CE - GRUPPO DI PROTEZIONE DELLE PERSONE RISPETTO AL TRATTAMENTO DEI DATI PERSONALI PARERE 3/99 Contributo alla consultazione iniziata con il libro verde della Commissione europea intitolato "L'informazione del settore pubblico: una risorsa fondamentale per l'Europa", COM (1998) 585 - wp20Adottato il 3 maggio 1999 Introduzione e osservazioni preliminari: La Commissione europea ha sottoposto alla consultazione pubblica un libro verde su "informazione del settore pubblico: una risorsa fondamentale per l'Europa 66. L'oggetto principale del libro consiste nel promuovere una discussione sul modo di agevolare l'accesso delle informazioni detenute dal settore pubblico ai cittadini ed alle imprese nonché sulla necessità o no di armonizzare le norme nazionali in questo settore. Sembra che il documento si sia ampiamente ispirato alla rivendicazione degli operatori privati che desiderano accedere al minimo costo alle informazioni pubbliche e contestano il mantenimento dei monopoli pubblici nel campo in questione. Una delle poste in gioco del libro verde riguarda dunque la messa a disposizione dell'informazione del settore pubblico, vale a dire di una categoria particolare di dati detti "pubblici", quelli che, essendo detenuti da organismi del settore pubblico, verrebbero resi pubblici in virtù di norme o di un uso 67 il cui fondamento implicito ed esplicito può trovarsi in una volontà di trasparenza dello stato nei confronti dei cittadini 68. La protezione dei dati personali non è affatto ignorata da questo documento sebbene non ne rappresenti a prima vista la problematica più importante. Il punto 111 (II. 7, pag. 17) menziona in modo esplicito che la direttiva 95/46/CE relativa alla protezione dei dati personali 69 "stabilisce norme obbligatorie per i settori pubblico e privato e [...] si applica pienamente nel caso in cui dati personali siano detenuti dal settore pubblico". Il punto 114 sottolinea che "l'emergere della società dell'informazione potrebbe comportare nuovi rischi per la vita privata degli individui se alcuni registri pubblici diventassero accessibili sotto forma elettronica (in particolare online, su Internet, e in grandi quantità)". Il libro verde, nel complesso, porta alla luce, tuttavia, diverse ambiguità sulla forza di tale convinzione. In primo luogo l'impiego (nella versione inglese) del termine "publicly available" (disponibile pubblicamente) è propizio al concetto secondo il quale i dati resi pubblici sarebbero di conseguenza disponibili per qualsiasi uso. Si noterà che il principio di finalità, pilastro delle nostre legislazioni sulla protezione dei dati, s'adatta male all'aggettivo "disponibile". Il principio della lealtà della raccolta, inoltre, garantito soprattutto dall'esigenza di sicurezza dei trattamenti, potrebbe essere danneggiato per il fatto che un dato venga reso pubblico senza riflessioni né precauzioni. Per questo motivo l'espressione "publicly available" andrebbe allontanata a vantaggio di un'altra formulazione più adeguata e scevra di ambiguità (ad esempio " publicly accessible ") In secondo luogo la domanda n 7 ("le considerazioni relative al rispetto della vita privata meritano un'attenzione particolare per quanto riguarda lo sfruttamento dell'informazione del settore pubblico?", pagina 17) potrebbe far pensare che il richiamo delle disposizioni dettate dalla direttiva 95/46/CE non porta a precise e salde conclusioni al riguardo, allorquando si precisa (punto 111) che la direttiva 95/46/CE "realizza l'equilibrio necessario tra il principio dell'accesso all'informazione del settore pubblico e la protezione dei dati personali". Occorre eliminare tali ambiguità. In tale contesto il presente parere ha per obiettivo nutrire la riflessione sulla dimensione della protezione dei dati personali, che è essenziale quando ci s'impegna ad agevolare l'accesso ai dati del settore pubblico dal momento che questi riguardano le persone fisiche. Non ha tuttavia la pretesa di fornire tutte le risposte alle domande sollevate dalla conciliazione tra l'obiettivo di agevolare l'accesso ai dati del settore pubblico, fondata sulla volontà di rafforzare la trasparenza degli Stati nei riguardi del cittadino, e la protezione dei dati personali così com'è definita dalla direttiva europea 95/46/CE. Tale parere non tratterà quindi interrogativi sollevati dal libro verde che sembrano superare la messa a disposizione di terzi dell'informazione del settore pubblico, come ad esempio il punto di vista espresso al punto 56 (II; 2, pagina 10) secondo cui "l'impiego delle nuove tecnologie può accrescere in modo considerevole l'efficacia della raccolta d'informazione. Esso offre agli organismi pubblici la possibilità di condividere l'informazione disponibile, quando conforme alle norme sulla protezione dei dati". Lo scopo è di fornire, sulla base della direttiva 95/46/CE e di esperienze concrete a fini pedagogici nel campo dei registri più conosciuti dei dati a carattere personale resi pubblici, un primo insieme di punti di riferimento che occorre prendere in considerazione all'atto di adozione di decisioni concrete. Questi punti di riferimento e esempi concreti provenienti da diversi Stati membri sono destinati ad illustrare come, nella società dell'informazione, devono essere prese in considerazione le norme di protezione dei dati in relazione a quelli derivati da registri pubblici, nonché alcune misure d'ordine tecnico o organizzativo che possono contribuire (senza tuttavia pretendere di garantire una tutela senza difetti) a conciliare la pubblicità di questi dati e il rispetto delle disposizioni di protezione dei dati a carattere personale e in particolare quelle relative al principio fondamentale in materia, ossia il principio della finalità per la quale i dati vengono, nel nostro caso, resi pubblici. (I) Le norme di protezione dei dati si applicano ai dati a carattere personale resi pubblici L'accessibilità delle informazioni che dipendono dal settore pubblico, in particolare mediante informatizzazione, raccomandata dal libro verde, pone il problema di sapere in quali modi verranno utilizzate le informazioni. Il loro utilizzo non può essere vietato, perché ciò è in contrasto con l'evoluzione delle nostre società. Non è quello il senso delle nostre legislazioni di protezione dei dati, che si fanno garanti della tutela dell'informatizzazione della società, e non del suo divieto. D'altra parte, l'applicabilità delle nostre leggi di protezione dei dati ai dati personali resi pubblici, è soltanto l'espressione di un elemento che deriva dai testi stessi sulla protezione dei dati: un dato a carattere personale, anche reso pubblico, resta un dato a carattere personale e merita, di conseguenza, la dovuta protezione. Questa dichiarazione implica necessariamente una definizione della protezione che viene offerta al dato a carattere personale reso pubblico. A tale riguardo, la direttiva 95/46/CE fornisce fin d'ora alcune risposte. A. La direttiva 95/46/CE relativa alla protezione delle persone fisiche in relazione all'elaborazione dei dati a carattere personale e alla libera circolazione di questi dati La direttiva permette di prendere in considerazione, nell'attuazione delle norme previste, il principio del diritto d'accesso del pubblico ai documenti amministrativi 70 ed anche altri elementi pertinenti 71. In tal modo, il principio della finalità esige che i dati a carattere personale siano raccolti per finalità determinate, esplicite e legittime, e non possono essere successivamente trattati in modo incompatibile con tali finalità 72. Questo principio svolge un ruolo fondamentale per l'accesso dei dati a carattere personale detenuti dal settore pubblico. Occorre in particolare determinare caso per caso in quale misura una legge esige o autorizza la pubblicazione o l'accesso da parte del pubblico a dati a carattere personale: si tratta forse di un'accessibilità integrale e illimitata nel tempo, di un utilizzo dei questi dati a qualsiasi fine, indipendentemente dalla finalità iniziale, o, al contrario, di un'accessibilità soltanto parziale e/o di un utilizzo vincolato alle finalità per le quali i dati sono stati resi pubblici? Di conseguenza, non esiste un'unica categoria di dati a carattere personale destinati a essere resi pubblici, e che dovrebbero essere trattati uniformemente dal punto di vista della protezione, ma occorre piuttosto procedere ad una analisi per gradi dei diritti dell'individuo interessato e, rispettivamente, dei diritti di accesso del pubblico. Benché l'accesso ai dati possa essere pubblico, esso può essere sottoposto ad una serie di condizioni (come la dimostrazione di un interesse legittimo) mentre lo sfruttamento dei dati, ad esempio a fini commerciali o da parte dei mass media, può essere limitato. Gli esempi che seguono illustrano questi interrogativi. È poi utile ricordare che, indipendentemente dalla pubblicazione o meno dei dati a carattere personale, l"interessato ha sempre il diritto di accedere ai dati che lo riguardano, e il diritto di esigere, se necessario, la correzione o cancellazione di dati la cui gestione non è conforme alla direttiva, in particolare a causa di un loro possibile carattere incompleto o inesatto 73. Indubbitamente, diverse disposizioni della direttiva fanno esplicitamente riferimento al carattere pubblico dei dati. Due di queste disposizioni meritano di essere citate con tutte le sfumature. L'articolo 18.3, che impone un obbligo di notificazione all'autorità di controllo per quanto riguarda i trattamenti a cui vengono sottoposti i dati, permette di fare eccezione a quest'obbligo per la compilazione di registri "i quali, in forza di disposizioni legislative o regolamentari (... siano) predisposti per l'informazione del pubblico e siano aperti alla consultazione del pubblico". Ma i considerando 50 e 51 della direttiva precisano che queste deroghe o semplificazioni si applicano soltanto ai trattamenti il cui scopo (prima condizione) è di mantenere un registro destinato, nel rispetto del diritto nazionale, all'informazione del pubblico (2a condizione) e che sia aperto alla consultazione del pubblico o di chiunque possa dimostrare un interesse legittimo (3a condizione), per cui tali deroghe non dispensano il responsabile del trattamento da alcuno degli altri obblighi che derivano dalla direttiva. Infine, l'articolo 26.1. f consente una deroga all'esigenza di un livello adeguato di protezione per i dati che sono oggetto di un trasferimento verso paesi terzi quando il trasferimento dei dati stessi verso un paese che non offre lo stesso livello di garanzia è realizzato "a partire da un registro aperto alla consultazione del pubblico". Tuttavia, il considerando 58 della direttiva limita la portata del trasferimento precisando che non deve riguardare la totalità dei dati né intere categorie di dati contenuti nel registro, e che, eventualmente, il trasferimento deve essere effettuato soltanto su richiesta di persone che hanno un interesse legittimo in proposito. Ma deriva chiaramente da queste disposizioni e precisazioni che se la protezione dei dati a carattere personale non deve ostacolare il diritto dei cittadini di avere accesso ai documenti amministrativi alle condizioni previste da ogni legislazione nazionale, la direttiva non ha inteso privare i dati accessibili al pubblico di qualsiasi protezione. La discussione sul problema di sapere se c'è bisogno di armonizzare le norme nazionali sull'accesso all'informazione del settore pubblico deve comunque tenere conto delle norme armonizzate sulla protezione dei dati a carattere nazionale, come pure delle misure nazionali che le recepiscono. Oltre alla missione della Commissione di vigilare sull'applicazione della direttiva, spetta inoltre al Gruppo Istituito dall'articolo 29 della direttiva di apprezzare concretamente la portata delle disposizioni nazionali adottate in applicazione della direttiva stessa nei casi precisi in cui potrebbero risultare divergenze sul piano nazionale 74. B. Esempi di conciliazione delle norme sulla protezione dei dati personali e sull'accesso alle informazioni del settore pubblico Alcune legislazioni subordinano la diffusione di informazioni detenute dal settore pubblico a talune finalità che possono comportare un divieto d'accesso ad alcuni dati, il divieto di alcune utilizzazioni, o comunque particolari condizioni di accesso. Ma la digitalizzazione delle informazioni e le possibilità di ricerca a testo integrale possono moltiplicare all'infinito le possibilità d'interrogazione e di selezione, mentre la diffusione di Internet aumenta i rischi di cattura e deviazione dei dati. Inoltre, la combinazione di dati del settore pubblico di provenienza diversa, una volta pubblicati, è grandemente facilitata dalla digitalizzazione dei dati stessi, e permette, in particolare, la creazione di profili sulle condizioni di vita o il comportamento degli individui 75. Inoltre, occorre prestare un'attenzione particolare al fatto che, mettendo i dati a carattere personale a disposizione del pubblico, si alimentano in vasta misura le nuove tecniche di "data warehousing" e di "data mining ". Questi metodi permettono di raccogliere dati senza alcuna indicazione preliminare delle relative finalità, che vengono definite soltanto alla fase di sfruttamento. Di conseguenza, occorre tenere attentamente conto di tutto ciò che è tecnicamente possibile fare con i dati 76. È per questo che occorre verificare, caso per caso, quali potrebbero essere le ripercussioni negative sull'individuo prima di qualsiasi decisione di diffusione su supporto numerico. A seconda dei casi, occorre o decidere di non diffondere taluni dati a carattere personale, oppure sottoporne la diffusione alla decisione dell'interessato, o ad altre condizioni. Le basi dati derivanti da decisioni dell'autorità giudiziaria: Il punto 74 del libro verde (pagina 11) che fa riferimento alle sentenze dei tribunali, per illustrare il concetto d'informazione fondamentale al funzionamento della democrazia, solleva un interrogativo di fondo. Infatti, è lecito ritenere che tutte le sentenze di tutte le giurisdizioni possano essere disponibili su Internet senza recare pregiudizio alle persone. Strumento di documentazione giuridica, le basi dati sulla giurisprudenza possono diventare, in mancanza di precauzioni particolari, schedari informativi sui cittadini se vengono consultate non per conoscere la giurisprudenza ma ad esempio per identificare tutte le procedure giudiziarie che si riferiscono ad una stessa persona. La Commissione per la Protezione della Vita Privata (Belgio), in un parere del 23 dicembre 1997, lo ha sottolineato con forza: "l'evoluzione tecnologica deve accompagnarsi ad una maggiore prudenza quando si tratta di identificare le parti nelle cronache giudiziarie". Essa propone che, in mancanza di una completa anonimità, le decisioni giudiziarie accessibili al pubblico non siano indicizzate in base al nome delle parti, per impedire eventuali ricerche sulla base di questo criterio. La Commissione per la protezione dei dati personali italiana 77 ha intenzione di proporre a livello nazionale che le parti dispongano di un diritto d'opposizione alla pubblicazione del loro nome nelle basi dati della giurisprudenza. Questo diritto dovrebbe essere esercitabile in qualsiasi momento, e dovrebbe essere tenuto presente in occasione dell'aggiornamento delle basi dati diffuse su supporto magnetico. L'esercizio di questo diritto non avrebbe effetto retroattivo sulle pubblicazioni su carta. In Francia, il ministero della giustizia, che desidera diffondere le basi dati della giurisprudenza su Internet, ha imposto, nel relativo capitolato d'oneri, l'anonimità delle decisioni. Alcuni testi ufficiali: La diffusione di informazioni su Internet implica una massa enorme di informazioni su scala mondiale, ed una moltiplicazione delle relative fonti. Questo cambiamento di scala geografica può comportare un rischio particolare. Infatti, è possibile che la diffusione di un'informazione legittimamente pubblica in un determinato paese possa causare, a livello mondiale, danni gravi alla vita privata o all'integrità fisica delle persone. Ciò avviene quando, ad esempio, le decisioni in materia di naturalizzazione (cittadinanza) sono oggetto di pubblicazione ufficiale obbligatoria. Tale è il caso della Francia, dove, secondo il parere della Commissione Nazionale dell'Informatica e delle Libertà (CNIL), il Governo francese, in occasione della pubblicazione su Internet della Gazzetta Ufficiale, ha escluso questo tipo di testi per evitare ad alcuni cittadini che hanno abbandonato la nazionalità d'origine il rischio di incorrere in eventuali rappresaglie. Così, in alcuni casi, la volontà di trasparenza di uno Stato, ed in particolare dei suoi cittadini, può adattarsi male alla diffusione planetaria delle informazioni. Altri esempi di diffusione di dati personali resi pubblici e sottoposti a condizioni miranti a proteggere gli interessati: Le condizioni d'accesso ai dati a carattere personale contenuti nei registri possono essere molto varie, a seconda della regolamentazione: ad esempio, accesso parziale ai dati del registro, necessità di dimostrare un interesse legittimo, o divieto di impieghi commerciali. Così, in Germania, gli elenchi dei candidati alle elezioni federali devono comportare cognome, nome, professione, giorno e luogo di nascita e indirizzo. Tuttavia, sugli elenchi resi pubblici prima dello voto dal responsabile locale o del Land incaricato dello svolgimento delle elezioni federali, il giorno di nascita è sostituito dall'anno di nascita. In Italia, la legislazione relativa al registro della popolazione, tenuto da ogni municipio, prevede il divieto della comunicazione dei dati agli enti privi e l'obbligo di qualsiasi amministrazione che chiede la comunicazione dei dati stessi di dimostrare un congruo interesse pubblico. In Francia, le liste elettorali sono pubbliche a fini del controllo della regolarità. La legge ne permette l'utilizzazione a fini politici da parte di tutti i candidati e tutti i partiti, ma ne proibisce l'impiego commerciale. Non sarebbe concepibile, in queste condizioni, che gli elenchi elettorali possano essere diffusi su Internet. Inoltre in Francia, i dati a carattere personale contenuti nel catasto sono pubblici, ma è vietato farne un impiego commerciale. In Grecia, il presente sistema del catasto organizzato in base ad un registro alfabetico dei proprietari di beni immobiliari sarà sostituito da un registro basato sull'identificazione dei beni immobili per impedire che le ricerche riguardino l'insieme dei beni immobiliari che appartengono ad una stessa persona. L'accesso al catasto è sottoposto alla dimostrazione di un interesse legittimo. (II) Le nuove tecnologie possono contribuire a conciliare la protezione dei dati personali e la loro pubblicazione Le nuove tecnologie, e talune misure amministrative di accompagnamento, pur favorendo l'accesso ai dati pubblici, in particolare con la "messa on-line", sono anche in grado di facilitare il rispetto dei principi principali di protezione dei dati, come il principio della finalità, quello dell'informazione e del diritto di opposizione, e quello della sicurezza. Tuttavia, l'utilizzazione di queste tecnologie non presenta una garanzia assoluta contro il rischio di abusi e di deviazioni dai principi di protezione dei dati personali che abbiamo descritto. A Le condizioni tecniche d'accesso alle informazioni provenienti dal settore pubblico devono contribuire al rispetto del principio di finalità Tenuto conto delle condizioni d'accessibilità numerica del pubblico, è certamente molto difficile garantire nella pratica la specificazione della finalità, ma un ricorso ragionato e determinato alla tecnica deve contribuire a raggiungere quest'obiettivo. Occorre per ciò verificare e definire in ogni caso le condizioni di interrogazione. tale riguardo, si dovrebbe applicare il principio seguente: "chiunque può leggere qualsiasi dato, preso singolarmente, nella misura autorizzata, ma non tutti i dati nel loro insieme". La scelta dei criteri di ricerca deve escludere ogni possibilità di abuso in situazioni normali. Occorre inoltre verificare se non è possibile aggirare l'ostacolo ottenendo informazioni complementari presso altre fonti. È per questo che la consultazione on-line di banche dati può essere oggetto di restrizioni tali da impedire la deviazione dalle finalità per le quali i dati vengono resi pubblici. Queste misure, da definire caso per caso, possono consistere, ad esempio, nel limitare il campo o i criteri d'interrogazione. Così, in Francia, gli estratti dell'atto di nascita sono accessibili a chiunque dispone dell'identità, della data e del luogo di nascita di una persona. La CNIL ha subordinato la consultazione on-line di questi estratti alla condizione che la relativa richiesta elettronica comporti tutte queste informazioni. In tal modo, utilizzando gli opportuni criteri restrittivi per l'interrogazione delle basi dati, la raccolta su vasta scala di queste informazioni a scopi di utilizzo commerciale può essere evitata, e la finalità dell'accesso rispettata. In Francia, allo stesso modo, l'elenco telefonico pubblicato su supporto telematico poteva essere interrogato a partire dalle prime lettere del cognome, il che ne rendeva più facile la teletrasmissione e l'utilizzo commerciale contro la volontà di alcuni abbonati che si erano opposti a tale impiego. Ma il blocco su Minitel e Internet di questo tipo d'interrogazione ha permesso di evitare eventuali deviazioni di finalità con questo mezzo. Nei Paesi Bassi, i CD-Rom destinati alla diffusione dell'elenco del telefono sono stati concepiti in modo da impedire il reperimento del nome e dell'indirizzo di una persona a partire dal relativo numero di telefono (non è possibile l'interrogazione della base dati esclusivamente sul campo costituito dal numero di telefono). Inoltre le basi dati relative ai registri delle imprese non possono essere interrogate in base al nome di una persona, il che potrebbe permettere una ricerca del complesso di imprese nelle quali una stessa persona è presente. B Promuovere il ricorso ai mezzi tecnici che tendono ad impedire la cattura automatizzata dei dati accessibili on-line Si può citare il protocollo di esclusione dei motori di ricerca (Robots Exclusion Protocol) che permette di evitare l'indicizzazione automatica totale o parziale delle pagine di un sito. In ogni caso, questi metodi possono essere efficaci soltanto se i progettisti dei siti e i navigatori internet sono informati della loro esistenza, e se i motori di ricerca li rispettano. Alcune società che producono motori di ricerca dichiarano di rispettare questo protocollo. (III) Utilizzazione commerciale I dati a carattere personale detenuti dal settore pubblico sono stati inizialmente raccolti ed elaborati con finalità precise, e, normalmente, in base ad una regolamentazione. A volte la raccolta era obbligatoria, a volte una condizione per accedere ad un servizio pubblico. Il cittadino, pertanto, non si aspetta che i dati che lo riguardano siano resi pubblici e utilizzati a fini commerciali. È per questo che, fra l'altro, alcune legislazioni nazionali permettono l'accesso pur proibendo l'utilizzo commerciale delle informazioni del settore pubblico, compresi i dati a carattere personale 78. Dal punto di vista della direttiva 95/46/CE 79, si pone il problema di sapere se l'utilizzo commerciale deve essere considerato come finalità incompatibile con quella per cui i dati sono stati raccolti inizialmente, e, in caso affermativo, a quali condizioni potrebbe essere consentito un tale utilizzo. Se la pubblicazione e la commercializzazione delle informazioni derivanti dal settore pubblico sono ammesse 80, occorre rispettare alcune regole, e quindi porsi il problema, caso per caso, di come conciliare effettivamente il rispetto della vita privata con gli interessi commerciali degli operatori. La direttiva 95/46/CE riconosce il diritto degli interessati di essere informati sul trattamento dei relativi dati, ed anche un diritto di opporsi a trattamenti sia pure legittimi. Le persone devono dunque essere informate della finalità di commercializzazione, e potere opporsi a tale utilizzo con mezzi semplici e efficaci 81. Su questo punto, c'è ancora molto da fare. La molteplicità delle fonti di diffusione dei dati, il grande numero di operatori, la possibilità di teletrasmissione, tutto ciò concorre a sostenere l'idea di uno sportello unico per la protezione dei dati, affinché i cittadini non siano costretti a molteplici azioni presso tutti gli operatori. È il caso, in molti paesi, degli elenchi degli abbonati al telefono. Per la stessa ragione, la CNIL 82 ha raccomandato agli editori di guide di identificare su tutti i relativi supporti (carta, CD-ROM, Minitel o Internet) gli abbonati che hanno esercitato il diritto di opporsi all'utilizzazione dei loro dati a fini commerciali. Questa idea dello sportello unico sembra essenziale, tanto per il rispetto dei diritti delle persone che per gli operatori commerciali che desiderano utilizzare dati a carattere personale. La conciliazione del diritto alla vita privata e degli interessi commerciali degli operatori potrebbe anche portare al fatto che il consenso dell'interessato 83, e persino provvedimenti legislativi o normativi, siano necessari, come illustrato dall'esempio seguente. In un parere relativo alla commercializzazione dei dati derivanti dalle licenze edilizie, la Commissione belga per la protezione della vita privata ha ritenuto che una diversa finalità (cioè la commercializzazione dei trattamenti effettuati delle autorità pubbliche) per essere consentita, debba essere legittimata da una base normativa o giuridica che definisca in modo sufficientemente preciso questa nuova finalità. In mancanza di tale legittimazione, la Commissione ha ritenuto che l'interesse costituito dalla comunicazione dei dati a terzi non prevalga sul diritto al rispetto della vita privata della persona i cui dati sono comunicati. Una terza possibilità consiste nel chiedere il permesso dell'interessato per la finalità di commercializzazione. Questo consenso deve essere dato esplicitamente e con cognizione di causa, tenendo conto del fatto che chi chiede una licenza edilizia è costretto a presentare una pratica che risponde a tutta una serie di prescrizioni. Più oltre, nello stesso parere, la Commissione belga fa riferimento all'informazione degli interessati insistendo in particolare sull'esistenza di un diritto di opposizione automatico e gratuito, se i dati sono stati ottenuti a fini di marketing diretto. Conclusione: Il legislatore, quando auspica che un dato sia reso accessibile al pubblico, non intende però che esso diventi face=Palatino-Italic res nullius. Tale è la filosofia dell'insieme delle nostre legislazioni. Il carattere pubblico di un dato a carattere personale, che deriva da una regolamentazione o dalla volontà della persona interessata, non priva per ciò e definitivamente la persona della tutela che le garantisce la legge ai sensi dei principi fondamentali di tutela dell'identità umana. Nel dibattito condotto nel quadro della consultazione sul libro verde, e nelle conclusioni che saranno ricavate, occorre dunque tenere conto in particolare degli aspetti e questioni seguenti per conciliare il rispetto del diritto alla vita privata e alla protezione dei dati a carattere personale dei cittadini con il diritto di accedere alle informazioni derivanti dal settore pubblico:
Questi principi fondamentali si impongono non soltanto nelle situazioni nelle quali esiste una regolamentazione riguardante la pubblicazione o l'accesso, ma anche in quelle in cui non sembrano essere necessarie misure a carattere normativo per soddisfare la domanda di accedere alle informazioni provenienti dal settore pubblico, compresi i dati a carattere personale 84. In attesa delle conclusioni che la Commissione europea potrà ricavare dalla consultazione in corso, il Gruppo esprime fin d'ora il massimo interesse a continuare a contribuire ai lavori previsti in proposito, nonché agli interrogativi che esulano, in senso stretto, dal quadro del libro verde per quanto riguarda la messa a disposizione di terzi delle informazioni provenienti dal settore pubblico 85. Fatto a Bruxelles, addì 3 maggio 1999 Per il Gruppo 66 Com 1998 — 585, disponibile al seguente indirizzo: http://www.echo.lu/legal/en/access.htlm. 67 Sembra che una distinzione possa essere fatta fra la pubblicazione derivante da disposizioni di legge, l'accesso all'informazione autorizzato dalla legge, e situazioni nelle quali la questione della pubblicità o dell'accesso si pone in seguito a una domanda formulata da privati o imprese senza che entrino in gioco particolari disposizioni di legge. 68 Il presente parere non tratta pertanto dell'altra accezione - più ampia - del concetto di dati "pubblici": l'insieme dei dati gestiti dal settore pubblico. 69 Direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995 relativa alla protezione delle persone fisiche in relazione all'elaborazione dei dati a carattere personale e alla libera circolazione di tali dati, GU L 281, 23 novembre 1995, p. 31. Disponibile all'indirizzo seguente: http://www.europa.eu.int/comm/dg15/fr/media/dataprot/index.htm . 70 Vedi considerando 72. Occorre notare che la direttiva non contiene definizioni del termine "documenti amministrativi", ma che tale termine può essere inteso in senso ampio che permette di coprire almeno le "informazioni amministrative" previste dal libro verde nella proposta di classificazione (punto 73 e seguente, pagina 12). 71 Vedi l'articolo 10 e il considerando 37 della direttiva 95/46/CE sulla conciliazione del diritto alla vita privata con le norme che disciplinano la libertà d'espressione. Vedi anche la raccomandazione 1/97 del Gruppo su "Legislazione sulla protezione dei dati e mass media", adottata il 25.2.1997 (documento 5012/9, disponibile nelle 11 lingue ufficiali all'indirizzo indicato in nota alla pagina 2). 72 Vedi in particolare l'articolo 6, paragrafo 1, lettera b) della direttiva 95/46/EC. 73 Vedi articolo 12 della direttiva 95/46/EC. 74 Vedi gli articoli 29 e 30 della direttiva 95/46/CE. 75 Si noti che l'utilizzazione di queste tecnologie permette anche allo Stato di elaborare siffatti profili. 76 Altro esempio : grazie al controllo elettronico di due banche dati, si possono ottenere più facilmente informazioni negative su questa o quella persona, ad esempio : il vaglio del registro della popolazione (quando esiste) e degli elenchi elettorali permette di identificare le persone che non hanno diritto di voto. 77 Garante per la protezione dei dati personali 78 Vedi allegato 1 del libro verde : Situazione attuale negli Stati membri per quanto riguarda la legislazione e le politiche relative all'accesso all'informazione proveniente dal settore pubblico, p. 21 e seguenti. 79 Vedi articolo 6 paragrafo 1 b della direttiva 95/46/CE. 80 Merita sottolineare che, secondo alcuni, siccome la riunione di dati diversi permette di elaborare profili personali, si deve proibire l'utilizzazione commerciale dei dati a carattere personale, o almeno limitarla, con opportune penali in caso di infrazioni. Per quanto riguarda i dati a carattere personale ricavati da fonti ufficiali, non dovrebbero sussistere eccezioni all'obbligo di informare l'interessato (articolo 11 della direttiva). 81 Vedi articoli 10, 11 e 14 della direttiva 95/46/CE. 82 Commissione Nazionale dell'Informatica e delle Libertà, Francia. 83 Vedi i articoli 2 h), 7a e 8 della direttiva 95/46/CE concernenti la definizione di "consenso" nonché l'esigenza di forme specifiche del consenso a seconda dei casi. 84 Vedi nota in fondo a p. 2. 85 Vedi ad esempio, sopra, le osservazioni concernenti il punto 56 (p. 9 del libro verde) sulla possibilità di raccolta e di distribuzione di informazioni, come pure il punto 123 (p. 19) sulle proposte d'azione per lo scambio di informazioni fra entità del settore pubblico. |