trattamento, con un conseguente effetto deflattivo sul complesso delle possibili controversie in materia.
L'ultimo Codice deontologico che abbiamo approvato in ordine di tempo è il Codice di deontologia e di buona condotta per i trattamenti di dati personali effettuati per svolgere investigazioni difensive o per far valere o difendere un diritto in sede giudiziaria.
Si è trattato di un risultato molto importante che ha permesso di adattare i generali principi posti dalla normativa sulla protezione dei dati personali al peculiare settore professionale degli avvocati e degli investigatori privati.

Il diritto alla protezione dei dati vive una costante evoluzione per effetto del contestuale mutamento dei valori sociali e del dominio delle innovazioni tecnologiche e scientifiche.
La tecnologia informatica e, in particolare, la larga diffusione di Internet, riveste ormai un ruolo fondamentale in tutti i settori delle vita civile, tanto da costituire un settore autonomo dell'economia.
Anche la protezione dei dati diventa protagonista della tecnologia informatica e, dunque, di Internet.
Il mondo virtuale permette di circolare nella rete senza barriere; con Internet vengono immesse, quotidianamente, un'infinità di informazioni e di dati personali e si rende disponibile un potenziale di contenuti senza precedenti.
Questo nuovo mezzo di comunicazione rappresenta senza dubbio un potente strumento di civiltà, ma difetta di un forte sistema normativo.
Con il diffondersi di forme di comunicazione sempre più sofisticate, il problema è diventato, oggi, quello di proteggere la veridicità delle informazioni, ovvero la corrispondenza alla realtà del "dato" così come ci viene presentato.
Nel mondo virtuale, nel mondo delle telecomunicazioni e, più in generale, delle reti telematiche è del tutto assente la fisicità, per cui si può avere solo una presunzione di corrispondenza del dato virtuale a quello reale.
Pertanto, la sicurezza delle vie di comunicazione attraverso le quali i dati circolano assume oggi un'importanza fondamentale tale da diventare un pilastro strategico del mondo in cui viviamo.
Queste considerazioni portano la tematica della protezione dei dati in una dimensione del tutto nuova che fa delle autorità di protezione dati dei soggetti fondamentali per l'ordinamento contemporaneo.
Come detto, la protezione e la messa in sicurezza dei sistemi di comunicazione sono diventati tra i problemi fondamentali della società contemporanea. Se non abbiamo la ragionevole sicurezza di pensare che il sistema di comunicazione sia protetto in maniera adeguata, rischiamo di vivere in una realtà difficile da padroneggiare.
Si tratta di tematiche complesse che richiederebbero approcci globali. Uno dei problemi più grossi del mondo contemporaneo è, tuttavia, rappresentato proprio dal fatto che, ad oggi, manca ogni possibilità di regolazione sovranazionale del c.d. mondo virtuale. Tutto è affidato a governi che hanno limiti intrinseci, ad autorità di protezione dati che sono state pensate in un'altra epoca e per altre finalità, alla autoregolazione degli operatori del settore.
Anche la crisi finanziaria, che da poco ha cominciato a mostrare i suoi effetti, è una delle conseguenze di una globalizzazione avvenuta senza regole: è, infatti, abbastanza chiaro che la crisi sia dovuta in larga misura ad un sistema di finanza mondiale del tutto deregolarizzato, se non altro per la mancanza di un soggetto regolatore adeguato.
La stessa cosa potrebbe avvenire sempre di più anche con i sistemi di telecomunicazione e, in particolare, con Internet. Per questo credo sia importante avviare una riflessione senza allarmare i cibernauti che considerano la regolazione di Internet un modo per limitare la libertà sulla Rete.
Nell'arco di pochi anni siamo approdati ad una realtà diversa, di fronte alla quale sarà necessario ricercare momenti sovranazionali di individuazione di regole a protezione dei sistemi di comunicazione che individuino misure idonee e soggetti preposti a garantirle.
Per tale ragione questo terreno rappresenta il campo elettivo per misurare l'effettivo livello di tutela del diritto alla protezione dei dati e, pertanto, costituisce la sfida per tutte le Autorità di controllo a livello europeo e mondiale.
Una adeguata protezione dei dati, in una società sempre più proiettata nell'era dell'innovazione telematica, si pone come unica garanzia idonea a scongiurare il pericolo che le nuove tecnologie, indispensabili al fine di semplificare l'attività dei singoli individui, agevolare l'interscambio di informazioni, migliorare la vita di relazione, si traducano in strumenti perversi e potenzialmente lesivi della dignità della persona.
Essere sicuri che i dati siano protetti e tutelati costituisce una condizione essenziale per il corretto funzionamento della democrazia e l'effettivo godimento delle libertà e dei diritti fondamentali.

Gli ultimi anni di lavoro dell'Autorità sono stati caratterizzati da un intenso processo di sviluppo dell'attività di controllo, in particolare, attraverso un consistente incremento dell'attività ispettiva e sanzionatoria.
Sotto tale profilo, ad esempio nell'anno 2008, sono state effettuate cinquecento ispezioni in conseguenza delle quali sono state contestate trecentotrentotto sanzioni amministrative e inviate dodici segnalazioni all'Autorità giudiziaria per violazioni di carattere penale.
In ambito ispettivo, essenziale è il rapporto con la Guardia di Finanza regolato sulla base di un protocollo di intesa, siglato nel 2005, che consente al Garante di avvalersi del Corpo nell'attività ispettiva.
Con il coordinamento da parte del Dipartimento ispettivo dell'Autorità, la Guardia di finanza effettua accessi alle Banche Dati, ispezioni e verifiche, e le altre rilevazioni utili all'attività di accertamento, svolge indagini conoscitive sullo stato di attuazione della legge in determinati settori e procede alla contestazione delle sanzioni amministrative.
In pratica, il Garante, ogni qualvolta ritenga necessario avvalersi della collaborazione del Corpo, attiva il Nucleo speciale privacy (con sede a Roma) il quale, disponendo di personale specializzato, provvede direttamente ad effettuare gli accertamenti ispettivi, ove necessario anche attraverso i reparti territorialmente competenti.
Sotto il profilo dell'entità delle sanzioni amministrative, occorre sottolineare le novità introdotte dal decreto legge n. 207/2008, convertito nella legge del 27 febbraio 2009, n. 41 che ha apportato significative modifiche all'apparato sanzionatorio. Le modifiche si sono concentrate, in massima parte, sulle sanzioni amministrative mentre è rimasto sostanzialmente inalterato l'impianto sanzionatorio penale.
In linea generale, gli interventi hanno comportato: un aumento delle pene pecuniarie previste per ciascuna violazione; la previsione di nuove ipotesi sanzionatorie; la creazione di meccanismi per consentire una maggiore modulabilità della sanzione in rapporto al caso concreto.
I parametri sulla base dei quali possono essere applicate sanzioni in forma aggravata concernono la maggiore gravità delle violazioni, la circostanza che le violazioni siano state commesse in relazione a Banche di Dati di particolare rilevanza o dimensioni, il coinvolgimento di un maggior numero di interessati.
Fra le nuove fattispecie particolarmente rilevante è quella che prevede – in caso di più violazioni di un'unica o di più disposizioni commesse, anche in tempi diversi, in relazione a banche di dati di particolare rilevanza o dimensioni – l'applicabilità di una sanzione da cinquantamila euro a trecentomila euro, senza la possibilità di avvalersi dell'estinzione del procedimento sanzionatorio con il pagamento in misura ridotta.
Questa disposizione ha l'obiettivo di aumentare l'effetto deterrente della sanzione in relazione a violazioni di maggiore rilevanza in quanto commesse non occasionalmente e in relazione alla gestione di Banche Dati.
Assai rilevante è anche la nuova disposizione che consente all'Autorità di aumentare fino al quadruplo l'importo delle sanzioni quando le stesse risultino inefficaci alla luce delle condizioni economiche del contravventore.

In linea generale, la violazione viene contestata alla persona fisica che contravviene alla disposizione.
Se la persona fisica che ha commesso la violazione è chiaramente individuabile in quanto vi è stata, ad esempio, la designazione di un responsabile del trattamento dei dati e sono stati specificati i compiti a questo assegnati, la contestazione viene fatta direttamente nei suoi confronti.
Se sulla base degli atti non emergono elementi che consentano, invece, di attribuire la violazione ad una specifica persona all'interno dell'ente o dell'azienda, la sanzione è contestata al legale rappresentante.
Occorre, comunque, sottolineare che le norme prevedono una responsabilità "in solido" della persona giuridica o dell'ente per le violazioni commesse dai propri dipendenti.
Al di là, comunque, della formale intestazione della contestazione, non esistono disposizioni che impediscano all'azienda di pagare la sanzione in luogo del proprio dipendente.

Il Codice in materia di protezione dei dati personali (D.lgs. n. 196 del 2003) all'art. 1 garantisce a "chiunque" il diritto alla protezione dei dati personali, estendendo le forme di tutela ad esso correlate non solo alle persone fisiche ma anche alle persone giuridiche, enti e associazioni.
Tra queste il Codice prevede che l'interessato (cioè il soggetto al quale si riferiscono i dati) è investito di un vero e proprio potere di controllo a che le proprie informazioni personali vengano trattate lecitamente e secondo correttezza e, in generale, nell'osservanza dei principi generali e della disciplina rilevante in materia di trattamento dei dati personali.
Tale potere di controllo è in primo luogo garantito all'interessato mediante il riconoscimento di una tutela preventiva attuabile attraverso l'esercizio dei diritti di cui all'art. 7 del Codice la cui violazione legittima l'interessato a presentare ricorso al Garante o, in via alternativa, al Giudice ordinario.
Tra i diritti contenuti nell'art. 7 rientra il diritto di accesso alle informazioni di carattere personale che si sostanzia nel diritto dell'interessato a conoscere l'esistenza di un trattamento di propri dati effettuato da un altro soggetto. L'interessato, infatti, accedendo alle informazioni relative alla finalità e modalità con cui si svolge il trattamento dei propri dati e ai soggetti che effettuano il trattamento, è in grado di valutare se l'attività di costoro è improntata ai principi di liceità e correttezza e, a seguito di una eventuale valutazione negativa, di esercitare gli ulteriori strumenti di controllo e di tutela dei propri dati personali.
L'art. 7 individua, inoltre, il diritto dell'interessato a ottenere l'aggiornamento e la rettifica dei propri dati nonché il diritto di richiedere la cancellazione, la trasformazione in forma anonima e il blocco dei dati personali. In quest'ultimo caso si presume che i dati siano stati trattati in violazione di legge ovvero che la loro conservazione non sia più necessaria in quanto, ad esempio, le finalità per le quali i dati erano stati raccolti e trattati sono state perseguite, ovvero, non risulta più possibile realizzarle.
Deve, infine, segnalarsi il diritto di opposizione che l'interessato può esercitare in presenza di due distinti presupposti: quando sussistono dei motivi legittimi in presenza dei quali il trattamento risulta lesivo per i diritti dell'interessato e in caso di trattamento finalizzato all'invio di materiale pubblicitario, di marketing diretto o di comunicazione commerciale.
Come già anticipato, il Codice prevede che la violazione dei diritti di cui all'art. 7 permette al soggetto leso, mediante lo strumento del ricorso, di adire in via alternativa l'Autorità giudiziaria ordinaria ovvero l'Autorità Garante per la protezione dei dati personali.
Tutte le altre violazioni del Codice possono essere eccepite dinanzi all'Autorità Garante ma solo attraverso le procedure di segnalazione o di reclamo.
Il Codice, infatti, disciplina i casi in cui l'interessato può rivolgersi al Garante, rendendo chiara la distinzione tra le semplici segnalazioni e i reclami inviati all'Autorità e i veri e propri ricorsi.
Il ricorso da inoltrare al Garante ha carattere formale e la mancanza di uno dei requisiti formali previsti dal Codice ne determina l'inammissibilità. Ciononostante, il Garante può invitare il ricorrente a regolarizzare il ricorso.
La presentazione del ricorso al Garante rende improponibile la stessa domanda dinanzi all'Autorità giudiziaria che comunque potrà essere successivamente adita in opposizione. I rapporti tra la tutela amministrativa e quella giurisdizionale sono stati dunque regolati in termini di alternatività ma il Garante non è competente a pronunciarsi in materia di risarcimento del danno.
La presentazione del ricorso non è gratuita. Il Garante con un proprio provvedimento stabilisce l'ammontare dei diritti di segreteria correlati alla presentazione del ricorso.
Si ricorda che il ricorso può essere presentato solo dopo aver interpellato inutilmente il titolare del trattamento (salvi i casi in cui il decorso del termine esporrebbe taluno a pregiudizio imminente e irreparabile). Il procedimento che si instaura a seguito della presentazione di un ricorso è basato sul principio dispositivo delle parti e la decisione dell'Autorità dovrà rispettare il rapporto tra chiesto e pronunciato.
Va poi osservato che i termini procedimentali sono rigorosamente fissati a pena di decadenza. Il Codice ha previsto che il procedimento si deve esaurire nel termine massimo di sessanta giorni, scaduti i quali, la mancata pronuncia, sia in ordine alla domanda ordinaria sia in ordine a quella avanzata in via cautelare, equivale a rigetto.
Una volta ricevuto il ricorso e fuori dai casi in cui è dichiarato inammissibile o manifestamente infondato, il ricorso è comunicato alle parti a cura dell'ufficio del Garante con invito al resistente ad aderire spontaneamente, entro e non oltre dieci giorni dalla sua ricezione, alla richiesta di tutela avanzata dal ricorrente.
L'adesione spontanea determina la pronuncia di non luogo a provvedere sul ricorso.
Contestualmente alla comunicazione del ricorso ed alla richiesta di adesione spontanea, il Garante indica il termine in cui le parti possono presentare memorie e documenti e la data di eventuale audizione in contraddittorio.
Il provvedimento, sia definitivo che reso in via cautelare, non ha natura giurisdizionale ma natura di decisione amministrativa adottata a seguito di un procedimento amministrativo contenzioso.
Il Garante, se ritiene fondato il ricorso, ordina al titolare la cessazione del comportamento illegittimo, indicando le misure necessarie a tutela dei diritti dell'interessato e assegnando un termine per la loro adozione.
Se sorgono difficoltà o contestazioni riguardo all'esecuzione del provvedimento, il Garante dispone le modalità di attuazione avvalendosi, se necessario, del personale dell'Ufficio o della collaborazione di altri Organi dello Stato.
La condanna alle spese anche in questa sede segue la soccombenza. La parte, a cui carico viene emesso il procedimento, paga le spese di giudizio nella misura determinata dal provvedimento finale in modo forfettario.
I provvedimenti del Garante, sia quelli espressi che quelli taciti di rigetto, sono ricorribili mediante proposizione di opposizione dinanzi al Tribunale del luogo di residenza del titolare del trattamento. Tale impugnativa, che comunque non sospende il provvedimento, deve essere esercitata entro trenta giorni dalla data di comunicazione del provvedimento dell'Autorità.
Con la sentenza (non appellabile ma ricorribile per Cassazione) il Giudice accoglie o rigetta la domanda, in tutto o in parte, prescrive le misure necessarie, si pronuncia sul risarcimento del danno, ove richiesto, e pone a carico della parte soccombente le spese del procedimento.

Le sanzioni penali previste dal Codice riguardano sia la parte sostanziale della materia della protezione dei dati personali (trattamento illecito di dati e mancata adozione delle misure minime di sicurezza), sia quella procedurale (false dichiarazioni al Garante e inosservanza dei provvedimenti del Garante).
Le prime hanno per oggetto giuridico la protezione dei dati personali realizzata attraverso il rispetto delle disposizioni richiamate nelle norme incriminatrici (quali ad esempio il rispetto delle disposizioni sul consenso dell'interessato o quelle sul trattamento dei dati sensibili nonché le disposizioni relative all'adozione delle misure minime di sicurezza).
Nel caso del trattamento illecito di dati, la norma prevede un delitto punito, nella forma più grave, con la reclusione da uno a tre anni. Perché scatti la sanzione non è sufficiente il mancato rispetto delle disposizioni in essa richiamate, ma la legge richiede due ulteriori elementi.
Uno attiene al cosiddetto "elemento psicologico" dell'autore del reato che la norma prevede debba essere qualificato nella volontà di trarre profitto o di arrecare un danno. In sostanza, perché la condotta sia attribuibile a titolo di reato all'autore, è necessario dimostrare che lo stesso si sia determinato a commettere la violazione perché animato da tale elemento psicologico (dolo specifico) richiesto dalla norma.
Il secondo consiste nella dimostrazione che dal fatto ne sia derivato un nocumento. In pratica, secondo quanto emerge anche dalle pronunce della Corte di Cassazione, il legislatore ha previsto una condizione obiettiva di punibilità che ha lo scopo di determinare una "soglia" di rilevanza penale del fatto. In assenza della verifica della condizione anzidetta l'antigiuridicità del fatto, pur rilevante dal punto di vista delle eventuali conseguenze sanzionatorie amministrative o dei provvedimenti dell'Autorità, non assurge a fatto avente rilevanza penale.
Si tratta, come emerge anche dalla sintetica illustrazione effettuata, di una norma assai articolata che delinea un quadro probatorio complesso con la conseguenza che, pur non disponendo di statistiche precise a livello nazionale, i casi di accertamenti di responsabilità per questa fattispecie sono in verità assai rari.
Discorso diverso merita la norma relativa alla mancata adozione delle misure di sicurezza. In questo caso la legge prevede, a fronte dell'accertamento della violazione, una procedura che consente all'autore del reato, attraverso l'adempimento ad una prescrizione fornita dal Garante e il pagamento di una sanzione, di evitare i "rigori" del procedimento penale (c.d. "ravvedimento operoso"). A differenza di quanto avviene per il trattamento illecito, in materia di misure minime di sicurezza, l'Autorità dispone di alcuni dati (ciò perché, a fronte di ogni procedimento, il Garante è chiamato a fornire le dovute prescrizioni "correttive").
Per l'anno 2008 sono stati avviati ventisei procedimenti a fronte di denuncie per la mancata adozione di misure minime di sicurezza.
Occorre sottolineare che, in questo ambito, nella stragrande maggioranza dei casi, i responsabili della violazione accedono alla procedura di "ravvedimento operoso" e, pertanto, non si arriva alla formazione di un giudicato penale. Nei (rari) casi in cui la persona ritenuta responsabile non beneficia di tale opportunità ciò avviene perché essa ritiene di poter dimostrare, in sede penale, la propria completa estraneità alla violazione, fermo restando che potrà avvalersi, anche in quella sede, della possibilità di estinguere il reato per mezzo di oblazione.
Per quanto attiene alla congruità e all'efficacia delle pene e alla possibilità di introdurre forme di sanzioni alternative alle sanzioni penali (non sempre efficaci come elemento dissuasivo), il tema è molto ampio e va ben oltre il settore della protezione dei dati personali riguardando, più in generale, la necessità di un ripensamento del c.d. diritto sanzionatorio.
In termini generali, anche grazie al recente provvedimento precedentemente illustrato, il quadro dei poteri e delle sanzioni in materia appare oggi idoneo a consentire all'Autorità di contrastare eventuali condotte illecite.
Un'ultima considerazione deve essere svolta con riferimento al tema del risarcimento del danno determinatosi per effetto di un trattamento illecito di dati personali.
Bisogna tener conto che il Codice prevede che: "Chiunque cagiona danni ad altri per effetto del trattamento di dati personali è tenuto al risarcimento". Si applica, in questa materia, il regime probatorio particolarmente favorevole per l'interessato previsto dall'art. 2050 del Codice civile che comporta l'inversione dell'onere della prova; sarà il titolare del trattamento a dover dimostrare di aver adottato tutte le misure idonee a evitare che si producesse il danno denunciato dall'interessato.

Sono trascorsi dieci anni dall'entrata in vigore nel nostro ordinamento della normativa in materia di protezione dei dati personali. La prima fase di attività dell'Autorità è stata preordinata alla formazione di quella che potrebbe definirsi "cultura della privacy". Da alcuni anni, in particolare con il nuovo Collegio, è stata inaugurata una seconda fase, caratterizzata dall'impegno di "modernizzare" il settore della protezione dei dati adattandolo alle esigenze di una società in continuo cambiamento tecnologico e sociale.
Gli episodi degli ultimi anni e, in particolare, quelli correlati alle attività di dossieraggio, intercettazioni telefoniche, accesso alle Banche Dati – dalla Banca Dati di traffico telefonico a quella dell'anagrafe tributaria – dimostrano il vero ruolo di questa Autorità, chiamata a vigilare e accompagnare la crescente espansione del fenomeno del trattamento dei dati personali.
Gli individui sono inevitabilmente portati a produrre dati e questo è un fenomeno destinato a crescere in misura sempre più significativa anche attraverso l'ausilio delle moderne tecnologie che agevolano la raccolta di informazioni. Questi dati, infatti, si possono raccogliere, incrociare, trattare, conservare con estrema facilità e rapidità, perché possono essere trasferiti su supporti informatici, di norma telematici, ed elaborati con programmi che la nostra sociologia e la nostra scienza informatica tendono a moltiplicare.
Si pensi, ancora, cosa può determinare l'accesso ai dati di una cartella clinica o l'acquisizione del traffico telefonico di un individuo con la mappatura completa di tutte le sue comunicazioni.
In generale, nei rapporti tra privati deve considerarsi illecito ogni trattamento di dati che avvenga senza il consenso dell'interessato. Non è consentito, infatti, utilizzare un dato personale se il soggetto cui esso si riferisce non abbia espresso un consenso consapevole e preventivamente informato in ordine alla modalità e alla finalità del suo utilizzo.
Tale volontà viene comunemente acquisita, anche nei casi in cui il consenso non deve manifestarsi in forma scritta, mediante la c.d. "firmetta per la privacy" che, solitamente, è alla base di una informativa lunghissima, di cui spesso non si comprende il significato.
Invero, questa impostazione limita la protezione dei dati ad un fatto puramente burocratico che sostanzialmente lascia i soggetti privi di tutela. E su questo occorre svolgere un'ampia riflessione anche a fronte del nuovo quadro economico e sociale che si sta delineando.
Quanto alle campagne di informazione istituzionale va ricordata la produzione di depliant divulgativi su temi di grande rilievo, da Internet, alla videosorveglianza, alla sanità. Inoltre l'Autorità cura e realizza dal 1999 – è in preparazione la 19a edizione – un Cd rom che raccoglie la normativa nazionale e internazionale e tutti i provvedimenti del Garante. Infine, vale la pena ricordare lo spot radio televisivo realizzato nel 2003 e dedicato proprio ai danni che possono prodursi con la prassi di firmare "moduli per la privacy" senza la dovuta attenzione.
Si inizia, infatti, a comprendere che la protezione dei dati costituisce un valore essenziale e l'Autorità si sta impegnando a rendere tale consapevolezza sempre più diffusa, non solo attraverso importanti provvedimenti che hanno snellito gli adempimenti previsti per i trattamenti correlati ai rapporti tra i privati, ma anche attraverso una costante attività di informazione e numerosi eventi dedicati all'importanza della protezione dei dati, quali ad esempio quelli organizzati in occasione della giornata europea della protezione dati che quest'anno è stata dedicata ai social network.

L'innovazione tecnologica sta determinando una profonda trasformazione nella Pubblica Amministrazione. Diventa, pertanto, fondamentale prevenire una circolazione incontrollata dei dati nonché l'accesso indiscriminato da parte degli operatori.
Per quanto riguarda la vicenda legata alla diffusione in Internet dei dati delle dichiarazioni dei redditi dei contribuenti, l'Autorità, appena avuta notizia di tale diffusione, ha ritenuto, sulla base di una verifica preliminare, che essa non risultava conforme alla normativa di settore.
Con un primo provvedimento del 30 aprile 2008 il Garante ha invitato in via d'urgenza l'Agenzia delle Entrate a sospendere la diffusione dei dati in Internet e i mezzi di informazione a non divulgare i dati estratti dagli elenchi resi disponibili in Internet dall'Agenzia con le predette modalità.
Con tale provvedimento il Garante ha anche invitato l'Agenzia a fornire ulteriori chiarimenti.
Con un successivo provvedimento, emanato in data 6 maggio 2008, l'Autorità, a conferma della sospensione della pubblicazione degli elenchi nominativi per l'anno 2005 dei contribuenti che hanno presentato dichiarazioni ai fini dell'imposta sui redditi e dell'imposta sul valore aggiunto, ha disposto che l'Agenzia si astenesse dall'ulteriore pubblicazione in Internet degli elenchi dei contribuenti e ha, altresì, specificato che è ritenuta illecita anche l'eventuale ulteriore diffusione dei dati dei contribuenti da parte di chiunque li abbia acquisiti, anche indirettamente, dal sito Internet dell'Agenzia. Tale ulteriore diffusione, infatti, può esporre a conseguenze di carattere civile e penale.
Il provvedimento del Direttore dell'Agenzia poteva stabilire solo "i termini e le modalità" per la formazione degli elenchi. La conoscibilità di questi ultimi è infatti regolata direttamente da disposizione di legge che prevede, quale unica modalità, la distribuzione di tali elenchi ai soli uffici territorialmente competenti dell'Agenzia e la loro trasmissione, anche mediante supporti magnetici ovvero sistemi telematici, ai soli comuni interessati, in entrambi i casi in relazione ai soli contribuenti dell'ambito territoriale interessato. Ciò ai fini del loro deposito per la durata di un anno e della loro consultazione – senza che sia prevista la facoltà di estrarne copia – da parte di chiunque (art. 69, commi 4 ss., D.P.R. n. 600/1973 cit.; v. anche art. 66 bis D.P.R. 26 ottobre 1972, n. 633).
Il Codice dell'Amministrazione digitale, invocato dall'Agenzia a sostegno della propria scelta, incentiva l'uso delle tecnologie dell'informazione e della comunicazione nell'utilizzo dei dati delle pubbliche amministrazioni. Tuttavia, il Codice stesso fa espressamente salvi i limiti alla conoscibilità dei dati previsti da leggi e regolamenti (come avviene nel menzionato art. 69), nonché le norme e le garanzie in tema di protezione dei dati personali (artt. 2, commi 5 e 50 D.lgs. 7 marzo 2005, n. 82).
La predetta messa in circolazione in Internet dei dati, oltre a essere di per sé illegittima perché carente di una base giuridica e disposta senza metterne a conoscenza il Garante, ha comportato anche una modalità di diffusione sproporzionata in rapporto alle finalità per le quali l'attuale disciplina prevede una relativa trasparenza. I dati sono stati resi consultabili non presso ciascun ambito territoriale interessato, ma liberamente su tutto il territorio nazionale e all'estero. L'innovatività di tale modalità, emergente dalle stesse deduzioni dell'Agenzia, non traspariva dalla generica informativa resa ai contribuenti nei modelli di dichiarazione per l'anno 2005. L'Agenzia non ha previsto "filtri" nella consultazione on-line e ha reso possibile ai numerosissimi utenti del sito salvare una copia degli elenchi con funzioni di trasferimento file. La centralizzazione della consultazione a livello nazionale ha consentito ai medesimi utenti, già nel ristretto numero di ore in cui la predetta sezione del sito web è risultata consultabile, di accedere a innumerevoli dati di tutti i contribuenti, di estrarne copia, di formare archivi, modificare ed elaborare i dati stessi, di creare liste di profilazione e immettere tali informazioni in ulteriore circolazione in rete, nonché, in alcuni casi, in vendita. Con ciò ponendo anche a rischio l'esattezza dei dati e precludendo ogni possibilità di garantire che essi non siano consultabili trascorso l'anno previsto dalla menzionata norma.
Infine, l'Autorità non è stata consultata preventivamente dall'Agenzia stessa, come prescritto rispetto ai regolamenti e agli atti amministrativi attinenti alla protezione dei dati personali (art. 154, comma 4, del Codice).

Per trattamento di dati personali si intende qualsiasi operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti in particolare, la raccolta, la conservazione, l'utilizzo e la comunicazione di dati.
Senza dubbio anche l'attività della Pubblica Amministrazione correlata all'accoglimento della domanda del soggetto che esercita il diritto di accesso ai documenti amministrativi è qualificabile come un trattamento di dati, se nei documenti amministrativi sono contenuti anche informazioni di carattere personale.
In linea generale l'amministrazione può trattare i dati, senza bisogno del consenso dell'interessato, purché il trattamento sia finalizzato allo svolgimento delle proprie funzioni istituzionali. In caso contrario, il trattamento non è consentito, anche qualora vi fosse il consenso della persona cui si riferiscono i dati.
La P.A., infatti, persegue interessi e finalità istituzionali fissate dalla legge, il c.d. "fine pubblico". Pertanto, i soggetti pubblici possono effettuare solo i trattamenti di dati connessi all'esercizio delle proprie funzioni istituzionali, ovvero previsti da una norma di legge o di regolamento, se tra le operazioni di trattamento figurano la comunicazione e la diffusione dei dati a terzi.
E l'accoglimento dell'istanza di accesso a documenti amministrativi contenenti dati personali di soggetti terzi si configura tecnicamente quale comunicazione da parte della Pubblica Amministrazione al soggetto la cui posizione giuridicamente rilevante può essere tutelata attraverso la conoscenza del documento di cui richiede l'ostensione.
Con particolare riferimento ai dati sensibili, il Codice legittima la Pubblica Amministrazione al trattamento di tali dati soltanto in presenza di una puntuale disposizione di legge nella quale siano specificati i tipi di dati che possono essere trattati e le operazioni eseguibili nonché le finalità di rilevante interesse pubblico perseguite da ciascuna amministrazione. Ha altresì previsto l'obbligo, per ciascuna amministrazione, di dotarsi di un apposito regolamento per l'individuazione dei dati sensibili trattati e delle operazioni eseguibili, nei casi in cui la legge si limiti a specificare le finalità di rilevante interesse pubblico e il trattamento autorizzato risulti funzionale all'attuazione delle stesse.
Il rapporto tra l'attività della Pubblica Amministrazione e la riservatezza di terzi si è mostrato in tutta la sua complessità quando il legislatore con la legge n. 142 del 1990 e poi con la legge n. 241 del 1990 ha ribaltato l'impostazione tradizionale ancorata al segreto amministrativo, elevando il diritto di accesso e di pubblicità a regola dell'azione amministrativa e relegando il segreto al ruolo di eccezione.
In ossequio ai principi di imparzialità e buon andamento che governano l'azione amministrativa ai sensi dell'art. 97 della Costituzione, l'accesso è stato configurato come principio generale dell'attività amministrativa al fine di favorirne la partecipazione e di assicurarne la trasparenza e lo svolgimento imparziale.
Con la legge n. 675 del 1996 il diritto alla riservatezza ha trovato il suo riconoscimento formale ponendosi su un piano equiordinato rispetto alle regole sulla trasparenza amministrativa.
Pertanto, in presenza di un panorama normativo rivolto a garantire il principio di trasparenza e l'esigenza di riservatezza, la dottrina e la giurisprudenza sono intervenute al fine di individuare le modalità di coordinamento tra le due normative e tra due diritti posti a tutela di interessi contrapposti.
Il rapporto tra la normativa in materia di accesso e la normativa in materia di riservatezza si è poi arricchito a seguito dell'entrata in vigore del Codice in materia di protezione dati, introdotto con il d.lgs. n. 196 del 2003, e dell'emanazione della legge n. 15 del 2005 che, apportando significativi cambiamenti alla legge n. 241 del 1990, ha tra l'altro elevato il diritto di accesso a rango di principio generale dell'attività amministrativa.
Dalle modifiche alle disposizioni che disciplinano il diritto di accesso, emerge la volontà del legislatore di realizzare un effettivo raccordo normativo con le disposizioni contenute nel Codice in materia di protezione dati e, in particolare con gli artt. 59 e 60, al fine di definire l'operatività e i limiti del diritto di accesso, qualora la richiesta ostensiva di documenti amministrativi coinvolga anche dati personali di terzi.
In generale, il diritto di accesso tende a prevalere sul diritto alla riservatezza se i documenti di cui si richiede l'ostensione contengano dati personali comuni. In presenza di dati sensibili diversi da quelli idonei a rivelare lo stato di salute o la vita sessuale, la Pubblica Amministrazione tenuta a valutare l'interesse qualificato sotteso all'istanza di accesso, sarà chiamata, in caso di accoglimento dell'istanza, a rendere conoscibili esclusivamente i dati la cui conoscibilità può essere considerata veramente indispensabile al perseguimento delle prerogative del soggetto che si rivolge alla pubblica amministrazione.
Se, invece, la richiesta d'accesso riguarda documenti amministrativi contenenti dati personali idonei a rivelare la salute e la vita sessuale, la Pubblica Amministrazione dovrà procedere ad una ulteriore valutazione e verificare se la situazione giuridicamente rilevante che si intende tutelare con la richiesta di accesso ai documenti amministrativi sia di rango almeno pari ai diritti dell'interessato ovvero consista in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile.

www.garanteprivacy.it