Garante per la protezione
    dei dati personali

Newsletter

LA PRIVACY SECONDO IL CONSIGLIO D’EUROPA

Integrazione tra norme e codici deontologici, informative più chiare, maggiori risorse per le autorità di controllo: le strade da percorrere

Il Consiglio d'Europa ha fatto il punto sui diritti e i doveri dei cittadini rispetto alla protezione dei dati personali, in una conferenza tenutasi il 14 e 15 ottobre scorsi a Praga, affrontando quattro aree tematiche: come sensibilizzare gli interessati rispetto a diritti e doveri in un'ottica di crescente globalizzazione ed informatizzazione; come fornire informazioni adeguate; come garantire l'effettività del consenso prestato dall'interessato; come far valere i diritti che spettano a ciascun cittadino in rapporto al trattamento dei propri dati personali
(
http://www.coe.int/T/E/Legal_affairs/Legal_cooperation/Data_protection/Events/2Seminar%20(Prague%202004)%20e.asp).

La Conferenza ha visto la partecipazione di molti esperti e studiosi europei, oltre che di rappresentanti delle autorità di protezione dati dei Paesi membri del Consiglio d'Europa. Su ciascuno dei quattro temi all'ordine del giorno è stata tenuta una lezione, cui hanno fatto seguito una tavola rotonda ed altri interventi su materie connesse. Il punto di partenza è stata la Convenzione 108 del Consiglio d'Europa sulla protezione dei dati personali, approvata nel 1981.

Ne è emerso un bilancio che presenta, come è logico attendersi, luci ed ombre. Tutti gli intervenuti si sono detti comunque sostanzialmente ottimisti sulle prospettive di un'effettiva tutela dei diritti degli interessati, attraverso l'uso intelligente delle tecnologie dell'informazione ed una maggiore sensibilizzazione di tutte le parti in causa. Sono state indicate anche alcune linee-guida per realizzare tali obiettivi.

E' necessario, innanzitutto, ricercare sinergie fra soluzioni normative e soluzioni autoregolamentative. Nessuna delle due strade sembra condurre a risultati soddisfacenti se imboccata da sola; pertanto, è preferibile un approccio di co-regolamentazione in cui i contributi degli operatori (associazioni di categoria, ISP) siano recepiti dal legislatore attraverso idonei strumenti (codici di condotta, potenziamento della diffusione di Privacy Enhancing Technologies — Tecnologie di potenziamento della privacy). Contemporaneamente si deve puntare sulla sensibilizzazione di tutti gli utenti e consumatori per realizzare l'obiettivo (spesso solo teorico) del cosiddetto "user empowerment"; qui è fondamentale il ruolo del settore pubblico e degli Stati in particolare.

L'informativa è uno dei cardini del trattamento di dati personali: è necessario perseguire l'obiettivo di un'informativa quanto più possibile standardizzata (vi sono varie esperienze in corso, a livello nazionale e regionale — vedi l'attività del Gruppo di lavoro dei garanti europei), chiara, ed anche accattivante per l'utente, soprattutto in rapporto alla raccolta di dati personali su Internet. Per contro, i titolari di trattamento devono poter contare su indicazioni chiare da parte del legislatore e delle autorità di controllo; tuttavia, la tutela della privacy non può diventare un alibi per ostacolare l'accesso ai documenti pubblici.

Si deve garantire, poi, l'effettività del consenso, puntando ad un consenso specifico ed informato. Qualsiasi limitazione o deroga rispetto alla necessità di ottenere il consenso dell'interessato deve essere controbilanciata da requisiti più severi concernenti, ad esempio, l'informativa ovvero la trasparenza delle operazioni di trattamento dei dati. Ciò vale in modo particolare nel contesto dei rapporti di lavoro.

Infine, gli interessati devono avere l'opportunità di scegliere fra strumenti di diritto civile, amministrativo e penale per far valere i propri diritti, secondo le specifiche circostanze. La protezione dei dati investe trasversalmente tutti i settori tradizionali del diritto, pertanto deve essere possibile utilizzare sia strumenti tradizionali (azioni in giudizio, risarcimento per danni morali, sanzioni penali in caso di trattamenti illeciti di dati personali) sia strumenti non tradizionali quali i poteri delle autorità di controllo indipendenti (certificazione di buone prassi e/o prodotti, controlli preliminari, sanzioni nei confronti di contravventori, sensibilizzazione dell'opinione pubblica).