Quando si parla di privacy ci si riferisce al diritto alla riservatezza delle informazioni personali e della propria vita privata. Nella sua essenza la privacy è la capacità di impedire che le informazioni riguardanti la sfera personale di un individuo siano divulgate in assenza dell´autorizzazione dell´individuo medesimo, in altre parole è il diritto alla non intromissione nella sfera privata da parte di terzi, strumento di salvaguardia e tutela della sfera privata dell´individuo. L´istituto nasce come diritto "a essere lasciato solo" (to be let alone) negli Stati Uniti nel 1890, viene elaborato nel nostro paese negli anni ´60-´70 come generico diritto alla libera determinazione nello svolgimento della propria personalità. Quindi, questo diritto assicura il controllo dell´individuo sulle informazioni che lo riguardano, fornendogli nel contempo gli strumenti per la tutela di queste informazioni e dei dati riguardanti la sua vita privata.
Oggi si parla di privacy non più nel senso di protezione dei nostri dati personali, ma anche quale diritto che ciascuno possa esprimere liberamente le proprie aspirazioni più profonde e realizzarle attingendo liberamente alla proprie potenzialità, quindi è anche l´autodeterminazione e la sovranità su se stessi, riconoscersi parte attiva, e non più passiva, in un rapporto con le istituzioni, nel rispetto reciproco delle libertà.
Già la Convenzione europea dei diritti dell'uomo conteneva riferimenti alla privacy, stabilendo che non può esservi ingerenza di una autorità pubblica nell'esercizio del diritto alla propria libertà individuale, a meno che tale ingerenza sia prevista dalla legge e costituisca una misura che, in una società democratica, è necessaria per la sicurezza nazionale, per la pubblica sicurezza, per il benessere economico del paese, per la difesa dell'ordine e per la prevenzione dei reati, per la protezione della salute o della morale, o per la protezione dei diritti e delle libertà altrui. Tale concetto è stato poi riportato in accordi internazionali, come quelli di Schengen, e nella Carta dei diritti fondamentali dell'Unione europea: "Ogni individuo ha diritto alla protezione dei dati di carattere personale che lo riguardano. Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni individuo ha il diritto di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica. Il rispetto di tali regole è soggetto al controllo di un'autorità indipendente".
Le fonti comunitarie rilevanti sono contenute nella Direttiva del Parlamento europeo e del Consiglio del 24 Ottobre 1995, contrassegnata dalla sigla 95/46/CE, pubblicata nella GUCE L 281 del 23.11.1995 (p.31).
Per quanto riguarda la legislazione italiana, i fondamenti costituzionali sono ravvisabili negli artt. 14, 15 e 21 Cost., rispettivamente riguardanti il domicilio, la libertà e segretezza della corrispondenza, e la libertà di manifestazione del pensiero; ma si può fare anche riferimento all'art. 2 Cost., incorporando la riservatezza nei diritti inviolabili dell'uomo. Prima della Legge sulla privacy, la fonte di diritto principale in materia era costituita dalla sentenza n. 4487 del 1956 della Corte di Cassazione con la quale si identifica tale diritto nella tutela di quelle situazioni e vicende strettamente personali e familiari, le quali, anche se verificatesi fuori dal domicilio domestico, non hanno per i terzi un interesse socialmente apprezzabile. Questa affermazione poi è divenuta fondamentale per il bilanciamento col diritto di cronaca. La linea di demarcazione tra il diritto alla riservatezza e il diritto all'informazione di terzi è data dalla popolarità del soggetto, pur precisando che anche soggetti famosi conservano tale diritto limitatamente a fatti che non hanno niente a che vedere con i motivi della propria popolarità.
Attualmente è in vigore il Codice in materia di protezione dei dati personali, anche detto codice per la privacy, cioè il Decreto legislativo 30 giugno 2003, n. 196 . Il codice dedica la prima parte al principi generali, dettando le definizioni di dato personale e di trattamento. Esso si applica, ovviamente, alla raccolte di dati non detenute per fini personali (come può essere una rubrica telefonica di un privato), e ai trattamenti effettuati nel territorio italiano, ma anche ai trattamenti effettuati da chi si trova al di fuori del territorio italiano, ma impiega per il trattamento strumenti situati nel territorio italiano. Il trattamento deve essere inteso come una qualsiasi operazione, anche svolta senza mezzi elettronici, di raccolta, consultazione, elaborazione, conservazione, organizzazione, modificazione, raffronto, utilizzo, comunicazione, diffusione, cancellazione, distruzione dei dati.
Nell´ambito del trattamento dei dati si individuano quattro soggetti: - titolare, la persona fisica, giuridica o amministrazione, cui competono le decisioni in merito alle finalità e alle modalità del trattamento dei dati personali; in particolare ha l´obbligo di notificazione all'autorità garante per la privacy (obbligo che sussiste nei soli casi in cui il trattamento sia in grado di recare pregiudizio ai diritti e alle libertà dell´interessato), consentendogli un controllo sul trattamento, e l´obbligo di informativa all´interessato (l´informativa è sempre dovuta anche quando il consenso dell´interessato non è richiesto, o quando quest´ultimo sia tenuto a fornire necessariamente i propri dati in base ad un obbligo di legge); il titolare deve, inoltre, predisporre le misure di sicurezza per evitare una perdita o distruzione dei dati, ma anche per evitare il furto dei medesimi, nel caso l´´interessato subisca un danno il titolare è responsabile civilmente; - responsabile, la persona fisica, giuridica o amministrazione, preposta al trattamento; - incaricato, la persona fisica autorizzata dal titolare o dal responsabile a compiere il trattamento; - interessato, la persona fisica, giuridica o amministrazione, cui si riferiscono i dati stessi. Nel caso in cui il trattamento avvenga da parte di chi è al di fuori del territorio italiano ma usa strumenti situati nel territorio italiano, questi deve designare il rappresentante nel territorio italiano.
I dati personali si dividono in quattro categorie: - dati sensibili: quelli idonei a rivelare "l'origine razziale o etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale" di una persona; - dati semisensibili; - dati comuni: sono tutte quelle informazioni, come nome, cognome, partita I.V.A., codice fiscale, indirizzo, numeri di telefono, numero patente, che consentono di individuare una persona fisica o giuridica, sia essa anche un ente od associazione; - dati giudiziari: sono quelle informazioni idonee a rivelare provvedimenti in materia di casellario giudiziale, anagrafe delle sanzioni amministrative dipendenti da reati o carichi pendenti.
Per i dati sensibili esistono doveri particolari in capo al titolare del trattamento, infatti occorre il consenso scritto al trattamento, nonché l´autorizzazione del Garante, da richiedersi preventivamente. Il consenso non è necessario, per cui è sufficiente l´autorizzazione del Garante, se il trattamento è effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale, compresi partiti e movimenti politici, purché sia per il perseguimento di scopi determinati nell´atto costitutivo. È sufficiente l´autorizzazione del Garante anche se il trattamento è necessario per la salvaguardia della vita p dell´incolumità fisica di un terzo, oppure se è necessario per lo svolgimento di investigazioni difensive o per far valere un diritto in giudizio, o per adempiere a specifici obblighi previsti dalla legge, da un regolamento e dalla normativa comunitaria per la gestione del rapporto di lavoro.
Nei casi in cui la legge prevede l´obbligo di informativa, essa deve avere il seguente contenuto: - finalità e modalità del trattamento, con specifica indicazione di cosa si farà con i dati trattati; - la natura obbligatoria o facoltativa del conferimento dei dati, cioè se il soggetto interessato possa o meno rifiutarsi di fornire i dati che lo riguardano e la conseguenza in caso di mancata fornitura dei dati; -i soggetti e le categorie di soggetti ai quali i dati possono essere comunicati e l´ambito di diffusione dei dati medesimi; - i diritti (diritto di chiedere se dati personali sono presenti nella banca dati, diritto di prenderne visione e di chiederne la modifica) di cui all´art. 7 Decreto legislativo 30 giugno 2003, n. 196, che offrono al soggetto interessato una tutela alla propria riservatezza; - i dati identificativi (nome, denominazione o ragione sociale, domicilio o sede del rappresentante del titolare e di un responsabile.
L´informativa e la richiesta di consenso da presentare al soggetto cui i dati si riferiscono devono essere strutturati in modo da offrire una adeguata tutela all´interessato. Inoltre devono essere previsti anche adeguati accorgimenti tecnici, le misure di sicurezza, che devono ridurre al minimo il rischio di perdita dei dati trattati per distruzione o per sottrazione. Esiste un livello di sicurezza minimo imposto dalla legge, la cui mancata adozione comporta sanzioni penali. Ovviamente nel caso, nonostante le misure di sicurezza minime, si realizzi una perdita di dati, è possibile per l´interessato chiedere il risarcimento del danno al titolare del trattamento, purché dimostri l´esistenza di un danno. In questo caso spetta al titolare del trattamento dimostrare di aver adottato le misure di sicurezza adeguate (quindi non sono sufficienti le minime) al caso.
Misure di sicurezza in caso di dati comuni e sensibili trattati con archivi cartacei: - individuazione per iscritto degli incaricati del trattamento; - selezione del´accesso ai dati strettamente necessari; - restituzione di atti e documenti al termine del trattamento; - utilizzo di armadi con serrature; - obbligo di identificazione e registrazione degli incaricati che hanno accesso all´archivio dopo l´orario di chiusura.
Misure di sicurezza in caso di dati comuni e sensibili trattati con archivi elettronici (connessi ad internet): - individuazione per iscritto degli incaricati del trattamento; - nomina del responsabile delle password di accesso; - assegnazione di una password di accesso a ciascun incaricato (con possibilità di modificarla); ù - assegnazione di un codice univoco per ognun incaricato al fine di identificare gli accessi; - adozione di software di protezione; - autorizzazione del singolo incaricato al trattamento e alla modifica dei dati; - adozione di un documento di programmazione annuale sulle misure di sicurezza e sulla formazione degli incaricati del trattamento.
La legge offre all´interessato degli specifici strumenti per la tutela dei suoi diritti. Tali diritti possono essere esercitati personalmente o a mezzo di delegato. I diritti sono i seguenti:
- diritto di esprimere il consenso al trattamento dei dati; - diritto ad essere informato sull´identità del titolare del trattamento e del responsabile del trattamento dei dati, nonché sulle modalità e finalità del trattamento; - diritto ad ottenere informazioni e modifiche sui dati, in particolare: conferma dell´esistenza di dati che lo riguardano, comunicazione degli stessi, della loro origine e della finalità del loro trattamento, cancellazione o trasformazione n forma anonima o blocco dei dati trattati illegittimamente, aggiornamento, rettifica e integrazione dei dati; - diritto al risarcimento del danno in caso di trattamento illecito; - diritto ad opporsi al trattamento anche se conforme alla finalità dichiarate; - diritto ad opporsi al trattamento dei dati personali effettuato per finalità commerciali, pubblicitarie, di vendita o ricerca di mercato; - diritto ad opporsi al trattamento dei dati personali volto a delineare il profilo o la personalità dell´interessato, salvo le eccezioni di legge.
Nel caso in cui l´interessato chieda informazioni sull´esistenza di dati che lo riguardano, il titolare del trattamento, o il responsabile per lui, ha il diritto di chiedere all´interessato di identificarsi, esibendo od allegando copia di un documento di riconoscimento. In assenza di identificazione il titolare può legittimamente rifiutare la richiesta avanzata, opponendo la mancata identificazione. In caso di corretta identificazione, invece, il titolare è obbligato a comunicare tutti i dati personali riguardanti il soggetto e contenuti nella banca dati. Nel caso in cui non vi siano dati del richiedenti, è possibile chiedere un contributo spese per la ricerca e la comunicazione negativa. Tale contributo non può essere chiesto in presenza di dati inerenti il titolare. Se l´interessato chiede la cancellazione, l´aggiornamento o la rettifica di dati, il titolare è obbligato a comunicare l´avvenuta operazione.
Sono previste alcune deroghe, in base alle quali i diritti dell´interessato non sono esercitabili in relazione ad operazioni di trattamento esplicate in ottemperanza alla normativa antiriciclaggio, trattamenti per ragioni di giustizia, per investigazioni difensive o per far valere un diritto in sede giudiziaria, trattamenti effettuati dalla forze di Polizia.
L´organo preposto al controllo relativo alla corretta applicazione della normativa in materia di privacy, è il Garante per la protezione dei dati personali, organo collegiale, i cui membri sono nominati dal Parlamento, e autonomo, che opera un controllo preventivo e successivo sulle attività di trattamento di dati personali svolte in Italia. Il Garante ha poteri istruttori, consultivi e sanzionatori, e costituisce il primo grado per il ricorso amministrativo contro eventuali violazioni della normativa. Il Garante istituisce e mantiene il registro dei trattamenti per la pubblica consultazione, controlla se i trattamenti sono effettuati a norma di legge, segnala le modifiche da apportare ai trattamenti, riceve i reclami degli interessati, denuncia i reati perseguibili d´ufficio di cui viene a conoscenza, vieta i trattamenti illeciti o ne dispone il blocco, in via provvisoria, segnala al Parlamento l´opportunità di modifiche normative, esprime pareri in materia di privacy.
Il Garante può chiedere al responsabile e al titolare del trattamento, all´interessato o anche a terzi, informazioni e documentazione, può disporre accessi alle banche dati e ispezioni nei luoghi dove si svolge il trattamento. Per esercitare i suoi poteri si può avvalere della collaborazione di altri organi dello Stato. Ha inoltre il potere di integrare la normativa in materia di riservatezza, quasi avesse una funzione legislativa, come previsto dall´art. 24 lettera G, che da la facoltà al Garante di individuare casi nei quali si esclude la necessità del consenso al trattamento, o le misure a garanzia dell´interessato. Infine, il Garante irroga direttamente le sanzioni previste dal Codice per la privacy, sia amministrative che penali. L´art. 15 del Codice prevede l´obbligo di risarcire i danni derivanti dall´illecito trattamento. Il richiamo all´art. 2050 c.c. fa sì che dovrà essere il titolare a dimostrare, in caso di danno, di aver adottato tutte le misure idonee a evitare il danno stesso, e non solo le misure minime previste dalla legge. In sostanza si considera il trattamento dei dati personali come un´attività pericolosa, elevando così il livello di responsabilità, per cui il risarcimento spetterà per il solo fatto di aver subito un danno, a prescindere dalla volontarietà del comportamento illecito. Per andare esente da responsabilità il titolare del trattamento dovrà, quindi, dimostrare che il danno si è verificato per caso fortuito o forza maggiore. Gli illeciti amministrativi riguardano l´omessa o inidonea informativa all´interessato, la cessione dei dati in violazione delle norme, l´omessa o incompleta notificazione, l´omessa informazione o esibizione di documenti richiesti al Garante. Gli illeciti penali sono previsti dagli artt. da 167 a 172 del codice. Abbiamo all´art. 167 il trattamento illecito di dati personali, cioè il trattamento effettuato non rispettando le disposizioni del codice, prevedendo degli aggravamenti di pena nel caso in cui si tragga un profitto dal trattamento illecito oppure si causi un danno. L´art. 169 prevede l´omessa adozione di misure necessarie alla sicurezza dei dati, contravvenzione che prevede anche la possibilità di regolarizzare il trattamento nel termine di sei mesi, nel qual caso l´ammenda è diminuita. L´art. 170 punisce l´inosservanza dei provvedimento del Garante, l´articolo 168 punisce la falsità nelle dichiarazioni e nelle notificazioni al Garante.
La privacy, intesa nel modo sopra descritto, trova una sua limitazione nel rapporto col diritto di cronaca, il diritto all´informazione costituzionalmente garantito, e si è posto il problema di stabilire il corretto compromesso tra i due interessi. Il diritto all´informazione non deve essere inteso soltanto come diritto ad informare, quindi come diritto di cronaca, ma anche come diritto alla manifestazione del pensiero che riguarda non solo i giornalisti, ma anche e soprattutto tutti i soggetti privati, tutti i cittadini. Il bilanciamento tra i due interessi, come sancisce il Codice in materia di protezione dei dati personali, si realizza attraverso la previsione che il soggetto interessato presti il proprio consenso esplicito al trattamento dei dati che lo riguardano, mantenendo così il controllo su tali informazioni. Tale consenso, in particolare, è anche revocabile.
La Carta dei doveri del giornalista, approvata nel 1993, afferma che i diritti della persona devono esser tutelati e non violati, in particolare si possono pubblicare notizie sulla vita privata delle persone, ed in particolare la protezione riguarda minori e soggetti deboli. Si sottolinea, quindi, l'obbligo di tutelare l'anonimato del minore e l'impegno ad evitare la presenza di minori in trasmissioni televisive che possano ledere la sua personalità. Viene poi stabilito il divieto di rendere identificabili tre tipologie di soggetti: - le vittime di violenze sessuali; - i membri delle forze di pubblica sicurezza e dell'autorità giudiziaria; - i congiunti di persone coinvolte in fatti di cronaca. La normativa attuale vieta il trattamento in ambito giornalistico di dati idonei a rivelare lo stato di salute e la vita sessuale dei cittadini, quindi. Esiste inoltre il diritto alla riservatezza sulle origini etniche, il pensiero politico, le convinzioni religiose, il diritto alla dignità degli imputati nei processi e dei malati. Quindi, una notizia può essere divulgata, anche in maniera dettagliata, se è indispensabile in ragione dell'originalità del fatto, della relativa descrizione dei modi particolari in cui è avvenuto, nonché della qualificazione dei protagonisti. In particolare, nel caso dei dati sensibili si prevede che il giornalista possa prescindere dal consenso dell'interessato, rispettare tuttavia il limite dell'essenzialità dell'informazione, oltre a quello della rilevanza del dato per il caso trattato nell'articolo.
Il problema di garantire la privacy si pone in maniera pressante in internet, dove la diffusione dei dati è facile e veloce. Inoltre, tale problema è strettamente legato al tema della sicurezza informatica, visto che spesso si verificano furti di dati attraverso la rete. Una delle piaghe più dannose è appunto lo spyware che, installandosi spesso in maniera fraudolenta nel personal computer delle vittime, provvede a copiare ed inviare dati personali (pagine visitate, account di posta, gusti ecc) ad aziende che successivamente li rielaboreranno e rivenderanno per i loro fini economici. Ovviamente la miglior difesa in questo caso è usare il buon senso e programmi adeguati per la sicurezza, come antivirus, firewall, ecc...
Dal punto di vista giuridico si è, infatti, sentita l´esigenza di ampliare il vecchio ordinamento giuridico e, di conseguenza, anche la normativa relativa al concetto di privacy che, fino a non molti anni fa, si occupava esclusivamente della tradizionale corrispondenza e della comunicazione telegrafica e telefonica.
Oggi vi sono vari reati penalmente punibili in questo campo:
- violazione, sottrazione e soppressione di corrispondenza informatica; - rivelazione del contenuto di corrispondenza telematica; - di comunicazioni informatiche o telematiche; - installazioni abusive di apparecchiature per le intercettazioni informatiche; - falsificazione, alterazione e sottrazione di comunicazioni informatiche; - rilevazione del contenuto di documenti informatici segreti; - accesso non autorizzato ad un sito; - lo spionaggio informatico.
Certamente molto importante è stata l´introduzione del reato di frode informatica, sancito dall´art. 640 ter c.p. secondo cui: "chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a se o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da euro 516 a euro 1032. La pena è della reclusione da uno a cinque anni e della multa da euro 309 a euro 1549 se ricorre una delle circostanze previste dal n.1 del secondo comma dell´art. 640 ovvero se il fatto è commesso con abuso della qualità di operatore del sistema. [...]".
Ovviamente le norme per il trattamento dei dati personali nell´ambito della rete sono date dal Codice per la protezione dei dati personali. Ma in questo campo sorgono problemi anche in relazione alle legislazioni estere, poiché internet è ovviamente un mezzo transnazionale, quindi una violazione commessa in rete produce effetti in molti paesi contemporaneamente. Il processo di regolamentazione della rete è quindi agli inizi, sicuramente tutt´ora in crescita.
Il diritto di difesa, essendo un diritto di rango costituzionale (art. 24 Cost.), prevale sul diritto alla privacy. Non può, inoltre, essere sottoposto a limitazioni, essendo posto nell´interesse pubblico, e la scelta dei modi attraverso i quali viene esercitato, spetta al titolare del diritto, che lo esplica come necessario presupposto della difesa. L´utilizzo di dati personali è quindi sempre ammesso in sede giudiziaria.
Si è però precisato che il diritto alla privacy è sovraordinato al diritto d´autore, e quindi una major non può controllare i dati dei cittadini, cosa che può fare solo lo Stato. In sostanza si asserisce che l´art. 156 bis della legge 633 del 1941 determina la prevalenza delle norme a tutela della riservatezza e segretezza delle comunicazioni sulle norme a protezione della proprietà intellettuale. Le eccezioni al divieto di trattamento dei dati sono ristretta ad ipotesi ben specifiche e dettagliate. Per cui una azienda privata non può ricercare da sé i dati degli utenti che violino la normativa sul diritto d´autore, essendo tale attività in violazione della normativa sulla privacy. Ovviamente tale tipo di attività deve essere demandata esclusivamente all´autorità giudiziaria. L´art. 24 del codice della privacy, infatti, consente l´uso di dati personali per far valere un diritto in giudizio, ma la norma prevede che il dato sia già in possesso della parte, non che essa debba cercarla.
L´art. 130 del codice in materia di protezione dei dati personali richiede il consenso dell´interessato per poter inviare materiale pubblicitario, consenso che deve essere preventivo. Quindi il primo messaggio deve essere destinato alla sola richiesta del consenso, e non può mai contenere esso stesso pubblicità. Il consenso deve essere documentato per iscritto. È però ammesso il cosiddetto soft spam, cioè l´invio di materiale pubblicitario se rientrante in un rapporto con il cliente preesistente alla comunicazione, purché si tratti di servizi analoghi a quelli oggetto della vendita. In tal caso non è necessario il preventivo consenso, ma è obbligatorio prevedere la possibilità per il destinatario del messaggio commerciale di opporsi in maniera agevole e gratuita all´invio di ulteriori comunicazioni.
--Bsaett 15:27, Giu 3, 2008 (CEST)