LA RISERVATEZZA NELLE ASSOCIAZIONI DI VOLONTARIATO (1999)
di Massimo Prosperi
(Intervento svolto in seno al V incontro di studio del Servizio giuridico – legale per la tutela dei diritti dei poveri sul tema "Povertà e tutela della dignità inviolabile della persona", presso la Sala Rossa del Palazzo del Laterano in Roma)

In memoria del Prof. Angelo Valenti

SOMMARIO: 1. Le finalità della legge 31 dicembre 1996, n. 675. 2. Esigenze normative e sociali cui la legge ha dato risposta. 3. Le definizioni fondamentali. 3.1. Classificazione delle informazioni personali. 4. Ambito di applicazione della legge. 5. Il "bisogno" di dati personali da parte delle associazioni di volontariato. 6. Motivi del regime di favore accordato alle organizzazioni di volontariato. 7. Le singole prescrizioni imposte alle organizzazioni di volontariato. 8. Conclusioni.

1. Le finalità della legge 31 dicembre 1996, n. 675.
Esattamente un anno fa – in seguito ad un dibattito dottrinale e giurisprudenziale pluridecennale intorno al generale diritto di privacy e a seguito di un iter parlamentare durato oltre dieci anni [1]- è entrata in vigore la legge 675/96 relativa alla "tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali". Tale legge si prefigge le finalità di tutelare i diritti, le libertà fondamentali e la dignità delle persone nell’ambito del trattamento dei dati personali, con particolare riferimento a due diritti cui dottrina e giurisprudenza sono concordi nell’attribuire rango costituzionale. Essi sono la riservatezza, intesa come diritto alla integrità della propria sfera privata in relazione all’insieme di informazioni che un soggetto intende sottrarre alla conoscenza altrui e l’identità personale intesa come corretta e veritiera rappresentazione di un individuo agli occhi della collettività. Il rispetto di questi due diritti, che pur sono dotati di autonoma rilevanza, risulta essere strumentale al fine di tutelare più in generale il bene, parimenti rilevante a livello costituzionale, della dignità umana.

2. Esigenze normative e sociali cui la legge ha dato risposta.
La creazione di una legge specifica a tutela delle informazioni personali risponde a due importanti esigenze.
La prima è stata quella di attivare specifici strumenti di tutela al fine di resistere alla sempre maggiore commercializzazione degli aspetti più intimi della persona umana resi possibili dall’impiego nei contesti sociali più vari delle tecnologie in genere e, più recentemente, di quelle informatiche e telematiche (prime tra tutte le c.d. tecnologie interattive).
Ciò vale maggiormente per i soggetti più emarginati e indifesi contro le invasioni burocratiche operate dai soggetti pubblici (rese più agevoli dalla imperante necessità di ricorrere, spesso per la stessa sopravvivenza, a servizi pubblici assistenziali che raccolgono notevoli quantità di dati diffondendoli poi ad altre amministrazioni) e dall’imprenditoria privata per il notevole valore delle informazioni personali utilizzate come preziosa merce di scambio.
La seconda esigenza è stata quella di regolarizzare la posizione dell’Italia rispetto ad una serie di obblighi internazionali e comunitari precedentemente assunti per evitare di cadere in una situazione di emarginazione o addirittura di isolamento rispetto al contesto internazionale e al processo dell’integrazione degli Stati membri dell’Unione Europea, anche sotto il profilo della omogeneizzazione delle legislazioni nazionali per le quali il riferimento obbligato, in questa materia, è rappresentato da una direttiva del 1995.

3. Le definizioni fondamentali.
L’art. 1, appena dopo l’enunciazione delle finalità, si preoccupa di fissare una serie di definizioni funzionali alla particolarità della materia trattata. Tra di esse possono considerarsi di primaria importanza quelle di trattamento, dato personale, comunicazione e diffusione, proprio perché rappresentano l’essenza delle questioni che la legge mira a disciplinare.
Infatti, il trattamento rappresenta l’obiettivo centrale della disciplina posta dalla legge a scapito della nozione, ormai superata seppur presente, di banca dati; i dati personali sono la "materia" su cui il trattamento è eseguito; la comunicazione e diffusione costituiscono le attività cui sono direttamente imputabili tutti gli effetti negativi nei confronti dei soggetti coinvolti e a cui è direttamente connessa la redditizia attività economica del commercio dei dati personali.
La nozione di trattamento ha natura complessa ed elastica, in quanto sotto tale denominazione può ricadere sia una soltanto, sia una combinazione di alcune o di tutte le operazioni elencate nella lett. b, le quali coprono esaustivamente l’intero spettro delle attività che si possono compiere sui dati. Di tali operazioni alcune possono essere eseguite anche senza l’ausilio di mezzi automatizzati, dunque la nozione di trattamento è stata dissociata dall’uso necessario di strumenti elettronici cui era tradizionalmente collegata per abbracciare anche le operazioni compiute manualmente.
La definizione, altrettanto centrale, di dato personale presenta problemi più articolati. Punto di partenza obbligato è che l’informazione è personale se esprime un qualche legame con un soggetto determinato sia esso persona fisica, giuridica, ente o associazione, permettendo quindi di differenziare un soggetto da tutti gli altri. Tuttavia l’assolutezza di questa affermazione deve essere stemperata, come giustamente fa la legge introducendo il riferimento a qualsiasi altra informazione (quindi anche quelle che non mostrano un legame diretto con un soggetto), considerando le potenzialità degli strumenti informatici in relazione alla capacità di trattare i dati attraverso operazioni complesse (interconnessioni, raffronti, riferimenti incrociati) in grado di ricostruire un profilo estremamente particolareggiato dell’individuo.
Ciò significa che anche il dato apparentemente privo di elementi che ne permettano la riferibilità ad un soggetto può invece rivelarla dopo essere stato sottoposto ad opportuno trattamento. Parimenti opportuna risulta essere la menzione espressa del "numero di identificazione personale", come il codice fiscale, il quale può funzionare come chiave di accesso ad ulteriori informazioni sull’interessato.
Comunicazione e diffusione rientrano entrambe nella nozione di trattamento ma sono anche oggetto di un rigore definitorio ulteriore poiché rappresentano il momento più delicato della circolazione delle informazioni soprattutto per la questione dell’alto valore commerciale dei dati e della mercificazione degli aspetti anche più intimi delle persone quale preziosi beni di scambio.
Le due definizioni sono state elaborate secondo uno stile descrittivo, come atto del portare i dati a conoscenza di soggetti terzi rispetto alle parti del rapporto raccoglitore – cedente, anche attraverso la semplice consultazione, cioè senza che le informazioni trapassino nella sfera di appartenenza del terzo. La differenza fra le due nozioni si basa sul parametro della determinatezza o meno dei soggetti destinatari.

3.1. Classificazione delle informazioni personali.
I dati personali sono soliti essere distinti in due categorie: quelli comuni la cui nozione si ricava in negativo dalla non appartenenza ai dati c.d. sensibili e, appunto, i "dati sensibili", elencati nell’art. 22 della legge (dati idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose e filosofiche, le opinioni politiche, l’adesione a partiti, sindacati, organizzazioni a carattere politico, sindacale, religioso, nonché lo stato di salute e la vita sessuale).
Ai dati sensibili, definiti anche "nucleo duro" della privacy, è assicurato un livello di protezione maggiore in ragione dei rischi di pesanti discriminazioni sociali che ordinariamente derivano dalla loro circolazione (es. rifiuto dell’assunzione o del mantenimento del posto di lavoro per timore dell’eccessiva morbilità o per frequenti assenze per malattia del lavoratore, rifiuto di stipulare un contratto di assicurazione o richiesta di un premio notevolmente maggiorato a causa del rischio più elevato).

4. Ambito di applicazione della legge.
Sotto il profilo soggettivo, e salva la disciplina più elastica riservata a particolari trattamenti in ambito pubblico [2] e agli enti pubblici non economici, la legge trova applicazione al trattamento "da chiunque effettuato nel territorio dello Stato", ivi comprese quindi le associazioni di volontariato che svolgono attività di assistenza e tutela degli indigenti, sotto gli aspetti più vari, senza perseguire uno scopo di lucro le quali, giuridicamente, sono assimilabili ai soggetti privati.
In relazione all’ambito oggettivo, come accennato, la legge si estende indifferentemente ai trattamenti elettronici e manuali. Questa disciplina unificata, che non differisce cioè a seconda degli strumenti utilizzati per condurre il trattamento dei dati, fa in modo di non vanificare la tutela apprestata.
In caso contrario la legge potrebbe essere (lecitamente) aggirata attraverso la creazione di basi cartacee di dati o archivi manuali che, anche se in grado di conservare e trattare quantità sensibilmente minori di dati, potrebbero in egual maniera rappresentare forme di aggressione e violazione della privacy individuale e collettiva, fungendo da serbatoi occulti dei dati più delicati. Giustamente quindi è stato considerato irrilevante il supporto e il metodo utilizzato a tutto vantaggio del criterio della finalità cui i dati sono destinati [3].

5. Il "bisogno" di dati personali da parte delle associazioni di volontariato.
Tutte le organizzazioni che, per spirito filantropico e per l’attuazione di una reale giustizia sociale, svolgono attività di assistenza sanitaria, psicologica, giuridica o di semplice ascolto e sostegno morale necessitano per il loro stesso buon funzionamento di un sistema di organizzazione interna che si basa in larga parte sulla tenuta di archivi contenenti dati di natura eterogenea circa gli utenti che si rivolgono alla struttura. Oltre alla finalità meramente organizzativa, la raccolta di informazioni personali risulta essere strettamente strumentale allo specifico aiuto che viene domandato nel quadro delle finalità istituzionali dell’ente. Ciò è particolarmente evidente per le strutture di tipo sanitario e giuridico. Le prime debbono raccogliere, per esemplificare, dati anamnestici sulla salute dell’individuo per valutare la compatibilità specifica di un determinato trattamento con le condizioni di salute del paziente; le seconde, al fine di apprestare un’assistenza efficiente e consapevole, debbono spesso richiedere all’utente notizie sul reddito o sulla composizione del nucleo familiare (ad esempio per valutare la possibilità di attivare lo strumento del gratuito patrocinio o la congruità di un assegno di mantenimento in un giudizio di separazione personale tra coniugi), sulla pregressa storia giudiziaria, certificati medici e così via. L’impossibilità di disporre di tali notizie porterebbe a vanificare la stessa utilità ed efficacia dell’attività giuridica prestata, privando l’interessato di quella che in molti casi è l’unica tutela cui può realisticamente attingere in ragione delle precarie condizioni morali e materiali in cui versa.
Se si valuta il massiccio afflusso di utenti alle strutture, reso oggi ancora più intenso da quelli che sono definiti come "i nuovi poveri", ci si rende facilmente conto di quale possa essere la mole di dati personali conservati dalle organizzazioni di volontariato, le quali sono dunque investite in pieno dalla disciplina della legge n. 675/96.

6. Motivi del regime di favore accordato alle organizzazioni di volontariato.
Tuttavia, proprio la mancanza della finalità del profitto accanto al particolare valore morale e sociale dell’opera svolta ha indotto il legislatore a predisporre un regime giuridico di favore rispetto alle persone fisiche e alle altre categorie di enti che si concretizza nell’esenzione da alcuni obblighi o dall’imposizione di adempimenti meno gravosi nei confronti del Garante per la protezione dei dati personali quale autorità istituita al fine di promuovere e controllare il rispetto della legge da parte dei soggetti obbligati.

7. Le singole prescrizioni imposte alle organizzazioni di volontariato.
Scendendo nel concreto delle prescrizioni, le organizzazioni di volontariato sono esentate dall’obbligo di notificare al Garante il trattamento di dati comuni, nonché da quello di richiedere alla medesima autorità – in via preventiva rispetto all’inizio del trattamento – l’autorizzazione al trattamento di dati sensibili. Quest’ultima agevolazione si deve all’emanazione di due autorizzazioni generali, rilasciate cioè per categorie omogenee di attività o tipi di trattamento eseguiti (Aut. N. 2/1997; Aut. N. 3/1997), che tuttavia perderanno efficacia dopo il 30 settembre 1998, salva la possibilità di proroga o rinnovo.
Un’altra serie di obblighi riveste invece natura permanente e la loro violazione espone i trasgressori, a seconda dei casi, ad interventi inibitori e repressivi dell’Autorità Garante, al risarcimento del danno – anche non patrimoniale – e a sanzioni penali o amministrative.
Tali obblighi sono di seguito sinteticamente esposti.

A) In riferimento all’esecuzione del trattamento:

• Raccogliere e trattare i dati in modo lecito e secondo correttezza;
• Utilizzare i dati entro e non oltre i limiti del perseguimento dello scopo dichiarato al momento della raccolta (c.d. principio di finalità);
• Assicurare la qualità dei dati (pertinenza, non eccedenza, esattezza ed eventuale aggiornamento);
• Trasformare i dati in forma anonima o cancellarli quando lo scopo per cui furono raccolti sia stato raggiunto ovvero diventi impossibile (c.d. diritto all’oblio).

B) All’atto della raccolta dei dati personali:

• Informare l’interessato circa i diritti che può esercitare in ordine alle informazioni che fornisce (diritto di accesso ai dati e relative articolazioni);
• Richiedere il consenso espresso al trattamento;

C) Da ultimo, per tutta la durata del trattamento, si devono apprestare misure – fisiche, logiche e organizzative – atte a garantire la sicurezza dei dati, cioè ridurre al minimo i rischi di perdita e distruzione, accesso non autorizzato, trattamento non consentito o non conforme alle finalità della raccolta.

8. Conclusioni.
Sebbene dunque le associazioni di volontariato siano votate al perseguimento di finalità di particolare meritevolezza valutabile tanto sul piano etico – religioso, quanto su quello sociale (nel quale rappresentano spesso una importantissima valvola di sfogo del malessere e delle tensioni sociali attraverso il fondamentale ruolo di supplenza alle insufficienze croniche delle strutture pubbliche) esse sono soggette all’applicazione della legge in esame, quantunque, come si è visto, in forma attenuata.
L’osservanza delle norme poste a tutela delle informazioni personali dei soggetti che si rivolgono a strutture a vocazione volontaristica rappresenta un’ulteriore occasione per manifestare in modo veramente concreto la considerazione dei diritti degli utenti alla cui completa realizzazione esse già contribuiscono in modo così determinante. Il rispetto dei dati personali degli utenti si inserisce dunque a pieno titolo tra le finalità etico – istituzionali degli enti e contribuirà sicuramente ad accrescere e consolidare la fiducia che gli utenti stessi ripongono nel loro operato.

NOTE.
1. Per un commento alle esperienze parlamentari pregresse cfr. G.B. Ferri, Privacy e libertà informatica, in AAVV, Banche dati, cit., pp. 50 ss., con particolare riferimento al progetto Mirabelli; sullo stesso progetto v. anche E. Giannantonio, Il progetto di legge sulle banche di dati personali e le normative straniere, in Giur. it., 1985, IV, pp. 210 ss.; M.G. Losano, I progetti di legge italiani sulla riservatezza dei dati personali, in AAVV, Banche dati, cit., pp. 149 ss.; G. Ciacci, Problemi e iniziative in tema di tutela dei dati personali, con particolare riguardo ai dati sanitari, in Pol. dir., 1991, pp. 685 ss.; G. Buttarelli, Banche dati e tutela della riservatezza – La privacy nella società dell’informazione, Milano, Giuffrè, 1997, pp. 110 ss.
2. Essi sono disciplinati dall’art. 4 e sono rivolti al perseguimento di fini di particolare delicatezza nel settore della giustizia, della sicurezza pubblica, della difesa e sicurezza dello Stato. Per un commento dettagliato al regime specifico cui tali trattamenti sono sottoposti v. G. Buttarelli, Op. cit., p. 129 (nota n. 214) e, anche per l’analisi specifica delle diverse attività, pp. 198 ss.
3. Nella Raccomandazione dell’OCSE sull’argomento (Guidelines for the Protection of Privacy and Transborder Flows of Data del 1980) si evidenzia con chiarezza l’inconveniente suindicato e si prospetta inoltre il problema di trovare un esatto ed inequivoco criterio discretivo tra i due tipi di trattamento (automatizzato e manuale): spesso infatti una distinzione netta non è possibile a causa dell’uso di sistemi misti per cui ci sono stadi del trattamento dei dati che possono o meno avvalersi di sistemi automatici.