Data Protection, Information Privacy, and Security Measures: an Essay on the European and the Italian Legal Frameworks

摘要

La sicurezza dei dati personali costituisce l’ultimo approdo del cammino percorso, nell’arco di più di un secolo, dalla tutela della privacy. Nell’era digitale, infatti, non ha senso parlare di privacy senza fare riferimento alla sicurezza informatica. Qual è l’approccio più efficace alla regolamentazione della sicurezza dei dati personali? Qual è quello più efficiente? È preferibile una regolamentazione generale o una settoriale? Lo Stato deve limitarsi a garantire la trasparenza dei processi di elaborazione degli standard di sicurezza o deve imporre specifiche funzionali? Più in generale, qual è la relazione che esiste tra standard per la sicurezza dei dati personali e diritto statale? Questa lavoro è dedicato a fornire risposte (parziali) a queste domande. La trattazione prende le mosse dall’analisi della disciplina che il trattamento dei dati personali riceve negli ordinamenti europeo ed italiano con particolare attenzione agli aspetti legati alla sicurezza dei dati stessi. Viene, quindi, descritta l’epifania del concetto di privacy, nonché la sua evoluzione giurisprudenziale e normativa. Dopo la ricostruzione delle direttive europee di riferimento, si dà spazio alla ricognizione del d.lgs. 30 giugno 2003 n. 196, Codice in materia di protezione dei dati personali. Un apposito paragrafo è poi dedicato all’approfondimento della disciplina della sicurezza dei dati la quale, per la sua parte più importante, si compone del principio di necessità (art. 3) e degli obblighi relativi alle misure di sicurezza (art. 31 ss.). Nella parte finale, vengono presentati una serie di interessanti spunti di riflessione a margine della tematica degli standard per la sicurezza dei dati personali. Non esiste, infatti, privacy senza sicurezza dei sistemi informativi e delle reti telematiche. La protezione dei dati personali in ambiente informatico si risolve, in definitiva, nella regolamentazione degli standard di sicurezza. Dunque, la tutela dei dati personali rappresenta un campo di indagine privilegiato per studiare il ruolo degli standard nel diritto dell’era digitale. A seconda della prospettiva teorica prescelta, lo standard può essere considerato una fonte del diritto oppure una regola tecnica che si relaziona ad una o più fonti del diritto. La prima prospettiva mira ad enfatizzare l’importanza assunta (di fatto) dallo standard, l’erosione della sovranità statale nonché il deficit democratico riscontrabile nei processi di emersione delle regole tecniche. La seconda prospettiva, prendendo le mosse dall’idea che il diritto statale (pur se indebolito) continua a dominare la produzione delle regole, focalizza l’attenzione sulle molteplici relazioni che possono esistere tra norma tecnica e norma giuridica (di origine statale). Entrambe le prospettive – pur se apparentemente inconciliabili – si dimostrano utili per esplorare il tema della sicurezza dei dati personali. Esse, ad esempio, traspaiono in filigrana dal tessuto normativo del nostro Codice in materia di protezione dei dati personali. Gli obblighi relativi all’adozione di misure di sicurezza previsti dagli art. 31 e ss. – ed il disciplinare tecnico contenuto nell’allegato B – possono essere letti come un riconoscimento implicito della maggiore efficacia dello standard tecnico rispetto alle regole puramente giuridiche. In questo modello di regolamentazione, il diritto svolge una funzione meramente ancillare, in quanto è la tecnologia che tutela l’interesse, mentre la legge si riduce a mero strumento di supporto. Allo stesso tempo, però, la tendenza alla regolamentazione generale ed omnicomprensiva tipica del nostro Codice sulla privacy finisce col tradursi in un modello normativo – quella del principio di necessità sancito dall’art. 3 del Codice stesso – che pretende di imporre all’azione della tecnologia un generale criterio di indirizzo e di conformità, richiedendo che i sistemi informativi ed i programmi informatici siano configurati in maniera tale da ridurre al minimo l’utilizzazione di dati personali ed in modo da escluderne il trattamento ogni volta che si possa far ricorso a sistemi atti a rendere i dati stessi del tutto anonimi o che consentano di identificare l’interessato solo in caso di necessità. Gli elementi raccolti nel corso della ricerca rappresentano, comunque, solo un primo tentativo – foriero di ulteriori approfondimenti – di analizzare il tema della protezione dei dati personali nell’ambito del più generale confronto tra privacy e sicurezza, imposto al mondo del diritto dal tumultuoso sviluppo della tecnologia informatica.