Le due principali aree di conflitto tra i contrapposti interessi tendono descrittivamente a coincidere con la raccolta dei dati personali e la loro diffusione secondaria - la diffusione cioè a soggetti originariamente non coinvolti nell'attività di trattamento - in quanto gli scopi di questi soggetti potrebbero divergere da quelli per i quali i dati erano stati conferiti. Inoltre (e al di là degli interessi pubblici) mentre l'attività di trattamento trova in ambito "commerciale" numerosi incentivi di profitto nello svolgimento di attività economiche l'interesse individuale ai dati personali è spesso (solo) espressione di autonomia. Ma anche questa considerazione rischia di essere fuorviante lasciando intendere che il conflitto di interessi e la relativa conciliazione consista nella mera contrapposizione tra profitto e libertà individuale.

Del resto, si noti che non tutti e non sempre gli interessi (e i centri di interessi) indicati si trovano in conflitto, mentre è sicuramente loro comune l'attenzione alla "esattezza" delle informazioni.

In questo alternarsi di interessi sulla scena l'individuo gioca più ruoli perché, oltre ad essere il "soggetto" cui i dati si riferiscono, spesso usufruisce come utente del medesimo insieme di dati e certamente beneficia - in modo diretto - come fruitore dei servizi che da quelle informazioni dipendono e - in modo indiretto - della corretta circolazione delle informazioni per una migliore concorrenzialità e trasparenza del mercato in cui si muove come consumatore.

Nell'assumere possibili diversi ruoli, sono stati riconosciuti all'individuo dei "diritti" catalogati in vario modo nei diversi ordinamenti e spesso ricondotti entro una logica proprietaria. A prescindere dalla condivisione o meno della descrizione in forma proprietaria, tali diritti sono certamente volti a tutelare la sua posizione nei tre momenti prima indicati (raccolta, controllo sulla circolazione e controllo sui contenuti).

Questi diritti sono solitamente riassunti:
1) nel diritto di sapere se esistono e quali sono le banche dati contenenti "suoi" dati;
2) di sapere quale uso sarà fatto dei dati che conferisce e quale sarà l'ambito della loro diffusione;
3) di consentire a (o di dissentire da) una estensione dell'ambito di conoscenza di quei dati;
4) di accedere ai dati e se inaccurati di correggerli (rectius: di farli correggere);
5) di avere garantiti, per quei dati, livelli adeguati di sicurezza e di aggiornamento se obsoleti.

È di per sè intuitivo che rispetto ad un dato personale ciascuno può essere ad un tempo oggetto di quel dato, può essere titolare di una situazione in senso lato di appartenenza, può essere a vari fini e con varie qualifiche "utente" del medesimo dato.

Sembrerebbe altrettanto intuitivo riferire questa tripartizione di base anche ad un insieme di dati, cioè ad una c.d. banca dati.

Invero, il parallelo non è così lineare. La mia posizione di utente/consumatore e di produttore/gestore può diversificarsi a seconda del "ruolo" con il quale ne uso (imprenditore privato, cittadino consumatore, ente pubblico), facendo rilevare il mio comportamento in modo diverso.

Come anticipato, è difficile parlare dei dati personali in sé (e più in generale della privacy) in termini proprietari. Tuttavia, una banca dati ai sensi del codice civile viene vista come un bene oggetto di diritti (anche di proprietà come per un cd-rom che la contiene) e viene protetto secondo una logica proprietaria attraverso il diritto d'autore o il diritto sui generis.

In questa prospettiva non si rifiuta una netta separazione tra persona umana e "profilo" che la riguarda così da vedere nel "profilo" - o insieme di dati personali - un'entità a sé stante ed indipendentemente commerciabile quando l'individuo cui i dati si riferiscono abdica ad un certo grado di controllo.

Il diritto d'autore e il diritto sui generis concernenti le banche dati trovano una loro precisa regolamentazione nella Direttiva 96/9/CE del 11 marzo 1996, che deve essere coordinata con la tutela delle persone rispetto al trattamento dei dati personali ma che non si sovrappone né tantomeno si identifica con questa disciplina. La banca dati può non avere (ed assai spesso non ha) ad oggetto i dati di un solo individuo. Diritti ed interessi di entrambi i termini del nostro discorso (utenti/gestori) devono allora essere considerati in modo più articolato all'interno di schemi di appartenenza nonché al di fuori ed al di là degli stessi.

Le situazioni di "appartenenza" nelle banche di dati personali (il risultato "finale" di un trattamento) sono, ad esempio, disciplinate dalla direttiva 96/9/CE mentre l'attività con la quale si raggiunge e si mantiene tale risultato è disciplinato in Italia dalla legge n. 675/1996 e successive modifiche.

In verità l'informazione personale contenuta nel file (cartaceo o elettronico) è contemporaneamente una risorsa preziosa (ed economicamente apprezzabile) per chi la detiene ed un riflesso o un aspetto (magari ultroneo o fuorviante) dell'individuo cui si riferisce. Tra le due posizioni occorre trovare un coordinamento perché non si arrivi ad un indiscriminato prevalere di una sull'altra.

Si sono così evidenziati due profili, assai diversi e solo per alcuni aspetti collegati, che rientrano nello spettro di analisi imposto dalla sessione e dal titolo. Il multiforme atteggiarsi di ciascun centro di interesse (ed in definitiva dell'individuo) rispetto al dato personale singolo, da un lato, e la variegata rilevanza economica e giuridica per i medesimi centri di interesse che il dato personale, in sé o aggregato, può assumere come oggetto di diritti.

In sintesi: il primo profilo si riferisce direttamente alle tecniche di bilanciamento prescelte dal legislatore nazionale per garantire il "rispetto dei diritti, delle libertà fondamentali, ... della dignità delle persone fisiche" nonché "i diritti delle persone giuridiche e di ogni altro ente o associazione nel "trattamento dei dati personali" (art. 1 L. n. 675/1996); il secondo guarda, per così dire, alla materia prima, al risultato del trattamento dei dati personali sotto forma di "banca dati", alla sua "tutela giuridica", e analizza come "reagiscano" rispetto al primo profilo.

E' lo stesso legislatore comunitario a segnalare la necessità di un coordinamento tra queste due epifanie di un medesimo fenomeno oggetto di direttive diverse¹: il considerando n. 48 della Direttiva 96/9/CE, relativa alla "tutela giuridica delle banche di dati", sottolinea che "le disposizioni della presente direttiva non ostano all'applicazione della normativa sulla tutela dei dati" in quanto le due direttive hanno obiettivi diversi.

Infatti, la Direttiva 95/46/CE, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, ha lo scopo "di garantire la libera circolazione dei dati personali sulla base di norme armonizzate volte alla tutela dei diritti fondamentali, in particolare il diritto alla vita privata, riconosciuto dall'articolo 8 della convenzione europea per la Salvaguardia dei diritti dell'uomo e delle libertà fondamentali".

La Direttiva 96/9/CE, invece, vuole "assicurare un livello adeguato e uniforme di tutela alle banche di dati, in modo che il costitutore della banca possa ottenerne un beneficio economico"; tale tutela, del resto, "non si estende al loro contenuto e lascia impregiudicati i diritti esistenti su tale contenuto" (art. 3 comma 2) comprese le norme sulla "riservatezza, la tutela dei dati di carattere personale ed il rispetto della vita privata" (art. 13).

Ciò significa che i diritti ivi previsti devono essere esercitati nel rispetto della legge 31 dicembre 1996 n. 675 e che il riferimento ad utenti e gestori deve comprendere anche le possibili posizioni dei centri di interesse prima evidenziati rispetto al dato/all'insieme di dati in sé.

Infatti, la direttiva 96/9/CE disciplina espressamente il rapportarsi dei diritti degli utenti e dei gestori (tecnicamente titolari o costitutori) ma al di là delle laconiche indicazioni citate (art. 3 comma 2 ed art. 13) non fornisce alcuna prescrizione per coordinare le pretese dei gestori e degli utenti delle banche dati con l'interesse dei soggetti cui gli stessi dati si riferiscono. Ciononostante il titolare, avendo il diritto esclusivo di eseguire o autorizzare.... qualsiasi forma di distribuzione al pubblico", può in concreto "dare conoscenza dei dati personali [raccolti] a uno o più soggetti determinati [ovvero a soggetti indeterminati] diversi dall'interessato, in qualunque forma, anche mediante la loro messa a disposizione o consultazione": in una parola può comunicare o diffondere i dati ai sensi della legge n. 675/1996. Analogo risultato interpretativo si raggiunge dalla lettura sistematica dell'art. 7 direttiva 96/9/CE sul diritto sui generis.

Ma se la tutela della banca dati "non si estende al loro contenuto" (cioè ai singoli dati) e l'applicazione della direttiva non osta all'applicazione integrale delle norme sulla "riservatezza, la tutela dei dati di carattere personale ed il rispetto della vita privata" cosa succede, ad esempio, se il soggetto cui i dati si riferiscono si oppone, ai sensi dell'art. 13 comma 1 lett. d, al trattamento in sé legittimo e quindi ad ulteriori (e passate?) comunicazioni o diffusioni dei suoi dati? Il costitutore/titolare deve ritirare dal mercato le copie in distribuzione? L'utente che estragga o reimpieghi parti non sostanziali di una banca di dati personali (art. 8 dir. 96/9/CE) deve sempre fornire l'informativa di cui all'art. 10 legge n. 675/1996 agli interessati?

A questi ed altri quesiti è possibile fornire un ragionevole risposta solamente approfondendo la logica e le modalità articolate della tutela prevista dalla legge n.675/1996 alla luce del variegato rapportarsi dei centri di interesse prima enucleati.

Non è, quindi, stata casuale la scelta di utilizzare nel titolo due formule poco tecniche e per molti aspetti volutamente ambigue (diritti degli utenti e interessi dei gestori).

Dovrebbe essere ora chiaro che: utenti dei dati e soggetti (cioè oggetto) dei dati spesso, ma non sempre, coincidono come, del resto, può avvenire per i "gestori" dei dati²; le diverse tecniche di tutela per essi previste dall'ordinamento necessitano di un chiaro coordinamento.

2.Tecniche, equilibri e conflitti nella legge n. 675/1996

Per perseguire gli obiettivi prima enucleati si deve quindi partire dalla disciplina sulla tutela delle persone nel trattamento dei dati personali³.

Se il quadro degli interessi schematicamente rappresentato appare assai complesso ed il livello dei valori costituzionali coinvolti si rivela elevato, risulta chiaro per quale ragione le regole e i principi espressi dalia legge n. 675/1996 siano stati letti con diverse lenti interpretative, magari non sempre disinteressate.

Non è questa la sede per evidenziare le molteplici chiavi interpretative che sono state proposte per la legge n. 675/1996. Basti indicare come né la prospettiva "dell'attentato" alla libertà di trattamento⁴ e conseguentemente alla libera iniziativa economica, né la prospettiva della sola tutela della privacy possono risultare accettabili.

Spesso, troppo spesso, si sono usate le lenti del caos e del panico. A ben guardare, però, i principi espressi da questa normativa non solo sembrano tutto sommato figli del buon senso ma possono - anzi devono - essere letti con buon senso ed in una prospettiva sistematica.

Non si dimentichi che in concreto l'obiettivo della normativa è duplice: tutelare il soggetto durante il trattamento dei suoi dati e consentire che il trattamento avvenga in modo corretto e dunque avvenga (cfr. il riferimento della direttiva 95/46/CE "alla libera circolazione di tali dati").

La legge n. 675/96 non è né una legge tout court a tutela della privacy né una legge tout court a tutela della libera circolazione dei dati, ma è un sistema normativo che prova - faticosamente ma meritoriamente - a contemperare tali esigenze che precedenti modelli; legislativi presentavano come assolutamente antagoniste ⁵.

Il modello normativo accolto postula, invece, un bilanciamento degli interessi contrapposti - non certo dei valori costituzionali tutelati - presidiato da strumenti di tutela preventiva e successiva priporitariamente orientati alla protezione di valori fondamentali della persona: la prospettiva è quella del trattamento "disciplinato" dei dati personali purché non contrastante con i diritti e le libertà fondamentali e, in primis, con la dignità dell'uomo.

L'ambizioso obiettivo di garantire che la "legittima" circolazione dei dati avvenga in modo da non ledere il valore persona è perseguito attraverso:

1. strumenti diretti di controllo e di intervento dell'interessato (consenso; accesso, opposizione ed in generale i diritti di cui all'art. 13);

2. strumenti di intervento dell'Autorità Garante anche assai penetranti: si pensi al controllo delle misure di sicurezza ed alla possibilità di blocco (art. 31);

3. sanzioni penali ed amministrative magari non sempre congruenti ma pur sempre incisive (artt. 34-39);

4. regole di responsabilità civile, con speciali connotazioni sul piano probatorio, e risarcibilità del danno non patrimoniale prevista espressamente (art. 18 e art. 29 comma 9);

5. la promozione di "codici di deontologia e di buona condotta" (art. 31 comma 1 lett. h)

Ciascuno di tali strumenti normativi prevede al suo interno meccanismi diversificati che mirano a garantire il livello più alto di convivenza per le esigenze e gli interessi contrapposti fin qui evidenziati. Pertanto, per individuare lo spirito che anima la normativa sarà necessario precisare i contorni di alcuni di essi.

3. Diritti e strumenti

Le facoltà dell'interessato da un trattamento di dati personali sono espressamente qualificate dalla legge n. 675/1996 in termini di "diritti", idonei a prevenire eventuali abusi dei dati personali raccolti. La posizione soggettiva viene, quindi, qualificata in termini "forti".

Invero, i diritti dell'interessato, definiti nella sezione II del capo III della legge n. 675, corrispondono ad una serie articolata di facoltà con l'obiettivo di mettere a disposizione delle persone cui i dati si riferiscono un insieme dinamico di strumenti di tutela attiva. Per questa ragione gli "spazi di manovra" dei soggetti coinvolti verranno qui considerati quali strumenti di tutela ed a prescindere dalla qualificazione giuridica delle situazioni soggettive sottostanti.

La prospettiva è quella di capire come il legislatore ha risposto alla spesso segnalata necessità di strumenti di protezione non solo successiva ma preventiva di tipo inibitorio individuale e collettivo sia sotto il profilo dell'esercizio (associazioni consumatori) sia sotto il profilo del controllo sociale delle attività potenzialmente dannose (Garante/Obundsman). In passato è stata spesso denunciata l'insufficienza delle c.d. tecniche di riscontro giudiziale (azioni legali intentate da individui e da gruppi organizzati) ed è per questo necessario il ricorso a tecniche di confronto e di gestione delle problematiche tra le diverse parti interessate.

La nostra è un'epoca caratterizzata dal desiderio di tutela del singolo, ma caratterizzata anche dal progresso tecnologico. L'utente di una banca dati ovvero il soggetto cui i dati si riferiscono, come il consumatore, deve essere difeso e il primo strumento per ottenere lo scopo è l'informazione corretta. Purtroppo in questo settore accade quanto già avviene nel rapporto tra imprese e consumatori: la gran parte delle informazioni provengono dalla controparte interessata alla manipolazione dei dati. Punto di partenza di ogni tutela, quindi, è il superamento delle asimmetrie informative. Conseguentemente, l'interessato ha diritto di conoscere l'esistenza di trattamenti che lo riguardano e - a certe condizioni - di controllare, di (fare) cancellare, rettificare, trasformare i dati in forma anonima o di congelarli, nonché di opporsi ad alcuni specifici trattamenti (art. 13).

In linea con la Convenzione di Strasburgo n. 108 tali diritti possono subire delle limitazioni essenzialmente nei confronti di pubbliche autorità, ma la loro protezione viene comunque assicurata dal Garante anche su segnalazione degli interessati stessi (art. 14).

Premessa logica dell'accesso è quindi l'informazione⁶ ed, in primo luogo, il "diritto" ad essere informato adeguatamente delle finalità del trattamento e delle sue modalità di esecuzione nonché dei diritti che gli spettano, dell'obbligatorietà o meno del conferimento dei dati e delle conseguenze di un eventuale rifiuto, degli estremi di identificazione del responsabile del trattamento e del possibile ambito di diffusione dei dati conferiti (art. 10).

I diritti di informazione, come si specificherà in seguito, assumono una particolare importanza per il controllo della correttezza del trattamento ai sensi dell'art. 9 e per apprezzare ex post oggettivamente il comportamento tenuto dalle parti: in una parola per consentire in concreto il bilanciamento ed il coordinamento degli interessi sulla scena. Come la giurisprudenza del Garante ha rimarcato, poi, la loro effettiva garanzia si rivela determinante ai fini della liceità del consenso e - riteniamo - dell'applicazione di sanzioni risarcitorie.

Ogni legislazione sulla protezione dei dati personali oggi prevede una più o meno penetrante (e astratta) forma di controllo dei dati da parte dell'interessato ma, nella consapevolezza che spesso il singolo non è in condizione di operare tale controllo, si inizia a prevedere un diritto di accesso anche per gruppi organizzati. In tal senso il quarto comma dell'art. 13 è sicuramente innovativo. Tuttavia, la necessità di conferire apposita delega per iscritto all'esercizio dei propri diritti di accesso, se, da un lato, consente all'interessato di selezionare il soggetto cui affidare i propri poteri, d'altra parte, limita fortemente la possibilità di utilizzare, ad esempio, le associazioni di consumatori come controllori specializzati e con costi relativamente contenuti. Invero, non è difficile immaginare anche la nascita di associazioni o addirittura di società di servizi specializzate nell'esercizio dei diritti di accesso cui i cittadini si possano rivolgere per verificare il corretto impiego e trattamento dei dati che li riguardano.

Rimane peraltro da verificare quale può essere l'impatto della recentissima normativa a protezione del consumatore su questi profili.

Si noti che quello delle associazioni è un ruolo diverso e collaterale rispetto a quello del Garante cui istituzionalmente sono demandati tali compiti di protezione.

Un aumentato attivismo e maggiori livelli di collaborazione con i rappresentanti dei soggetti "trattati", peraltro, potrebbe rivelarsi interessante anche per le imprese che dovendo confrontarsi con soggetti "professionali" e con richieste di informazioni omogenee e quantitativamente significative potrebbero abbattere i loro costi di gestione dei "diritti degli utenti".

Indubbiamente la previsione dei menzionati diritti e la possibilità di esercitarli anche tramite associazione può risultare estremamente utile, soprattutto se sarà adeguatamente valorizzata la possibilità di proporre reclami e di segnalare inosservanze di leggi o regolamenti tramite le associazioni (art. 31 comma 1 lett. d).

E' bene precisare, però, che per adeguata valorizzazione intendo un uso mirato ed attento di tale strumento da parte dei singoli e delle associazioni, che certo sono in condizioni migliori del singolo per individuare eventuali violazioni e "selezionare" battaglie, anche giudiziarie, in grado di apportare considerevoli benefici ai singoli ed alla collettività.

L'esperienza di altri ordinamenti dove tali fenomeni sono giunti a maturazione molto tempo prima che da noi, però, indica chiaramente che i diritti dell'interessato ed in particolare il diritto di accesso sono stati utilizzati molto poco e male.

Proprio i costi dell'accesso rappresentano un forte disincentivo ad avvalersi dei propri diritti, sempre che se ne abbia una conoscenza sufficiente e sufficientemente diffusa. Non a caso uno dei compiti imposti al Garante dall'art. 31 comma 1 lett. i consiste nel "curare la conoscenza tra il pubblico delle norme che regolano la materia".

A ciò si aggiungano la complessità dei controlli e delle valutazioni che si dovrebbero operare e la cronica mancanza di tempo che caratterizza le vita moderna. Si avrà così un quadro abbastanza completo dei disincentivi all'esercizio fattivo dei propri diritti. Il che rende, per un verso, ancora più onerosa ed al contempo insufficiente l'applicazione della normativa in parola e, per altro verso, ancora più urgente l'incentivazione del controllo sull'elaborazione dei dati attraverso le formazioni sociali intermedie.

In sintesi, l'insieme dei diritti, e dei doveri, nonché delle procedure per il loro esercizio, al di là dell'apparente linearità della loro chiara enumerazione, si presenta assai più complessa di come appaia a prima lettura. I confini non sono definiti con linee nette e marcate, ma le colorazioni che contraddistinguono singoli diritti e singoli doveri tendono a sfumare le une nelle altre, contribuendo a costituire il sistema di garanzie sancito dalla legge.

La logica della protezione individuale della privacy deve necessariamente essere superata per evitare che essa sia costosa per i gestori delle banche dati ed illusoria per i soggetti che si vogliono tutelare.

Ma esistono gli strumenti per portare ad effettività l'esercizio del diritto, collettivo o meno che sia?

Si è accennato alla possibilità, anche delle associazioni, di fare segnalazioni e reclami al Garante. E poi?

Se si guarda alle sanzioni amministrative che l'Autorità Garante può irrogare si rileva come queste valgano unicamente a rafforzare i suoi poteri di indagine. Mentre le sanzioni penali coprono solamente la diffusione e la comunicazione (art. 35 commi 2,3), la violazione delle norme di sicurezza disposte in via regolamentare (art. 36), l'inosservanza dei provvedimenti del Garante (art. 37), la violazione del principio del consenso e, per i soggetti pubblici non economici, dell'autorizzazione legislativa (art. 35 comma 1, combinato con artt. 11, 20,27).

Le modalità del trattamento (art. 9) non sembrano assolutamente interessate da nessuna di tali sanzioni

Per esse rimangono attivi due altri rimedi, forse i più efficaci: il risarcimento del danno (artt. 18, 29 comma 9 in combinato con l'art. 9) e la facoltà di divieto e di blocco del trattamento (art. 31 lett. l).

Il primo necessita di un chiaro raccordo con il sistema per evitare il suo uso disincantato o il suo mancato utilizzo.

Quanto al blocco ed al divieto, in astratto sono strumenti fin troppo penetranti. La loro anche solo ventilata applicazione dovrebbe fornire un deterrente significativo pur rischiando di provocare fenomeni di overdeterrence. Tuttavia, é sorprendente il silenzio pressoché totale su questi temibili strumenti che presentano un grado di innovazione e di penetrabilità notevolissimo.

I richiamati "diritti" dell'interessato, ed in particolare il loro esercizio per gruppi organizzati, sono indubbiamente degli strumenti di difesa attiva estremamente più efficaci della generica difesa passiva offerta da generali divieti di trattamento. Tuttavia, anche questi strumenti attivi necessitano di essere calibrati perché vi sia un'efficiente corrispondenza tra il loro costo (incluso il costo sociale del loro mancato utilizzo) e la tutela che offrono.

Ancora una volta, però, il risultato raggiungibile dipende dalla capacità degli attori fin qui chiamati in scena di fare un uso equilibrato di tali strumenti. Di certo, nel promuoverne l'uso deve evitarsi sia il pericolo di una overdeterrence che di una underdeterrence: un loro uso eccessivo o, al contrario, eccessivamente parco sarebbe senz'altro deleterio sia nella prospettiva di tutela degli interessati dal trattamento sia dei gestori di banche dati.

4. La logica e le vie del contemperamento

Quali allora i criteri informatori del comportamento delle parti, prima, e della loro valutazione successiva, dopo, in sede di controllo del giudice o del Garante?

La chiave di lettura idonea ad offrire indicazioni sul piano interpretativo ed operativo dell'uso degli strumenti sommariamente indicati viene ritrovata nell'art. 9 secondo il quale i dati devono essere: a) trattati in modo lecito e corretto; b) raccolti e registrati per scopi determinati, espliciti e legittimi ed utilizzati in altre operazioni del trattamento in termini non incompatibili con tali scopi; c) esatti e, se necessario, aggiornati; d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono stati raccolti o successivamente trattati; e) conservati in una forma che consenta l'identificazione dell'interessato, per un periodo di tempo non superiore a quello necessario agli scopi per cui sono stati raccolti o trattati.

L'art. 9 offre alle parti coinvolte nelle vicende del trattamento indicazioni sui contenuti del proprio comportamento ed al giudice gli strumenti per valutare ex post tali comportamenti nel caso sia richiesto il suo intervento.

Ad una prima lettura, ciascuna ipotesi dell'art. 9 sancisce la liceità delle modalità di trattamento sulla base, da un lato, di parametri oggettivamente apprezzabili (scopi determinati, espliciti e legittimi; esattezza dei dati; pertinenza e completezza degli stessi; modalità di conservazione che evitino l'identificazione) e, dall'altro lato, la liceità poggia su parametri elastici che, assieme ad una valutazione tecnica, presuppongono un apprezzamento secondo le regole della correttezza orientato ad un bilanciamento degli interessi in gioco per determinare, ad esempio, l'ammissibilità dell'opposizione per motivi legittimi al trattamento oppure per apprezzare l'ingiustizia del danno o per escludere la risarcibilità al di la delle ipotesi espressamente previste (utilizzo in termini non incompatibili con gli scopi; necessità o meno dell'aggiornamento dei dati; non eccedenza rispetto alle finalità; conservazione in forma non anonima per un periodo di tempo non superiore al necessario).

Il metro per misurare il discostamento dalle modalità "corrette" di trattamento, ai sensi dell'art. 9, nella fattispecie concreta è chiaramente la correttezza, pur ancorata ai necessari criteri tecnici per valutare la non incompatibilità, la non eccedenza qualitativa o quantitativa o temporale, etc. All'interno di tale meccanismo che prende le mosse dalla qualificazione a priori in termini di liceità del trattamento, ma che non esaurisce in questa la valutazione delle situazioni potenzialmente lesive dei valori espressi all'art. 1, gli interessi delle parti sono considerati in termini di relazionalità, potendo apprezzare la dimensione dell'allontanamento dal comportamento richiesto in relazione agli interessi in gioco ed alla situazione concreta.

I principi espressi dall'art. 9 offrono la misura su cui apprezzare tutte le attività potenzialmente abusive e/o lesive "dei diritti [e] delle libertà fondamentali" espressamente contemplati dalla legge n. 675/1996.

A ben vedere, la casistica fino ad oggi passata al vaglio del Garante in materia di informativa e di acquisizione del consenso è in buona parte riconducibile a violazioni del canone della correttezza.

Le esemplificazioni non mancano e sono state fino ad oggi connesse per la maggior parte ad abusi della libertà negoziale. La decisione riferita alla circolare della Banca Popolare dell'Alto Adige - Area Legale/Sofferenze è forse uno degli esempi più eloquenti: la circolare diramata al personale con istruzioni sul comportamento da tenere nei confronti della clientela nello svolgere gli adempimenti previsti dalla legge n. 675/1996 al fine di ottenere dal cliente "un consenso totale", con specifico riferimento sia alle attività necessarie alla prosecuzione del rapporto, sia a quelle accessorie, sia al trattamento dei dati sensibili, rappresenta un piccolo vademecum per comportamenti non conformi ai canoni della correttezza nella raccolta potenzialmente in grado di condurre a responsabilità al verificarsi effettivo di un danno risarcibile.

I principi espressi dall'art. 9, però, non valgono solo ad ampliare gli strumenti di tutela a favore del potenziale danneggiato, ma si muovono in una logica relazionale bilaterale potendo, ad esempio, meglio riempire di significato il contenuto della prova liberatoria richiesta dall' art. 18: il quantum di diligenza richiesto di volta in volta a "chiunque" nella fattispecie normativa deve essere parametrato agli interessi in gioco ed alla situazione concreta "vissuta" dalle parti, non potendo ridursi né alla prova di un comportamento astrattamente riconducibile al criterio medio "del buon padre della famiglia informatica" né ad uno standard unitario per qualsiasi trattamento e per qualsiasi soggetto chiamato a rispondere ex art. 18. In caso contrario, considerata pure la costante risarcibilità del danno non patrimoniale, si rischierebbe di trasformare le regole di responsabilità civile da presidio a tutela dei diritti a strumento di (op)pressione e di ricatto nei confronti del titolare.

Bisogna quindi guardare alla situazione concreta. Per utilizzare un'espressione del Garante: "E' evidente, tanto per fare un solo esempio, che l'obbligo generale di trattare i dati 'secondo correttezza', come dice l'art. 9, si specifica in modalità di comportamento diverse a seconda che ci si trovi di fronte ad un servizio di sicurezza, ad una banca, ad una istituzione ospedaliera".

Le nozioni di correttezza, di liceità, di buona fede, di lealtà (art. 6 comma 1 lett. a Direttiva 95/46/CE) - hanno un preciso significato per il giurista e per il civilista in particolar modo, ma possono essere anche una chiave di lettura nell'indossare le lenti della propria professione per leggere la normativa.

Vi sono almeno due modi di intendere la correttezza. Il primo consiste nel leggere tale canone in mera corrispondenza del linguaggio comune. Il secondo lo assume quale metro di valutazione ex post del comportamento dei soggetti coinvolti. Le due nozioni non sono di per sé incompatibili, anche se la prima può risultare riduttiva ai fini applicativi e della tutela effettiva.

Certamente la regola della correttezza evocata dall'art. 9 fa della nostra legislazione una normativa in linea con quelle europee che richiamano i criteri della buona fede, della lealtà, della proporzionalità, quali strumenti utili per contemperare la tutela della riservatezza dei dati personali e delle esigenze legate alla circolazione degli stessi dati.

Tali principi - ispirati alla logica del necessario bilanciamento degli interessi (cioè "i diritti degli utenti e gli interessi dei gestori") - informano ogni momento applicativo della legge e consentono di fornire ragionevoli risposte a molti punti problematici che si impongono all'attenzione degli operatori pratici nel definire gli ambiti di responsabilità: basta scorrere le decisioni del Garante o le Autorizzazioni per i dati sensibili per averne un chiaro esempio.

Ancora qualche esempio illustrerà meglio la logica di contemperamento presente nella normativa italiana.

Nonostante le modifiche - benevole per i giornalisti - recentemente apportate all'art. 25 della legge in parola, l'interessato mantiene i diritti di cui all'art. 13. Tuttavia, il necessario contemperamento delle diverse esigenze coinvolte ha portato il legislatore a limitare il diritto dell'interessato alla "comunicazione in forma intelligibile dei "dati che lo riguardano e "della loro origine" (art. 13 comma I lett. c n. 1), vincolandone l'esercizio alle norme sul segreto professionale "limitatamente alla fonte dell'informazione" (art. 13 comma 5): si può quindi conoscere il contenuto della banca dati ma non la sua fonte.

In tale caso il potenziale conflitto tra "utente" (oggetto dell'informazione) e titolare (gestore) della banca dati è stato espressamente risolto dall'art. 13, ma ciò non avviene con riferimento ad altri momenti di tutela contemplati anche nel medesimo art. 13.

Nell'opposizione totale o parziale "al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta" - dunque ad un trattamento in sé pienamente lecito - la valutazione del "motivo legittimo" assume un rilievo decisivo nella valutazione degli interessi e del comportamento dei soggetti coinvolti potendo portare ad una valutazione di illegittimità ("scorrettezza") del comportamento di chi abbia conferito i dati e poi senza un motivo oggettivamente apprezzabile voglia ritirarli "mutilando" la banca dati.

La stessa filosofia deve ispirare, sempre ad esempio, l'apprezzamento di eventuali incompatibilità delle operazioni di trattamento con gli "scopi determinati, espliciti e legittimi" dichiarati all'interessato e notificati al Garante (art. 9 lett. b) come della pertinenza, della completezza e della non eccedenza dei dati "rispetto alle finalità per le quali sono raccolti o successivamente trattati (lett. d)...

Ancora: nell'ottica del coordinamento tra tutela delle banche dati e delle persone nel trattamento dei dati personali, questa logica di equilibrio deve essere esercitata nel definire i limiti della manifesta sproporzione dei mezzi necessari all'informativa "rispetto al diritto tutelato" (ex art. 10 commi 3 e 4 L. 675/1996) "quando i dati personali non sono raccolti presso l'interessato" come avviene in caso di estrazione e rielaborazione da una banca dati tutelata dalla direttiva 96/9/CE.

La legge 675/1996 prevedendo strumenti unitari (ed in particolar modo la possibilità di rivolgersi al Garante) consente all'individuo di evitare la paralisi da caos normativo e soprattutto muta la prospettiva assunta: la tutela della persona non è a priori legata all'argomento oggetto della banca dati o sulla tipologia di danni causati alla stessa (cfr invece l'esperienza statunitense), quanto sulla protezione generale degli individui rispetto al trattamento dei dati personali.

L'obiettivo di assicurare dignità agli interessi della persona viene così perseguito attraverso l'utilizzo, più o meno coordinato sul piano legislativo ed amministrativo, di strumenti diversi non solo per l'origine e l'attuazione (privatistica o pubblicistica; legislativa o amministrativa; negoziale o giudiziale) ma anche per la natura dei rimedi che non sempre corrispondono ai tradizionali strumenti inibitori o risarcitori ma si svolgono in un "processo" di controllo dei contenuti e delle modalità all'insegna del criterio della correttezza.

In questa luce le traiettorie interpretative prospettate a livello "amministrativo" sono spesso recepite dai privati attraverso formule estremamente nuove per la nostra esperienza nazionale.

In generale, infatti, le traiettorie prospettate dal legislatore così come interpretate a livello giudiziale e di controllo interpretativo divengono in questo settore rapidamente prassi operativa concreta. L'esperienza inglese a tal proposito è esemplare.

Il primo principio sulla protezione dei dati contenuto dal Data Protection Act inglese del 1984 richiede che le informazioni siano ottenute in modo leale (fairly), cioè secondo correttezza, ed in modo non illecito (lawfully): "The information to be contained in personal data shall be obtained, and personal data shall be processed, fairly and lawfully". Tale principio ha ottenuto articolazione concreta attraverso l'interpretazione del Registar Office, la corrispondente Autorità inglese Garante per i dati personali secondo traiettorie esplicitate in Italia dal legislatore nelle lettere b e seguenti dell'art. 9.

Nell'esperienza britannica il test di correttezza è stato ritenuto un test oggettivo e fattuale, orientato al risultato raggiunto piuttosto che alla volontà dei soggetti coinvolti. Il test si applica al singolo dato: si prescinde dal fatto che i dati siano generalmente acquisiti e trattati in modo corretto se ciò non sia oggettivamente riscontrabile per il singolo dato in contestazione o per la singola modalità di trattamento.

Quale esempio di trattamento "scorretto" viene indicata espressamente ogni indicazione fuorviante (o errata) circa le finalità del trattamento o circa i soggetti interessati come titolari (cioè la violazione concreta dei nostrani artt. 7 e 10).

Significativo risulta, poi, il sintetico ed efficace suggerimento offerto ai data users per muoversi nella raccolta in coerenza con il principio enucleato dal legislatore: informare chiaramente la fonte dei dati circa tutte le questioni rilevanti prima che i dati siano conferiti in modo da metterla in grado di decidere se conferire o meno i dati. Inoltre, il livello di dettaglio delle informazioni dipende dalle conoscenze e dalle capacità del singolo individuo o gruppo interessato. Se, invece, non si hanno informazioni specifiche sulle caratteristiche delle fonti (indagine indiscriminata nella popolazione, ad esempio) lo standard informativo è quello "for the ordinary man or woman in the street". Conseguentemente, con questo standard i dati sono ancora raccolti non "fairly" quando la fonte è un soggetto dalle conoscenze o capacità inferiori alla media.

L'informazione deve essere immediatamente comprensibile: i riferimenti ai registri del garante non sono sufficienti. Il tipo, la quantità e la qualità delle informazioni richieste varia anche in relazione al rapporto in corso tra il destinatario e la fonte.

Queste linee interpretative offerte dal Registar Office nelle sue Guidelines e nelle Advisory Guidance Notes and Insights sono state rapidamente incorporate in - o comunque hanno condizionato - molti codici di condotta forzando la prassi ad adeguarvisi celermente.

I codici di autoregolamentazione sono chiamati a svolgere un ruolo importante nel riempire di contenuti i canoni di comportamento dei soggetti titolari del trattamento, ma la loro rilevanza non si ferma a questo importantissimo compito.

Innanzitutto, va rilevata la novità dei codici così come concepiti dalla legge n. 675.

La nostra esperienza conosce la figura dei codici deontologici, ma questi - quale fatto interno di organizzazione dei rapporti tra privati - hanno sempre avuto prevalente rilevanza interna. I "codici deontologici e di buona condotta" contemplati nella legislazione a tutela delle persone nel trattamento dei dati personali, invece, pur rimanendo sottoscritti dagli interessati, vengono promossi dal Garante che deve pure verificarne "la conformità alle leggi e ai regolamenti anche attraverso l'esame di osservazioni di soggetti interessati e contribuire a garantirne la diffusione e il rispetto".

Questi codici di autoregolamentazione quindi:

1. sono settoriali, non solo perché si riferiscono ad una categoria ma perché si riferiscono ad una specifica attività di quella categoria - il trattamento di dati personali;

2. vengono promosso da un'autorità amministrativa indipendente;

3. la loro conformità a leggi e regolamenti è controllata dall'autorità che li promuove

4."anche attraverso l'esame di osservazioni di soggetti interessati" che non corrispondono (solo) agli appartenenti alla categoria, ma che anzi possono essere portatori di interessi a questi contrapposti.

L'innovatività risulta palese, come anche il carattere penetrante dei vincoli imposti alla autoregolamentazione privata.

E' allora legittimo chiedersi per quale felice paradosso il Garante possa essere "sollecitato" da diverse categorie interessate alla promozione "di codici di deontologia e di buona condotta" per loro indubbiamente limitanti

Al di là della segnalata logica di contemperamento/concertazione che può suggerire agli interessati l'utilità di creare un quadro di certezza dove la possibilità di contestazioni da parte dei loro interlocutori egoziali è ridotta al minimo, sono indubbi i "vantaggi" conseguenti dall'adozione di tali codici

Tra i questi meritano di essere segnalate, per la sua valenza contemporaneamente favorevole alla categoria di gestori ed agli utenti dei loro servizi, la migliore selezione degli operatori e la migliore trasparenza sul mercato in quei settori (e sono moltissimi) in cui l'informazione è qualcosa in più di un semplice fattore di produzione. Se per gli utenti il codice di condotta offre garanzie di qualità e di "correttezza" nel singolo trattamento e nella singola prestazione del servizio ad esso collegato, gli stessi fornitori che gestiscono il trattamento vedranno il loro mercato "ripulito" da quei soggetti non in grado di soddisfare gli elevati standard di qualità autoimposti attraverso il codice: si innesta così un circolo virtuoso di concorrenzialità di cui beneficiano gli utenti ed i "migliori" gestori.

L'utente della banca dati (come fruitore e come oggetto dei dati ivi contenuti) beneficia indirettamente dei maggiori investimenti e delle efficienze di un mercato maggiormente concorrenziale al cui interno, però, gli ingenti investimenti nella "costituzione" di una banca dati devono essere sufficientemente garantiti e, perciò, stimolati.

5. Alcune rapide conclusioni

Da questa rapida rassegna degli strumenti predisposti per il "rispetto dei diritti, delle libertà fondamentali, ... della dignità delle persone fisiche" nonché dei "diritti delle persone giuridiche e di ogni altro ente o associazione nel "trattamento dei dati personali" e della logica di bilanciamento che essi contemplano risulta chiaramente che la tutela non solo si svolge su piani diversi ma che questi sono tra loro strettamente connessi e, in certi casi, interdipendenti.

Per tale ragione è difficile e forse sterile individuare delle prevalenze tra gli strumenti di tutela, essendo sufficiente indicare come la legislazione considerata risponda ad un modello pluralistico o pluriorganizzato di tutela.

Il piano della gestione collettiva (la "concertazione" tra gruppi esponenziali delle parti interessate controllata dal Garante, ad esempio) non può assolutamente prescindere dal piano della gestione tramite controllo legislativo ed amministrativo.

In diverse occasioni il legislatore ha già provveduto ad operare in concreto un bilanciamento tra gli interessi sulla scena, conformando variamente i "diritti" dei soggetti coinvolti, ma certamente non tutte le possibili fattispecie concrete possono essere contemplate. Per questo spetta all'Autorità Garante offrire le traiettorie interpretative perché anche le ipotesi "atipiche" si conformino al medesimo spirito della legge e soprattutto perché il rapportarsi tra privati nel trattamento dei dati personali si muova sempre nel solco della correttezza sia a livello individuale sia nell'esercizio collettivo degli strumenti di tutela: un esempio illuminante si ritrova nella possibilità di stimolare il controllo dell'Autorità Garante ovvero quello giudiziale - anche alla luce delle più recenti novità legislative - offerto alle associazioni (di consumatori/utenti) possibilità che - con un facile gioco di parole - non deve essere "abusata" promuovendo azioni o contestazioni pretestuose magari strumentalizzate a fini "pubblicitari".

Contemperamento non significa (necessariamente) compromesso di basso profilo, ma può essere anche sinonimo di tutela innovativa in grado di autorigenerarsi e di favorire lo sviluppo e la crescita delle situazioni economiche contrapposte a quella del "debole" consumatore senza diminuire la sua protezione effettiva.

In questa prospettiva la chiave propositiva o - se si vuole - il messaggio è quello di evitare non solo le letture della disciplina ma anche i comportamenti individuali e collettivi, per cosi dire, estremistici e radicali avendo sempre presenti i principi e la logica dell'intera normativa e gli effetti che questi eventuali comportamenti generano sia in termini di costi economici sia - soprattutto - in termini di diminuita tutela per i valori costituzionali che si intendono proteggere.

Alla luce di ciò la risposta ai quesiti indicati in apertura sul coordinamento della tutela delle banche dati e delle persone nel trattamento dei dati personali quando, ad esempio, un interessato pretenda l'applicazione di strumenti inibitori, discende logicamente da quanto siamo venuti dicendo fin qui e, pertanto, non richiede di essere esplicitata.

Resta comunque chiaro che non si possano dare risposte immediate e, per così dire, drastiche, essendo sempre necessario guardare a come i principi reagiscano una volta applicati alla situazione concreta.

_________________________