1. Introduzione: amministrazione digitale e cittadino digitale

A quali esigenze risponde l’emanazione del Codice sull’amministrazione digitale, emanato con il d.lgs. 7 marzo 2005, n.82? Un esempio può chiarirlo meglio delle dichiarazioni di intenti del legislatore. Un cittadino, dovendo procurarsi la copia conforme di atti riguardanti la sua abitazione, si reca all’ufficio competente dell’amministrazione comunale della sua città. Il Comune è di medio-grandi dimensioni, generalmente apprezzato per la sua organizzazione, e si trova in una Regione tra le più attive sotto il profilo della digitalizzazione della pubblica amministrazione. Nell’atrio dell’ufficio prende un numero salva-code (o meglio, organizza-code), come quelli che prende al supermercato, per il banco dei salumi. Ha 37 persone davanti. Dopo quasi due ore, ha 20 persone davanti. Non potendo aspettare oltre, chiede un consiglio su come ridurre i tempi di attesa. Il consiglio è di arrivare all’ufficio prima dell’apertura. Il giorno dopo arriva mezz’ora prima dell’orario di apertura dell’ufficio. Ci sono due persone davanti a lui, e scrive il suo nome in un foglio a quadretti, che gli conferisce un ufficioso terzo posto nella lista d’attesa fai-da-te. Entra nell’ufficio un quarto d’ora dopo l’apertura, pertanto dopo tre quarti d’ora di attesa. L’addetto all’ufficio riceve il modulo di richiesta e gli dice che le copie conformi saranno pronte in una settimana o forse dieci giorni (il tempo che serve per reperire il documento, e per la trasmissione da un ufficio all’altro), e che sarà avvertito telefonicamente. Si sposta in un altro ufficio per il pagamento dei diritti di segreteria, dopo una breve fila e una breve attesa. Una settimana dopo, ricevuta la telefonata, si reca a ritirare i documenti presso una copisteria convenzionata, nella quale può fare le copie dei documenti.
Il Codice sull’amministrazione digitale dovrebbe evitare che questo possa accadere ancora a lungo. Il cittadino potrà richiedere i documenti per posta elettronica e riceverli, in formato digitale, per posta elettronica, o reperirli direttamente in un archivio accessibile dalla rete, eventualmente previa verifica dell’identità. Ogni ufficio dell’amministrazione potrà recuperare, in formato digitale, i documenti richiesti anche se in possesso, nella loro materialità, di altra amministrazione. Ne conseguiranno risparmi di tempo, per l’amministrazione e per il cittadino, e risparmi di spese, per l’amministrazione e per il cittadino.
Dall’esempio risulta evidente come le valutazioni sull’efficacia delle scelte normative effettuate nel Codice sull’amministrazione digitale (per comodità, d’ora in poi, Codice, anche se tale dizione è, come vedremo, fuorviante) sono condizionate dalla prospettiva che si adotta. Dal punto di vista dell’amministrazione, il Codice rappresenta l’esigenza di una necessaria trasformazione relativa ad organizzazione ed attività, applicando le tecnologie dell’informazione e della comunicazione.
Gli obiettivi non sono diversi da quelli che periodicamente compaiono nei processi di riforma dell’amministrazione, a partire dalla legge 7 agosto 1990, n.241 (e dalle sue successive modificazioni e integrazioni, da ultimo la legge 11 febbraio 2005, n.15, ed il d.l. 14 marzo 2005, n.35, convertito con la legge 14 maggio 2005, n.80): semplificazione, speditezza, efficienza, efficacia ed economicità, partecipazione, trasparenza. In altre parole, riduzione dei tempi e riduzione dei costi dell’attività amministrativa, tenendo presente le esigenze del cittadino.
Il cittadino, d’altra parte, può preoccuparsi della correttezza dell’azione amministrativa, ma avrà come aspettative principali ed immediate la riduzione dei “suoi” tempi e dei “suoi” costi, quando ha a che fare con la pubblica amministrazione. Il cittadino si aspetterà di non fare file, o di farle più corte, di spostarsi meno per ottenere documenti e certificati, o per presentare istanze e dichiarazioni, o comunque per interagire con la pubblica amministrazione, e di essere soggetto alla richiesta di un minor numero di adempimenti. Il cittadino digitale si attende, in sostanza, un miglioramento della propria qualità della vita “burocratica”, senza che questo comporti un aggravio di costi.
Che la digitalizzazione della pubblica amministrazione porti con sé aspettative legate soprattutto al “tempo” (più che allo spazio) non sorprende. Basti pensare al passaggio tra fax e posta elettronica, considerando ad esempio i tempi necessari, nei due casi, a spedire a 20 persone un documento di 30 pagine. Oppure al tempo necessario a fotocopiare un volume di un migliaio di pagine ed a quello necessario a copiare il file corrispondente. Ore contro secondi. In questo senso, una novità sostanziale della “rivoluzione digitale”, applicata all’azione amministrativa, dovrebbe essere quella di ridurre sostanzialmente non solo i tempi di quest’ultima, ma anche, e soprattutto, i tempi del cittadino digitale dedicati ai rapporti con la pubblica amministrazione.
Il rischio principale è invece, così come negli altri settori toccati dalla digitalizzazione, quello di acuire il digital divide tra soggetti che godono di condizioni personali, economiche e sociali favorevoli per lo sfruttamento delle nuove tecnologie e soggetti che non sono in una situazione analoga. Tanto più questo divario, che da digitale diventa reale, si allarga e si acuisce, tanto più la digitalizzazione dell’amministrazione sarà da considerarsi una riforma parziale e incompiuta, che porterà alla coesistenza di due sistemi, uno tradizionale, più lento, ed uno innovativo, più efficiente, dedicati a soggetti diversi. Cittadini di serie A questi ultimi, cittadini di serie B i primi.
Non stupisce che, proprio per rimediare a questi difetti del sistema di e-government, nel quale si sfrutta il computer per l’interazione tra cittadino e pubblica amministrazione, si sia proposta una sua integrazione con un sistema di t-government, nel quale si sfrutta il digitale terrestre, e quindi la televisione, quale mezzo tradizionalmente più diffuso, e familiare alla maggior parte di cittadini.

2. Il Codice dell’amministrazione digitale

Il Codice rappresenta lo strumento normativo che deve completare, consolidare e saldare le politiche pubbliche in materia di digitalizzazione della pubblica amministrazione e di e-government. Nel fare questo, il Codice si è trovato ad affrontare una serie di difficoltà, che ne hanno ridotto le potenzialità.
Un primo profilo concerne le problematiche inerenti la definizione stessa dell’oggetto della regolamentazione, in relazione alla quale sono utilizzate espressioni e termini diversi. Il Codice fa riferimento, nel titolo stesso, all’amministrazione digitale. Le politiche pubbliche cui si faceva cenno intendono incidere sul fenomeno dell’e-government, che può essere inteso come fenomeno più vasto. La legge delega che ha portato all’emanazione del d.lgs. n.82 del 2005 (art.10, legge 29 luglio 2003, n.229) ha come riferimento la “società dell’informazione”. Nel Codice si utilizzano poi, non sempre in modo tecnicamente corretto, e spesso in modo indistinto, i termini “elettronico”, “informatico”, “digitale”, “telematico”.
Un secondo profilo riguarda la qualificazione stessa di “codice”. Al di là della sua denominazione, il d.lgs. n.82 del 2005 non è un “codice”, né in senso napoleonico, né nel senso che recentemente si tende a dare a tale denominazione nel nostro ordinamento. Esso non racchiude tutte le norme in materia di digitalizzazione dell’amministrazione.
Ne restava fuori, in origine, la disciplina del sistema pubblico di connettività e della rete internazionale della pubblica amministrazione (contenuta nel d.lgs. 28 febbraio n.2005, n.42). A questo ha rimediato l’intervento correttivo attuato con d.lgs. 4 aprile 2006, n.159, che ha fatto confluire nel Codice le norme del d.lgs. n.42 del 2005.
Al di fuori del Codice restano peraltro una serie di altre norme, in materia, ad esempio, di posta elettronica certificata (d.p.r. 11 febbraio 2005, n.68), di accessibilità dei siti delle pubbliche amministrazioni (l. 9 gennaio 2004, n.4: d.p.r. 1 marzo 2005, n.75), di indice nazionale delle anagrafi (art.1, l. 24 dicembre 1954, n.1228). Restano poi fuori dal Codice le disposizioni in materia di comunicazioni elettroniche (d.lgs. 1 agosto 2003, n.259), privacy delle comunicazioni elettroniche (artt.121 ss., d.lgs. 30 giugno 2003, n.196), Centro Nazionale per l’Informatica nella Pubblica Amministrazione (artt.4, 5, D.lgs. 12 febbraio 1993, n.39).
Un terzo profilo riguarda il rapporto con il testo unico in materia di documentazione amministrativa (d.p.r. 28 dicembre 2000, n.445), che ha ad oggetto documento informatico e gestione documentale. Il testo unico del 2000 non viene abrogato. Il Codice ne cambia alcune norme e ne integra altre, lasciando problemi di coordinamento non risolti. Si veda ad esempio l’art.38 del d.p.r. n.445 del 2000, avente ad oggetto le modalità di invio delle richieste da presentare alla pubblica amministrazione, la cui parte “digitale” (comma 2) è stata sostituita dal Codice.
Un quarto profilo concerne il carattere programmatico di alcune sue norme, specie quando sono riconosciuti, più o meno timidamente, diritti ai cittadini e alle imprese. Da un lato, mancano spesso meccanismi che garantiscano una effettiva applicabilità delle norme e un più facile adeguamento da parte delle pubbliche amministrazioni. Dall’altro, ai diritti che sono introdotti non è assicurata una diretta azionabilità da parte dei soggetti. Anche in questo caso, il decreto correttivo cerca di rimediare alla situazione, prevedendo ad esempio, all’art.3, che le controversie concernenti l’esercizio del diritto (a richiedere ed ottenere l’uso delle tecnologie telematiche nelle comunicazioni con le pubbliche amministrazioni) siano devolute alla giurisdizione esclusiva del giudice amministrativo.
Un quinto profilo riguarda l’ambito soggettivo del Codice. Il Codice non riguarda solo la pubblica amministrazione, ma anche i privati, cui molte delle sue norme si applicano. Per quanto riguarda la pubblica amministrazione, mentre la regola è che esso sia diretto a tutte le pubbliche amministrazioni, molte sue norme sono dirette alle sole amministrazioni centrali (ed eventualmente ai gestori di pubblici servizi statali). Le eccezioni (deroghe) sono di fatto prevalenti sulla regola, specialmente nel testo originario del Codice. Le ragioni sono evidenti, dovendosi rispettare la disciplina di cui all’art.117 della Costituzione e garantire l’autonomia delle amministrazioni regionali e locali.
D’altro lato, il successo di una riforma in senso digitale dell’amministrazione non può prescindere da meccanismi di omogeneizzazione e di coordinamento delle soluzioni tecnologiche (e spesso organizzative, data la frequente indivisibilità funzionale dei due profili), in particolare se si considerano le aspettative del cittadino digitale che non dovrebbe essere sottoposto a differenze sostanziali nel modo di interagire con la pubblica amministrazione.
Anche in questo caso, il decreto correttivo ha cercato di limitare gli effetti negativi dell’impostazione originale del Codice, eliminando, in più di un’occasione, la restrizione “secca” dell’applicazione delle norme del Codice alle amministrazioni centrali, ma introducendo d’altra parte una locuzione che consente alle amministrazioni regionali di discostarsi dalla disciplina generale, in virtù della loro autonomia o per motivi legati alla disponibilità delle risorse. Il rischio di una digitalizzazione a macchia di leopardo, pertanto, persiste, in quanto l’innovazione del decreto correttivo è più formale che sostanziale, e di fatto soggetta alla diversa volontà politica (e capacità finanziaria) delle amministrazioni regionali.
Al di là delle innovazioni del decreto correttivo, che riguardano anche un’accelerazione della applicazione del Codice, rimane il fatto che il Codice presenta, anche nella sua versione novellata, delle carenze strutturali che ne minano le possibilità di successo nel suo intento di assicurare una digitalizzazione omogenea della pubblica amministrazione che risponda alle esigenze del cittadino digitale (o aspirante tale).

3. Il cittadino digitale e i suoi diritti

La pubblica amministrazione, attraverso l’uso delle tecnologie dell’informazione e della comunicazione, intrattiene diverse tipologie di rapporti con il cittadino digitale: informazione, comunicazione, prestazione di servizi, garanzia di accesso e partecipazione. Ma quali sono i diritti riconosciuti al cittadino digitale dal Codice?
La norma di riferimento generale è l’art.3, ai sensi del quale “cittadini e le imprese hanno diritto a richiedere ed ottenere l’uso delle tecnologie telematiche nelle comunicazioni con le pubbliche amministrazioni” (art.3, comma 1, Codice). La norma sembra garantire diritti particolarmente ampi. Una lettura più attenta mostra un quadro meno roseo. Innanzitutto, sotto un profilo formale, stupisce che oggetto del diritto sia anche il richiedere e non solo l’ottenere. Da un lato, sembra implicito che per ottenere qualcosa lo si debba chiedere, ed in questo caso la norma sembra ridondante. Dall’altro, sembra difficile ipotizzare casi in cui non si possa nemmeno chiedere qualcosa all’amministrazione. Il problema sarà quello di approntare meccanismi efficaci attraverso i quali presentare le richieste. Ma quello che importa, è la possibilità di ottenere l’uso delle tecnologie, che rappresenta il vero oggetto del diritto.
In questo senso, preoccupano altri limiti della norma. In primo luogo, si fa riferimento ad un diritto limitato sotto il profilo oggettivo, vale a dire all’attività di comunicazione con la pubblica amministrazione. In secondo luogo, sotto il profilo soggettivo, la norma è sicuramente diretta alle amministrazioni centrali (anzi, nel testo originario era esplicitamente diretta solo ad esse), mentre per quanto riguarda le amministrazioni regionali e locali occorre fare riferimento alla volontà politica di tali enti. Il decreto correttivo subordina infatti l’applicazione di tale norma all’autonomia normativa degli enti e alla disponibilità di risorse tecnologiche ed organizzative sufficienti (art.3, comma 1-bis, Codice).
Per quanto concerne l’azionabilità dei diritti, l’art.3, comma 2, del d.lgs. n.159 del 2006 (art.3, comma 2) ha aggiunto una norma che affida alla giurisdizione esclusiva del giudice amministrativo la tutela di tale diritto (art.3, comma 1-ter, Codice). Si tratta di un miglioramento evidente, in termini di effettività della tutela. Certo, si aspettano con curiosità le prime applicazioni giurisprudenziali di tale norma, stante il carattere comunque indefinito della disposizione, specialmente se si considera l’ulteriore clausola, rimasta anche nella versione ora vigente, che subordina ai “limiti del codice” l’operatività del diritto. Ma si pensi anche alla qualità e all’accessibilità delle “tecnologie telematiche”: potrà il giudice amministrativo sindacare il livello raggiunto? Se non potrà farlo, sostenendosi una riserva “tecnologica” di amministrazione, il diritto sarà prevalentemente formale. Se potrà farlo, fino a che punto potrà spingersi?
Si può quindi ipotizzare che i diritti cui si fa riferimento debbano comunque essere specificati nelle disposizioni successive. Il fatto è che, oltre che nell’art.3, si parla esplicitamente di diritti solo in riferimento al diritto di accesso, per stabilire la possibilità di utilizzare le tecnologie dell’informazione e della comunicazione da parte del cittadino (art.4, Codice) e al riuso di programmi, ma in questo caso da parte di altra pubblica amministrazione (art.69, Codice), come misura finalizzata al risparmio delle risorse pubbliche.
Nelle altre norme immediatamente successive all’art.3, si fa invece generalmente riferimento ad aspettative che non sono qualificate espressamente come diritti, relative all’effettuazione dei pagamenti da parte del cittadino alla pubblica amministrazione con modalità informatiche (art.5, Codice); all’utilizzazione della posta elettronica certificata per scambi di documenti e informazioni, in sostituzione della raccomandata con ricevuta di ritorno (art.6, Codice); alla soddisfazione dei servizi resi dalle pubbliche amministrazioni attraverso l’uso delle tecnologie dell’informazione e della comunicazione (art.7, Codice); all’alfabetizzazione informatica dei cittadini, con particolare riferimento alle categorie a rischio di esclusione (art.8, Codice); alla promozione della partecipazione dei cittadini al processo democratico ed alla facilitazione dell’esercizio dei diritti politici e civili individuali e collettivi (art.9, Codice).
Oltre a questi, in norma collocata in altro ambito, viene indirettamente riconosciuta un’ulteriore aspettativa, vale a dire la presenza in rete, sul sito della pubblica amministrazione competente, di moduli e formulari necessari per la definizione di procedimenti amministrativi (art.57, Codice). A differenza degli altri articoli, dove non sono collegate sanzioni o meccanismi che ne facciano emergere chiaramente la configurazione sostanziale di diritto, è interessante notare la conseguenza della mancata pubblicazione di moduli e formulari di cui all’art.57 del Codice. Dopo due anni dall’entrata di vigore del Codice, tali moduli e formulari non pubblicati non potranno essere richiesti, ed i relativi procedimenti potranno essere conclusi anche in assenza degli stessi.
Forse in questo caso si è andati anche troppo oltre, e si può prevedere una modifica di tale norma nella vicinanza della scadenza del termine dei due anni. Si comprende come tale disposizione dovrebbe convincere le pubbliche amministrazioni a pubblicare moduli e formulari aggiornati, ma se le informazioni che devono essere reperite attraverso i moduli e formulari sono necessarie per l’identificazione del soggetto, per la delimitazione della richiesta, o per fornire elementi utili alla decisione dell’amministrazione, il risultato sarebbe, nel migliore dei casi, una decisione basata su elementi insufficienti, e, nel peggiore, l’impossibilità di fatto, comunque, di prendere qualsiasi decisione.

4. Diritti e strumenti tecnologici

L’effettività dei diritti è data non solo dalle enunciazioni delle norme e dagli strumenti giuridici approntati dall’ordinamento, ma anche dalla configurazione stessa di tali strumenti nel momento in cui sono utilizzati nei rapporti tra cittadino e pubblica amministrazione. Si fa riferimento in particolare ai due strumenti, posta elettronica e siti web, più comunemente usati dai cittadini. L’utilizzazione della posta elettronica nei rapporti tra amministrazione e cittadini da un lato, e la configurazione dei siti web come strumenti di amministrazione dall’altro costituiranno pertanto, ai fini della valutazione dell’effettività della riforma approntata dal Codice (e dalle altre normative collegate), l’interfaccia tecnologica del profilo giuridico.
Il problema diventa allora quello di verificare se tali strumenti, quando è coinvolta la pubblica amministrazione, mantengano i caratteri loro propri o invece le esigenze connesse alla gestione della cosa pubblica ed ai rapporti con i cittadini richiedano modifiche sostanziali nel modo di funzionamento e di disciplina delle stesse. E, conseguentemente, se la configurazione risultante risponda ancora alle aspettative del cittadino.
La posta elettronica, sia per le comunicazioni all’interno della pubblica amministrazione, sia per le comunicazioni con i cittadini è un mezzo di comunicazione sempre più diffuso, che garantisce, nella sua configurazione comune, velocità di trasmissione, eventualmente anonimato, o almeno “pseudonimato”, ma non identificabilità, né sicurezza di consegna. I siti web sono uno strumento utilizzato comunemente dalla pubblica amministrazione per fornire informazioni, per rendere pubblici fatti e atti e per rendersi “visibile” in rete.
La riforma dell’amministrazione in senso digitale si basa su una nuova configurazione di posta elettronica e siti web, finalizzata a garantire una maggiore affidabilità degli stessi. Per quanto riguarda la posta elettronica, si fa riferimento alla posta elettronica certificata, diretta a garantire la certezza di consegna del messaggio, in analogia ad una raccomandata con ricevuta di ritorno. Per quanto riguarda i siti web, si fa riferimento alla loro regolamentazione e tendenziale standardizzazione, dirette a garantire maggiore accessibilità da parte dei cittadini e maggiore utilità dei contenuti.
Il passaggio da posta elettronica “semplice” a posta elettronica certificata non è peraltro privo di oneri. Mentre la posta elettronica “semplice” (come le diverse “webmails” disponibili a chiunque in rete) è, nelle sue forme base, gratuita, la posta elettronica certificata ha dei costi, che possono essere costruiti come costi per la fornitura di un indirizzo, o come costi, anticipati, per un determinato numero di spedizioni certificate.
Ma non si tratta solo di una questione economica. La posta elettronica certificata presuppone un nuovo indirizzo, da aggiungersi a quello comunemente usato. In questo senso, ottenere un indirizzo di posta elettronica certificata significa anche duplicare i propri indirizzi. Riproponendo il parallelo con la raccomandata con ricevuta di ritorno, equivarrebbe ad individuare un diverso indirizzo “fisico” per le comunicazioni tramite raccomandata. In questo senso, la posta elettronica certificata presuppone, se si vuole mantenere il parallelo con la corrispondenza cartacea, la creazione di una casella postale.
Ecco allora che la digitalizzazione dell’azione della pubblica amministrazione comporta, dal punto di vista del cittadino, una complicazione e, almeno in astratto, un aumento dei costi. Infatti, se un cittadino spedisce ogni anno tre o quattro raccomandate, non gli converrà, sotto il profilo economico, ottenere un indirizzo di posta elettronica certificata. Ne consegue la creazione di uno strumento destinato ad un numero limitato di utenti, con l’ampliamento del divario digitale nei confronti del resto della popolazione. Si avrà pertanto un processo di integrazione tra sistemi diversi, tradizionale e digitale, e non una progressiva sostituzione di un sistema digitale al sistema tradizionale.
La posta elettronica certificata risponde ad un problema reale, vale a dire assicurare la certezza di consegna della corrispondenza digitale. Ma ci si può chiedere se la soluzione adottata fosse l’unica possibile, se non fosse invece praticabile un’altra strada che avesse a cuore l’interesse immediato di tutti i cittadini. Ad esempio, ci si può chiedere se indirizzi di posta elettronica certificata non dovrebbero essere forniti gratuitamente a tutti i cittadini, che potrebbero poi, da quell’indirizzo, spedire sia posta elettronica “ordinaria” (gratuitamente), sia posta elettronica “certificata” (a pagamento, con tariffe ovviamente inferiori rispetto a quelle delle raccomandate con ricevuta di ritorno).
Incidentalmente si osserva che la posta elettronica certificata di per sé garantisce la consegna, ma non la provenienza. Per garantire la provenienza, occorre un altro strumento, vale a dire la firma digitale. In sostanza, il rischio è che lo spostamento della corrispondenza dal mezzo cartaceo a quello elettronico, nel momento in cui tale corrispondenza debba rispondere a requisiti legali di certezza, sia riservato ad operatori professionali (oltre che alla pubblica amministrazione), ma non si estenda al cittadino comune, che nelle intenzioni politiche, e del legislatore, è invece il destinatario finale della riforma in senso digitale dell’amministrazione pubblica.
La direttiva della Presidenza del Consiglio dei Ministri, Dipartimento per l’innovazione e le tecnologie, del 27 novembre 2003 (“Impiego della posta elettronica nelle pubbliche amministrazioni”) aveva anticipato sostanzialmente il contenuto dell’art.47 del Codice, anche riprendendo quanto stabilito dall’art.14 del d.p.r. n.445 del 2000.
La direttiva, riprendendo le ”Linee guida per lo sviluppo della società dell’informazione nella legislatura” approvate dal Consiglio dei Ministri il 31 maggio 2002, confermava l’obiettivo di adottare la posta elettronica per tutte le comunicazioni interne alla pubblica amministrazione. Ma nel fare questo dichiarava un obiettivo più ambizioso, relativo ad un cambiamento culturale che coinvolgesse anche i cittadini e le imprese, agevolandoli nei loro rapporti con le pubbliche amministrazioni. E riconosceva la necessità di operare il cambiamento in tempi brevi, sia per evitare la coesistenza di due sistemi, uno elettronico e uno cartaceo, sia per ridurre i costi operativi.
L’art.47 del Codice prevede che le comunicazioni di documenti tra pubbliche amministrazioni avvengano di norma attraverso la posta elettronica, e che siano valide ai fini del procedimento quando ne sia verificata la provenienza (art.47, comma 1, Codice). La verifica della provenienza richiede che le comunicazioni siano sottoscritte con firma digitale o altro tipo di firma elettronica qualificata, oppure siano dotate di protocollo informatizzato, oppure sia possibile accertarne altrimenti la provenienza secondo la normativa vigente o le regole tecniche di cui all’art.71 del Codice stesso (art.47, comma 2, Codice).
L’art.45 del Codice prevede invece che i documenti trasmessi da chiunque ad una pubblica amministrazione con qualsiasi mezzo informatico o telematico, compreso il fax, soddisfino il requisito della forma scritta, qualora il mezzo sia idoneo ad accertarne la fonte di provenienza (art.45, comma 1, Codice). Per quanto concerne le dichiarazioni e istanze online, occorre invece fare riferimento all’art.65 del Codice.
In sostanza, come accennato prima, la posta elettronica certificata, disciplinata dal d.p.r. n. 68 del 2005, svolge una funzione analoga a quella della raccomandata con ricevuta di ritorno, ma non è sufficiente ad accertare la provenienza. Inoltre, nei rapporti con la pubblica amministrazione, è necessario dichiarare volta per volta l’indirizzo da utilizzare in riferimento ad un determinato procedimento, il che costituisce un onere aggiuntivo per il cittadino, specialmente qualora si tratti di procedimenti d’ufficio, per cui tale dichiarazione può avvenire solamente in un momento successivo ad un primo contatto “cartaceo” proveniente dalla pubblica amministrazione.
Per quanto concerne i siti web istituzionali, gli artt.53 e 54 del Codice si pongono l’obiettivo di trasformare gli stessi da “vetrina” a strumento di amministrazione, attraverso i quali fornire informazioni e servizi. In primo luogo, i siti web diventano uno strumento obbligatorio, regolamentato e “conformato”, attraverso l’individuazione di contenuti minimi e di caratteristiche strutturali.
L’art.53 del Codice prevede che i siti istituzionali realizzati dalle pubbliche amministrazioni rispettino principi di accessibilità, di elevata usabilità e reperibilità, anche da parte delle persone disabili, di completezza di informazione, di chiarezza di linguaggio, di affidabilità, di semplicità di consultazione, di qualità, di omogeneità, e di interoperabilità (art.53, comma 1, Codice). Il decreto correttivo ha inoltre aggiunto un ulteriore periodo, imponendo di rendere facilmente reperibili e consultabili i dati relativi ai contenuti necessari di cui all’art.54.
Sotto il profilo organizzativo, al CNIPA sono affidate funzioni consultive e di coordinamento sulla realizzazione e modificazione dei siti delle amministrazioni centrali (art.53, comma 2, Codice), mentre per quanto riguarda siti istituzionali delle Regioni e delle autonomie locali sono promosse intese ed azioni comuni (art.53, comma 3, Codice).
L’art.54 del Codice elenca invece i contenuti minimi (denominati come “dati pubblici”) dei siti delle pubbliche amministrazioni (per quelle regionali e locali, nei limiti della loro autonomia e delle disponibilità finanziarie), includendo aspetti organizzativi (organigramma, articolazione degli uffici, attribuzioni); normativi (indicazione delle norme di riferimento per il settore di competenza, ma anche documenti normativi); procedimentali (termini, adempimenti); relativi ai contatti (caselle di posta elettronica istituzionali attive e caselle di posta elettronica certificata); di informazione e comunicazione istituzionale (ai sensi dell’art.26 della legge n.241 del 1990 e della legge 7 giugno 2000, n.150); concorsuali (bandi di gara e di concorso); ed infine relativi ai servizi disponibili in rete o di futura attivazione (art.54, comma 1, Codice). Alle amministrazioni centrali che già dispongano di siti istituzionali è fatto obbligo di adeguare gli stessi entro due anni dall’entrata in vigore del Codice (art.54, comma 2, Codice).
L’accesso ai dati pubblici contenuti nei siti delle pubbliche amministrazioni non richiede autenticazione informatica ed è gratuita (art.54, comma 3, Codice). Le pubbliche amministrazioni devono garantire la conformità e la corrispondenza delle informazioni contenute sui siti con le informazioni contenute nei provvedimenti amministrativi originali dei quali si fornisce comunicazione attraverso il sito (art.54, comma 4, Codice). Il decreto correttivo introduce infine una disposizione ai sensi della quale la pubblicazione telematica “produce effetti di pubblicità legale nei casi e nei modi espressamente previsti dall’ordinamento” (art.54, comma 4-bis, Codice).
Il problema principale dei siti web, almeno per quanto concerne la funzione di pubblicità che ad essi può essere affidata, riguarda la loro natura di pubblicazioni mutevoli nel tempo, per cui si rende necessaria, a fini probatori, una archiviazione periodica dei siti, da attuarsi comunque prima di ogni cambiamento quando questo incida su forme di pubblicità legale.
Per quanto riguarda i servizi in rete (artt.63, 64, Codice), la centralità dei quali è evidente per la riforma dell’amministrazione in senso digitale, il ruolo dei siti web è di primaria importanza, in quanto essi costituiscono l’interfaccia digitale con l’utente. Quando si parla di servizi in rete (ma si usano anche le espressioni servizi online, servizi informatici, servizi telematici), si fa riferimento prevalente a servizi burocratici e a servizi di informazione, comunicazione e pubblicità. La modalità di erogazione di tali servizi, rispondente a principi di uguaglianza e non discriminazione (art.63, comma 1, Codice), deve essere incentrata sull’utente ed organizzata per eventi della vita. Deve inoltre tenere presenti le esigenze di accessibilità di tutti i cittadini, con particolare riguardo ai soggetti svantaggiati.
Anche in questo caso, si potranno porre questioni relative alla identificazione (e/o autenticazione), distinguendosi di fatto tra servizi ad accesso libero e servizi ad identificazione/autenticazione necessaria (attraverso CIE, CNS o altri strumenti, provvisoriamente fino al 31 dicembre 2007).
Per quanto concerne infine le istanze (da intendere come atto iniziale di procedimento) e dichiarazioni (da intendere in senso più ampio) presentate dai cittadini online, l’art.65 del Codice, rinvia parzialmente all’art.38 del d.p.r. n.445 del 2000, norma generale rispetto a quella del Codice, che riguarda esclusivamente istanze e dichiarazioni trasmesse per via telematica (l’invio per fax non è considerato quale modalità telematica), e che in questo senso sostituisce espressamente il comma 2 dell’articolo 38 del d.p.r. n. 445 del 2000.
L’art.65 prevede che tali istanze e dichiarazioni siano valide se rispondono a determinati requisiti, alternativi tra loro: sottoscrizione mediante forma digitale; identificazione attraverso carta di identità elettronica o carta nazionale dei servizi; identificazione con strumenti diversi, approntati dalle singole pubbliche amministrazioni, di cui all’art.64, comma 2, del Codice, ma solo fino al 31 dicembre 2007 (art.65, commi 1, 3, Codice). Il rispetto di tali disposizioni comporta l’equivalenza tra istanze e dichiarazioni presentate online e istanze e dichiarazioni sottoscritte in presenza del dipendente addetto al procedimento (art.65, comma 2, Codice).

———-

* Un ringraziamento particolare all’Avv. Annamaria De Michele per l’aiuto prestato nella predisposizione della presente relazione.

(pubblicato il 19.5.2006)

Note

L'articolo Codice dell’amministrazione digitale e rapporti tra cittadino e pubblica amministrazione* proviene da Giustamm.

1. CyberLaw e diritto di Internet

Il termine cyberlaw, comunemente usato nei Paesi anglosassoni, non è facilmente traducibile. Diritto di Internet potrebbe essere una soluzione, ma Internet Law e cyberlaw non sono necessariamente coincidenti. Ancora più complesso è stabilire se con il termine cyberlaw sia possibile identificare una branca autonoma del diritto, non nuova, ma ancora in via di costruzione ed elaborazione, o se invece tale termine abbia solamente una connotazione descrittiva. Certo è interessante notare come anche negli Stati Uniti, che hanno un approccio generalmente più pragmatico e concreto al diritto rispetto all’Europa continentale, un dibattito di questo tipo, di carattere prevalentemente teorico, si sia sviluppato. Infine, non è chiaro quale sia lo spazio che il diritto pubblico, ed in particolare il diritto amministrativo, possano occupare in un settore che ancora sta cercando una propria sistemazione.
Al di là della sua autonomia o meno, la cyberlaw (per comodità si preferisce per il momento utilizzare questa definizione) costituisce un diritto relativamente nuovo, per il quale non sempre possono essere utilizzati, direttamente o per analogia, criteri giuridici già esistenti. In questo senso, come diritto complesso, che interagisce con le altre branche tradizionali, comporta una rivisitazione di principi giuridici, di cui si deve verificare la capacità di adattamento di fronte a nuovi fenomeni. Si tratta di un diritto in via di continuo e frenetico sviluppo, che segue e nel contempo cerca di precedere, la tecnologia, nel quale è possibile, più che in altri settori, una attività creativa, di carattere normativo, interpretativo, giurisprudenziale.
L’oggetto della cyberlaw è, se non totalmente, almeno difficilmente compatibile con costruzioni dogmatiche e classificazioni astratte, sia per la velocità con cui nascono i problemi (rapporti interprivati, rapporti tra cittadini e pubblici poteri, profili internazionali), e conseguentemente devono essere ricercate le soluzioni giuridiche (in via normativa o giurisprudenziale), sia in rapporto all’evoluzione deii riferimenti tecnologici (hardware, software, architettura della rete). Anche se, rispetto ad altre branche, si può dire che si tratti di differenze quantitative, più che qualitative (i cambiamenti di contesto, e normativi, sono comuni a tutto il diritto vivente), ciò non toglie che la velocità del cambiamento costituisca un elemento sostanziale di valutazione.
D’altra parte, anche qualora non si volesse riconoscere alla cyberlaw una sua autonomia “ontologica”, il dibattito teorico su di essa non è aprioristicamente destinato ad un insuccesso. Se nel dibattito teorico non si perde il contatto con le problematiche giuridiche reali, tenendo conto della funzionalità degli aspetti teorici rispetto alla ricerca di soluzioni giuridiche idonee a migliorare la situazione di fatto, ecco allora che le energie impiegate nello sforzo non saranno da ritenersi sprecate. La considerazione dei profili teorici può aggiungere, e non togliere, un valore alla migliore comprensione dei nuovi fenomeni giuridici che l’interrelazione con Internet quotidianamente comporta. Diritto pubblico e diritto amministrativo non possono rimanere estranei a tale processo.

2. L’evoluzione della cyberlaw

La cyberlaw è, e sarà sempre di più, soggetta a processi evolutivi. Si può prevedere che, per essa, ci siano tre possibili alternative. Per una prima ipotesi (a), la cyberlaw è destinata a conquistare, ed a mantenere, un certo livello di autonomia, in virtù delle sue caratteristiche intinseche. Per una seconda ipotesi (b), la cyberlaw, nel rispetto di una propria autonomia, è destinata a dividersi in sottodiscipline, anche per motivi pratici legati alla formazione degli operatori del diritto. Per una terza ipotesi (c), le discipline tradizionali si impadroniranno (o si riapproprieranno) progressivamente delle tematiche attualmente proprie della cyberlaw, e quindi, pro quota, della cyberlaw stessa, che subirà pertanto un processo di smembramento ed eliminazione. Ognuna di queste tre teorie ha un suo fondamento.
(a) La cyberlaw può essere vista come disciplina autonoma, in quanto ha principi ed istituti comuni. Al di là degli aspetti soggettivi (backgrounds e modi di pensare, intesi anche come metodologie comuni), che di fatto costituiscono un elemento di unificazione della disciplina, l’aspetto tecnologico è un altro fattore rilevante, inteso sia in senso strumentale (Internet come oggetto della ricerca), che in senso sostanziale (la regolamentazione inserita nella tecnologia stessa). In questo senso la cyberlaw ha un carattere autonomo, ma anche trasversale, e proprio tale trasversalità potrebbe garantire alla stessa un’autonomia anche in futuro.
(b) Se adesso si può riconoscere non solo una certa autonomia, ma anche una certa unitarietà, alla cyberlaw, si può ritenere che tale situazione non si manterrà a lungo. La cyberlaw dovrà dividersi in più sottodiscipline, che avranno ovviamente punti di contatto, eventualmente istituti e principi comuni, ma che avranno anche caratteri sostanzialmente divergenti, proprio per la connessione naturale con le branche tradizionali del diritto, a meno di non voler considerare la cyberlaw come un momento di eversione complessiva della categorie giuridiche tradizionali. La distinzione in sottodiscipline può essere difficilmente vista come un esito finale, in quanto più probabilmente costituirà una fase intermedia, ma tale fase potrà durare a lungo, in virtù di due fattori. Da un lato, la vastità, destinata ad aumentare, degli argomenti trattati dalla cyberlaw, vastità che richiede conoscenze ed esperienze diverse, difficilmente riassumibili in una sola sede. Dall’altro, la diffusa mancanza di capacità, o di interesse, ad affrontare tali tematiche nell’ambito delle discipline tradizionali.
(c) L’assorbimento delle sottodiscipline della cyberlaw nelle discipline tradizionali è probabilmente un evento, o meglio un processo, ineluttabile, potendo rimanere peraltro un nucleo comune, ridotto, costituito da aspetti trasversali e strumentali. La cyberlaw potrà sopravvivere come diritto, in un certo senso, procedurale, anche se in un’accezione diversa da quella usuale. Gli aspetti sostanziali si fonderanno invece nelle discipline tradizionali, ma non in maniera neutra, anzi contaminando le stesse. La cyberlaw, comunque intesa, non sarà pertanto altro che una parte, “moderna”, delle singole parti del diritto.

3. Il diritto pubblico di Internet

Considerando gli oggetti di cui la cyberlaw si occupa, ci si può chiedere, d’altro canto, se essa possa essere affrontata in via unitaria. Se è vero che ci sono aspetti comuni, che chiunque si troverà ad affrontare la porzione “cyber” della propria disciplina, dovrà conoscere (si pensi ad aspetti tecnologici, quali l’uso della crittografia o degli strumenti di identificazione, ma anche a limiti oggettivi, quali quelli relativi alla giurisdizione, che caratterizzano fortemente il settore), è anche vero che la vastità trasversale degli oggetti della disciplina non rendono credibile un approccio olistico ed omnicomprensivo.
Dal punto di vista di un sistema di civil law, le normative esistenti potranno essere applicate frequentemente anche ai nuovi fenomeni, e altre volte potranno costituire uno strumento di interpretazione analogica. Ma altre volte ancora, poche o molte non importa da un punto di vista teorico, le risposte dovranno essere costruite ex novo, e probabilmente il diritto (in generale, non solo la cyberlaw) subirà comunque un processo di aggiustamento dovuto alle nuove esigenze.
La considerazione unitaria ed autonoma della cyberlaw, anche se temporaneamente limitata, offrirà poi la possibilità di rivedere l’equilibrio interno della stessa. Attualmente, per una serie di motivi, essa è sbilanciata, usando le due categorie più generali, verso il diritto privato, ai danni del diritto pubblico. Probabilmente, la consapevolezza di tale sbilanciamento è già presente, portata alla luce da problemi insorti nell’ambito di una visione estremamente commerciale della rete, dopo quella militare e quella comunicativa, e, conseguentemente, del suo diritto.
In questo senso la cyberlaw potrà parzialmente superare la distinzione tra categorie spesso troppo rigide, non sempre potendosi tracciare una netta linea di confine, e dovendosi invece conoscere sempre di più “l’altro settore”, e cercare di entrare in un “altro” habitus mentale, per capire il proprio. Ciò è evidente in riferimento a macrocategorie (diritto pubblico e diritto privato), ma anche, e forse di più, in riferimento a sottocategorie (ad esempio, diritto dell’informazione e diritto industriale).
In questo senso, non è una novità che nuove branche del diritto non possano essere incluse nella bipartizione diritto privato – diritto pubblico (si pensi al diritto ambientale). La novità della cyberlaw è l’estensione del suo carattere trasversale, che da un lato ne determinerà probabilmente l’assorbimento, anche se forse non totale, da parte delle altre discipline, ma che dall’altro ne costituirà, altrettanto probabilmente, il valore aggiunto, come momento di ripensamento di molte parti del diritto.
Lo studio della cyberlaw, e dei fenomeni ad essa afferenti, può del resto essere affrontato secondo due prospettive. La prima è una prospettiva “interna”, dell’utilizzatore di Internet, che si trova ad operare in un luogo, o in un non-luogo, il cyberspace, caratterizzato da dinamiche spesso diverse da quelle proprie del “mondo reale”. La seconda è una prospettiva “esterna”, che fa riferimento alle applicazioni tecnologiche che stanno alla base della creazione del cyberspace (sistemi di connessione, reti, trasferimento di dati e così via) ed alle relazioni di tali applicazioni con le attività umane giuridicamente rilevanti, cercando di coglierne le specificità ed i caratteri distintivi. In ogni caso, la modificazione del cyberspace, secondo la prima prospettiva, o delle applicazioni tecnologiche, nella seconda prospettiva, richiedono la costruzione di categorie giuridiche duttili e mobili, aventi un obiettivo di sistemazione costante e continuo della disciplina.
Prima ancora, la regolamentazione del cyberspace, sia che si tratti di regolamentazione da parte dei pubblici poteri, di autoregolamentazione, o di regolamentazione indiretta attraverso le scelte tecnologiche, necessita di principi, di criteri, di riferimenti di carattere generale. E’ in questo spazio, giuridico, che diritto pubblico e diritto amministrativo devono intervenire, per fissare gli obiettivi fondamentali, garantire l’interesse pubblico, assicurare la convivenza tra cittadini, operatori economici, pubbliche amministrazioni, formazioni sociali.
In sostanza, il diritto pubblico di Internet dovrebbe analizzare le diverse problematiche che Internet propone, cercando di fornire soluzioni che riproducano i valori che la collettività ritiene prioritari. In via esemplificativa, e senza pretese di completezza, il diritto pubblico dovrà occuparsi dei profili di regolamentazione (attraverso l’intervento legislativo e regolamentare), regolazione (attraverso atti di regolazione di autorità amministrative indipendenti, attraverso il riconoscimento ed il controllo della self-regulation, attraverso l’intervento sull’architettura della rete, attraverso il riconoscimento del ruolo del mercato e delle norme sociali) e di garanzia (tutela degli interessi diffusi degli utenti); dei profili relativi alla tutela dei diritti e degli interessi individuali e collettivi (tutela della privacy; della libertà di espressione; della segretezza delle comunicazioni; della libertà di stampa); dei profili organizzativi (autorità garanti e organismi tecnici); dei profili relativi alla società dell’informazione ed all’e-government (circolazione delle informazioni pubbliche; fornitura di servizi al cittadino; accesso agli atti), all’e-procurement e a tutti quegli altri profili caratterizzati dall’influenza della rivoluzione digitale. Il diritto pubblico di Internet, in sostanza, si deve occupare di individuazione delle regole, di tutela dei diritti, di cura degli interessi pubblici. Nel farlo, dovrà misurarsi con i cambiamenti continui della tecnologia, con le concorrenti prospettive giuridiche (privatistiche, penalistiche, internazionalistiche, e così via) proprie di altri settori, con la necessità di ripensare categorie e classificazioni tradizionali del diritto. Se manterrà un equilibrio nella sua esistenza, corta o lunga che sia, il diritto pubblico di Internet riuscirà a trasmettere qualcosa, e a non rappresentare solamente una parentesi descrittiva delle soluzioni innovative individuate per rispondere a problematiche relative a fenomeni nuovi.

— *** —

Riferimenti bibliografici essenziali

EASTERBROOK, F., Cyberspace and the Law of the Horse, 1996 U. Chi. Legal F. 207
HUNTER, D., Cyberspace as Place and the Tragedy of the Digital Anticommons, 91, Cal. L. Rev. 439 (2003)
LESSIG, L., Code and Other Laws of Cyberspace, Basic Books, 1999
LESSIG, L., The Law of the Horse: What Cyberlaw Might Teach, 113 Harv. L. Rev. 501 (1999)
LEMLEY, M., Place and Cyberspace, 91 Cal. L. Rev. 521 (2003)
REIDENBERG, J., Lex Informatica: The Formulation of Information Policy Rules through Technology 76 Texas L. Rev. 553 (1998)

Note

L'articolo Regole, diritti ed interessi in rete: il diritto pubblico di Internet proviene da Giustamm.

SOMMARIO

1. Il concetto giuridico di privacy: le componenti – 2. Tutela della privacy e tutela dei dati personali nell’Unione Europea – 3. Definizioni mancanti ed equivoci nella disciplina comunitaria

1. Il concetto giuridico di privacy: le componenti

Il concetto giuridico di privacy non è di facile definizione (1) , in quanto è la risultante di varie relazioni tra un individuo ed altri individui e tra un individuo e una serie di interessi di carattere generale, connotandosi quale misura del grado di apertura, bidirezionale, di una persona verso il mondo esterno. Inoltre, il concetto di privacy non è solo un concetto giuridico, ma ha origini filosofiche e morali (2) , risalenti nel tempo (3) , che ne condizionano la costruzione quale principio legale. Nonostante le difficoltà nell’individuazione della nozione e l’evoluzione sociale e giuridica del concetto, ci sono peraltro alcuni punti di riferimento, alcuni aspetti ricorrenti che costituiscono il cuore di tale diritto fondamentale.
La privacy è espressione in primo luogo di un potere di scelta, la scelta di come vivere, sia in privato che in pubblico (4) , sia nel “mondo reale”, diventato società informatica (5) , che nel “cyberspazio” (6) . La privacy riguarda la possibilità di regolare, limitare, controllare il flusso verso l’esterno dei propri dati e informazioni personali, intesi in senso ampio, o l’accesso agli stessi da parte di terzi. La privacy riguarda la libertà e la capacità di prendere decisioni personali senza essere soggetti a controlli pubblici o privati. E la privacy è, prima di tutto, collegata a profili psicologici, alla protezione dell’intimità, alla formazione e all’espressione di emozioni e sentimenti (7) .
Ci sono pertanto due direzioni da considerare quando si parla di privacy, così come ci sono due direzioni dei rapporti tra l’individuo e l’ambiente sociale, economico e giuridico che lo circonda: dall’individuo verso l’esterno, e dall’esterno verso l’individuo. L’individuo dovrebbe avere la possibilità di controllare il traffico, non solo di dati, in entrambe le direzioni, filtrando quello che esce e selezionando quello che entra. L’individuo dovrebbe avere la possibilità di decidere quale parte della propria sfera intima può essere conosciuta all’esterno (8) , e quale parte del mondo esterno può essere ammessa all’interno.
In questo senso, la privacy deve essere considerata in relazione ad altri diritti e libertà fondamentali, e, prima di tutto, in relazione ai valori più importanti per la persona.
Nella Carta dei Diritti Fondamentali dell’Unione Europea (9) (Nizza, 2000) la privacy è protetta dall’art.7, ma è naturalmente connessa ad altri principi, in quanto ad essi funzionale: dignità umana (art.1 (10) ), integrità mentale (art.3, comma 1 (11) ), libertà di pensiero (art.10 (12) ), libertà di espressione e informazione (art.11 (13) ), diritto all’educazione (art.14 (14) ) diritti del bambino (art.24 (15) ).
Nello stesso modo, nel Patto Internazionale relativo ai Diritti Civili e Politici delle Nazioni Unite (16) (New York, 1966), il diritto alla privacy (art.17) è collegato, logicamente ma anche strutturalmente, al diritto alla libertà di pensiero (17) (art.18, comma 1), al diritto a non essere molestati per le proprie opinioni (art.19, comma 1) e al diritto alla libertà di espressione (18) (art.19, comma 2), che include “la libertà di cercare, ricevere e diffondere informazioni e idee di ogni genere, senza riguardo a frontiere, oralmente, per iscritto, attraverso la stampa, in forma artistica o attraverso qualsiasi altro mezzo di sua scelta” (19) .
La privacy ha quindi molteplici componenti, che vanno ben al di là dei dati personali. Ci sono componenti “visibili”, collegate alla tutela dei dati personali e delle comunicazioni, vale a dire di oggetti dotati di una loro “materialità”, che necessitano di una protezione specifica. Ci sono componenti “sensibili”, collegate a bisogni e aspettative sprovviste di tale materialità: si tratta di oggetti più difficili da individuare, ma che necessitano anch’essi, anzi probabilmente in misura maggiore, di protezione.
L’ordinamento comunitario protegge i dati personali, principalmente attraverso la direttiva 95/46/CE (20) , e le comunicazioni, principalmente attraverso la direttiva 2002/58/CE (21) , che ha sostituito la precedente direttiva 97/66/CE, ma non sempre considera con pari attenzione le altre componenti, la cui protezione può solo parzialmente derivare dalla tutela di dati e comunicazioni.
Le “componenti sensibili” non hanno, come detto, un oggetto materiale cui riferirsi direttamente, e sono suscettibili di una applicazione a carattere trasversale. La loro protezione è più complessa, ma non impossibile, ed in ogni caso necessaria, se si comprende che, anche se tali componenti condividono una sorta di sfuggente spiritualità, esse sono, o comunque dovrebbero essere, rilevanti per il diritto (22) . Le “componenti sensibili” della privacy non riguardano solo concetti filosofici, ma parametri legali con cui l’ordinamento non può non avere a che fare, fornendo il giusto contenuto al diritto alla privacy.
Non sorprendentemente, la privacy è stata sempre percepita, anche in altri ordinamenti, come un concetto composito. Alcuni esempi tratti dalla dottrina statunitense mostrano chiaramente questa caratteristica. La privacy è stata considerata quale una somma di aspettative: solitudine, la più pura forma di privacy, il desiderio di essere lasciati in pace (23) ; intimità, una esclusiva relazione tra due persone, separate dagli altri; anonimità, il desiderio di non essere sorvegliati; e, infine, protezione dei dati personali (24) . Essa è stata vista come l’integrazione di tre aspetti: informational privacy, in riferimento alla riservatezza delle informazioni di natura personale; accessibility privacy, in riferimento alla protezione da intrusioni esterne; expressive privacy, in riferimento alla libertà di esprimere la propria personalità, limitando il controllo sociale (25) sulle scelte dello stile di vita (26) . Essa è stata divisa in quattro aree: physical privacy, in riferimento al diritto esclusivo al proprio corpo e alla propria abitazione; decisional privacy, in riferimento alla scelta delle persone sulle loro attività e comportamenti; informational privacy, in riferimento ai dati personali; formational privacy, in riferimento alla protezione dell’intimità dell’individuo (27) .
Le teorie appena citate condividono tre aspetti. In primo luogo, la rilevanza dell’individuo, a cui deve essere consentito di decidere, in via informata e responsabile, cosa tenere per se stesso e cosa dividere con altri. In secondo luogo, la connessione con la sfera più intima e privata dell’individuo, proteggendo non solo la privacy, ma anche dignità, personalità e libertà; in terzo luogo, l’impossibilità di ricondurre ad unità il delicato e composito concetto di privacy, senza perdere qualcosa di rilevante per il patrimonio di diritti dell’individuo.
Tutti questi aspetti erano già presenti nella prima, creativa, originale, e fondamentale elaborazione del concetto di privacy, individuata come “the right to be let alone” (28) . Il diritto alla privacy era considerato, già allora, come un diritto autonomo dotato di propria rilevanza e dignità (29) . Al di là di riferimenti, pratici, a termini quali pubblico interesse, consenso, proporzionalità, la parte più interessante era la definizione stessa del diritto, più filosofica che giuridica. Senza negare le componenti materiali del diritto alla privacy, connesse alla proprietà o al possesso, il cuore del diritto era la personalità inviolabile (30) . La protezione della personalità, in riferimento ai propri sentimenti più che alla propria reputazione, era il vero obiettivo (31) , e l’approccio spirituale ed etico era più ampio e centrale dell’approccio giuridico (32) .
Chiarito che il concetto di privacy non deve riguardare solo le componenti più evidenti e materiali (protezione dei dati personali, confidenzialità delle comunicazioni), ma anche aspetti più impalpabili (intimità, solitudine, anonimato, personalità), ne consegue che il concetto di privacy, tanto comune quanto giuridico, è particolarmente ampio e complesso. La privacy è un diritto dell’individuo, una garanzia minima, funzionale per altri diritti, che segna il confine tra i cittadini e i pubblici poteri, e fra i cittadini tra di loro.
La protezione della privacy, considerata nel suo significato più ampio, può essere ostacolata da una sorta di sospetto sociale, come se la privacy non fosse compatibile con la società e con la democrazia. Il diritto ad essere lasciati in pace, il diritto alla tranquillità individuale, non è incompatibile con la socievolezza e con la curiosità umana (33) , e non è incompatibile con il concetto stesso di società. La socievolezza non dovrebbe impedire alle persone di avere la possibilità di proteggere la loro privacy, in quanto è una questione di bilanciamento (34) di interessi confliggenti (35) , dove la volontà, il consenso, la proporzionalità (36) sono i criteri che tracciano i confini.
In questi termini, la privacy non è ne un ostacolo (37) né un lusso (38) per la democrazia e per lo sviluppo sociale, in quanto la privacy non è ristrettezza mentale e non è isolamento completo o rifiuto della società, che sarebbero, in ogni caso, scelte personali da rispettare. In effetti, la privacy dell’individuo è un elemento positivo per la vita pubblica (39) , e funzionale alla democrazia (40) , in quanto entrambe condividono la necessità del consenso, espresso, sia in ambito governativo, come legittimazione del proprio potere, sia in ambito individuale, in relazione a quella parte della vita privata da condividere con altre persone selezionate e con la società nel suo complesso (41) .
La privacy è uno stato di separazione, sotto diversi gradi, ma è uno stato cercato e agognato (42) . L’incomprensione tra diritto e privacy deriva da questo carattere etereo e raffinato. Mentre le violazioni di altri diritti fondamentali, come la libertà personale, l’integrità personale e la libertà di espressione, si esprimono spesso in fatti e comportamenti espliciti, le violazioni al diritto alla privacy si esprimono generalmente in fatti e comportamenti di minore percettibilità, ma non per questo di minore serietà per l’individuo.
In questo senso, gli abusi alla privacy non si verificano solo quando eventi ben definiti causano danni facilmente identificabili e valutabili, ma anche quando la semplice minaccia alla propria privacy pone l’individuo in una posizione di sostanziale disagio. Il concetto giuridico di abuso deve pertanto essere ampiamente interpretato quando collegato alla privacy, in quanto solo così può essere garantita una protezione reale. E’ per questi motivi che gli abusi alla privacy devono includere anche piccole violazioni quotidiane, che lentamente vanno ad incidere su un patrimonio intimo (43) e vulnerabile (44) , e non devono essere ristretti a perdite di tipo economico.
La protezione della privacy può in questo senso essere ostacolata non solo da fenomeni di sospetto sociale, ma anche da fenomeni di sospetto economico. La privacy può essere considerata un ostacolo alla ricerca del profitto, allo sviluppo del mercato, e all’iniziativa privata (45) . La privacy è definita quale diritto e libertà fondamentale, ma, per quanto strano possa apparire, essa non è inalienabile, in quanto a diversi livelli vi sono negoziazioni, scambi e cessioni di parti della propria riservatezza. Il problema è che si verifica spesso una vera e propria espropriazione, al di là di meccanismi di consenso, e, paradossalmente, il riconoscimento del valore economico dei dati personali non ha condotto ad una maggiore consapevolezza dei cittadini. Quando i dati personali divengono un bene commerciabile, i soggetti dei cui dati si tratta sono progressivamente spogliati del controllo su di essi, senza goderne i relativi benefici. I dati personali sono finanziariamente rilevanti in grandi numeri, quando sono aggregati; i dati del singolo individuo sono importanti per la persona, ma non sfruttabili commercialmente in modo diretto e diffuso.
L’approccio economico alla tutela dei dati personali (46) , guidato dalle regole del mercato, ha determinato una svalutazione del diritto alla riservatezza da diritto fondamentale a bene economico (47) , almeno per quanto riguarda il cittadino comune. Inoltre, quando gli individui capiscono che hanno implicitamente rinunciato a una parte dei propri diritti, senza avere nulla in cambio, e vogliono riavere indietro la loro intimità, il rilievo economico diventa un onere. Essi devono pagare (in termini di denaro o tempo, o entrambi) per usare mezzi tecnologici, devono pagare per sapere cosa gli altri sanno di loro, devono pagare per proteggersi da ulteriori intrusioni, devono pagare per far sì che chi raccoglie e chi utilizza i loro dati segua le regole poste dall’ordinamento. Il “self-help”, l’adozione di misure e tecnologie “privacy-enhancing” (48) possono essere utili in determinate occasioni, ma sono, più frequentemente, un fardello ingiustificato per gli individui.
La legge dovrebbe intervenire per un rinnovato bilanciamento degli interessi, per difendere le persone più deboli in termini di educazione, esperienza, conoscenze tecnologiche (49) . La legge ha invece fatto un passo indietro, lasciando che regole tecnologiche ed economiche, non derivanti da processi democratici rappresentativi, intervenissero per delineare un quadro di riferimento non equo e non ragionevole.
Riassumendo, il complesso, composito e affascinante concetto di privacy può essere distinto in cinque parti, complementari, ma anche dotate di una loro autonomia, che non ne consente la fusione completa in un unico diritto.
Il primo elemento è rappresentato dal diritto ad essere lasciati in pace, il diritto di decidere il proprio livello di integrazione con gli altri, il diritto di non essere soggetti a sorveglianza o controllo, pubblici o privati. Essere lasciati in pace è la richiesta più semplice e comprensibile, ma anche la più radicale. E’ la componente più tradizionale della privacy e la base per le altre, ma anche se è stata considerata una sintesi di tutte le altre, non esaurisce il concetto di privacy. L’essere lasciati in pace (nel senso di desiderata “solitude”, non di disperata “loneliness”), non è qualcosa di assoluto: l’oggetto è la propria sfera privata, che l’individuo deve essere in grado di definire secondo i propri desideri. Il diritto ad essere lasciati in pace significa poter scegliere: scegliere le persone con cui avere rapporti, scegliere il grado di integrazione, scegliere cosa far conoscere di sé agli altri, scegliere cosa conoscere degli altri.
Il secondo elemento è il diritto all’intimità tra due o più persone, il diritto a comunicare mantenendo le comunicazioni private, il diritto che le stesse non siano intercettate. È una privacy di tipo relazionale, che condivide con il diritto ad essere lasciati in pace la volontaria separazione dagli altri. In questo caso, la separazione è ricercata da due o più persone, che vogliono salvare l’esclusività della loro relazione.
Il terzo elemento è il diritto all’anonimato (o come sua forma minore il diritto all’uso di pseudonimi (50) ), il diritto a non lasciare tracce, il diritto a che non siano comparati, o incrociati, propri dati, informazioni, fatti, comportamenti. L’anonimato può garantire la capacità di esprimere la propria personalità e di compiere le proprie scelte al di fuori di un controllo sociale.
Il quarto elemento è il diritto alla protezione dei propri dati personali, il diritto di averne la disponibilità, di poterne controllare i flussi, il diritto di conoscere i percorsi delle proprie informazioni personali. Si tratta del diritto all’autodeterminazione informativa.
Il quinto elemento è il diritto alla personalità delle proprie decisioni, il diritto a non essere influenzati, il diritto di potersi esprimere, il diritto di scegliere comportamenti e stili di vita. Ad esso sono connessi solitudine e anonimato, ma la sua essenza è più ampia, in quanto comprende, da un lato, il diritto di avere accesso a tutte le informazioni di cui si ha bisogno e a cui si è interessati e, d’altra parte, il diritto di non essere soggetti a controllo sociale, il diritto di scegliere i propri percorsi formativi (51) .
Se queste sono le reali componenti della privacy, una corretta e adeguata tutela di quest’ultima non può prescindere dalla considerazione di tutti questi aspetti. Se l’Unione Europea vuole salvaguardare realmente la privacy degli individui, deve perciò cercare di andare al di là dei due profili, dati personali e comunicazioni, fino ad ora considerati, e completare il quadro di protezione.

2. Tutela della privacy e tutela dei dati personali nell’Unione Europea

L’Unione Europea considera la privacy come valore fondamentale, e ripetutamente dichiara, tanto a livello di principi quanto a livello di discipline settoriali, la sua rilevanza per la società e per l’individuo. Nonostante questo, il livello di protezione è a volte insoddisfacente, sono tollerati compromessi e sono presenti fraintendimenti sulla nozione stessa di privacy, e, soprattutto, sul rapporto tra essa e tutela dei dati personali.
Per quanto concerne i principi generali, la Carta dei Diritti Fondamentali dell’Unione Europea (Nizza, 2000), contiene due articoli dedicati in modo specifico alla tutela della riservatezza, ed inseriti nel Capo II, dedicato alle “Libertà”. L’art.7 (“Rispetto della vita privata e della vita familiare”) prevede, nell’unico comma, che “ogni individuo ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle sue comunicazioni”. L’art.8 (“Protezione dei dati di carattere personale”), diviso in tre commi, afferma il diritto per ogni individuo “alla protezione dei dati di carattere personale che lo riguardano” (comma 1); specifica i principi cui devono essere soggetti i trattamenti dei dati personali: “lealtà”, “finalità determinate”, “consenso della persona interessata” o “altro fondamento legittimo previsto dalla legge”, diritto dell’interessato “di accedere ai dati raccolti che lo riguardano e di ottenerne la rettifica“ (comma 2); affida al “controllo di un’autorità indipendente” il rispetto delle regole in materia (comma 3).
In sostanza, mentre l’art.7 afferma il diritto alla riservatezza, con particolare riferimento alla protezione del domicilio e delle comunicazioni, l’art.8 afferma, in modo parallelo, il diritto alla protezione dei dati personali, ma ne specifica anche, sia pure in via generale, criteri e modalità di tutela. Secondo lo schema della Carta di Nizza, diritto alla riservatezza e diritto alla protezione dei dati personali sembrano pertanto essere considerati quali diritti aventi pari dignità, e quindi diritti, in un certo senso, omologhi anche sotto il punto di vista ontologico. Questa impostazione non è condivisibile, in quanto assimila concetti diversi, in rapporto tra loro di specie a genere, o meglio di parte rispetto al tutto, ed in quanto concentra l’attenzione maggiormente sul termine speciale, parziale (dati personali), rispetto a quello generale, complessivo (vita privata, comprendente anche la vita familiare). D’altra parte, essa risente, da un lato, dell’influenza di documenti internazionali in materia, e, dall’altro, dalla normativa nel tempo adottata dalla stessa Comunità Europea in riferimento alla protezione dei dati personali.
L’art.7 della Carta di Nizza riprende sostanzialmente, fatto salvo un paio di modifiche puramente lessicali, l’art.8, comma 1 (52) , della Convenzione per la Salvaguardia dei Diritti dell’Uomo e delle Libertà Fondamentali (53) , adottata dal Consiglio d’Europa (54) (Roma, 1950), articolo inserito nel Titolo I, dedicato a “Diritti e Libertà”. La Carta di Nizza non riprende invece il comma 2 (55) dell’art.8 della Convenzione di Roma, comma nel quale, al di là dell’affermazione di principio del diritto, sono poste le prime generali garanzie di tutela. Tale comma prevede infatti che non possano esservi ingerenze di autorità pubbliche, se non in quanto previste dalla legge e necessarie per la protezione di interessi fondamentali di una società democratica, quali la sicurezza nazionale, la pubblica sicurezza e l’ordine pubblico, il benessere economico, la prevenzione dei reati, la protezione della salute o della morale, la protezione dei diritti e libertà altrui.
Un ulteriore riferimento, questa volta non solo a livello europeo, ma mondiale, è inoltre fornito dall’art.17 del Patto Internazionale relativo ai Diritti Civili e Politici delle Nazioni Unite (New York, 1966). Tale articolo, che nella versione originale in inglese parla espressamente di protezione della “privacy” (e non più della “private life”, di cui all’art.8 della Convenzione del 1950 del Consiglio d’Europa), e non solo di domicilio e corrispondenza, da interferenze arbitrarie e illegittime, comprende nell’ambito di tale protezione anche l’onore e la reputazione dell’individuo, quali diritti fondamentali fortemente legati alla salvaguardia della riservatezza (56) .
L’art.17, inoltre, stabilisce un “diritto” alla tutela da parte della legge”, e quindi, di fatto, un obbligo per gli Stati di approntare un quadro di protezione a livello normativo (57) .
Se è vero che la nozione di privacy, ed i suoi confini, non possono essere individuati precisamente nell’ambito della Carta di Nizza, i cui obiettivi estremamente generali sono compatibili con dichiarazioni di principio vaghe nella loro espressione lessicale, stupisce e preoccupa che i riferimenti continentali e globali precedenti siano stati trasposti nel loro contenuto minimo, eliminando le parti più puntuali che andavano al di là della semplice affermazione di principio. L’analisi dei testi dei diversi articoli mostra come l’art.7 della Carta di Nizza sia piuttosto scarno e parzialmente incompleto, se comparato agli altri, e come, in esso, manchi proprio la parte che pone, sia pure in modo a volte indiretto e comunque in modo generico, un obbligo in capo agli Stati.
Il fatto è che a livello comunitario non esiste una normativa dedicata alla protezione della privacy, ma solo una normativa dedicata alla protezione dei dati personali, nei cui confronti la privacy si pone quale principio astratto di riferimento, da richiamare nei considerando introduttivi, più che come interesse sostanziale da tutelare. Nel momento in cui una Carta dei Diritti (e una Costituzione), nasce successivamente ad una legislazione consolidata, i principi fondamentali tendono ad essere costituiti sulla base della più limitata enunciazione degli stessi che è possibile in atti di legislazione settoriale o trasversale, con la possibilità di dimenticare parti non soggette, fino a quel momento, a una specifica e compiuta legislazione.
A partire dalla direttiva 95/46/CE, direttiva quadro per la protezione dei dati personali, l’attenzione del legislatore comunitario si è concentrata sulla tutela di tali dati, non salvaguardando adeguatamente gli altri aspetti della privacy. Nello stesso senso, anche altre direttive che, pur non occupandosi direttamente né di privacy né di dati personali, affrontano problematiche connesse, tendono ad identificare la tutela della prima con la protezione dei secondi: si pensi alle direttive in materia di contratti a distanza (58) , apparecchiature terminali di telecomunicazione (59) , commercio elettronico (60) , diritto d’autore (61) , firma digitale (62) , reti e servizi di comunicazioni elettroniche (63) .
Per quanto riguarda più direttamente la tutela della privacy, l’Unione Europea, oltre ad avere emanato documenti ufficiali che si occupano di aspetti, quali ad esempio la protezione dei minori e della dignità umana (64) , strettamente collegati ad un concetto generale di riservatezza, ha emanato, nel settore delle comunicazioni elettroniche, la direttiva 2002/58/CE, il cui titolo fa riferimento espresso ad entrambi i termini: trattamento dei dati personali e protezione della privacy. Da un lato, la direttiva 2002/58/CE adatta il contenuto della precedente direttiva 97/66/CE (65) , abrogandola e sostituendola, agli sviluppi tecnologici ed economici propri dei servizi di comunicazione elettronica, al fine di fornire un livello soddisfacente di tutela per gli utenti. Dall’altro, essa integra e specifica la direttiva 95/46/CE (66) . In questo senso, la direttiva 2002/58/CE non si applica alle attività riguardanti la difesa e la sicurezza nazionale (67) , non incidendo sul potere degli Stati membri di effettuare intercettazioni di comunicazioni e di adottare altre misure, in quanto necessarie, appropriate e strettamente proporzionate agli scopi (68) .
Se compariamo l’approccio dell’Unione Europea con l’approccio degli Stati Uniti, emerge ancora di più come vi sia stata una ridotta percezione dei contenuti della nozione di privacy e come, conseguentemente, la disciplina sia fortemente sbilanciata in favore delle preoccupazioni relative ai dati personali.
A differenza degli Stati Uniti, che fanno affidamento su un approccio settoriale alle problematiche relative alla privacy, basato su misure legislative, regolamentari e di autoregolamentazione (69) , l’Unione Europea fa affidamento, come visto, su un quadro legislativo sia generale che settoriale (70) particolarmente preciso e approfondito. Come sistema di civil law, dove il ruolo della giurisprudenza è sempre più rilevante, ma comunque sussidiario, l’Unione europea ha naturalmente bisogno di regolamentazioni particolareggiate.
D’altra parte, sul piano dei principi, mentre l’Unione Europea ha ora delle norme specifiche dedicate alla privacy (o ad alcune componenti di essa), gli artt.7 e 8 della Carta di Nizza, che verranno ad essere inserite nella Costituzione europea, gli Stati Uniti non hanno, né nella Costituzione, né nel Bill of Rights, disposizioni espresse in materia. Le aspettative di tutela dovrebbero pertanto essere più alte in ambito europeo che statunitense. Non sempre è così, ma non solo per motivi strettamente giuridici. Il fatto è che la privacy è un sentimento, prima ancora che un diritto, innato nella cultura e nella società americana, mentre nell’Unione Europea, o meglio in alcuni Stati dell’Unione Europea estranei alla cultura anglosassone, è la legislazione, e non il comune sentire dei cittadini, il motore che porta al rispetto, alla protezione e al riconoscimento del diritto alla privacy. In un certo senso, la privacy è più un diritto “imposto”, o quantomeno “suggerito”, che un diritto naturalmente apprezzato. E la differenza è ancora più sensibile se si confronta il diverso grado di diffidenza nei confronti delle possibili intrusioni nella sfera privata dell’individuo da parte del Governo, anche in periodi, come quello attuale, in cui esigenze di sicurezza e preoccupazioni legate al terrorismo sono particolarmente marcate (71) .
In ogni ambiente democratico, attento alle esigenze ed alle aspettative dei cittadini, la privacy è un diritto, una libertà e un principio di grande valore e significato. Il suo fascino deriva dall’intimità del contenuto, che costituisce anche, di converso, il suo maggior problema, se confuso con una sterile astrattezza. La protezione della privacy non può essere completa e soddisfacente se non se ne definiscono le componenti e conseguentemente gli strumenti più idonei di tutela in relazione alla diversa categoria di interessi.
Per quanto riguarda l’Unione Europea ci sono una serie di possibili equivoci che necessitano di attenzioni e analisi particolari. Il principale equivoco riguarda il concetto stesso di privacy, che direttive e atti comunitari non definiscono, ma danno comunque, più o meno implicitamente, per presupposto, e, in particolare, il rapporto con la protezione dei dati personali.

3. Definizioni mancanti ed equivoci nella disciplina comunitaria

Né le direttive settoriali, né altri documenti ufficiali comunitari forniscono criteri sicuri e consolidati per definire chiaramente cosa sia, per il diritto comunitario, la privacy. Anche questo può stupire e preoccupare, considerato che il diritto comunitario è propenso, negli atti di natura legislativa, a definire ogni concetto e nozione prima di approntare il quadro di regolamentazione. Da un lato ciò è comprensibile, in quanto definire in poche parole il concetto di “privacy” è tutt’altro che semplice, e forse anche pericoloso a fini applicativi. Ma, dall’altro lato, ciò può essere anche più pericoloso, in quanto l’assoluta mancanza di criteri può portare ad una minore tutela derivante dalla mancata considerazione dell’interesse fondamentale nella sua interezza, a vantaggio di tutele parziali riferite a quelle “parti” della privacy che hanno ottenuto, per motivi diversi, una maggiore attenzione da parte del legislatore (72) .
Il fatto è che la protezione dei dati personali non esaurisce, di per sé sola, le aspettative di privacy degli individui. Può costituire una parte della privacy, la parte più visibile, la parte maggiormente suscettibile di valutazioni economiche. Può rappresentare uno strumento, un mezzo per la migliore protezione (o per la più invasiva minaccia) delle altre componenti della privacy. Può anche rappresentare qualcosa di differente, certamente collegato, ma separato dalla privacy. Ma, in ogni caso, non può sussistere una completa coincidenza, né di carattere terminologico, né di carattere operativo, né di carattere regolamentare, tra protezione dei dati personali e protezione della privacy.
La distinzione è in primo luogo semantica, e deriva dalla semplificazione che il linguaggio giornalistico e comune comportano rispetto al linguaggio giuridico. Le direttive comunitarie in materia riguardano principalmente la protezione dei dati personali, ma esse sono conosciute comunemente come le direttive sulla privacy (quando, ad esempio, il titolo della direttiva 95/46/CE non menziona nemmeno la privacy), probabilmente sotto l’influsso degli ordinamenti anglosassoni (73) . Del resto, le norme delle direttive fanno riferimento alla protezione della privacy in generale in più punti, ma senza mai delimitare i confini con la protezione dei dati personali.
Le autorità indipendenti che devono garantire l’applicazione della normativa, comunitaria e nazionale, sono ugualmente conosciuti comunemente in riferimento alla privacy (il “Garante della privacy”), nonostante il loro nome ufficiale faccia riferimento, nuovamente, ai dati personali (“Garante per la protezione dei dati personali”), anche perché tali organismi cercano di estendere il loro campo di azione ad oggetti che vanno al di là della mera protezione di dati personali. Il Working Party on the Protection of Individuals with Regard to the Processing of Personal Data (conosciuto come Article 29 Working Party, o come Data Protection Working Party), istituito dall’art.29 della direttiva 95/46/CE, si autodefinisce quale organismo indipendente dell’Unione Europea in material di dati personali e privacy (74) .
Non si tratta solamente di una semplificazione semantica, in quanto la protezione dei dati personali ha assorbito la maggior parte degli sforzi di regolazione, lasciando le altre componenti della privacy sostanzialmente sfornite di tutela. Ciò significa che l’Unione Europea protegge i dati personali, ma non protegge adeguatamente la privacy in quanto non siano coinvolti dati personali. Il che, specie in determinati settori (ad esempio, in rete) comporta conseguenze particolarmente negative.
La privacy non è solo una relazione tra un individuo e i suoi dati personali, ma è qualcosa di molto più complesso, profondo e composito, che coinvolge il ben più ampio rapporto tra l’individuo e il mondo esterno. D’altra parte, le problematiche attinenti alla protezione dei dati personali, emerse in tempi relativamente recenti rispetto ad altre problematiche attinenti alla privacy, hanno determinato un diverso approccio del legislatore comunitario. Certamente, i dati personali hanno due caratteristiche che li rendono “regolamentabili”: da un lato, essi sono “visibili”, materiali, e hanno un immediato valore economico, come il direct marketing e il commercio elettronico dimostrano. Ma ciò non giustifica il fatto che le altre componenti della privacy siano state trascurate.
Per quanto concerne le prime generali dichiarazioni di principi in materia di diritti fondamentali, non vi erano specifiche disposizioni riguardanti i dati personali. L’art.8 della Convenzione del Consiglio d’Europa del 1950 e l’art.17 del Patto delle Nazioni Unite del 1966 proteggono la riservatezza in riferimento a vita privata, vita familiare, domicilio e corrispondenza. I dati personali non sono menzionati, anche se sono implicitamente protetti come parte della riservatezza dell’individuo.
La situazione cambia quando convenzioni internazionali settoriali, dedicate ai dati personali, si aggiungono alle dichiarazioni generali sui diritti fondamentali. In particolare, la Convenzione per la protezione delle persone rispetto al trattamento automatico di dati personali (75) del Consiglio d’Europa (Strasburgo, 1981) considera i rischi per la privacy di tali trattamenti. Lo scopo della Convenzione è proprio quello di garantire, “il rispetto dei diritti e delle libertà fondamentali, ed in particolare del diritto alla vita privata, nei confronti dell’elaborazione automatizzata dei dati di carattere personale che la riguardano” (art.1, Convenzione di Strasburgo). D’altra parte, il testo dell’art.1 può essere fuorviante, in quanto fa sembrare che l’oggetto di protezione siano i dati personali, quando, invece, è l’individuo che dovrebbe essere protetto dagli abusi che altri soggetti potrebbero compiere dei suoi dati personali.
In sostanza, si è compiuta una oggettivizzazione della tutela, comprensibile forse dal punto di vista operativo, ma pericolosa dal punto di vista teorico: il vero termine di protezione è l’individuo, non i dati e le informazioni personali (76) . I dati sono rilevanti, essi possono essere considerati sotto un profilo proprietario, e devono essere protetti, ma quando si crea una commistione tra soggetto, l’individuo, i cui diritti fondamentali devono essere tutelati, ed oggetto, i dati personali, la cui protezione è funzionale alla protezione della privacy, anche il grado di tutela ne può risentire. E tale impostazione è stata poi fatta propria dalle direttive settoriali emanate dalla Comunità Europea.
Del resto, nel 1980, un anno prima della Convenzione di Strasburgo del Consiglio d’Europa, l’Organizzazione per la Cooperazione Economica e lo Sviluppo (OCSE), considerando l’aumento dei trattamenti automatizzati e i conseguenti pericoli per la privacy, aveva emanato una Recommendation contenente Linee Guida per la protezione della privacy ed il flusso transfrontaliero di dati personali (77) .
Le Linee Guida (78) , tenendo conto degli interessi degli Stati membri nel proteggere la privacy e le libertà individuali mettono insieme, e confondono, i due oggetti di tutela, e considerano la privacy quale un interesse contrapposto con il libero flusso delle informazioni, la cui rilevanza sociale ed economica è in ogni caso riconosciuta. Le Linee Guida dell’OCSE si applicano ai dati personali che pongono un pericolo “to privacy and individual liberties”, in virtù del modo in cui i dati sono trattati o la natura e il contesto in cui sono utilizzati (79) . I principi affermati sono la base di successive regolamentazioni degli Stati membri e della Comunità Europea: limiti alla raccolta, qualità dei dati, specificazione dello scopo, limiti all’uso, norme di sicurezza, apertura, partecipazione, responsabilità (80) .
Il Memorandum esplicativo alle Linee Guida OCSE involontariamente evidenzia la difficile distinzione tra protezione della privacy e protezione dei dati personali. Dopo avere rimarcato l’intensificazione delle attività legislative che si occupano di privacy e dati personali, il Memorandum suggerisce una nuova classificazione, che nasce peraltro da un assunto non dimostrato. Il Memorandum distingue la privacy in senso tradizionale “i.e. abuse or disclosure of intimate personal data”, da un più ampio concetto di privacy che identifica una più complessa sintesi di interessi che possono forse essere definiti più correttamente quale “privacy and individual liberties (81)” .
Il processo interpretativo può avere una sua logicità, ma va in qualche modo a rovescio. La privacy è un concetto complesso, e il suo significato tradizionale, dall’articolo di Warren e Brandeis (82) in avanti (83) ha sempre coinvolto sia componenti materiali che componenti psicologiche (84) , quasi “metafisiche”. Il bisogno di definire tale ampio concetto di privacy come qualcosa di più e di diverso, crea due inutili livelli di privacy. La protezione dei dati personali è funzionale alla protezione della privacy, come la protezione della privacy può essere funzionale alla protezione e alla promozione di altri diritti e libertà. La privacy ha però, quale diritto fondamentale, una sua dignità e proprie caratteristiche, e non ha bisogno né di essere divisa, né di essere unita con altri diritti o libertà.

Il legislatore comunitario, nel momento in cui ha disciplinato la protezione dei dati personali, ha tratto ispirazione dalle Linee Guida dell’OCSE sui flussi transfrontalieri di dati personali, che forniscono degli standards minimi per le legislazioni nazionali, ma non sono legalmente vincolanti, e dalla Convenzione del Consiglio d’Europa sul trattamento automatizzato dei dati personali (85) , che è vincolante per gli Stati che hanno proceduto alla ratifica. Sfortunatamente, mentre i principi generali affermati dalle Nazioni Unite nel Patto del 1966, o dallo stesso Consiglio d’Europa nella Convenzione di Roma del 1950, consideravano la privacy in se stessa, senza specifici riferimenti a dati personali, le Linee Guida dell’OCSE del 1980 e la Convenzione di Strasburgo del 1981 hanno spostato la loro attenzione sui dati personali, e sul flusso e sul trattamento degli stessi, e la privacy, come principio generale, è stata in parte dimenticata. Se è vero che la protezione dei dati personali è maggiormente suscettibile di regolamentazione pubblica, è anche vero che questa attenzione quasi esclusiva sui dati non ha affatto aiutato la comprensione giuridica delle problematiche attinenti alla privacy.
Non sorprendentemente, quindi, alla protezione dei dati personali è stato dedicato un apposito articolo nella Carta di Nizza, autonomo rispetto all’articolo dedicato alla privacy. E’ interessante notare inoltre non solo la diversa ampiezza dei due articoli, ma anche i termini utilizzati. Mentre la vita privata e familiare devono essere oggetto di “rispetto”, i dati personali sono invece oggetto di “protezione”. Anche se in una dichiarazione di principi, considerando gli scopi della Carta di Nizza, i due termini possono essere considerati analoghi, rivestendo un significato più politico che strettamente giuridico, non si può nascondere che per i dati è stato utilizzato un termine (protezione) più penetrante e di più facile applicabilità di quello (rispetto) utilizzato in riferimento al vero diritto, la privacy. D’altra parte, è anche vero che i dati personali possono essere raccolti, trattati, utilizzati e, quindi, protetti, ma non rispettati, mentre la privacy, nel suo significato più intimo e personale, deve essere non solo protetta, ma anche, prima ancora, rispettata.
Per quanto concerne le direttive relative ai dati personali, non solo esse si astengono dall’identificare il concetto di privacy, ma esse tendono anche ad usare il termine “privacy” in modi confusi ed estemporanei, nella loro diversa possibile associazione con i dati personali.
La direttiva 95/46/CE riconosce il valore del diritto alla privacy come un diritto e una libertà fondamentali, che deve essere rispettato dai sistemi di elaborazione dati (86) , e armonizzato, attraverso un avvicinamento delle legislazioni (87) . Allo stesso modo, la direttiva 2002/58/CE riconosce lo stesso valore, ma si riferisce più alle dichiarazioni generali di principi che alle Convenzioni sulla protezione dei dati. In questo senso, si riferisce agli artt.7 e 8 della Carta di Nizza (88) e, per quanto riguarda la confidenzialità delle comunicazioni, alla Convenzione del Consiglio d’Europa per la protezione dei diritti dell’uomo (89) . Inoltre, la direttiva 2002/58/CE evidenzia i rischi per la privacy che le reti digitali e i servizi di comunicazione elettronica accessibili al pubblico sempre più pongono (90) .
Un percorso analogo è stato seguito dalle diverse Raccomandazioni del Consiglio d’Europa dedicate alla protezione dei dati personali, in relazione a pagamenti (91) , o di enti pubblici (92) , o nell’area dei servizi di telecomunicazione (93) . Anche se la privacy non è citata nei titoli di tali Raccomandazioni, esse sottolineano i rischi e le violazioni alla privacy che derivano dal cattivo uso del trattamento di dati personali. Tutte le Raccomandazioni affermano il necessario rispetto della privacy: in se stessa (94) , in connessione con la protezione dei dati personali (95) , in connessione con la segretezza della corrispondenza e la libertà di comunicazione (96) .
La privacy appare infine nel titolo della Raccomandazione dedicata al trattamento dei dati personali in Internet )97) . La Raccomandazione afferma che il rispetto per la privacy è un diritto fondamentale di ogni individuo, che può essere “anche” protetto dalla legislazione sui dati personali (98) .
Finalmente è chiaro che la protezione dei dati personali è solo una parte della protezione della privacy, e che i dati personali sono solo una parte del patrimonio privato dell’individuo.
Riassumendo, la privacy non è stata sempre considerata dalla legislazione comunitaria come un interesse unitario, sia pure composito. Anche se la Carta di Nizza considera la privacy come il vero diritto da proteggere, la visibilità, la “regolamentabilità”, la rilevanza economica dei dati personali hanno comportato un’espansione dell’attenzione dedicata a questi ultimi, come se in tale attenzione si potesse esaurire la protezione dell’individuo in riferimento alla sua sfera privata. Dopo un timido ingresso nelle dichiarazioni internazionali e nella legislazione comunitaria, la protezione dei dati personali ha gradualmente costituito il principale, se non esclusivo, oggetto di tutela nel settore della privacy, lasciando sostanzialmente sprovviste di tutela le altre, più intime, parti.
Le convenzioni internazionali sui diritti fondamentali, e la stessa Carta di Nizza mostrano chiaramente come dati personali e privacy non coincidano (99) , e come le aspettative di protezione della seconda non possano essere soddisfatte dalla tutela dei primi. Ciò nonostante, le direttive comunitarie non tentano di definire la privacy e di proteggere le altre componenti. Una insoddisfacente protezione della privacy (100) può derivare anche da una insoddisfacente protezione dei dati personali, ma l’aspetto principale è che neanche una perfetta legislazione sui dati personali potrebbe proteggere completamente la privacy degli individui (101) .

— *** —

1. Cfr. PARKER, R., A Definition of Privacy, in Rutgers Law Review, 1974, 27, pp.275 ss.
2. Cfr. SCHOEMAN F.D., Privacy: Philosophical Dimensions of the Literature, in Philosophical Dimensions of Privacy: an Anthology (a cura di Schoeman), Cambridge University Press, New York, NY, 1984, pp.1 ss.
3. Cfr. WESTIN A.F., Privacy and Freedom, Atheneum, New York, NY, 1967, pp.8 ss.
4. Cfr. NISSENBAUM, H, Protecting Privacy in an Information Age: the Problem of Privacy in Public, in Law and Philosophy, 1998, 17, pp.559 ss.
5, FROSINI, V., La protezione della riservatezza nella società informatica, in Privacy e banche dei dati, Bologna, 1981, pp.37 ss.
6. Cfr. SCHATZ BYFORD, K., Privacy in Cyberspace: Constructing a Model of Privacy for the Electronic Communications Environment, in Rutgers Computer & Technology Law Journal, 1998, 24, pp.1 ss.
7. Cfr. INNESS J.C., Privacy, Intimacy and Isolation, Oxford University Press, New York, NY, 1992, pp.6 ss.
8. Cfr KATSH M.E., Law in a digital world, Oxford University Press, New York, NY, 1995, pp.228 ss.
9. La Carta dei Diritti Fondamentali è stata firmata a Nizza il 7 dicembre 2000, ed è destinata ad essere inserita nell’ambito della Costituzione europea.
10. Art.1, Carta di Nizza: “La dignità umana è inviolabile. Essa deve essere rispettata e tutelata”.
11. Art.3, comma 1, Carta di Nizza: “Ogni individuo ha diritto alla propria libertà fisica e psichica”.
12. Art.10, comma 1, Carta di Nizza: “Ogni individuo ha diritto alla libertà di pensiero, di coscienza e di religione”.
13. Art.11, comma 1, Carta di Nizza: “Ogni individuo ha diritto alla libertà di espressione”, che include “la libertà di opinione e la libertà di ricevere o di comunicare informazioni e idee senza che vi possa essere ingerenza da parte delle autorità pubbliche e senza limiti di frontiera”.
14. Art.14, comma 1, Carta di Nizza: “Ogni individuo ha diritto all’istruzione”.
15. Art.24, comma 1, Carta di Nizza: “I bambini hanno diritto alla protezione e alle cure necessarie per il loro benessere”; art.24, comma 2, Carta di Nizza: “In tutti gli atti relativi ai bambini, siano essi compiuti da autorità pubbliche o da istituzioni private, l’interesse superiore del bambino deve essere considerato preminente”.
16. Il Patto (International Covenant on Civil and Political Rights), adottato dall’Assemblea Generale delle Nazioni Unite il 16 dicembre 1966 con la Risoluzione 2200A (XXI), è entrato in vigore il 23 marzo 1976; lo Stato italiano ha proceduto alla ratifica con legge 25 ottobre 1977, n.881.
17. V. anche art.9, comma 1, Convenzione di Roma del Consiglio d’Europa.
18. V. anche art.10, comma 1, Convenzione di Roma del Consiglio d’Europa, che include la “libertà” di opinione nella libertà di espressione.
19. Ai sensi dell’art.19, comma 3, del Patto delle Nazioni Unite, la libertà di espressione, in quanto porta con sé speciali doveri e responsabilità, può essere soggetta a determinate restrizioni; in ogni caso, queste restrizioni devono essere espressamente stabilite dalla legge ed essere necessarie per il rispetto dei diritti o della reputazione altrui; o per la salvaguardia della sicurezza nazionale, dell’ordine pubblico, della sanità o della morale pubbliche”; l’art.10, comma 2, della Convenzione di Roma del Consiglio d’Europa afferma che l’esercizio della libertà di espressione “può essere sottoposto a determinate formalità, condizioni, restrizioni o sanzioni previste dalla legge e costituenti misure necessarie, in una società democratica, per la sicurezza nazionale, l’integrità territoriale o l’ordine pubblico, la prevenzione dei disordini e dei reati, la protezione della salute e della morale, la protezione della reputazione o dei diritti altrui, o per impedire la divulgazione di informazioni confidenziali o per garantire l’autorità e la imparzialità del potere giudiziario”.
20. Direttiva 95/46/CE del Parlamento Europeo e del Consiglio del 24 ottobre 1995 relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
21. Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (“direttiva relativa alla vita privata e alle comunicazioni elettroniche”).
22. Cfr. BEARDSLEY, E.L., Privacy: Autonomy and Selective Disclosure, in Privacy – Nomos XIII (Pennock & Chapman editors), Atherton Press, New York, NY, 1971, pp.56 ss.
23. Cfr. HALMOS, P., Solitude and Privacy, Routledge, London, pp.102 ss.
24. Cfr. WESTIN, A.F., Privacy and Freedom, Atheneum, New York, NY, 1967, p.7 ss.
25. Cfr. SCHOEMAN, F.D., Privacy and Social Freedom, Cambridge University Press, New York, NY, 1992, pp.94 ss.
26. Cfr. DECEW, J.W., In Pursuit of Privacy. Law, Ethics, and the Rise of Technology, Cornell University Press, Ithaca, NY, 1997, pp.73 ss.
27. Cfr. SCOGLIO, S., Transforming Privacy. A Transpersonal Philosophy of Rights, Praeger, Westport, CT, 1998, pp.1 ss.
28. Cfr. WARREN, S., BRANDEIS, L.D., The Right to Privacy, 4 Harv. L. Rev., 1890, pp.193 ss.; si veda anche la dissenting opinion di Brandeis, diventato giudice della Corte Suprema, nel caso Olmstead v. United States, 277, U.S. 438, 478 (1928): “The makers of our Constitution undertook to secure conditions favorable to the pursuit of happiness. They recognized the significance of man’s spiritual nature, of his feelings and of his intellect. They knew that only part of the pain, pleasure and satisfactions of life are to be found in material things. They sought to protect Americans in their beliefs, their thoughts, their emotions and their sensations. They conferred as against the Government, the right to be let alone – the most comprehensive of rights and the right most valued by civilized man”.
29. Cfr. ELDER, D.A., The Law of Privacy, Clark Boardman, New York, NY, 1991, pp.1 ss.
30. BALDASSARRE, A., Privacy e Costituzione: L’esperienza statunitense, Roma, 1974, pp.9 ss.
31. Cfr. HOFSTADTER, S.H., HOROWITZ, G., The Right of Privacy, Central Book Co., New York, NY, 1964, pp.17 ss.
32. Cfr. HIXSON, R.F., Privacy in a Public Society. Human Rights in Conflict, Oxford University Press, New York, NY, 1987, pp.29 ss.
33. Cfr. TAPPER, C., Computer Law, Longman, New York, NY, 1983, pp.119 ss.
34. Cfr. VAN DEN HAAG, E., On Privacy, in Privacy – Nomos XIII (Pennock & Chapman editors), Atherton Press, New York, NY, 1971, pp.153 ss.
35. Cfr. GOLDMAN, J., Privacy and Individual Empowerment in the Interactive Age, in Visions of Privacy: Policy Choices for the Digital Age (Bennett & Grant editors), University of Toronto Press, Toronto, CA, 1999, pp.101 ss.
36. Cfr. ETZIONI, A., The Limits of Privacy, Basic Books, New York, NY, 1999, pp.10 ss.
37. Cfr. WESTIN, A.F., Privacy and Freedom, Atheneum, New York, NY, 1967, pp.23 ss.
38. Cfr. WESTIN, A.F., Privacy and Freedom, Atheneum, New York, NY, 1967, pp.52 ss.
39. Cfr. MATTEUCCI, N., Introduzione: pubblico e privato, in Privacy e banche dei dati, Bologna, 1981, pp.19 ss.
40. Cfr. FRIEDRICH, C.J., Secrecy versus Privacy: the Democratic Dilemma, in Privacy – Nomos XIII (Pennock & Chapman editors), Atherton Press, New York, NY, 1971, pp.105 ss.
41. Cfr. RAAB C.D., Privacy, Democracy, Information, in The Governance of Cyberspace (Loader editor), Routledge, New York, NY, London, UK, 1997, pp.155 ss.
42. Cfr. WEINSTEIN, M.A., The Uses of Privacy in the Good Life, in Privacy – Nomos XIII (Pennock & Chapman editors), Atherton Press, New York, NY, 1971, pp.88 ss.
43. Cfr. GERSTEIN, R.S., Intimacy and Privacy, in Philosophical Dimensions of Privacy: an Anthology (Schoeman editor), Cambridge University Press, New York, NY, 1984, pp.265 ss.
44. Cfr. SCHOEMAN, F.D., Privacy and Social Freedom, Cambridge University Press, New York, NY, 1992, pp.19 ss.
45. Cfr. BRANSCOMBE, A.W., Who Owns Information? From Privacy to Public Access, Basic Books, New York, NY, 1994, pp.178 ss.
46. Cfr. MURPHY, R.S., Property rights in Personal Information, in Georgetwon Law Journal, 1974, 84, pp.2381 ss.
47. Cfr. DAVIES, S.G., Re-Engineering the Right to Privacy: how Privacy Has Been Transformed from a Right to a Commodity, in Technology and Privacy: the New Landscape (Agre & Rotenberg editors), The MIT Press, Cambridge, MA, 1997, pp.143 ss.
48. V. Data Protection Working Party, Working Document del 21 novembre 2000, “Tutela della vita privata su Internet – Un approccio integrato dell’EU alla protezione dei dati on-line” mostra chiaramente, nel Capitolo 9, la vasta gamma di questo tipo di misure, ma allo stesso tempo mostra quanto il self-help possa costare al cittadino in termini di tempo e denaro, specialmente per le persone che non hanno conoscenze tecnologiche avanzate.
49. RODOTA’, S., Tecnologie e diritti, Bologna, 1995, pp.104 ss.
50. V. Raccomandazione No. R(99)5 del Consiglio d’Europa (comma II.4); v. direttiva 1999/93/CE sulle firme elettroniche (art.8, comma 3); v. Data Protection Working Party, Raccomandazione 2/2001 del 17 Maggio 2001 (punto 22).
51. Sulla costruzione di un nuovo concetto di privacy, v., più diffusamente, LUGARESI, N, Internet, privacy e pubblici poteri negli Stati Uniti, Milano 2000, pp.67 ss.
52. Art.8, comma 1, Convenzione di Roma del Consiglio d’Europa: “Ogni persona ha diritto al rispetto della sua vita privata e familiare, del suo domicilio e della sua corrispondenza”.
53. La Convenzione (Convention for the Protection of Human Rights and Fundamental Freedoms) del Consiglio d’Europa è stata stipulata a Roma il 4 novembre 1950, ed è entrata in vigore il 3 settembre 1953; lo Stato italiano ha proceduto alla ratifica con legge 4 agosto 1955, n.848.
54. Il Consiglio d’Europa è un’organizzazione, diversa dall’Unione Europea, aperta a qualsiasi Stato europeo che rispetta il principio dello Stato di diritto e garantisce a tutti i soggetti sotto la propria giurisdizione i diritti umani e le libertà fondamentali: ne fanno parte quasi tutti gli Stati europei (e tutti gli Stati facenti parte dell’Unione Europea).
55. V. art.8, comma 2, Convenzione di Roma del Consiglio d’Europa: “Non può esservi ingerenza della pubblica autorità nell’esercizio di tale diritto se non in quanto tale ingerenza sia prevista dalla legge e in quanto costituisca una misura che, in una società democratica, è necessaria per la sicurezza nazionale, l’ordine pubblico, il benessere economico del paese, la prevenzione dei reati, la protezione della salute o della morale, o la protezione dei diritti e delle libertà altrui”.
56. Art.17, comma 1, Patto delle Nazioni Unite: “Nessuno può essere sottoposto ad interferenze arbitrarie o illegittime nella sua vita privata, nella sua famiglia, nella sua casa o nella sua corrispondenza, né a illegittime offese al suo onore e alla sua reputazione”.
57. Art.17, comma 2, Patto delle Nazioni Unite: “Ogni individuo ha diritto ad essere tutelato dalla legge contro tali interferenze od offese”.
58. Direttiva 97/7/CE del Parlamento europeo e del Consiglio del 20 maggio 1997 riguardante la protezione dei consumatori in materia di contratti a distanza.
59. Direttiva 1999/5/CE del Parlamento europeo e del Consiglio, del 9 marzo 1999, riguardante le apparecchiature radio e le apparecchiature terminali di telecomunicazione e il reciproco riconoscimento della loro conformità.
60. Direttiva 2000/31/CE del Parlamento europeo e del Consiglio dell’8 giugno 2000 relativa a taluni aspetti giuridici dei servizi della società dell’informazione, in particolare il commercio elettronico, nel mercato interno («direttiva sul commercio elettronico»).
61. Direttiva 2001/29/CE del Parlamento europeo e del Consiglio, del 22 maggio 2001, sull’armonizzazione di taluni aspetti del diritto d’autore e dei diritti connessi nella società dell’informazione.
62. Direttiva 1999/93/CE del Parlamento europeo e del Consiglio, del 13 dicembre 1999, relativa ad un quadro comunitario per le firme elettroniche.
63. Direttiva 2002/19/CE Direttiva 2002/19/CE del Parlamento europeo e del Consiglio, del 7 marzo 2002, relativa all’accesso alle reti di comunicazione elettronica e alle risorse correlate, e all’interconnessione delle medesime (“direttiva accesso”); direttiva 2002/20/CE del Parlamento europeo e del Consiglio, del 7 marzo 2002, relativa alle autorizzazioni per le reti e i servizi di comunicazione elettronica (“direttiva autorizzazioni”); direttiva 2002/21/CE del Parlamento europeo e del Consiglio, del 7 marzo 2002, che istituisce un quadro normativo comune per le reti ed i servizi di comunicazione elettronica (“direttiva quadro”); direttiva 2002/22/CE del Parlamento europeo e del Consiglio, del 7 marzo 2002, relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica (“direttiva servizio universale”).
64. Raccomandazione 98/560/CE del Consiglio del 24 settembre 1998 concernente lo sviluppo della competitività dell’industria dei servizi audiovisivi e d’informazione europei attraverso la promozione di strutture nazionali volte a raggiungere un livello comparabile e efficace di tutela dei minori e della dignità umana.
65. Direttiva 97/66/CE del Parlamento europeo e del Consiglio del 15 dicembre 1997 sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle telecomunicazioni: formalmente la direttiva 97/66/CE si riferiva perciò alle telecomunicazioni, mentre la direttiva 2002/58/CE si riferisce alle comunicazioni elettroniche.
66. V. art.1, comma 2, direttiva 2002/58/CE; v. anche il considerando 10 della direttiva.
67. V. art.1, comma 3, direttiva 2002/58/CE, in conformità all’art.3, comma 2, direttiva 95/46/CE.
68. V. considerando 11, direttiva 2002/58/CE.
69. Cfr. LESSIG, L., Code and other laws of cyberspace, Basic Books, New York, NY, 1999, pp.159 ss.
70. V. Safe Harbor Privacy Principles, emanati dal Department of Commerce degli Stati Uniti il 21 luglio 2000, allegato I alla Decisione 2000/520/CE della Commissione, del 26 luglio 2000, a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio sull’adeguatezza della protezione offerta dai principi di approdo sicuro e dalle relative «Domande più frequenti» (FAQ) in materia di riservatezza pubblicate dal Dipartimento del commercio degli Stati Uniti.
71. Cfr. LUGARESI, N, Internet, privacy e pubblici poteri negli Stati Uniti, Milano 2000, pp.39 ss.
72. Cfr. REIDENBERG, J., Setting Standard for Fair Information Practice in the U.S. Private Sector, Iowa L. Rev., 80, 1995, pp.497 ss.
73. Per esempio, i principi relativi al “Safe harbor” sono denominati “Safe harbor privacy principles”.
74. Data Protection Working Party, Raccomandazione 1/2000 del 3 febbraio 2000, sull’attuazione della direttiva 95/46/CE.
75. La Convenzione 108 (“Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data”) del Consiglio d’Europa è stata stipulata il 28 gennaio 1981 a Strasburgo; lo Stato italiano ha proceduto alla ratifica con legge 21 febbraio 1989, n. 98.
76. Cfr. Safe Harbor Privacy Principles, ove si utilizzano le locuzioni “personal data” and “personal information” come sinonimi (“data about an identified or identifiable individual”).
77. La Recommendation Concerning Guidelines Governing the Protection of Privacy and Transborder Flows of Personal Data è stata adottata il 23 settembre 1980.
78. Il Memorandum Esplicativo alle Linee Guida OCSE specifica che le Linee Guida OCSE non costituiscono una serie completa di principi generali di tutela della privacy, in quanto è al di là del loro ambito di avere a che fare con altre invasione della privacy (“by, for instance, candid photography, physical maltreatment, or defamation”) non associate con il trattamento di dati personali (punto 38).
79. Linee Guida OCSE, punto 2; v. anche il Memorandum Esplicativo alle Linee Guida OCSE, punto 43, che cita, senza ulteriori specificazioni, altri pericoli (“a broad variety of other possible risks”), oltre a quelli provocati dall’uso di metodi automatizzati di trattamento di dati personali.
80. Linee Guida OCSE, punti 7-14.
81. Memorandum Esplicativo alle Linee Guida OCSE, punto 2.
82. WARREN, S., BRANDEIS, L.D., The Right to Privacy, 4 Harv. L. Rev., 1890, pp.193 ss.
83. Cfr. BEZANSON, R., The Right to Privacy Revisited: Privacy, News, and Social Change 1890-1990, in California Law Review, 1992, 80, pp.1133 ss.
84. Cfr. POST, R., Rereading Warren and Brandeis: Privacy, Property, and Appropriation, in Case Western Reserve Law Review, 1991, 41, pp.647 ss.
85. V. considerando 11, direttiva 95/46/CE.
86. V. art.1, considerando 2 and 10, direttiva 95/46/CE.
87. V. considerando 7 and 9, direttiva 95/46/CE.
88. V. considerando 2, direttiva 2002/58/CE.
89. V. considerando 3, direttiva 2002/58/CE.
90 V. considerando 6, direttiva 2002/58/CE.
91 V. Raccomandazione No. R(90)19 del Consiglio d’Europa, sulla protezione dei dati personali utilizzati per pagamenti e altre operazioni collegate.
92. V. Raccomandazione No. R(91)10 del Consiglio d’Europa, sulla comunicazione a terzi di dati personali in possesso di organismi pubblici.
93. V. Raccomandazione No. R(95)4 del Consiglio d’Europa, sulla protezione dei dati personali nell’area dei servizi di telecomunicazione, con particolare riferimento ai servizi telefonici.
94. V. Raccomandazione No. R(90)19 del Consiglio d’Europa: “Respect for privacy shall be secured during the collection, storage, use, communication and conservation of personal data linked to the provision or use of a means of payment” (Allegato, punto 2).
95. V. Raccomandazione No. R(91)10 del Consiglio d’Europa: “The communication, in particular by electronic means, of personal data or personal data files by public bodies to third parties should be accompanied by safeguards and guarantees designed to ensure that the privacy of the data subject is not unduly prejudiced” (Allegato, punto 2).
86. V. Raccomandazione No. R(95)4 del Consiglio d’Europa: “Telecommunication services, and in particular telephone services which are being developed, should be offered with due respect for the privacy of users, the secrecy of the correspondence and the freedom of communication” (Allegato, punto 2).
97. V. Raccomandazione No. R(99)5 del Consiglio d’Europa, sulla protezione della privacy in Internet.
98. Cfr. punto 1, Raccomandazione No. R(99)5 del Consiglio d’Europa.
99. Cfr. la Opinione del Comitato Economico e Sociale del 28 novembre 2001 sulla sicurezza delle reti e dell’informazione: “the main aim is to protect privacy and personal data” (punto 3.1.9.); “priority must be given to the protection of privacy and the confidentiality of individual data” (punto 3.2.1.1.1.).
100. Cfr. Data Protection Working Party, Working Document del 21 novembre 2000, sulla Privacy in Internet, che sottolinea come in varie occasioni, il Gruppo di Lavoro ha evidenziato la presenza di lacune o temi controversi nella legislazione esistente” e ha emanato documenti che forniscono un’interpretazione comune ed eventuali soluzioni in proposito” (Capitolo 10, punto 2.2).
101. Cfr. la Opinione del Comitato Economico e Sociale del 24 gennaio 2001, sul commercio elettronico, che sottolinea come la protezione dei dati personali non funzioni sempre e che le violazioni della privacy, ad esempio attraverso cookies e profilino, sono abituali (punto 4.9.); v. anche Data Protection Working Party, Working Document del 21 novembre 2000, sulla privacy in rete (Capitolo 2, punto V).

Note

L'articolo Protezione della privacy e protezione dei dati personali: i limiti dell’approccio comunitario proviene da Giustamm.

SOMMARIO

1. La privacy on-line nell’Unione Europea – 2. La protezione della privacy on-line ed off-line – 3. La regolamentazione comunitaria della privacy on-line: miglioramenti e contraddizioni

1. La privacy on-line nell’Unione Europea

La diffusione di Internet nelle società della Comunità Europea ha determinato, oltre ai numerosi aspetti positivi, una crescente preoccupazione per la protezione della privacy, potendosi verificare fenomeni di intrusione nella sfera privata dell’individuo ulteriori rispetto a quelli che si verificano off-line. Se è vero che la presenza on-line dei cittadini facilita la moltiplicazione dei contatti sociali, l’uso della Rete non è per questo incompatibile con aspettative di riservatezza, o anche di solitudine. L’individuo deve essere posto in condizioni di scegliere quando avere relazioni, con chi desidera, e nei limiti di quanto ritiene opportuno.
La protezione della privacy on-line non è solo una protezione virtuale, ma è invece una protezione reale e anche fisica, se si considera che il computer è una parte del proprio domicilio e uno strumento attraverso il quale si comunica, ci si informa, si acquista, ci si esprime, e ci si comporta in modi anche diversi da quelli usuali. La tutela, per esempio, della riservatezza delle proprie comunicazioni con altre persone, della volontà di salvare l’esclusività delle proprie relazioni, non deve essere minore in Internet rispetto a quanto avviene nel mondo che, convenzionalmente, si definisce, in contrapposizione non corretta, “reale”. Anche on-line l’anonimato, spesso ridotto, o comunque trasformato, in “pseudonimato (1)” , deve essere protetto, evitando ad esempio fenomeni di costruzione di profili personali ottenuti attraverso la raccolta delle abitudini di navigazione. Anche in Rete i dati personali devono essere tutelati, ed anzi devono essere tutelati pure quei dati che non sono riconducibili ad un individuo determinato e determinabile.
L’Unione Europea si sta dando carico, gradualmente, della considerazione di queste esigenze e della risoluzione dei problemi correlati. Sotto un profilo comparatistico, a differenza degli Stati Uniti, che fanno affidamento su un approccio settoriale fondato su un mix di legislazione (a dire il vero sempre più presente, si pensi al recente CAN SPAM Act del 2003 (2) ), regolamentazione amministrativa (a cura principalmente della Federal Trade Commission e della Federal Communications Commission) e autoregolamentazione (3) , l’Unione Europea fa affidamento su un più profondo e comprensivo quadro legislativo (4) . In qualità di sistema di civil law, dove il ruolo e il valore del precedente giurisprudenziale è meno rilevante rispetto ai sistemi di common law, l’Unione Europea ha bisogno di fissare regole precise in ambito legislativo.
La protezione della privacy on-line non è oggetto specifico di alcuna direttiva o regolamento comunitario. D’altra parte, sia la direttiva quadro in materia di protezione dei dati personali, vale a dire la direttiva 95/46/CE (5) , che la direttiva in materia di comunicazioni elettroniche, vale a dire la direttiva 2002/58/CE (6) , si applicano, più o meno esplicitamente, alla privacy nei servizi della società dell’informazione, o, più precisamente, alla protezione dei dati personali in Internet (7) , stabilendo regole comunitarie di riferimento generale (8) .
La direttiva 95/46/CE fornisce un quadro generale per la protezione dei dati personali, rappresentando la normativa orizzontale e trasversale applicabile quando non vi siano regole più specifiche per i singoli settori. Per esempio, essa si applica ai servizi di comunicazione privata, in quanto le direttive in materia di comunicazioni elettroniche si applicano esclusivamente ai servizi di comunicazione pubblica.
La direttiva 2002/58/CE adatta invece il contenuto della previgente direttiva 97/66/CE (9) , che abroga e sostituisce, agli sviluppi tecnologici e del mercato che negli ultimi anni hanno modificato il settore dei servizi di comunicazione elettronica. Tale direttiva si pone l’obiettivo di fornire un livello soddisfacente di protezione dei dati personali e della privacy per gli utilizzatori (10) . Essa, inoltre, specifica e integra, per il medesimo settore, le disposizioni della direttiva 95/46/CE (11) . La direttiva 2002/58/CE non si applica, per espressa deroga, alle attività che riguardano la pubblica sicurezza e la difesa dello Stato (12) , non limitando il potere dello Stato di intercettare comunicazioni e di adottare altre misure, in quanto esse siano necessarie, appropriate e strettamente proporzionate agli scopi perseguiti (13) .
Mentre non vi sono Regolamenti che intervengono nel settore, vi sono invece altre direttive che contengono disposizioni che possono incidere sulla privacy dei cittadini comunitari, quali la direttiva sui contratti a distanza (14) , la direttiva sulle apparecchiature terminali di telecomunicazione (15) , la direttiva sul commercio elettronico (16) , la direttiva sul diritto d’autore (17) , la direttiva sulle firme digitali (18) , la direttiva sulle reti e sui servizi di comunicazione elettronica (19) . L’Unione Europea, del resto, ha emanato altri atti e documenti ufficiali, ad esempio Raccomandazioni, che possono riguardare altri aspetti, quali la protezione dei minori e della dignità umana (20) , strettamente connessi con la privacy.
Anche se non vi sono direttive che si occupano direttamente della tutela della privacy in Internet, l’Unione Europea non considera tali profili al di fuori della sua potestà di regolazione, e le disposizioni delle direttive citate possono comunque essere applicate, anche in via interpretativa, alle diverse fattispecie. D’altra parte, nonostante le dichiarazioni generali di principio contenute nella Carta dei Diritti Fondamentali dell’Unione Europea (Nizza, 2000) (21) e nelle stesse direttive comunitarie, la regolamentazione della privacy in Rete non è sempre soddisfacente, sia sotto l’aspetto strutturale che sotto quello contenutistico. Le conseguenze di questo fraintendimento possono del resto essere molto più gravi on-line che off-line.
Da un lato, la posizione degli individui, anche in virtù delle limitate conoscenze e risorse tecnologiche di cui essi possono disporre per difendersi dalle invasioni dei pubblici poteri o di imprese private, è particolarmente delicata, specie considerando che la percezione, o meglio la possibilità della percezione, delle violazioni della privacy in Rete è anche più bassa di quella off-line. Dall’altro, il continuo cambiamento dei riferimenti tecnologici ed economici rende in ogni caso più complesso l’approntamento di adeguati strumenti giuridici, per loro natura lenti nell’adattarsi a nuove realtà. A questo si aggiunge la difficoltà dell’approccio giuridico a considerare tutti quei profili propri di un approccio spirituale più ampio (22) , particolarmente visibile nei confronti della privacy in rete.
L’intercettazione di e-mail, la rivelazione del contenuto delle stesse sono violazioni della privacy on-line, come l’estrazione e la vendita di indirizzi di posta elettronica. Preoccupazioni fondate in merito alla privacy in Internet riguardano fenomeni di tracking, profiling, spamming, eavesdropping, e non solo la circolazione dei dati personali, resa più facile e veloce da Internet. La legge non deve regolare e irrigidire tutto quello che accade on-line, ma la legge non può astenersi dall’intervenire quando le regole che sono seguite non sono compatibili con la sensibilità della comunità, dovendo dare risposta a tali preoccupazioni.
La direttiva 2002/58/CE ha migliorato il quadro generale sotto certi aspetti, ma varie lacune e contraddizioni sono rimaste, e, paradossalmente, il livello di tutela può risultare anche indebolito per altri aspetti. In particolare, la disciplina generale e trasversale in materia di privacy è spesso costruita, con approccio restrittivo, in riferimento alla protezione dei dati personali, che è il vero obiettivo, dichiarato, delle direttive. La privacy, specialmente on-line, è invece un diritto che coinvolge interessi e valori ben più ampi della protezione dei soli dati personali (23) .
Se un soggetto entra in un Internet point, o in un Internet café, crea un indirizzo di posta elettronica attraverso un servizio di webmail, fornisce a tale servizio false informazioni sulla propria identità, paga in contanti per il tempo di connessione, evita di fornire informazioni di carattere personale mentre naviga, e segue altre precauzioni per preservare il proprio anonimato, non è coperto dalle direttive sulla privacy, che definiscono i dati personali in riferimento a “qualsiasi informazione concernente una persona fisica identificata o identificabile” (24) . Infatti tale soggetto non può essere identificato, direttamente o indirettamente, come richiesto dalla direttiva per rispondere al requisito della identificabilità. Nondimeno, è possibile che egli riceva posta elettronica non sollecitata, o che sia seguito nella sua navigazione, che compaiano sul proprio schermo banners o pop-ups personalizzati, e che sia, in sostanza, oggetto di un’attività di profilazione.
La privacy di questo soggetto è stata invasa? O il fatto che si tratti di un utente anonimo della Rete ha comportato la perdita della protezione fornita dalla direttiva trasversale e dalle direttive settoriali? La privacy non è un diritto per tutti gli individui? Tale soggetto è stato destinatario di spamming, il suo comportamento in Rete è stato analizzato, forse le sue comunicazioni sono state intercettate. Non importa se tale soggetti non è identificabile: il suo diritto ad essere lasciato in pace è stato violato, la sua sfera intima è stata invasa.
Un’alternativa per assicurare la protezione della privacy attraverso le direttive citate potrebbe essere quella di interpretare in modo estensivo la definizione di dati personali, non solo sotto il profilo oggettivo, ma anche sotto quello soggettivo. Un cliente di un Internet point può essere seguito fisicamente, o ci possono essere impianti di videosorveglianza all’esterno o all’interno del locale. Tale cliente può essere, in astratto, identificato, e quindi si tratta di un soggetto identificabile. In questo caso, si proverebbe troppo, in quanto chiunque, in qualunque posto, in qualunque momento, sarebbe comunque identificabile, e la definizione perderebbe il proprio significato e il proprio scopo. La direttiva avrebbe a questo punto potuto fare riferimento a qualsiasi “informazione concernente una persona fisica” non importa se identificata o identificabile.
La protezione dell’anonimato (25) , nei limiti concessi dall’ordinamento (26) , non dovrebbe essere ristretta alla protezione del desiderio di restare anonimi (27) , con particolare riferimento ai servizi di comunicazione elettronica (28) . Dovrebbe invece comprendere il godimento di tutti i diritti compatibili con lo stato di anonimato (29) , incluso, ad esempio, il diritto alla protezione dei dati personali, quali l’indirizzo di posta elettronica (30) . Varie componenti della privacy sono compatibili con un tale stato, e non è un caso che la linea di demarcazione tra dati personali e dati anonimi non sia affatto chiara nelle regolamentazioni relative alla privacy (31) .
L’oggetto ultimo della protezione è l’individuo, anche quando si fa riferimento ai suoi dati personali, la cui protezione è funzionale e subordinata. Quando ricevo spamming nel mio indirizzo di posta elettronica, pubblicato sul sito web della mia facoltà, ciò che mi irrita di più non è che il mio indirizzo sia finito in una lista di uno spammer. La raccolta di indirizzi di posta elettronica attraverso harvesting software o anche attraverso una ricognizione meno tecnologica di alcuni siti, può essere considerata illecita, in quanto contraria all’art.6, comma 1(a) (trattamento leale e lecito), all’art.6, comma 1(b) (finalità determinate, esplicite e legittime) e all’art.7(f) (bilanciamento tra interesse legittimo del responsabile del trattamento e interessi, diritti e libertà fondamentali della persona interessata) della direttiva 95/46/CE (32) . Ma quello che mi irrita di più è ricevere posta non sollecitata e indesiderata, che considero non solo una seccatura, ma anche una violazione della mia privacy, del mio diritto ad essere lasciato in pace.
Non è un caso che tale distinzione, tra dati personali da un lato, e privacy dall’altro, sia chiaramente evidenziata proprio nella Raccomandazione del Consiglio d’Europa dedicata al trattamento dei dati personali in Internet, nel cui titolo compare la parola “privacy”. La Raccomandazione dichiara che il rispetto per la privacy è un diritto fondamentale di ogni individuo, che può essere protetto “anche” attraverso la normativa sulla protezione dei dati personali (33) . Finalmente, dopo una serie di altre Raccomandazioni in materia (34) , il Consiglio d’Europa riconosce che la protezione dei dati personali è solo una componente della protezione della privacy, e che i dati personali sono solo una parte del patrimonio privato dell’individuo.

2. La protezione della privacy on-line ed off-line

La regolamentazione della privacy off-line non è un compito agevole. La regolamentazione della privacy on-line è ancora più complessa, per il più frequente sovrapporsi di considerazioni attinenti alla giurisdizione e al continuo mutare dei riferimenti tecnologici. Il diritto comunitario oscilla tra l’applicazione di concetti e regole tradizionali, attraverso l’uso dell’analogia, e l’identificazione di una diversa gamma di regole e concetti. Il risultato, in riferimento alla privacy, non è sempre soddisfacente, facendo sembrare la privacy on-line una figlia di un dio minore, come se ci fosse un singolare “Internet divide” che diminuisca il valore del diritto (35) .
Un aspetto che contribuisce a rendere la protezione della privacy in Internet più debole è inoltre l’approccio, tanto del Consiglio d’Europa che della Comunità Europea, che considera i dati personali al centro dei meccanismi di tutela, il che rende più vulnerabili quelle altre componenti della privacy che possono essere colpite più frequentemente e più duramente on-line. Anche in riferimento alla protezione della privacy in Rete si tende invece a limitare la protezione ai dati personali, oppure ad assimilare e confondere i due aspetti, non omogenei.
La Raccomandazione del Consiglio d’Europa No R(99)5, dedicata alla protezione della privacy in Internet contiene una serie di linee guida per la protezione delle persone rispetto alla raccolta ed al trattamento di dati personali sulle autostrade dell’informazione (36) . L’analitico Working Document del Data Protection Working Party, dedicato ugualmente alla privacy in Internet, fa riferimento nel suo sottotitolo ad un integrato approccio dell’Unione Europea alla protezione dei dati on-line (37) . La direttiva 2002/58/CE afferma che i servizi di comunicazione elettronica in Internet “pongono nuovi rischi per i dati personali e la privacy degli utenti” (38) .
E’ vero che cambiamenti sociali, economici e tecnologici, la sempre maggiore rilevanza dei dati personali, i nuovi percorsi di sviluppo, l’utilizzazione di sistemi di comunicazione elettronica sempre più invasivi, l’istituzione di diverse organizzazioni sociali, comportano limitazioni alla privacy degli individui (39) . Nondimeno, il concetto di privacy non può essere diverso on-line ed off-line. Ci possono essere diversi problemi, minacce, strumenti, soggetti, oggetti, rimedi, ma il concetto, sotto un profilo teorico, non può cambiare. Anche se non ci si può nascondere che affrontare le problematiche della privacy on-line, quali lo spamming, il profiling, i cookies, il tracking, considerando le particolarità di Internet, consente di investigare in modo diverso alcuni aspetti della privacy.
In questo senso, cercare analogie e similitudini, tra i comportamenti tenuti on-line e off-line e tra le valutazioni degli stessi, può aiutare a comprendere quali siano le reali minacce alla privacy in Rete. La percezione comune può essere quella secondo la quale le persone sono più caute on-line che off-line. In effetti, si tende invece, in Rete, ad accettare comportamenti invasivi che non sarebbero accettati off-line, come se la parziale perdita della privacy fosse un presupposto naturale, un prezzo da pagare per poter navigare, comunicare con altri, concludere contratti, informarsi. La sensibilità del privato è spesso orientata verso aspetti relativi alla sicurezza, in riferimento ad esempio a transazioni effettuate con carta di credito, mentre le questioni (o le altre questioni) attinenti alla privacy rimangono parzialmente nascoste o irrisolte.
Chi utilizza Internet molto spesso non si rende conto che i propri passi sono tracciati e registrati continuamente, o, comunque, non ne è particolarmente colpito. La reazione sarebbe molto diversa se fosse tenuto un unico (o più) dossier sui libri, quotidiani e riviste lette, sui film visti al cinema o noleggiati, sui programmi seguiti, sulle identità dei soggetti, familiari, conoscenti, amici, amanti, cui si scrive o si telefona, sui negozi in cui si entra e si acquista, sui beni e sui servizi in riferimento ai quali si prendono, semplicemente, informazioni.
La relazione tra regola ed eccezione è rovesciata quando si tratta di privacy in Internet. La protezione dovrebbe essere la regola, e le restrizioni dovrebbero costituire l’eccezione. Al contrario, le persone si aspettano, con ingiustificata e innaturale rassegnazione, che la loro privacy sia limitata. Il compito del legislatore comunitario è quello di bilanciare nuovamente i diversi interessi confliggenti.
In assenza di regole che tutelino in maniera corretta diritti e libertà fondamentali, la situazione di squilibrio è stata creata da un’oligarchia tecnologica ed economica. Assumendo che troppa privacy possa rendere Internet meno flessibile, veloce, ricco e attraente, e che le restrizioni alla privacy siano solo un piccolo, immancabile, prezzo da pagare, la privacy on-line, intesa come diritto, è stata trascurata. In un certo senso, è vero che alti livelli di protezione della privacy possono cambiare il modo in cui la Rete è utilizzata, ma questo fa parte delle scelte individuali, che devono essere rispettate in quanto si ha a che fare con un diritto fondamentale. La compressione della privacy in Internet non è una circostanza inevitabile, in quanto possono essere adottati sia regolamentazioni giuridiche, che norme tecniche, che strumenti tecnologici. Non si tratta di una opzione di tipo tecnico, ma di una scelta che non deve considerare la privacy come un ostacolo, ma come un fine non eludibile della regolamentazione.
Si è anche affermato che la protezione della privacy, considerato l’enorme flusso di dati ed informazioni che circolano sulla Rete, è favorita proprio da questi grandi numeri, in analogia a quanto avviene in una grande città, dove la curiosità delle persone è minore, o comunque di meno facile soddisfazione, rispetto ad un piccolo paese, dove il minor numero di contatti sociali non impedisce la conoscenza dei fatti privati delle persone. Dal punto di vista sociologico, questo può essere vero, ma non si tratta di una pura questione statistica. Si tratta della protezione di individui, dei loro diritti, e del livello di protezione minima che si vuole garantire. Le conseguenza di un libero flusso di dati personali, anche sensibili, e di una diffusa sorveglianza elettronica possono essere devastanti e sarebbe, ancora, fuorviante e paradossale affermare che la protezione della riservatezza deve fare affidamento sulla proliferazione della circolazione dei dati e delle informazioni personali.
Ciò che realmente importa dovrebbe essere la volontà individuale, senza attribuire ad essa significati e contenuti che non possono essere conosciuti che dall’individuo stesso. Ogni persona dovrebbe avere il diritto di limitare l’accesso alla propria sfera intima, alla propria torre d’avorio, e decidere chi fare entrare, e fino a dove, in quali stanze. Invece, il consenso in Internet è diventato un’eccezione. L’anomalia più grande è l’ingiustificata svalutazione del consenso individuale. Ne consegue che i soggetti, per lasciare gli altri fuori dalla torre, non possono fare affidamento su restrizioni affermate e fatte rispettare dall’ordinamento, ma devono attivamente muoversi per trovare strumenti appropriati, sopportandone i relativi costi.
Il più grande errore che può essere fatto è di considerare la perdita, o la restrizione, della propria privacy come un male necessario, come un prezzo da pagare per poter entrare nella Rete. Nessuno ha rinunciato, implicitamente, ad un diritto fondamentale, per il solo fatto di essere connesso a Internet.

3. La regolamentazione comunitaria della privacy on-line: miglioramenti e contraddizioni

Lo scopo della normativa comunitaria in materia di tutela della privacy on-line è duplice: da una parte, supportare lo sviluppo di Internet e favorire la più ampia partecipazione dei cittadini; dall’altro garantire la protezione ed il rispetto dei diritti e delle libertà fondamentali in Rete, anche per superare quelle che sono, spesso, le resistenze e le perplessità degli stessi cittadini nei confronti di Internet. Mentre i principi generali del diritto comunitario affermano chiaramente la necessità di una tutela della privacy in Internet, le direttive spesso trascurano, e a volte dimenticano, componenti rilevanti, diverse dai dati personali
La direttiva 97/66/CE, sulla protezione della privacy nel settore delle telecomunicazioni (ora abrogata e sostituita dalla direttiva 2002/58/CE), mostrava chiaramente la separazione tra privacy on-line e privacy off-line, e il discutibile approccio spesso seguito. L’uso di sistemi di chiamata automatico senza intervento umano o di apparecchi fax per gli scopi di direct marketing era consentito solo nei confronti dei soggetti che avessero dato preventivo consenso (40) , quindi secondo uno schema, più tutelante, di opt-in. Per quanto riguarda altri strumenti, quale la posta elettronica, la protezione era minore e indiretta, in quanto gli Stati membri erano tenuti ad adottare “misure appropriate” per assicurare che, senza costi, i contatti indesiderati fossero proibiti, lasciando ai singoli ordinamenti la scelta se determinare uno schema di opt-in o invece uno schema di opt-out (41) . In sostanza, lo schema di opt-in, che garantisce una maggiore protezione della privacy, non fu imposto, in virtù di una discutibile distinzione, anche sullo spamming (42) , che pur condivideva, con le altre modalità, analoghi livelli di invasività.
Nello stesso senso, la direttiva 97/7/EC, sui contratti a distanza, richiede il preventivo consenso del consumatore in riferimento ai sistemi di chiamata automatica senza intervento umano e agli apparecchi fax (43) , mentre per gli altri sistemi di comunicazione a distanza afferma che essi possono essere utilizzati solo qualora non ci sia una chiara obiezione da parte del consumatore (44) . La direttiva, peraltro, non definisce un elemento chiave per l’applicazione della norma, non specificando cosa debba intendersi per “chiara obiezione”.
La direttiva 97/66/CE e la direttiva 97/7/CE furono emanate dopo la direttiva 95/46/EC, e dovevano tenere conto dei principi della Convenzione per la Salvaguardia dei Diritti dell’Uomo e delle Libertà Fondamentali (45) , adottata dal Consiglio d’Europa (Roma 1950). Nonostante questo, entrambe le direttive consideravano lo spamming come meno intrusivo di altre tecniche di comunicazione a distanza, senza giustificare in alcun modo le loro scelte. Dal punto di vista dei principi, tali direttive riconoscevano il diritto del consumatore alla privacy, in particolare con riferimento a possibili intrusioni di mezzi di comunicazione, e ammettevano la necessità di intervenire per assicurare la protezione di quei consumatori che non volessero essere contattati (46) . Non sorprendentemente, la direttiva 2000/31/CE, sul commercio elettronico, ha dato per scontato che nei confronti di sistemi per la spedizione di comunicazione commerciale non sollecitata per posta elettronica la soluzione più idonea fosse quella di adottare un meccanismi di opt-out (47) .
D’altra parte, anche a livello di Consiglio d’Europa, la Raccomandazione No. R(95)4, riconoscendo il disagio e la preoccupazione causati dalle pratiche di direct marketing, e promuovendo codici di condotta per limitate tali conseguenze (48) , ha adottato un sistema di opt-out per il direct marketing effettuato per telefono o per altri mezzi di comunicazione” (49) , e un sistema di opt-in per strumenti automatici di chiamata a scopo pubblicitario (50) .
Solo con la direttiva 2002/58/CE la posta elettronica è stata equiparata a sistemi automatizzati di chiamata e apparecchi fax (51) , richiedendo il consenso preventivo e adottando perciò un sistema opt-in comune (52) .
Inoltre, per facilitare l’applicazione della normativa (almeno all’interno dell’Unione Europea), la direttiva sulle comunicazioni elettroniche proibisce l’uso delle false identità o di falsi indirizzi di risposta, mentre si spediscono messaggi di posta elettronica a fini di direct marketing (53) .
La disciplina differenziata per la posta elettronica contenuta nella direttiva 97/66/EC, disciplina che è rimasta in vigore per cinque anni, era determinata da un insieme di mancanza di conoscenza, mancanza di coraggio e da un senso di rassegnazione. I motivi per i quali il sistema di opt-in era stato introdotto per sistemi automatizzati di chiamata e fax, erano validi anche per la posta elettronica (54) . Spedire posta elettronica in quantità è anche più facile e più economico per il mittente, rispetto ad altre tecniche di comunicazione a distanza, e non è vero che riceverle sia meno seccante e fastidioso per il destinatario. E’ vero che il destinatario può usare rimedi di self-help, che peraltro non sempre funzionano correttamente, quali i filtri (55) , o può semplicemente eliminare la “posta spazzatura” senza leggerla, sempre che sia chiaramente identificabile (56) .
Ma quando gli utenti ricevono enormi quantità di posta elettronica non sollecitata ogni giorno, individuarla ed eliminarla diventa un compito irritante e dispersivo, che comporta, almeno per quegli utenti che pagano il traffico telefonico, costi vivi aggiuntivi (57) . Non si tratta peraltro solo di una perdita economica, diretta o indiretta, ma si tratta di un’invasione, spesso ingannevole, della propria sfera privata.
La direttiva 2002/58/CE finalmente supera i dubbi relativi all’adozione di un sistema di opt-in (58) . L’interesse del consumatore ad essere risparmiato da informazioni commerciali non sollecitate è più rilevante rispetto alla preoccupazione secondo la quale un sistema di opt-in potrebbe ostacolare lo sviluppo del commercio elettronico, discriminando le imprese dell’Unione Europea (59) . D’altra parte, lo sviluppo del commercio elettronico potrebbe invece essere ostacolato in misura maggiore da una percezione negativa dei consumatori nei confronti di tutti gli operatori economici nella Rete, assimilati a spammers, e da un possibile “intoppo” della Rete, il che ulteriormente giustifica l’adozione di un sistema di opt-in (60) .
Certamente, la regolamentazione comunitaria non risolve il problema, a causa di problemi di giurisdizione, ma non ha senso astenersi da una regolamentazione coerente per una supposta ineluttabilità delle conseguenze. Lo spamming, così come altre violazioni della privacy dell’individuo in Internet, incide su un diritto fondamentale della persona. Le regole comunitarie, oltre ad avere uno scopo pratico diretto, hanno anche uno scopo etico, affermando la rilevanza della privacy in tutte le espressioni della vita di un soggetto (61) .
Per quanto concerne le possibili perdite economiche, la race to the bottom applicata alla protezione di diritti fondamentali non sarebbe scusabile, in quanto non terrebbe conto della gerarchia degli interessi e delle priorità. La libertà di parola, la libertà di espressione, la libertà di informazione possono essere interessi contrapposti, in determinate fattispecie e in determinate circostanze, alla tutela della privacy, ma il richiamare tali interessi in relazione allo spamming non ha senso, in quanto ci sono altre strade che il direct marketing può seguire.
In questo senso, la direttiva 2002/58/EC ha riempito una lacuna. Essa ha cercato di intervenire anche in riferimento ad altre violazioni della privacy, come i cookies (nel testo italiano denominati “marcatori”) e altri simili dispositivi. La direttiva riconosce il diritto di essere protetti contro comportamenti così intrusivi, il cui collegamento con lo spamming non è casuale (62) .
La direttiva 2002/58/CE afferma che le apparecchiature terminali degli utenti, e ogni informazione immagazzinata, sono parte della sfera privata dell’individuo, in accordo con quanto affermato dalla Convenzione del Consiglio d’Europa sui diritti umani. Questo significa che l’uso di spyware, web bugs, identificatori occulti e altri simili dispositivi, che raccolgono informazioni o tracciano attività dell’utente dovrebbero essere permessi solo per scopi legittimi e con la conoscenza degli utenti, in quanto possono invadere seriamente la privacy degli stessi (63) . Sotto premesse condivisibili (l’apparecchiatura terminale è parte del proprio “castello”; i citati dispositivi sono intrusivi per la privacy degli utenti), la conclusione della direttiva è parzialmente deludente, in quanto richiede la conoscenza, ma non il consenso, facendo affidamento più su meccanismi di self-help che su una protezione suscettibile di applicazione coattiva.
Per quanto riguarda i cookies (64) , la direttiva distingue tra cookies utili e legittimi, che possono analizzare l’efficacia del sito web e della pubblicità, verificare l’identità degli utenti impegnati in transazioni on-line, facilitare la fornitura dei servizi della società dell’informazione, e altri cookies. La direttiva richiede anche in questo caso la conoscenza, ma non il consenso, e, a differenza di quanto previsto in relazione allo spamming, stabilisce un sistema di opt-out. L’utente deve essere fornito di informazioni chiare e precise, in conformità con la direttiva 95/46/CE, sui motivi per i quali sono utilizzati cookies e altri dispositivi e sulle caratteristiche di ciò che può essere collocato sul disco rigido dell’utente. Gli utenti dovrebbero avere la possibilità di rifiutare che un cookie o un dispositivo analogo sia installato nel proprio computer, e il sistema dovrebbe essere quanto più possibile chiaro e comprensibile (65) .
La direttiva 2002/58/CE fornisce una disciplina soddisfacente, se la compariamo con il presente livello di applicazione della tutela. Se invece la compariamo con le disposizioni della direttiva 95/46/CE, astrattamente applicabili, non è affatto soddisfacente in quanto comporta, almeno a livello teorico, un arretramento della tutela. In effetti, la direttiva 95/46/CE, pur non facendone menzione, si può ritenere applicabile anche alla protezione dei dati personali in Rete, e, per quanto riguarda le comunicazioni elettroniche, si applica a tutte le fattispecie non specificamente coperte dalla direttiva 2002/58/CE (66) .
I cookies (e altri simili dispositivi) possono contenere informazioni personali, anche sensibili, riferite ad una persona identificata o identificabile, e come tali sono soggetti alla direttiva 95/46/CE (67) , secondo quanto prescritto dal suo art.2, comma 1, che definisce i “dati personali” (68) e il trattamento di dati personali”(69)per gli scopi della direttiva. La direttiva 95/46/CE richiede che i dati personali debbano essere trattati in modo lecito e leale; raccolti per scopi specifici, espliciti e legittimi; adeguati, rilevanti e non eccessivi in relazione a tali scopi; accurati e aggiornati; conservati in una forma che permetta l’identificazione dei soggetti per un tempo non superiore al necessario (70) .
I cookies non sembrano rispettare i requisiti prescritti dalla direttiva 95/46/CE, la quale prevede che, a parte qualche eccezione (obbligo legale, interesse vitale, interesse pubblico), il trattamento di dati personali sia consentito solo se l’interessato ha dato il suo consenso (71) . Per quanto riguarda i dati sensibili (72) , il loro trattamento è proibito a meno che l’interessato abbia dato esplicito consenso, o per alcune eccezioni determinate (73) . La direttiva 2002/58/CE pare discostarsi dall’indirizzo fornito dalla direttiva 95/46/CE: informazioni chiare e precise, un sistema chiaro e comprensibile e l’opportunità di rifiutare i cookies o altri simili dispositivi non implicano necessariamente un consenso non ambiguo ed esplicito.
Inoltre, la direttiva 95/46/CE prescrive che il titolare dei dati personali fornisca all’interessato alcune informazioni, che devono comprendere, almeno, l’identità del titolare, gli scopi del trattamento, l’esistenza del diritto di accesso e del diritto di rettificare i dati (74) . La direttiva 95/46/CE contiene poi ulteriori disposizioni sul diritto di accesso dell’interessato (75), sul diritto di opposizione (76) , sulla sicurezza del trattamento (77) , sulla notificazione all’autorità di controllo (78) .
Ora, è vero che la direttiva 95/46/CE si applica quando la direttiva settoriale non fornisce disposizioni specifiche in merito. Ma ci potrebbero essere più interpretazioni. Si potrebbe sostenere che, dato che la direttiva 2002/58/EC considera i cookies e gli altri dispositivi analoghi, non ci sia spazio per l’applicazione della direttiva 95/46/CE, che interviene solo quando ci sia una mancanza di disciplina, e non una difformità di disciplina, nella direttiva settoriale. I dati personali, anche sensibili, contenuti, trattati o trasmessi dai cookies, avrebbero pertanto una protezione minore di altri dati personali trattati diversamente, e l’emanazione della direttiva settoriale avrebbe paradossalmente indebolito il livello di protezione fornito a livello comunitario.
Si possono, in conclusione, evidenziare tre aspetti.
Il primo aspetto riguarda il consenso non ambiguo (o esplicito, in riferimento ai dati sensibili). Le caratteristiche dei browsers, che consentono di escludere i cookies, non rispondono ai requisiti prescritti dalla direttiva 95/46/CE. Il soggetto può escludere totalmente i cookies, il che può comportare sostanziali limitazioni ai siti visitabili; o può invece, al contrario, scegliere l’opzione attraverso la quale li accetta tutti indistintamente, il che comporta l’assoluta mancanza di controllo e di scelta tra cookies “buoni” e cookies “cattivi”. Ma se sceglie l’opzione che gli consente di sapere il tipo di cookie che gli viene inviato e di decidere di conseguenza se accettarlo o meno, l’avviso che ottiene dalla finestra che appare sullo schermo, spesso scritto in una lingua diversa, generalmente l’inglese, da quella parlata dall’utente, non fornisce tutte le informazioni necessarie ai sensi della direttiva 95/46/CE. E’ vero che fornire tutte le informazioni richieste dalla direttiva potrebbe essere gravoso, ma questa non è un’eccezione che la normativa comunitaria prevede per l’informativa. L’approccio seguito nel caso dei cookies è quindi di fatto un approccio di tipo opt-out, più che un approccio di tipo opt-in, sempre ammettendo, di fatto, che una facoltà di scelta ci sia.
Il secondo aspetto riguarda la giurisdizione. Se il server è al di fuori dell’Unione Europea, si può sostenere che manca la giurisdizione per applicare le regole comunitarie. D’altra parte i cookies sono immagazzinati nell’apparecchiatura terminale dell’utente. Il computer dell’utente non è solo una parte della sfera privata dell’utente, come la direttiva 2002/58/CE ha ribadito, ma è anche un oggetto situato nel territorio dello Stato, il che significa che parte del trattamento (qualsiasi operazione eseguita su dati personali, inclusa la raccolta, ai sensi dell’art.2 della direttiva 95/46/CE) dei dati ha luogo nel territorio dell’Unione Europea, ed è pertanto soggetta al diritto comunitario.
Il terzo aspetto riguarda la regolamentazione. Anche se una regolamentazione della privacy che tenga maggiormente conto delle specificità di Internet può essere ritenuta desiderabile, ci sono ipotesi in cui la disciplina trasversale può essere sufficiente (79) . Si tratta di interpretare ed applicare una normativa che è meno specialistica sotto il profilo tecnologico, ma che è anche più orientata sui principi, il che, a volte, aiuta.
In definitiva, se è opportuno che l’approccio di regolamentazione della Comunità Europea porti ad atti legislativi specifici in materia di privacy in Rete, non facendo affidamento su discipline generali riguardanti la protezione dei dati personali, o l’intimità delle comunicazioni, è auspicabile che la legislazione settoriale, più attenta ai profili tecnologici, non dimentichi, trascuri o sottovaluti la protezione di alcuna componente della privacy, e che non fornisca, conseguentemente una protezione più bassa per tali componenti on-line rispetto a quella di cui esse godono off-line.

— *** —

NOTE

1. V. Raccomandazione No. R(99)5 del Consiglio d’Europa, che suggerisce, se consentito dalla legge, l’uso di uno pseudonimo, in modo che l’identità personale sia conosciuta solo dall’Internet Service Provider (comma II.4); v. anche la direttiva 1999/93/CE sulle firme elettroniche, ai sensi della quale, “fatti salvi gli effetti giuridici che la legislazione nazionale attribuisce agli pseudonimi, gli Stati membri non vietano al prestatore di servizi di certificazione di riportare sul certificato uno pseudonimo in luogo del nome del firmatario” (art.8, comma 3); v. anche Data Protection Working Party, Raccomandazione 2/2001 del 17 Maggio 2001 (punto 22).
2. Si fa riferimento al “Controlling the assault of Non-Solicited Pornography and Marketing Act of 2003” del 7 gennaio 2003 (S.877), che si pone l’obiettivo di regolamentare il commercio interstatale attraverso l’imposizione di limiti e sanzioni alla trasmissione di posta elettronica commerciale non sollecitata attraverso Internet.
3. Cfr. LESSIG, L., Code and other laws of cyberspace, Basic Books, New York, NY, 1999, pp.159 ss.
4. V. Safe Harbor Privacy Principles, emanati dal Department of Commerce degli Stati Uniti il 21 luglio 2000, allegato I alla Decisione 2000/520/CE della Commissione, del 26 luglio 2000, a norma della direttiva 95/46/CE del Parlamento europeo e del Consiglio sull’adeguatezza della protezione offerta dai principi di approdo sicuro e dalle relative «Domande più frequenti» (FAQ) in materia di riservatezza pubblicate dal Dipartimento del commercio degli Stati Uniti.
5. Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
6. Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (“direttiva relativa alla vita privata e alle comunicazioni elettroniche”).
7. V. Data Protection Working Party, Raccomandazione 2/2001 del 17 maggio 2001, che vuole contribuire all’effettiva ed omogenea applicazione delle disposizioni nazionali fornendo indicazioni concrete su come le regole contenute nelle direttive sulla protezione dei dati personali ”relativamente alle pratiche più comuni esercitate attraverso Internet” (punto 1).
8. V. considerando 14, direttiva 2000/31/CE.
9. Direttiva 97/66/CE del Parlamento europeo e del Consiglio del 15 dicembre 1997 sul trattamento dei dati personali e sulla tutela della vita privata nel settore delle telecomunicazioni.
10. V. considerando 4, direttiva 2002/58/CE; v. anche art.8, comma 4, direttiva 2002/21/CE, direttiva quadro per le reti ed i servizi di comunicazione elettronica.
11. V. art.1, comma 2, direttiva 2002/58/CE; v. anche considerando 10 della medesima direttiva: “nel settore delle comunicazioni elettroniche trova applicazione la direttiva 95/46/CE, in particolare per quanto riguarda tutti gli aspetti relativi alla tutela dei diritti e delle libertà fondamentali non specificamente disciplinati dalle disposizioni della presente direttiva, compresi gli obblighi del responsabile e i diritti delle persone fisiche”.
12. V. art.1, comma 3, direttiva 2002/58/CE, conformemente all’art.3, comma 2, direttiva 95/46/CE.
13. V. considerando 11, direttiva 2002/58/CE.
14. Direttiva 97/7/CE del Parlamento europeo e del Consiglio del 20 maggio 1997 riguardante la protezione dei consumatori in materia di contratti a distanza.
15. Direttiva 1999/5/CE del Parlamento europeo e del Consiglio, del 9 marzo 1999, riguardante le apparecchiature radio e le apparecchiature terminali di telecomunicazione e il reciproco riconoscimento della loro conformità; per quanto riguarda la protezione della privacy, la direttiva ritiene che “potrebbe essere necessario introdurre nelle apparecchiature radio e nelle apparecchiature terminali di telecomunicazione alcune funzioni per impedire che siano violati i dati personali e la vita privata dell’utente e dell’abbonato” (considerando 17).
16. Direttiva 2000/31/CE del Parlamento europeo e del Consiglio dell’8 giugno 2000 relativa a taluni aspetti giuridici dei servizi della società dell’informazione, in particolare il commercio elettronico, nel mercato interno («direttiva sul commercio elettronico»).
17. Direttiva 2001/29/CE del Parlamento europeo e del Consiglio, del 22 maggio 2001, sull’armonizzazione di taluni aspetti del diritto d’autore e dei diritti connessi nella società dell’informazione; per quanto riguarda la protezione della privacy, la direttiva afferma che, considerando che le informazioni elettroniche sul diritto d’autore “potrebbero, a seconda della loro configurazione, rendere al tempo stesso possibile il trattamento di dati personali riguardanti i modelli di consumo di materiale protetto da parte di singoli consumatori e pertanto consentire di registrarne il comportamento on-line”, tali misure tecnologiche “devono presentare, nelle loro funzioni tecniche, meccanismi di salvaguardia della vita privata, come previsto dalla direttiva 95/46/CE” (considerando 57).
18. Direttiva 1999/93/CE del Parlamento europeo e del Consiglio, del 13 dicembre 1999, relativa ad un quadro comunitario per le firme elettroniche.
19. Direttiva 2002/19/CE del Parlamento europeo e del Consiglio, del 7 marzo 2002, relativa all’accesso alle reti di comunicazione elettronica e alle risorse correlate, e all’interconnessione delle medesime (“direttiva accesso”); direttiva 2002/20/CE del Parlamento europeo e del Consiglio, del 7 marzo 2002, relativa alle autorizzazioni per le reti e i servizi di comunicazione elettronica (“direttiva autorizzazioni”); direttiva 2002/21/CE del Parlamento europeo e del Consiglio, del 7 marzo 2002, che istituisce un quadro normativo comune per le reti ed i servizi di comunicazione elettronica (“direttiva quadro”); direttiva 2002/22/CE del Parlamento europeo e del Consiglio, del 7 marzo 2002, relativa al servizio universale e ai diritti degli utenti in materia di reti e di servizi di comunicazione elettronica (“direttiva servizio universale”).
20. Raccomandazione 98/560/CE del Consiglio del 24 settembre 1998 concernente lo sviluppo della competitività dell’industria dei servizi audiovisivi e d’informazione europei attraverso la promozione di strutture nazionali volte a raggiungere un livello comparabile e efficace di tutela dei minori e della dignità umana.
21. La Carta dei Diritti Fondamentali dell’Unione Europea è stata firmata a Nizza il 7 dicembre 2000, ed è destinata ad essere inserita nell’ambito della Costituzione europea.
22. Cfr.. HIXSON, R.F., Privacy in a Public Society. Human Rights in Conflict, Oxford University Press, New York, NY, 1987, pp.29 ss.
23. Cfr.. REIDENBERG, J., Setting Standard for Fair Information Practice in the U.S. Private Sector, 80 Iowa L. Rev., 1995, pp.497 ss.
24. Art.2, direttiva 95/46/CE; la stessa definizione si applica alla direttiva 2002/58/CE.
25. V. considerando 9 della direttiva 2002/58/CE, che considera l’uso di dati anonimi, o protetti da pseudonimo, “quando possibile”; v. anche considerando 14, direttiva 2000/31/CE, che afferma che la direttiva sull’e-commerce “non può impedire l’utilizzazione anonima di reti aperte quali Internet”.
26. Cfr. la Opinione del Comitato Economico e Sociale del 28 novembre 2001 sulla protezione dei bambini in Internet, che prevede che dovrà essere tracciata una nuova distinzione tra privacy e “tracciabilità” dopo gli attacchi dell’11 settembre.
27. V. Raccomandazione No. R(99)5 del Consiglio d’Europa, che, conscia della necessità di sviluppare tecniche che consentano l’anonimato dei soggetti interessati (Preambolo), e ammettendo che il completo anonimato può non essere appropriato per la presenza di limiti giuridici (punto II.4), nondimeno riconosce che “anonymous access to and use of services, and anonymous means of making payments, are the best protection of privacy” (punto II.3); gli Internet service providers sono invitati ad informare gli utenti sia delle possibilità di accedere ad Internet in modo anonimo, usando I suoi servizi e pagando per gli stessi in modo anonimo, che dell’esistenza di programmi che consentono di navigare in modo anonimo in rete”; quando I limiti posti dall’ordinamento impediscono un completo anonimato, gli ISP dovrebbero offrire la possibilità di usare pseudonimi (punto III.4).
28. V. considerando 33, direttiva 58/2002/CE: “gli Stati membri dovrebbero incoraggiare lo sviluppo di opzioni per i servizi di comunicazione elettronica, quali possibilità alternative di pagamento che permettano un accesso anonimo o rigorosamente privato ai servizi di comunicazione elettronica accessibili al pubblico, per esempio carte telefoniche o possibilità di pagamento con carta di credito”.
29. V. Raccomandazione No. R(95)4 del Consiglio d’Europa, che afferma la necessità di rendere disponibili mezzi anonimi di accesso alle reti di telecomunicazione (Allegato, punto 2.2.).
30. V. Raccomandazione No. R(99)5 del Consiglio d’Europa, che afferma che l’indirizzo di posta elettronica è un dato personale (punto II.4).
31. Le Linee Guida OCSE (1980) lasciano la determinazione di tale distinzione ad ogni Stato membro; v. anche il Memorandum Esplicativo alle Linee Guida OCSE: i dati personali sono intesi “in the sense of information relating to identified or identifiable individuals”, che trasmettono informazioni “which by direct (e.g. a civil registration number) or indirect linkages (e.g. an address) may be connected to a particular physical person” (punto 41).
32. V. Data Protection Working Party, Working Document del 21 novembre 2000, sulla Privacy in Internet (Capitolo 4, punto V); v. anche Data Protection Working Party, Raccomandazione 2/2001 del 17 maggio 2001 (punto 28).
33. V. punto 1, Raccomandazione No. R(99)5 del Consiglio d’Europa.
34. Raccomandazione No. R(90)19 del Consiglio d’Europa, sulla protezione di dati personali utilizzati per pagamenti ed altre operazioni collegate (13 settembre 1990); Raccomandazione No. R(91)10 del Consiglio d’Europa, sulla comunicazione a terzi di dati personali in possesso di organismi pubblici (9 settembre 1991); Raccomandazione No. R(95)4 del Consiglio d’Europa, sulla protezione dei dati personali nell’area dei servizi di telecomunicazione, con particolare riferimento ai servizi telefonici (7 febbraio 1995).
35. Sui problemi, violazioni, e soluzioni tecnologiche, relativi alla privacy in Internet, v., più diffusamente, LUGARESI, N, Internet, privacy e pubblici poteri negli Stati Uniti, Milano 2000, pp.177 ss.
36. V. Raccomandazione No. R(99)5 del Consiglio d’Europa: “respect for privacy is a fundamental right of each individual which may also be protected by data protection legislation” (Allegato, punto I, Introduzione).
37. V. Data Protection Working Party, Working Document del 21 novembre 2000, sulla Privacy in Internet, che in apertura (Capitolo 1: Introduzione) afferma che il suo obiettivo riguarda le problematiche relative alla “on-line data protection”.
38. Considerando 6, direttiva 2002/58/CE.
39. Cfr. PACKARD, V., The Naked Society, Van Rees Press, New York, NY, 1964, pp.15 ss.
40. V. art.12, comma 1, direttiva 97/66/CE.
41. V. art.12, comma 2, direttiva 97/66/CE.
42. V. considerando 14, direttiva 2000/31/CE: ”l’applicazione della presente direttiva deve essere pienamente conforme ai principi relativi alla protezione dei dati personali, in particolare per quanto riguarda le comunicazioni commerciali non richieste”, senza alcuna distinzione riguardo alla posta elettronica.
43. V. art.10, comma 1, direttiva 97/7/CE.
44. V. art.10, comma 2, direttiva 97/7/CE.
45. La Convenzione (Convention for the Protection of Human Rights and Fundamental Freedoms) del Consiglio d’Europa è stata stipulata a Roma il 4 novembre 1950, ed è entrata in vigore il 3 settembre 1953; lo Stato italiano ha proceduto alla ratifica con legge 4 agosto 1955, n.848.
46. V. considerando 17, direttiva 97/7/CE.
47. V. art.7, comma 2, direttiva 2000/31/CE, che richiede, in questo caso, che gli Stati membri assicurino che i fornitori di servizi “che inviano per posta elettronica comunicazioni commerciali non sollecitate consultino regolarmente e rispettino i registri negativi in cui possono iscriversi le persone fisiche che non desiderano ricevere tali comunicazioni”.
48. Raccomandazione No. R(95)4 del Consiglio d’Europa, ai sensi della quale la legislazione nazionale o codici di autoregolamentazione dovrebbero applicarsi al momento in cui la chiamata può essere effettuata, alla natura del messaggio e al modo in cui il messaggio è comunicato (Allegato, punto 7.9.).
49. Raccomandazione No. R(95)4 del Consiglio d’Europa, ai sensi della quale il direct marketing non deve essere diretto a soggetti che hanno espresso il desiderio di ricevere materiale pubblicitario; per quanto riguarda il direct marketing per telefono, “devono essere sviluppati sistemi appropriati per identificare quei soggetti che non vogliono ricevere materiale pubblicitario per telefono” (Allegato, punto 7.10.).
50. Raccomandazione No. R(95)4 del Consiglio d’Europa, ai sensi della quale I dispositivi di chiamata automatica per trasmettere messaggi preregistrati di natura pubblicitaria possono essere diretti solamente a soggetti che hanno dato il loro consenso espresso e informato”; il consenso può essere revocato in ogni momento (Allegato, punto 7.11.).
51. V. Data Protection Working Party, Opinione 7/2000 del 2 novembre 2000, sulla proposta di direttiva relativa a privacy e comunicazioni elettroniche, che “si compiace e sostiene la proposta intesa a far fronte agli invii di posta elettronica indesiderati, come per quanto riguarda i centralini automatici e gli apparecchi fax”, in quanto in tutte queste situazioni “l’abbonato non ha un’interfaccia umana e sostiene, interamente o in parte, i costi della comunicazione”, e “il grado di invasione nella vita privata e l’onere economico sono comparabili” (Commento art.13).
52. V. art.13, comma 1, direttiva 2002/58/CE; v. anche il comma 2, che adotta un sistema misto di opt-in e opt-out quando le coordinate elettroniche per la posta elettronica sono ottenute “nel contesto della vendita di un prodotto o servizio ai sensi della direttiva 95/46/CE”: in questo caso, “la medesima persona fisica o giuridica può utilizzare tali coordinate elettroniche a scopi di commercializzazione diretta di propri analoghi prodotti o servizi, a condizione che ai clienti sia offerta in modo chiaro e distinto al momento della raccolta delle coordinate elettroniche e ad ogni messaggio la possibilità di opporsi, gratuitamente e in maniera agevole, all’uso di tali coordinate elettroniche qualora il cliente non abbia rifiutato inizialmente tale uso”.
53. V. art.13, comma 3, direttiva 2002/58/CE.
54. V. Data Protection Working Party, Opinione 7/2000 del 2 novembre 2000, sulla proposta di direttiva relativa a privacy e comunicazioni elettroniche, che afferma che, in riferimento all’art.13 della proposta direttiva, “gli spam rappresentano una forma specifica di violazione della vita privata: l’utente non ha interfacce umane, sostiene i costi della comunicazione e in genere riceve gli spam nell’ambito protetto della propria residenza privata”.
55. V. considerando 30, direttiva 2000/31/CE, che promuove iniziative di filtering.
56. V. art.6 e art.7, comma 1, della direttiva 2000/31/CE, che impone una tale identificazione; v. anche l’Opinione della Commissione del 17 giugno 2002, sulla proposta di direttiva relativa a privacy e comunicazioni elettroniche, che riconosce che le modalità tecniche che consentono agli utilizzatori della posta elettronica di vedere la “subject line” di un messaggio prima di scaricarlo, può continuare ad essere un utile strumento (amendment 45 – considerando 44a).
57. V. considerando 30, direttiva 2000/31/CE.
58. V. Data Protection Working Party, Opinione 7/2000 del 2 novembre 2000, sulla proposta di direttiva relativa a privacy e comunicazioni elettroniche, secondo cui il meccanismo di opt-in rappresenta “una soluzione ben equilibrata ed efficace per eliminare gli ostacoli alla fornitura di comunicazioni commerciali pur proteggendo il diritto fondamentale dei consumatori alla vita privata” (Commento art.13).
59. V. la Opinione del Comitato Economico e Sociale del 24 gennaio 2001, sulla proposta di direttiva relativa a privacy e comunicazioni elettroniche (comma 2.6.).
60. V. considerando 40, direttiva 2002/58/CE; v. anche considerando 30, direttiva 2000/31/CE.
61. V. la Decisione del Consiglio 1999/168/CE del 25 gennaio 1999 che adotta un programma specifico di ricerca, di sviluppo tecnologico e di dimostrazione intitolato «La società dell’informazione di facile uso», che sottolinea i bisogni e le aspettative dell’utente medio, nonché gli aspetti etici e socioeconomici (Allegato II, punto a.i.).
62. V. la Opinione del Comitato Economico e Sociale del 28 novembre 2001, sulla sicurezza delle reti e dell’informazione, che riconosce il diritto dei consumatori di avere protezione efficace contro impropri meccanismi di profilazione da spy software (spyware e web bugs), e altri mezzi, promuovendo l’adozione di misure efficaci per limitare lo spamming che nasce anch’esso da un tale cattivo uso” (punto 3.1.9.).
63. V. considerando 24, direttiva 2002/58/CE.
64. Per una descrizione “ufficiale” dei cookies, e sui rischi per la privacy causati dal loro uso,, v. Data Protection Working Party, Working Document del 21 novembre 2000, sulla Privacy in Internet (capitolo 2, punto 4).
65. V. considerando 25, direttiva 2002/58/CE.
66. V. Data Protection Working Party, Working Document del 21 novembre 2000, sulla Privacy in Internet (Capitolo 3, punto I).
67. V. Data Protection Working Party, Working Document del 21 novembre 2000, sulla Privacy in Internet (Capitolo 3, punto I).
68. Art.2, comma 1, a), direttiva 95/46/CE: “qualsiasi informazione concernente una persona fisica identificata o identificabile («persona interessata»); si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale”. v. anche art.2, a), Convenzione del Consiglio d’Europa di Strasburgo.
69. Art.2, comma 1, b), direttiva 95/46/CE: “qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali, come la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione o la modifica, l’estrazione, la consultazione, l’impiego, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, nonché il congelamento, la cancellazione o la distruzione”. V. anche art.2, b), Convenzione del Consiglio d’Europa di Strasburgo con riferimento al trattamento automatizzato.
70. Art.6, comma 1, direttiva 95/46/CE. V. anche art.5, Convenzione del Consiglio d’Europa di Strasburgo.
71. Art.7, direttiva 95/46/CE.
72. Art.8, comma 1, direttiva 95/46/CE, che definisce come “categorie particolari”, i dati data “che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale”, nonché i dati “relativi alla salute e alla vita sessuale; v. anche art.6, Convenzione del Consiglio d’Europa di Strasburgo.
73. Art.8, comma 2, direttiva 95/46/CE.
74. Art.10, direttiva 95/46/CE.
75. Art.12, direttiva 95/46/CE.
76. Art.14, direttiva 95/46/CE.
77. Art.17, direttiva 95/46/CE.
78. Art.18, direttiva 95/46/CE.
79.V. la Opinione del Comitato Economico e Sociale del 24 gennaio 2001, sulla proposta di direttiva in materia di Privacy e comunicazioni elettroniche, per la quale le stesse problematiche sulla privacy dovrebbero essere regolate nello stesso modo, indipendentemente dalla circostanza che si tratti di comunicazioni elettroniche o di trattamenti tradizionali (punto 2.1.).

Note

L'articolo La tutela della privacy on-line in ambito comunitario: profili interpretativi proviene da Giustamm.