La disciplina dei dati personali è divenuta un ordinamento di settore, complesso non solo per l'estensione delle aree di afferenza e per il contenuto tecnico delle disposizioni, ma anche per la pluralità di fonti che essa coinvolge. È pure una disciplina difficile da articolare e tradurre in norma tive, sia per il bilanciamento di interessi che implica, sia per la volatilità delle previsioni, destinate a consumarsi nel corso della evoluzione delle tecnologie e dell'affinamento della coscienza sociale e quindi della "reattività" dei singoli alle iniziative e ai fenomeni che possono porre in pericolo la loro riservatezza.

Concettualmente e politicamente, nel quadro delle categorie giuridiche integrato dai valori politici, questa disciplina riflette non solo le preoccupazioni, le aspirazioni, le speranze degli individui che intendano difendere la loro vita privata, la riservatezza dei loro atti, la sfera familiare degli affetti e dei sentimenti, l'intimità della dimensione biologica, ma quelle di tutti i soggetti che vogliano mantenere intatta la loro identità e la loro libertà di decisione politica.

Questo complesso di problemi -forse sarebbe meglio usare l'espressione "groviglio" -emerge con vigore e chiarezza dai contributi raccolti da Roberto Pardolesi in quest'opera, che sono lieto di ospitare nella collana di "diritto dell'informatica" delle edizioni Giuffrè. Emerge dalle relazioni annuali del Garante per la protezione dei dati personali, dai preziosi atti dei convegni organizzati, in prospettiva comparatìstica e comunitaria, dall'Ufficio del Garante e dalle Università italiane e straniere, dalla letteratura, sempre più copiosa, raccolta in monografie, saggi e siti del web.

Qualche notazione in più è necessaria per rendere la rappresentazione della materia in tutta la sua ricchezza e per avvalorare il contributo degli studiosi che hanno cooperato nella redazione dell'opera.

La disciplina dei dati personali è oggetto di fonti avente diversa durezza. Seguendo il metodo formale, largamente debitore ad Hans Kelsen, dobbiamo pensare all'ordinamento come ad una struttura piramidale, con la base rovesciata, in cui la punta è data dalla "norma fondamentale".

Nel caso della disciplina delle banche di dati personali (ne La disciplina dei dati personali, SEAM, Roma, 1998), la norma fondamentale ha una composizione a "due facce", perche riguarda sia la Costituzione, sia il Trattato delle Comunità europee: i principi che proteggono i dati personali si possono infatti annodare alla nostra costituzione repubblicana (già al suo art. 2) sia ai principi del Trattato che riguardano la circolazione delle persone e dei beni, perche la persona rappresentata dai dati per l'appunto identificativi "circola" attraverso le sue rappresentazioni, e perche il dato personale, in se, è un "bene" che circola materialmente nei Paesi dell'Unione, oltre che nei Paesi extracomunitari. Di qui, dunque, la base data dalla Costituzione e dalla normativa comunitaria; a livello inferiore la legge istitutiva dell'Ufficio del Garante, con le ulteriori modificazioni (1. 31.12.1996, n. 675; l. 31.12.1996, n. 676; l. 24.3.2001, n. 127; d.lgs. 28.12.2001, n. 127); la legislazione in materia costituisce anche legge di attuazione della direttiva comunitaria ( 24.12.1995, n. 46) sui dati personali; cui occorre aggiungere la dir. 15.12.1997, n. 66 sul trattamento dei dati personali e la tutela della vita privata nel settore delle telecomunicazioni e la dir. 12.7.2002, n. 58 sugli aspetti di dati personali e privacy nel settore delle comunicazioni elettroniche.

Allo stesso livello si collocano le regole giurisprudenzialielaborate dalla Corte di Giustizia della Comunità europea, i cui paradigmi ermeneutici sono vincolanti anche per l'interprete nazionale che applichi disposizioni di attuazione delle direttive comunitarie, nonche le regole giurisprudenziali elaborate dai giudici nazionali, nel nostro caso del giudice ordinario, atteso che avverso i provvedimenti del Garante è competente il giudice ordinario e non il giudice amministrativo.
Al livello ancora inferiore occorre considerare i provvedimenti del Garante, i quali sono atti amministrativi, che tuttavia, nella loro multiforme qualificazione, esprimono un potere regolamentare che incide su diritti soggettivi.

Vi è poi tutta una serie di fonti che via via degradano per il loro potere vincolante, come le raccomandazioni e i pareri espressi dagli organismi comunitari, le convenzioni internazionali; e poi le fonti dell'autonomia privata, come regolamenti, convenzioni, accordi, codici deontologici, etc.

Questi materiali normativi, raccolti in CD a cura dell'Ufficio del Garante e pubblicati dal Bollettino del Garante dei dati personali, sono ora in modo più corposo offerti alla lettura dal "codice della privacy" organizzato da Emilio Tosi (Il codice della privacy. Tutela e sicurezza dei dati personali, 2a ed., Casa ed. La Tribuna, Piacenza, 2003). Visivamente questa raccolta è impressionante perche si estende per più di 1700 pagine, e quindi già di per se lascia intendere come si sia venuta consolidando nel tempo la creazione giuridica dei nuovi diritti e delle loro forme di tutela. Ma è anche impressionante la tassonomia dei settori investiti dalla disciplina, che è ordinata secondo diversi criteri: il mezzo con cui si tratta il dato (dalle carte magnetiche ai registri anagrafici, ai documenti informati ci, ai mass media), il contenuto del dato (genetico, sanitario, biometrico, economico, storico, scientifico, statistico), il contenitore del dato (registri, casellari, trattati, contratti, atti difensivi, indagini etc.).

Questo semplice sguardo d'insieme indica come si sia gradualmente estesa la disciplu1a dei dati personali -una storia "di evoluzione e di discontinuità" la definisce icasticamente Roberto Pardolesi, nel saggio di apertura dell'opera che si presenta -, ma indica pure che non si è in presenza di una semplice e costante estensione in termini "geografici"; ma piuttosto di una estensione in termini strutturali e istituzionali, dal momento che dal diritto alla "riservatezza" si è via via passati al diritto alla identità personale, al diritto all'autodeterminazione informatica, al diritto al controllo del trattamento dei propri dati personali: un itinerario concettuale che dà la misura della protezione dei diritti civili nella società contemporanea.

Si tratta pure di una serie di regole che presentano caratteristiche variegate: principi, regole generali, regole a contenuto particolare, settoriale, altamente tecnico, che possono creare -come tutte le regole di una società complessa come la nostra -problemi di conoscibilità, di comprensione, di applicazione; problemi nel nostro caso ancor più delicati perche esse -quali regole di comportamento -sono destinate agli operatori (gli Stati, i Governi, le pubbliche Amministrazioni, i giudici, i funzionari pubblici, i sanitari, gli imprenditori, i professionisti, i semplici privati) e -quali regole di garanzia e di tutela -ad ogni individuo che faccia parte di un aggregato sociale.

Ogni regola giuridica implica poi un bilanciamento di interessi: apprezzarne solo gli effetti economici implicherebbe far prevalere le ragioni del mercato su quelle della persona; quindi l'aspetto economico della normazione costituisce solo uno degli addendi, nella valutazione complessiva, che si aggiunge agli altri riguardanti per l'appunto i valori della persona in tutte le sfaccettature della sua vita intima e sociale.

A differenza di quanto si poteva pensare mezzo secolo fa, le regole giuridiche di oggi sono un "work in progress" perche si debbono adattare al ritmo veloce del cambiamento, tecnologico in primis (RoDoTÀ, Tecnologie dell'informazione e frontiere del sistema socio-politico, in Poi. dir., 1982, p. 25 ss.), e sociale ed economico poi (PREDIERI, Gli elaboratori elettronici nell'amministrazione dello Stato, Il Mulino, Bologna, 1971; RoDoTÀ, Elaboratori economici e controllo sociale, Il Mulino, Bologna, 1973; FROSINI, Banche dati e tutela della persona, Camera dei Deputati, Roma, 1983; Legislation and Data Protection, Camera dei Deputati, Roma, 1983; Posner, Economic Analysis oJ Law, Little, Brown and Company, Boston e Toronto, 20 ed., 1977, p. 55 ss.; RoDoTÀ, Repertorio di fine secolo, Laterza, Roma-Bari, 1999, p. 201 sS.; W ALKER, The Costs oJPrivacy, in 27 Ra rv. ,. L & Publ.Policy, 2002, p. 87 ss.). Quindi si parla di regole non definitive ma dotate di un alto tasso di provvisorietà.

Ancora, si tratta di regole che possono riguardare sia i rapporti tra privati, sia i rapporti tra il privato e gli apparati pubblici, sia inerire alla cittadinanza (nazionale ed europea) cioè al modo di essere, di porsi e di operare, del singolo nell'ambito della organizzazione politica.

La dimensione "politica" della protezione dei dati personali si sdoppia dunque in due livelli: quello inerente alla identità della persona (ALPA, Status e capacità. La costruzione giuridica della identità individuale, Laterza, Roma-Bari, 1993; RoDoTÀ, Persona, riservatezza, identità. Prime note sistematiche sulla protezione dei dati personali, in Riv. crit. dir. priv.,1997, p. 586 ss.) e quello della sua partecipazione al mondo della comunicazione e alla vita politica (WESTIN, privacy and Freedom, New York, 1970; RoDoTÀ, Tecnopolitica. La democrazia e le nuove tecnologie della comunicazione, Laterza, Roma-Bari, 1997).

I confini tra diritto privato e diritto pubblico sono ormai, anche per effetto dell'evoluzione tecnologica, sempre più labili. L'ordinamento, nelle sue configurazioni concentriche, dalla più circoscritta, identifica bile con il diritto regionale -a cui sarebbe sottratta la materia dei dati personali in via di legislazione primaria se non si ritenesse che il legislatore regionale può integrare in via suppletiva la legislazione statale -a quelle via via più ampie, delimitate dai confini nazionali, europei, internazionali, sembra oggi assestarsi su due poli tra loro strettamente correlati: i diritti fondamentali e il diritto del mercato.

Nelle carte dei diritti -la più recente è la Carta dei diritti fondamentali dell'unione europea -la persona è tutelata in tutte le sue dimensioni. La Carta dei diritti è destinata ad essere integrata nella costituzione (o trattato) dell'Unione, come emerge dal Tit. II della prima bozza del testo elaborato dalla Commissione istituita ad hoc. Essa prevede, all'art. 8, sotto la rubrica dedicata alla "protezione dei dati di carattere personale": (i) l'enunciazione di un diritto generale alla protezione dei dati garantito ad ogni individuo; (ii) l'enumerazione dei criteri di trattamento dei dati, secondo i principi di lealtà, di coerenza con le finalità, di acquisizione del consenso dell'interessato, di libero accesso e di rettifica; (iii) sistemi di controllo dell'osservanza dei predetti principi da parte di una autorità indipendente; (iv) una clausola generale di chiusura in base alla quale il trattamento dei dati deve avvenire sulla base di ogni (altro) fondamento legittimo previsto dalla legge. La previsione si fonda sull'art. 286 del Trattato CE, sulla direttiva 95/46/CE del Parlamento europeo e del Consiglio, nonche sull'art. 8 della CEDU (che più riduttivamente fa riferimento alla tutela della vita privata) e sulla Convenzione del Consiglio d'Europa inerente al trattamento automatizzato dei dati personali del 28.1.1981 ratificata da tutti gli Stati membri.

Il diritto del mercato deve quindi rispettare i diritti fondamentali: ci si avvia alla configurazione di un mercato sociale, come già emerge dalla bozza di costituzione (o trattato) dell'Unione che, oltre al rispetto dei diritto dell'uomo indica a valori fondanti la dignità umana, la libertà, la democrazia, la tolleranza, la giustizia, la solidarietà (art. 2); e tra gli obiettivi dell'Unione annovera la crescita economica equilibrata, la giustizia sociale, la coesione economica e sociale, il progresso scientifico e tecnologico, lo spazio di libertà, sicurezza e giustizia (art. 3).

Si amplia e si arricchisce dunque il quadro dei riferimenti normativi e dei valori a cui la dottrina italiana, nel corso della faticosa gestazione delle regole di protezione dei dati personali, aveva fatto riferimento nell'enorme messe di contributi dedicati a questa materia (in particolare si rinvia alle opere raccolte nella collana di "Diritto dell'informatica", tra le quali v. soprattutto Trattamento dei dati e tutela della persona, a cura di Cuffaro, Ricciuto, Zeno-Zencovich, Giuffrè, Milano, 1998; I problemi giuridici di Internet. Dall'e-commerce all'e-business, a cura di Tosi, 20 ed., Giuffrè, Milano, 2001; e ai contributi pubblicati sulla rivista Diritto dell'informazione e dell'informatica, diretta da V. Zeno-Zencovich; e da ultimo ai saggi raccolti nel volume curato da A. LOJODICE e G. SANTANIELLO, La tutela della riservatezza, Cedam, Padova, 2000, nel Trattato di diritto amministrativo diretto da G. Santaniello).

Il diritto comparato ha svolto in questa vicenda un ruolo eccezionalmente rilevante: non solo ha consentito di porre a confronto i modelli costituzionali e giurisprudenziali di protezione della riservatezza e i sistemi di normazione speciale della raccolta di dati mediante tecniche informatiche, ma ha costituito la base della disciplina internazionale e comunitaria, dalla quale si è riavviato il processo di regolamentazione sia negli ordinamenti che non avevano ancora provveduto ad emanare disposizioni specifiche al riguardo, sia negli ordinamenti più avanzati che hanno provveduto ad aggiornare e perfezionare le proprie legislazioni (tra i molti v. GIANNANTONIO, Manuale di diritto dell'informatica, Cedam, Padova, 1994; LOSANO, Il diritto pubblico dell'informatica, Einaudi, Torino, 1986; GIANNANTONIO, LOSANO, ZENO-ZENCOVICH, La tutela dei dati personali, Cedam, Padova, 1997; BUTTARELLI, Banche dati e tutela della riservatezza, Giuffrè, Milano, 1997; Protecting Privacy, a cura di Markesinis, Oxford University Press, Oxford, 1999; da ultimo P ARDOLESI, Dalla riservatezza alla protezione dei dati personali, cit., p. 29 ss.; ma v. anche le relazioni presentate alla 22a conferenza Internazionale sulla privacy e la protezione dei dati personali, Venezia, 28/30 settembre 2000, con la Carta di Venezia sulla protezione della privacy su scala planetaria, disponibili sul sito www.garanteprivacy.it ).

La privacy acquista così una nuova dimensione, da diritto personale diviene "elemento costitutivo della libertà della persona", come per l'appunto si legge nella dichiarazione dei Commissari per la protezione dei dati, denominata, grazie alla sede in cui si sono riuniti i garanti della privacy, "Carta di Venezia". È la cifra del nuovo statuto del cittadino, che si trasforma -come ha sottolineato Stefano Rodotà, nel discorso di presentazione del Rapporto annuale per il 2001 sull'attività dell'Ufficio del Garante per i dati personali -dalla habeas corpus in habeas data.

La precisa, dettagliata, onnicomprensiva disciplina che connota il modello italiano pone in evidenza i caratteri originali di questo modello: caratteri originali contrassegnati dalla "capacità di anticipazione e di rapidità nel tradurre le indicazioni dell'Unione europea"; il ritardo con cui il legislatore italiano è intervenuto a regolare la materia è ora compensato dalla sua concezione particolarmente avanzata. Caratteri che emergono in tutta la loro ricchezza nei contributi di quest'opera, perspicuamente raccolti da Roberto Pardolesi.

Indice degli Autori