Computer Programming n.ro 62 del 14-10-97
di Andrea Monti
L’iter applicativo della legge sui dati personali è ancora più travagliato di quanto i critici della prima ora avessero potuto immaginare. Stiamo assistendo allo stesso copione che è stato scritto per un’altra legge, la 626/94 in materia di sicurezza sul lavoro, la cui entrata in vigore è stata procrastinata ripetutamente vista la forte problematicità di una sua applicazione concreta in tempi brevi.
Nel caso della 675/96 c’è una variazione che costituisce nello stesso tempo un’aggravante: non si può invocare la “scriminante” del non essersi resi conto della situazione che l’applicazione della legge nel suo testo originario sarebbe andata a creare.
Per moltissimo tempo infatti, ancora prima della sua entrata in vigore, gli interpreti più attenti avevano già sottolineato pubblicamente le patenti incongruenze e certe schizofrenie nell’interpretazione che affliggevano questa povera legge, il tutto nel silenzio, per non dire nell’indifferenza, del legislatore.
Ci si trova dunque a ragionare intorno ad una sorta di regime dell’emergenza che è quello che chiaramente connota la ratio dei provvedimenti correttivi adottati, che in sintesi consiste fondamentalmente nel rinvio degli adempimenti burocratici fonti di responsabilità – anche penali – senza tuttavia andare a toccare i veri punti dolenti della legge in questione (che qui non specifico, tanto sono – o dovrebbero essere – ) noti.
Rilevo solamente una curiosa attenzione del legislatore a favore dei giornalisti, considerati quasi una specie da proteggere, unica categoria professionale esplicitamente menzionata nel testo, quasi che altre categorie, i medici per esempio, non fossero portatrici di specificità altrettanto se non più bisognose di attenzione.
Un coro di approvazioni si è levato alla lettura dei contenuti delle modifiche e alle dichiarazioni programmatiche dell’Ufficio del Garante giudicate ragionevoli e pragmatici, non posso esimermi dal constatare, tuttavia, che quanto più le modifiche proposte dall’Authority vengono apprezzate, tanto più emerge chiaramente la reale consistenza della 675-96: una legge approvata appunto ancora in beta.
Devo quindi fare pubblica ammenda per il clamoroso errore di valutazione contenuto nell’articolo del mese scorso. Stordito – sarà colpa del caldo estivo – da un attacco di ingenuità avevo parlato della 675 come di una legge con le patch… niente di più sbagliato.
A dire il vero sto seriamente pensando di chiedere all’Editore di trasformare il titolo di questa rubrica in qualcosa tipo “La pagina dei dati personali” oppure “Service pack” vista la frequenza con la quale sono costretto ad occuparmi del tema, grazie (o colpa?) soprattutto alle numerose quanto improvvise modifiche apportate d’estate a questa benedetta legge che sta diventando più intricata della jungla di salgariana memoria. Del resto trattandosi di una legge che si occupa di informatica non poteva non essere caratterizzata da un grado di obsolescenza almeno pari – se non superiore – a quello dei processori Intel.
Informazioni di servizio
Fra le varie cose che sono cambiate fra un numero e l’altro di CP c’è anche l’indirizzo dell’Ufficio del Garante per la protezione dei dati, quindi le eventuali richieste formulate secondo le indicazioni del mese scorso dovranno essere inviate a questo indirizzo (sperando che non lo mutino nel frattempo!)
Ufficio del Garante per la protezione dei dati
Via della Chiesa Nuova
00186 Roma
Sempre sperando di non essere smentiti dall’ennesima modifica, l’effetto sostanziale del nuovo decreto legislativo, il n.255/97 (al solito, http://giuriweb.unich.it) è che sono cambiati anche i termini per la presentazione delle notifiche ex art.7, relativamente ai trattamenti iniziati prima del I gennaio 1998.
Le nuove scadenze sono – relativamente ai dati trattati informaticamente – previste entro un range che va dal I gennaio 1998 al 31 marzo 1998.
Attrib *.* +h ovvero: chi è soggetto alla notifica?
Uno fra i punti maggiormente critici del testo di legge nella sua versione originale era costituito dal fatto che praticamente chiunque avrebbe dovuto notificare al Garante una serie di cose (maggiori informazioni sui precedenti numeri di CP) come l’identità del titolare, quella del responsabile del trattamento, la natura dei dati, il luogo ove sono custoditi e le categorie di interessati cui i dati si riferiscono, l’indicazione della banca di dati o delle banche di dati cui si riferisce il trattamento, nonché l’eventuale connessione con altri trattamenti o banche di dati, anche fuori del territorio nazionale; il numero di scarpe del portiere dello stabile ove ha sede l’azienda e il gusto di gelato preferito dal ragazzo che ogni giorno porta la colazione al tabaccaio dal quale si acquistano solitamente i francobolli… resisi evidentemente conto che la situazione era sul punto di esplodere i legislatori hanno pensato bene di semplificare gli adempimenti (addirittura escludendoli per alcune categorie), il che significa probabilmente la nascita di una miriade di società che – paravento di realtà molto più grosse – continueranno ad impiparsene della leggeJ
Profeticamente J sul numero scorso avevo invitato a scrivere al Garante prima che l’ennesima modifica affievolisse i diritti dei Cittadini… e infatti puntuale è arrivata la conferma.
Una nota di colore.
Leggendo a contrario l’art. 7 comma V ter che esenta dall’obbligo della notificazione diverse categorie di soggetti si ricava che prima della modifica estiva si poteva rischiare di andare sotto processo per non avere comunicato l’esistenza della propria rubrica telefonica, o per avere messo su un museo. Questa affermazione sembra pazzesca ma deriva rigorosamente dalla lettura del testo normativo ed il ragionamento non è poi così astruso: se la legge mi dice che da oggi in poi NON devo notificare la mia rubrica telefonica allora vuol dire che fino a ieri avrei dovuto… elementare Watson!
Applicando questo metodo scopro che avrebbero rischiato pesanti sanzioni – tanto per citare in ordine sparso – i detentori di rubriche telefoniche private (ora esentate ai sensi della lettera d) dell’articolo citato), gli enti morali e le associazioni di volontariato (lettere l-m), gli amministratori di condominio (lettera q).
Ciò che invece non è ancora chiaro è se nella notifica deva essere contenuto anche l’intero data-base creato dagli operatori (non prendetemi per pazzo, la legge non la ho scritta io!). Il dubbio sorge dalla lettura coordinata di due articoli che non sono stati toccati dalle modifiche il 13 e il 31.
Il primo stabilisce al comma I che in relazione al trattamento di dati personali l’interessato ha diritto: a) di conoscere, mediante accesso gratuito al registro di cui all’articolo 31, comma 1, lettera a), l’esistenza di trattamenti di dati che possono riguardarlo.
Il secondo dice che Il Garante ha il compito di: a) istituire e tenere un registro generale dei trattamenti sulla base delle notificazioni ricevute.
Stando così le cose mi viene da pensare che se accedo al registro generale dei trattamenti dovrei poter interrogare l’Altavista di turno per chiedergli in quali trattamenti siano presenti dati che mi riguardano, ma se il contenuto degli archivi non viene comunicato al Garante a cosa mi serve consultare questo meta-archivio?
C’è di più, se dovesse essere necessario comunicare anche il contenuto degli archivi ciò significherebbe dover notificare al Garante ogni singolo cambiamento del loro contenuto.
Se, viceversa, il registro non dovesse essere strutturato in questo modo allora il Garante, ricevuta la richiesta del cittadino, dovrebbe scrivere ad ogni soggetto che ha provveduto alla notificazione per formulare il quesito: sei in possesso di dati riguardanti il sig. Tizio? Anche in questo caso la soluzione sarebbe evidentemente inattuabile con la conseguenza che non sarà possibile utilizzare questo strumento di consultazione con buona pace dei diritti dell’interessato. Terrorismo giuridico? Non credo, piuttosto, semplice lettura del testo normativo, anche se spero vivamente di essere smentito dai fatti. In ogni caso basta provare: l’indirizzo c’è e non appena sarà istituito il Registro in questione ci vorrà poco a conoscere la verità.
A questo punto credo che il livello di confusione di chi legge abbia superato il livello di guardia… insomma cosa si deve fare? Quando? Come?
La risposta è – citando Antonio Lubrano – “Non lo so!” e non (solo) perché la legge è farraginosa in sé tanto da richiedere un esperto crittoanalista piuttosto che un avvocato, quanto piuttosto perché altre modifiche giungeranno sicuramente nel prossimo futuro.
Conclusione: che a breve sia diffusa la beta 4 me lo aspetto, quello che non so immaginare è la data della release 1.0…
Possibly Related Posts:
- Chi ci protegge dal dossieraggio tecnologico?
- Webscraping e Dataset AI: se il fine è di interesse pubblico non c’è violazione di copyright
- Perché Apple ha ritirato la causa contro la società israeliana dietro lo spyware Pegasus?
- Le sanzioni UE ad Apple e Google aprono un altro fronte nella guerra contro Big Tech (e incrinano quello interno)
- La rottura tra Stati e big tech non è mai stata così forte