1997: LA LEGGE E LA RETE
Interventi e repliche - 51
Aspetti di incostituzionalità ed altre incongruenze della legge n. 675/96 di Luca M. de Grazia (avvocato)

Come tutti ormai sapranno, dall’8 maggio 1997 è entrata in vigore nel nostro Paese la Legge n.675/1996, c.d. "Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali".

Orbene, nel presente intervento vorrei tralasciare tutte le critiche effettuate da altri sui vari aspetti della Legge cennata, per soffermarmi soltanto su alcune - a mio avviso - macroscopiche incongruenze della Legge, alcune delle quali possono essere sicuramente oggetto di sindacato da parte della Corte Costituzionale.

Quello che, di sicuro, non si può assolutamente condividere è l'atteggiamento del tutto "persecutorio" che si può rilevare dall'esame della legge nei riguardi dell'informatica e della telematica: esse - qualora si voglia ancora tenerle distinte - sono viste in maniera peggiore degli eretici al tempo della Inquisizione.

La legge in questione è infatti letteralmente infarcita di una serie di divieti e sanzioni, sia di tipo penale che civile, del tutto spropositati, sia in quanto vi si possono rilevare spesso delle responsabilità per colpa, laddove nel nostro ordinamento giuridico la norma generale è quella secondo la quale si risponde di un reato se lo si è voluto perpetrare, e non per la semplice incuria e/o imperizia, così come nel sistema giuridico e processuale vigente il principio generale è quello secondo cui è l'attore (cioè chi inizia la causa) che deve provare il proprio assunto, mentre la legge citata pone dei casi di vera e propria "responsabilità oggettiva", soprattutto ponendo un onere della prova a carico di chi si deve difendere praticamente diabolico, per non dire impossibile.

Se poi si vuole esaminare la legge più in dettaglio, occorre innanzitutto rilevare come la stessa sia del tutto disorganica e non organizzata in modo paritetico; infatti, in alcuni punti la legge pone dei princìpi generali (e questo dovrebbe essere il compito della legge, intesa come tale), in altri punti si spinge ad un dettaglio normativo che la fa assomigliare più ad una circolare che ad una legge. In altri punti ancora, invece, presenta delle enormi lacune, proprio laddove sarebbe stata necessaria una disciplina organica di tutta la materia regolata.

Premetto che l’esame di quanto sopra specificato non sarà estremamente approfondito, riservandomi una ulteriore analisi nel prosieguo.

1. ART. 15 IN RELAZIONE ALL’ART. 36 DELLA LEGGE: SANZIONI PENALI PER OMESSA ADOZIONE DI MISURA DI SICUREZZA.

La sanzione penale si applica a "chi, essendovi tenuto", ometta di adottare le misure di sicurezza previste dal precedente articolo 15; peccato però che detto articolo faccia riferimento a dei FUTURI regolamenti da emanarsi entro centottanta giorni dalla data di entrata in vigore della Legge, e che quindi allo stato attuale non sono stati ancora emanati.

E’ evidentemente un rinvio ad una norma penale c.d. "in bianco", e per ciò stessa proibita dal nostro sistema legislativo.

Ed ancora: poiché in Italia non esistono - per quanto mi risulta - degli albi professionali concernenti la c.d. "sicurezza", in relazione a quella richiesta per il caso in esame, come potrà imputarsi ad una azienda di aver scelto male il proprio responsabile per la sicurezza - che deve per definizione essere scelto tra persona di comprovata esperienza e professionalità nel campo - laddove qualsiasi persona potrà legittimamente vantarsi di possedere i requisiti per ricoprire tale ruolo?

Forse sulla base di un semplice "curriculum" ?

Anche se è vero che l'abito non fa il monaco, e che quindi un avvocato non necessariamente non è un buon avvocato solo per il fatto di essere iscritto ad un albo professionale, è anche altrettanto vero che però - quantomeno - ha conseguito una laurea, ha superato degli esami di abilitazione alla professione, la esercita quotidianamente, è sottoposto a normative specifiche che regolano l’esercizio della sua professione e possiede quindi quei "requisiti minimi" che sono ben codificati e conoscibili da tutti.

Ma non si finisce qui: le misure di sicurezza devono essere praticamente - per usare un termine di derivazione anglosassone - allo "stato dell'arte", anche in relazione al progresso tecnico: non è chi non veda come, in un campo in cui l'obsolescenza (e cioè il fenomeno di "invecchiamento precoce" di qualche cosa) di prodotti software ed hardware è rapidissima, sia quasi impossibile mantenere sempre tale livello di sicurezza, tenendo anche presente quanto scritto in precedenza. Oltre che un problema di costi - che non si può eliminare ponendo semplicemente tale onere a carico dei soggetti obbligati a rispettare tale legge (e cioè quasi tutti) - si tratta di un vero e proprio problema di chiarezza ed impossibilità di individuare i mezzi, le procedure e le tecnologie che possano far "stare tranquilli" i titolari ed i responsabili del trattamento dei dati, desiderosi di osservare strettamente le prescrizioni della Legge.

Continuando nell'esame delle "perle" della legge: essa, per esempio, non dice che la notificazione debba essere sottoscritta dal titolare, mentre lo deve essere da parte del responsabile e del notificante.

Conseguenza: io che sono il titolare dei dati faccio effettuare la notificazione ex art. 7 tramite il mio ordine professionale, indicando un responsabile; questi ed il soggetto che effettuerà la notifica dovranno sottoscriverla, mentre io potrò sempre dire che quei dati non possono essere riferiti a me, perché manca la mia sottoscrizione (è evidente che la tesi è estrema, ma serve per far capire le incongruenze).

E poi, il responsabile - SE SCELTO - deve avere "idonee qualità'", mentre se responsabile e' il titolare - per omessa indicazione del responsabile - questi non deve avere le predette "idonee qualità'".

E’ anche in questo caso del tutto evidente come non possa estendersi automaticamente al titolare dei dati la necessità di avere i requisiti prescritti per il "responsabile"; una lettura della Legge in questo senso andrebbe contro quanto è chiaramente scritto nella Legge stessa, e ne sarebbe comunque contraria allo "spirito".

Estrazione dei dati: cosa significa ? Il concetto e' chiaro, ma da questo discende, per esempio, che anche la semplice consultazione di banche dati, peggio se interconnesse, dà luogo a "trattamento" dei dati.

Conseguenza: io elaboro MENTALMENTE delle informazioni estrapolate da diversi archivi e prima di farlo devo notificare al Garante che ho intenzione di effettuare il "trattamento", e cioè che PENSERÒ' a diverse informazioni e le metterò in relazione !. Diventerò io stesso una banca dati, e dovrò essere oggetto delle misure di sicurezza imposte dalla legge ? Dovrò "clonarmi" per poter effettuare delle copie di sicurezza degli archivi?

Non stiamo mica vedendo "Jhonny Mnemonic" !

Ed ancora: la legge non si applica ai dati per uso personale: peccato però che tali archivi di dati siano comunque soggetti alle norme sulla sicurezza (art.15), alle norme circa l'esportazione dei dati (art.28) ed alle sanzioni per "omesse misure di sicurezza" (art.36: reati e sanzioni per omessa tenuta delle misure di sicurezza). Insomma, anche se la cosa può sembrare del tutto aberrante, se perdo (oppure mi rubano in casa insieme a cose sicuramente più preziose) l'agenda con i miei numeri di telefono personali, sono passibile di essere perseguito per non avere adottato tutte le opportune misure di sicurezza necessarie. Perlomeno, non sono soggetto alle norme concernenti il risarcimento del danno (art.18), ma questa è una ben magra consolazione.

E poi, come faccio a definire in maniera univoca l’uso di un archivio come "personale": se nella mia agenda elettronica ovvero nel mio cellulare ho memorizzato numeri di telefono sia di amici (uso sicuramente personale) sia di clienti (uso sicuramente personale ma anche professionale), quale normativa devo applicare ?

Anche in questo caso, probabilmente, si vorrebbe far coincidere il termine personale con il concetto di "non professionale", ma l’interpretazione - anche se dettata dal buon senso - è suscettibile di ampie critiche e comunque non sorretta da alcun dato normativo.

E tutto questo nonostante le assicurazioni in senso contrario rilasciate dall’Ufficio del Garante e dal Presidente dello stesso organo, nelle varie interviste e comunicati stampa sin qui rilasciati: una cosa sono le promesse, altra cosa è interpretare il dettato (univoco) della legge.

2. ART. 29: TUTELA AMMINISTRATIVA E GIURISDIZIONALE IN RELAZIONE ALL’ART. 33, COMMA 3:

L’articolo in questione prevede la possibilità di ricorrere in via alternativa al Garante ovvero all’Autorità Giudiziaria ordinaria.

Nel primo caso non potrà essere richiesto il risarcimento del danno ex art.18 della Legge, mentre nel secondo caso l’Autorità Giudiziaria ordinaria non avrà i poteri ispettivi e sanzionatori propri del Garante.

Ma proprio questa alternatività tra due diverse Autorità, non costituisce forse una implicita istituzione di un "giudice speciale", non soggetto alla normativa ed alle tutele applicabili al "normale" processo di cognizione ?

Ma, se questo assunto è vero - e non mi sembra vi possa essere altra interpretazione - non esiste forse un divieto generale di istituzione dei nuovi giudici speciali ?

La "recente" riforma del processo tributario né è una prova implicita: i giudici esistevano già come giudici speciali, ma la legge di riforma si è "limitata" ad estendere l’applicazione delle norme del codice di procedura civile anche al processo tributario, con una estensione (sacrosanta) delle tutela dei diritti del cittadino nei confronti della Pubblica Amministrazione.

Il problema non è di poco conto, in quanto la decisione di adìre questa o quella Autorità comporta, di per sé stessa, la rinuncia a dei diritti soggettivi, che può ben essere lasciata alla scelta dell’individuo, ma che mal si concilia con il mancato coordinamento delle norme di procedura da seguire innanzi al Garante e quelle da seguire innanzi all’Autorità Giudiziaria ordinaria.

Inoltre, allo stato, non è ancora stato emanato il regolamento di procedura da seguire nei procedimenti innanzi al Garante, anche in questo caso con palese violazione del diritto costituzionale alla difesa (art.24 Costituzione) previsto per ogni cittadino.

Tale regolamento dovrà prevedere le modalità di "..pieno rispetto del contraddittorio tra le parti interessate..."; e nel frattempo, chi avrà già adìto il Garante, come si dovrà comportare ?

Non è ancora stato emanato neanche il regolamento che dovrebbe riguardare "l’organizzazione ed il funzionamento" dell’Ufficio del Garante: sarebbe a dire che si mette sul mercato una macchina ma non si forniscono le istruzioni per l’uso.

Comma 8 dell’art.29: tutte le controversie concernenti l’applicazione della Legge sono di competenza dell’Autorità Giudiziaria ordinaria: ed allora, come è possibile fare ricorso al Garante, posto che il comma in esame è successivo al 1° comma, nel quale si prevede la possibilità di fare ricorso al Garante ?

Penso sia sufficientemente chiara la necessità sia di interventi corettivi a livello legislativo, sia di interventi della Corte Costituzionale, per chiarire ed armonizzare tutta la materia.

3. ART.22: TRATTAMENTO DI DATI SENSIBILI

Qui, probabilmente, nell’intento di tutelare la "privacy" del cittadino, il legislatore ha raggiunto l’apice dell’aberrazione mentale e legislativa.

Il primo comma dell’articolo in esame considera tra i dati sensibili anche quelli concernenti le "....convinzioni religiose, filosofiche o di altro genere, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale....".

Tali dati possono essere trattati solo con il consenso scritto dell’interessato (e sin qui, a parte una burocratizzazione per la richiesta del consenso, nulla di eccessivo) , e previa autorizzazione del Garante. La mancata autorizzazione del Garante equivale a rigetto, e quindi può essere assimilata all’istituto del diritto amministrativo del silenzio-rigetto.

Avverso tale rifiuto si può adìre il Tribunale del luogo ove ha sede il titolare del trattamento (art.29, comma 6°), nelle forme e nei modi di cui all’art.737 c.p.c. (cioè con procedimento in Camera di Consiglio) ma l’opposizione non sospende l’esecuzione del provvedimento, che può essere concessa dal Tribunale. La decisione del Tribunale è ricorribile soltanto per Cassazione.

Punto primo: come è possibile traslare un modo di procedere avverso il silenzio-rigetto, proprio del diritto amministrativo e della giustizia amministrativa, nelle regole e nelle forme previste dal codice di procedura civile ?

Punto secondo: nel diritto amministrativo, una volta che l’Autorità Amministrativa (ed anche il Garante, tra i tanti compiti ed aspetti che ingloba in sé, è sicuramente anche autorità amministrativa: per la dottrina di tratterebbe di amministrazioni c.d. indipendenti) vi sono tre gradi di giudizio: T.A.R., Consiglio di Stato, Cassazione.

In questo caso viene a mancare il secondo grado, con evidente lesione del diritto alla difesa. E’ appena il caso di accennare alla circostanza che anche nella disciplina dettata dagli art.669 e seguenti del codice di procedura civile (per i non tecnici, sono gli articoli che riguardano i c.d. "provvedimenti d’urgenza", provvedimenti che si possono richiedere al Giudice per "anticipare" la decisione della causa), concernente i provvedimenti cautelari in senso lato, sono previsti un primo grado, un secondo grado e l’eventuale ricorso per Cassazione.

Punto terzo: con la modifica di cui al D.L. 9.5.1997 n.123 (siamo alle solite: il giorno dopo l’entrata in vigore della Legge viene emanata altra legge che fa slittare quasi tutti i termini previsti dalla 675/1996, ed introduce altre modifiche non di poco conto) è stata introdotta la possibilità che il Garante rilasci autorizzazioni "...a determinate categorie di titolari o di trattamenti..."; a me sembra che anche in questo caso vi sia una palese violazione di princìpi fondamentali del nostro ordinamento giuridico, e comunque una violazione di una riserva di legge (implicita) in materia così delicata.

In effetti, l’unica professione espressamente menzionata dalla Legge è quella di giornalista, con delle esenzioni stabilite - appunto - dalla Legge stessa; non mi sembra molto corretto, sia da un punto di vista legislativo che da un punto di vista "etico", rimettere alla potestà discrezionale del Garante l’individuazione di altre categorie di titolari e/o di trattamenti che possano essere esentati dal rispetto della Legge.

La disposizione risulta essere quindi probabilmente incostituzionale; meglio sarebbe, quantomeno, rimettere alla potestà legislativa del Governo (vedi legge 676/96) l’individuazione di altre categorie di titolari e/o di trattamenti: se alcuni soggetti devono essere esentati dal rispetto della Legge, soltanto un atto avente forza di legge potrebbe correttamente operare questa "esenzione".

Punto quarto: per il mancato rispetto di quanto disposto dall’art.22, salvo quello che concerne i dati sulla salute, non vi è alcuna sanzione, a meno di non voler considerare il mancato rispetto dell’Autorizzazione come inglobata nelle sanzioni penali previste dall’art. 35, ma mi sembrerebbe, oggettivamente, una forzatura, in quanto mancherebbe completamente il dolo e la volontà di trarre un profitto per sé o per altri.

Punto quinto: dovrebbe essere necessaria una autorizzazione (di natura amministrativa, almeno in senso lato) anche per l’esercizio di un diritto soggettivo perfetto innanzi ad una Autorità Giudiziaria.

A prescindere dalla considerazione che anche in questo caso vi sono dei seri dubbi di costituzionalità della norma, in quanto sarebbe forse la prima volta in cui nel nostro ordinamento l’esercizio di un diritto (soggettivo) dovrebbe essere subordinato ad una "autorizzazione", non è chi non veda come la stretta applicazione della normativa in esame porti a delle conseguenze totalmente aberranti.

Un esempio per tutti, anche in questo caso: un lavoratore si rivolge al sottoscritto, quale avvocato, per essere tutelato nei confronti dell’azienda che abbia illegittimamente operato delle trattenute per aver il lavoratore partecipato a delle assemblee sindacali.

Io devo, nell’ordine:

a) ottenere il consenso scritto al trattamento dei dati;

b) richiedere l’autorizzazione al Garante;

c) qualora il Garante non mi conceda l’autorizzazione, devo ricorrere al Tribunale ex art.29, comma 6° della Legge 675/96;

d) qualora il Tribunale, per qualsiasi motivo, non mi conceda l’autorizzazione, devo ricorrere per Cassazione avverso il provvedimento del Tribunale.

Nel frattempo, il mio cliente aspetta (?!?).

Ma vi è di più: poiché la Legge considera come "comunicazione" (art.1, lettera [g]) "....il dare conoscenza dei dati personali ad uno o più soggetti determinati diversi dall’interessato..." , io effettuerei una "comunicazione" anche con il semplice deposito di un ricorso presso la Magistratura del Lavoro, come nell’esempio che ho appena menzionato. Sarei soggetto alla sanzione ex art. 35, comma 2° (comunicazione e diffusione dei dati) soltanto perché con la proposizione del ricorso potrei "...trarre per sé profitto...": attenzione, in questa norma non si parla di "ingiusto profitto", ma solo di profitto !

Ritengo che non sia il caso di commentare ulteriormente la norma: è del tutto evidente come occorra (anche in questo caso con intervento legislativo, e non da parte del solo Garante) una sostanziale modifica e/o revisione della materia, pena la completa paralisi di ogni attività.

Punto sesto: La normativa si applica quindi anche alle associazioni sindacali: io, titolare del trattamento dei dati di un qualsiasi sindacato, che detengo i nominativi dei miei iscritti nel computer al fine di sapere quali siano gli iscritti al sindacato e per altre finalità istituzionali del sindacato stesso (al quale, naturalmente, gli iscritti hanno aderito volontariamente) devo richiedere l’autorizzazione scritta agli stessi iscritti per il trattamento dei loro dati, nonché richiedere anche in questo caso l’autorizzazione al Garante. Se non mi viene concessa, stessa trafila di cui sopra, per tutti gli iscritti al sindacato.

Potrei capire la necessità di autorizzazione per il trasferimento dei dati all’esterno (ed anche in questo caso mi sembrerebbe comunque eccessiva) ma per trattare i dati all’interno dell’organizzazione mi sembra davvero una norma da KGB, e non dico altro!

Punto settimo: comma 4° art. 22: i dati relativi alla salute ed alla vita sessuale dell’individuo possono essere trattati (sempre previa autorizzazione del Garante) qualora il trattamento sia necessario alle investigazioni di cui all’art. 38 delle norme di attuazione del codice di procedura penale e "...o, comunque, per far valere o difendere in sede giudiziaria un diritto di rango pari a quello dell’interessato, sempre che i dati siano trattati esclusivamente per tale finalità...".

Anche in questo caso, la definizione di "diritto di rango pari a quello dell’interessato" appare del tutto vaga ed indefinita; come nel caso dei dati pubblici, non sarebbe stato il caso che lo stesso Legislatore avesse fornito una definizione generale e precisa di tale concetto; è del tutto evidente che la rimessione dell’individuazione di tale concetto al solo interprete, sia esso giudice, studioso e/o avvocato, pone dei seri problemi di costituzionalità e di vera e propria interpretazione.

Infatti, quali sono i diritti di pari rango ? La nostra Costituzione individua certamente dei diritti c.d. "fondamentali" e quindi, per così dire, "prioritari" rispetto ad altri, quali ad esempio il diritto alla salute, il diritto alla difesa, il diritto ad esprimere le proprie opinioni: ma a questo punto si innesta una tautologia dalla quale non si esce. Infatti se il diritto di pari rango è quello alla difesa, appare evidente come in tal modo si possa tranquillamente eludere il disposto della Legge 675/96: se agisco per difendermi in sede giudiziaria, posso tranquillamente "trattare" i dati, senza incorrere in alcuna sanzione.

Ma questo punto si ritorna a quanto già scritto in precedenza: occorre una chiara ed univoca previsione NORMATIVA sul punto, pena la più completa confusione e/o discordanza nell’applicazione della Legge, con tutte le conseguenze del caso.

4. ART. 12: CASI DI ESCLUSIONE DEL CONSENSO IN RELAZIONE - ART. 13 DIRITTI DELL’INTERESSATO - ART. 11 CONSENSO

L’articolo sopra specificato elenca dei casi in cui la richiesta di consenso al "trattamento" dei dati è esclusa; per esempio (lettera [c]) la necessità del consenso è esclusa quando i dati provengano da "...pubblici registri, elenchi, atti o documenti conoscibili da chiunque...".

Anche in questo caso il legislatore ha omesso di fornire, nella Legge, una definizione chiara ed univoca di dato pubblico (perché in realtà di questo si tratta); occorrerà pertanto fare riferimento alla nozione di dato pubblico sinora elaborata dalla giurisprudenza ed eventualmente dalla dottrina.

Ma non sarebbe stato il caso, trattandosi di una legge-quadro relativamente alle questioni regolamentate, definire chiaramente cosa può essere considerato come dato pubblico e cosa non può essere considerato tale ?

E poi, cosa vuol dire, giuridicamente, "...conoscibile da chiunque.." ? Probabilmente che il dato è conoscibile attraverso l’ordinaria diligenza da qualsiasi cittadino. Un esempio per tutti: le sentenze sono sempre state considerate come pubbliche; orbene, nelle sentenze sono indicati numerosi dati concernenti le parti del giudizio, oltre ad altri dati che potrebbero tranquillamente ricadere nella sfera dei dati c.d. "sensibili". Che cosa succederà, ovvero che cosa potrebbe succedere? E gli Albi Professionali ? Contengono dati pubblici oppure no ?

In linea di massima direi proprio di sì, perchè dovrebbe essere un sacrosanto diritto del cittadino sapere se il soggetto al quale si rivolge per ottenere una prestazione per cui è necessaria l’iscrizione ad un apposito albo professionale sia iscritto o meno a tale albo; con comunicato stampa del 01.07.97 il Garante ha chiarito che gli Albi dei Medici sono da considerarsi pubblici, ma è stata necessaria una richiesta specifica in tal senso da parte degli Ordini dei Medici.

Art.13, numero (4): l’interessato può richiedere dal titolare l’indicazione dei soggetti ai quali tali dati sono stati comunicati o diffusi, "....eccettuato il caso in cui tale adempimento si riveli impossibile o comporti un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato...".

Come è possibile stabilire questo criterio di proporzione, laddove la Legge stessa ha accuratamente omesso di indicare una via da percorrere per integrare tale concetto ? Appare del tutto chiaro come il criterio di proporzionalità, in diritto, debba essere attentamente e concettualmente chiarito, pena la più completa discrezionalità nell’applicazione della Legge, circostanza che, tra l’altro, credo andrebbe contro gli stessi princìpi ispiratori della Legge stessa.

Anche nell’art. 10, comma 3°, si parla di "manifesta sproporzione" tra diritto tutelato e realizzazione della tutela, a proposito dell’informativa da rendere all’interessato, e quindi anche in questo caso valgono le considerazioni appena effettuate.

Art.11, comma 3°: "..il consenso è validamente prestato solo se è espresso liberamente....": anche in questo caso, cosa vuol dire "liberamente" ? Appare del tutto ovvio che un consenso estorto, secondo i princìpi generali del diritto, sarebbe viziato sin dall’origine, ed annullabile secondo i generali rimedi giurisdizionali. Pertanto, per quale motivo il Legislatore ha voluto aggiungere l’avverbio in questione ? O si deve ritenere che esso sia del tutto pleonastico, oppure si deve ritenere che il Legislatore abbia voluto ancor di più rafforzare la tutela dei soggetti c.d. "deboli", intendendo quindi che il consenso non debba in nessun modo essere legato ad una "minaccia" effettuata da parte di un contraente più forte, simile a quella garantita dagli artt. 1469 e segg. C.C. che hanno notevolmente ampliato il campo di applicazione delle clausole c.d. "vessatorie".

Il Garante, nella sua prima decisione (BNL) sembra orientato su questa seconda impostazione; ma era proprio così difficile definire nella Legge cosa si intendesse per "consenso liberamente prestato" ?

Si torna sempre al problema di non chiarezza della Legge n.675/96: se si tratta di una legge-quadro, perché la Legge stessa non ha posto delle chiare definizioni di concetti che altrimenti risultano del tutto vaghi ed indefiniti ?

5. ART.28: TRASFERIMENTO DI DATI PERSONALI ALL’ESTERO

Anche qui si rasenta la "paranoia", specialmente se si pensa che questo articolo si applica anche ai dati ad uso personale: anche in questo caso si applica la trafila di cui si è fatto cenno in precedenza al n.4, punto quinto. Se decido di andare all’estero con il mio GSM, nel quale siano memorizzati dei numeri di telefono di altri "cellulari" [e, quindi, numeri di telefono non liberamente accessibili da chiunque] devo - di fatto - notificare al Garante questa mia intenzione, ed attendere il suo benestare.

D’altra parte, non mi sembra sia possibile intravedere altra possibilità di "trasferimento, anche temporaneo" dei dati personali all’estero: ed infatti, se il trasferimento si effettua portando fisicamente i supporti sui quali sono memorizzati i dati all’estero, si potrebbe ancora ipotizzare un trasferimento temporaneo, nel senso che tali supporti (ma non necessariamente anche i dati) potrebbero in seguito tornare in Italia, ma se si pensa al trasferimento dei dati all’estero attraverso le reti geografiche, ed in particolare attraverso la rete delle reti, e cioè Internet, questo è un concetto in partenza errato, in quanto - per la natura stessa della rete, come altri hanno autorevolmente chiarito - nel momento in cui un documento ed i dati in esso contenuti sono disponibili sulla Rete questi sono disponibili (e quindi "trattati") in tutto il mondo, in contemporanea.

Viene quindi a cadere il concetto stesso di trasferimento temporaneo: una volta avvenuto, il trasferimento è fatto storico, puntuale, nel senso che non è più possibile tornare indietro.

D’accordo nella tutela del trasferimento dei dati all’estero, ma torno a ripetere: non sarebbe stato il caso di prevedere sin dall’inizio delle categorie esentate dal rispetto di tali norme, o quantomeno stabilire dei criteri per individuare tali categorie, e non rimettersi a regolamenti e/o leggi future ?

6. CONSIDERAZIONI GENERALI

In linea generale, per concludere, troppe indicazioni sono rimesse ad altre norme, ancora da emanare, di diverso livello; infatti alcune di queste norme dovranno essere emanate dal Governo su delega del Parlamento, altre dallo stesso Garante, altre ancora da altre Autorità della Pubblica Amministrazione, ed infine alcune norme dovranno essere emanate dalle singole categorie professionali: non vi è che dire, si tratta della solita mancanza di chiarezza ed organicità della recente legislazione italiana.

Per usare una terminologia più strettamente giuridica, si potrebbe dire che il sinallagma (cioè la proporzione) tra condotta e relativa sanzione viene completamente a mancare: se fosse un contratto, vi sarebbe almeno la possibilità di ricondurlo ad "equità", mentre, trattandosi di una legge, questo sinallagma risulta essere del tutto spropositato, almeno sino a quando non interverrà la Corte Costituzionale.

Soprattutto, non viene assolutamente rispettato un principio fondamentale di "buon senso", prima che di buona tecnica legislativa: la proporzionalità tra ciò che si vuole tutelare, l'eventuale condotta omissiva e la relativa sanzione.

Non è possibile, infatti trattare allo stesso modo realtà diverse, violando così il principio fondamentale e costituzionale di uguaglianza di fronte alla legge: per fare un esempio, non può essere sottoposto allo stesso trattamento l'elenco dei laureandi detenuto dal relatore ed il "curriculum" del singolo studente, nel quale siano contenuti tutti i dati relativi agli esami sostenuti.

E' appena il caso di notare come il primo archivio sia comunque una estrapolazione del secondo; allo stato attuale della legge, tutti gli obblighi, ivi compresi quelli concernenti la sicurezza e la notificazione sono esattamente gli stessi, e non vi è chi non possa vedere come tale circostanza sia contraria ad ogni più elementare norma di buon senso.

Insomma, nella prima fase di applicazione della legge, occorrerà sicuramente tanto buon senso, in particolare da parte di chi dovrà giudicare le eventuali inottemperanze alla stessa, pena la completa paralisi non solo di Internet e di tutte le attività ad essa connesse e comunque collegate, ma anche di ogni altra attività, sia essa di carattere commerciale, industriale e/o del settore c.d. dei servizi, ivi compresi quelli resi dai professionisti intellettuali.

Certo, ogni cosa potrebbe andare al sposto giusto se le norme che devono essere ancora emanate, nonché quelle richiamate in precedenza come collegate alla legge n.675/96, saranno emanate nei tempi previsti e conterranno le richieste e doverose puntualizzazioni delle quali si è scritto sinora, se il c.d. "Decreto Bassanini" sarà finalmente completato con il regolamento di attuazione.

Ma cosa accadrà se - al contrario - "il legislatore" sarà latitante, come spesso è stato (come peraltro insegna la comune esperienza, ed in particolare quella di chi quotidianamente ha a che fare con la Giustizia) o, peggio, continuerà a sfornare norme che andranno ad aumentare il contenuto burocratico della legge, senza tenere conto della realtà economica del paese ?

I "cittadini telematici" non possono fare altro che augurarsi che le previsioni sopra descritte non si avverino; in caso contrario, il pur lento processo di "alfabetizzazione informatica" del Paese andrebbe sicuramente all'aria, con tutte le conseguenze che sono state ricordate.

Spero tanto di non dover ricoprire il ruolo di "uccello del malaugurio".

(28.07.97)

INTERVENTI E REPLICHE - HOME PAGE