A distanza di oltre un anno dall'entrata in vigore della legge 675 sulla tutela della privacy, finalmente anche in Italia si sta facendo strada un dibattito - che altre culture avanzate hanno svolto da tempo - sul diritto alla riservatezza. Tuttavia, in questo dibattito non sembra ancora essersi del tutto spenta l'eco degli iniziali sospetti e mugugni con i quali gran parte del mondo imprenditoriale e della Pubblica Amministrazione ha accolto la nuova legge. Da diversi ambiti si continuano intatti a sentire voci che ne chiedono la modifica o la ridefinizione secondo le aspettative di specifiche categorie di aziende o professionali.

In generale si sostiene che la legge 675 ostacoli le attività aziendali - economiche, di informazione etc. - costringendo gli operatori interessati a faticosi e onerosi adempimenti. Non si intende qui fare una lista dettagliata di queste incombenze, ma è opportuno almeno sottolineare come queste ultime non siano solo di tipo burocratico, quelle cioè che vanno dall'individuazione delle figure attive (titolare, responsabili e incaricati dei trattamenti), alla predisposizione della modulistica per la ricerca del consenso dell'interessato, alla notificazione al Garante etc., ma coinvolgano anche veri e propri aspetti gestionali quali l'organizzazione dei dati, la rivisitazione dei processi e delle procedure automatizzate, la ridefinizione dei profili di abilitazione ai trattamenti, il monitoraggio del livello di rischio informatico, la decisione circa le politiche di sicurezza da adottare, l'adozione delle misure minime di sicurezza e così via. Bisogna quindi riconoscere che l'atteggiamento riluttante cui si fa riferimento non è dovuto soltanto ad uno spirito polemico. Le implicazioni operative della legge sono obiettivamente tali da richiedere alle aziende uno sforzo organizzativo notevole, e gli snellimenti burocratici previsti per la "fase due" - così come promessi dallo stesso Garante, il prof. Stefano Rodotà -non fanno quindi che andare incontro ad una reale esigenza di semplificazione.

Tuttavia, anche in considerazione di alcuni aspetti macroscopici, quali ad esempio il ritardo di molte aziende - e in particolare di gran parte della Pubblica Amministrazione - nel mettersi perfettamente in regola con la legge, quello che sconforta è la netta impressione che della legge 675/96 siano stati percepiti i soli oneri e non i suoi presupposti e impatti culturali positivi, i vantaggi che ne derivano a tutta la comunità economica e le prospettive di miglioramento che essa offre alle aziende sul piano organizzativo e persino strategico. Vale quindi la pena tare, a questo proposito, alcune riflessioni di carattere generale.

Innanzitutto, è opportuno ricordare brevemente le finalità di fondo della legge 675/96 e collocare tali finalità nel contesto socio-economico attuale e prospettico. Dall'8 maggio 1997, la raccolta, il trattamento, la comunicazione etc. dei dati personali sono attività regolamentate anche in Italia. Lo scopo di queste regole è quello di mettere fine ai controlli arbitrari o non autorizzati, di favorire la trasparenza degli atti pubblici, di diminuire le asimmetrie informative e le possibilità di sopraffazioni reciproche tra i diversi attori del sistema socio-economico. La legge non preclude assolutamente la possibilità di trattare dati personali: il vincolo generale è costituito dai principi del consenso e delle finalità. I dati personali possono cioè essere trattati lecitamente, a patto che siano utilizzati per fini non incompatibili con quelli per i quali sono stati raccolti e - laddove previsto - con il consenso dell'interessato. Con questa legge, in sostanza, si tende a metter fine alla privacy di alcuni privilegiati (ad esempio gli enti e gli organismi del settore pubblico, le imprese etc.) e alla piena evidenza di altri (il privato cittadino come consumatore, paziente, utente etc.) per avviarsi finalmente verso un adeguato livello di trasparenza degli atti della Pubblica Amministrazione e delle attività delle imprese e verso la protezione della riservatezza dei cittadini (e, in qualche misura, delle stesse aziende). In particolare, come è giusto che sia in una società che si orienta con decisione verso una economia dematerializzata e di rete - dove quindi l'informazione è più che mai una risorsa critica, e una corretta distribuzione e una gestione etica dell'informazione sono prerequisiti per lo stesso funzionamento e per lo sviluppo dell'economia - il fine della drastica diminuzione delle asimmetrie informative tra un "soggetto controllore" libero (il burocrate, il venditore etc.) e un "oggetto controllato" coatto (il cittadino, il consumatore etc.) stabilisce un principio fondamentale di cittadinanza e di democrazia elettronica - cioè il diritto di sapere se si è "schedati", di ottenere la cancellazione, l'integrazione, la correzione dei propri dati etc. Questo principio sostituisce la vecchia equazione secondo cui, estremizzando, l'individuo non è altro che un numero civico - quello della propria buca delle lettere (o, più recentemente, del proprio indirizzo e-mail) - sommato al numero della propria carta di credito. D'altro canto, il nuovo modello economico basato sull'utilizzo delle nuove tecnologie dell'informazione e delle comunicazioni vedrà depotenziate le sue enormi capacità di sviluppo se i futuri clienti e consumatori non saranno tutelati da abusi e frodi, attraverso la diffusione di un concetto di privacy che trovi riscontro in una cultura generalizzata della fiducia e del rispetto. Per questo motivo è essenziale che, prima ancora della prassi operativa e al di là delle stesse regole, si consolidino i principi di fondo della nuova legge: senza una efficace tutela delle persone rispetto al trattamento dei dati personali si andrebbe incontro a una distruzione certa di potenzialità economiche. Da questo punto di vista, possiamo in generale condividere l'opinione secondo cui siamo al cospetto della prima legge italiana dell'era telematica a presidio dei diritti di libertà, della dignità delle persone e del funzionamento corretto, trasparente e efficiente delle istituzioni socio-economiche.

Per una seconda riflessione sugli impatti positivi della legge 675/96 occorre fare riferimento al più ampio contesto sociale ed economico europeo. Un'altra finalità della legge è, infatti, quella di allineare l'Italia agli altri paesi avanzati e, in particolare, ai paesi dell'Europa occidentale. A questo proposito, gli atti formali a cui far riferimento sono: la Convenzione del Consiglio d'Europa sulla protezione della Privacy (Strasburgo, 28/1/81); l'Accordo di Schengen sulla soppressione graduale dei controlli alle frontiere (14/6/85); la Direttiva Comunitaria 95/46/CE sulla tutela della Privacy e sulla libera circolazione dei dati (24/10/95).

Il primo atto, cioè la Convenzione del Consiglio d'Europa sulla protezione della Privacy, aiuta a datare al 1981 la nascita nel contesto europeo di un dibattito che ancora oggi, alla soglia del terzo millennio, fa fatica a svolgersi in Italia. A sua volta, l'accordo di Schengen del 1985, che prevedeva la costituzione di un sistema informativo integrato con sede a Strasburgo e collegato con i Ministeri degli Interni dei paesi aderenti, è divenuto operativo dal 26 marzo 1 995; come noto, tuttavia, le aziende italiane hanno potuto godere dei benefici della libera circolazione solo con ritardo, cioè solo successivamente alla entrata in vigore della legge 675. I primi due atti menzionati testimoniano quindi un ritardo senz'altro di natura culturale ma con evidenti impatti negativi anche sul piano economico, dell'immagine e della competitività del sistema Italia rispetto ai nostri partner europei. E configurano quindi la necessità indiscutibile di dotarsi di un sistema di tutela della riservatezza come requisito indispensabile per la partecipazione del nostro paese, e quindi delle aziende italiane, ai vantaggi derivanti dalla messa in opera di accordi già stabiliti a livello internazionale.

Rispetto poi alla Direttiva Comunitaria 95/46/CE, limitata alle persone fisiche, la nostra legge 675/96 ("Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali") non fa riferimento alla libera circolazione dei dati, ma di converso, oltre alle persone fisiche, estende il proprio ambito di tutela - anche se limitatamente - alle persone giuridiche, agli enti e alle associazioni. Confrontando la legge 675/96 con la Direttiva Comunitaria del 1995, si può quindi rilevare un salto di qualità compiuto dal legislatore italiano rispetto all'omologo europeo a vantaggio proprio delle imprese. Le quali, tuttavia., non sembrano aver colto queste opportunità: la legge italiana, a differenza di quanto prevedono le analoghe discipline straniere e la Direttiva Comunitaria per la tutela dei dati personali, prescrive che possano essere tutelati appunto anche i dati riferiti alle persone giuridiche, cioè gli enti, le aziende etc.; ma, come anche Marco Maglio, Presidente della Commissione per la legislazione e l'autodisciplina dell'Associazione Italiana per il Direct Marketing, riconosce in un suo recente intervento ("Penelope, Narciso e il mito della privacy: la cultura della riservatezza tra antichi vizi e nuove virtù"; www.privacy.it/maglio08.html), non si ha sinora notizia di alcuna azienda che si sia avvalsa di questo strumento che la legge 675 offre alle aziende, ad esempio contro trattamenti non autorizzati dei propri dati, o fughe di notizie, ovvero per proteggere le conoscenze e i segreti aziendali contro i diffusi fenomeni di divulgazione di informazioni riservate, spionaggio industriale ecc.

Questo aspetto introduce un'ulteriore riflessione, riferibile al grande impulso che la legge 675/96 può oggettivamente dare al miglioramento delle prassi aziendali per quanto riguarda la protezione delle risorse immateriali (dati, informazioni e conoscenze) e, in particolare, la politica della sicurezza informatica in azienda. Solo qualche anno fa, chi si occupava di sicurezza informatica veniva visto con diffidenza, in quanto latore di problemi di efficienza e profeta di disastri improbabili. Da una parte, infatti, le misure di protezione proposte limitavano significativamente le prestazioni del sistema informativo per contrastare minacce spesso ritenute inesistenti; d'altro canto, l'utilizzatore del sistema era costretto a ricordare password segrete, seguire lunghe e noiose procedure di gestione etc. Oggi, l'iniziale diffidenza va lentamente lasciando il posto alla consapevolezza che le enormi potenzialità indotte dallo sviluppo della tecnologia informatica non potrebbero essere sfruttate appieno senza un approccio serio e sistematico alla soluzione dei problemi di sicurezza. Questo senso di irrinunciabilità nei confronti della adozione di misure protettive vale anche con riferimento alla legge sulla privacy, come peraltro la stessa legge 675/96 e i suoi collegati mettono esplicitamente in evidenza. Per tutela della riservatezza si intende infatti l'adozione di misure volte ad impedire che i fatti della vita privata di una persona (dipendente, fornitore, cliente ecc.) - rappresentati o meno su un supporto informatico - siano impropriamente alterati, modificati, distrutti, divulgati etc. Tale tutela passa necessariamente attraverso la definizione dei criteri di sicurezza dei dati stessi, nel senso che questi ultimi devono essere inalterabili, immutabili etc., cioè corrispondere alla realtà che intendono - in maniera lecita - rappresentare. Non ha quindi senso porsi un problema di tutela della privacy se i dati non sono sicuri. Ad esempio, potrà apparire banale, ma il problema della divulgabilità dei dati sanitari di una persona si pone realmente soltanto nella misura in cui tali dati siano protetti da misure che impediscano l'accesso non autorizzato da parte di terzi e garantiscano la loro integrità e inalterabilità: il dato in questione deve cioè prima esistere (quindi non deve essere soppresso impropriamente), deve corrispondere alla realtà (quindi non deve essere alterato), e solo successivamente su di esso potrà porsi un problema di divulgabilità e quindi di riservatezza. Peraltro, in molti casi non vi è alcuna distinzione logica tra violazione delle regole di sicurezza e quelle di privacy, poiché dalla violazione delle prime - ad esempio, l'integrità di un dato - consegue automaticamente la violazione delle seconde. Si può pertanto sostenere che, dal punto di vista della privacy, il requisito di sicurezza non è una caratteristica opzionale del dato, ma è un elemento che lo caratterizza a fondo, fino a determinare la sua stessa essenza. Da un punto di vista tecnico, questo giustifica il fatto che le definizioni di sicurezza adottate dalle istituzioni internazionali più autorevoli - quali, ad esempio, OCSE, ITSEC, ISO etc. - comprendano tutte la tutela della riservatezza. Questo spiega, d'altro canto, il motivo per cui le aziende che avevano già impostato una adeguata politica di sicurezza informatica non abbiano dovuto poi fare sforzi eccessivi per mettersi al passo, e in maniera tempestiva, con le prescrizioni della legge 675/96. Da qui, infine, la considerazione inversa che, nell'adempiere alle prescrizioni della legge 675/96, le aziende che non l'abbiano già fatto in maniera efficace si trovino a disposizione, come sotto prodotto del processo di adeguamento al dettato della legge, un utile spunto per ripensare l'organizzazione del proprio patrimonio dati e per impostare una propria politica di information security e di protezione delle risorse immateriali.

Per concludere, gli equilibri attualmente raggiunti con riferimento alla legge sulla privacy sono ancora precari e gli interessi in gioco sono assai rilevanti. Occorrerà senz'altro fare in modo che, pur nel rispetto degli interessi generali e della sostanza della legge già in vigore, vengano introdotte delle semplificazioni che rendano la normativa sulla privacy più comprensibile e compatibile con le esigenze operative delle aziende. Ma, in questa fase del dibattito sulla legge 675/96, è necessario sottolineare anche come i principi ispiratori della legge siano giusti e moderni - ben oltre la percezione delle istituzioni, delle imprese e persino dei cittadini direttamente interessati - e come inoltre i suoi impatti operativi nelle aziende siano gestibili in Italia così come lo sono stati in tanti altri paesi avanzati in precedenza. Questi impatti operativi, per quanto onerosi, rappresentano inoltre, nelle aziende meno evolute dal punto di vista manageriale, occasioni molto favorevoli di evoluzione verso forme più efficaci di organizzazione e gestione dei dati e di protezione delle risorse immateriali. Pertanto, d'accordo con Umberto Eco (www.privacy.it/eco.html), "il problema non è garantire la privacy, è educare chi non la vuole ad apprezzarla". Se si vuole evitare di trasformare l'attuale legge 675/96 sulla tutela della riservatezza nell'ennesima occasione mancata o soluzione "all'italiana" occorre quindi, piuttosto che continuare a sfoggiare atteggiamenti detrattivi e di parte, rivedere le proprie posizioni in merito nella prospettiva della diffusione di una cultura della fiducia e del rispetto. Ciò che è in gioco, infatti, è la definizione anche in Italia di un equilibrio più corretto ed avanzato tra le prerogative dell'individuo e l'organizzazione della collettività. Un equilibrio cioè che possa garantire sul piano culturale ed etico, prima ancora che operativo, i requisiti di correttezza ed equità propedeutici al buon funzionamento del modello di economia direte verso cui stiamo tendendo.

(Ndr: ripreso dall'Osservatorio Editoriale sui Sistemi Informativi, di dicembre 1998, della SDA Bocconi)