Il 1° gennaio 2004, è entrato in vigore il Nuovo Codice della Privacy, o Testo Unico sulla Privacy, in materia di protezione dei dati personali, emananto con d.lgs 30 giugno 2003, n. 196, pubblicato sulla Gazzetta Ufficiale del 29 luglio 2003, n. 174.
Esso abroga la legge 675/1996 e tutti i decreti legislativi, regolamenti, codici deontologici vigenti in materia di trattamento dei dati personali ed è arricchito, peraltro, dalle pronunce giurisprudenziali consolidate nel corso dell’attività di controllo del Garante sulla protezione dei dati personali, nonché dalla direttira Ue in tema di riservatezza nelle comunicazioni elettroniche.
Il Codice disciplina anche il trattamento dei dati personali custoditi all’estero da soggetti che comunque risiedono in Italia o da extracomunitari che fanno uso, ai fini del trattamento, di apparecchiature situate nel territorio nazionale.
È diviso in tre parti: la prima è relativa alle disposizioni di carattere generale, contenenti gli adempimenti da effettuarsi nei settori pubblici e privati ai fini del trattamento dei dati personali; la seconda è una parte speciale che prende in esame specifici settori, quali quello di appartenenza degli organi di pubblica sicurezza od altri soggetti pubblici per finalità di tutela dell’ordine e della sicurezza pubblici, prevenzione, accertamento o repressione dei reati (artt. 53, 54, 56, 57, 58); la terza affronta la problematica della tutela amministrativa e giurisdizionale ed il consolidamento delle sanzioni amministrative e penali.
Prima di entrare nel merito dell’argomento che intendo illustrare, è interessante accennare alla novità più eclatante introdotta dal nuovo Codice in ambito giudiziario: a garanzia del diritto alla riservatezza, durante lo svolgimento di un processo, l’interessato può chiedere che venga apposta sulla sentenza una annotazione che permetta di omettere i dati che lo riguardano, qualora il dispositivo venga pubblicato su riviste giuridiche o su supporti elettronici o di diffusione telematica.
L’oggetto specifico del presente articolo riguarda le modifiche apportate all’art. 173 del Testo Unico sulla Privacy alla Convenzione di applicazione del Trattato di Schengen.
Preliminarmente, va ricordato che l’Accordo di Schengen, firmato il 14 giugno 1985, inizialmente teso alla soppresione graduale delle frontiere comuni tra i paesi firmatari, successivamente è stato integrato dalla relativa Convenzione di applicazione firmata il 19 giugno 1990, composta da 142 articoli, suddivisi in titoli, che, in particolare, ha stabilito di rafforzare il controllo, alle frontiere esterne, sulle persone, sulle vetture, nonché sulle merci trasportate, con riguardo all’ordine pubblico ed alla sicurezza nazionale.
La Convenzione ha previsto la creazione del Sis, ovvero del Sistema di Informazione Schengen, cioè una banca dati informatizzata contenente i dati necessari ai fini dei controlli di frontiera, di Polizia e dogana riferiti, in particolare, ai soggetti arrestati per essere estradati, ai soggetti facenti parte della criminalità organizzata, agli extracomunitari segnalati per motivi di ordine pubblico.
Il Sis fa capo ad un ufficio centrale di carattere tecnico, con sede a Strasburgo (C-Sis), che controlla e coordina le varie sedi nazionali dei paesi firmatati (N-Sis).
In Italia, la struttura N-Sis è posta alle dirette dipendenze del ministero dell’Interno, coadiuvato dal ministero della Giustizia e degli Affari Esteri; essa è supportata dal “Supplementary Information Requested at the National Entries”, detto “SiReNe” - dove sono impegnate le Forze di polizia primarie: Polizia di Stato, Arma dei Carabinieri, Guardia di Finanza - che consiste in una sala operativa attiva 24 ore su 24, il cui compito è quello di assistere le Forze di polizia e di dogana nei casi di fermo o identificazione di un soggetto segnalato nella banca dati del Sis.
La struttura “SiReNe” dipende direttamente dal Dipartimento di Pubblica sicurezza, Direzione centrale di Polizia criminale.
Le novità in tema di sicurezza del nuovo Codice riguardano, per l’appunto, il Dipartimento di Pubblica sicurezza del ministero dell’Interno, al quale viene riconosciuto l’importante compito di ricevere la richiesta di accesso ai dati nazionali del sistema informatico Schengen, anche ai fini di rettifica o cancellazione dei dati ritenuti illeciti, funzione questa precedentemente attribuita al Garante per il trattamento dei dati personali.
Infatti, l’art. 173, comma 1, lettera a), del nuovo Testo Unico, con riferimento alla legge 388 del 30 settembre 1993, e successive modificazioni, (legge di ratifica ed esecuzione dei protocolli e degli accordi di adesione all’accordo di Schengen ed alla relativa Convenzione di applicazione) prescrive che “le richieste di accesso, rettifica o cancellazione, nonché verifica, di cui rispettivamente agli articoli 109, 110 e 114, paragrafo 2 della Convenzione, sono rivolte alla autorità di cui al comma 1”, comma che a sua volta, sancisce: “L’autorità che ha la competenza centrale per la sezione del Sistema di informazione Schengen, di cui all’art. 108 della Convenzione, è il ministero dell’Interno - Dipartimento di Pubblica sicurezza...”
Il citato comma primo sostituisce, pertanto, il seguente comma 2 dell’articolo 9 della legge 388/93: “L’autorità di controllo di cui all’art. 114 della Convenzione è il Garante per la tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali. Fino a quando non sarà istituito tale organo, i relativi compiti sono svolti dal Comitato parlamentare di cui al secondo comma dell’art. 11 della legge 24 ottobre 1977, n. 801...”
Da quanto detto, discende l’abrogazione dell’art. 10, comma 2 della legge 388, sempre relativo alla attività svolta dal Garante ai fini del trattamento dei dati personali contenuti nella banca dati del Sis.
Ancora, l’articolo 11 della legge appena citata è sostituito dal seguente: “L’autorità di controllo di cui all’art. 114 della Convenzione è il Garante per la protezione dei dati personali. Nell’esercizio dei compiti ad esso demandati per legge, il Garante esercita il controllo sul trattamento dei dati in applicazione della Convenzione ed esegue le verifiche previste nel medesimo articolo 114, anche su segnalazione o reclamo dell’interessato all’esito di un inidoneo riscontro alla richiesta rivolta ai sensi dell’art. 9, comma 2, quando non è possibile fornire al medesimo interessato una risposta sulla base degli elementi forniti dall’autorità di cui all’art. 9, comma 1.2. Si applicano le disposizioni dell’art. 10, comma 5 della legge 1° aprile 1981, n. 121 e successive modificazioni”.
E l’art. 10, comma 5 della legge 121/1981, come novellato dal nuovo Codice sulla Privacy, dispone che “chiunque viene a conoscenza dell’esistenza di dati personali che lo riguardano, trattati in forma anche non automatizzata in violazione di disposizione di legge o di regolamento, può chiedere al Tribunale del luogo, ove risiede il titolare del trattamento, di compiere gli accertamenti necessari e di ordinare la rettifica, l’integrazione, la cancellazione o la trasformazione in forma anonima dei dati medesimi”.
Al predetto comma, si riallacciano le disposizioni sulla tutela giurisdizionale in materia di protezione dei dati personali, sancita dall’art. 152 della nuova disciplina in materia di protezione dei dati personali.
Con l’entrata in vigore del Testo Unico sulla Privacy, residuano, quindi, in capo al Garante poteri suppletivi di controllo e verifica, in caso di segnalazioni o reclami da parte degli interessati, all’esito di un “inidoneo riscontro” alla richiesta rivolta al Dipartimento di Pubblica sicurezza.
Sempre con riferimento alla tutela di coloro i cui dati sono inseriti nel sistema informatico Schengen, è stato abrogato anche l’articolo 12 della legge 388/93, che, disciplinando la responsabilità per danni derivanti da una condotta posta in essere in violazione delle norme relative al trattamento dei dati inseriti nella sezione nazionale del Sis, prevedeva per la parte danneggiata, qualora il danno stesso non fosse di natura patrimoniale e facilmente quantificabile, il diritto ad un equo indennizzo. Ciò vuol dire che dal 1° gennaio 2004 le norme di riferimento, in tema di danno non patrimoniale e non quantificabile procurato da illegittimo trattamento dei dati personali inseriti nel Sis, sono quelle generali del Codice Civile, ovvero l’art. 2059, che prescrive che il danno non patrimoniale “deve essere risarcito solo nei casi determinati dalla legge” e l’articolo 1226, che prevede, da parte del giudice, la valutazione equitativa del danno, qualora esso non possa essere provato nel suo preciso ammontare.