Marco Maglio (Avvocato - Presidente della Commissione per la legislazione e l'autodisciplina di AIDiM) 1. INTRODUZIONE "Per conoscere quello che sarà occorre sapere quello che è stato". Seguendo questo luogo comune frequentato dalla saggezza popolare, potremmo attribuire al primo provvedimento del Garante per la tutela dei dati personali un significato prognostico che va al di là della mera efficacia applicativa del decisum (1). Quindi, siamo portati a ritenere che, analizzando in controluce questa statuizione con uno sguardo proiettato verso il futuro, si offra ai nostri occhi una linea prospettica di particolare interesse: sarà possibile tentare di mettere a fuoco le variegate ed immateriali realtà che le norme generali ed astratte, contenute nei 45 articoli della legge n. 675/1996, cercano di incardinare ad una disciplina specifica. Vale la pena ricordare in premessa che, come è stato affermato dai primi interpreti che si sono cimentati con la legge n.675/1996(2), questo "codice italiano del diritto alla riservatezza" è una normativa complessa sia per la novità dell'argomento sia per soluzioni linguistiche non sempre felici e puntuali(3) che l'estensore del testo ha ritenuto di adottare. Pur con la consapevolezza di queste difficoltà intrinseche, ci piace pensare che il Garante, come un artista, con questa decisione abbia tracciato alcune linee che consentono all'osservatore di intravedere anche quello che (oggi) non c'è. Si tratta evidentemente di uno schizzo, disegnato su una tela ancora candida e le future decisioni consentiranno di delineare il quadro in modo più compiuto; ma, si sa, la grandezza del vero artista si intuisce anche solo osservando il modo in cui impugna il pennello. In ogni caso è interessante cercare di capire fin d'ora se la prospettiva tracciata da questa decisione sia semplicemente il frutto di una clamorosa illusione ottica da parte dell'interprete-osservatore o se, viceversa, essa nasca dalla corretta rappresentazione posta in essere del Garante-Artista, nella sua opera creatrice del diritto(4). Abbiamo richiamato la categoria dell'arte del giudicare e la tecnica della prospettiva ed il pensiero, se mai al giurista è consentita una scorribanda nei verdi pascoli della storia dell'arte, corre al Rinascimento Italiano ed a Leon Battista Alberti il quale, ponendo le basi teoriche di questa tecnica di rappresentazione pittorica, raccomandava all'artista di offrire allo sguardo dell'osservatore quanti più particolari possibile al fine di definire la realtà in modo verosimile. (5) Andiamo quindi alla ricerca di questi "particolari" nel provvedimento del Garante e cerchiamo di cogliere la prospettiva italiana del diritto alla riservatezza rispetto al trattamento dei dati personali. 2. UNA PREMESSA SUL RAPPORTO TRA ATTIVITÀ BANCARIA E PRIVACY. Tuttavia, prima di scendere nel dettaglio, sarà utile avvicinarsi a questo provvedimento con una visione panoramica, avendo cura di comprendere la rilevanza del rapporto che intercorre tra l'attività bancaria, la vita quotidiana delle persone e la potenziale violazione della riservatezza per trattamento abusivo dei dati personali di un soggetto. In estrema sintesi possiamo prendere a prestito l'ironia di un sociologo scozzese il quale apre nuovi orizzonti alla metafisica affermando che, nell'odierna civiltà dei consumi, una persona è costituita da tre elementi: corpo, anima e carta di credito(6). Sarà sufficiente rivolgere lo sguardo ad occidente, verso la nuova frontiera tecnologica, per rendersene conto: negli Stati Uniti i grandi "uffici per il credito" che vendono dati a chi fa pubblicità personalizzata, utilizzano sistemi on-line basati su enormi calcolatori, dotati di potenti sistemi di gestione dei database. Se una banca chiede a questi uffici una relazione sul fido di un cliente, la può ottenere in tempo reale. Queste relazioni contenenti nomi, indirizzi, numeri della previdenza sociale e passato creditizio di un soggetto, vengono aggiornate automaticamente ogni mese, partendo da fonti che abbracciano banche, compagnie di carte di credito, dettaglianti e ditte che noleggiano automobili(7). Si può quindi comprendere che i dati personali afferenti alle operazioni economiche poste in essere da ogni individuo costituiscono un patrimonio particolarmente importante per chiunque voglia farne un uso commerciale: quindi, le banche costituiscono una centrale di raccolta di dati personali potenzialmente illimitati ed economicamente preziosissimi. Con questa consapevolezza possiamo passare all'analisi del caso concreto, apprezzando forse maggiormente la scelta, crediamo attentamente misurata, che ha spinto il Garante ad occuparsi immediatamente del delicato rapporto banche-clienti. 3. IL CASO Il presupposto dal quale il caso prende le mosse è, in verità, piuttosto banale: un importante istituto di credito, nell'imminenza dell'entrata in vigore della legge sulla riservatezza dei dati personali, recependo i contenuti di una circolare emessa dall'Associazione Bancaria Italiana(8), invia indistintamente a tutti i suoi correntisti una lunga missiva: ricordando l'entrata in vigore della nuova legge n.675/1996, la banca fornisce una dettagliata informativa circa:
L'istituto di credito invita i destinatari della missiva a fornire il proprio consenso alla gestione dei dati personali, apponendo una firma su una dichiarazione prestampata. L'informativa inoltre precisa quanto segue:" l'eventuale rifiuto a fornirci i Suoi dati personali e ad autorizzare la comunicazione ai soggetti appartenenti alle citate categorie, potrebbe comportare la mancata esecuzione delle operazioni o dei servizi da Lei richiesti o la mancata instaurazioni del rapporto da Lei propostoci". Il meccanismo utilizzato, forse aggravato dal fatto che la comunicazione era stata inviata a spese dei correntisti, suscita la reazione immediata di tre associazioni di tutela dei consumatori (Adusbef, Movimento di tutela del cittadino e Codacons) che si rivolgono al Garante perché accerti se la documentazione trasmessa alla clientela del predetto istituto di credito sia conforme alle disposizioni della legge 31 dicembre 1996, n. 675. Il Garante, condotta l'istruttoria secondo i termini previsti dalla legge, segnala all'istituto di credito le modificazioni da apportare al materiale ed invita la stessa a non tenere conto delle dichiarazioni di consenso o di rifiuto di prestazione del consenso già manifestate, anche in considerazione del fatto che l'incompletezza dell'informativa all'interessato si riflette sulla validità del consenso prestato e, quindi, sulla legittimità dei trattamenti effettuati. Invita, altresì, la banca a fornire entro quindici giorni dalla data di emissione del provvedimento un esemplare dei modelli riformulati, ai sensi dell'art. 32, comma 1, della legge n. 675/1996 tenendo conto delle indicazioni contenute nel provvedimento. Il Garante, infine, rileva che le lettere risultano spedite in epoca antecedente all'8 maggio 1997, data di entrata in vigore della legge n. 675/1996, per cui, ferma restando la violazione della vigente normativa, non deve farsi luogo all'irrogazione della sanzione amministrativa di cui all'art. 39, comma 3, della medesima legge. 4. LE QUESTIONI: L'INFORMATIVA, IL CONSENSO DELL'INTERESSATO E LA LETTERA AL CLIENTE. Le questioni affrontate dal Garante sono riferite a tre diversi aspetti dell'iniziativa adottata dalla banca e precisamente: a) al contenuto dell'informativa prescritta dall'articolo 10 della legge n.675/1996; b) alle caratteristiche del consenso al trattamento di cui agli articoli 11 e 20 della stessa legge; c) alla struttura della lettera di presentazione dell'iniziativa della banca. Il Garante, pur evidenziando le indubbie connessioni che esistono tra questi tre aspetti del messaggio sottoposto alla sua valutazione, ha scelto di analizzare separatamente le questioni sottese ad ognuna di essi. In effetti questo sembra corretto, considerando che, sul piano del principio di realtà, la fattispecie concreta portata all'esame del Garante si componeva di tre distinti elementi (informativa, formula prestampata di consenso e lettera di accompagnamento). Peraltro, la legge stabilisce il criterio fondamentale per cui ogni soggetto ha diritto di esercitare un controllo sui dati che lo riguardano: tuttavia l'effettività di tale principio è compromessa se l'interessato non ha ricevuto tutte le informazioni necessarie per esercitare consapevolmente il suddetto controllo. Solo colui che sa può orientare consapevolmente le sue manifestazioni di volontà. E' questo un portato che la dottrina del negozio giuridico e dei vizi della volontà ha studiato in modo approfondito(9) e che sul piano più ampio delle scienze sociali si traduce nel motto: conoscere per deliberare. Da questa prima constatazione possiamo dedurre un elemento che crediamo caratterizzerà l'esistenza e quindi l'interpretazione futura della legge italiana sulla tutela dei dati personali: ogni elemento della comunicazione del titolare del trattamento nei confronti dell'interessato assume rilevanza ai fini della formulazione del consenso al trattamento stesso. Non sarebbe corretto isolare, nel contesto di un messaggio confuso ed ingannevole, una frase che fornisca all'interessato le informazioni prescritte dalla legge. Quindi soluzioni operative che, attraverso burocratici richiami alla legge, annacquino il flusso di informazioni, dal titolare all'interessato, necessario per la formazione di un consenso (o di un dissenso) valido, andrebbero incontro alla censura del Garante. In definitiva, il Garante individua quello che possiamo definire il canone della comunicazione armonica e richiama i destinatari delle norme al rispetto di questa regola di condotta: la lettera di accompagnamento, l'informativa e l'eventuale formulazione prestampata di consenso, insomma, tutti gli strumenti che il titolare utilizza per comunicare con l'interessato, devono essere tra loro coerenti e consequenziali, fornendo all'interessato, in sequenza logica e senza contraddizioni, tutti gli elementi necessari per esercitare in modo valido un controllo sui suoi dati, posto che "la privacy consiste nella pretesa vantata da individui, gruppi o istituzioni di determinare da loro stessi quando, come e fino a che punto un'informazione che li riguarda vada comunicata ad altri"(10). Pertanto, concepire gli elementi della comunicazione tra titolare ed interessato come documenti separati ed autonomi l'uno dall'altro sarebbe in contrasto con lo spirito della norma. Passiamo, ora a considerare le singole statuizioni del Garante : a) informativa all'interessatoPreliminarmente il Garante, richiama l'attenzione sul fatto che l'informativa deve rendere evidente la distinzione tra il caso in cui i dati siano stati raccolti presso l'interessato (art. 10, comma 1, della legge n. 675/1996) e l'ipotesi in cui i dati stessi siano raccolti presso terzi (art. 10, comma 3). Per commentare questa affermazione, se volessimo dar retta al Garante, dovremmo concludere che l'articolo 10 della legge n. 675/1996 costituisce un'eccezione rispetto al principio espresso dal brocardo "ubi lex voluit dixit". In realtà, la legge sulla tutela dei dati personali introduce la distinzione richiamata dal Garante solo per evidenziare che, nel caso di trattamento di dati raccolti presso l'interessato, l'informativa deve precedere la raccolta. Al contrario se la raccolta e effettuata presso terzi (i quali a loro volta avranno raccolto in precedenza i dati dall'interessato) l'informativa va fornita all'atto della registrazione dei dati. Francamente la lettera della legge non lascia spazio per concepire un obbligo a carico del titolare di prevedere due diversi tipi di informativa (tanto che, a giudizio del Garante, "qualora s'intenda predisporre un unico modello cartaceo per le due informative previste dall'art. 10, si potrebbero quindi articolare sullo stesso modello distinte caselle da barrare a seconda delle situazioni"). A nostro giudizio, la legge si limita a constatare che, nel caso di trattamento di dati già raccolti da altri, non avrebbe molto senso (dal punto di vista sia logico che cronologico) prevedere che l'informativa debba precedere la raccolta. Solo per questo motivo è prevista questa distinzione, che comunque non attiene al contenuto dell'informativa, ma semplicemente al tempo in cui deve essere fornita. Non è corretto, dunque, parlare di due tipi di informativa; semmai ci si deve riferire a due diverse modalità di presentazione dell'informativa all'interessato. Successivamente il Garante si occupa di censurare il modo in cui la banca ha scelto di indicare le finalità e le modalità del trattamento (obbligo prescritto dall'art.10, comma 1, lett. a della legge n. 675/1996): gli scopi della raccolta sono descritti con una formula tautologica ed attraverso un elenco non esaustivo, nel quale compaiono anche formule generiche; le modalità del trattamento, poi, sono descritte in modo approssimativo. Al contrario, e questo è un insegnamento da tenere sempre presente, la legge prescrive, proprio per il dovere di informazione che grava sul titolare, che siano fornite indicazioni specifiche e non meramente esemplificative relative alla logica e alle finalità sulle quali si basa il trattamento. Anche qui però, l'interprete constata, con un pizzico di rammarico, che sarebbe stato possibile indicare con maggior precisione fino a che punto deve spingersi l'analiticità delle indicazioni richieste dalla legge. Un ulteriore aspetto dell'informativa sul quale il Garante si sofferma è quello relativo alla possibilità che i dati vengano trattati, in nome e per conto della banca, da soggetti terzi che forniscono specifici servizi elaborativi, nonché da organismi che svolgano attività complementari rispetto a quella della banca, ovvero necessarie all'esecuzione delle operazioni o dei servizi bancari. Si tratta, in realtà di un'ipotesi assai comune, posto che la complessità dell'attività bancaria ha favorito la nascita di soggetti estranei all'organizzazione aziendale ma che forniscono una serie di servizi a favore dell'istituto di credito (si pensi ad esempio all'elaborazione dei dati od all'imbustamento della corrispondenza per i correntisti). In questi ultimi anni, anche a causa della crisi che ha investito questo settore, abbiamo assistito a fenomeni di esternalizzazione o di outsourcing, a seguito dei quali servizi, che tradizionalmente venivano gestiti all'interno della struttura bancaria, oggi sono affidati a fornitori esterni, con notevoli risultati in termini di risparmio e di qualità del servizio. Tuttavia, dal punto di vista della legge n. 675/1996, il flusso dei dati che si accompagna a queste attività va disciplinato in termini rigorosi, perché, in linea teorica, esso comporta un'attività di comunicazione dei dati stessi dalla banca ad un soggetto terzo. Per questo motivo il Garante desidera che l'informativa chiarisca se tali soggetti terzi effettuino il trattamento presso una struttura esterna che è stata appositamente nominata "responsabile" del trattamento, o nella quale operi il "responsabile" del trattamento nominato dalla banca, oppure se agiscano quali terzi, estranei all'originario trattamento effettuato presso la banca., ai quali i dati stessi siano stati comunicati o diffusi (in quest'ultimo caso, per considerare lecita la comunicazione o la diffusione dei dati, occorrerebbe il consenso espresso dell'interessato) . La preoccupazione del Garante è assolutamente in sintonia con lo spirito della legge; tuttavia osserviamo che la vigente normativa offre un'ulteriore possibilità per regolare il flusso dei dati personali dal titolare del trattamento verso i suoi fornitori. Ai sensi dell'articolo 19 della legge sarebbe possibile nominare "incaricati" del trattamento i fornitori ed evitare che il flusso di dati personali sia considerato come una comunicazione(11). In questo modo sarebbe possibile assicurare un elevato livello di protezione dei dati personali, posto che l'incaricato agisce sotto l'autorità e la responsabilità del titolare o del responsabile, evitando nel contempo gli appesantimenti burocratici collegati alla nomina dei fornitori quali responsabili(12). Il Garante si è, poi, soffermato sul modo in cui vengono indicati nell'informativa i soggetti ai quali i dati possono essere comunicati o diffusi. A tale proposito è stata censurata la qualificazione generica dei destinatari, cioè la mancata precisazione delle categorie dei soggetti cui è indirizzata la comunicazione, come pure è richiesto dall'art. 10, comma 1, lett. d della legge n. 675/1996. Assolutamente condivisibile appare il rifiuto a considerare legittima la mera informazione rivolta all'interessato dell'esistenza, presso la banca, di un elenco di tali categorie di soggetti, in quanto questa soluzione non assicura un'effettiva conoscenza. Il Garante qui coglie nel segno, ribadendo che, al di là dei formalismi, obiettivo dell'informativa è la conoscenza, e non la mera conoscibilità, delle notizie prescritte dalla legge. In questo modo è stato, speriamo, definitivamente sconfessato dal Garante uno dei tanti armamentari attraverso i quali la cultura dominante nel mondo bancario ha perpetuato l'ideale della banca quale soggetto forte che si impone sul correntista debole. Tuttavia non sembra condivisibile il rifiuto, espresso dal Garante senza eccezioni, nei confronti di un'informativa che richieda il consenso a comunicare i dati dell'interessato ad una categoria di soggetti non definiti individualmente. Con questa scelta il Garante ha privato l'interessato della libertà di effettuare una valutazione autonoma circa la possibilità di comunicare i suoi dati ad una più o meno ampia categoria di soggetti. Per fare un esempio l'avvocato che desideri essere informato delle novità editoriali in campo giuridico non potrà in nessun caso consentire che il suo libraio di fiducia comunichi i suoi dati personali a tutte le case editrici, esistenti e future, che stampano libri giuridici. Per il Garante un'informativa che contenesse questa qualificazione dei destinatari della comunicazione sarebbe irrimediabilmente generica e contra legem. Con buona pace per gli interessi editoriali del giurista. Tutto questo ci sembra, francamente, eccessivo. Più sibillina, e di scarsa utilità concreta per l'effettiva tutela dell'interessato appare la previsione secondo la quale l'indicazione del responsabile del trattamento deve rendere possibile l'individuazione del soggetto preposto. Non riteniamo che questa sia la strada giusta per assicurare l'efficace protezione dei diritti del soggetto cui si riferiscono i dati sottoposti al trattamento. In via preliminare ricordiamo che i dati anagrafici del responsabile sono portati a conoscenza del Garante attraverso la notificazione(13). In secondo luogo osserviamo, sul piano della realtà effettuale, che nulla aggiunge al livello di tutela dell'interessato il sapere che il responsabile del trattamento dati ha un certo nome e cognome. Ciò che conta è che questo soggetto sia facilmente raggiungibile dall'interessato il quale voglia esercitare i suoi diritti: pertanto riteniamo che sia sufficiente individuare questo soggetto indicandolo come funzione aziendale (e cioè: Il Responsabile del trattamento dati della società XXX, con sede in via YYY). Sarà l'organizzazione del titolare a fare in modo che tutte le richieste rivolte al responsabile non vadano disperse. Anche perché ogni richiesta non esaudita prontamente si potrebbe trasformare in una verifica, ben più invasiva ed ansiogena, da parte del Garante. Tra l'altro, può essere utile tener presente che l'eventuale sostituzione del responsabile comporterebbe per il titolare l'impossibilità di continuare ad utilizzare tutti i moduli che contengono l'informativa, già stampati presumibilmente in grandi quantità, riportando i dati anagrafici del responsabile sostituito. E non sembra che questo spreco di risorse sia giustificato da un ampliamento della protezione offerta al soggetto cui si riferiscono i dati. Il Garante chiude l'analisi sull'informativa occupandosi di un aspetto che è causa di effetti vizianti sul consenso dell'interessato. A giudizio del Garante "non è conforme alla legge la prospettazione della circostanza che il rifiuto a fornire i dati personali può comportare la mancata esecuzione di un'operazione, la mancata prosecuzione del rapporto ovvero la mancata instaurazione di nuovi rapporti'". L'affermazione appare pienamente condivisibile ed, a nostro avviso, fissa un caposaldo interpretativo della legge, la quale, lo ricordiamo, prescrive che l'interessato disponga di tutte le informazioni necessarie per consentirgli di esercitare il controllo sui suoi dati: tra l'altro la legge richiede che il titolare dichiari il carattere obbligatorio o facoltativo del conferimento dei dati. A tale riguardo la statuizione del Garante è assai precisa: " E' indispensabile una chiara distinzione tra i casi in cui taluni dati
In definitiva la finalità per la quale i dati sono raccolti influisce sull'essenza stessa dell'informativa ed ogni imprecisione a questo proposito viene giustamente sanzionata dal Garante. La banca ha, ingenuamente, paventato l'interruzione complessiva o la mancata instaurazione del rapporto, qualora non siano state fornite le informazioni richieste per singole operazioni o servizi. Non tenendo conto del fatto che delle due l'una: o le informazioni richieste sono strumentali all'esecuzione del contratto, e in questo caso non si pone l'obbligo di raccogliere il consenso dell'interessato (ai sensi dell'articolo 12 lettera b) della legge n. 675/1996), oppure sono notizie irrilevanti per le vicende del rapporto negoziale ed in questo caso la minacciata interruzione del vincolo contrattuale risulta quanto meno stravagante, per chiunque abbia una minima dimestichezza con le categorie concettuali del nostro diritto dei contratti. b) consensoChiarito il primo elemento della fattispecie concreta sottoposta al suo esame, il Garante passa a considerare il secondo termine del binomio che per la legge si pone in stretta correlazione con l'informativa: il consenso dell'interessato. In via preliminare può essere utile ricordare che il consenso viene definito dalla legge come il presupposto che rende legittimo il trattamento di dati personali. Esso, ai sensi dell'articolo 11 della legge n. 675/1996, deve essere espresso liberamente, in forma specifica, documentato per iscritto e presuppone che all'interessato sia stata resa l'informativa. Con queste premesse è facile comprendere per quale motivo la manifestazione di volontà che si è formata sulla base di presupposti scorretti (se volessimo utilizzare le categorie classiche dei vizi del consenso, dovremmo dire erronei) è irrimediabilmente viziata: per questa ragione la formula del consenso che la banca ha richiesto ai propri clienti riflette i vizi dell'informativa all'interessato. Per riprendere le impeccabili parole del Garante, " la richiesta ultimativa di un consenso generale e incondizionato, proveniente da un soggetto in posizione nettamente più forte rispetto al destinatario dell'informativa, si risolve in una violazione della libertà contrattuale di quest'ultimo". A questo proposito il Garante, utilizzando una formula non originale, introduce la categoria del "diritto all'autodeterminazione informativa": l'interessato deve poter formulare un consenso non condizionato, e dunque immune da qualsiasi pressione. Pertanto sarebbe viziato, e quindi invalido, un consenso non formulato in forma specifica e fondato su informazioni generiche o insufficienti. Queste osservazioni sono di assoluto rilevo e pienamente condivisibili. Tuttavia resta problematico comprendere per quale motivo il consenso generalizzato, formulato da un soggetto libero e consapevole, potrebbe essere ritenuto presuntivamente viziato. Auspichiamo che almeno questa presunzione sia iuris tantum ed ammetta la prova contraria. Peraltro lo stesso Garante, contraddicendo le affermazioni rigorose formulate in altra parte del provvedimento che qui si commenta, sembra ammettere la legittimità di un consenso che faccia riferimento non ai singoli destinatari della comunicazione dei dati ma almeno alle relative categorie. Un'importante affermazione interpretativa è formulata dal Garante rispetto ai cosiddetti trattamenti a catena: succede infatti piuttosto frequentemente che il soggetto che raccoglie i dati li comunichi a terzi i quali a loro volta li trattano. In linea teorica questo tipo di trattamento è lecito, purché l'interessato abbia formulato un consenso alla comunicazione ed al successivo trattamento. In queste ipotesi il consenso richiesto da un primo titolare, anche nell'interesse di altri titolari, sarà senz'altro valido. Tuttavia, come già ricordato, ai sensi dell'art. 11, comma 3 della legge n. 675/1996, il consenso deve essere prestato "in forma specifica" e deve quindi riguardare un preciso genere di trattamento effettuato a cura di un ben individuato titolare del trattamento. Inoltre, poiché il consenso è valido solo se sono fornite le informazioni di cui all'art. 10 della legge n. 675/1996, l'informativa stessa dovrebbe essere rivista in modo tale da collegarla anche alle attività svolte dai terzi che dovranno essere indicati in modo preciso ed esaustivo, al fine di consentire all'interessato di avere piena consapevolezza dei soggetti in favore dei quali il consenso potrebbe essere riferito. c) lettera al clienteIl Garante infine, sotto la spinta di quello che abbiamo definito canone di comunicazione armonica, dedica attenzione anche alla lettera con la quale la banca propone al cliente l'informativa e la richiesta del consenso. La censura del Garante a questo proposito riguarda l'ingannevolezza del messaggio contenuto nella lettera: il correntista può essere indotto a credere erroneamente che il consenso sia l'unico presupposto che renda legittimo il trattamento. Ma, come si premura di ricordare il Garante, la legge prevede agli artt. 12 e 20, alcune ipotesi nelle quali trattamento, comunicazione e diffusione dei dati personali possono prescindere dal consenso dell'interessato. Un'informativa completa non può passare sotto silenzio questo particolare. Con questa osservazione conclusiva un altro tassello di aggiunge al mosaico della corretta informazione finalizzata alla raccolta di un consenso manifestato, libero, espresso in forma specifica e valido . 5. CONCLUSIONE: LA TELA E LA SINDROME DI PENELOPE Abbiamo così individuato le linee prospettiche che il Garante ha tracciato, tessendo la tela con i fili della legge, per dare dei contenuti visibili alla teoria del diritto alla riservatezza rispetto al trattamento dei dati personali. La ricchezza dell'ordito e della trama ancora non sono compiutamente visibili, ma si intuiscono le dimensioni ed i colori di questo prezioso tessuto che ancora giace sul telaio. I punti interrogativi sono rilevanti ed i nodi da sciogliere sono numerosi. Il tempo ci dirà molte cose, ma fin d'ora è essenziale che il Garante non sia vittima di quell'attitudine che Penelope elevò a strategia per sopportare l'assedio dei Proci, disfacendo di notte quello che aveva tessuto di giorno: chiameremo questa condotta sindrome di Penelope (14). Fuor di metafora, auspichiamo che se il Garante fissa un principio è essenziale che questo resti saldamente affermato e costituisca un filo, magari sottile ma resistente, nell'arazzo che si va lentamente delineando. Purtroppo già in questo primo provvedimento intravediamo un sintomo della sindrome di Penelope. Precisamente, quando il Garante osserva, a proposito dell'informativa, che: "Per quanto riguarda le informazioni fornite direttamente dall'interessato, non è necessaria un'informativa data caso per caso in occasione di ciascuna operazione bancaria. E' tuttavia insufficiente un'informativa fornita una tantum e valida senza termine per qualsiasi operazione effettuata dal cliente che rientri nell'esecuzione del rapporto contrattuale al quale si riferisce l'informativa iniziale. Tuttavia, una specifica ed ulteriore informativa deve essere fornita, di regola, nell'instaurazione di nuovi rapporti, quando cambino le finalità o le modalità del trattamento o altri elementi previsti dall'art. 10." Ora, preliminarmente e sul versante formale, rileviamo un certo smarrimento sintattico, con la ripetizione, all'inizio di due proposizioni susseguenti, della medesima congiunzione avversativa "tuttavia" il che, da un punto di vista grammaticale, è, appunto, il corrispondente della sindrome di Penelope sul piano della logica. Sotto il profilo dei contenuti osserviamo che questa proposizione fissa un principio ma, quando potrebbe riempirlo di contenuti, torna nel vago e lascia l'interprete nell'incertezza. Ci chiediamo cosa voglia dire, in termini concreti, che l'informativa non è valida una tantum, ma va ripetuta, di regola, quando si instaurano nuovi rapporti. Al di là di questa considerazione, il provvedimento individua alcuni criteri di riferimento che riteniamo debbano essere tenuti sempre presenti nell'interpretazione della legge. Vediamoli in dettaglio: 1) Prima di tutto quello che abbiamo definito il canone della comunicazione armonica. In piena sintonia con altre proposizioni normative, prevalentemente di derivazione comunitaria (pensiamo alla normativa sulla pubblicità ingannevole ed a quella relativa alle clausole vessatorie ed "abusive"), il Garante lancia un richiamo assai forte alla trasparenza, alla semplicità ed alla non contraddittorietà del messaggio che il titolare del trattamento, ai sensi dell'articolo 10 della legge n. 675/1996, è tenuto a rivolgere all'interessato. Al bando, dunque, informative fasulle che, dietro la sequela di frasi oscure e complesse, nascondono il nulla. La legge non vuole che il formalismo prevalga sulla sostanza. Quello che conta in questo caso è il conseguimento del risultato cioè la conoscenza effettiva da parte dell'interessato dei caratteri del trattamento e dei diritti connessi (se ci è consentito un riferimento extra ordinem: in termini processualistici è lo stesso principio che regola il regime di nullità delle notificazioni degli atti processuali). A conferma di questo criterio possiamo citare la previsione contenuta nel secondo comma dell'articolo 10 della legge n. 675/1996 secondo il quale l'informativa può non comprendere gli elementi già noti alla persona che fornisce i dati. 2)In secondo luogo il Garante ha affermato la rilevanza assoluta del principio di finalità che trova compiuta espressione nell'articolo art. 9, lettera b), della legge n. 675/1996: al di là di alcuni specifici requisiti ulteriori, i dati personali possono essere trattati lecitamente a patto che siano "raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini non incompatibili con tali scopi" (15). Anche questo è un dato da tenere in mente quando si è chiamati ad applicare le norme generali ed astratte sulla tutela della privacy al caso concreto. Una delle più gravi lesioni della riservatezza delle persone nel trattamento dei dati personali risiede proprio nel potenziale uso distorto dei dati altrui che il titolare detiene. Il rispetto delle finalità per le quali il dato è stato raccolto rappresenta uno dei fondamenti sui quali l'edificio del diritto alla riservatezza si deve edificare. D'altra parte, chiediamoci se non è lesivo dell'altrui riservatezza l'atto con cui un'organizzazione politica comunica (o per meglio dire, vende) ad un'impresa i dati personali raccolti nella procedura prevista per presentare una petizione popolare in Parlamento. Il cittadino che ha firmato la petizione, fornendo i suoi dati personali, a quale scopo ha consentito che l'organizzazione politica detenesse i tali informazioni? Per presentare la petizione o per venderle ad un'impresa? Non sembri un esempio di fantasia perché purtroppo, nel nostro paese, è successo anche questo. Tuttavia, una volta ribadita la rilevanza del principio di finalità, non possiamo esimerci dal criticare il passaggio del provvedimento in commento che conduce alle estreme conseguenze questo criterio, determinandone, in un certo senso, lo svuotamento: Osserva il Garante: "Appare in aperto contrasto con l'anzidetto principio di finalità l'ampia richiesta di consenso per tutti i dati sensibili il cui trattamento generalizzato non può certo ritenersi connaturato alle esigenze nascenti da un comune contratto bancario." In un certo senso, a noi sembra che il Garante con questa proposizione abbia introdotto nel nostro sistema quello che, riecheggiando le categorie penalistiche dei reati di pericolo, potremmo definire il principio di finalità in astratto. Non conta, cioè, la finalità in concreto della raccolta. Prevale qui la logica della finalità in astratto, secondo la quale, ad esempio, una banca, non può (si badi, non può neppure col consenso informato dell'interessato) raccogliere dati che non appaiano prima facie strumentali all'esecuzione di un contratto bancario. Osserviamo qui che è assai discutibile questa scelta di imporre al titolare del trattamento una autolimitazione nell'uso dei dati personali, stabilendo una arbitraria (e autoritaria) presunzione secondo la quale la possibilità di raccogliere alcune categorie di dati personali è subordinata alla consequenzialità logica tra il tipo di dati raccolti e l'attività ordinariamente svolta dal titolare. Ma a nostro parere, innanzitutto, il principio di finalità si dovrebbe sempre coniugare con il principio di libertà per cui l'interessato, una volta informato dell'uso che potrà essere fatto dei suoi dati, dovrebbe poter sempre dire l'ultima parola circa l'utilizzazione dei suoi dati, indipendentemente da un controllo (condotto secondo un discutibile canone di "connaturalezza" dei dati raccolti rispetto all'attività svolta dal titolare del trattamento) da parte del Garante. Inoltre questa interpretazione restrittiva, generando quello che abbiamo definito "il principio di finalità in astratto", limita fortemente l'autonomia e la libertà imprenditoriale dei soggetti. La storia economica moderna insegna che quello che oggi sembra innaturale ed illogico, diventa realizzabile ed economicamente profittevole il giorno dopo. E spesso il successo imprenditoriale di un progetto dipende proprio dalla ricchezza delle informazioni (lecitamente) possedute da un soggetto. Allora, anche in questo caso ci sembra di poter dire che Penelope ha sfilato dall'ordito la trama che andava cosi preziosamente formandosi. 3) Il Garante ha definito l'esistenza nel nostro ordinamento del diritto all'autodeterminazione informativa . Questa formula ha una nobile origine, essendo stata individuata per la prima volta dal Bundesverfassungericht tedesco(16) con una sentenza storica per gli studiosi del diritto alla riservatezza, dedicata alla tutela della privacy nella gestione dei dati personali raccolti da un organo pubblico in occasione di un censimento. Tuttavia la riproposizione di quella "formula nobile" per definire una posizione giuridica soggettiva, pur essendo suggestiva, non sembra particolarmente felice in questo contesto espressivo, in quanto stabilisce un artificioso collegamento tra l'autonomia che attiene alla sfera della volontà dell'interessato e l'attività di informazione che è, invece, determinata da un atto di parte proveniente dal titolare del trattamento. Ma al di là di queste osservazioni concettuali, è importante ribadire che l'autodeterminazione informativa, per esplicita previsione del Garante, si pone in diretta correlazione con il libero consenso espresso dall'interessato: esso deve essere immune da qualsiasi pressione esterna, e non può venire "condizionato all'accettazione di clausole che determinano un significativo squilibrio dei diritti e degli obblighi derivanti dal contratto. Ciò è esattamente quanto avverrebbe nel caso di un consenso generalizzato e fondato su informazioni generiche o insufficienti, accompagnate dall'esplicita previsione di una possibile rottura dei rapporti contrattuali. Verrebbero così negati proprio i diritti configurati dall'art. 1 della legge n. 675 come "fondamentali". 4) Infine il Garante, ribadendo che il consenso dell'interessato deve essere prestato "in forma specifica" ha chiarito che cosa debba intendersi con questa espressione: la manifestazione di volontà dell'interessato deve riferirsi ad un preciso genere di trattamento effettuato a cura di un ben individuato titolare. Abbiamo già espresso apprezzamento per questa interpretazione "quasi autentica" prospettata dal Garante. Al contrario dobbiamo esprimere una certa perplessità per la scelta, adottata dallo stesso Garante, di censurare l'ipotesi di consenso generalizzato prestato dall'interessato alla comunicazione o alla diffusione: siamo qui di fronte ad una pericolosa limitazione dell'autonomia privata che riteniamo non trovi alcuna giustificazione nell'innalzamento della soglia di tutela a favore dell'interessato. Il riferimento alla categoria giuridica dell'autonomia privata ci porta a prospettare un percorso di indagine che riteniamo dovrà essere analizzato dalla dottrina che si soffermerà sul tema del trattamento dei dati personali: riteniamo che "il diritto dei contratti" sia la piattaforma logico-giuridica sulla quale si fonda il meccanismo del consenso dell'interessato come criterio fondante del lecito trattamento dei dati personali (cfr. articoli 12 e 20 della legge n. 675/1996). Questo vuol dire che il consenso dell'interessato costituisce una manifestazione di volontà negoziale che (ai sensi dell'articolo 1325 del codice civile) se: a) espressa nella forma richiesta dall'ordinamento, b) vestita di una causa idonea, c) riferita ad un oggetto determinato o determinabile comporta la costituzione di un diritto in capo al titolare che rende legittimo il suo trattamento dei dati personali. Se questa premessa è fondata, crediamo che l'enorme patrimonio concettuale offerto dalla elaborazione dottrinale sulla determinabilità dell'oggetto del contratto(17) debba essere attentamente valutato ed utilizzato dai giuristi per affrontare con la dovuta consapevolezza il problema della determinatezza del consenso al trattamento di dati personali. Siamo certi che il Garante non vorrà sottrarsi a questa riflessione. Tuttavia in attesa di tempi migliori, da cacciatori di sintomi della sindrome di Penelope, rileviamo una sostanziale contraddizione: da una parte il Garante chiude la porta ai consensi generalizzati, dall'altra apre la finestra ammettendo la legittimità di un consenso che faccia riferimento non ai singoli destinatari della comunicazione dei dati, ma almeno alle relative categorie. Gli interpreti studieranno molto per cogliere il concreto significato della distinzione tra "generi" e "categorie" di destinatari della comunicazione. Ma è forte il pericolo che attraverso questo passaggio, aperto dallo stesso Garante, trovino strada condotte che sono in contrasto con il principio generale(18). Insomma, la sindrome di Penelope ha colpito ancora. E poi, osserviamo: che senso ha criticare il consenso generalizzato alla diffusione(19), posto che questa attività consiste, secondo la definizione legislativa (articolo 1, secondo comma, lettera h, legge n. 675/1996) nel "dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma" ? Insomma chiedere che il consenso alla diffusione dei dati personali venga riferito a categorie specifiche di destinatari è una contraddizione in termini. Facciamo questa considerazione sommessamente, applicando il principio aristotelico di non contraddizione, che crediamo non debba mai essere dimenticato nell'operazione di verifica di un ragionamento giuridico(20). In conclusione, la prospettiva disegnata da questo provvedimento è ricca di interessanti particolari e siamo convinti che il Garante per la tutela dei dati personali, se saprà contrastare con intelligenza e senso di realtà la sindrome di Penelope, che ha da sempre accompagnato l'affermazione del diritto alla riservatezza(21), offrirà all'individuo ed alla collettività un importante strumento di tutela per il libero sviluppo della personalità di ognuno di noi(22). Va ancora una volta ribadito che, anche in questa vicenda della tutela della riservatezza nel trattamento dei dati personali, gli appelli alla logica ed i richiami a cogliere la vera essenza dei rapporti giuridici hanno come fine ultimo la realizzazione di riforme sistematiche che contribuiscano ad avvicinare la società ai veri traguardi di civiltà: la lunga storia del right to privacy è lì a dimostrarlo. Proprio per questo ci sembra quanto mai attuale ciò che è stato osservato, in una stagione sociale e culturale assai diversa dalla presente, a proposito della valenza intimamente politica della scienza giuridica: "nessuna rivoluzione sociale può veramente compiersi senza la consapevolezza degli strumenti giuridici che impiega e soltanto l'ignoranza o il cinico abbandono possono far ritenere che nei nostri tempi, al diritto sia riservata soltanto una oscura ed indifferente funzione tecnica(23)". Pertanto l'affermarsi della cosiddetta società dell'informazione(24), con le tante questioni che propone a chi voglia riflettere, lancia anche una concreta sfida, prima di tutto, al legislatore ed ai giuristi ed alla loro capacità razionale di definire un nuovo ordine di rapporti sociali in un equilibrato ordinamento di norme(25). Crediamo che sia una sfida sostenibile: a patto di non essere vittime della sindrome di Penelope. Milano, giugno 1997 1) Siamo incoraggiati a seguire questa strada dalle notizie riportate dalla stampa quotidiana secondo la quale, nel presentare la sua prima decisione all'opinione pubblica, il Garante ha evidenziato che la decisione in commento indica una serie di criteri generali che possono essere utili a molti soggetti (banche, compagnie di assicurazione ecc.) che devono già in questo primo periodo dare applicazione alla nuova legge nei confronti di clienti e dipendenti). Rinviamo a questo proposito al comunicato stampa del 28 maggio 1997 emesso dal Garante, consultabile sul sito internet http//:www.privacy.it. 2) Tra gli altri ricordiamo M.Clarich Privacy informatica: prime osservazioni, in Danno e Resp., 1997,pagg. 137 ss; G.Comandè, Privacy informatica: prospettive e problemi, in Danno e Resp., 1997,pagg. 140 ss;. V. Zeno Zencovich, I diritti della personalità dopo la legge sulla tutela dei dati personali, Studium iuris, 1997, pagg. 467 ss.; M. Costanza, Brevi osservazioni sulla legge 31 dicembre 1996 n. 675 - Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali, in Resp. Comun. Impr., 1997, pagg. 309 ss.; A. Bellavista, Società della sorveglianza e protezione dei dati personali, Contr. Impr, 1996, pagg. 63 ss. 3) Uno sguardo di diritto comparato su questa materia rivela che l'Italia è stato uno degli ultimi paesi dell'Unione Europea (e del mondo) a dotarsi di una legge specifica della tutela dei dati personali.(una valutazione giustamente perplessa sull'entusiasmo degli ultimi arrivati che "rischia di trasformarsi in sacro furore" è espressa da R. Pardolesi in nota al provvedimento che qui si commenta, pubblicato in Foro it., 1997, III, c.318). Per converso è interessante notare che i primi studi italiani su questo argomento sono ormai risalenti a circa trenta anni fa e che gli studiosi italiani si siano brillantemente inseriti con autorevolezza nel dibattito sovranazionale degli intellettuali sul tema del diritto alla riservatezza. Ci piace qui ricordare V. Frosini Cibernetica, diritto e società, Milano, 1968 e S. Rodotà, Elaboratori elettronici e controllo sociale, Bologna, 1973, la cui lettura si raccomanda per la chiara esposizione di concetti che sicuramente risulteranno assai utili anche agli improvvisati interpreti dell'ultim'ora che su questa legge si stanno sbizzarrendo. In questo senso, per avere nozione dell'importante dibattito che animò la dottrina italiana sul "diritto della personalità" negli anni sessanta, è utile la lettura di T.A.Auletta, Riservatezza e tutela della personalità, Milano, 1978 nonchè, di A.A.V.V. (a cura di Alpa e Bessone), Il diritto alla identità personale, Padova, 1981. Sullo specifico punto della tutela dei dati personali tra gli altri segnaliamo, R. Pagano, Tutela dei dati personali, evoluzione della legislazione europea e stato del dibattito in Italia, in Informatica e diritto, 1986, pagg. 19 ss.; G. Mirabelli, Le posizioni soggettive nell'elaborazione elettronica dei dati, in Dir. Inf., 1993, pagg.313 ss.; V. Frosini, Note critiche al disegno di legge sulla protezione dei dati personali, in Dir. Inf., 1992, pagg. 745 ss., Id., voce " Telematica e informatica giuridica", in Enc.dir, Milano, 1992, pagg. 60 ss. 4) Anticipando la conclusione di un discorso che merita un adeguato approfondimento, si intende qui evidenziare la natura para-giurisdizionale della attività provvedimentale del Garante per la tutela dei dati personali. L'irresistibile ascesa delle Autorità indipendenti in questi ultimi anni ha trovato, nel caso della tutela della privacy, uno sviluppo particolarmente innovativo: a differenza di quanto è avvenuto in passato con le altre autorità indipendenti, questo Garante opera in un terreno che in precedenza non era in nessun modo disciplinato. Pertanto come ha osservato, con il consueto acume V. Zeno Zencovich, Un "catalogo "per la privacy e le Autorità, in Il sole 24 ore, 5 agosto 1997, pag. 7, nel caso del Garante per la protezione dei dati personali "non vi è un trasferimento di funzioni pubbliche ma la creazione di poteri, nel senso tecnico del termine". A tutto questo non può che assistersi con uno sguardo preoccupato per l'equilibrio del sistema istituzionale e per il rispetto del principio di tripartizione dei poteri. Sul punto vedi anche Cassese-Franchini (a cura di) , I Garanti delle regole, Bologna, 1996. Sulla rilevanza del judge made law, anche in paesi di civil law, ci limitiamo a richiamare le sontuose pagine che la dottrina più accorta ha dedicato all'arte creativa del giudice. Per tutti cfr. G. Alpa, L' arte di giudicare, Roma- Bari, 1996, in particolare pp.9 -15 (ivi ulteriori riferimenti bibliografici). 5) La prospettiva, se c'è bisogno di ricordarlo, è la tecnica che consente di rappresentare la profondità spaziale su una superficie piana, ossia che permette di descrivere gli oggetti tridimensionali su una superficie bidimensionale. Leon Battista Alberti, architetto e uomo di lettere del Rinascimento, ne descrisse la tecnica teorica nel suo trattato De Pictura nel 1436. 6) L'ironica osservazione è di D. Lyon, L'occhio elettronico -Privacy e filosofia della sorveglianza, Milano, 1997, pag.15. 7) In questo senso si esprime l'articolo, senza firma, Not Giving Credit Card Where It's Due, in Information Week, 19 agosto 1991, pag. 36. Su questi dati si è fondata agli inizi degli anni '90 una campagna di stampa assai diffusa negli Stati Uniti, che ha trovato tardivi, e a volte distratti, seguaci anche in Italia (per tutti è esemplare l'articolo, peraltro ricco di imprecisioni, di M. Serra, Libertà per la mia posta, La Repubblica, 8 maggio 1997, pag. 1). 8) E' la circolare ABI del 18 aprile 1997 n. prot.LG/002859 (interamente riportata in Guida Normativa del 22 maggio 1997, n.88, pagg. 18 ss.) nella quale sono indicati gli strumenti per adeguarsi alla nuova disciplina sulla tutela dei dati personali. Alla luce di questa considerazione il provvedimento del Garante assume una rilevanza ancora maggiore, perché lungi dal riferirsi alla condotta isolata di un istituto di credito, in realtà coinvolge l'intero sistema bancario italiano che, su questo argomento aveva deciso di assumere un comportamento unitario. Non è un caso che rappresentanti dell'ABI abbiano partecipato ad una delle sedute dedicate dal Garante alla controversia in commento, proponendo una memoria difensiva . Sembra, allora, di poter dire che il coinvolgimento dell'istituto di credito destinatario del provvedimento, sia stato determinato dall'eccesso di zelo e dall'immediatezza con cui ha recepito le indicazioni ricevute dall'ABI. 9) La dottrina sui vizi genetici della volontà è notoriamente sterminata. Ci limitiamo a ricordare V. Pietrobon, Errore,volontà ed affidamento nel negozio giuridico, Padova, 1990. Inoltre merita di essere segnalata, come utile bagaglio culturale per il giurista che voglia avvicinarsi con maggiore consapevolezza alle problematiche sottese al consenso, la polemica intercorsa nella dottrina italiana degli anni '50 tra dichiarazionisti e volontaristi. Sul punto vedi le pagine di E.Betti, G. Stolfi e di G. Gorla, riportate in A.A.V.V. (a cura di S. Rodotà), Il diritto privato nella società moderna, Bologna, 1971,pagg.263-314. 10) E' la celebre definizione fornita da A. F. Westin nel suo Privacy and Freedom, New York, 1967 11) In questo senso cfr. anche G. De Nova, Trattamento dei dati personali: responsabilità degli intermediari bancari e finanziari, in Danno e Resp., 1997, pagg..401 ss. 12) L'ipotesi, prospettata dal Garante, di nominare responsabili del trattamento i soggetti terzi che svolgono un servizio a favore della banca si scontra con la considerazione che l'identità dei fornitori utilizzati dalle banche muta piuttosto frequentemente. Peraltro, ricordando che i dati anagrafici del responsabile vanno riportati nell'informativa e nella notificazione, sarà facile intuire che l'onere, anche in termini economici, generato da questa soluzione a carico del titolare, è assai elevato. 13) Facciamo riferimento all'atto posto a carico del titolare dall'articolo 7 della legge n. 675/1996. Per distinguerla dalle altre ipotesi di notificazione (cfr. articoli 16 e 28 della legge n. 675/1996) altrove abbiamo definito questo atto come "notificazione generale preventiva". 14) Sono debitore di questa immagine a G. Ubertis, Il Codice di procedura penale tra Sisifo e Penelope, Torino, 1991. La quasi decennale vicenda del nostro codice di procedura penale, nato all' ombra dei principi del processo accusatorio e lentamente rigeneratosi in alcune componenti del rito inquisitorio dalle ceneri del precedente codice di rito del 1931, dovrebbe servire da monito per evitare che la faticosa affermazione delle idee nuove, fatta alla luce del giorno, arretri per oscure manovre realizzate nottetempo. 15) E' questo il testo dell'articolo 9 della legge n. 675/1996, rubricato come "Modalità di raccolta e requisiti dei dati personali". Peraltro questo articolo, adottando lo schema classico della fattispecie atipica, contiene in sè il principio fondamentale per cui i dati devono essere trattati in modo lecito e secondo correttezza. Ricordiamo poi che ai sensi dell'articolo 29, nono comma, della legge n. 675/1996, nei casi di violazione dell'articolo 9, l'eventuale danno non patrimoniale è risarcibile. Per una valutazione sulla rilevanza dell'articolo 9 nel sistema della legge sulla tutela dei dati personali cfr. G. De Nova, Trattamento dei dati personali: responsabilità degli intermediari bancari e finanziari, in Danno e Resp., 1997, pagg..401 ss. ss. Su questo tema cfr.anche S. Sica, Danno morale e legge sulla privacy informatica, in Danno e Resp., 1997, pagg. 282 ss. 16) E' la nota sentenza del Bundesverfassungericht del 15 dicembre 1983, pubblicata in, Neue Jur. Woch., 1984, pagg.419 ss. L'espressione tedesca utilizzata dalla corte è :"Recht auf informationelle Sebstbestimmung"; ma ,a nostro giudizio, la traduzione letterale, utilizzata dal Garante nel provvedimento in commento, non produce nel lettore la medesima impressione di precisione rappresentativa che caratterizzava la sentenza dell'organo giurisdizionale tedesco. 17) Su questo argomento, oltre agli sterminati riferimenti dottrinari per i quali rinviamo a R. Sacco e G. De Nova, Il Contratto, tomo II, Torino, 1995, ci sovviene, per rimandare ad un argomento assai noto agli studiosi di contratti bancari, la lunga vicenda giurispudenziale che ha caratterizzato nel nostro paese la discussione sulla legittimità delle cosiddette fideiussioni omnibus. Anche in quel caso la partita si giocò sul terreno della determinatezza e determinabilità dell'oggetto del contratto. 18) Si occupa di questo perverso meccanismo di disapplicazione dei principi generali G. Alpa, voce "Principi Generali", in Dig. IV ed., Torino, 1994, pagg. 355 ss. 19) Si fa riferimento all'affermazione, contenuta nel passo del provvedimento in commento dedicato all'informativa all'interessato, alla lettera d):" del tutto generica risulta l'indicazione dei soggetti ai quali i dati possono essere comunicati o diffusi". 20) Sulla rilevanza di questo principio per la correttezza del ragionamento giuridico rinviamo allo studio di G. Calogero, La logica del Giudice ed il suo controllo in Cassazione, Padova, 1937 21) E' sufficiente un'analisi sommaria dell'ultrasecolare vicenda del diritto alla riservatezza per rendersi conto che il right to privacy è sempre vissuto di improvvise fughe in avanti e di clamorosi e bruschi arretramenti. Dall'atto di nascita stilato da S. D. Warren e L. D. Braideis, Right to privacy, in Harv. L. Rev., 1890, pagg. 193 ss. alla clamorosa bocciatura data alla rilevanza costituzionale della privacy dalla Suprem Court Statunitense nel 1928 con il caso Olmstead v. U.S. (277 U.S. 438), fino alle recenti estensioni del diritto alla privacy, come criterio fondante del c.d. "diritto all' aborto", con il caso Roe v. Wade nel 1973 (410 U.S.113). Per una precisa analisi di quest'evoluzione storica e di questo "effetto-elastico" che ha caratterizzato il processo di riconoscimento della privacy come diritto tutelato in forma autonoma è utile la lettura di A. Baldassarre, Privacy e Costituzione, Roma, 1974. Sul punto vedi anche S. Rodotà, Tecnologie e diritti, Bologna, 1995, pagg. 50-52 e 101 ss. 22) Il problema del diritto alla riservatezza si identifica, nei suoi aspetti essenziali, nella definizione del rapporto tra la persona ed il consorzio sociale. Pertanto, il delicato tema della tutela della privacy è contenuto nella fondamentale questione del rapporto tra l'individuo e la collettività nella società dell'informazione. Per argomenti come questo, è il caso di dirlo, il diritto si "intinge" nella politica. Per la definizione compiuta di quest'approccio al problema della riservatezza, si segnalano S. Rodotà, La Privacy tra individuo e collettività, in Pol. dir. 1974, pagg. 545 ss., nonché V. Frosini, Informatica, Diritto e Società, Milano, 1988. Inoltre utili riferimenti di diritto comparato sullo specifico problema della tutela della riservatezza nella gestione delle banche dati sono proposti da V. Frosini, Banche dati e tutela della persona, sta in A.A.V.V., Banche dati e tutela della persona, Roma, 1983, pagg.3 - 18. Più in generale, sul tema degli strumenti giuridici per la tutela della riservatezza resta insuperato per chiarezza e senso della realtà, M. Giorgianni, La tutela della riservatezza, in Riv. trim. dir. proc. civ., 1970, pagg. 13 ss. Sulle posizioni giuridiche soggettive rilevanti nel trattamento dei dati personali si rinvia a E. Roppo, Informatica, tutela della privacy e diritti di libertà, sta in Computers e responsabilità civile, (a cura di G. Alpa), Milano, 1985, pagg. 28 ss. 23) Sono parole di S.Rodotà nella presentazione del volume di P Vinogradoff, Il senso comune nel diritto, Milano, 1965, p. XI. 24) Sul significato di quest'espressione e sulle sue implicazioni culturali, e quindi anche giuridiche, rinviamo a D. Lyon, La società dell'informazione, Bologna, 1991. 25) Sui problemi connessi alla tutela dei diritti fondamentali dell'individuo nella società dell'informazione cfr. A. Cerri, Telecomunicazioni e diritti fondamentali, in Dir. Inf., 1996, pagg. 785 ss., che propone anche utili riferimenti alla normativa comunitaria dedicata agli strumenti telematici. Sul tema dell'informazione giuridica e sul ruolo degli elaboratori elettronici segnaliamo l'opera di uno dei padri della data protection in Europa: S. Simitis, Crisi dell'informazione ed elaborazione elettronica dei dati, Milano, 1973. |