La privacy in Internet
- Pubblicità in rete e privacy: le possibilità lesive di internet
Pur dimostrando grande entusiasmo per il fenomeno Internet, tutt’oggi le imprese italiane guardano ancora con diffuso scetticismo al commercio elettronico, e in parte anche alla pubblicità in rete[1].
Nonostante ciò, la dimensione di grande rilevanza ormai assunta dalla rete nel mondo dei media[2] sta portando progressivamente la pubblicità sul web ad occupare una posizione di rilievo nell’orizzonte economico internazionale. La crescita del mercato pubblicitario on line, infatti, segue l’incremento degli utenti e dei siti che compongono il mercato elettronico, ed è guidata dagli investimenti delle aziende nella rete[3].
La prospettiva della diffusione su scala globale ed i costi contenuti, specie rispetto a quelli di analoghe campagne attraverso i media tradizionali, insieme ai risultati di numerose ricerche hanno portato, nei pochi anni trascorsi dall’avvento dei primi banner, ad un progressivo sviluppo degli investimenti nel settore[4].
All’inizio, le categorie di imprenditori che investivano in pubblicità in rete erano soprattutto le aziende del settore informatico, produttori di hardware, software house e dot.com[5].
In seguito, sono arrivate anche le imprese tradizionali, specie le grandi società di telecomunicazioni, che ancora oggi sono ai primi posti nelle classifiche d’investimento in pubblicità sul web, mentre dietro di esse è aumentata notevolmente la presenza degli istituti creditizi pronti a fornire servizi finanziari in rete[6], e dei gruppi specializzati in viaggi e turismo[7].
Tuttavia, una delle questioni più complesse legate al fenomeno della pubblicità in rete è senz’altro quella della sua regolamentazione.
Sono ben note, infatti, le difficoltà legate all’assenza di normative specifiche in materia, e soprattutto all’individuazione della legge nazionale applicabile al messaggio[8].
Ciò danneggia sia i consumatori, non adeguatamente tutelati da messaggi ingannevoli o bombardamenti indesiderati, sia le imprese, che debbono muoversi in un ambito dai confini incerti.
Alla lacuna legislativa si ovvia, almeno in parte, ricorrendo ad un’applicazione estensiva delle norme sulla pubblicità in generale, e delle disposizioni che tutelano la privacy, rispetto al fenomeno dello spamming[9].
Una soluzione interessante potrebbe essere rappresentata da iniziative di autodisciplina da parte degli operatori del settore.
Al riguardo, una prima novità assai importante si è avuta con la previsione, da parte del d.lgs. 467/2001 modificativo della legge 675/1996, di un codice di deontologia e di buona condotta che regoli il trattamento dei dati personali nell’attività dei fornitori di servizi di comunicazione e informazione per via telematica[10].
Altro contributo rilevante in materia è quello recentemente pervenuto a livello comunitario dalla direttiva 2002/58/CE, che ha stabilito l’illiceità dell’invio di comunicazioni elettroniche “a fini di commercializzazione diretta” senza il preliminare consenso del destinatario.
Ciò, prevede espressamente la direttiva, anche nel caso di comunicazione via e-mail: sono dunque così superate le incertezze applicative di un’analoga disposizione già contenuta nell’art. 10 del d.lgs. 171/1998[11].
Vi è ancora da menzionare il d. lgs. n. 70 del 9 aprile 2003 (che ha recepito in Italia la direttiva 2000/31/CE sul commercio elettronico), prevedendo che le comunicazioni commerciali non sollecitate trasmesse da un prestatore per posta elettronica debbano essere identificate come tali in modo chiaro e inequivocabile fin dal momento in cui il destinatario le riceva, e contenere l’indicazione che il destinatario del messaggio possa opporsi al ricevimento in futuro di tali comunicazioni.
Per ultimo è intervenuto il codice della privacy, che ha definitivamente regolamentato la normativa[12].
- Codice della privacy: diritti e tutela dell’interessato
Tra i diritti dell’interessato, il principale è quello relativo all’ottenimento della conferma o meno dell’esistenza di dati personali che lo riguardano.
La protezione della vita privata varia in funzione dell’epoca, dell’ambiente e della società in cui l’individuo vive[13].
Oggigiorno nelle società occidentali rientrano, nella sfera dell’intimità personale, pratiche che una volta erano considerate contrarie alla morale. Nella decisione X e Y contro Olanda, la Corte europea dei diritti dell’uomo ha precisato che: “la vita privata copre l’integrità fisica e morale della persona e comprende la vita sessuale”[14].
Così il concetto di privacy è destinato a cambiare per la comparsa del nuovo mezzo di comunicazione: Internet[15].
Un utente della Rete non solo ha il diritto a che nessuno visioni i suoi messaggi, ma ha anche il diritto a che nessun estraneo si intrometta nel proprio sistema informatico.
Il personal computer è diventato uno strumento indispensabile nel lavoro, nell’educazione e nel tempo libero. Raccogliendo una quantità enorme di informazioni, il pc è una sorta di archivio di dati sul suo proprietario.
Ovviamente la riservatezza di queste informazioni è tutelata dai moderni sistemi giuridici; ove si verifichino delle intrusioni sono previste sanzioni penali.
Con la direttiva 95/46/CE relativa alla tutela delle persone riguardo al trattamento dei dati personali e alle banche dati, sono stati introdotti, a livello comunitario, alcuni importanti principi[16]: il diritto di accesso ai dati (art.12) ed il diritto di opposizione della persona interessata al trattamento dei dati in corso (art.14), limiti alla trasferimento dei dati personali verso paesi terzi che non garantiscano gli stessi livelli di tutela previsti dagli standard europei (art.25), l’istituzione di un’Autorità di controllo (art.28)[17].
In seguito, la direttiva 97/66/CE del Parlamento e del Consiglio europeo del 15 dicembre 1997 sul trattamento dei dati e sulla tutela della vita privata nel settore delle telecomunicazioni, ha esteso i principi sopra menzionati dalle banche dati ai servizi di telecomunicazione[18].
Tuttavia queste direttive necessitano di essere aggiornate alla luce delle innovazioni apportate da Internet[19], per poter compiutamente tutelare anche gli utenti del Web[20].
Poiché tramite la Rete un computer è messo on-line, cioè collegato a migliaia di altri elaboratori dati, i rischi di attacchi da parte di pirati informatici, di dispersione e divulgazione dei dati raccolti aumentano enormemente.
Infatti nel Net le trasmissioni viaggiano in entrambe le direzioni: non è possibile mandare messaggi senza riceverne.
L’aspetto più interessante e controverso è che tutti gli spostamenti all’interno del Web possono essere registrati.
Con lo sviluppo dei pagamenti elettronici e dell’informatizzazione dell’amministrazione pubblica, queste considerazioni avranno implicazioni sempre maggiori.
Si tratta di dati c.d. “sensibili”, sulla cui disponibilità molto si è discusso in dottrina[21].
La struttura del cyberspazio fa sì che se qualcuno visita una data pagina web con determinati software, e’ possibile risalire alle coordinate del computer utilizzato dall’utente[22].
Le stesse informazioni sono registrate dal server che ospita il sito in questione e dal provider che permette l’accesso al visitatore[23].
Ed infine, con piccole astuzie, un pirata informatico potrebbe intercettare questi dati.
Vi è insomma una pluralità di soggetti che, per diverse ragioni, può controllare il traffico di trasferimento dati da un hardware all’altro.
Chi si intromette illegalmente nella comunicazione, anche senza arrecare alcun danno, va incontro a responsabilità penali.
Anche il service provider e l’access provider sono tecnicamente in grado di leggere il contenuto dei messaggi trasmessi, violando la segretezza della corrispondenza elettronica; essi sono però operatori necessari della rete Internet, senza i quali la comunicazione non sarebbe neanche possibile.
Stabilire a che titolo operano questi attori e quali obblighi devono rispettare è una delle questioni più difficili da risolvere oggi per il giurista.
Un esempio interessante viene dall’esperienza inglese[24].
Qui, nel novembre 1998 l’associazione non-profit “Cyber-Rights & Cyber-Liberties”[25], formata per lo più da giuristi specializzati nel diritto di Internet, compilava una lettera, (privacy letter), destinata agli utenti di Internet. Tale lettera, successivamente inviata da ogni utente al proprio Internet Service Provider (ISP), mirava a mettere quest’ultimo a conoscenza degli obblighi che, in base alle leggi del Regno Unito, doveva rispettare per non violare la privacy dei suoi clienti.
In seguito, l’esperimento di Cyber-Rights fu ripreso dal governo inglese; tali proposte arrivarono al Consiglio d’Europa che, nel Febbraio 1999, adottò la raccomandazione n. R5 (99) detta “per la protezione della privacy su Internet”[26].
In base a questo documento, gli ISP vengono messi in guardia per l’uso che fanno dei dati raccolti: Service provider e Access provider, ma tutti gli operatori Internet in generale, si dovrebbero comportare come degli impiegati pubblici o di banca che in ragione del loro ufficio vengono a conoscenza di informazioni riservate e non hanno il diritto di divulgarle o utilizzarle.
Spetta però ai consumatori verificare e chiedere la modifica dei dati errati.
La Corte europea dei diritti dell’uomo, pur non avendo ancora mai affrontato il problema del rispetto della vita privata con riferimento ad Internet, si è tuttavia spesso pronunciata in casi che, per analogia, possono essere associati alla realtà del nuovo media.
Riguardo alle intrusioni nelle altrui comunicazioni, la Corte ha stabilito che il segreto delle opinioni private è tutelato anche contro le intercettazioni telefoniche fatte illegittimamente dagli organi di giustizia, come nel caso di ascolto da parte di ufficiali della polizia di telefonate degli indiziati nel caso Malone[27].
Se rispetto è accordato al domicilio[28], così come ai locali dove si svolge la professione[29], va da sé che tale protezione vada estesa al “luogo” dove i dati e le informazioni vengono archiviati, cioè il computer, anche se è un portatile e viene consultato all’aria aperta di un parco[30].
2.1 L’informativa
Il diritto ad avere informazioni in ordine al trattamento appare fisiologicamente correlato all’esercizio del consenso, il quale può essere anche prestato solamente per talune o per tutte le operazioni di trattamento; in ogni caso questo è da ritenersi validamente prestato solo se “espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all’interessato le informazioni di cui all’articolo 13”[31].
Pertanto l’informativa è in primo luogo funzionalmente legata alla prestazione di un consenso pieno, consapevole ed informato da parte dell’interessato, il quale, sulla scorta delle informazioni ricevute, potrebbe decidere di non comunicare i propri dati personali o di selezionare quelli che intende far trattare[32].
Per altro verso, la medesima consente all’interessato la verifica in ordine al rispetto di quanto in essa indicato dal titolare e di esercitare i diritti di cui all’art. 7 del codice, ivi compreso il diritto di correzione, di opposizione e di cancellazione, ricorrendone i presupposti.
L’informativa[33] assolve inoltre all’importante funzione, questa volta apprezzabile sul piano giuspubblicistico, di veicolare i principi ed i diritti contemplati nella disciplina dettata in materia di protezione di dati personali.
Un’ulteriore funzione sembra invece possa essere rinvenuta con riguardo al regime di responsabilità civile, in connessione con il principio di liceità e correttezza, nonché al principio di finalità.
È sulla base delle informazioni rese all’interessato ai sensi dell’art. 13, comma 1, del codice, infatti, che si può evincere, in primis, se siano stati rispettati o meno i requisiti di corrispondenza, pertinenza, aggiornamento, completezza, ecc., con effetto diretto sulla portata applicativa delle disposizioni previste in materia di illecito aquiliano ex art. 15, comma 1 e 2, ed ex art. 11, del codice.
L’informativa, lo si evince sin dall’apertura della disposizione, deve essere rilasciata all’ ”interessato” oppure alla “persona presso la quale sono raccolti i dati personali”, con una formulazione che alimenta perplessità interpretative là dove i soggetti destinatari dell’informativa medesima sono stati individuati alternativamente e non cumulativamente[34]. Tuttavia, una lettura più accorta dell’impianto normativo non esclude l’interessato quale soggetto destinatario degli obblighi informativi, dal momento che l’art. 13, comma 4, del codice prevede espressamente che “Se i dati personali non sono raccolti presso l’interessato, l’informativa di cui al comma 1, comprensiva delle categorie di dati trattati, è data al medesimo interessato all’atto della registrazione dei dati o, quando è prevista la loro comunicazione, non oltre la prima comunicazione”[35].
Fanno eccezione le ipotesi contemplate ai sensi del successivo comma 5, in forza del quale “La disposizione di cui al comma 4 non si applica quando: a) i dati sono trattati in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria; b) i dati sono trattati ai fini dello svolgimento delle investigazioni difensive di cui alla l. 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento; c) l’informativa all’interessato comporta un impiego di mezzi che il Garante, prescrivendo eventuali misure appropriate, dichiari manifestamente sproporzionati rispetto al diritto tutelato, ovvero si riveli, a giudizio del Garante, impossibile”[36].
Quando i dati sono raccolti presso un soggetto terzo, una prima informativa deve essere resa a quest’ultimo “previamente” alla raccolta dei dati medesimi.
Inoltre deve essere resa una seconda informativa al soggetto interessato, ma solamente in un momento “successivo”, così come individuato dal comma 4.
Se tale è il regime generalmente applicabile, quale previsto dall’ art. 13, comma 1 e 4, del codice, il discorso presenta talune complicazioni allorché si entri nel regime di eccezione di cui al successivo comma 5.
In esso, infatti, il legislatore ha fatto esclusivo riferimento alla sola seconda informativa (quella da rendere al soggetto interessato, in un momento successivo rispetto alla raccolta dei dati).
È invece stata completamente omessa ogni considerazione in ordine alla prima informativa (quella da rendere al soggetto terzo, previamente alla raccolta dei dati).
Quando il legislatore ha voluto esonerare il titolare del trattamento dall’ obbligo dell’informativa “preventiva” di cui all’art. 13, comma 1, del codice, da rendere al soggetto terzo qualora la raccolta dei dati non avvenga direttamente presso l’interessato, vi ha provveduto espressamente, così come è avvenuto ex art. 13, comma 2, del codice, ove viene stabilito che “l’informativa di cui al comma 1 può non comprendere gli elementi già noti alla persona che fornisce i dati o la cui conoscenza può ostacolare in concreto l’espletamento, da parte di un soggetto pubblico, di funzioni ispettive o di controllo svolte per finalità di difesa o sicurezza dello Stato oppure di prevenzione, accertamento o repressione di reati”[37].
Allo stesso modo, se il legislatore avesse voluto riferire le eccezioni di cui al comma 5 anche all’informativa “preventiva”, avrebbe potuto richiamare il comma 1, anziché il comma 4.
La differente scelta normativa è dunque da apprezzare nel senso che l’unica informativa che si è esentati dall’inviare, in forza del disposto dell’art. 13, comma 5, lett. a, b e c, è l’informativa da rendere all’interessato successivamente alla raccolta, facendo salvo l’obbligo di informare il soggetto terzo (previamente alla raccolta).
Un’incongruenza sistematica, però, emerge comunque.
Infatti, la raccolta effettuata presso soggetti terzi, allorché avvenga mediante una comunicazione di questi ultimi al titolare del trattamento, implicherebbe che i medesimi si premuniscano del consenso dell’interessato, salvi i casi di esclusione, e che comunque, ancor prima, provvedano a fornire a loro volta l’informativa al soggetto interessato.
Per altro verso deve osservarsi che le eccezioni di cui all’art. 13, comma 5, sopra segnalate trovano applicazione solamente con riferimento a quei trattamenti i cui dati vengono raccolti presso soggetti terzi.
Viceversa, qualora la raccolta avvenga presso il soggetto interessato, l’informativa è a questi dovuta anche ove ricorrano le ipotesi esplicitamente previste ex art. 13, comma 5, letto a, b e c, del codice.
L’informativa preventiva, da conferire all’interessato o al soggetto terzo presso cui i dati sono raccolti, può essere rilasciata pertanto in forma abbreviata non solo nelle ipotesi contemplate nel già richiamato art. 13, comma 2, del codice, ma anche nelle fattispecie individuate nel successivo comma 3, ove viene statuito, innovando rispetto al previgente testo legislativo, che “il Garante può individuare con proprio provvedimento modalità semplificate per l’informativa fornita in particolare da servizi telefonici di assistenza e informazione al pubblico”[38].
L’argomento risulta per la verità connesso a quello concernente gli aspetti formali dell’informativa.
Com’è noto, infatti, nell’originaria previsione della l. 675/1996 la stessa poteva essere comunicata solamente in forma scritta, per presunte esigenze di maggior tutela dell’interessato, rendendo pertanto non conforme al dettato normativo una informativa resa per telefono[39].
Tuttavia si è obiettato che non sempre, per la verità, la forma scritta si traduce in un vantaggio per l’interessato, in quanto le spiegazioni fornite oralmente, con possibilità di interazioni e richiesta di delucidazioni, potrebbero risultare più utili delle indicazioni racchiuse in un modulo che si finirebbe per leggere a posteriori.
Il testo in commento, tuttavia, transita dall’argomento formale a quello sostanziale, giacché le “modalità semplificate” a cui fa riferimento la norma in esame non possono non riguardare il contenuto dell’informativa, essendo impensabile una semplificazione formale maggiore rispetto alla modalità orale di comunicazione già ammessa dal dettato di cui all’art. 13, comma 1, del codice.
Si tratta, dunque, di una semplificazione volta alla riduzione dei contenuti da comunicare pur sempre in forma orale, in forza di un precetto che pare dettato dall’opportunità di assecondare le esigenze di speditezza dei rapporti commerciali, anche a discapito del livello complessivo di tutela per l’interessato nella materia ad esame.
Per espressa previsione legislativa di cui all’art. 13, comma 1, del codice (e fatte salve le eccezioni sopra evidenziate), l’informativa deve avvenire previamente alla raccolta dei dati, considerata come fase iniziale del trattamento, e deve indicare: a) le finalità e le modalità del trattamento cui sono destinati i dati; b) la natura obbligatoria o facoltativa del conferimento dei dati; c) le conseguenze di un eventuale rifiuto di rispondere; d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l’ambito di diffusione dei dati medesimi; e) i diritti di cui all’ articolo 7; f) gli estremi identificativi del titolare e, se designati, del rappresentante nel territorio dello Stato ai sensi dell’articolo 5 e del responsabile.
Quando il titolare ha designato più responsabili è indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l’elenco aggiornato dei responsabili.
Quando è stato designato un responsabile per il riscontro all’interessato in caso di esercizio dei diritti di cui all’articolo 7, è indicato tale responsabile.
La dottrina[40], sempre a questo riguardo, ha quindi cercato di porre in luce quali siano gli aspetti più strettamente legati all’interazione tra la riservatezza ed il commercio elettronico, arrivando, nell’esame della casistica concreta, a porre in luce le medesime conclusioni finora ipotizzate nella teoria.
Un caso di rilievo in tal senso è quello del trattamento di dati personali finalizzata allo sviluppo di campagne elettorali, che, come si vedrà più avanti, è stata oggetto di interesse anche dell’autorità garante per i dati personali.
2.2 Il consenso
L’art. 11 della l. 675/1996 ha introdotto sin dall’origine il principio del consenso, poi inserito nell’attuale art. 23 del codice, secondo il cui comma 1 “il trattamento dei dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell’interessato”.
L’art. 23 comma 2, analogamente al disposto dell’art. 11 comma 2 della l. 675/1996, precisa che “il consenso può riguardare l’intero trattamento ovvero una o più operazioni dello stesso”, così riconoscendo espressamente il diritto dell’interessato di optare tra la possibilità di acconsentire all’intero complesso di operazioni che costituiscono il “trattamento”, oppure all’esecuzione di una o più tra le medesime.
La finalità della norma è chiaramente quella di consentire all’interessato di evitare l’esecuzione di operazioni che egli ritenga maggiormente lesive dei propri diritti fondamentali, pur acconsentendo alle operazioni residue, magari essenziali per l’esecuzione di un contratto o di una clausola dello stesso[41].
Inoltre l’art. 23 comma 3 individua i requisiti di validità del consenso, precisando che lo stesso “è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un trattamento chiaramente individuato, se è documentato per iscritto, e se sono state rese all’interessato le informazioni di cui all’art. 13”.
L’obbligo per il titolare di fornire l’informativa prima di raccogliere il consenso[42] è senza dubbio finalizzato a garantire il controllo sotteso all’essenza del diritto alla privacy.
Di certo non potrebbe ritenersi il consenso espressione della libertà del soggetto e, soprattutto, di libertà consapevole, qualora quest’ultimo non sia a conoscenza dei requisiti fondamentali del trattamento[43].
Sul punto occorre considerare che il codice richiede la previa informativa per la “validità” del consenso; con ciò l’eventuale omissione dell’obbligo di “previa informativa” renderebbe il consenso nullo e, quindi, illegittime le operazioni eseguite sulla base dello stesso.
La libertà di cui all’ art. 23 è finalizzata ad imporre la prestazione di un consenso alieno da vizi, per ciò estraneo a qualsiasi coartazione o falsa rappresentazione della volontà. In questi termini, pertanto, al momento della prestazione, la volontà dell’interessato deve essere manifestata in assenza di dolo, violenza, errore, o incapacità, anche solo temporanea e non manifesta al titolare.
Alla luce della particolarità dei diritti che la normativa mira a proteggere, chi scrive ritiene che il consenso debba ritenersi viziato anche da semplici pressioni e, addirittura, dal mero timore riverenziale[44].
L’art. 23 comma 3 richiede inoltre che il consenso debba essere prestato “specificamente”, precisando, rispetto all’originario art. 11 comma 3 della l. 675/1996, che tale specificità debba essere formulata “in riferimento ad un trattamento chiaramente individuato”.
Con ciò la norma in analisi toglie ogni dubbio al significato del precedente inciso “in forma specifica”, per il quale ci si era chiesti se riguardasse la sottoscrizione di una specifica clausola contrattuale o se, invece, doveva riguardare uno specifico trattamento[45].
In questo senso, pertanto, la soluzione adottata dal legislatore delegato del 2003 risolve la questione evidenziando che la specificità del consenso deve riguardare un preciso contesto e, quindi, uno specifico trattamento.
Per logica conseguenza appare evidente che il consenso stesso debba essere prestato a favore di uno o più titolari, anch’essi individuati[46].
L’art. 23 comma 1 richiede inoltre, preventivando i requisiti di validità richiesti dal successivo comma 3, che il consenso sia “espresso”. In questi termini il consenso non può quindi desumersi da fatti concludenti.
Lo stesso Garante, sul punto, era già intervenuto a specificare che non è consentita l’espressione del consenso “in negativo”[47], con ciò impedendo quella prassi commerciale che richiedeva la necessità di esprimere la propria contrarietà al trattamento (mediante selezione di una apposta casella).
Secondo l’Autorità indipendente, infatti, la clausola legislativa dell’abrogato art. 11 comma 1 (ora art. 23 comma 1), analogamente al disposto comunitario che richiede la prestazione del consenso “in maniera inequivocabile” (art. 7 direttiva 95/46/CE), renderebbe illegittimo il trattamento eseguito sulla base di un “consenso presunto”.
Nelle ipotesi in cui, invece, il trattamento abbia ad oggetto dati sensibili, la forma richiesta rappresenta una condizione di validità, tanto che il consenso reso successivamente all’inizio del trattamento non ne sana l’invalidità per il periodo intermedio[48].
Il consenso, nelle sue varie manifestazioni, è un atto unilaterale. Si esclude, pertanto, che possa considerarsi perfezionato con l’incontro della volontà di più parti[49].
Il consenso di cui all’art. 23 è pertanto un atto unilaterale recettizio non avente contenuto patrimoniale, massima espressione del controllo dell’interessato della circolazione dei propri dati personali[50], assoggettato ai principi generali che governano i diritti della personalità.
In considerazione della particolare funzione del consenso, pare essenziale accertare l’età a partire dalla quale l’interessato può prestarlo.
In mancanza di espressa disposizione di legge viene a rilievo l’art. 2 codice civile, in base al quale “con la maggiore età si acquista la capacità di compiere tutti gli atti per i quali non sia stabilita una età diversa”; il consenso al trattamento dei propri dati personali può quindi essere prestato dopo il compimento della maggiore età e, comunque, dopo che sia stata acquisita la capacità di agire[51].
La legge, inoltre, in materia di consenso, non disciplina né la revoca né il recesso.
Nonostante ciò, tale possibilità deve essere riconosciuta alla luce della natura personalissima dei diritti tutelati e richiamati dall’art. 2 del codice e, soprattutto, in virtù dei valori espressi dagli artt. 2 e 3 cost. .
In mancanza di un contenuto meramente patrimoniale dell’interesse protetto, non può dirsi che il consenso provochi effetti estintivi o traslativi del diritto; così come non può ritenersi che esso costituisca a favore del titolare il diritto di compiere azioni lesive.
Il consenso, infatti, si esaurisce nella condotta consentita, che non diventa lecita ma esime il titolare medesimo da responsabilità.
Da quanto esposto ne deriva la revocabilità ad nutum del consenso salvo, eventualmente, l’obbligo di risarcire i danni provocati nel caso in cui la revoca, priva di giusta causa, abbia arrecato danni al titolare che abbia fatto legittimo affidamento sul consenso.
Tale revocabilità, tuttavia, non può essere manifestata qualora il trattamento sia effettuato sulla base delle clausole di esonero del consenso ex art. 24 del codice; nel qual caso si potrebbe parlare solo di “opposizione”.
Tornando brevemente all’aspetto riguardante la casistica concreta dell’interazione tra privacy e commercio elettronico, ed avendo a riguardo quanto già specificato nel precedente paragrafo (ovvero la necessità, ribadita dalla dottrina, di frapporre un’informativa cui sia seguito uno specifico consenso, perché le proprie informazioni possano essere legittimamente trattate) non potranno che raggiungersi le medesime conclusioni anche a questo riguardo[52].
2.3 I dati personali oggetto di trattamento
La disposizione di cui all’art. 1 così recita: “chiunque ha diritto alla protezione dei dati personali che lo riguardano”.
Esso riproduce esattamente la disposizione contenuta nell’art. 8 della Carta di Nizza, di cui alla nota 26 del primo capitolo.
Va subito chiarito che l’espressione “diritto alla protezione dei dati personali” non vuol significare che il soggetto ha un diritto dominicale sui dati che lo riguardano; il che comporterebbe una forma di tutela modellata sullo schema proprietario.
Né, tanto meno, vuol significare “diritto alla tutela dei propri dati personali”[53].
Questi, invece, possono essere esercitati quando sia in atto un procedimento di “trattamento” a prescindere dal solenne riconoscimento di cui all’art. 1, e solo per il fatto che tali diritti (che poi sono dei rimedi azionabili con il verificarsi della lesione) sono previsti dalla legge, come peraltro già avveniva prima dell’ approvazione del testo unico.
Dall’ ottica della tutela occorre osservare che l’inserimento nel “codice” di tale “nuovo diritto” sembra contrastare quelle dottrine che, per quanto concerne i diritti della personalità, sostenevano l’inutilità di procedere secondo lo schema del diritto soggettivo, dato che la tutela della persona umana avrebbe un carattere oggettivo, nel senso che essa sarebbe attuata e predefinita dall’ordinamento indipendentemente dal potere del soggetto interessato; mentre l’espresso riconoscimento del diritto come diritto fondamentale avrebbe, invece, confermato tale impostazione relativamente al modello di tutela che esso postula, ossia quello proprio dei diritti della persona e non quello di tipo dominicale.
Attraverso il controllo dei dati che riguardano la persona, l’interessato può scegliere il riserbo (negando il consenso) oppure instaurare rapporti sociali, nei limiti in cui egli vuole che ciò accada.
Sicché, a questo punto, si rivelano sterili anche le discussioni se la legge sulla privacy riguardi la persona o i dati personali, essendo evidente, anche dall’intitolazione della stessa, che essa disciplina il procedimento del trattamento dei “dati personali”. Solamente che la specificità di “questo oggetto” della disciplina rimanda inevitabilmente alla persona.
Pertanto è anche una legge sui diritti della personalità, alcuni dei quali ricevono peraltro per la prima volta una menzione nel diritto positivo.
La specificità è data dal fatto che le informazioni personali non sono assimilabili alle cose del mondo fisico diverse dalla persona.
Il riconoscimento del diritto a proteggere i dati che riguardano la persona non si traduce in un’affermazione della titolarità proprietaria dei dati in capo al soggetto, che viene invece risolta dal legislatore con il meccanismo della generale necessità del consenso, quando lo stesso ordinamento non consente di prescinderne in ragione di una valutazione diversa, dove viene preventivamente data prevalenza al “potere informativo” degli altri soggetti dell’ordinamento, oppure quando la norma consenta di valutare caso per caso a quale degli interessi collidenti dare la prevalenza, facendo intervenire il Garante.
Tuttavia il riconoscimento del diritto di protezione dei propri dati consente effettivamente di ritenere che “è nata una nuova concezione integrale della persona, alla cui proiezione nel mondo corrisponde il forte diritto di non perdere mai il potere di mantenere il pieno controllo sul proprio corpo elettronico”, distribuito in molteplici banche dati, nei luoghi più diversi.
Un diritto che si caratterizza come componente essenziale della nuova cittadinanza, da intendere come il fascio di poteri e doveri che appartengono ad ogni persona, e non più come il segno d’un legame territoriale o di sangue[54].
Relativamente al rapporto tra l’art. 1 del “codice” e i “diritti dell’interessato”, va ribadito che il primo non è la sintesi dei secondi: l’interessato, dunque, eserciterà normalmente quei diritti, definiti anche “di partecipazione”, ma accanto ad essi potrà azionare tutti gli altri strumenti di carattere generale che l’ordinamento pone a protezione della persona in quanto tale. Si può concludere che, mentre sicuramente la protezione di maggior rilievo che il soggetto può realizzare è quella che si sostanzia nei “diritti dell’interessato” di cui agli artt. 7 e 8 del codice, tutelabili sia nello svolgimento del procedimento del trattamento sia nella eventuale sede di tutela amministrativa o giudiziale, è anche vero che gli altri strumenti di tutela generale della persona, quando hanno ad oggetto dati personali, in quanto sono stati il mezzo per ledere taluno dei diritti fondamentali della persona, possono essere ricondotti al “nuovo diritto” di cui all’ art. 1 del codice.
Quali sono allora i dati che, in concreto, nelle pratiche connesse al commercio elettronico, potranno essere oggetto di trattamento? Ovviamente i dati personali che non siano stati preventivamente comunicati al soggetto che, nella più ampia accezione del termine, si appresti a farne un uso commerciale per il mezzo di internet o di altri strumenti di informativa elettronica. Varranno allora anche sms, mms o strumenti analoghi, e si considereranno forme di commercializzazione tutte quelle in grado di operare una forma di trattazione pervasiva delle informazioni personali del soggetto non consenziente[55].
2.4 L’uso scorretto dei dati
Riprendendo le conclusioni ora concluse, è ovvio che la commercializzazione in tanto sarà da ritenersi scorretta in quanto la si sarà realizzata per mezzo di un uso scorretto dei dati a disposizione del soggetto che invia le informazioni. Tale sarà ovviamente quell’informazione commerciale che abbia omesso di registrare il consenso (e, ancora prima, di fornire adeguata informativa) e che dunque si sarà posta in funzione non di adeguamento alle esigenze del destinatario, ma nel senso di invaderne la sfera personale[56].
Ciò premesso, e ad ulteriore specificazione, può dirsi che a conclusione del Capo dedicato alle norme generali applicabili a tutti i trattamenti di dati personali l’art. 17 del codice, rubricato “Trattamento che presenta rischi specifici”, ai sensi del cui primo comma “Il trattamento dei dati diversi da quelli sensibili e giudiziari che presenta rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell’interessato, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare, è ammesso nel rispetto di misure ed accorgimenti a garanzia dell’interessato, ove prescritti”.
La disposizione, riferibile astrattamente a tutti i dati personali, come suggerisce la sua collocazione sistematica, conferma il generale concetto di pericolosità del trattamento, che viene ad acuirsi in ipotesi particolari.
La profilazione dei gusti e delle preferenze dell’interessato, sulla base dei dati raccolti e delle scelte da questi effettuate, è in grado di incidere sui diritti fondamentali tutelati dall’intero impianto normativo ora coordinato nel codice.
La specificità del rischio è da valutare, con riguardo a diversi possibili parametri.
In primo luogo essa va stimata in relazione alla natura dei dati, anche se, in apertura del dettato normativo ora in esame, il precetto non trova applicazione per quei trattamenti aventi ad oggetto dati sensibili o giudiziari.
La ragione dell’ esclusione non può essere individuata nell’assenza di rischi (specifici) per tali tipologie di trattamenti o di dati, bensì nella circostanza che i trattamenti concernenti dati sensibili e giudiziari sono già stati presi in considerazione con particolari misure volte ad innalzare i livelli di protezione in favore dell’interessato.
Il secondo parametro utilizzabile per valutare la presenza di rischi specifici concerne le modalità del trattamento.
Il terzo, invece, richiede che vengano considerati i possibili effetti che possono scaturire dal trattamento[57].
Il precetto acquista importanza anche per la valutazione circa la generale o specifica pericolosità del trattamento, in quanto esplicitamente il bene a rischio non viene individuato nella incolumità fisica, della quale si temerebbe la lesione, bensì va ravvisato in tutti i diritti e le libertà fondamentali, anche diverse dal diritto alla salute, nonché, per espressa previsione normativa dell’art. 17, comma 1, del codice, nella dignità dell’interessato.
Ciò ha delle ripercussioni anche sull’interpretazione del regime speciale di responsabilità di cui all’art. 15 del codice, stante il richiamo esplicito all’art. 2050 codice civile.
Da autorevole dottrina, infatti, ancor prima dell’emanazione della l. 675/1996, è stato negato con forza il carattere di pericolosità dell’attività di trattamento, ancorché effettuato con l’utilizzo di strumenti informatici, in quanto la pericolosità non sarebbe da riferire all’uso informativo del computer, ma all’uso cibernetico[58].
Tuttavia, si è replicato[59] che il concetto moderno di pericolosità include anche quelle attività che, pur non ponendo in pericolo l’incolumità fisica degli individui, incidono sulla loro personalità.
La dizione letterale dell’ art. 17, comma 1, del codice conferma tale assunto, ponendo in evidenza come i rischi di lesione ai diritti, alle libertà fondamentali dell’interessato o alla sua dignità possano derivare anche per effetto del trattamento, secondo una relazione causale espressamente considerata dalla legge ai fini della valutazione della specificità del rischio.
Quest’ultima, infatti, deve essere indagata in relazione alle modalità del trattamento o agli effetti che può determinare.
La norma però presenta una formulazione non felice nella parte in cui dispone che il trattamento connotato da rischi specifici è ammesso nel rispetto di misure ed accorgimenti a garanzia dell’interessato, ove prescritti.
Infatti, qualora le misure e gli accorgimenti non vengano individuati espressamente ai sensi del successivo comma 2[60], si potrebbe mettere in dubbio se il trattamento possa ritenersi ammesso o no, ai sensi del comma 1.
Ove non siano rese le misure o gli accorgimenti de quibus, ovvero nell’attesa della loro emanazione, il trattamento, ancorché connotato da rischi specifici, sarà da ritenersi comunque ammissibile, ma in ogni caso soggetto alle disposizioni dell’intero impianto normativo, tra le quali, in primis, quelle che impongono l’adozione di misure di sicurezza, nonché quelle relative al risarcimento del danno da trattamento illecito, tutte da apprezzare con il massimo rigore.
2.5 I rischi
Nel codice è stata individuata espressamente un’ipotesi tipica di trattamento da rischi specifici.
Si osserva, infatti, che l’art. 17 è stato fatto oggetto di esplicito rinvio dal già commentato art. 14, comma 2.
Pertanto, una prima tipizzazione del trattamento connotato da rischi specifici è stata espressamente indicata dal legislatore proprio con riferimento alle decisioni automatizzate, la cui rilevanza acquista spessore soprattutto con riguardo all’uso di strumenti informatici di intelligenza artificiale.
Va evidenziato che l’art. 14, comma 2, del codice afferma che il diritto di opposizione dell’interessato per i trattamenti di dati personali determinativi della sua personalità o individuativi del profilo dei suoi gusti o delle sue scelte non può essere esercitato qualora le determinazioni basate sui predetti trattamenti vengano adottate in occasione della conclusione o dell’ esecuzione di un contratto, in accoglimento di una proposta dell’interessato o sulla base di adeguate garanzie individuate dal presente codice o da un provvedimento del Garante ai sensi dell’articolo 17.
Per i trattamenti connotati da rischi specifici, dunque, l’emanazione, da parte del Garante, del provvedimento volto ad individuare misure ed accorgimenti appositi, ai sensi dell’art. 17, sterilizza il diritto di opposizione da parte dell’interessato, fermo restando l’esercizio degli altri diritti.
Il medesimo discorso è da farsi nell’ipotesi in cui vengano utilizzati per la conclusione del contratto strumenti informatici basati su trattamenti di dati automatizzati, in grado di effettuare la profilazione dell’interessato o di individuare la sua personalità[61].
Il diritto di opposizione è precluso non solo quando l’agente venga utilizzato come strumento di determinazione delle decisioni volte alla conclusione del contratto, ma anche qualora la determinazione venga effettuata sulla base di un contratto e di esso ne costituisca l’esecuzione[62].
Ovviamente, se quelli evidenziati sono gli elementi di maggiore rischio, è appena il caso di aggiungere che la materia del commercio elettronico si presta ad accogliere tutti questi elementi assieme, proprio perché in essa sono presenti tutte le premesse per realizzare l’indebito trattamento di informazioni personali riservate.
Anche qui è probabilmente significativo, per dare una visione di come materialmente vengano utilizzate queste informazioni (e del perché, allora, si parli di rischio e violazione dei dati), rifarsi all’esempio degli internet provider. Il rapporto che si viene a creare tra i titolari di informazioni ed i proprietari dello spazio sul web è un rapporto a serio rischio, perché l’insieme delle informazioni disponibili è estremamente delicata, tale da incidere notevolmente sulla sfera personale, se non adeguatamente verificata[63].
2.6 Tutela dell’interessato
Si è allora parlato di indice di rischio nel trattamento commerciale dei dati e si sono forniti alcuni elementi pratici per meglio comprendere in quali circostanze, ed a quali condizioni, la tutela dell’interessato determini la presenza di un rischio di ingerenza, e sia dunque di interesse del codice della privacy.
Si vedrà poco oltre quali sono le posizioni assunte dal Garante della privacy (cui il codice rimanda direttamente), con riferimento alle considerazioni generali e con riguardo anche ad una serie di casi concreti più specifici, quello che qui pone invece porre in evidenza è, al di là delle pur necessarie valutazioni di ordine pratico, che ovviamente il ruolo del codice sulla privacy si incentra proprio sulla tutela dell’interessato[64].
Il codice della privacy prevede infatti che l’interessato, al fine di tutelare i propri diritti, possa rivolgersi al Garante per la protezione dei dati personali o, in alternativa, al giudice ordinario.
I diritti della personalità hanno bisogno di una tutela giurisdizionale che si esplichi con urgenza.
Purtroppo, però, i tempi necessari all’emanazione di una sentenza esecutiva, al termine di un processo a cognizione piena, sono molto lunghi ed accrescono un pregiudizio che non può essere riparato in modo adeguato attraverso un equivalente in denaro, il più delle volte riconosciuto a distanza di anni dalla violazione[65].
Finalmente, con il codice della privacy, si assiste al superamento dello schema di tutela dei diritti alla riservatezza e all’identità personale, imperniato solamente sulla repressione dei comportamenti illeciti attraverso gli ordinari strumenti giurisdizionali, a favore di forme differenziate e progressive di tutela, anche cautelare.
In una prima fase, è concesso all’interessato di esercitare i diritti di accesso ai propri dati, di rettifica degli stessi, di chiederne la cancellazione, la trasformazione in forma anonima, il blocco qualora i dati siano stati trattati in violazione di legge, ecc., direttamente nei confronti dei soggetti che trattano i dati a lui riferibili.
In questo modo si innesca un primo meccanismo che è collegato all’obbligo di informativa da parte del titolare e del responsabile del trattamento, i quali devono attivarsi anche per soddisfare le richieste dell’interessato.
Se poi l’interessato non vede soddisfatte le sue richieste, la tutela dell’effettività delle situazioni giuridiche può spostarsi nella sede giurisdizionale o in quella amministrativa, attraverso il ricorso al Garante; quest’ultima comporta una tutela inibitoria specifica, urgente e se necessario anteriore alla violazione del diritto[66].
L’istituzione e i poteri del Garante rappresentano una novità assoluta nella tutela dei dati personali, affidata, fino a questo momento, alla sola garanzia giurisdizionale del risarcimento del danno alla riservatezza e, sotto il profilo penale, limitata alla punibilità di alcune fattispecie.
Dal momento poi che il procedimento davanti al Garante, sebbene di natura amministrativa, presuppone un’istruttoria approfondita condotta nella pienezza del contraddittorio, il legislatore ha voluto semplificare l’ulteriore fase giurisdizionale davanti al tribunale, prevedendo, come obbligatorio, il rito camerale, disciplinato dagli articoli 737 e seguenti del codice di procedura civile.
L’interessato, in alternativa all’azione davanti al Garante, può tra l’altro sempre agire davanti all’autorità giudiziaria ordinaria, con l’osservanza delle regole del codice di procedura civile.
- Forme di tutela dinanzi al Garante
L’art. 141 del testo unico, nell’enunciare le forme di tutela disponibili dinanzi al Garante, prevede che l’interessato possa rivolgersi all’Autorità: a) mediante reclamo circostanziato (nei modi previsti dall’art. 142), al fine di rappresentare una violazione della disciplina rilevante in materia di trattamento di dati personali; b) mediante segnalazione, qualora non sia possibile presentare il reclamo circostanziato di cui sopra, al fine di sollecitare un controllo da parte del Garante sulla disciplina medesima; c) mediante ricorso, qualora intenda far valere gli specifici diritti di cui all’art. 7 secondo le modalità e conseguire gli effetti previsti dagli artt. 145-151.
Il reclamo deve contenere un’indicazione per quanto possibile dettagliata dei fatti e delle circostanze su cui si fonda, delle disposizioni che si presumono violate e delle misure richieste, nonché gli estremi identificativi del titolare, del responsabile, ove conosciuto, e dell’istante (art. 142)[67].
Secondo quanto disposto dall’art. 145 del codice, i diritti di cui all’art. 7 del testo unico, esaminati nel capitolo 2, possono essere fatti valere dinanzi all’autorità giudiziaria o con ricorso al Garante.
Il ricorso al Garante non può essere proposto qualora, per il medesimo oggetto e tra le stesse parti, sia stata già adita l’autorità giudiziaria.
La presentazione del ricorso al Garante rende improponibile un’ulteriore domanda dinanzi all’autorità giudiziaria tra le stesse parti e per il medesimo oggetto.
L’art. 146 (“Interpello preventivo”) prescrive che, salvi i casi in cui il decorso del termine esporrebbe taluno a pregiudizio imminente ed irreparabile, il ricorso al Garante possa essere proposto solo dopo che sia stata avanzata richiesta sul medesimo oggetto al titolare o al responsabile ai sensi dell’art. 8, comma 1, e siano decorsi i termini previsti dall’articolo ora in esame, di cui appresso, ovvero sia stato opposto alla richiesta un diniego anche parziale[68].
In base al secondo comma della disposizione, il riscontro alla richiesta da parte del titolare o del responsabile deve essere fornito entro quindici giorni dal suo ricevimento.
Entro detto termine, se le operazioni necessarie per un integrale riscontro alla richiesta sono di particolare complessità, ovvero ricorre altro giustificato motivo, il titolare o il responsabile devono darne comunicazione all’interessato. In tal caso, il termine per l’integrale riscontro è di trenta giorni dal ricevimento della richiesta medesima.
Il ricorso è proposto nei confronti del titolare del trattamento e deve indicare (art. 147): a) gli estremi identificativi del ricorrente, dell’eventuale procuratore speciale, del titolare e, ove conosciuto, del responsabile eventualmente designato per il riscontro all’interessato in caso di esercizio dei diritti di cui all’art. 7; b) la data della richiesta presentata al titolare o al responsabile ai sensi dell’art. 8, comma 1, oppure il pregiudizio imminente ed irreparabile che permette di prescindere dalla richiesta medesima; c) gli elementi posti a fondamento della domanda; d) il provvedimento richiesto al Garante; e) il domicilio eletto ai fini del procedimento.
Il ricorso, sottoscritto dal ricorrente o dal procuratore speciale, reca in allegato: a) la copia della richiesta rivolta al titolare o al responsabile ai sensi dell’art. 8, comma 1; b) l’eventuale procura; c) la prova del versamento dei diritti di segreteria[69].
Il ricorso è validamente proposto solo se trasmesso con plico raccomandato, oppure per via telematica osservando le modalità relative alla sottoscrizione con firma digitale e alla conferma del ricevimento prescritte ai sensi dell’art. 38, comma 2, ovvero presentato direttamente presso l’Ufficio del Garante.
In merito al procedimento relativo al ricorso, l’art. 149 del codice prescrive quanto segue.
Fuori dei casi in cui è dichiarato inammissibile o manifestamente infondato, il ricorso è comunicato al titolare del trattamento entro tre giorni a cura dell’Ufficio del Garante, con invito ad esercitare entro dieci giorni dal suo ricevimento la facoltà di comunicare al ricorrente e all’Ufficio la propria eventuale adesione spontanea.
In caso di adesione spontanea, è dichiarato non luogo a provvedere.
Se il ricorrente lo richiede, inoltre, è determinato in misura forfettaria l’ammontare delle spese e dei diritti inerenti al ricorso, posti a carico della controparte o compensati per giusti motivi anche parzialmente.
Nel procedimento dinanzi al Garante il titolare, il responsabile e l’interessato hanno diritto di essere sentiti, personalmente o a mezzo di procuratore speciale, e hanno facoltà di presentare memorie o documenti.
A tal fine, l’invito di cui sopra è trasmesso anche al ricorrente e reca l’indicazione del termine entro il quale il titolare, il medesimo responsabile e l’interessato possono presentare memorie e documenti, nonché della data in cui tali soggetti possono essere sentiti in contraddittorio anche mediante idonea tecnica audiovisiva.
Nel procedimento, il ricorrente può precisare la domanda nei limiti di quanto chiesto con il ricorso o a seguito di eccezioni formulate dal titolare[70].
Il Garante può disporre, anche d’ufficio, l’espletamento di una o più perizie.
Il provvedimento che le dispone precisa il contenuto dell’incarico e il termine per la sua esecuzione; esso viene comunicato alle parti, le quali possono presenziare alle operazioni personalmente o tramite procuratori o consulenti designati.
Il provvedimento dispone inoltre in ordine all’anticipazione delle spese della perizia.
Nel procedimento, il titolare e il responsabile possono essere assistiti da un procuratore o da altra persona di fiducia.
In base al successivo art. 150, se la particolarità del caso lo richiede, il Garante può disporre in via provvisoria il blocco in tutto o in parte di taluno dei dati, ovvero l’immediata sospensione di una o più operazioni del trattamento (art. 150, comma 1)[71].
Se vi è stata previa richiesta di taluna delle parti, il provvedimento che definisce il procedimento determina in misura forfettaria l’ammontare delle spese e dei diritti inerenti al ricorso, posti a carico, anche in parte, del soccombente o compensati anche parzialmente per giusti motivi.
Il provvedimento espresso, anche provvisorio, adottato dal Garante è comunicato alle parti entro dieci giorni presso il domicilio eletto o risultante dagli atti.
Il provvedimento può essere comunicato alle parti anche mediante posta elettronica o telefax.
Secondo quanto disposto dall’art. 151, avverso il provvedimento espresso o il rigetto tacito di cui all’art. 150, comma 2, appena esaminato, il titolare o l’interessato possono proporre opposizione dinanzi al tribunale con ricorso ai sensi del successivo art. 152. L’opposizione non sospende l’esecuzione del provvedimento.
Sull’opposizione, il tribunale provvede nei modi di cui all’art. 152[72].
La mancata osservanza dei provvedimenti pronunciati dal Garante ai sensi dei commi 1 e 2 dell’esaminato art. 150, come si vedrà, comporta l’applicazione delle sanzioni penali di cui all’art. 170 del codice.
- I numerosi interventi del Garante della privacy
La consultazione del Garante è stata prevista per rendere possibile la coerenza tra l’attività di governo ed il sistema della protezione dei dati personali, nel quale, è bene ricordarlo, si manifesta la rilevanza di un diritto fondamentale della persona, ora esplicitamente riconosciuto in ben due articoli del Trattato per la Costituzione europea. L’omessa consultazione non può essere in nessun caso giustificata con l’argomento che la richiesta di parere avrebbe ritardato l’emanazione dell’atto ministeriale[73].
Il tema della consultazione del Garante riveste una crescente rilevanza istituzionale in presenza di una situazione in cui si diffonde il ricorso alla tecnica delle norme attuative di provvedimenti legislativi generali.
È il caso dell’ultima legge finanziaria, che prevede un centinaio di decreti attuativi, dei quali almeno un terzo incide sulla materia della protezione dei dati.
Omissioni della consultazione del Garante rischierebbero di produrre un ridimensionamento della protezione dei dati in forme contrarie ai principi di legalità.
Volendo allora, in conclusione, fare qualche esempio pratico di trattamento dei dati personali all’interno del commercio elettronico, ed avendo riguardo proprio a quegli interventi dell’Autorità Garante che a tale proposito sono parsi più significativi[74]. Ad esempio, in un’accezione estesa di commercio dei dati, può essere interessante la lettura delle valutazioni offerte da questo in ordine alla utilizzabilità di dati per ipotesti di propagando elettorale[75]. Ma soprattutto, e più specificamente, sono significativi quegli interventi operati in tema di spamming (della cui nozione s’è detto già ampiamente nel corso della trattazione, rimandandosi, per ulteriori approfondimenti, alle parti di questa nelle quali se ne parla direttamente) , che affrontano ogni aspetto del problema, condannando, in linea generale, ogni indebito ricorso a questa forma di pubblicizzazione invasiva[76].
- La proposta di direttiva in merito alla privacy su internet
La semplificazione della produzione legislativa è una delle istanze più rilevanti del nostro ordinamento in relazione al suo valore essenziale che vale a qualificare i sistemi giuridici più avanzati.
Come è stato osservato dal Consiglio di Stato, sezione consultiva atti normativi del 30 agosto 1999, la semplificazione rappresenta l’esigenza di avere un testo normativo chiaro e soprattutto completo, senza costringere il cittadino in genere e l’operatore in particolare a ricerche complesse e difficili[77].
Da un’analisi del testo unico emerge come l’esigenza della semplificazione normativa venga soddisfatta attraverso un fitto intreccio di regole, tra di loro convergenti ed operanti sinergicamente, che possono essere così individuate:
1) l’ordine sistematico di tutta l’architettura del codice;
2) l’alleggerimento del numero delle norme, che nel codice viene sfoltito del 30% rispetto a tutta la normativa precedente;
3) il principio di necessità;
4) il principio di utilizzabilità dei trattamenti effettuati in difformità dalle leggi;
5) il fitto catalogo delle definizioni e del significato delle formule legislative adoperate (è la formula delle c.d. “leggi dizionario”);
6) una chiara tipologia dei diritti di accesso ai dati personali e degli altri diritti, nonché la disciplina e le modalità di esercizio dei diritti;
7) la semplificazione attraverso la formazione di numerosi codici deontologici e di buona condotta, che ben possono ricomprendersi nella nozione di formazione negoziale delle regole, dando luogo a corpi normativi snelli e di chiara decifrazione;
8) il metodo delle autorizzazioni generali (art. 40): le autorizzazioni del Garante sono applicate anche mediante il rilascio di autorizzazioni relative a determinate categorie di titolari e di trattamenti.
Quanto al primo profilo, il motivo ispiratore è anzitutto quello di dare un quadro sistematico, riordinare tutta la materia normativa inerente alla privacy in un corpus completo e tale da poter orientare agevolmente tutti i soggetti che entrano in contatto con il sistema dei dati personali.
La vera finalità preminente è di venire incontro alle esigenze del cittadino, il quale, prima di questo codice, si trovava di fronte ad una molteplicità di corpi normativi: la legge base n. 675/1996, ben 9 decreti legislativi intervenuti medio tempore, più le direttive europee; un complesso di norme nelle quali, tra l’altro, non era affatto agevole orientarsi.
Il codice ha fornito dunque il filo di Arianna per percorrere un campo così vasto, segnando una controtendenza alle leggi a formazione labirintica e comprendendo una disciplina di cui s’è già dato conto nel corso della prima parte di questa trattazione.
E’ un codice che consta di 3 parti fondamentali: la prima parte contiene le norme generali, ossia le norme di principio, che valgono per tutti i soggetti giuridici.
Poi viene delineata la parte riservata ai trattamenti specifici, che è diversificata.
La privacy difatti non è un diritto unitario, quanto piuttosto una costellazione di diritti, è un nucleo composito, vasto, di garanzie e di situazioni giuridiche attive e passive[78].
Ogni cittadino operatore si trova immediatamente nella situazione di poter conoscere qual è l’itinerario che deve percorrere per poter fruire dei suoi diritti e poter porre in essere i vari strumenti di tutela.
Nel delineare i profili maggiormente innovativi va rilevato anche che il codice ha introdotto nel nostro ordinamento il diritto alla protezione dei dati personali, quale diritto fondamentale della persona, che si integra con il più generale diritto alla riservatezza, nucleo fondamentale della legge base n. 675 del 1996.
Qual è la portata di questa innovazione?
Il legislatore ha operato una trasposizione dei precetti della Carta dei diritti fondamentali dell’Unione europea (Nizza 2000) che nel capo secondo ha inquadrato sotto la rubrica delle libertà, i valori dell’uomo e della vita associata.
La Carta di Nizza recava due norme distinte.
Una riguardava la riservatezza vera e propria (art. 7): “Ogni individuo ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle sue comunicazioni”. Questa è la riservatezza nel nucleo originario, primigenio: rispetto della vita privata e familiare, del domicilio e delle comunicazioni. L’articolo 8 introduce poi il diritto alla protezione dei dati personali e stabilisce che: “Ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano”; “Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica”.
Gli enunciati della Carta di Nizza hanno segnato un passaggio storico: dall’Europa del mercato unico, si è passati all’Europa dei diritti[79].
Un secondo profilo di semplificazione va individuato nello sfoltimento delle regole recate dal codice, le quali sono state alleggerite nella misura del 30% rispetto alla serie di atti normativi susseguiti alla legge base 675/1996.
Il risultato è notevole, poiché l’eccesso numerico di norme va a scapito della chiarezza e della razionalità dei precetti e delle regole.
Come ebbe a dire F. Carnelutti, la inflazione delle leggi è paragonabile alla inflazione monetaria poiché essa depaupera il valore delle norme e la loro efficacia.
Un terzo coefficiente di semplificazione è dato dall’ampio catalogo delle formule definitorie contenute nell’art. 4, le quali valgono a rendere chiaro a tutti i soggetti interessati il significato concreto delle formule lessicali usate[80].
E’ così invalso quel metodo, definito delle “leggi dizionario”, che reca un sicuro vantaggio ai fini della agevole interpretazione delle regole e della comprensione dei loro valori.
Le leggi dizionario dimostrano come anche le modalità di codificazione possano modellarsi su sistemi giuridici particolarmente evoluti, che pongono il cittadino al centro dei sistemi regolatori, affidandogli gli strumenti per la comprensione dei precetti normativi.
Un ulteriore profilo di semplificazione si rinviene nella introduzione del principio di necessità, in base al quale i sistemi informativi devono essere predisposti in modo da assicurare che i dati personali o identificativi siano utilizzati solo se indispensabili per il raggiungimento delle finalità consentite, e non anche quando i medesimi obiettivi possano essere raggiunti mediante l’uso dei dati anonimi[81].
Il principio introdotto integra e completa quello di pertinenza e non eccedenza dei dati trattati.
E’ altresì doveroso da notare che tale “clausola di necessità” è stata introdotta anche nella legislazione tedesca, che all’art. 3a del Bundesdatenschutzgesetz del maggio 2001, ha dato rilievo alla “parsimonia e misura nell’utilizzo dei dati personali”, per cui la scelta di sistemi di elaborazione dati deve avere sempre come obiettivo quello di ridurre quanto più possibile il trattamento o l’utilizzazione di dati personali.
Nella sistematica del codice italiano prende risalto un’ulteriore misura di garanzia rivolta alla protezione dei dati personali.
La regola generale (art. 11) dispone che i dati personali devono essere trattati in modo lecito e secondo correttezza, raccolti e registrati per scopi determinati, espliciti, legittimi e utilizzati in termini compatibili con tali scopi; ma a presidio di tali requisiti la norma configura una misura inibitoria e caducante, la quale statuisce che i dati personali trattati in violazione di tale disciplina non possono essere utilizzati.
Si tratta di una misura di contrasto della illiceità del tutto nuova, in quanto crea la categoria giuridica della inutilizzabilità dei dati personali nei casi di trattamenti anomali[82].
Nel novero dei coefficienti semplificanti recati dal codice assume particolare rilievo l’introduzione delle nuove fonti normative rappresentate dai codici di deontologia e di buona condotta. Essi (che trovano la loro radice in quelle “norme sulla normazione” costituite dagli articoli della direttiva-madre, la 95/46/CE) si sono affermati come strumenti necessari per una tutela dei trattamenti dei dati personali sistematica ed efficace.
Essi rappresentano una nuova area della strumentazione normativa e una nuova articolazione del sistema delle fonti di produzione del diritto.
La flessibilità che li caratterizza conferisce loro il grande vantaggio di poter essere agevolmente modificati, poiché ogni eventuale cambiamento e integrazione delle regole non richiede i tempi lunghi di un complicato procedimento legislativo di riforma; pertanto, sono particolarmente idonei a disciplinare anche materie attraversate da una forte dinamica innovativa come quella delle comunicazioni on line e delle incessanti innovazioni tecnologiche[83].
Quanto al primo profilo, il ruolo assegnato al Garante non è meramente propulsivo, ma include un ampio potere di indirizzo e di controllo, consistente nell’esame dei titoli di legittimazione rappresentativa dei soggetti elaboratori delle regole, e nella valutazione della conformità delle norme proposte ai principi della legislazione sui dati personali nonché alle raccomandazioni adottate dal Consiglio d’Europa.
Quanto al secondo profilo, la codificazione deontologica si configura come il punto di confluenza di tre fattori: gli atti comunitari (specificamente le raccomandazioni del Consiglio d’Europa); i poteri propulsivi e di indirizzo dell’Autorità garante; l’elaborazione delle regole da parte dei soggetti rappresentativi di determinate categorie professionali[84]. Sicché a tali esigenze ben corrisponde una regolamentazione a rete (che si contrappone a quella tradizionale verticistica o a piramide) e a costruzione progressiva, che si rende configurabile attraverso i codici di deontologia e buona condotta.
E’ da notare che, per effetto del ruolo propulsivo dell’Autorità garante, sono stati finora emanati: il codice deontologico per l’attività giornalistica; il codice deontologico per i trattamenti a scopi statistici e di ricerca scientifica; il codice deontologico per i trattamenti a scopi storici.
Attualmente sono in fase di elaborazione altri sette codici, concernenti rilevanti settori connessi alla tutela di diritti fondamentali.
Limitandoci a far richiamo ai più importanti, gli ambiti di tali codici sono relativi ai seguenti trattamenti di dati personali effettuati:
– nell’ambito dei servizi di comunicazione e informazione offerti per via telematica;
– per finalità previdenziali o per la gestione dei rapporti di lavoro;
– a fini di invio di materiale pubblicitario o di vendita diretta;
– a fini di regolamentazione della videosorveglianza.
Un ulteriore fattore di razionalizzazione è costituito dalla disciplina dei soggetti pubblici, rivolta ad apprestare la tutela dei diritti dei cittadini nei confronti dei corpi amministrativi che procedono a trattamenti di dati personali[85].
Il quadro normativo tracciato dalla legge-base italiana del 1996, inoltre, conteneva un esiguo numero di norme concernenti la pubblica amministrazione, limitandosi a enunciare i seguenti principi:
a) i soggetti pubblici possono trattare dati personali comuni solo per lo svolgimento delle funzioni istituzionali e nei limiti stabiliti dalle leggi e dai regolamenti vigenti nei settori di riferimento;
b) quando i dati sono di carattere particolare, la disciplina richiede maggiori garanzie.
I soggetti pubblici, per poter effettuare trattamenti inerenti ai dati sensibili, hanno bisogno di essere autorizzati da una dettagliata disposizione di legge, che preveda quali dati possono essere trattati, le operazioni che possono essere eseguite, le rilevanti finalità di interesse pubblico perseguite.
Il nuovo codice ha ampliato notevolmente il nucleo delle regole inerenti ai trattamenti dei dati in ambito pubblico, costituendo un momento di avanzamento della disciplina giuridica.
Esso fa da argine alle complicazioni normative e rafforza il sistema delle garanzie, avendo un duplice obiettivo:
a) definire i principi generali in base ai quali i soggetti pubblici sono autorizzati a trattare i dati personali, in particolare quelli sensibili, con specifiche cautele e criteri rigorosi;
b) individuare alcune rilevanti finalità di interesse pubblico per il cui perseguimento è consentito tale trattamento, nonché le operazioni eseguibili e i tipi di dati che possono essere trattati.
Nel codice viene inoltre delineata una serie di gestioni pubbliche di dati, caratterizzate da un interesse pubblico di grado particolare in quanto qualificato come rilevante.
Si tratta di funzioni essenziali dell’ordinamento giuridico, come quelle attinenti all’applicazione della disciplina in materia di elettorato e di esercizio di diritti politici, o attinenti all’instaurazione e gestione di rapporti di lavoro di qualunque tipo, o concernenti le attività di istruzione e formazione in ogni ambito scolastico, o inerenti alla disciplina in materia di concessione di benefici economici, elargizioni, emolumenti, o relativi alla tutela della salute o ai rapporti con enti di culto[86].
- Tutela giurisdizionale
L’art. 152 disciplina il procedimento dinanzi all’autorità giudiziaria ordinaria, sostituendo la precedente previsione di un procedimento in camera di consiglio con un nuovo procedimento instaurabile con ricorso innanzi al tribunale in composizione monocratica[87].
Ergo, secondo quanto disposto dall’art. 152 del testo unico, tutte le controversie che riguardano, comunque, l’applicazione delle disposizioni del codice, comprese quelle inerenti ai provvedimenti del Garante in materia di protezione dei dati personali o alla loro mancata adozione, sono attribuite all’autorità giudiziaria ordinaria.
Per tutte le controversie di cui sopra, l’azione si propone con ricorso depositato nella cancelleria del tribunale del luogo ove risiede il titolare del trattamento.
Il tribunale decide in ogni caso in composizione monocratica.
Qualora presentato avverso un provvedimento del Garante, il ricorso è proposto entro il termine di trenta giorni dalla data di comunicazione del provvedimento o dalla data del rigetto tacito.
Qualora invece proposto oltre tale termine, il giudice lo dichiara inammissibile con ordinanza ricorribile per Cassazione.
La proposizione del ricorso non sospende l’esecuzione del provvedimento del Garante.
Se ricorrono gravi motivi il giudice, sentite le parti, può disporre diversamente in tutto o in parte con ordinanza impugnabile unitamente alla decisione che definisce il grado di giudizio[88].
Il giudice, con decreto, fissa l’udienza di comparizione delle parti e assegna al ricorrente il termine perentorio entro cui notificarlo alle altre parti e al Garante.
Tra il giorno della notificazione e l’udienza di comparizione intercorrono non meno di trenta giorni.
Se alla prima udienza il ricorrente non compare senza addurre alcun legittimo impedimento, il giudice dispone la cancellazione della causa dal ruolo e dichiara l’estinzione del processo, ponendo a carico del ricorrente le spese di giudizio[89].
Se necessario, il giudice può concedere alle parti un termine non superiore a dieci giorni per il deposito di note difensive e rinviare la causa all’udienza immediatamente successiva alla scadenza del termine per la discussione e la pronuncia della sentenza.
Con la sentenza il giudice, anche in deroga al divieto di cui all’art. 4 della legge 20 marzo 1865, n. 2248, allegato E), quando è necessario anche in relazione all’eventuale atto del soggetto pubblico titolare o responsabile, accoglie o rigetta la domanda, in tutto o in parte, prescrive le misure necessarie, dispone sul risarcimento del danno, ove richiesto, e pone a carico della parte soccombente le spese del procedimento.
La sentenza non è appellabile, ma è ammesso il ricorso per Cassazione.
- Prospettive future
L’indagine sin qui condotta ha consentito di individuare nuove esigenze di tutela in relazione all’uso crescente delle tecnologie informatiche e di Internet.
E proprio l’evoluzione tecnologica, che nella trasmissione e rielaborazione dei dati compie continui ed incessanti progressi, richiede una rinnovata attenzione nei confronti della privacy, attesa la creazione di nuove e sempre più invadenti forme di intrusione nella vita privata.
La privacy, nata come “right to be let alone” (privacy-property), è divenuta ai giorni nostri il “diritto di controllare l’uso che altri facciano delle informazioni che ci riguardano” (informational privacy), potendo essere attuata, con estrema facilità:
- a) l’utilizzazione persecutoria dei dati stessi;
- b) la distorsione dell’identità sociale del soggetto, tale da comprometterne le relazioni con i soggetti frequentati quotidianamente;
- c) la divulgazione indiscriminata di notizie, che impediscano al soggetto stesso di operare delle scelte in maniera autonoma.
La sua efficiente tutela può essere garantita soltanto se si riconosce l’esistenza di un vero e proprio diritto alla privacy, che affonda le proprie radici nei Trattati internazionali (Dichiarazione universale dei diritti dell’uomo, Convenzione europea per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali) e, al tempo stesso, se si intensificano gli interventi normativi ( sia di tipo istituzionale, sia di tipo spontaneo, quali i codici di autoregolamentazione) in materia di tutela del trattamento dei dati personali, in quanto i nuovi strumenti tecnologici sono in grado di creare sempre più penetranti forme di intrusione, senza che gli individui se ne rendano conto e senza che i singoli Stati siano in grado di tenere il passo con tale incessante evoluzione.
Trattasi in realtà di due aspetti tra loro complementari ed imprescindibili, perché non ha senso parlare di protezione dei dati personali se non si considera il valore giuridico fondamentale da tutelare, ossia la privacy.
Allo stesso modo la privacy non può essere intesa in maniera corretta ed adeguata, in tutte le sue necessarie implicazioni con riferimento alla società contemporanea, se non ci si rende conto della necessità di proteggere i dati personali.
Conclusioni
Alla luce delle analisi svolte, in virtù del percorso che è venuto delineandosi attraverso la stesura della presente trattazione, ed ancora, in ragione delle problematiche che si è tentato di individuare e prospettare alla stregua dei possibili sbocchi risolutivi configurabili, è emersa chiaramente la complessità di una materia che esige un costante studio da parte degli addetti ai lavori, di coloro i quali quotidianamente svolgono attività di ricerca e studio sulle ingerenze che la riservatezza può subire, in particolare se derivanti dall’utilizzo di mezzi informatici, internet su tutti.
Le prospettive sono dunque di massimo interesse.
In primis, la necessità di un coordinamento normativo tra i sempre più numerosi testi legislativi e regolamentari che intervengono a disciplinare i diversi profili della materia: l’esigenza, dunque, di evitare che un eccesso di zelo da parte del legislatore nazionale o comunitario, preoccupati di intervenire con una disciplina di dettaglio, possa ritorcersi contro gli stessi destinatari, creando confusione ed ottenendo l’effetto opposto a quello auspicato, ossia quello di una giungla normativa che faccia il gioco degli speculatori.
In questo contesto si è venuto a delineare il ruolo fondamentale svolto dal Garante per la privacy.
Tale autorità, tra le massime del settore, ha posto in essere un ampio novero di interventi, non sempre efficaci e puntuali, ma che hanno tuttavia consentito di chiarificare gli aspetti di maggiore problematicità, con particolare riferimento al rapporto tra internet e privacy (in quanto punto focale della presente ricerca) e alla tutela giurisdizionale che il diritto vivente ha delineato a favore degli utenti.
BIBLIOGRAFIA
AA.VV., Il corpo deformato. Nuovi percorsi dell’identità personale, in Atti del Convegno, Università di Roma “Tor Vergata”, Milano, 2002
AA.VV., La disciplina del commercio elettronico e delle altre forme di contrattazione a distanza. Commento al d.lgs. 22 maggio 1999, n. 185, a cura di Atelli M., Torino, 2001
AA.VV., Diritto alla riservatezza e circolazione dei dati personali, a cura di Pardolesi R., 2 vol., Milano, 2003
Acciai, R., Il diritto alla protezione dei dati personali: la disciplina sulla privacy alla luce del nuovo codice, Milano, 2004
Akdeniz Y., New Privacy Concerns: ISP’s Crime, Prevention and Consumers’ Rights, International Review of Law Computers & Technology, vol.14., n.1, 2000, p. 56 ss.
Alpa G., Il sogno americano e la disciplina della “privacy”, in Rivista trimestrale di diritto e procedura civile, 2004, fasc. 4, pp. 1529-1534
Amico P., La libera circolazione dei dati personali su Internet: per la prima volta la Corte di giustizia ne definisce ambito e limiti, in I Contratti, 2004, fasc. 1, pt. 2, pp. 99-101
Ballarino C., Internet nel mondo della legge, Padova, Cedam, 1998, p. 343
Banca d’Italia, Libro bianco sul sistema dei pagamenti in Italia, 1987
Bascelli M., La protezione dei dati personali. Il d.lgs. 30 giugno 2003, n. 196 nell’ambito della professione forense, in La Rivista del Consiglio, 2004, fasc. 2, pp. 87-107
Bernardi G., Attuazione della direttiva 2000/31/CE relativa a taluni aspetti giuridici dei servizi della società dell’informazione, in particolare il commercio elettronico, nel mercato interno (d.lgs. 9 aprile 2003, n. 70). Commento a d.lgs. 9 aprile 2003, n. 70, in Le nuove leggi civili commentate, 2003, fasc. 6, pp. 1267-1287
Bianca C.M., Diritto civile, Milano, 1989, fasc.1, p. 180
Bianca C.M., Tutela della privacy. Note introduttive, in Le Nuove leggi civili commentate, fasc. 2-3, 1999
Bianca C.M., Acontrattualità dei contratti di massa, in Vita Not., 2001, p. 1120 ss.
Bittuco A., Cartaria C., Celotto A. , L’Europa dei diritti, commento sub art. 8, Bologna, 2002
Borruso R., Ciacci G., Diritto civile e informatica, Volume della Collana del CN.N. “Trattato di diritto civile”, Napoli, 2004
Borruso R., Computer e diritto, Milano, 1988, vol. I, p. 320 ss.
Borruso R., Informatica, internet e diritto, in Diritto dell’internet, 2005, fasc. 1, pp. 7-9
Borruso R., L’ informatica del diritto, Milano, 2004
Brandeis L., Warren S., The right to privacy, in Harvard Law Review, 4,1890, in Schoeman, Cambridge, 1984
Briganti F., Netiquette: aspetti sociologici. La convivenza nel cyberspazio tra regole e libertà di espressione, in Diritto ed economia dei mezzi di comunicazione, 2003, fasc. 2, pp. 199-266
Brugaletta F., Cercare diritto in Internet : leggi, norme e sentenze a portata di mouse, Napoli, 2004
Buttarelli A., Banche dati e tutela della riservatezza, Milano, 1997
Cannada L., A proposito di tutela della riservatezza, in Il diritto processuale amministrativo, 1999 fasc. 3 p. 725
Carnevali F., Le operazioni bancarie elettroniche e il diritto italiano: profili generali, in Boll. Ass. tec. Banche pop. It., 1984
Cassano G., Fadda S., Codice in materia di protezione dei dati personali. Commento articolo per articolo al testo unico sulla privacy d.lgs. 30.6.2003 n. 196, Milano, 2004
Cataudella A., Riservatezza (diritto alla), diritto civile, in Enc. Giur. Treccani, vol. XXVII, Roma, 1991
Cerri A., Riservatezza (diritto alla), diritto comparato e straniero, in Enc. Giur. Treccani, vol. XXVII
Cevini C., Un’introduzione al commercio elettronico, in Net Jus Bulletin, Aprile–Giugno 1998
Ciacci G., Internet e il diritto alla riservatezza, in Rivista trimestrale di diritto e procedura civile, 1999, fasc. 1, pp. 233-252
Ciacci G., Spam: preventivo per tutti i tipi di comunicazione, in Guida al diritto, 2003, pp. 137-138
Cirillo G., (a cura di) Il codice sulla protezione dei dati personali, Milano, 2004
Cirillo G., La tutela della privacy nel sistema del nuovo codice sulla protezione dei dati personali : tutela civile, in via amministrativa, penale , Padova, 2004
Clerici R., La legge applicabile alle transazioni telematiche internazionali, in Il commercio elettronico: il documento digitale, Internet, la pubblicità on–line, EGEA, 1999
Comandè G., Al via l’attuazione della direttiva sul commercio elettronico, ma… serve un maggiore coordinamento, in Danno e responsabilità, 2003, fasc. 8-9, pp. 809-815
Contaldo A., Depenalizzazione e nuove tutele dei dati personali anche alla luce del codice della privacy (d.lgs. 30 giugno 2003, n. 196), in Giurisprudenza di merito, 2004, fasc. 11, pt. 4, pp. 2409-2424
Costi V., Servizi di pagamento: il controllo sugli enti produttori, in Banca, Borsa e Titoli di credito, 1993
Crugnola P., La disciplina dello spamming, in La nuova giurisprudenza civile commentata, 2004, fasc. 3, pt. 2, pp. 474-479
D’Argenio M., Gestione dati e privacy, Milano, 2005
De Giorgi M., Guida al codice della privacy : la protezione dei dati personali alla luce del d.lgs. 196/2003, Napoli, 2003
De Sanctis F., The link between International Criminal Law and the protection of Human Rights. (Il rapporto tra il diritto internazionale penale e la protezione dei diritti umani), in I Diritti dell’uomo: cronache e battaglie, 2003, fasc. 2, pp. 85-88
Del Ninno A., La nuova disciplina italiana del commercio elettronico: analisi del decreto legislativo 9.4.2003, n. 70 recante attuazione della direttiva 2000/31/CE, in Diritto ed economia dei mezzi di comunicazione, 2003, fasc. 3, pp. 29-65
Delfini F., Il d. lgs. 70/2003 di attuazione della direttiva 2000/31/CE sul commercio elettronico. Commento a d. lgs. 9 aprile 2003, n. 70, in I Contratti, 2003, fasc. 6, pt. 2, pp. 612-619
Denninger E., Das Recht auf informationelle Selbstbestimmung und Innere Sicherheit, in Informatzonsgesellsehaft oda Uberwachungsstaat Gutachten, Wiesbaden, 1984, pp. 285, 341
Di Ciommo F., “Internet Privacy” e controllo delle e-mail da parte del “service provider” , in Il Foro italiano, 2004, fasc. 9, pp. 449-473
Di Ciommo F., Lo “spamming”, dalle reti telematiche alle aule dei tribunali, in Il foro italiano, 2004, fasc. 10, pt. 1, pp. 2908-2912
Di majo A., La tutela civile della persona, III ed., Milano, 2001, pp. 138-143
Dogliotti M., Il diritto all’identità personale nel quadro dei diritti della personalità, in Il diritto alla identità personale, Padova, 1981
Dogliotti M., La tutela della personalità, in Trattato di diritto privato, diretto da Resgnigno P., I, Torino, 1982
Donati M., Profili giuridici del trasferimento elettronico di fondi, in Contratto e Impresa, 1988, p. 558
Draetta U., Internet e commercio elettronico, Milano, 2001, p. 69 ss.
Elli G., Il nuovo codice della privacy : (commento al d.lgs. 30 giugno 2003, n. 196) con la giurisprudenza del Garante, Torino, 2004
Ercolano C., Il sistema delle responsabilità in ambito privacy, in Il Nuovo diritto, 2005, fasc. 2-3, p. 199
Fadda S., L’electronic data interchange nella normativa italiana e straniera, in Dir. Inf. Inf., 1994, p. 91
Fano M., Guida al trattamento dei dati personali e sensibili per la tutela della privacy : regolamento, piano per la sicurezza, modulistica, normativa, 2001
Fava P., Dialers e trojan horsestra, comunicazioni elettroniche e privacy, in Diritto dell’internet, 2005, fasc. 1, pp. 81-87
Ferraro F., Internet è familiare, l’e-commerce meno, in Il Sole-24 Ore del 20 giugno 2003, p. 16
Finocchiaro G., I contratti informatici, in Tratt. dir. comm. e dir. pub. dell’economia, vol. XXII, 1997
Finocchiaro G.,Primo Paese della UE a essersi dotato di una legislazione ad hoc: l’Italia si scopre battistrada, 1998, in www.interlex.it
Franzé M., Guarnieri S., Nuovo codice della privacy in Contabilità finanza e controllo, 2004, Fasc. 5, pp. 474 – 481
Fraternale A., I contratti a distanza, Milano, 2002
Freudman L.M., The Republic of Choice Law, Authority and Culture, Cambridge, Harvard University Press, 1990
Frosini V., Il giurista e le tecnologie dell’informazione, Roma, 1998, p. 15
Gambaro A., Falsa luce agli occhi del pubblico in Rivista di diritto civile, 1981, p. 45 ss.
Gambino A.M., Commercio telematico di beni immateriali, Relazione tenuta alle “Giornate di studio del diritto industriale. La nuova proprietà industriale ed intellettuale”, Spoleto 8/9 nov. 1996
Garante per la protezione dei dati personali, Relazione 2002. Nuovi diritti, riservatezza, dignità della persona: a sei anni dalla legge 675, p. 119 ss.
Giacchetti S., Accesso e riservatezza: separati in casa, in Il consiglio di Stato, 2004, fasc. 2, pt. 2, p. 463 ss.
Giacobbe G., Giuffrida A., Diritti della personalità, Torino, 2000
Giacobbe G., L’identità personale tra dottrina e giurisprudenza, diritto sostanziale e strumenti di tutela, in Rivista trimestrale di diritto e procedura civile, 1983, p. 32 ss.
Giammorretti F., Gli adempimenti imposti dal codice della privacy, in Diritto e Formazione, 2004, fasc. 11, p. 1601 ss.
Giannantonio E., Trasferimenti elettronici dei fondi e autonomia privata, Milano, 1986
Giannini M. S., Determinazione del livello dei prezzi e politica monetaria in un’economia senza moneta, Temi di discussione del Servizio Studi Banca d’Italia, n. 78, novembre 1986
Glauco R., Privacy e sicurezza, linee guida e formulari per gli adempimenti previsti dal d.p.r. 318/99, Roma, 2003
Greco A., Il d.lgs. 2003 n. 70, attuativo della direttiva 2000, n. 31 CE sul commercio elettronico, non modifica il procedimento di formazione del contratto telematico, in Archivio civile, 2003, fasc. 11, pp. 1129-1136
Imperiali d’Affitto R., La direttiva comunitaria sulla privacy informatica, in Diritto Comunitario e degli Scambi Internazionali, n.3-4, Luglio-Dicembre, 1995, p. 569 ss.
Irti N., Scambi senza accordo, in Riv. trim. Dir. civ., 1998, p. 347 ss.
Irti N., Lo scambio del foulard, in Riv. trim. dir. proc. civ., 2000, p. 601 ss.
Lazari G., Internet e l’illecito trattamento dei dati personali, in Ciberspazio e diritto, 2004, fasc. 1, pp. 21-28
Leoni A., Il nuovo commercio elettronico, in La Rivista del Consiglio, 2003, fasc. 3, pp. 90-93
Levi-zanichelli A., L’utilizzo delle e-mail a fini pubblicitari dallo spamming al permission marketing, in Riv. dir. ind., 2001, 1, 195, n. 3
Luisi B., Il regolamento per la tutela e la sicurezza dei dati personali, in Comuni d’Italia, 2004, fasc. 5, pp. 34-39
Maccaboni A., La profilazione dell’utente telematico fra tecniche pubblicitarie on line e tutela della privacy, in Dir. Inf. Inf., 2001, p. 426 ss.
Maccarone G., I trasferimenti elettronici di fondi nel diritto italiano, in Informatica ed evoluzione giuridica nell’attività economica, Atti del Seminario organizzato dall’Istifid e dall’Associazione per gli studi di legislazione economica, Roma 18–19 ottobre 1984, p.63
Macioce F., Tutela civile della persona e Identità personale, Padova, 1984
Macrini G., Il diritto alla riservatezza: l’incidenza delle nuove tecnologie, in Il merito 2004, fasc. 9, p. 22 ss.
Malaguti M. C., I trasferimenti elettronici di fondi in Italia: spunti da un’analisi comparata–l’inserimento dell’art.4A nell’Uniform Commercial Code statunitense, in Contratto e Impresa, 1991, p. 1065
Malaguti M. C., Trasferimenti elettronici di fondi a confronto con il diritto della concorrenza: necessità e limiti della cooperazione interbancaria, in Contratto e Impresa, 1995, p. 301.
Manes P., Il consenso al trattamento dei dati personali, Padova, 2001
Manna A., Codice della privacy: nuove garanzie per i cittadini nel testo unico in materia di protezione dei dati personali. Commento a d.lgs. 30 giugno 2003, n. 196, in Diritto penale e processo, 2004, fasc. 1, pp. 17-31
Marangon M., Privacy, una confusione da chiarire, in L’Amministrazione italiana, 2004, fasc. 7-8, pp. 1017-1018
Maria E., Alcune osservazioni sul d.lgs. 9 aprile 2003, n. 70 di attuazione della direttiva comunitaria sul commercio elettronico, in Disciplina del commercio e dei servizi, 2003, fasc. 2, pp. 287-306
Martire M., Diritto di accesso e tutela della privacy: orientamenti giurisprudenziali in materia di appalti pubblici, in L’Amministrazione italiana, 2004, fasc. 2, pp. 204-207
Mastrorosa F., Serra M.P., La commercializzazione a distanza di prodotti finanziari: la direttiva 23 settembre 2002 n. 65 e il decreto legislativo di attuazione 19 agosto 2005 n. 190, in Diritto dell’internet, 2006, n. 1, p. 82 ss.
Mathieu V., Privacy e dignità dell’uomo: una teoria della persona, Torino, 2004
Meloni S., Le operazioni di circolazione dei dati personali, in Iter legis, 2004, fasc. 1, pp. 123-138
Messinetti D., voce “Personalità (diritti della”), Enc. del dir., Milano, 1983, pp. 355-405
Migliorino L., La Legge Modello UNCITRAL sul trasferimento internazionale di fondi, in Dir. comm. internaz., 1995, p. 137
Minella T., La privacy : guida all’applicazione del d.lgs. 196/2003, Napoli, 2004
Mirabelli G., Diritto all’informatica, 1993, p. 137
Montebello C., Le bandiere di convenienza, sistemi di registrazione “alternativi e Port State control”, in Trasporti, 2001, fasc. 85, pp. 149-185
Montinaro R., Tutela della riservatezza e risarcimento del danno nel nuovo “codice in materia di protezione dei dati personali”, in Giustizia civile, 2004, fasc. 5, pt. 2, pp. 247-267
Morigi P., Codice sulla privacy: nuove regole sulla sicurezza dei dati personali, in La Finanza locale, 2004, fasc. 4, pp. 11-13
Niger S., Note sul diritto alla protezione dei dati personali, in Ciberspazio e diritto, 2004, fasc. 1, pp. 47-56
Occhiena M., I diritti di accesso dopo il codice della “privacy”. Nota a Cons. Stato sez. V 8 settembre 2003, n. 5034; Cons. Stato sez. VI 27 maggio 2003, n. 2938; ord. TAR VE sez. I 24 marzo 2004, n. 775, in Il foro italiano, 2004, fasc. 10, pt. 3, pp. 513-517
Oppo A., Disumanizzazione del contratto, in Riv. dir. civ., 1998, 1, p. 524 ss.
Padoa G., Schioppa F., Sistema bancario e sistema dei pagamenti, in Bancaria, 1986, p. 83
Palmieri N., Sicurezza o libertà? : introduzione al diritto di Internet, Bologna, 2004
Paola V., Diritto di accesso e tutela della privacy, in I Tribunali amministrativi regionali, 2004, fasc. 5-6, pp. 365-370
Pardolesi R. (a cura di), Diritto alla riservatezza e circolazione dei dati personali, Milano, 2003
Pardolesi R., Palmieri A., Il codice in materia di protezione dei dati personali e l’intangibilità della privacy comunitaria (Nota a Corte giust. 6 novembre 2003, causa C-101/01), in Il Foro italiano, 2004, fasc. 2, pp. 59-64
Patti A., Il consenso dell’interessato al trattamento dei dati personali, in Rivista di diritto civile, 1999, II, p. 455 ss.
Peron S., Rassegna di giurisprudenza in materia di privacy, in Responsabilità civile e previdenza, 2003, fasc. 4-5, pp. 999-1024
Pierucci A., La responsabilità extracontrattuale dei fornitore di servizi telematici, in AA.VV., Il diritto della nuova economia, a cura di F. Maschio, Padova, 2002, p. 495 ss.
Pontiggia A., I sistemi elettronici di pagamento, Milano, 1980
Putignani A., Consenso e disposizione della privacy, in Clemente A. (a cura di), “Privacy”, Padova, 1999, p. 237
Raule V., Electronic banking: nuovi strumenti a disposizione delle imprese, in Economia Banca e Congiuntura, 1985, p. 5
Razzante R., Manuale di diritto dell’informazione e della comunicazione : con riferimenti alla tutela della privacy, alla diffamazione e all’editoria on-line, Padova, 2003
Riccio G., Responsabilità da illecito trattamento dei dati personali e prova del danno non patrimoniale. Nota a Trib. Napoli 28 aprile 2003, in La nuova giurisprudenza civile commentata, 2004, fasc. 4, pt. 1, pp. 470-473
Rinaldi A., Le comunicazioni commerciali e la direttiva e-commerce, in E-commerce. La direttiva 2000/31/CE e il quadro normativo della rete, a cura di Antonucci S., Giuffrè, 2001, n. 41, p. 46
Rodotà S., Intervista su privacy e libertà, Roma, 2005
Rodotà S., La pacifica rivoluzione della privacy, in Questione giustizia, 2005, fasc. 2, p. 228
Rodotà S., Tecnologie e diritti, Bologna, 1995, p. 25
Rodotà S., Tra diritti fondamentali ed elasticità della normativa: il nuovo codice della privacy, in Europa e diritto privato, 2004, fasc. 1, pp. 1-10
Rossello C., La nuova disciplina del commercio elettronico. Principi generali e ambito di applicazione, in Il Diritto del commercio internazionale, 2004, fasc. 1, pp. 43-67
Rossi A., Lo spyware e la privacy, in Diritto delle nuove tecnologie informatiche e dell’Internet (a cura di Cassano G.), 2002, p. 184 ss.
Santaniello G., “Il codice della privacy”, in Guida al diritto (Il Sole 24 ore), 1 settembre 2003
Santaniello G., Dalla riservatezza alla protezione dei dati ,in La stampa, 8 settembre 2003, p. 22
Sarzana Di Sant’Ippolito F., Approvata la direttiva sul commercio elettronico, in Corr. giur., 2000, p. 1291
Scalisi A. Il diritto alla riservatezza : il diritto all’immagine, il diritto al segreto, la tutela dei dati personali, il diritto alle vicende della vita privata, Milano 2002
Scorza G., “Testata editoriale telematica “; le sviste del legislatore, in www.interlex.it del 5 maggio 2003
Stilo L., Spyware: un parassita digitale dai mille untori,
in Il nuovo diritto, 2002, fasc. 9, pt. 5, pp. 37-43
Stumpo G., Privacy e internet: un connubio ancora difficile, in Rivista del personale dell’ente locale, 2001, fasc. 1, pp. 53-83
Sudre F., Droit international et européen des droits de l’homme, 3^ ed., 1997, p. 215
Toppetta R., Linea di privacy: informazione in equilibrio tra riservatezza e diritto di cronaca : una bussola per i giornalisti tra leggi, codici e deontologia, Roma, 2004
Torre V., Modelli di tutela penale della privacy in internet, in Diritto penale e processo, 2004, fasc. 2, pp. 233-244
Tosi E., Il codice della privacy: tutela e sicurezza dei dati personali; normativa nazionale e comunitaria, Piacenza, 2005
Tosi E., Prime osservazioni sull’applicabilità della disciplina generale della tutela dei dati personali a Internet e al commercio elettronico, apparso in Dir. Inf. Inf., 1999, p. 591 ss.
Tripodi E., Alcuni interrogativi sul d.lgs. n. 70/2003 di recepimento della direttiva sul commercio elettronico, in Il Corriere giuridico, 2004, fasc. 6, pp. 829-835
Tripodi E., Profili amministrativi del commercio elettronico, in AA.VV., Diritto delle nuove tecnologie informatiche e dell’Internet, a cura di Cassano G., Milano, 2002, pp. 402 ss
Troncone P., Profili penali del codice della privacy, in Rivista penale, 2005, fasc. 12, pp. 1147-1153
Tuffarelli F., La tutela dell’interessato nel diritto alla riservatezza dei dati personali: conferme e novità presenti nel “codice della privacy”, in Diritto e Formazione, 2005, fasc. 3, p. 391
VALENTINO D., Manuale di diritto dell’informatica, Napoli, 2004
VITTORIO I., Il codice della provacy, Roma, 2003
Volpe G., Come organizzare e proteggere i dati personali : guida alla preparazione, all’applicazione e al mantenimento del Documento programmatico per la sicurezza, Milano, 2005
Westin A., Home Information Systems: the Privacy Debite, in Datamation, 1982, n. 4., p. 65
Zatti P., Colussi V., Lineamenti di diritto privato, Padova, 2001, p.158
Zatti P., Il diritto all’identità personale e l’applicazione diretta della costituzione, in Il diritto alla identità personale, Padova, 1981
Zeno Zencovich V., voce Identità personale (diritto alla), in Dig. Disc. Priv., sez. civ, vol. IX, Torino, 1991
Zucchetti R., Codice della privacy : commento al decreto legislativo 30 giugno 2003, n. 196 aggiornato con le più recenti modifiche legislative, Milano, 2004.
[1] L’advertising on line non ha difatti ancora conosciuto uno sviluppo paragonabile a quello dei tradizionali strumenti di marketing.
[2] Già 352 milioni di utenti nel 2000, 700 milioni nel 2004, si prevede che arriveranno a 1 miliardo alla fine del 2006.
[3] Gli investitori, tra l’altro, sono incoraggiati dai risultati di numerose ricerche che testimoniano l’efficacia della pubblicità tramite Internet. Negli USA due recenti indagini, condotte la prima nel 2001 da Harris Interactive Inc e Jupiter Media Metrix, e la seconda nel febbraio 2005 da Msn, Advertising Research Foundation, Interactive Advertising Bureau, e Unilever Home & Personal Care, hanno dimostrato, in tal senso, come la pubblicità sul web sia efficace quanto quella su stampa o tv, ma con miglior rapporto prezzo/prestazioni, aumentando la brand awareness (la notorietà della marca), e la propensione all’acquisto degli utenti, e come gli investitori americani siano di conseguenza soddisfatti dell’advertising on line. In Italia, allo stesso modo, una ricerca datata gennaio 2002, commissionata da ACP Online e condotta da People SWG Nielsen/NetRatings, ha evidenziato quanto le campagne beneficino della pubblicità in rete, aumentando il livello di notorietà del marchio ed il ricordo del messaggio. Negli Stati Uniti, grazie all’enorme sviluppo di Internet a fini commerciali, la pubblicità in rete è già un’industria dai contorni ben definiti, con un fatturato annuale arrivato oggi, con un costante progresso salvo una flessione transitoria nel 2001, a circa otto miliardi di dollari. In Europa il fatturato è molto più contenuto, ma nei prossimi anni ci si aspetta una crescita maggiore rispetto agli Stati Uniti. In Italia, la penetrazione di Internet sulla popolazione ha superato il 10%, soglia oltre la quale un media può essere definito di massa, così come stanno aumentando le porte di accesso alle informazioni e ai contenuti, con l’avvento delle connessioni a banda larga anche da telefonini o palmari.
[4] Ercolano C., Il sistema delle responsabilità in ambito privacy, in Il Nuovo diritto, 2005, fasc. 2-3, p. 199.
[5] Intendendosi con questa la denominazione che viene data a quelle imprese che utilizzano la piattaforma web come principale mezzo di negoziazione, comunicazione e interconnessione con l’utenza pubblica.
[6] Vedi nota 46 del secondo capitolo.
[7] Superata la crisi dei mercati, specie di quelli legati ad Internet, che ha caratterizzato il 2001 causando anche una pesante flessione del fatturato pubblicitario on line, quest’anno sembra si stia tornando verso il consueto trend di crescita.
[8] Troncone P., Profili penali del codice della privacy , in Rivista penale, 2005, fasc. 12, p. 1147.
[9] Si veda il paragrafo 5 del capitolo 2.
[10] Tufarelli F., La tutela dell’interessato nel diritto alla riservatezza dei dati personali: conferme e novità presenti nel “codice della privacy” in Diritto e Formazione, 2005, fasc. 3, p. 391.
[11] La direttiva consente inoltre che quando una persona fisica o giuridica ottenga dai propri clienti le coordinate della loro posta elettronica nell’ambito della vendita di un prodotto o servizio, essa possa in seguito riutilizzare le medesime coordinate “a scopi di commercializzazione diretta di propri analoghi prodotti o servizi”. E ciò alla sola condizione che, fin dal momento della raccolta ed in seguito ad ogni messaggio, sia offerta ai clienti la possibilità di opporsi all’uso.
12 Si veda il paragrafo 5 del capitolo 2.
[13] Vedi SUDRE F., Droit international et européen des droits de l’homme, 3^ ed., 1997, p. 215.
[14] Sentenza del 26 marzo 1985 A.91.
[15] Confronta con l’articolo di TOSI E., intitolato: Prime osservazioni sull’applicabilità della disciplina generale della tutela dei dati personali a Internet e al commercio elettronico, apparso in Dir. Inf. Inf., 1999, p.591 ss.
[16] Confronta con IMPERIALI D’AFFITTO R. La direttiva comunitaria sulla privacy informatica, in Diritto Comunitario e degli Scambi Internazionali, n.3-4, Luglio-Dicembre, 1995, p. 569-589.
[17] Il testo integrale di questa e delle altre direttive sulla privacy sono rinvenibili al sito internet: www.garanteprivacy.it
[18] L’art.14 è dedicato all’estensione del campo di applicazione di talune disposizioni della direttiva 95/46/CE, per il resto la norma in questione fa riferimento alla riservatezza delle comunicazioni nella telefonia.
[19] La Commissione ha già presentato la proposta di direttiva COM(2000)385 al Parlamento e al Consiglio europeo. Nel documento si propone di aggiungere all’attuale art.6 un paragrafo 4, contenente l’obbligo esplicito di informare gli abbonati ad un servizio comunicativo in merito ai dati di carattere personale che vengono raccolti. Inoltre, con riferimento anche alla telefonia mobile dell’ultima generazione, è stato riscontrato che le nuove reti satellitari consentono di individuare esattamente l’ubicazione dell’apparecchiatura terminale dell’utente, percio’ la proposta di direttiva prevede che tali dati possano essere utilizzati solo con il consenso dell’abbonato, salvo deroghe per servizi di emergenza, sicurezza pubblica e indagini penali. Infine, i messaggi elettronici ai fini di commercializzazione diretta e non sollecitati dall’abbonato (la posta-spazzatura detta spam) saranno coperti dallo stesso tipo di protezione in vigore per i telefax: cio’ significa che l’invio di una massa di messaggi elettronici non richiesti sarà vietato.
[20] Una delle questioni più spinose delle comunicazioni via Internet, relative ai servizi di posta elettronica, e’ che il dato diffuso (indirizzo e-mail) coincide con il dato che dovrebbe essere tutelato. L’arsenale giuridico attualmente esistente per la protezione dei dati personali risulta del tutto carente in questo caso.
[21] Basti pensare al caso di una compagnia assicurativa che riesca ad ottenere da una banca le informazioni sulle spese in sanità di un correntista intenzionato a farsi una polizza sulla vita.
[22] Vedi BALLARINO C., Internet nel mondo della legge, Padova, Cedam, 1998, p.343.
[23] In particolare possono costituire un’intrusione nella vita privata la raccolta invisibile di informazioni attraverso i c.d. “cookies”. Si tratta di corte catene di caratteri numerici introdotte sul disco duro (computer) di un visitatore di determinati siti internet. Vengono predisposti dall’ideatore del sito (webmaster) per registrare il passaggio degli utilizzatori, il numero di pagine consultate, data e ora della visita, terminale dal quale parte la connessione ecc. Ad ogni collegamento si ricostruisce più precisamente il profilo commerciale del consumatore. Tutto ciò all’insaputa del navigatore di turno.
[24] Come raccontato da AKDENIZ Y. nell’articolo “New Privacy Concerns: ISP’s Crime, Prevention and Consumers’ Rights” pubblicato su International Review of Law Computers & Technology, vol.14. n.1, 2000, p. 56-61, ma già divulgato nella quattordicesima conferenza BILETA tenutasi a York il 29 e 30 marzo 1999.
[25] Vedi BALLARINO C., Internet nel mondo della legge, Padova, Cedam, 1998, p.343.
[26] Vedi SUDRE F., Droit international et européen des droits de l’homme, 3^ ed., 1997, p. 215.
[27] Caso Malone, sentenza del 2 agosto 1984, (A.82). Vedi anche il caso A. contro Francia, 23 novembre 1993, (A.277 B).
[28] Funke, 25 febbraio 1993 (A.256 A).
[29] Niemetz, 16 dicembre 1992 (A.251 B).
[30] In ogni caso di violazione della privacy sarebbe possibile un’azione davanti alla Corte europea dei Diritti dell’Uomo solo dopo che l’illecito si e’ verificato e soltanto ove l’agente abbia reso pubblici o utilizzato i dati scoperti.
[31] Cfr. art. 23, comma 3, del codice in materia di protezione dei dati personali. Salvo le ipotesi di esclusione espressamente contemplate ex art. 24, com’è noto, è richiesta la forma scritta e non solamente la documentazione per iscritto, del consenso relativo ad un trattamento di dati sensibili. Cfr. art. 23, comma 4.
[32] La connessione tra obblighi informativi e consenso sembra in linea con i principi di tutela del consumatore introdotti nel nostro ordinamento per impulso del legislatore comunitario.
[33] Rodotà S., Tra diritti fondamentali ed elasticità della normativa: il nuovo codice della privacy, in Europa e diritto privato, 2004, fasc. 1, pp. 1-10.
[34] A rigore ne deriva che, ove la raccolta dei dati avvenga presso un soggetto diverso dall’interessato, l’informativa deve essere immediatamente rilasciata a questi e non all’interessato medesimo.
[35] La norma è stata criticata da Elli G., Il nuovo codice della privacy: commento al d.lgs. 30 giugno 2003, n. 196 con la giurisprudenza del Garante, Torino, con riferimento all’individuazione del tempo di rilascio dell’informativa dell’interessato: in particolare si è detto che il differimento del dies ad quem dell’invio dell’informativa per l’ipotesi in cui il trattamento preveda la comunicazione dei dati appare incongruo se si considera che proprio in tal caso l’interessato si trova maggiormente esposto a possibili conseguenze pregiudizievoli che avrebbero suggerito un’estensione di tutela. Per altro verso, è stato sottolineato da Cannada L., A proposito di tutela della riservatezza, in Il diritto processuale amministrativo, 1999 fasc. 3, p. 725 ss., che nella proposizione disgiuntiva (“L’interessato o la persona presso la quale sono raccolti i dati”) si rende concreta la possibilità che i dati personali vengano forniti da una persona diversa dal titolare, senza peraltro che essi siano contenuti in una “banca di dati” (si pensi ad informazioni sul coniuge o sul familiare, sul singolo dipendente ecc.). E’ pur vero che il trattamento richiederà comunque il consenso e tuttavia si comprende che le informazioni fornite al momento della raccolta non pervengono al soggetto che è l’effettivo avente diritto e dunque, sostanzialmente, non realizzano lo scopo della norma. Mentre, infatti, il titolare potrebbe, sulla scorta delle informazioni, rifiutarsi di rispondere, la persona (terza) che fornisce i dati potrebbe valutare diversamente l’opportunità, e viceversa. In altri termini, senza giungere al punto da affermare una privativa sui propri dati (che dunque inibirebbe a terzi di divulgarli), il terzo non si trova nella migliore delle posizioni per decidere se fornirli a chi glieli chiede. Cfr. Macrini G., Il diritto alla riservatezza: l’incidenza delle nuove tecnologie, in Il merito 2004, fasc. 9, p. 22 ss.
[36] Con riferimento all’eccezione di cui alla lett. c, occorre sottolineare che il codice ha aggiunto, rispetto alle corrispondenti norme contenute nella citata l. 675/1996, che, ove l’informativa non sia dovuta in ragione del fatto che essa comporti un impiego di mezzi che il Garante giudichi manifestamente sproporzionati o in ragione del fatto che essa risulti impossibile da rendere, il Garante è tenuto a prescrivere “misure appropriate” a maggior garanzia dell’interessato. Si noti ancora che, per espressa previsione normativa già contenuta nel precedente testo di legge, l’esonero dall’obbligo di informativa deve essere preceduto da una richiesta al Garante e da una sua successiva autorizzazione solamente per le ipotesi ora contemplate ex art. 13, comma 5, lett. c, del Codice, mentre, per le ipotesi sub lett. a e b, l’esonero opera automaticamente.
[37] Si è discusso se trattasi di esonero solamente parziale o anche totale. Propende per la prima soluzione interpretativa autorevole dottrina, la quale, in sede di commento dell’art. 10, comma 2, della l. 675/1996, ha precisato che “dalla sua formulazione sembrerebbe che una informativa ci debba comunque essere, anche se priva di taluni elementi e dunque il soggetto dovrebbe sempre ricevere la comunicazione”.
[38] Stando alla Relazione al codice, tale previsione sarebbe stata resa con particolare riferimento al call – center, venendo incontro “all’avvertita esigenza di assicurare, in maniera agevole, il rispetto dell’obbligo di fornire l’informativa anche per trattamenti in cui il contatto diretto con l’interessato non vede quest’ultimo fisicamente presente”.
[39] Morigi P., Codice sulla privacy: nuove regole sulla sicurezza dei dati personali, in La Finanza locale, 2004, fasc. 4, pp. 11-13.
[40] Il riferimento va in particolare a Putigliani A., Consenso, informativa e direct marketing, in www.ltalex.it, 17/05/2001, il quale si sofferma proprio sulla uestione del trattamento dei dati personali nel commercio elettronico, anche con riguardo all’essenziale momento dell’informativa. Nell’introdurre il suo discorso egli infatti sostiene che il futuro della pratica definibile come direct marketing (che, appare evidente, stretta relazione ha esattamente con l’informativa) è connesso all’utilizzo della rete telematica. Il problema nasce dal fatto che mentre per il mittente il coto dell’operazione resta basso, per il destinatario invece la sopportazione dei costi è assolutamente elevata, sia in termini di pagamento di tempo che di costi monetari. Ed è per questo che, riporta l’autore, o si procede ad un’informativa cosciente e personalizzata oppure è il caso di acogliere le doglianze di numerose associazioni di consumatori che, in particolare negli Stati Uniti, hanno optato per la richiesta di risarcimento del danno oppure, in generale, per la proibizione dell’invio di mail con autorizzate.
[41] Al tempo stesso, il comma 2 precisa che non v’è bisogno di riottenere il consenso dell’interessato operazione dopo operazione, ovvero ai fini della divulgazione dei dati, sempre che il consenso sia rapportato univocamente all’intero spettro delle operazioni indicate nell’art. 1.
[42] Ciò non toglie che l’informativa di cui all’art. 13 del codice e la “formula” del consenso possano essere contenute nello stesso modulo, però in modo tale da consentire all’interessato di prendere visione dell’informativa prima della prestazione del consenso.
[43] V. PUTIGNANI A., Consenso e disposizione della privacy, in CLEMENTE A. (a cura di), “Privacy”, Padova, Cedam, 1999, p. 237 secondo il quale la “strategia del consenso informato rappresenta il presupposto fondamentale per un efficace controllo”.
[44] Guardando al contesto comunitario si può ritenere che il legislatore abbia considerato anche quei casi in cui il consenso, pur non essendo viziato da errore, violenza e dolo ai sensi degli artt. 1427 s. c.c. è indotto da pressioni, situazioni di debolezza contrattuale o da altre circostanze che non lo rendono frutto di una determinazione spontanea e consapevole o che lo piegano al raggiungimento di obiettivi che esulano dalla causa del negozio concluso.
[45] La questione fu comunque risolta in questi termini dalla nota “Decisione BNL” in cui il Garante evidenziò che il consenso doveva riguardare un preciso genere di trattamento effettuato a cura di un ben individuato titolare.
[46] In questi termini si ritiene che un titolare possa fornire l’informativa e raccogliere il consenso per sé e per altri. Si tratta del caso in cui il titolare raccolga i dati per sottoporli ad un proprio trattamento nonché per comunicarli a terzi (individuati) i quali, a loro volta, li sottopongano a trattamento avvalendosi del consenso già raccolto dal soggetto dal quale provengono.
[47] Si veda, sul punto, Garante, provvedimento 14 settembre 2000 in http://www.garanteprivacy.it/garante/doc.jsp?ID=72213, consultato il 10 febbraio 2005; Garante, provvedimento 13 gennaio 2000, in Bollettino, 11-12, p. 39 nonché, in via generale, Garante, Relazione 2000, Roma, 2001, p. 66.
[48] Diverse conclusioni, evidentemente, si raggiungono nel caso in cui la raccolta dei dati sia effettuata attraverso mezzi informatici o telematici mediante l’uso della firma digitale (di cui al nuovo codice dell’amministrazione digitale, introdotto con il d.lgs. 82/2005).
[49] Ma, sul punto, si veda più ampiamente ed approfonditamente MANES P., Il consenso al trattamento dei dati personali, Padova, Cedam, 2001.
[50] Il consenso, infatti, pur potendo essere prestato per un fine meramente patrimoniale, non possiede un tale contenuto.
[51] In merito PATTI A., Il consenso dell’interessato al trattamento dei dati personali, in Rivista di diritto civile, 1999, II, p. 455 ss., ritiene che, a certe condizioni, dovrebbe ritenersi abilitato alla prestazione del consenso anche chi non è capace di intendere e di volere.
[52] È allora utile richiamare, ancora una volta, Putigliani A., Consenso, informativae direct marketing, in www.interlex.it, 17/05/2001, che torna sul problema accennato del rapporto tra associazioni politiche e consenso al trattamento dei dati personali da parte dei destinatari e specifica che: “Tuttavia, una simile privativa generalizzata, pur giustificata dalla sostanziale omogeneità di metodo e dal similare potere di condizionamento indotto ravvisabile tra le due forme di pubblicità, ignora la distinzione, propria dei sistemi europei, tra comunicazione commerciale (che gode di minori margini di tolleranza) e comunicazione politica e sociale (Vi è da ricordare, sul punto, che se negli USA la garanzia del Primo Emendamento (comune ad entrambe le forme di propaganda) è interpretata in modo assai più restrittivo per il commercial free speech, nel nostro ordinamento il fondamento primario della libertà di propaganda commerciale è costituito dall’art. 41 Cost. e non dall’art. 21 Cost., con le inevitabili differenze nel bilanciamento con il diritto alla tutela della vita privata (soprattutto alla luce dell’art. 41, comma 2, Cost.).
[53] Di diritto alla tutela dei propri dati personali parla MIRABELLI G., in Diritto dell’informatica, 1993, p. 317, che, contrapponendosi all’indirizzo che vede nei diritti riconosciuti all’interessato la riconferma di diritti già riconosciuti (quali la riservatezza e l’identità personale), postula la creazione di un nuovo diritto della personalità.
[54] Le parole tra virgolette sono di RODOTÀ S., dal discorso del Presidente del Garante per la protezione dei dati personali, 2002, in http://www.garanteprivacy.it/garante/doc.jsp?ID=722132, consultato il 15 febbraio 2005 . L’Autore già nei suoi scritti precedenti (Persona, riservatezza, identità. Prime note sistematiche sulla protezione dei dati personali, 1997; Tecnologie e diritti, 1995 e Repertorio di fine secolo, 1992) aveva rilevato un mutamento del concetto di privacy, sino a ricomprendervi “quell’insieme di azioni, comportamenti, opinioni, preferenze, informazioni personali in cui l’interessato intende mantenere un controllo esclusivo, non per garantirne la riservatezza, ma per assicurarsi una piena libertà di scelta”.
[55] È significativo ad esempio quanto sostenuto da Ricchiuto P., Privacy e comunicazioni indesiderate, un nuovo capitolo, in www.altalex.it, 23/02/2006, il quale si sofferma appunto sulle cosiddette “disciplina parallele, ovvero, quelle definizioni che, pur dettate in ambiti estranei alla tutela della riservatezza, disciplinano anch’esse il fenomeno delle comunicazioni commerciali, e dunque incidono sulla tutela dei dati personali. L’autor cita soprattutto larticolo 9 del decreto legislativo 70 del 2003, propro in materia di commercio elettronico, che disciplina l’invio di e-mail con un sistema di opt-out puro, ovvero anche la problematica della commercializzazione a distanza dei servizi finanziari, prescrivendosi il necessaro consenso preventivo per quasi tutte le ipotesi relative.
[56] Come sempre la lettura e la ricerca sul web e sui siti specializzati permettono di avere buoni riferimenti pratici in questo senso. Si prenda il caso del trattamento di informazioni da parte di un internet provider che è tenuto anch’esso, al pari di altri soggetti pubblici o privati, a notificare l’avvenuto o realizzando trattamento dei dati personali.
[57] La tecnica di normazione ha voluto fissare solamente i criteri per l’individuazione dei trattamenti connotati da rischi specifici, evitando di cristallizzare il precetto in riferimento a fattispecie predeterminate. L’indagine, pertanto, va condotta ogni volta che se ne ravvisi la necessità, sulla base dei parametri sopra richiamati.
[58] Cfr. BORRUSO R., Computer e diritto, Milano, Giuffrè, 1988, vol. I, p. 320 ss.
[59] Acciai, R., Il diritto alla protezione dei dati personali: la disciplina sulla privacy alla luce del nuovo codice, Milano, 2004.
[60] Per il quale “Le misure e gli accorgimenti di cui al comma 1 sono prescritti dal Garante in applicazione dei principi sanciti dal presente codice, nell’ambito di una verifica preliminare all’inizio del trattamento, effettuata anche in relazione a determinate categorie di titolari o di trattamenti, anche a seguito di un interpello del titolare”.
[61] Si noti che il testuale riferimento ad ogni altro tipo di determinazione in relazione alla conclusione del contratto, ovvero in accoglimento di una proposta dell’interessato rende chiaro il riferimento all’uso di agenti software o ad altri sistemi di intelligenza artificiale, in grado di giungere autonomamente alla determinazione in ordine alla eventuale stipulazione del contratto.
[62] Si pensi a talune ipotesi di alternative dispute resolution di natura tipicamente negoziale, ivi compreso l’arbitrato irrituale, le quali potrebbero essere affidate a sistemi informatici intelligenti.
[63] Si vedano in proposito i rilievi svolti sul sito www.altalex.it, ove si fa cenno alla diferenza tra hosting ed housing. I primi sono gli operatori che ospiano sulle loro macchine siti di altri soggetti e che, compieno per lo più operazioni “ a basso profilo tecnico”, non ingenerano particolari preoccupazioni. Più complessa e delicata è la questione che riguarda l’housing ove si fa riferimento alla fornitura dello spazio fisico sul quale porre le macchine dei clienti. Ebbene, mentre questi ultimi sono titolari delle informazioni concesse, si dovrà porre l’accento (e, possibilmente, prevenire) ogni possibile abuso da parte dei soggetti incaricati dell’housing o, anche, dell’hosting.
[64] È bene cioè avere sempre riguardo all’aspetto pratic, ed è per questa ragione che si sono riportati, nel corso della trattazione, frequenti esempi di trattamento di dati personali, ma è pur vero che l’attenzione non va distolta nemmeno dalle considerazioni di carattere generale, che permettono di chiarire, con riguardo anche (ma non solo) ai profili legati al commercio elettronico, come vengono trattati i dati personali o, meglio, come questi dovrebbero essere trattati per non ingenerare problemi.
[65] Si è chiesto, più volte, ma con esito negativo, di introdurre nell’ordinamento alcuni strumenti di garanzia, modellati sulla tutela possessoria, poiché vi era il rischio che i diritti della personalità, che hanno valenza prevalentemente non patrimoniale, potessero perdere contenuto trasformandosi in un diritto all’indennizzo. Finora si è fatto ricorso ai provvedimenti d’urgenza, previsti dall’art. 700 c.p.c., i quali, concepiti come misure residuali atipiche, utilizzabili per la tutela di qualsiasi diritto indipendentemente dal relativo contenuto, hanno svolto un ruolo importante per la salvaguardia di situazioni soggettive nuove, collegate, in modo particolare, ai diritti della personalità.
[66] Giammorretti F., Gli adempimenti imposti dal codice della privacy, in Diritto e Formazione, 2004, fasc. 11, p. 1601.
[67] Il reclamo è sottoscritto dagli interessati, o da associazioni che li rappresentano anche ai sensi dell’art. 9, comma 2, ed è presentato al Garante senza particolari formalità. Il reclamo reca in allegato la documentazione utile ai fini della sua valutazione nonchè l’eventuale procura, e indica un recapito per l’invio di comunicazioni anche tramite posta elettronica, telefax o telefono.
[68] Manna A., Codice della privacy: nuove garanzie per i cittadini nel testo unico in materia di protezione dei dati personali, Commento a d.lgs. 30 giugno2003, n.196, in Diritto penale e processo, 2004, fasc. 1, pp. 17-31.
[69] Al ricorso è altresì unita la documentazione utile ai fini della sua valutazione e l’indicazione di un recapito per l’invio di comunicazioni al ricorrente o al procuratore speciale mediante posta elettronica, telefax o telefono.
Il ricorso è rivolto al Garante e la relativa sottoscrizione è autenticata. L’autenticazione non è richiesta se la sottoscrizione è apposta presso l’Ufficio del Garante o da un procuratore speciale iscritto all’albo degli avvocati al quale la procura è conferita ai sensi dell’art. 83 del codice di procedura civile, ovvero con firma digitale in conformità alla normativa vigente.
[70] Morigi P., Codice sulla privacy: nuove regole sulla sicurezza dei dati personali, in La Finanza locale, 2004, fasc. 4, pp. 11-13.
[71] Assunte le necessarie informazioni il Garante, se ritiene fondato il ricorso, ordina al titolare, con decisione motivata, la cessazione del comportamento illegittimo, indicando le misure necessarie a tutela dei diritti dell’interessato e assegnando un termine per la loro adozione. La mancata pronuncia sul ricorso, decorsi sessanta giorni dalla data di presentazione, equivale a rigetto (art. 150, comma 2).
[72] Rodotà S., Tra diritti fondamentali ed elasticità della normativa: il nuovo codice della privacy, in Europa e diritto privato, 2004, fasc.1, pp.1-10.
[73] Quando è stata prospettata l’urgenza dell’intervento, il Garante è intervenuto con assoluta tempestività, addirittura esprimendo il suo parere nel giro di un paio d’ore, com’è avvenuto in occasione della ricerca telefonica dei dispersi nel Sud-est asiatico.
[74] Numerosi sono ovviamente, in generale, gli interventi che hanno attinenza con la tutela dei dati personali che questa Autorità amministrativa viene a trattare. È necessario distinguere, al loro interno, in particolare quelli che sono sembrati più rilevanti rispetto agli altri perché connessi, in via diretta o per lo meno indiretta, all’utilizzabilità di questi dati per mezzo di sistemi di commercio elettronico.
[75] Si vedano in particolare quei riferimenti contenuti nella newsletter n. 247 del 2005, sul sito del’Autorithy, in cui si specifica espressamente che Chi effettua propaganda elettorale tramite fax, telefono cellulare, e-mail ha l’obbligo di dare l’informativa ai cittadini e acquisirne il consenso prima di qualsiasi comunicazione. L’uso dei numeri dei cellulari per l’invio di messaggi Sms e Mms è vietato senza il consenso preventivo e informato dell’abbonato o del reale utilizzatore della scheda prepagata. Allo stesso regime sottostanno gli indirizzi e-mail i quali, come sottolineato più volte dal Garante, non rientrano tra le fonti pubbliche utilizzabili liberamente. E’ quindi illecito il loro uso senza consenso preventivo dell’abbonato.
[76] Ad esempio con newsletter dell’agosto del 2002, rinvenibile sul sito internet dell’autorità, si condannava pienamente il ricorso ad email a catena, intervenendo nel sanzionare il comportamento di un privato che, convinto di prendere parte ad un intervento commerciale, aveva inviato una serie di mail a catena a diversi soggetti, ripetendo la pratica nel tempo.
[77] Va rilevato che il codice sulla protezione dei dati personali attribuisce pieno valore a tale esigenza, collocandola nel secondo comma dell’art. 2, per cui il trattamento dei dati personali deve assicurare un elevato livello di tutela dei diritti e delle libertà nel rispetto del principio di semplificazione, armonizzazione ed efficacia.
[78] E allora ognuno che operi in un dato tratto della vita sociale, economica, produttiva, in base a questa ripartizione dei trattamenti, prende cognizione del nucleo preciso di diritti e di doveri che lo riguardano.
[79] La Comunità europea originariamente garantiva solo diritti strettamente necessari per l’instaurazione del mercato unico. Erano 4 libertà: libertà di circolazione delle persone, dei capitali, dei beni, dei servizi; non erano codificate altre libertà. Quando l’Europa politica ha cominciato a crescere con le istituzioni extra economiche, i diritti fondamentali hanno cominciato ad essere considerati patrimonio comune dei cittadini indipendentemente dalla loro funzione finanziaria. Il codice é contrassegnato da un costante raccordo tra fonti di diritto nazionale e fonti di diritto sovranazionale, un intreccio di fonti che sono la linfa vitale di ogni processo giuridico nella fase attuale del mondo contemporaneo.
[80] Tale linea metodica rappresenta l’allineamento del nostro modo di legiferare a quello già adottato da tempo nelle leggi di matrice anglosassone e, in maniera molto ampia, in tutte le direttive dell’Unione europea.
[81] Manna A., Codice della privacy: nuove garanzie per i cittadini nel testo unico in materia di protezione dei dati personali. Commento a d.lgs. 30 giugno 2003, n.196, in Diritto penale e processo, 2004, fasc. 1, pp. 17-31.
[82] Il potere sanzionatorio di tale misura è notevole, poiché toglie al trattamento irregolare ogni possibilità di produrre effetti giuridici.
[83] Il codice italiano apre la nuova fase dei codici “di terza generazione”, caratterizzata dall’ampliamento della loro efficacia e dalla rilevanza delle materie fondamentali che vanno a disciplinare. La codificazione autodisciplinare così prevista pone in risalto due aspetti innovativi: a) il ruolo del Garante; b) l’intreccio tra le fonti di diritto interno e quelle comunitarie.
[84] Si realizza per tale via uno dei maggiori valori innovativi, ossia il policentrismo delle fonti dei sistemi giuridici più avanzati, ordinati su più livelli (i c.d. “ordinamenti binari”).
Ha rilievo preminente la considerazione che tutta la vasta area dei trattamenti di dati personali è caratterizzata da una evoluzione tecnologica incessante, impetuosa: di qui la necessità che le regole inerenti a tale materia abbiano sufficienti requisiti di elasticità e di semplicità, di capacità di adattamento alla incessante evoluzione dei settori interessati alla disciplina.
[85] Come è noto, la direttiva comunitaria del 1995 aveva lasciato totalmente in ombra la disciplina del trattamento dei dati personali da parte dei soggetti pubblici.
[86] Tale nucleo di regole incide sulla trama fondamentale di rapporti fra il potere pubblico e la collettività, in un complesso contesto di reciproche esigenze e di reciproci limiti e in una necessaria rispondenza fra l’azione pubblica e la sfera della libertà e dei diritti dei cittadini. L’attuazione di tale nucleo normativo è un banco di prova dei valori custoditi e tutelati dall’ordinamento giuridico.
[87] Come si legge nella relazione di accompagnamento al codice, l’art. 152 introduce un procedimento molto snello, che tuttavia assicura pienamente alle parti le dovute garanzie, strutturato in modo da assicurare in tempi brevi la decisione.
[88] Quando sussiste pericolo imminente di un danno grave ed irreparabile, il giudice può emanare i provvedimenti necessari con decreto motivato, fissando, con il medesimo provvedimento, l’udienza di comparizione delle parti entro un termine non superiore a quindici giorni. In tale udienza, con ordinanza, il giudice conferma, modifica o revoca i provvedimenti emanati con decreto.
[89] Nel corso del giudizio il giudice dispone, anche d’ufficio, omettendo ogni formalità non necessaria al contraddittorio, i mezzi di prova che ritiene necessari e può disporre la citazione di testimoni anche senza la formulazione di capitoli.
Terminata l’istruttoria, il giudice invita le parti a precisare le conclusioni ed a procedere, nella stessa udienza, alla discussione orale della causa, pronunciando subito dopo la sentenza mediante lettura del dispositivo. Le motivazioni della sentenza sono depositate in cancelleria entro i successivi trenta giorni. Il giudice può anche redigere e leggere, unitamente al dispositivo, la motivazione della sentenza, che è subito dopo depositata in cancelleria.
Views: 187