di Andrea Monti – IlSole24Ore del 3 maggio 2008
La diffusione sul sito internet dell’Agenzia delle entrate delle denunce dei redditi dei cittadini italiani – benché prevista dalla legge – è stata eseguita con modalità che violano palesemente il D.lgs. 196/03 meglio conosciuto come Codice dei dati personali. Ciò che è in discussione, dunque, è il “come” questi dati siano stati messi in circolazione e non “se” l’amministrazione avesse il potere di renderli pubblici.
Partiamo da una questione preliminare: queste vicende sono veramente frutto di “vuoto normativo” o di “oscurità del quadro regolamentare”? Una volta tanto, senza tema di smentita, la risposta è no. Il D.lgs. 196/03 contiene indicazioni chiare che regolano la diffusione dei dati (sulla base di principi necessità – articolo 3, e finalità del trattamento – articolo 11) e in caso di dubbi interpretativi, è addirittura prevista la possibilità di rivolgersi anticipatamente all’Autorità garante. L’art. 17 del Codice prevede infatti che per trattare dati che presentano rischi specifici per i diritti della persona, vanno rispettate misure e accorgimenti che – ove non disponibili – il titolare può richiedere al Garante. E’ fuori di dubbio che la pubblicazione online delle denunce dei redditi presentasse potenzialmente i rischi prospettati: basta pensare alle “gogne” sociali rese possibili dalla confrontabilità dei dati, o anche al rischio di diventare bersagli di reati contro la persona o il patrimonio; nondimeno era evidente che la messa a disposizione virtuale di tali dati avrebbe richiesto particolari cautele prima di essere resa operativa. Dunque se l’amministrazione non aveva del tutto chiaro il quadro normativo, avrebbe potuto e dovuto formulare un interpello all’Autorità, per evitare preventivamente di violare la legge.
Il merito della vicenda rientra invece nell’ambito degli articoli 7, 13 e 19 del Codice dei dati personali. Il primo stabilisce il diritto per l’interessato, cioè la persona cui si riferiscono i dati, di sapere, far l’altro, chi vi abbia avuto accesso. Il secondo impone l’obbligo generale per chi tratta dati personali di informare gli interessati di quali siano le modalità e le finalità del trattamento. Mentre il terzo prevede che “la comunicazione da parte di un soggetto pubblico a privati o a enti pubblici economici e la diffusione da parte di un soggetto pubblico sono ammesse unicamente quando sono previste da una norma di legge o di regolamento.”.
Sulla base di questi principi, è vero che la normativa fiscale rende pubbliche le dichiarazioni dei redditi, ma questo non implica che, come invece ha fatto l’Agenzia delle entrate, queste possano essere diffuse indiscriminatamente, in un unico blocco, e senza alcun controllo su chi vi abbia accesso. Così facendo l’Agenzia delle entrate ha innanzi tutto reso impossibile l’esercizio dei diritti previsti dall’articolo 7 del Codice (non è possibile sapere chi abbia manifestato interesse per ciascuno di noi); ha inoltre consentito – grazie alla messa a disposizione di un unico file ora circolante in rete – una vera e propria schedatura privata sottratta a ogni controllo. La cosa è ancora più grave se si pensa che per accedere ad altre banche dati pubbliche – Pubblico registro automobilistico, Catasto, Camera di commercio, tanto per citarne alcune – è necessario identificarsi in alcuni casi anche con modalità molto precise.
L’aspetto ulteriormente inquietante di questa vicenda è la sostanziale irrilevanza penale di un fatto così grave, almeno dal punto di vista del Codice dei dati personali. In astratto infatti è molto difficile configurare la commissione degli illeciti amministrativi o penali previsti dal Decreto legislativo 196/03 . A parte la violazione dell’obbligo di informativa (previsto dall’articolo 161 del Codice della privacy) che è sanzionato amministrativamente con il pagamento di una somma da cinquemila a trentamila Euro (aumentata sino al triplo se il responsabile è particolarmente “benestante”), l’unico reato vero e proprio che si potrebbe configurare è quello di trattamento illecito di dati personali (articolo 167). Ma anche qui bisognerebbe, in ogni caso, attendere, in concreto, l’esito delle indagini della Procura della Repubblica.
Possibly Related Posts:
- Chi ci protegge dal dossieraggio tecnologico?
- Webscraping e Dataset AI: se il fine è di interesse pubblico non c’è violazione di copyright
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le sanzioni UE ad Apple e Google aprono un altro fronte nella guerra contro Big Tech (e incrinano quello interno)
- La rottura tra Stati e big tech non è mai stata così forte