Garante per la protezione
    dei dati personali


RELAZIONE PER L'ANNO 2005

DISCORSO DEL PRESIDENTE
FRANCESCO PIZZETTI

Signor Presidente dellaRepubblica,

Signori Presidenti delleCamere,

Signore e Signori,

                        nelpresentare per la prima volta la Relazione sull'attività dell'Autorità, i miei colleghied io sentiamo profondamente l'importanza dell'appuntamento e dell'ereditàricevuta dai componenti dei Collegi precedenti al nostro, presieduti dallagrande personalità di Stefano Rodotà. Collegi che hanno edificato e diffuso nelPaese la cultura della privacy, intesa come un più avanzato dirittofondamentale, a presidio della libertà e della dignità delle persone nellasocietà dell'informatizzazione e del trattamento sempre più massiccio dei datipersonali.

Il Garante ha dato vitain questi anni ad una significativa esperienza umana e professionale. Haraccolto intorno a sé donne e uomini di valore che, insieme al SegretarioGenerale, hanno maturato competenze e professionalità e che vanno ringraziatiper il grande impegno profuso.

A livello europeo,l'Autorità ha assunto un ruolo trainante e, anche per il contributo personaledi Rodotà, la tutela dei dati è oggi un diritto fondamentale dei cittadinieuropei, sancito nella Carta dei diritti dell'Unione e poi trasfuso nelTrattato costituzionale che prevede espressamente i Garanti della protezionedei dati personali, come le sole "necessarie" Autorità indipendenti.

Abbiamo ricevuto unpatrimonio prezioso che intendiamo onorare, persuasi che, in una democraziamatura e rispettosa della dignità della persona, la protezione dei datirappresenta un crocevia in cui si intersecano interessi, valori e diritti.

 

La protezione dei datipersonali nelle società "a cambiamento velocissimo"

Le tecnologie sisviluppano con una rapidità inaudita; le relazioni fra gli uomini e i popolihanno una dimensione globale e una latitudine in cui, senza la mediazione dellatecnica, l'orizzonte non è più visibile allo sguardo dell'uomo; il bisogno dicomunicare, di raggiungere tutti e ognuno, convive con l'aspirazione ad un'esistenzasicura, posta al riparo da vecchi e nuovi pericoli.

La società della tecnica,già diventata nel secolo scorso una società "a cambiamento veloce", èdivenuta oggi una società "a cambiamento velocissimo".

Il nostro bagaglio dicognizioni è sempre più inadeguato a dare risposte convincenti e persuasiveagli interrogativi che gli sviluppi della tecnica pongono alla nostracoscienza.

Rispetto a questaincredibile metamorfosi, è naturale interrogarsi sulla possibilità dell'uomo diesercitare un ruolo di guida e di governo del progresso tecnico; sulla suacapacità di indirizzare l'uso della tecnologia, che è un mezzo, verso fini erisultati al servizio dell'uomo e rispettosi della sua dignità.

La tecnologia può essereun formidabile strumento di libertà oppure causa di inedite differenziazionisociali.

È qui che si colloca ilvalore fondamentale racchiuso nelle regole e nei comportamenti in cui consisteil diritto alla privacy.

La protezione dei datipersonali assolve un ruolo essenziale nella ricerca di un rapporto armonico ebilanciato fra l'uomo e la tecnica; fra la società in continuo divenire e lacapacità di adattamento dell'individuo.

È indispensabilel'esistenza di istituzioni capaci di assicurare che i dati accumulati graziealle tecnologie non siano usati contro di noi, ma solo per noi.

In una società libera edemocratica, la tutela dei valori e dei principi connaturati all'esserecittadino rappresenta la risposta più efficace per contrastare una letturapessimista del progresso.

La compatibilità democraticae l'accettazione sociale della tecnologia richiedono un sistema di garanzie chea pieno titolo comprende anche la protezione dati.

Più cresce la mobilitàesistenziale e sociale che, consapevolmente o inconsapevolmente, ci fadisperdere parti del nostro essere in innumerevoli luoghi, più è essenzialel'attività di un'Autorità che, proteggendo i dati di ciascuno da trattamentiindebiti, consenta di tenere l'identità di tutti al riparo da unaframmentazione e ricomposizione artificiale, che trasformerebbe ciascuno di noiin una "cosa".

 

Opportunità e timori

La protezione dei datipersonali si situa, dunque, sul confine che divide la fiducia dalla paura,l'oppressione e il controllo dalla libertà e dalla democrazia.

Solo se si è certi chevengono richieste le informazioni realmente necessarie, e che queste sonoprotette e rese inaccessibili a chi non ha diritto di conoscerle, si potrannosfruttare senza timore le opportunità che la tecnica offre.

Perché si deve temere chela carta di credito usata via Internet possa essere clonata o che larilevazione della targa dell'auto possa essere usata per tracciare glispostamenti e localizzare le persone?

Perché quando si fa unatelefonata, si manda un sms o una e-mail, si accede a un sito Internet, sideve aver timore di essere ascoltati, letti, spiati?

Perché quando si acquistaun prodotto si deve aver paura che vi sia chi analizza le nostre scelte perconoscere e profilare i gusti, le preferenze, la stessa capacità di acquisto?

Perché si deve esserecostretti a guardare con timore alla richiesta di avere un dato biometrico e ilDNA, anche quando questa richiesta sia fatta per curare o per proteggere?

Perché accettare che ilgrande villaggio globale debba essere una giungla senza regole, nella qualeinformazioni, errate o esatte, obsolete o recenti, possano essere catturate ediffuse senza che sia possibile verificare chi e per quali scopi lo fa, e senzache si possa rivendicare che esse siano rettificate o cancellate?

Perché dovremmo accettaredi perdere la nostra anima per salvare il nostro corpo o, al contrario,rischiare di perdere il nostro corpo per salvare la nostra anima?

Sono dilemmi di fronte aiquali le nostre società non devono essere costrette a trovarsi. Mai!

La nostra Autorità, anchenell'anno trascorso, si è interrogata su tutto ciò. Abbiamo agito conl'obiettivo di governare, per quanto ci è possibile, il cambiamento in corso.

Nei settori maggiormenteesposti, abbiamo intensificato le attività di disciplina, di verifica e diaccertamento.

Tra i provvedimenti piùinnovativi possiamo ricordare quelli che hanno precisato i limiti e i casi incui l'utilizzo dei dati biometrici può essere applicato ai lavoratori; ilprovvedimento generale di inizio d'anno sull'uso delle etichette intelligenti(o RFID) e le successive decisioni relative ai limiti della loro applicazionenegli istituti bancari e nei luoghi di lavoro; l'iniziativa – la prima daparte di un'Autorità di protezione dati – assunta nei confronti diGoogle, al fine di ottenere che le regole della privacy, dalla rettifica deidati sino al diritto all'oblìo, siano rispettate dai motori di ricerca inInternet, anche quando il gestore sia stabilito fuori del territorio italiano.

L'attività svolta conGoogle America, peraltro ancora in corso, assume una ulteriore valenza. Essa èun primo passo concreto per introdurre garanzie per gli utenti adeguate alleattuali forme di utilizzazione di Internet. Un passo che stiamo facendo anchecon il sostegno delle altre Autorità europee.

Ci guida laconsapevolezza che la mancanza di poteri regolatori sovranazionali e laperdurante assenza della tanto necessaria "Costituzione di Internet",se rappresentano un'espressione della libertà nella rete costituiscono peròanche un serio limite ad un'effettiva tutela nel mondo telematico.

È la stessaconsapevolezza che ci ha spinto a promuovere sul versante nazionalel'elaborazione di un codice deontologico degli operatori di Internet, chesperiamo possa vedere la luce entro l'anno.

 

Le imprese e il lavoronella rete dei dati

Anche il sistemaeconomico è coinvolto in questo processo di innovazione, che moltiplica iltrattamento dei dati.

Nonostante ciò, la tuteladei dati personali è spesso avvertita dal mondo delle attività produttive comeun vincolo e un freno.

É probabile che questaopinione trovi giustificazione nella strumentazione giuridica, che in alcunicasi è generale ed uniforme e, quindi, non coglie a pieno le differenze fra lediverse realtà produttive e le diseguali dimensioni di impresa. Possono,pertanto, essere opportune idonee soluzioni di semplificazione.

Un punto però deve esseretenuto ben fermo.

La protezione dei datipersonali non è un "lusso" o un "orpello" a cui possiamorinunciare. é una necessità in un mondo in cui l'uso di dati è condizionevitale per la crescita economica e spesso per la sopravvivenza delle imprese.

Se il portafoglio ordini,i sistemi di approvvigionamento, i dati relativi ai dipendenti, ai consulenti,ai clienti, non sono protetti, può essere a rischio una parte essenziale delpatrimonio aziendale, dell'avviamento commerciale, del valore stesso delmarchio.

La protezione dei datipuò e deve essere un "valore aggiunto".

Sui giornali campeggianospesso inserzioni pubblicitarie che propongono l'acquisto di apparecchiature"sicure". Man mano che crescerà la consapevolezza dei valori e deipericoli in gioco, vedremo sempre più le imprese offrire prodotti chepromettono la sicurezza dei dati.

La "compatibilitàprivacy" sarà sempre più un valore essenziale anche per la qualità deiprodotti.

La privacy non è dunquesolo un costo. é anche una importante risorsa.

Abbiamo, pertanto,salutato con soddisfazione la decisione del Governo precedente di non rinviareil termine per l'adozione dei documenti programmatici di sicurezza. Questonecessario adempimento è stato avvertito da molti come "costoso" e"burocratico".

Non è così.

Esso risponde a unarilevante finalità: garantire al lavoratore, al cittadino, all'utente e alconsumatore la tutela dei diritti fondamentali della personalità. Si pensi airischi per il lavoratore cagionati dall'uso di tecnologie produttive nonregolate, o ai danni a cui può essere esposto l'utente o il consumatoredall'uso non protetto dei dati.

Ma vi è di più:l'adozione del documento programmatico stimola gli operatori ad assimilare lacultura della privacy.

È possibile semplificarealcune regole anche in questo campo. Siamo disposti a discuterne e per ciòabbiamo incontrato le associazioni di categoria e promosso una consultazionepubblica con gli operatori.

Abbiamo sempre detto, equi lo ripetiamo, che vogliamo intensificare il dialogo con le imprese, lecategorie economiche, i sindacati, le associazioni di rappresentanza, il mondodegli utenti e dei consumatori.

Vogliamo essere sostegnoanche per coloro che svolgono attività professionali, collaborando con gliordini e le categorie. Con questo intento, abbiamo avviato il tavolo per laredazione del codice deontologico sull'utilizzo dei dati nell'ambitodell'attività forense; abbiamo promosso un'attività di consultazione con i medicidi base e con gli amministratori di condominio su provvedimenti che interessanotantissimi cittadini.

È con questo spirito cheabbiamo monitorato l'attuazione del codice deontologico nel settore del creditoal consumo; un settore che, nel 2005, ha movimentato una cifra pari a 76miliardi di euro. Abbiamo regolato le attività di marketing e di profilazionenella grande distribuzione commerciale e nell'offerta di servizi di variogenere, vietando quelle svolte senza il consenso dei consumatori.

È in questo quadro che sicollocano il provvedimento generale sulle cd. "carte di fedeltà", chesono oltre 30 milioni, e un recente provvedimento che ha vietato trattamentiilleciti nel settore alberghiero.

Abbiamo prestato laconsueta attenzione alla tematica relativa alla tutela delle informazionipersonali dei lavoratori, che presenta sempre nuove dimensioni e sfaccettature:ricordiamo, in particolare, l'utilizzo del sistema RFID che può determinareforme gravemente pervasive di controllo sulla vita del lavoratore.

Con riferimento allerelazioni tra cittadini e attività economiche, segnaliamo i provvedimenti sullesocietà di recupero crediti; sui rapporti dei cittadini con le compagnieassicurative; sulle corrette modalità di uso del telepass; sul rapporto tra utentie servizi di radio-taxi. Massima cura abbiamo dedicato ad agevolarel'aggiornamento della normativa antiriciclaggio.

Tenendo presente lanecessità di garantire la libertà di commercio e di circolazione dei beni,abbiamo rilasciato nuove autorizzazioni generali e dato esecuzione alledecisioni della Commissione europea sul trasferimento dati verso Paesi terzi,in applicazione dell'istituto delle clausole contrattuali tipo.

Intendiamo continuare adimpegnarci, insieme alle Autorità europee, sulla circolazione dei flussitransfrontalieri. Siamo convinti che la protezione dei dati non deve maitrasformarsi in una barriera che divida l'Europa dal resto del mondo.

Per questo, non ci siamosottratti al confronto con i principali privacy officer di importanti multinazionali,alla ricerca di soluzioni che, senza pregiudicare il diritto alla protezionedei dati, consentano di fluidificare gli scambi fra Unione e Paesi terzi.

Un'esortazione allegrandi e medie imprese italiane: è poco diffusa la figura del privacy officer, ben conosciuta invecein altri Paesi. é il segno di una certa fatica ad adeguarsi ad una visionedella protezione dati attiva e dinamica, essenziale per lo sviluppo del sistemaItalia.

 

La privacy entranell'Amministrazione Pubblica

Il 2005 è stato un annoparticolarmente importante per la protezione dati nella PubblicaAmministrazione.

La trasformazionedell'Amministrazione, sotto la spinta dell'innovazione tecnologica, moltiplicareti e archivi informatici. é forte la tentazione efficientista ad interconnetterlifra loro, determinando una circolazione incontrollata dei dati e l'accessoindiscriminato da parte degli operatori.

L'Autorità si è misuratacon questi fenomeni, affrontando la complessa vicenda nota come"Laziomatica". I provvedimenti prescrittivi e sanzionatori adottatisono un punto di riferimento non solo per i Comuni, ma per tuttal'Amministrazione: abbiamo dimostrato che è possibile far circolare i dati inrete senza duplicare gli archivi o accedere direttamente e indiscriminatamentealle banche dati.

Delicatissimo è, inoltre,il problema della protezione dei dati sensibili da parte della P.A., chiamataistituzionalmente a trattare una quantità enorme di dati riferiti alla salute,all'appartenenza etnica, alle opinioni e attività politiche e sindacali deicittadini.

Uno dei successi piùimportanti dell'attività svolta nel 2005, e proseguita nel 2006, è l'averfavorito e ottenuto l'adempimento da parte delle Pubbliche Amministrazionidell'obbligo di adottare i regolamenti per il trattamento dei dati sensibili.

Siamo grati al Governoprecedente e a quello in carica per l'impegno dimostrato in risposta allenostre sollecitazioni e consideriamo la proroga di recente approvata legataunicamente a ragioni obiettive derivanti dalle modifiche introdotte dal nuovoGoverno nella struttura di alcuni Ministeri e Dipartimenti.

Comuni, Province,Regioni, Università, Camere di Commercio hanno risposto bene, così comemoltissimi organi di rilevanza costituzionale, tutte le Autorità indipendenti,i grandi Enti nazionali e quasi tutti i Ministeri.

Il numero complessivodegli schemi di regolamento tipo relativi a categorie di enti e soggettipubblici approvati supera la cinquantina. Ad essi si aggiungono centinaia diregolamenti adottati dai singoli enti sulla base degli schemi tipo.

Possiamo dire che nel2005 la privacy ha fatto passi decisivi nella P.A.

È stata e continuerà adessere un'occasione preziosa per le Amministrazioni per ripensare se stesse,per riflettere sulle procedure interne, sulla funzionalità degli assettiorganizzativi, sull'effettiva necessità dei dati di volta in volta richiesti.

É iniziata una nuova epiù trasparente stagione nel rapporto fra Pubblica Amministrazione e cittadino.

Noi continueremo adoperare con scrupolo e con spirito collaborativo per verificare come il sistemaamministrativo riuscirà a convertire le regole adottate in virtuosa prassiamministrativa.

Anche quest'anno, delresto, il rapporto di collaborazione del Garante con l'Amministrazione hafavorito l'adozione di soluzioni positive in settori strategici, come adesempio in tema di monitoraggio della spesa sanitaria da parte del Ministerodell'Economia e delle finanze e di trattamento dei dati sensibili in materiasanitaria da parte delle Regioni.

Proprio la sanità ci ha impegnatomolto e continuerà a impegnarci in futuro. I provvedimenti relativiall'organizzazione delle strutture sanitarie finalizzati a tutelare lariservatezza degli assistiti, quelli relativi all'attuazione della recentedisciplina sulla procreazione assistita e all'informativa semplificata per imedici di base e pediatri ne sono esempio.

È prossima l'approvazionedella autorizzazione generale in materia di trattamento dei dati genetici.All'orizzonte si affaccia il tema ancora in parte inesplorato della c.d."sanità elettronica".

Impegnativa è statal'attività nel settore specifico dell'amministrazione digitale. Abbiamo dato ilparere sul nuovo codice dell'Amministrazione digitale, sul riutilizzo didocumenti pubblici a fini privati, sul passaporto elettronico. Abbiamo avviatoun'attività collaborativa con il CNIPA, che ha formato oggetto anche di uncomune documento d'intenti. Essa ci ha consentito ad esempio di dare unimportante parere preventivo sul bando di gara predisposto dal Ministero diGiustizia per la sicurezza di basi di dati strategiche nel contrasto allacriminalità organizzata.

L'innovazione tecnologicadella P.A. è una linea di azione prioritaria per il Paese. Siamo pronti a farela nostra parte.

 

La sicurezza nellasocietà tecnologica

Un settore particolare èquello delle strutture e degli apparati di sicurezza e di prevenzione.

Le nostre società hannobisogno di sicurezza.

L'Europa ha bisogno disicurezza.

L'Unione Europea, nataper promuovere il libero mercato e svilupparsi come spazio di democrazia elibertà, ora dedica particolare attenzione alla tutela della sicurezza deicittadini.

Sono sempre più forti lespinte ad avvalersi di tutte le opportunità informative offerte dalletecnologie per ottenere un controllo generalizzato, preventivo e spessopervasivo per finalità di sicurezza.

Le decisioni assunte dopoi fatti di Madrid e Londra hanno ampliato, sia nel nostro Paese chenell'Unione, la quantità e qualità dei dati conservati per ragioni disicurezza.

L'Unione Europea haadottato alla fine del 2005 una direttiva sulla c.d. "data retention", che comporterà laconservazione di miliardi e miliardi di informazioni, riguardanti aspettiessenziali della vita di relazione di tutti i cittadini europei. Si è calcolatoche dovrebbero essere conservati ogni giorno 200 milioni di conversazioni, 300milioni di "eventi" di telefonia mobile e 2 milioni e 400 milagigabyte di dati annui solo per la posta elettronica.

Nel nostro Paese, dovegià erano previsti tempi lunghissimi di conservazione dei dati di trafficotelefonico, lo scorso anno con il c.d. decreto Pisanu si è esteso l'obbligo diconservazione anche ai dati di traffico telematico, sia pure per un tempo piùbreve.

Non è detto che più datisignifichino maggior sicurezza.

Per questo Governo e Parlamentosono chiamati a verificare l'efficacia di tali misure, tanto più quando, comeaccade in Italia, i tempi di conservazione sono più lunghi di quelli previstidall'Unione.

In ogni caso, questamassa di informazioni va adeguatamente salvaguardata, per garantire che siausata soltanto dai soggetti autorizzati e per le finalità stabilite.

A ciò si aggiunge che l'Europadella sicurezza sta intensificando l'interconnessione fra le banche datiutilizzate per i controlli sui movimenti delle persone, per il contrastoall'immigrazione clandestina e al crimine. I nuovi sistemi SIS II e VIS IIprevedono per la Commissione un ruolo penetrante di coordinamentodell'interoperabilità delle banche dati nazionali.

Alcuni Stati europei(Francia, Germania, Spagna, Belgio, Austria, Paesi Bassi e Lussemburgo) hannorecentemente sottoscritto a Prum, nell'ambito della cooperazione rafforzata, unTrattato che prevede anche la possibilità di scambiarsi informazioniriguardanti dati genetici. Si tratta di una problematica che anche in Italiadobbiamo affrontare con la massima attenzione alle ragioni e valutazioni ditutti.

Su questi temi abbiamosempre adottato un atteggiamento altamente responsabile, attenti alle ragionicomplessive e all'interesse generale.

La privacy non può essere unostacolo alla sicurezza. Sicurezza e privacy sono parti coessenziali del sistema democratico.

Riteniamo così necessarioche, come proposto dalla Commissione, l'adozione degli strumenti normativirelativi al rafforzamento della cooperazione giudiziaria e investigativaavvenga contestualmente all'approvazione di una robusta normativa sulla "dataprotection"anche nei settori della sicurezza e della giustizia.

Rivolgiamo un appello alGoverno, ed in particolare al Ministro dell'interno e al Ministro dellagiustizia, affinché sostengano la posizione della Commissione, condivisa inmodo unanime dal Gruppo europeo delle Autorità.

Ancora sul versanteeuropeo. Dopo la recente decisione della Corte di Giustizia che, su ricorso delParlamento europeo, ha annullato l'accordo fra UE e USA relativo al cd. PNR, ènecessario negoziare un nuovo e più soddisfacente accordo sulla comunicazionedei dati dei cittadini europei in transito o in volo per gli Stati Uniti.

Su questi temi siamostati sempre presenti sia nell'ambito del Gruppo dei Garanti europei sia nelleConferenze internazionali delle Autorità di protezione dati: da Montreux aMadrid, da Budapest a Varsavia.

Sul versante dellestrutture strumentali all'attività investigativa e di vigilanza, ci stiamomuovendo e intendiamo farlo ancora, sia con misure di tipo prescrittivo che conuna adeguata attività di verifica della loro applicazione.

Da un lato, il nostrointervento, rispettoso delle competenze di ciascuno, può aiutare le strutturedi sicurezza a rendere più efficaci le modalità di conservazione dei dati. Daun altro lato, la nostra azione può aiutare i cittadini ad avere maggiorefiducia nelle strutture di sicurezza.

é un compito importanteanche perché tocca un settore delicatissimo, nel quale il diritto del cittadinodi accedere ai dati che lo riguardano è affievolito.

In questa prospettiva,nel 2005 abbiamo avviato un'attività di ispezione sul Centro di elaborazionedati del Dipartimento di pubblica sicurezza del Ministero dell'interno. Sitratta di un'attività di controllo che in una prima fase è stata finalizzata averificare le misure di protezione delle informazioni registrate e che ha giàdato luogo ad un provvedimento contenente misure per il rafforzamento delsistema di sicurezza. Un secondo, più organico, provvedimento sul complesso diattività svolte dal Ced sarà adottato a breve, all'esito dell'attività.

 

Privacy e pubblicazionedelle intercettazioni telefoniche fra mezzi di informazione e autoritàgiudiziaria

Nel 2005, l'Autorità èintervenuta sulla libertà di informazione e sul tema della pubblicazione deicontenuti delle intercettazioni telefoniche. Fenomeno, questo, che haconosciuto un continuo crescendo in queste ultime settimane.

Le decisioni del Garantesono sempre state improntate a cautela e prudenza, essendo in gioco tanto lalibertà di informazione, sancita dall'art. 21 della Costituzione, quanto ildiritto alla riservatezza e alla dignità, che trovano fondamento costituzionalenell'art. 2.

Valori costituzionali chevanno bilanciati e applicati in concreto alle singole fattispecie, tenendoconto di molteplici variabili.

Vengono in gioco lanatura dell'informazione, l'oggetto e il soggetto, il contesto in cui vieneresa la notizia e il diritto dei cittadini a conoscere tutto quanto è necessariosapere per esercitare un salutare controllo democratico.

È uno dei risvolti piùnobili del mestiere di chi fa informazione, valutare se una notizia èessenziale per consentire all'opinione pubblica una conoscenza obiettiva deifatti, o se invece è, oltre che irrilevante, anche lesiva della dignitàpersonale.

Non è buon giornalismo, ecomunque non è mai lecito, ledere la dignità delle persone per mero "gossip", utile adaumentare le vendite o a solleticare forme di "voyerismo".

Nelle numerose decisioniadottate, abbiamo sempre cercato di contribuire a far sì che chi esercita unmestiere tanto delicato si ponga alcune domande, adotti filtri, si sforzi divalutare in modo scrupoloso l'impatto di un dettaglio o del riferimento ad unapersona. In una parola, sia consapevole del ruolo fondamentale della liberainformazione in una società democratica.

Non sono mancatiinterventi dell'Autorità di divieto e di blocco, anche con riferimento a fattiriguardanti persone note o che svolgono funzioni pubbliche. Sempre abbiamoribadito il rispetto del principio di essenzialità della notizia e della tuteladella sfera privata, quali limiti invalicabili al corretto esercizio deldiritto di cronaca.

Numerosi sono stati iprovvedimenti a tutela di singoli cittadini adottati in seguito a ricorso. Ipiù interessanti ci hanno permesso di precisare sia i principi relativi aldiritto all'oblìo che quelli legati alla tutela dei minori.

Consentiteci, infine, unsupplemento di riflessione sulla pubblicazione dei contenuti delle intercettazionitelefoniche.

Particolare clamore hannosuscitato di recente modalità e forme inedite di pubblicazione integrale deicontenuti delle intercettazioni, talvolta disponibili su Internet o raccolte indossier postiin vendita.

Il fenomeno merita attenzione.

I testi delleintercettazioni finiscono in un brogliaccio contenente il riassunto delleconversazioni registrate, redatto da un operatore di giustizia, finalizzato adessere conservato, valutato e utilizzato da altri operatori di giustizia (giudicie avvocati).

Pubblicare pressochéintegralmente questo materiale in forma grezza, senza alcuna intermediazione ecommento, non sempre è un servizio utile alla formazione di un libero ecorretto convincimento del lettore.

Offrire all'opinionepubblica, senza adeguata mediazione, il contenuto di testi destinati alladiversa funzione di concorrere, insieme ad altri strumenti probatori, allaformazione del convincimento del pubblico ministero e/o del giudice, significamuoversi su un terreno minato.

Con il provvedimentogenerale, adottato alcuni giorni fa, abbiamo voluto ribadire con forzal'importanza delle regole che devono presiedere l'esercizio di undiritto-dovere di cronaca e d'informazione rispettoso della riservatezza edella dignità individuale, confermando orientamenti e indirizzi consolidati.

Nessuno, meno che mai ilGarante, chiede censure preventive o bavagli all'informazione.

Chiediamo che ilgiornalista svolga fino in fondo il proprio mestiere, soppesando, ancherispetto a persone che hanno rilievo pubblico, le notizie e distinguendo frainformazioni necessarie per valutare il fatto e informazioni che inveceattengono prevalentemente alla sfera privata del soggetto.

La posizione del"terzo incolpevole", dei familiari e dei minori deve essere sempretutelata, così come particolare attenzione va prestata alle informazionisensibili.

Siamo consapevoli chel'uso delle intercettazioni telefoniche investe anche la responsabilità dialtri soggetti, in primo luogo gli operatori della giustizia.

Ed è per questo cheabbiamo rivolto un nuovo caloroso invito al Consiglio Superiore dellaMagistratura affinché, nell'ambito delle sue competenze, si attivi perché sianomigliorate le garanzie e le misure di sicurezza a tutela della riservatezzadelle informazioni processuali.

Inoltre, ci siamoimpegnati a collaborare su questi temi con Parlamento e Governo anche attivandoil diritto-dovere di segnalazione che la legge ci attribuisce.

Quanto al nostro poteredi controllo, che, per sua natura, è destinato sempre a svolgersi "aposteriori", riteniamo doveroso chiedere soprattutto al Parlamento unarevisione normativa che preveda la possibilità per l'Autorità di comminaresanzioni amministrative di carattere pecuniario, qualora si accerti laviolazione dei principi contenuti nel Codice deontologico.

 

Il Garante e i servizidi comunicazione elettronica

Nel 2005 la materia delleintercettazioni telefoniche è stata affrontata dal Garante anche sotto un altroprofilo, parimenti importante.

In Italia, l'autoritàgiudiziaria fa un ampio ricorso a questo metodo investigativo, con laconseguenza che il numero delle intercettazioni, così come i relativi costi,sono, come ha ricordato di recente il Ministro di Giustizia, particolarmentealti, specialmente in confronto agli altri Paesi europei.

Va ricordato che, oltrealle intercettazioni telefoniche, l'autorità giudiziaria può chiedere aifornitori del servizio molto altro, come la localizzazione delle chiamate e larealizzazione di intercettazioni ambientali. Inoltre vi sono le intercettazionipreventive svolte, su autorizzazione del magistrato, dalle forze di polizia.

Siamo di fronte a sceltedel legislatore, prima, e dei singoli magistrati inquirenti, dopo. Non spetta anoi esprimere valutazioni al riguardo.

Sappiamo, però, che piùsi raccolgono dati personali, maggiore è il rischio che le misure di sicurezzanon siano sufficienti ad assicurare la loro riservatezza.

È prioritario l'obbligoche i gestori telefonici adottino ferree misure di sicurezza e che l'autoritàgiudiziaria protegga le informazioni e i dati ottenuti.

Il Garante ha svoltoun'attenta attività di accertamento sulle modalità con cui i gestori adempionoalle richieste dell'Autorità giudiziaria, fornendo il servizio indispensabileper l'attività di intercettazione.

Le verifiche hannoevidenziato la urgente necessità di incrementare in modo significativo ilivelli di sicurezza dei sistemi e lo scorso dicembre il Garante ha prescrittonumerose misure di sicurezza da adottare entro 180 giorni. Il termine fissato èormai scaduto e ora verificheremo se le nostre prescrizioni sono staterispettate.

Allo stesso tempo,abbiamo sottolineato la necessità che misure analoghe siano adottate dagliuffici giudiziari e fin da marzo abbiamo deciso di promuovere un'attivitàcollaborativa finalizzata a questo, chiedendo il sostegno del ConsiglioSuperiore della Magistratura e del Ministro della Giustizia.

I recentissimi episodi cihanno spinto pochi giorni fa a rinnovare il nostro allarme.

L'attenzione edisponibilità manifestata dal Ministro della Giustizia e da autorevoliesponenti della magistratura requirente ci confortano.

Consideriamo, dunque,l'indagine conoscitiva decisa dalla Commissione Giustizia del Senatoun'occasione preziosa, e, se ci sarà richiesto, assicuriamo il nostro contributo.Così come non mancheremo di darlo ad ogni altra iniziativa che Parlamento oGoverno intendessero intraprendere.

Un altro profilo moltodelicato riguarda le modalità di protezione dei dati di traffico telefonico,obbligatoriamente conservati dai gestori per 5 anni.

Abbiamo recentementeaccertato, allo stato soltanto nei confronti del più importante gestoreitaliano, l'insufficienza di misure adeguate a protezione proprio di questidati e dei relativi tabulati. In particolare, è risultato inadeguato il sistemadi registrazione degli accessi ai data-base, e incompleto il sistema ditracciamento e di identificazione di coloro che possono accedervi. Abbiamosubito adottato un provvedimento dettagliato, indicando le necessarie misure edato 120 giorni per attuarle.

Contestualmente abbiamoavviato un'attività istruttoria e programmato un'impegnativa attivitàispettiva, finalizzate ad adottare un provvedimento generale sullaconservazione dei dati di traffico, così come previsto dall'art. 132 del nostrocodice. Si tratta di un provvedimento che dovrà definire in modo organico lemisure e gli accorgimenti che ciascun gestore dovrà introdurre per mettere inpiena sicurezza le sue banche dati.

Ancora per quantoriguarda il settore dei gestori telefonici vanno ricordate altre due nostreattività in corso.

Negli scorsi mesi abbiamoemanato un provvedimento rivolto a tutti i gestori in ordine all'inquietantefenomeno dei servizi non richiesti quali, ad esempio, l'indebita attivazione dilinee adsl. Si tratta di un provvedimento che riguarda da vicino anche i cd. callcenter erispetto al quale verificheremo ora se le nostre prescrizioni sono stateattuate.

Solo qualche settimanafa, abbiamo aperto un'istruttoria per verificare se, come una recente ordinanzadella Corte di Appello di Milano ha ritenuto in sede cautelare, vi siano stateda parte di un gestore illecite attività di profilazione di ex abbonati passatiad altro gestore.

In questo settore, il2005 è stato, dunque, un anno di grande impegno, intensificato in questi ultimimesi. Esso aumenterà ancora nei prossimi.

Sulla tutela dei dati dicomunicazione e sulla loro conservazione bisogna riflettere con attenzione,sforzandosi anche di ricercare soluzioni innovative, idonee ad assicuraremaggiori garanzie.

Noi lo sentiamo come undovere.

Un'ipotesi, che qualcunoinvita a esplorare, potrebbe essere la creazione di una struttura pubblica, incui i gestori, scaduto il periodo per la fatturazione, siano tenuti a farconfluire i dati in loro possesso. Si tratta di una idea già avanzata in sedeeuropea e che ha destato perplessità, ma sulla quale si potrebbe provare aragionare. Tale struttura dovrebbe comunque essere sottoposta alla vigilanzadella nostra Autorità e dovrebbe garantire il più rigoroso rispetto delle misuredi sicurezza prescritte.

 

La tutela delle banchedati e il ruolo dell'Autorità

Una tematica più generaleattiene alle garanzie da prevedere a tutela della sicurezza e integrità dellegrandi banche dati che costituiscono, e sempre più costituiranno, porzionesignificativa dell'organizzazione sociale.

Sino ad oggi, le Autoritàdi protezione hanno svolto prevalentemente alcuni fondamentali compiti:garantire il diritto di accesso dei cittadini ai loro dati personali,assicurare la rigorosa applicazione della normativa a tutela dei dirittiindividuali lesi da trattamenti illeciti, favorire un'applicazione il piùpossibile "armonizzata" delle direttive europee e assicurarel'implementazione della normativa nazionale.

A questo si aggiunge,specialmente per il Garante italiano, un potere, più o meno legislativamentedefinito, di prescrizione generale sulle modalità con le quali la normativaeuropea e nazionale va applicata nei diversi settori. La stessa attività dipromozione dei codici di deontologia e di buona condotta si inscrive in questocontesto.

È ora giunto il momentodi accentuare l'attenzione sulla problematica della messa in sicurezza delleinformazioni contenute nelle grandi banche dati.

Occorre una svolta.

Tutte le Autorità europeene avvertono l'esigenza.

Su questo terreno, inparte nuovo, il Garante italiano vuole essere in prima fila.

Se questa prospettiva ècondivisa, è necessario individuare con chiarezza le banche dati da sottoporrea una più attenta vigilanza, isolando quelle di interesse nazionale operanti insettori di particolare rilevanza.

Le banche dati ditraffico nell'ambito delle telecomunicazioni, così come quelle operanti neisettori della sicurezza e quelle contenenti campioni biometrici e del dna,dovrebbero certamente far parte del novero di queste strutture.

A tal proposito, dobbiamofare presente che non hanno ancora trovato attuazione le previsioni del Codiceche assegnano al Ministro della giustizia e al Ministro dell'interno il compitodi individuare le banche dati centrali di cui si avvalgano le loroamministrazioni e la cui elencazione deve essere allegata al codice della privacy.

Tale individuazione,peraltro, potrebbe essere il primo passo per dar vita ad un apposito"registro delle banche dati ad alto rischio", che assolverebbe ancheuna funzione di trasparenza nei confronti dei cittadini.

Aggiungo che sarebbeanche importante che venisse data piena attuazione a quanto previsto dall'art.58 del Codice privacy in materia di trattamento dati da parte degli organismidi difesa e sicurezza dello Stato

Su un piano più generale,riteniamo peraltro utile invitare il Parlamento a riflettere sull'opportunitàdi individuare sedi e forme idonee per assicurare un dialogo costante fra illuogo della democrazia rappresentativa e un'Autorità come la nostra che, per lasua natura e per vincolo comunitario, non può che essere ed agire come Autoritàindipendente, ma che ha e deve avere nel Parlamento il suo interlocutoreprivilegiato.

Ed è per questo cheriteniamo sia giusto esprimere qui la nostra consapevolezza che, di fronte allacomplessità e all'ampiezza degli obiettivi che ci proponiamo, i poteridell'Autorità sono insufficienti.

Occorrono necessariemodifiche normative in relazione agli strumenti ispettivi e alle misureprescrittive e sanzionatorie. In particolare, è necessario attribuireall'Autorità il potere di irrogare sanzioni pecuniarie di carattereamministrativo in misura maggiore e in un numero di casi più ampio di quellioggi tipizzati dal Codice. Occorre, inoltre, un ripensamento delle struttureorganizzative e della dotazione organica dell'Autorità. Attualmente, essa siavvale di un Ufficio di supporto composto da circa cento unità. Troppo poco perpoter operare come Autorità pienamente capace di garantire anche il correttofunzionamento delle grandi banche dati.

 

Altri settori diintervento dell'Autorità nel corso del 2005

È ora di avviarci allaconclusione.

Come negli anniprecedenti, anche nel 2005 siamo intervenuti in molteplici ambiti, sia inseguito a istanze dei singoli cittadini, associazioni, ordini professionali ecategorie, sia ex officio.

I dati dimostrano che ilGarante rappresenta un'Autorità peculiare nel panorama delle c.d. Autoritàindipendenti.

L'elemento distintivo dimaggiore evidenza attiene al rapporto Ôsimbiotico' fra l'Autorità e la materia"privacy", che ha al suo centro il diritto fondamentale del cittadino allaprotezione dei suoi dati personali.

Il Garante non è chiamatoa regolare un settore specifico.

A noi spetta promuovere eaccompagnare l'assimilazione e il radicamento di un nuovo modo di trattare leinformazioni personali da parte di una platea vastissima di soggetti. Il nostrocompito ultimo è di concorrere a garantire non solo il rispetto della libertà edignità dei singoli, ma anche il rafforzamento del quadro democratico delPaese.

La complessità e laricchezza del nostro operato deriva dall'ampiezza e trasversalità dei settorisu cui siamo chiamati a intervenire.

Di qui l'elevata quantitàdi pronunce, pareri, provvedimenti emessi in quest'anno e la nutrita serie didecisioni legate alla nostra attività di controllo, di regolazione, di stimoloverso i decisori pubblici e privati.

Alcuni numeri. Nel solo2005 l'Autorità ha adottato 724 provvedimenti collegiali, che hanno riguardatoanche la trattazione di 634 ricorsi. Considerando anche alcuni casi trattatinell'anno e definiti più di recente, ha risposto a 1633 reclami e segnalazionie a 364 quesiti; ha dato 31 pareri su atti normativi del Governo; ha approvato61 schemi di regolamento sul trattamento dei dati sensibili nella P.A.. Iprovvedimenti generali sono stati più di un centinaio, fra cui il rinnovo disette autorizzazioni generali.

Abbiamo dedicato tempo edenergie all'ascolto delle categorie economiche e produttive, degli ordini professionali,dei consumatori.

Auspichiamo che la privacy sia sentita come unaspetto positivo della vita e per questo abbiamo avviato una riflessione sulrapporto fra privacy e felicità.

Abbiamo svolto un'intensaattività per dotare l'Autorità dei regolamenti indispensabili per il suofunzionamento, in modo da irrobustirne la struttura e l'organizzazione e daaumentare le garanzie dei cittadini che si rivolgono a noi.

Abbiamo innovato nelmetodo di lavoro, introducendo la programmazione semestrale degli affari datrattare e delle attività ispettive.

Duecento ispezioni nelcorso del 2005 e centoquarantacinque solo nel primo semestre di quest'annotestimoniano l'importanza che ha per noi quest'attività. Intendiamo continuaresu questa via, rafforzando sempre di più la collaborazione con la Guardia diFinanza. Collaborazione fattiva e preziosa, della quale voglio qui ringraziareil Comandante del Corpo, gli alti ufficiali e tutti coloro che lavorano connoi.

 

Conclusione

Signor Presidente,

Signore e Signori.

Insieme ai miei colleghi,Giuseppe Chiaravalloti, Mauro Paissan e Giuseppe Fortunato, mi auguro di averdato un riassunto fedele della nostra attività, delle nostre riflessioni, delleprospettive che ci poniamo.

Vogliamo assicurare Lei,Signor Presidente, il Parlamento e il Governo che non verremo mai meno aidoveri e compiti assegnati.

Il Garante si muove sulcrinale più sensibile della società a "cambiamento velocissimo": lalinea di confine fra democrazia e libertà da un lato, controllo e paura dall'altro.

Il Garante opera perchési continui a vivere in una comunità  di donne e di uomini liberi,responsabili, capaci di usare la tecnica senza diventarne prigionieri,impegnati a costruire la propria sicurezza senza rinunciare alla loro dignitàdi uomini.

Chiediamo al Paese e alParlamento fiducia e lavoriamo per dare fiducia.

 Roma 7 luglio 2006