Ho imparato, per mia abitudine intellettuale, a non accettare mai nulla per scontato. Chiedi quindi scusa a tutti per questo intervento, che è basato su alcune osservazioni che sono venute via via accumulandosi nel corso del tempo e che mi hanno portato ad alcune conclusioni che vorrei condividere con voi per dibatterne, nella speranza che, poiché mi trovo in un consesso di persone molto più esperte di me, mi sia data la possibilità di capire meglio.
L’ultimo spunto in ordine di tempo me l’ha dato un recentissimo provvedimento del Garante della Privacy, le “Linee guida in materia di trattamento di dati personali contenuti anche in atti e
documenti amministrativi, effettuato da soggetti pubblici per finalità di pubblicazione e
diffusione sul web Pubbl. sulla Gazzetta Ufficiale del 19/03/11, n.64 – Serie generale”.
In realtà, forse quello delle Linee guida è forse l’esempio sbagliato, vista la natura stessa di un provvedimento di questo tipo. Ciò a cui mi riferisco, invece, sono una serie di provvedimenti a carattere tipicamente normativo emessi dal Garante (l’ultimo in ordine di tempo è quello sulla video sorveglianza, ma ci sono anche quello sulle carte di fedeltà, nella grande distribuzione, quello sugli amministratori di sistema, ecc).
Vengo subito al punto. Tutti questi provvedimenti hanno valore normativo in quanto si chiudono così: “tutto ciò premesso, il Garante prescrive ai titolari di trattamenti di dati personali oggetto del presente provvedimento, ai sensi dell’art. 154, comma 1, lett. c), del Codice, di adottare le misure necessarie ed opportune ivi indicate al fine di rendere i trattamenti medesimi conformi alle disposizioni vigenti.” Oppure (prendendo ad esempio il provvedimento sugli amministratori di sistema “ai sensi dell’art. 154, comma 1, lett. c) del Codice prescrive l’adozione delle seguenti misure ai titolari dei trattamenti di dati personali soggetti all’ambito applicativo del Codice ed effettuati con strumenti elettronici”. Ne segnalo uno che ho trovato particolarmente singolare, le linee guida del Garante su posta elettronica ed Internet (1.3.2007, bollettino 81/marzo 2007, documento web 1387522) che così conclude: tutto ciò premesso, il Garante “prescrive ai datori di lavoro privati e pubblici, ai sensi dell’art. 154, comma 1, lett. c), del Codice, di adottare la misura necessaria a garanzia degli interessati, nei termini di cui in motivazione”. Ho citato quest’ultimo provvedimento in quanto mi è sembrato (e continua a sembrarmi) alquanto bizzarro che delle linee guida si chiudano con un dettato prescrittivo: se sono linee guida, dovrebbe dare indicazioni, non precetti, ma tant’è.
Prima osservazione: queste norme sono vincolanti per tutti e la loro violazione è sanzionata penalmente (articolo 170 del codice, reclusione da due mesi a due anni) . Se però andiamo a leggere i provvedimenti, leggiamo una cosa che ci porta a conclusioni un po’ strane. L’articolo di legge citato nei provvedimenti è l’articolo 154; il Garante, più precisamente, prescrive queste misure ai sensi dell’articolo 154, lettera c. Il quesito allora è: questo articolo di legge consente al Garante di emettere provvedimenti normativi? Il Garante ha il potere di emettere provvedimenti normativi, pur se si tratti di normativa secondaria o terziaria? Riporto di seguito il testo dell’articolo 154, primo comma:
Art. 154. Compiti
1. Oltre a quanto previsto da specifiche disposizioni, il Garante, anche avvalendosi dell’Ufficio e in conformità al presente codice, ha il compito di:
a) controllare se i trattamenti sono effettuati nel rispetto della disciplina applicabile e in conformità alla notificazione, anche in caso di loro cessazione e con riferimento alla conservazione dei dati di traffico;(1)
b) esaminare i reclami e le segnalazioni e provvedere sui ricorsi presentati dagli interessati o dalle associazioni che li rappresentano;
c) prescrivere anche d’ufficio ai titolari del trattamento le misure necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti, ai sensi dell’articolo 143;
d) vietare anche d’ufficio, in tutto o in parte, il trattamento illecito o non corretto dei dati o disporne il blocco ai sensi dell’articolo 143, e di adottare gli altri provvedimenti previsti dalla disciplina applicabile al trattamento dei dati personali;
e) promuovere la sottoscrizione di codici ai sensi dell’articolo 12 e dell’articolo 139;
f) segnalare al Parlamento e al Governo l’opportunità di interventi normativi richiesti dalla necessità di tutelare i diritti di cui all’articolo 2 anche a seguito dell’evoluzione del settore;
g) esprimere pareri nei casi previsti;
h) curare la conoscenza tra il pubblico della disciplina rilevante in materia di trattamento dei dati personali e delle relative finalità, nonché delle misure di sicurezza dei dati;
i) denunciare i fatti configurabili come reati perseguibili d’ufficio, dei quali viene a conoscenza nell’esercizio o a causa delle funzioni;
l) tenere il registro dei trattamenti formato sulla base delle notificazioni di cui all’articolo 37;
m) predisporre annualmente una relazione sull’attività svolta e sullo stato di attuazione del presente codice, che è trasmessa al Parlamento e al Governo entro il 30 aprile dell’anno successivo a quello cui si riferisce. (omissis)”
Ora la prima cosa che mi sento di sottolineare è che (se l’italiano non è una opinione, e a mio modo di vedere non lo è ) la norma affida al Garante dei compiti, non dei poteri. Secondo me ai fini del dibattito che vorrei lanciare la cosa non è di secondaria importanza. Significa che il Garante ha delle incombenze da esplicare, non poteri da esercitare (se non nei sensi e modi previsti dalla norma stessa). Torniamo quindi alla norma citata, cioè la lettera c, che prescrive che il Garante possa “c) prescrivere anche d’ufficio ai titolari del trattamento le misure necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti, ai sensi dell’articolo 143;” Per chi non lo sapesse, l’articolo 143 disciplina il procedimento per i reclami, una delle due possibilità fornite ai cittadini a tutela della loro privacy. E’ infatti possibile presentare un ricorso, se si tratta di chiedere la rettifica o cancellazione di dati che riguardano direttamente il ricorrente, oppure presentare un reclamo per rappresentare una violazione della legge. Ricevuto il reclamo il Garante apre un fascicolo che poi porta aventi fino alla sua definizione secondo, appunto, quanto prescritto dall’articolo 143, che recita:
“Art. 143. Procedimento per i reclami
1. Esaurita l’istruttoria preliminare, se il reclamo non è manifestamente infondato e sussistono i presupposti per adottare un provvedimento, il Garante, anche prima della definizione del procedimento:
a) prima di prescrivere le misure di cui alla lettera b), ovvero il divieto o il blocco ai sensi della lettera c), può invitare il titolare, anche in contraddittorio con l’interessato, ad effettuare il blocco spontaneamente;
b) prescrive al titolare le misure opportune o necessarie per rendere il trattamento conforme alle disposizioni vigenti;
c) dispone il blocco o vieta, in tutto o in parte, il trattamento che risulta illecito o non corretto anche per effetto della mancata adozione delle misure necessarie di cui alla lettera b), oppure quando, in considerazione della natura dei dati o, comunque, delle modalità del trattamento o degli effetti che esso può determinare, vi è il concreto rischio del verificarsi di un pregiudizio rilevante per uno o più interessati;
d) può vietare in tutto o in parte il trattamento di dati relativi a singoli soggetti o a categorie di soggetti che si pone in contrasto con rilevanti interessi della collettività.”
Ora, mi pare che ci sia una considerazione di fondo: l’articolo 143 presuppone una situazione specifica che riguarda un singolo titolare. Tizio segnala al Garante che Caio sta violando la legge. In quel caso, quindi, il Garante effettua la sua istruttoria e prescrive a Caio di cessare o meno un certo comportamento. Il provvedimento, quindi, ha valore soggettivo e specifico in quanto diretto nei confronti del reclamato, non nei confronti della collettività. L’articolo 154 1. c) ricorda appunto che il Garante ha questo compito: emettere, nei confronti dei singoli titolari contro cui siano presentati dei reclami, i provvedimenti necessari per adeguare i trattamenti oggetto dei reclami stessi. Il combinato disposto di questi due articoli, quindi, non sembra (a chi scrive, ovviamente) affidare al Garante il potere di emettere provvedimenti aventi efficacia “erga omnes”, proprio perchè essi sono emessi ai sensi dell’articolo 143, che prevede invece dei provvedimenti specifici aventi valore nei confronti dei singoli titolari, non nei confronti di tutto l’universo mondo.
Il rpoblema è tutto qui e non mi pare che ci sia altro da dire: potrei infiorire quanto ho appena accennato con altri orpelli e ghirigori giuridici, ma mi sono accorto di essermi appena lasciato andare ad un “combinato disposto” nel paragrafo precedente, il che mi segnala che è tempo di chiudere. Non prima però di una considerazione finale, che è poi quella da cui nasce tutto questo intervento. Orami i Provvedimento normativi del Garante sono innumerevoli. Forse per ignoranza della materia, forse perchè è considerata poco interessante, il nostro legislatore in materia di privacy ha fatto poco e male (salvo riempirsi la bocca della parola privacy quando fa comodo). Forse per questo il Garante ha trovato questo spazio, che si è affrettato a riempire. Ma, se non ricordo male, per operare in questo modo dovrebbe esserci una precisa disposizione di legge che dia questo potere (non compito); ovvero ci vorrebbe una espressa delega legislativa. Ma qui entro nel campo dei cultori di diritto pubblico cui, spero, lascio la parola, con l’auspicio che finalmente si faccia chiarezza. Magari solo nella mia mente, ma almeno mi sarò riconciliato con il diritto, quale che sia la conclusione.
