Intanto bisogna ricordare che la normativa sulla protezione dei dati personali, nota come legge sulla privacy, esiste in Italia dal 1997, a seguito dell’entrata in vigore della legge 675/96.

Il D.Lgs.n.196 del 30 Giugno 2003, ha abrogato e sostituito le leggi, i decreti ed i regolamenti che esistevano nello stesso ambito di applicazione, eccetto le disposizioni di legge e di regolamento più restrittive, e li ha riuniti, razionalizzandoli e armonizzandoli, in un testo unico che costituisce l’intera normativa in materia di privacy, inoltre ha introdotto nuove garanzie per i cittadini ed ha modificato e semplificato alcune procedure, così da rendendo la materia di più immediata applicazione nella situazione italiana.

Questa premessa serve a ricordare che molti degli adempimenti ad oggi non ancora posti in essere in numerose realtà erano però in realtà obbligatori già da diversi anni.

A questa situazione di scarsa sensibilizzazione verso la tutela dei dati personali, si sono aggiunti i continui rinvii, (in ultimo con legge 23 febbraio 2006, n. 51, conosciuta anche come decreto mille proroghe emanato dal governo Berlusconi) a cui abbiamo assistito, dell’obbligo di adozione degli articoli del codice sulla privacy, relativi alle misure minime di sicurezza, nonostante l’intento originario di questi rinvii sia stato quello di concedere un tempo maggiore per adeguarsi agli adempimenti, hanno accentuato il disinteresse verso l’effettiva applicazione del codice.

In più vi è stata anche una scarsa o cattiva informazione da parte dei media che, spesso, hanno messo in secondo piano le notizie su questa materia e a volte la stessa Autorità Garante è stata contraddittoria nei suoi comunicati. Il risultato è che è stata ingenerata confusione tra i destinatari del D.Lgs. n.196/03 e non sempre si è avuta la consapevolezza che le disposizioni transitorie riguardavano solo l’adozione delle misure minime di sicurezza e si è ingenerato il dubbio, erroneamente, che le proroghe riguardassero l’applicazione dell’intero codice.

L’attività ispettiva, sia di controllo che sanzionatoria da parte dell’Autorità Garante, anche se in progressivo aumento a seguito del protocollo d’intesa con la Guardia di Finanza, non ha ancora raggiunto l’efficienza necessaria per incidere in modo significativo sulla percezione che di essa se ne ha. Spesso infatti l’opinione pubblica è ancora riluttante a considerare di per sé necessarie le norme del decreto, a volte addirittura le pone in contrasto con altri adempimenti normativi e quindi le rifiuta e anche gli interessati dai trattamenti non ritengono ancora di avere sufficienti garanzie che vi sia il rispetto delle norme da parte di chi tratta i loro dati e ne sceglie gli strumenti e le modalità di trattamento.

Si è delineato uno scenario in cui emergono fenomeni di superficialità nel trattamento dei dati da parte dei titolari che spesso non si preoccupano di adottare idonee misure di sicurezza:

• facendo un abuso, se dietro la privacy si nasconde l’incapacità o la mancanza di volontà di fornire le informazioni richieste;

• creando sfiducia nel sistema di protezione di dati personali da parte dei cittadini interessati da trattamenti, che a volte associano al termine privacy il concetto di silenzio o addirittura di “omertà” da parte dell’istituzione che fornisce i dati richiesti, piuttosto che di tutela della riservatezza.

Nell’ambito della sicurezza delle informazioni, i beni da proteggere sono la riservatezza, l’integrità e la disponibilità dei dati. Il codice sulla privacy fà propri questi principi e li adotta con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali. Sono concetti fondanti per una società basata sull’uguaglianza, sulla partecipazione, sulla libertà e soprattutto sulla dignità, cioè per una società in cui questi valori, ai quali si aggiunge la privacy, sono profondamente legati tra di loro. Quello che però accade è che si confonde troppo spesso il termine privacy nell’accezione data dal nostro ordinamento, “diritto alla protezione dei dati personali“, con il significato originario della parola, di provenienza anglosassone, ovvero “right to be let alone“, il diritto di essere lasciato solo.

In questo momento la percezione comune che si ha è che tutto il sistema di tutela della protezione dei dati personali sia solo un insieme di meri adempimenti formali da attuare affinché si evitino le sanzioni, tra l’altro a volte in apparente contraddizione con altri sistemi di garanzia dei diritti dei cittadini interessati da trattamenti, quali ad esempio i codici deontologici degli ordini professionali. Questo conflitto, ha portato gli avvocati a ritenere di non dover essere annoverati tra i destinatari del codice, in quanto già tenuti professionalmente alla riservatezza dei dati trattati, tanto da farsi promotori di una proposta di legge in cui formalmente la categoria viene sollevata da tutti gli adempimenti previsti. Anche nel caso in cui almeno dal punto di vista formale si è adempiuto a tutti gli obblighi previsti, in realtà spesso non si coglie il vero spirito che ha portato alla promulgazione di questo codice, ovvero la “cultura” del trattamento di dati. Affinché le disposizioni normative in materia di privacy non si riducano ad un semplice adempimento formale, chiaramente inefficace, è necessario che la protezione dei dati personali venga sentita come un valore a sé stante.

Purtroppo le carenze più rilevanti sono state rilevate all’interno delle Amministrazioni Pubbliche, sono di tipo organizzativo e spesso nascono dalla mancanza di sensibilità e “cultura” verso la protezione dei dati personali, a cui si aggiunge un contatto superficiale con la materia, che svilisce i principi basilari del codice sulla privacy. Non si può negare che negli ultimi anni la consapevolezza di queste tematiche sia in modo significativo aumentata, tuttavia persistono ancora, soprattutto nella P.A., una mentalità ed un approccio di tipo burocratico che non fanno corrispondere ai meri atti formali, pure necessari, una piena coscienza della delicatezza della materia trattata. E’ infatti innegabile che sono stati proprio i casi di “disattenzione” nella p.a. che hanno indotto l’Autorità Garante a rinviare per ben quattro volte, l’obbligo di adozione delle misure minime di sicurezza, prendendo dunque atto che nel settore pubblico risulta di gran lunga più difficile andare oltre la formalità degli adempimenti e pervenire ad un’applicazione sostanziale del codice.

A questo proposito, è stato rilevato come molte Amministrazioni Pubbliche abbiano formalmente redatto il Documento Programmatico sulla Sicurezza una tantum, vigente la L. 675/96, senza poi far seguito in modo significativo a questo adempimento, anche a causa delle continue proroghe relative al D.Lgs.n.196/03, questo atteggiamento di scarsa sensibilità da parte dalla P.A. non è stato poi in alcun modo migliorato dalle scelte legislative che, anzi, lo hanno accentuato sempre di più ed hanno, inoltre, distratto l’attenzione dalla privacy portandola verso altre tematiche ritenute di maggiore attualità.

Un altro effetto di questa situazione nell’ambito pubblico riguarda l’emanazione dei Regolamenti interni sul trattamento dei dati sensibili da parte degli enti pubblici, il cui termine ultimo di presentazione, è stato fatto slittare last minute un paio volte, proprio a causa della mancata predisposizione di tale documento da parte di molte Amministrazioni. E questo nonostante gli sforzi del Garante di semplificare la produzione dei Regolamenti – mediante l’emanazione di schemi tipo. Bisogna purtroppo constatare che, molte amministrazioni pubbliche non hanno ancora, a tutt’oggi, ottemperato pienamente a tutti gli adempimenti, molto spesso per problemi di gestione e organizzazione. Da tutto questo risulta evidente che nel settore pubblico, una gestione sicura, affidabile ed attenta alle tematiche presenti nel D.Lgs. 196/03 non è affatto semplice da attuare, anche per le forti resistenze provenienti, spesso, dall’interno e viene enormemente frenato da un sistema che non vuol rinunciare alle sue certezze e che non sempre è disposto al confronto costruttivo, finalizzato a prendere atto dei punti di debolezza per cercare di superarli.

Sono queste, secondo noi, le riflessioni da fare rispetto agli “spioni” fiscali, per creare una “cultura” del trattamento dei dati personali e per mettere mano seriamente all’applicazione del decreto sulla privacy in italia, nelle parti di controllo e sanzionatorie.

Relazione 2005 del Garante della privacy, Franco Pizzetti

Estratto del discorso del Presidente. F.Pizzetti

privacy, cultura, spioni