Quale privacy

1. La globalizzazione dei diritti.

La sessione che sono chiamato a coordinare, caratterizzata da una pluralità eterogenea di sollecitazioni sull'uso delle informazioni personali nell'attività di impresa, muove - stando al titolo posto alla mia introduzione - da un interrogativo: "quale privacy".

La nostra attenzione viene dunque indirizzata verso le modalità con le quali può trovare compiuta tutela il diritto alla protezione dei dati personali. Si riconosce, così, se non altro implicitamente, non voglio dire la non effettività - giacché le discipline di protezione dei dati sono comunque dotate di un proprio quadro sanzionatorio, del quale (anzitutto) le Autorità indipendenti possono avvalersi -, ma almeno la non esaustività del ricorso ai tradizionali strumenti di protezione dei dati riconosciuti in capo all'interessato (accesso, rettifica, cancellazione etc.), che si sono aggiunti ai rimedi classici - a presidio dei diritti della personalità - rappresentati dal risarcimento del danno e dall'inibitoria.

In questa cornice si giustificano gli interventi, che avremo modo di ascoltare, aventi ad oggetto da un lato i codici di condotta e, dall'altro, le così dette privacy enhancing technologies (PETs), ovvero le tecnologie informatiche in grado di incrementare la privacy, come i sistemi crittografici per la posta elettronica o i sistemi per navigare in rete in modo anonimo.

Da questo punto di vista, allora, il nostro incontro presenta una connessione diretta con talune delle conclusioni della conferenza internazionale sullo stato di attuazione della Direttiva 95/46/CE svoltasi presso la Commissione europea a Bruxelles circa due mesi fa (¹).

Ma questa linea di ideale continuità che ho voluto tracciare per dare ragione della natura internazionale della nostra Conferenza (i problemi sono ormai tutti sopranazionali), ha radici più profonde: essa intende rappresentare l'ulteriore svolgimento del messaggio che il Garante volle condensare nel titolo della Conferenza di Venezia del 2000: "One World, One Privacy". Si tratta di uno slogan ancora attuale nel reclamare, a fianco della libera circolazione delle informazioni nell'economia globalizzata, la non separabile globalizzazione dei diritti: per quanto ci riguarda, della dignità della persona attraverso il trattamento dei dati personali che ad essa si riferiscono. Intenti non diversi, del resto, erano presenti nel convegno organizzato nel settembre 2001 a Kiel dal Garante dello Schleswig-Holstein, nel contesto della Sommerakademie, con il titolo "Datenschutz als Wetthewerbsvorteil" (²).

Queste giornate di studio romane si inseriscono, stavolta guardando al futuro, nell'itinerario verso l'imminente World Summit sulla società dell'informazione previsto per l'anno prossimo (³), rispetto al quale le conclusioni dei vertici regionali, ed in particolare di quello paneuropeo di Bucharest (⁴), sembrano non aver tenuto in debito conto le fondate preoccupazioni dei cittadini e le loro legittime aspettative a non divenire puro strumento dell'evoluzione tecnologica o merce del processo produttivo che la incorpora.

In questo senso, va allora rettamente posto, in termini di auspicabile alleanza, il rapporto intercorrente tra iniziativa economica e diritti fondamentali. Se parlassimo invece di funzionalizzazione di questi ultimi alla prima, ci collocheremmo, per quanto attiene all'ordinamento italiano, in linea di rottura rispetto alla cornice definita dalla nostra Carta costituzionale agli articoli 2 ("La Repubblica riconosce e garantisce i diritti inviolabili dell'uomo...") e 41 ("L'iniziativa economica privata è libera. Non può svolgersi in contrasto con l'utilità sociale o in modo da recare danno alla sicurezza, alla libertà, alla dignità umana").

2. Codici di condotta, nuove tecnologie e regole multinazionali.

La ricordata Conferenza di Bruxelles ha affermato l'inopportunità di una revisione del testo della direttiva del 95 sulla privacy. Non sono dunque messi in dubbio i principi cardine della protezione dei dati, che risalgono alle linee guida dell'OCSE (⁵) e alla Convenzione del Consiglio d'Europa del 1981, e che potranno trovare più alto ed esplicito riconoscimento una volta definito il ruolo della Carta dei diritti fondamentali dell'Unione europea (art. 8) (⁶).

Questa persistente valenza, peraltro, è indirettamente confermata dalla recente Proposta di Direttiva (del Parlamento europeo e del Consiglio) relativa al riutilizzo dei documenti del settore pubblico e al loro sfruttamento a fini commerciali (⁷) - sulla quale si soffermerà più tardi uno dei relatori- che fa espressamente salva l'applicazione della Direttiva 95/46/CE per quanto attiene ai documenti contenenti dati personali.

Si sono registrate, tuttavia, istanze volte all'individuazione di modalità dirette a migliorare l'uniforme applicazione dei principi della Direttiva nei singoli Paesi membri dell'Ue, anche attraverso la ricerca di approcci più pragmatici e con la semplificazione del quadro normativo, garantendo comunque le libertà dei cittadini, dei quali ancora basso è il livello di consapevolezza dei diritti loro attribuiti e delle modalità di esercizio degli stessi.

Tra le misure volte ad incrementare l'effettività delle discipline di protezione dei dati, come anticipato, si sono menzionati sia i codici deontologici sia le PETs. A proposito di queste ultime va tuttavia rilevato che, al di là della precisa individuazione del loro contenuto e della loro effettiva idoneità a ridurre l'impatto sulla privacy, se ne è denunciata la modesta diffusione e la difficoltosa introduzione nel mercato.

Si tratta di elementi dei quali occorre farsi carico se non si vuol perdere il contatto con la realtà, specie in presenza della crescente diffusione di tecnologie che - procedendo in senso opposto - consentono ad esempio il datamining, ovvero l'estrazione e la successiva elaborazione di dati personali reperiti in diversi database o in rete.

In chiave prospettica, poi, ulteriore strumento per rendere più "appetibile" o, rimanendo in contesto, più "digeribile" le discipline di protezione dei dati sono i codici di deontologia e di buona condotta (⁸): anche nell'ordinamento italiano, e segnatamente nel settore della protezione dei dati, essi stanno trovando progressiva accettazione (⁹).

Tutti ne conosciamo i vantaggi, in termini di maggiore prossimità rispetto alle specifiche problematiche delle categorie interessate. Ma non possiamo sottacere le difficoltà che talora si presentano, anzitutto nell'individuazione dei soggetti effettivamente rappresentativi degli interessi in gioco; compito pressoché impossibile quando le ricadute sono su una platea indistinta di soggetti o quando gli interessi implicati richiedono un'attività che oltrepassa la mera competenza tecnica per debordare in valutazioni di politica del diritto che non possono che essere rimesse al Parlamento.

Ma di regole frutto dell'autonomia privata, ed in questo senso assimilabili ai codici di buona condotta, sempre più si va parlando quale tecnica ulteriore per superare uno dei problemi maggiormente avvertiti dall'impresa che, nel mercato globalizzato, si articola in più sedi dislocate nelle parti più disparate della terra: si tratta della disciplina volta a regolare il flusso transfrontaliero di dati personali dall'Europa verso Paesi terzi che non offrano un livello adeguato di protezione dei dati personali. E' un tema che lascio agli ospiti stranieri. Mi limito a ricordare che la Commissione europea e le Autorità nazionali di garanzia, anche operando in modo cooperativo all'interno del "Gruppo articolo 29", hanno realizzato sforzi rilevantissimi per coniugare le esigenze del mercato, consentendo la libera circolazione dei dati personali attraverso gli strumenti, pur diversi, del "Safe Harbor" (¹⁰) e delle "clausole contrattuali standard" (¹¹); strumenti che, pur attenuando le possibilità di controllo sulle modalità di trattamento dei dati al di fuori dell'Europa, non le elidono. Questa preoccupazione è, invece, più difficile da dissipare rispetto a tecniche contrattuali diverse che consentano una libera circolazione, all'interno delle multinazionali, di dati personali provenienti dall'Unione europea.

3. La tutela dei dati personali all'interno dell'impresa: in particolare i dati dei lavoratori.

Se quanto appena descritto attiene allo svolgersi dell'attività economica dell'impresa verso l'esterno, non possiamo dimenticare gli aspetti, altrettanto rilevanti, della definizione delle regole di circolazione delle informazioni all'interno dell'impresa. Pensiamo al flusso informativo nei processi gestionali e organizzativi, ai problemi posti dalle reti Intranet e, segnatamente, al tema dei dati nel contesto del rapporto di lavoro. Qualche osservazione su quest'ultimo aspetto. Non si tratta di tema nuovo e, con riguardo all'ordinamento italiano, è stato affrontato ormai molto tempo fa con lo Statuto dei lavoratori (¹²), che riconosce garanzie per il lavoratore e per la vita privata dello stesso.

Ma l'introduzione massiva delle tecnologie dell'informazione nel processo produttivo e nell'organizzazione aziendale ha modificato la cornice fattuale per le quali normative come lo Statuto sono state pensate, mettendone alla prova il sistema delle tutele: la materia dei controlli della posta elettronica e della navigazione in Internet è, da questo punto di vista, solo la punta di un iceberg. Ad esse bisogna associare altre problematiche, non meno rilevanti, che abbracciano un arco temporale assai ampio, che parte fin dalla fase precedente all'instaurazione del rapporto di lavoro, con l'assunzione di informazioni personali sul candidato-lavoratore; si aggiungano poi le informazioni raccolte nel corso del rapporto lavorativo, con le metodologie più varie (anche ricorrendo all'uso di test), e il problema della loro tipologia. Si pensi, solo per fare qualche esempio, ai cosiddetti dati valutativi, ai dati genetici (la cui raccolta può tradursi in fonte di grave discriminazione), ai test antidroga, antialcool e antifumo, ai badge attivi che consentono l'individuazione della collocazione geografica del dipendente, al controllo delle voice-mail e dei computer. Per non parlare della videosorveglianza.

E' un tema caldo in molti paesi. Le Autorità di garanzia sono intervenute a più riprese e le stesse tematiche hanno formato oggetto di riflessione da parte del "Gruppo art. 29" (¹³).

Le autorità di garanzia europee, autentico campanello di allarme, vengono sollecitate a pronunciarsi in materia. Le preoccupazioni al riguardo sono reali e non riducibili ad un "chiodo fisso" degli esperti di protezione dei dati: chi ne volesse conferma non avrebbe che da scorrere le pagine della recentissima Comunicazione della Commissione europea intitolata "Second stage consultation of social partners on the protection of workers' personal data", nella quale si prefigura l'emanazione di una Direttiva in materia (¹⁴).

Il tema è spinoso e non sono praticabili soluzioni semplicistiche. Riguardo, ad esempio, alle e-mail inviate e ricevute da un lavoratore sul computer aziendale, è in gioco il diritto inalienabile alla segretezza della corrispondenza al quale viene talvolta contrapposto il diritto di proprietà dell'imprenditore sugli strumenti di lavoro aziendali. Ma la difficoltà del tema non ci esime dalla necessità e dall'urgenza di un dibattito aperto tra i soggetti sociali coinvolti e la cultura giuridica e scientifica. Una necessità che segnalo al mondo delle imprese, che troppo spesso preferiscono rimuovere il problema e operare per vie di fatto; al mondo sindacale, incomprensibilmente disattenti, forse anche perché i lavoratori maggiormente coinvolti sono meno rappresentati dalle organizzazioni sindacali; e al mondo del diritto, la cui elaborazione al riguardo è ancora lontana dalle attese.

Una maggiore attenzione e sensibilità renderebbe più agevole anche la nostra attività istituzionale.

NOTE

(1) V. i diversi contributi alla Conferenza resi pubblici in
http://europa.eu.int/comm/internal_market/en/dataprot/lawreport/index.htm.
(2) Gli atti del Convegno possono essere letti in H. BÄUMLER–A.v. MUTIUS (a cura di), Datenschutz als Wettbewerbsvorteil - Privacy sells: Mit modernen Datenschutzkomponenten Erfolg beim Kunden, Braunschweig–Wiesbaden, 2002.
(3) Un'agenda completa delle attività preparatorie si rinviene in http://www.itu.int/wsis/index.html.
(4) "The Bucharest Declaration" può essere consultata in http://www.itu.int/wsis/events/bucharest.html; v. pure la "Declaration of the Bishkek-Moscow Conference on the Information Society", in http://www.itu.int/wsis/events/bishkek.html.
(5) OECD, Recommendation Concerning Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data, adottato dall'OCSE il 23 settembre 1980 (OECD Privacy Guidelines), Doc. C 58 final del 1° ottobre 1981; l'attuale validità dei principi contenuti nelle Guidelines è stata ribadita, anche con riguardo alle reti telematiche, dall'OCSE: cfr. Ministerial Declaration on the Protection of Privacy on Global Networks, Ottawa, 7-9 October 1998, p. 4 (DSTI/ICCP/REG(98)10/FINAL).
(6) V. http://www.europarl.eu.int/charter/default_en.htm.
(7) Doc. COM(2002) 207 definitivo, Bruxelles, 5.6.2002 - 2002/0123 (COD).
(8) Un'utile trattazione è stata offerta da C.D. RAAB, Effective self regulation–genuine protection or a contradiction in terms?, Paper prepared for the 24th International Conference of Data Protection and Privacy Commissioners, Cardiff, 9-11 September 2002.
(9) Codice di deontologia relativo al trattamento dei dati personali nell'esercizio dell'attività giornalistica ai sensi dell'art. 25 della legge 31 dicembre 1996, n. 675, adottato con provvedimento del 29 luglio 1998; Codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi storici, adottato con provvedimento del 14 marzo 2001. Codice di deontologia e di buona condotta per i trattamenti di dati personali a scopi statistici e di ricerca scientifica effettuati nell'ambito del sistema statistico nazionale, adottato con provvedimento del 31 luglio 2002.
(10) Commission Decision of 26 July 2000 pursuant to Directive 95/46/EC of the European Parliament and of the Council on the adequacy of the protection provided by the safe harbour privacy principles and related frequently asked questions issued by the US Department of Commerce; v. anche il sito dedicato dall'US Department of Commerce al Safe Harbor in http: / /www.export.gov/ safeharbor/.
(11) Vedi le decisioni della Commissione europea in
http://www.eurupa.eu.int/comm/internal_market/en/dataprot/modelcontracts/index.htm .
(12) L. 20 maggio 1970, n. 300.
(13) V. Working document on the surveillance of electronic communications in the workplace, 29 May 2002, DG MARKT/5401/01, WP 55; Opinion 8/2001 on the processing of personal data in the employment context, 13 September 2001, DG MARKT 5062/01, WP 48; Recommendation 1/2001 on Employee Evaluation Data, 22 March 2001, DG MARKT 5008/01, WP 42.
(14) La comunicazione, dell'ottobre 2002, è consultabile in
http://europa.eu.int/comm/employment_social/soc-dial/labour/dataprot_en.pdf