Garante per la protezione
    dei dati personali


Discorso del Presidente FrancescoPizzetti - Relazione 2006
12 luglio 2007

 

Autorità, Signore, Signori

È terminato il secondo anno di attività del nostro Collegio.

Un anno importante che coincide col decennale dellanostra Autorità. Un periodo relativamente breve per un uomo, brevissimo per una Istituzione. Pure in così poco tempo la cultura della tutela dei dati personalisi è diffusa nel nostro Paese più che in ogni altro Stato europeo.

Lo scorso anno, abbiamo richiamato l'attenzionesull'importanza crescente della protezione dei dati nella societàcontemporanea.

Il cambiamento tecnologico fa vivere tutti noi in unmondo sempre più "scisso" tra una realtà materiale, nella quale lepersone e le cose hanno una fisicità misurabile e definibile e intrecciano relazioniche producono informazioni, ma non si esauriscono in esse; e una realtàimmateriale, quella della innovazione tecnologica e della rivoluzionetelematica, nella quale le persone e le cose si trasformano in flussi eintrecciano relazioni che consistono unicamente in uno scambio di dati.

La nostra attività diventa sempre più rilevante.Garantire un'adeguata protezione dei dati è, ogni giorno di più, unaprecondizione essenziale per il corretto funzionamento della democrazia el'effettivo godimento delle libertà e dei diritti fondamentali.

Essere sicuri che i nostri dati sono protetti etutelati, sia prima di essere immessi che quando circolano attraverso le reti,è essenziale per evitare che le nuove tecnologie non diventino una minaccia,trasformandoci negli abitanti di un universo tecnologico incontrollabile einquietante.

Consapevoli del bisogno di sicurezza che spinge adotarsi di sempre più penetranti strumenti di controllo, lo scorso anno abbiamoevidenziato il rischio di una società che, per difendersi e salvare il propriocorpo, mette a rischio la propria libertà e, dunque, la propria anima.

Con lo sguardo rivolto alla realtà nazionale, abbiamosottolineato il proliferare di grandi banche dati prive di protezioni adeguate.

Consapevoli delle esigenze della giustizia edell'informazione, abbiamo chiesto leggi più chiare, misure meglio calibrate,poteri più duttili per affrontare una realtà così complessa, senza doverricorrere sempre alla minaccia di un divieto o, peggio, della sanzione penale.

Attenti alle ragioni dei cittadini e a quelle delleAmministrazioni, abbiamo ripetuto che, nel rispetto del principio ditrasparenza, la protezione dei dati è essenziale in una organizzazioneamministrativa, non prigioniera del puro formalismo burocratico e adeguataall'era digitale.

Guardando ai consumatori e ai lavoratori, abbiamorichiesto al mercato, alle imprese e ai datori di lavoro di non trascurare maila tutela dei dati. Conosciamo le esigenze della produzione e dell'economia, manon possiamo accettare che la protezione dati sia considerata soltanto come uncosto e un fastidioso adempimento.

Infine, con lo sguardo rivolto in particolare aigiovani, abbiamo sottolineato la necessità di una corretta "culturadell'innovazione", affinché nessuno diventi strumento cieco di chiorganizza e gestisce le nuove tecnologie.

Sulla scia di queste considerazioni, lo scorso annoabbiamo sviluppato un ambizioso programma che ci ha impegnato su molti fronti.

Siamo qui per rendere conto del lavoro svolto e perdire che, su queste linee, continueremo ad operare con rafforzata convinzione.

 

2. L'esperienza dell'anno trascorso ha dimostrato quantogiustificato fosse il nostro allarme.

Il fenomeno della penetrabilità delle grandi banchedati da parte di chi agisce illegalmente, senza incontrare barriere adeguate, èesploso con modalità e dimensioni preoccupanti.

Le forme indebite di ricorso all'uso di videocamere,videotelefonini e, in generale, a tecniche ingannevoli per acquisire e trattaredati anche delicatissimi, sono cresciute a dismisura.

Il furto di informazioni colpisce allo stesso modo lagente comune e i personaggi pubblici. Troppo spesso l'appropriazioneillegittima dei dati e il loro utilizzo, legato a strategie sapienti diinquinamento della nostra società, rende meno giusta la giustizia, meno sicurala sicurezza, meno libera la democrazia, meno competitiva l'attività economicae finanziaria, meno credibile tutta la società.

Questo sta avvelenando il Paese.

In Italia c'è una emergenza nella protezione dati cheha assunto una dimensione pari ad altre nostre emergenze nazionali, qualiquella ambientale, quella energetica, quella infrastrutturale, che tantonegativamente incidono anche sull'immagine del Paese.

In un dibattito confuso e frastornante, le ragioni dichi chiede di avere dati per garantire più sicurezza e più giustizia fiscaledevono misurarsi ogni giorno con le obiezioni di chi si oppone, in nome delpericolo derivante dalla mancanza di protezioni adeguate.

Un conflitto altrettanto problematico si registra,talvolta, nel settore dell'informazione.

La libertà di informazione è sacrosanta eirrinunciabile in una democrazia. Ma non può essere invocata per considerarelecita la condotta di chi si procura informazioni illegalmente e con artificiinaccettabili. Troppo spesso il diritto ad informare e ad essere informati èinvocato per giustificare chi, magari estraneo al mondo dell'informazione,raccoglie notizie e dati a scopo di ricatto o di condizionamento, sotto laminaccia di renderle pubbliche.

La nostra stessa Autorità rischia di esserestrattonata da una parte o dall'altra a seconda delle convenienze.

Non va bene. Non può andare bene.

Molte volte il Garante si trova di fronte a undilemma inaccettabile.

Intervenire, anche a rischio di apparire strumento dicensura (il Garante censore), o insensibile alle ragioni della sicurezza edella giustizia fiscale (il Garante ipergarantista). Oppure rinunciare ad agireefficacemente, correndo il pericolo di essere percepito come una istituzioneinutile e fragile.

Dobbiamo ripeterlo: il nostro compito è tutelare edifendere il cittadino, i suoi diritti, la sua libertà, la sua necessità divivere e di operare senza essere continuamente controllato e schedato.

È certamente vero che non c'è libertà senzasicurezza, ma è ancora più vero che non c'è sicurezza che valga la perdita diogni libertà. Ripetiamo che la protezione dati non è e non sarà mai"antagonista" al bisogno di sicurezza, ma riaffermiamo che essa è unelemento essenziale di un sistema democratico di tutele.

 

3. L'innovazione tecnologica ci sfida ogni giorno. Il mondodei computer e dei bit è completamente diverso da tutto quello che abbiamoimparato a padroneggiare grazie all'esperienza di tante generazioni.

Le azioni, le parole e le immagini si trasformano in miriadidi dati, che moltiplicano all'infinito, come in un prisma, i mille diversiaspetti della realtà materiale.

Ogni individualità si disarticola e si scompone intanti frammenti quanti sono i dati e le informazioni che la riguardano. Bastadigitare il proprio nome su un motore di ricerca per rendersene conto.

Sulla rete i dati vivono una vita propria, senzaregole e senza possibilità di prevedere tutte le finalità e tutti i contesti incui saranno utilizzati.

Nella realtà immateriale si possono assumere nuoveidentità, inserire informazioni vere o false, comunicare con gli altri in modocircolare, diventare allo stesso tempo produttori e destinatari di notizie.

Nel mondo della comunicazione globale, di YouTube e di Google, tutto cambia dimensione e impatto.

Come applicare le regole dell'informazione alfenomeno dei blog,i siti autogestiti che ogni giorno si moltiplicano sulla rete?

Cosa significa diritto all'oblio, di fronte ai motoridi ricerca che conservano e mettono a disposizione per un tempo tendenzialmenteindeterminato dati e informazioni sulle persone?

Cosa vale esercitare i propri diritti di fronte adati che circolano sulla rete senza possibilità di ottenere che sianocancellati o rettificati se inesatti o lesivi della nostra dignità?

Qual è la differenza tra uso personale e uso pubblicodelle immagini nel mondo delle videocamere e dei videotelefonini che mandano intempo reale in rete foto e filmati?

Come garantire la tutela di una cartella clinica, diun dato sensibile relativo alla salute, trattati elettronicamente?

Come aiutare i nostri cittadini a utilizzare questeinnovazioni senza lasciarli indifesi di fronte a strumenti di cui non conosconol'invasività e spesso l'assenza di limiti?

Non possiamo accettare che il mondo di Internet siavisto dai nostri ragazzi come una sorta di "Paese dei balocchi", nelquale tutto è bello e possibile.

Questa è la nuova frontiera.

Una frontiera difficile da difendere per almeno dueragioni.

La prima, il continuo mutare delle tecnologie.

La seconda, la dimensione globale che lacaratterizza.

Una dimensione che richiede regole condivise a scalaplanetaria e che obbliga a misurarsi con i limiti che le leggi nazionali edeuropee incontrano.

 

Una Autorità nazionale ed europea aperta al mondo

 

4. Ci si interroga spesso sul ruolo delle Autoritàindipendenti, e come esse si giustifichino nel nostro ordinamentocostituzionale.

Non si può capire però questo fenomeno fuori delcontesto europeo e internazionale. Esse, infatti, sono nate innanzitutto comeAutorità di garanzia, tenute a vigilare sul rispetto da parte degli Statimembri degli indirizzi di volta in volta adottati nel processo di costruzione econsolidamento dell'Unione.

Questo è anche il fondamento della nostra Autorità.

Con un elemento importante in più: noi siamo parteintegrante di un sistema che ha portato alla massima espansione la tutela deinuovi diritti fondamentali.

Fin dall'inizio, l'adozione di un quadro normativocomune europeo di protezione dati ha avuto alla base il rispetto e la tuteladella dignità della persona. L'inserimento nella Carta di Nizza di unaspecifica norma che rafforza sia il nuovo diritto che il ruolo delle nostreAutorità è stato solo l'ultima importante tappa di questo processo.

Più di recente, anche in relazione all'ampliamentodello spazio europeo di libertà e di giustizia e alla progressiva integrazionedei sistemi di sicurezza, la frontiera della protezione dati ha assunto unanuova dimensione.

È sempre più importante che lo scambio diinformazioni fra apparati di polizia e fra autorità giudiziarie avvenga nelrispetto di regole di protezione comuni, condivise da tutti gli Stati membri.

Occorrono, anche in questi settori, nuove normecapaci di garantire il rispetto dei diritti costituzionali dei cittadini.

Bisogna inoltre evitare che si sviluppi una sindrome"bulimica" per la raccolta e l'archiviazione dei dati, trasformandoanche l'Unione in un universo di controllati e spiati.

Le Autorità garanti nazionali e il Garante europeosono impegnate su questi temi. La recente istituzione del Working party onpolice and justice,la cui presidenza è stata affidata all'Autorità italiana, costituisce un passoavanti importante per l'estensione dei principi di protezione dati anche neisettori della giustizia e della sicurezza.

 

5. Dopo l'11 settembre 2001, il mondo è entrato nell'epoca delterrore globale.

Alla crescente spinta a incentivare la collaborazionefra i sistemi di sicurezza, deve corrispondere una comune sensibilità verso idiritti dei cittadini, indipendentemente dalla loro nazionalità.

Questo ha comportato un periodo di tensione fra StatiUniti e Unione europea.

Le Autorità americane hanno acquisito i dati delletransazioni finanziarie dei cittadini europei (è il caso Swift) e leinformazioni personali sui passeggeri a bordo di voli che transitano nellospazio aereo americano (è la vicenda PNR), senza garantire forme idonee dicontrollo e di protezione e senza informare adeguatamente l'Unione e icittadini sulle finalità e modalità del loro utilizzo.

A fine giugno si sono registrati passi in avanti. LaPresidenza tedesca e il Vicepresidente della Commissione Frattini hannonegoziato con gli USA una modifica nel numero e nelle modalità di acquisizionedei dati relativi ai passeggeri e, con riguardo all'utilizzazione dei dati delletransazioni finanziare, hanno registrato la disponibilità ad accettare cheun'alta personalità europea eserciti, direttamente in territorio americano,poteri di controllo.

Sono passi ancora insufficienti pur se apprezzabili,che le Autorità garanti valuteranno con attenzione.

Peraltro queste vicende dimostrano che è sempre piùnecessario un lavoro comune tra le Autorità, anche nelle sedi internazionali.

Con questo spirito lavoreremo nel prossimo anno,quando toccherà a noi organizzare la Conferenza europea di tutte le Autorità diprotezione dati.

 

L'attività svolta nel corso del 2006

Il cittadino al centro

 

6. L'attività dell'anno passato è stata rivolta alla massimatutela del cittadino, nel solco della tradizione che, anche grazie all'impegnoe alla professionalità del suo Ufficio, ha sempre caratterizzato l'attività delGarante.

Nel 2006 sono stati adottati 630 provvedimenticollegiali di cui 435 ricorsi; 13 i pareri dati al Governo; 350 le ispezioni ei controlli; 158 le violazioni amministrative contestate; 11 le segnalazioniall'Autorità Giudiziaria; 2.717 le segnalazioni e i reclami evasi; 679 iquesiti a cui si è data risposta.

La maggior parte dei provvedimenti adottati sono adifesa del cittadino senza aggettivi, del consumatore, dell'utente.

6.1. Basti pensare ai provvedimenti che fissano le regole allequali devono attenersi i call center per esercitare correttamente l'attività di promozionepubblicitaria ed evitare l'intollerabile fenomeno delle chiamate non desideratee dei servizi non richiesti.

Altri provvedimenti hanno riguardato le tecnologieche, utilizzate per dare ai cittadini migliori servizi, sono peròpotenzialmente in grado di localizzarli o profilarli indebitamente. Fra questi,quelli relativi all'uso delle tessere elettroniche nei servizi pubblici ditrasporto; al monitoraggio del funzionamento dei sistemi di informazionicreditizie e all'accesso a tali sistemi da parte degli operatori telefonici;all'invio di fax pubblicitari indesiderati; e, infine, quelli, sempre numerosi,volti a un corretto utilizzo dei sistemi di videosorveglianza.

6.2. Grande attenzione è stata dedicata alla tutela dei datisensibili, in particolare quelli relativi alla salute e alle abitudinisessuali.

Ricordo il blocco della diffusione su Internet didati sanitari di persone nominativamente individuate; il divieto ad alcuneagenzie immobiliari di schedare i clienti secondo l'origine razziale, leconvinzioni religiose e le preferenze sessuali; il provvedimento che haproibito ad una Regione di diffondere, sul proprio sito, i dati sanitari dicirca 4.500 disabili.

Di rilievo anche il provvedimento che ha dettato alleASL alcuni principi generali a tutela degli invalidi civili.

Altri interventi hanno riguardato il rapporto tratutela dei dati personali ed esercizio della libertà di informazione.

Vanno ricordati, innanzitutto, quelli con i quali ilGarante ha impedito la diffusione televisiva di dati sanitari raccolti conartifici per verificare l'eventuale utilizzo di sostanze stupefacenti da partedi uomini politici contattati in Piazza Montecitorio e di semplici ragazziripresi nei bagni di una discoteca.

Il provvedimento che interessava gli uomini politiciha fatto discutere, perché si è insinuato che l'obiettivo fosse di assicurareloro una particolare protezione. È vero il contrario. Noi abbiamoadottato quel provvedimento "anche" se riguardava uomini politici. Eraimportante, infatti, affermare il principio che è necessaria una protezionerafforzata quando si trattano dati sanitari, e che mai essi possono essereacquisiti con modalità ingannevoli.

Ancora più importante era spiegare a tutti lapericolosità sociale dell'utilizzazione di tecniche fraudolente perappropriarsi di campioni biologici delle persone, stante le informazioni che sipossono trarre sullo stato di salute e sulle stesse previsioni di vita.Pericolo questo tanto più grave oggi che le tecniche di analisi possonodiventare di massa, favorendo un rischioso "fai da te".

 

L'informazione e i diritti della persona

 

7. Molta attenzione è stata dedicata al rapporto trainformazione e tutela dei dati personali con una cura particolare verso isoggetti più deboli, i minori e i cittadini incolpevoli.

In molti casi, l'intervento è stato realizzatoattraverso forme di soft ruling, quali comunicati stampa e dichiarazioni dei membri delCollegio, nonché partecipando all'aggiornamento delle regole deontologichedella Carta di Treviso, specificamente posta a tutela dei minori. Un altroimportante contributo in questo settore è stata l'edizione aggiornata del volume"Privacy e giornalismo", che contiene una raccolta organica deiprovvedimenti adottati negli anni.

Sempre fra gli interventi più significativi a tuteladei minori segnalo, in particolare, il ribadito divieto di rendere noti i datirelativi all'adozione senza il consenso dei genitori.

Degni di menzione sono anche il richiamo operato dalGarante con riguardo alle delicate vicende che hanno coinvolto un'interacomunità scolastica in un'inchiesta di pedofilia, nonché l'intervento con ilquale si è criticata la pubblicazione dell'immagine di un feto privo di vita.

Alcuni provvedimenti si sono misurati direttamentecon la ineliminabile tensione che sussiste tra libertà di stampa e tutela dellariservatezza.

In questo quadro, si colloca innanzitutto il recenteprovvedimento con il quale il Garante ha disposto il blocco della divulgazionedi fotografie scattate violando il domicilio privato, indipendentemente dallarilevanza pubblica della persona ritratta.

È stato così riaffermato che l'inviolabilità didomicilio vale per tutti.

Sempre in tema di privacy e giornalismo, il Garante haadottato nel giugno 2006 e nel marzo 2007, due provvedimenti generali che hannofatto molto discutere.

Riguardavano la pubblicazione di dati relativi alleabitudini e ai comportamenti sessuali di numerose persone, note e meno note,della politica e dello spettacolo così come gente comune, tutte coinvolte nelleintercettazioni raccolte nel corso delle indagini giudiziarie. La vicenda haposto in luce aspetti problematici che interpellano l'Autorità, il mondodell'informazione e il legislatore. I punti da approfondire sono almeno due: isoggetti cui affidare la tutela della riservatezza e della dignità personale;la tipologia dei provvedimenti da adottare e delle sanzioni da applicare.

La normativa vigente coinvolge tre soggettidifferenti: l'Ordine dei giornalisti, che ha nel proprio codice deontologicoregole precise a presidio della libertà di informazione; il Garante, che puòintervenire, anche d'ufficio, con provvedimenti di urgenza e interdittivi; ilgiudice ordinario, civile o penale a seconda dei casi.

È giusto chiedersi se questo complesso sistemasia da mantenere o da rivedere, così come è giusto interrogarsi su quale debbaessere il ruolo dell'Autorità, oggi concepita come il bastione più avanzato diuna tutela che, in via generale, il giudice può assicurare con tempi più lentie strumenti, anche procedurali, più macchinosi.

Sotto il profilo sanzionatorio, poi, è senz'altroopportuno apportare modifiche alla normativa vigente, individuando per iprovvedimenti del Garante soluzioni diverse dalla sanzione penale, che inmateria di stampa potrebbe assumere un suono nefasto.

Si potrebbe prevedere, ad esempio, che il Garantepossa stabilire in via equitativa forme di indennizzo la cui accettazione siarimessa alla volontà delle parti e, in aggiunta, disporre la pubblicazione delprovvedimento con modalità adeguate a quelle della notizia data.

Altri aspetti riguardano le modalità di utilizzo deidati raccolti per fini di giustizia e la loro diffusione da parte dei mezzi diinformazione: in particolare le intercettazioni.

Anche qui sono in gioco valori fondamentali.

Il diritto-dovere del giudice a svolgere le indaginie a raccogliere le prove con i mezzi previsti dalla legge; il diritto delladifesa, che richiede la conoscenza completa degli elementi e delle prove diaccusa; il diritto del giornalista a pubblicare l'informazione quando essa siadi interesse pubblico; il diritto delle persone al rispetto e alla tutela deiloro dati, specie quando essi riguardino informazioni sensibili ovveroattengano a terzi incolpevoli, incidentalmente citati nelle prove raccolte; ildiritto dei minori e dei familiari a non vedere inutilmente lesa la lorosensibilità e la loro personalità.

Si tratta di una tematica che, ad oggi, non hatrovato adeguata soluzione.

La mancata risposta del Parlamento ad alcuni problemida noi sollevati lo scorso anno ha esposto il Garante a una difficile ricercadel giusto equilibrio fra esigenze contrapposte. L'auspicio, dunque, è chequesto dibattito giunga rapidamente a una conclusione chiara e definita nelleopportune sedi parlamentari.

Nel frattempo il Garante non può non raccomandarealla stampa e ai mezzi di informazione attenzione, moderazione e rigorosorispetto del codice deontologico ogni volta che si trattino notizie che possonoferire la sensibilità e la dignità delle persone e dei familiari.

 

Banche dati e garanzie di protezione

 

8. Abbiamo sempre prestato attenzione alle implicazionisistemiche della protezione dati, operando nella logica di una Autorità"esperta nel trattamento dei dati", che si sente parte essenziale diuna democrazia moderna.

L'attività ispettiva e di controllo è stata intensa eimpegnativa.

Nel settore delle telecomunicazioni abbiamo svolto 16ispezioni, di cui 3 nel 2007, che hanno riguardato i 4 maggiori gestoritelefonici. Le prescrizioni impartite hanno mirato a: a) mettere in sicurezzalo scambio di informazioni tra gestori ed Autorità giudiziaria relative alleintercettazioni, compresi i dati di traffico e di localizzazione degli utenti;b) proteggere i dati e i tabulati relativi alle singole utenze; c) definire lemisure tecniche ed organizzative necessarie per garantire la correttaconservazione dei dati.

Tale attività si concluderà nel prossimo autunno conl'adozione definitiva del provvedimento generale sulle regole e i tempi per laconservazione dei dati di traffico.

Quasi contestualmente alle ispezioni ai gestoritelefonici, il Garante ha continuato e concluso gli accertamenti nei confrontidella più grande banca dati di polizia del Paese, il CED.

L'attività è durata parecchi mesi e ha condotto a tredistinti provvedimenti.

Tra le principali prescrizioni impartite, lariduzione del numero dei soggetti abilitati alla consultazione e all'inserimentodei dati; l'introduzione di procedure di autenticazione per l'accesso, compresol'utilizzo di dati biometrici; l'introduzione di sistemi di sicurezza chesegnalino eventuali anomalie.

Possiamo affermare che, se nel passato fossero statigià operativi gli accorgimenti e i sistemi di protezione da noi imposti, moltedelle violazioni e degli accessi illeciti riscontrati non si sarebberoverificati o, comunque, non nella misura in cui ciò è avvenuto.

Per questo l'Autorità continuerà a svolgere semprepiù intensamente la sua attività di verifica in questi settori così delicati.

Per questo avvieremo quanto prima anche un'attivitàcollaborativa e di vigilanza nei confronti dei Servizi, che aiuti ad evitareper il futuro ogni abbassamento del livello di guardia.

Continueremo anche a intervenire con determinazioneper quanto riguarda le misure di sicurezza che devono essere adottate dagliUffici giudiziari.

Sinora abbiamo incontrato difficoltà ad ottenererisultati apprezzabili, dovute non tanto e non solo a inadempienze di singoli odi specifici Uffici, quanto e soprattutto alla crisi endemica di risorse umanee finanziarie che attanaglia la Giustizia.

L'ispezione che stiamo svolgendo al Tribunale di Roma(ad oggi sono stati effettuati 4 accertamenti in loco e ne sono previsti altrettanti) ciconferma in questa convinzione.

Non intendiamo, tuttavia, demordere e dunque noncesserà la nostra pressione sugli Uffici Giudiziari, sul Consiglio Superioredella Magistratura e sul Ministero della Giustizia.

 

9. L'orizzonte dei nostri interventi non si ferma qui.

Da tempo, chiediamo l'emanazione dei previsti decretidei Ministri dell'Interno e della Giustizia, ai quali spetta indicare le banchedati attualmente esistenti, operanti per finalità di giustizia e sicurezza.

Rinnoviamo la nostra richiesta. In mancanza di unelenco ufficiale e definito, il Garante non può assicurare un adeguatocontrollo.

Nel prossimo anno dedicheremo inoltre tempo edenergie agli istituti finanziari e di credito e, successivamente, ai soggettiesercenti servizi di massa e a quelli che operano nei settori previdenziali eassicurativi. In tutti questi ambiti, e in particolare in quello delle banche edelle istituzioni finanziarie, è infatti molto alto il costo economico esociale che la mancanza di misure di sicurezza adeguate può far pagare aicittadini.

 

10. All'incrocio tra il tema delle banche dati e quello dellaraccolta e utilizzazione delle informazioni per finalità di sicurezza egiustizia, si pone un problema delicatissimo, da troppo tempo non affrontato.

Mi riferisco al trattamento e alla conservazione deicampioni biologici e dei codici identificativi del DNA.

Come è noto, tutto ciò che attiene all'utilizzo,trattamento e conservazione del DNA è motivo di grande preoccupazione, in ragionedelle delicatissime informazioni, appartenenti non solo alla personainteressata ma a tutto il suo gruppo biologico, che si possono trarre da undato genetico.

Il Codice della privacy prevede una specificaautorizzazione – di recente adottata dal Garante – in ordine allaraccolta, trattamento e conservazione dei campioni di DNA soprattutto per finiscientifici o di ricerca.

Nel settore della sicurezza e della giustizia manca,invece, una normativa che disciplini la materia.

La recente esperienza, compiuta nell'ambito diun'attività ispettiva presso il RIS di Parma, ci ha fatto toccare con manol'esistenza di banche dati di campioni e di codici genetici, conservati dastrutture con compiti investigativi e di polizia giudiziaria.

Dobbiamo richiamare con forza l'attenzione delParlamento sulla necessità di approvare al più presto una legge che diaun'idonea base normativa ad un fenomeno oggi incontrollato.

Tutto ciò diventa ancora più urgente in vistadell'attuazione del Trattato di Prüm, che comporta comunque che ciascun Paesesi doti di una propria banca dati genetica.

Ovviamente l'Autorità chiede, sin d'ora, di essereattivamente coinvolta.

Ribadiamo, infine, che occorre vigilare per evitareutilizzazioni indebite del DNA nell'ambito delle assicurazioni e dei rapportidi lavoro, così come inammissibili banalizzazioni nel ricorso al trattamento diquesti dati.

 

Una Pubblica Amministrazione a prova di privacy

 

11. Il 2006 è stato, per le Amministrazioni, l'anno dellaprotezione dei dati e dell'adozione dei regolamenti per il trattamento dei datisensibili.

È stato un lavoro enorme, che ha impegnato l'Autoritànell'esaminare ed esprimere i previsti pareri su 106 regolamenti, di cui 14schemi-tipo, ma che ha consentito a tutta la PA di riflettere su se stessa,assumendo la tutela dei dati come un principio essenziale di organizzazione.

L'Autorità intende ora dedicare sforzi e risorse averificare che le Amministrazioni applichino i regolamenti, aggiornandoliquando necessario.

Con analogo spirito abbiamo operato rispettoall'Amministrazione finanziaria, settore delicato nel quale, al fine dicombattere l'evasione fiscale, si registra una raccolta e un utilizzo massicciodi dati.

Il Garante non intende in alcun modo costituire unostacolo a questa azione, ma considera suo obbligo istituzionale vigilare chequesto avvenga nel rispetto delle nostre regole.

A questo fine stiamo lavorando da tempo con l'Agenziadelle Entrate, con la quale è stato anche costituito un tavolo di lavorocomune.

Il Garante ha reso all'Agenzia ben 7 pareri, di cui 5nei soli primi mesi del 2007, invitando sempre a ridurre al minimo l'utilizzodei dati personali e a evitare inutili duplicazioni di banche dati.

Per quanto attiene ai profili della sicurezza, poi,il Garante ha richiesto adeguate procedure di autenticazione dei soggettiincaricati.

Anche in questo settore, infatti, si sono verificatiaccessi illeciti che hanno riguardato non solo uomini politici e altepersonalità, ma anche ignari e semplici cittadini.

Abbiamo, comunque, già in programma per i prossimimesi un'attività ispettiva-collaborativa sulle banche dati di cui si avvalgonole Agenzie del Ministero dell'Economia.

Infine, sempre nell'ambito della PA, dedicheremoparticolare attenzione alle carte di identità, carte sanitarie e carte deiservizi elettroniche, anche per evitare inutili duplicazioni.

 

Una protezione dati più semplice e più efficaceper i lavoratori e le imprese

 

12. Relativamente alle imprese e al mondo del lavoro ricordiamole linee-guida adottate in alcuni settori specifici: la gestione del rapportodi lavoro dei dipendenti privati e dei dipendenti pubblici e la gestione dellaposta elettronica e internet nei luoghi di lavoro.

Sono provvedimenti importanti, relativi ad attivitàlavorative profondamente modificate dalle nuove tecnologie, e ancora una voltail Garante è intervenuto a supplenza del legislatore che meglio di noi potrebbedare a questi problemi una risposta adeguata, salvaguardando allo stesso tempola libertà di impresa e il diritto alla riservatezza dei lavoratori.

Nello stesso senso si muove il provvedimento relativoalle linee guida per le piccole imprese. Esso ha però anche una finalità disemplificazione, in armonia con quanto previsto dall'art. 2 del Codice, cheassume proprio la semplificazione come un parametro fondamentale di una buonanormativa di protezione dati.

Il Garante ha voluto indicare modalità di tutela deidati adeguate e proporzionate alle dimensioni degli operatori e allecaratteristiche della loro attività. Riteniamo infatti che il metodo correttoda seguire non sia quello di procedere con l'accetta a modifiche legislative,adottate sotto la pressione delle categorie di volta in voltainteressate. È opportuno, piuttosto, operare con interventi miratiche, come vuole anche la Direttiva europea, prevedano una modulazionedifferenziata dei livelli e delle misure di tutela, ma non che un interosettore venga sottratto alla normativa.

Per questa ragione, dobbiamo manifestare la nostracontrarietà rispetto alla recente decisione della Camera di sottrarre leimprese fino a quindici dipendenti dalla normativa sulla protezione dei datiper le attività connesse all'ordinaria gestione amministrativa e contabile.

Auspichiamo che, al Senato, questa norma vengariesaminata e riproponiamo la nostra collaborazione per individuare altre emigliori soluzioni.

Riconfermiamo infine la disponibilità a concorrerecon la nostra esperienza a una saggia opera di semplificazione anche neidiversi ambiti indicati dal Governo con il "Piano di azione per la qualitàdella semplificazione e della regolazione" recentemente approvato echiediamo, fin da ora, di essere adeguatamente coinvolti.

 

13. Le considerazioni svolte inducono ad una più ampiariflessione.

La normativa, europea e nazionale, in materia di protezionedati è innanzitutto finalizzata alla tutela delle persone.

Tale finalità dà forza e concretezza a quello cheoggi è per l'Unione europea un diritto fondamentale ma, talvolta, ha condottoad una normazione nazionale tendenzialmente orientata ad assicurare la massimae preventiva tutela delle persone che possano trovarsi in una "situazionedi rischio".

In questo modo si è mosso anche il Garante.

Siamo consapevoli, però, che è necessario evitare siaun'ipertrofia normativa, sia una tutela fondata sul proliferare di unadisciplina di dettaglio, spesso a forte carattere burocratico-formale, senzaun'adeguata attenzione alle diverse realtà e settori in cui le norme sonodestinate ad operare.

Occorre evitare di imporre eccessivi oneri,burocratici e finanziari, tali da provocare, specie negli operatori, resistenzee forme di inadempimento passivo, che si traducono in un abbassamento dellegaranzie per i cittadini.

Il principio di proporzionalità, che è uno deipilastri della protezione dei dati, deve consentire di tutelare adeguatamentequesto diritto fondamentale, senza gravare di oneri inutili o eccessivi idestinatari delle prescrizioni.

Per questo siamo interessati a forme didifferenziazione delle misure di sicurezza e ricordiamo la necessità di adeguaree, ove opportuno, rivedere l'Allegato B del Codice, che oggi le specifica. Unaggiornamento reso necessario non solo dallo sviluppo delle nuove tecnologie,ma anche dall'esperienza maturata dal Garante.

È importante, infine, un costante rapporto con gli operatorie le associazioni dei consumatori e delle imprese, che non si esaurisca inmodalità formali di consultazione, ma si sviluppi in forme effettive dicooperazione.

 

14. Intendiamo promuovere ulteriormente i codici deontologici,forma duttile di autoregolamentazione, che bene si adatta alle esigenze e allespecificità dei settori coinvolti.

Negli anni scorsi, ne sono già stati approvatialcuni, ma molto resta da fare.

È in stato di avanzatissima redazione, dopo annidi lavoro, il codice deontologico degli avvocati e degli investigatori privati,che speriamo giunga presto a conclusione.

Pensiamo, inoltre, che sia utile avviare i lavori perl'elaborazione di nuovi codici, accogliendo anche le richieste di settoridiversi da quelli previsti dal Codice.

Mi riferisco, in particolare, alle vendite percorrispondenza e, più in generale, al marketing.

Nella linea di incentivare un atteggiamento semprepiù responsabile della protezione dati, è opportuno ribadire la necessità diintrodurre anche in Italia, almeno nelle strutture di una certa dimensione, lafigura del privacy officer.

Questi soggetti potranno costituire una rete diinterlocutori permanenti, assicurando anche un'elevata capacità dicollaborazione tecnica con l'Autorità.

 

Una protezione dati sostenibile in un'economiaglobalizzata

 

15. Perseguire la tutela dei dati personali in una visioneattenta alle esigenze dell'economia e dello sviluppo significa anche affrontareil problema del trasferimento dei dati all'estero e, in generale, della lorocircolazione al di fuori dell'Unione.

In molti Paesi manca un'adeguata soglia di protezionedei dati e questo, nell'era della globalizzazione, costituisce un ostacolo allosvilupparsi di facili e fluide relazioni economiche e commerciali.

È questo un problema che tocca sempre più davicino anche le imprese italiane, man mano che i processi di ristrutturazioneconducono alcuni settori della nostra economia, primo fra tutti quello delleistituzioni finanziarie, alla creazione di organizzazioni multinazionali forti.

Il nostro Codice civile e la nostra legge sullaprotezione dati ostacolano l'adozione di forme flessibili di tutela giàpraticate in altri Paesi dell'Unione.

Occorre trovare soluzioni idonee, coinvolgendo leimprese e, se opportuno, segnalando al Parlamento la necessità di nuove regolee istituti giuridici.

 

L'educazione alla privacy

 

16. L'Autorità è impegnata anche sul piano della comunicazione,con uno sguardo attento in particolare alle nuove generazioni.

Ai giovani è stata dedicata la giornata europea dellaprotezione dati.

Registriamo con piacere che la tematica della privacy ha assunto finalmente un rilievoformativo tale da essere inserita, quest'anno, addirittura tra le prove scrittedi maturità.

Continueremo a incentivare la nostra presenza nellescuole e la nostra attenzione ai problemi dei giovani, così come abbiamo fattodi recente intervenendo in giudizio nel caso Peppermint, relativo al problemadella condivisione di files musicali.

Nello sforzo di incrementare ogni forma dicomunicazione e diffusione dei nostri valori, continueremo a favorire leiniziative di un componente del nostro Collegio che ha dato vita a unLaboratorio finalizzato a promuovere una visione ampia di privacy, attenta anche a sviluppare una piùserena vita di relazione, e che si articola in incontri e seminari presso varieUniversità e scuole.

 

Il rapporto con le Istituzioni

 

17. Qualche considerazione infine sul rapporto tra il Garante ele Istituzioni.

La normativa ci affida non solo il potere e il doveredi fare segnalazioni al Parlamento, ma stabilisce anche che l'attivitàregolatoria del Governo, quando tocca aspetti connessi con il trattamento deidati, deve essere necessariamente sottoposta al nostro parere.

Al Governo chiediamo attenzione al nostro ruolo.

Auspichiamo un rapporto sempre più stretto colParlamento, e ci auguriamo che sia possibile avere un raccordo istituzionalepiù strutturato ed organico di quanto le audizioni e la Relazione annuale ciconsentono oggi. Diamo volentieri atto, comunque, che l'attenzione delParlamento verso di noi è stata in questi ultimi mesi molto significativa. Dopole quattro audizioni del 2006, quest'anno siamo già stati sentiti sei volte.

Crediamo importante un raccordo costante anche con leRegioni e, in genere, con tutti i livelli di governo territoriale.

Il collegamento tra il Garante e le altre Istituzioniè di vitale importanza, così come lo è quello sviluppato da tempo con le altreAutorità di vigilanza e quello con le associazioni dei consumatori, che ci sonosempre state vicine. Lo stesso vogliamo fare con le altre associazioni dicategoria.

La nostra collocazione istituzionale ci impone diessere sempre dalla parte dei cittadini e di operare per accrescere il livellodi civiltà giuridica e sociale nel nostro Paese.

Lo vogliamo fare con l'orgoglio di chi sa di esseresulle frontiere più avanzate del diritto costituzionale moderno, ma anche conpragmatismo e concretezza.

Vogliamo aiutare i cittadini, le imprese, l'economiaa vivere e a crescere nella competitività e nelle tensioni di un mondo globale,senza dover rinunciare ma anzi rafforzando i valori dello Stato democratico.

Questo è ilnostro compito. Questo è il nostro impegno.