Privacy
Al lemma privacy di un comune vocabolario inglese/italiano si legge: "vita personale e privata, intimità, riservatezza, privatezza". Ormai il termine è da considerarsi completamente italianizzato ed il suo significato usuale è esattamente corrispondente a quello inglese. La sua comparsa nel linguaggio comune è relativamente recente, mentre un poco più datato è il suo antesignano: il diritto alla riservatezza. Nella comune accezione il concetto di diritto alla privacy viene impiegato per indicare la tutela della riservatezza delle persone, se le informazioni che le riguardano sono raccolte in banche dati in vista di un loro impiego non personale. Sotto questo profilo si può ancora affermare che il diritto alla riservatezza ha un contenuto parzialmente diverso: indica il diritto di impedire ad altri la conoscenza di ciò che la persona non desidera sia reso noto. L'esigenza di segretezza non è propria soltanto del diritto alla riservatezza, ma, ad esempio, anche del cosiddetto segreto bancario. In quest'ultimo caso, tuttavia, il riserbo, quando sia opposto in modo legittimo dal banchiere, è funzionale a consentire la realizzazione della libera iniziativa economica della persona e non invece lo sviluppo della sua personalità.La tutela della privacy descrive quel sottile limite che separa l'esigenza comune ad ognuno di essere lasciato solo, alla quale si contrappone l'esigenza altrettanto comune ad ognuno di entrare in comunicazione con gli altri. Questo limite è naturalmente mutevole e dipende dal grado di sviluppo del sistema di relazioni fra le persone: tanto più questo è sviluppato, quanto più è ridotta la possibilità di mantenere l'anonimato o la segretezza su certe informazioni.
Come per molti altri diritti della personalità, il contenuto del diritto alla riservatezza è mutevole; dipende dal contesto socioeconomico nel quale viene invocato; dipende ancora dalla qualità della persona che invoca la tutela. È ormai assodato che la privacy di una persona pubblica è differente rispetto alla privacy di una persona comune; basti pensare alla vicenda che ha visto come protagonisti il Presidente degli USA e la sua collaboratrice temporanea. Il grado di diversità si coglie nel rapporto che la privacy deve stabilire con altri diritti della personalità, anch'essi di rilievo costituzionale: il diritto di informazione, il diritto di formarsi un'opinione corretta sulle questioni di rilievo sociale, e così via. Il contenuto di questo rapporto è stato indicato in diverse sentenze della Corte di Cassazione (sez. un., 27 maggio 1999, n. 318) ed in particolare in quella della terza sezione civile, n. 5658 del 9 giugno 1998, nelle quali si afferma che il diritto di cronaca prevale sul diritto alla privacy se i fatti sono veri, di interesse pubblico e se sono esposti in forma corretta, non maliziosa, e la notizia presenti una propria utilità sociale. Queste sentenze costituiscono ulteriori specificazioni di principî già esposti dalla Corte di Cassazione civile nella sentenza del 18 ottobre 1984, n. 5259, altrimenti nota come il Decalogo del giornalista, e dalla sentenza della Cassazione penale del 30 giugno 1984, n. 8959; ed i medesimi principî si applicano anche al caso delle trasmissioni televisive, specie di quelle che riproducono processi penali o si occupano di gravi fatti di cronaca.La ragione della recente comparsa di questo nuovo diritto dipende dal fatto che, in passato, il governo dei conflitti ora riconducibili alla lesione del diritto della riservatezza era affidato al sistema della morale e non a quello del diritto. Storicamente il pettegolezzo o il chiacchiericcio sono sempre esistiti, tuttavia si riteneva che soltanto la lesione dell'onore o della reputazione della persona potessero dare adito alla reazione giuridica.
Soltanto quando l'avvocato Warren, nella tranquilla città di Boston, alla fine dell'Ottocento, stanco di leggere sul quotidiano locale i particolari delle attività mondane della moglie e delle relazioni della figlia, decise di scrivere all'amico Brandeis, allora professore ad Harvard, un saggio sul Right to privacy, incominciò il cammino verso il riconoscimento di questo diritto (cfr. Warren e Brandeis, Il diritto alla riservatezza, in AA.VV., Jus solitudinis, Milano 1993).In Italia l'affermazione del diritto alla privacy è giunta dopo la nascita del diritto alla riservatezza, avvenuta in seguito ad un caso deciso dalla Corte di Cassazione nel 1975, nel quale è stato affermato "il diritto alla riservatezza dell'immagine". In quella sentenza i giudici hanno dato atto che, pur non essendo stato leso l'onore e neppure la reputazione della persona, ugualmente non appariva legittima la divulgazione di immagini o di altri fatti relativi alla sua persona. Ora la globalizzazione realizzata anche mediante la comunicazione con Internet consente di entrare in contatto con un pubblico di milioni di persone con un solo click; ciò impone di ripensare i limiti e la portata del diritto alla riservatezza ed impone, nello stesso tempo, di inculcare una nuova educazione in tutti coloro che partecipano a questo sistema globale di relazioni. La trasmissione delle informazioni su Internet, infatti, non sempre permette all'utente di conoscere ciò che viene trasmesso e ciò che resta segreto.
Normalmente accanto alla trasmissione trasparente di dati, vi è anche una divulgazione di informazioni per esigenze tecniche: l'identificativo del computer domestico, il suo indirizzo, talvolta il nominativo del titolare dell'abbonamento al provider, e così via. Inoltre è possibile individuare il percorso di navigazione dell'utente, il numero e l'identità dei siti visitati. Tutti questi dati, secondo il modo in cui sono raccolti, possono diventare rilevanti, poiché possono indicare i gusti, le mode, la fede politica e religiosa dei frequentatori dei siti; proprio attraverso l'assidua frequentazione di alcuni siti, si può addirittura risalire alle condizioni di salute della persona. In definitiva, pur non comunicando apparentemente nulla, l'utente divulga dati sensibili della sua persona, che altri potrebbero impiegare; e normalmente tutto ciò avviene senza che l'interessato ne sia stato informato ed abbia prestato consenso alcuno.
Il diritto alla privacy contiene in sé il diritto alla riservatezza. Quest'ultimo riceve riconoscimento costituzionale negli artt. 2 e 15; un ulteriore importante precetto è contenuto nell'art. 8 della Convenzione per la salvaguardia dei diritti dell'uomo e delle libertà fondamentali. Nella prima norma il costituente si è richiamato all'idea dei diritti inviolabili dell'uomo legati "ai doveri inderogabili di solidarietà politica, economica e sociale"; con ciò ha posto una categoria aperta nella quale molte figure lesive della persona possono trovare tutela, anche se non erano note al momento in cui è entrata in vigore la Costituzione. Nella Convenzione è affermata la regola secondo la quale "ogni persona ha il diritto al rispetto della sua vita privata e familiare, del suo domicilio e della sua corrispondenza". L'art. 15 della Costituzione è proprio diretto a garantire la riservatezza nelle comunicazioni. In sostanza il testo costituzionale, a differenza di altri più recenti (la Costituzione spagnola e portoghese), manca di un riferimento esplicito al diritto di riservatezza, ma questo si può agevolmente trovare nel sistema ed in particolare nella clausola generale prevista nel già citato art. 2 Cost. (cfr. A. Barbera, Art. 2, in Commentari della Costituzione. Principi fondamentali, a cura di G. Branca, Bologna-Roma 1975, pp. 50 ss.).
Nella comune accezione la riservatezza comporta la tutela di situazioni e vicende strettamente personali e familiari, ancorché verificatesi fuori del domicilio domestico, da ingerenze che, sia pur compiute con mezzi leciti e senza arrecare danno all'onore, al decoro o alla reputazione, non siano tuttavia giustificate da un interesse pubblico preminente. Il diritto alla riservatezza, pertanto, non si identifica con il diritto alla reputazione, sebbene entrambi i diritti tutelino singoli aspetti della rilevanza che ha la persona umana. Il primo, sebbene non sia assistito dalla più pregnante tutela penale prevista per il diritto alla reputazione, presenta un'estensione maggiore, ben potendosi configurare ipotesi di fatti della vita intima che, pur non influendo sulla reputazione, devono tuttavia restare segreti, con la conseguenza che può aversi lesione del diritto alla riservatezza anche quando sia stata esclusa una lesione del diritto alla reputazione. Analogo ragionamento vale anche per il rapporto fra questo diritto ed il diritto all'onore, che pure gode di tutela penale. Da ciò discende che una singola azione può essere contemporaneamente lesiva di diversi diritti.Il riserbo nella comunicazione di informazioni consente di far apparire la persona in un certo modo nelle relazioni sociali. Si potrebbe per questo sostenere che tra il principio del riserbo e il diritto all'identità personale c'è una sorta di sovrapposizione, ma non è così. Il diritto di apparire per ciò che si è (il diritto all'identità personale appunto) è autonomo, dal momento che soltanto eccezionalmente interferisce con l'esigenza di conservare nascoste certe notizie o circostanze. Pertanto, anche in questo caso, non si può escludere un concorso di tutela della persona tanto sotto il profilo del diritto all'identità personale, quanto sotto quello del diritto alla riservatezza.
I nuovi sistemi di comunicazione globale impongono di rivedere la tradizionale equiparazione tra riservatezza e diritto ad essere lasciati soli: right to be let alone. Proprio in questo processo di revisione si colloca la nascita del diritto alla privacy, il cui contenuto è composito. C'è da un lato il diritto di escludere i terzi dalle informazioni sulla persona, ma c'è anche il diritto dell'interessato di controllare la raccolta, il trattamento e la divulgazione delle informazioni che lo riguardano. Fino al punto di consentirgli di intervenire con rettifiche, addirittura di impedire l'uso dei dati, qualora il trattamento, la comunicazione o la diffusione avvengano in modo illecito o scorretto. Controllando la circolazione delle informazioni che riguardano la propria persona, l'interessato costruisce l'immagine della sua sfera privata nei rapporti con i terzi. Il diritto alla privacy, dunque, tutela l'interesse di "stare con gli altri alle proprie condizioni", realizzato mediante il "diritto all'autodeterminazione informativa" affermato dalla Corte Costituzionale tedesca nella sentenza del 15 dicembre 1983.L'ampiezza del "diritto all'autodeterminazione informativa" si può delineare soltanto attraverso un bilanciamento fra il diritto alla privacy e gli altri di comune rilievo costituzionale.
In questione c'è in primo luogo il diritto all'informazione, anche per mezzo della stampa, per manifestare liberamente il proprio pensiero, espressamene previsto dall'art. 21 Cost. Proprio l'art. 1 del codice deontologico dei giornalisti così esordisce: "Le presenti norme sono volte a contemperare i diritti fondamentali della persona con il diritto dei cittadini all'informazione e con la libertà di stampa". Il riserbo può costituire un ostacolo all'esercizio della libertà di stampa, tuttavia la prevalenza della seconda sul primo non esclude il diritto dell'interessato al controllo del flusso delle informazioni che presuppongono il legittimo esercizio della libertà di manifestazione del proprio pensiero. L'utilità generale che riveste la formazione corretta di un'opinione sulle diverse questioni di comune interesse consente, a certe condizioni, di far prevalere l'interesse sotteso all'art. 21 Cost. sulla riservatezza intesa come riserbo della persona interessata, in ragione dell'utilità sociale della notizia. Tuttavia l'interessato deve poter controllare la correttezza delle informazioni diffuse, anche nell'interesse generale; e questo controllo può essere demandato, con procura scritta, anche ad associazioni di consumatori professionalmente più competenti (art. 13, comma 4°; art. 31, comma 1°, lett. d). L'opinione pubblica deve formarsi sulla base di informazioni fedeli al vero; pertanto l'attività di raccolta, di trattamento e di divulgazione dei dati deve essere legittima.
Per effettuare il controllo occorre che la persona o l'ente siano a conoscenza che altri raccoglie i propri dati personali, e questa esigenza informativa deve essere soddisfatta in due modi. Un primo attribuisce alla persona il diritto di chiedere informazioni al titolare che raccoglie, tratta e divulga le informazioni inerenti ai propri dati personali; il secondo, che logicamente lo precede, consiste nell'obbligo di notificare la raccolta e ogni altra attività conseguente all'interessato o addirittura di acquisirne il previo consenso.In definitiva il diritto alla privacy costituisce il profilo relazionale del diritto alla riservatezza, inteso nella sua accezione statica e protettiva della vita intima. La privacy manifesta quella forma di tutela della persona che vuole o deve partecipare dello scambio relazionale di informazioni con gli altri, ma ha interesse che questo avvenga in modo corretto, salvaguardando anche l'esigenza di riserbo, quando questo non confligga con le necessità della vita sociale, che si riflettono nell'utilità sociale della notizia, oppure non siano incompatibili con il funzionamento del mezzo tecnico o telematico impiegato per comunicare. Tutto questo si semplifica nell'attribuire all'interessato i seguenti diritti: a) sapere se esistono e quali sono le banche dati contenenti 'suoi' dati; b) sapere quale uso sarà fatto dei dati che fornisce e quale sarà l'ambito della loro comunicazione e diffusione; c) consentire a (o di dissentire da) una estensione dell'ambito di conoscenza di quei dati; d) accedere ai dati e se scorretti o illeciti farli correggere; e) avere garantiti, per quei dati, livelli adeguati di sicurezza e di aggiornamento se obsoleti (cfr. S. Rodotà, Sapere anche poco è già cambiare, Milano 1997).
Il concetto di sicurezza da ultimo impiegato si lega con un'idea nuova di riservatezza che consiste nel prevenire il rischio dell'utilizzo indebito di informazioni riservate. Garantire la sicurezza dei dati (rectius: la loro riservatezza) significa eliminare, o quanto meno ridurre a livelli accettabili, il rischio che un soggetto possa utilizzare un'informazione altrui senza essere a ciò autorizzato. Ancora il concetto di sicurezza si lega con l'idea di integrità dei dati, mediante la prevenzione della alterazione o della manipolazione indebita delle informazioni. Garantire l'integrità significa eliminare o ridurre a livelli accettabili il rischio di cancellazioni o modifiche dei dati a seguito di guasti, problemi di distribuzione di energia elettrica, incendi, allagamenti o di interventi da parte di chi non sia autorizzato.
Gli informatici ed i giuristi convengono sul fatto che non può esservi privacy se il dato non sia raccolto in un sistema sicuro. L'insicurezza del sistema può essere causa della lesione della privacy dell'interessato e contestualmente fonte di lucro per altri. Si consideri che l'informazione personale contenuta in un file è contemporaneamente una risorsa preziosa (ed economicamente apprezzabile) per chi la detiene: si pensi al commercio di elenchi di consumatori raccolti in base a dati che indicano i gusti del consumo in funzione del direct marketing o del geomarketing (una tecnica di analisi dei dati, quest'ultima, che permette di classificare le famiglie in modo deduttivo, partendo dalle caratteristiche socioeconomiche delle zone di residenza).
Nello stesso tempo riflette un aspetto dell'individuo cui si riferisce che gli consente di godere di certe utilità. Si pensi al risparmio di tempo che il navigatore di Internet realizza una volta che ritorni a visitare un sito, se questo trasmette al computer dell'utente files denominati cookies. In questi files sono raccolte informazioni dirette a semplificare e a velocizzare il successivo accesso, poiché il sito riconosce immediatamente il visitatore: username e password, se richieste; indirizzo di posta elettronica, numero della carta di credito, se comunicati. I cookies d'altra parte permettono ad un gestore del sito di raccogliere dati su certi siti e su certe pagine precedentemente visitati; quindi permettono potenzialmente di rilevare le abitudini e le preferenze dell'utente con un buon grado di approssimazione. I cookies possono poi essere raccolti anche da altri oltre a quello che lo ha fornito, in modo lecito, quando più domains si siano preventivamente accordati, informando il navigatore, oppure in modo abusivo. In questo modo è possibile lo scambio delle informazioni raccolte nei cookies ed ottenere così banche dati mirate sui gusti, le tendenze, le preferenze dei consumatori. Un risultato analogo si ottiene partecipando ai newsgroups al solo fine di raccogliere gli indirizzi di posta elettronica dei partecipanti.Il risultato di tutto ciò può produrre il cosiddetto spamming: l'invio mirato di messaggi pubblicitari indesiderati (spam), a un gran numero di indirizzi di posta elettronica.
Questo è un fenomeno molto più grave del corrispondente basato sulla posta tradizionale, perché l'invio di messaggi di posta elettronica o ai gruppi di discussione ha un costo praticamente nullo. Gli esperti rilevano che il volume d'affari collegato a queste pratiche è tutt'altro che insignificante, se rapportato al costo della predisposizione e dell'invio di spams.Il diritto a opporsi all'invio di messaggi cartacei senza consenso, che vale indistintamente per tutti gli utenti, siano essi persone fisiche o giuridiche, ci dà la misura del fenomeno. Anche lo scambio di informazioni promozionali o di proposte di vendita tra aziende è condizionato al consenso del destinatario; e conferma che la banca dati contenente gli indirizzi dei destinatari ha un valore economicamente apprezzabile. Seppure sia difficile descrivere i dati personali e più in generale la privacy secondo lo schema del diritto di proprietà, non è una novità il fatto che le notizie acquistano un valore economico, non soltanto quando, raccolte in un cd rom, godano di protezione attraverso il diritto d'autore.
L'esigenza di garantire la privacy dei soggetti è avvertita in diversa misura in tutti i paesi del mondo. Per di più non vi è uniformità nell'individuazione dello strumento più idoneo ad assicurare tutela alla privacy. L'Unione Europea predilige la via legislativa, mentre gli Stati Uniti, specie per la privacy nel settore telematico, e fino a questo momento, hanno ritenuto che l'intervento legislativo in questa materia debba essere considerato di carattere eccezionale e che invece l'approccio dell'autodisciplina affidata al settore privato possa soddisfare le esigenze basilari di protezione dei dati personali. In Italia, la via scelta in base alle direttive comunitarie ha trovato espressione nella l. 31 dicembre 1996, n. 675, rubricata "tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali", già più volte riformata a distanza di poco tempo dalla sua entrata in vigore specie ad opera del decreto legislativo 11 maggio 1999, n. 135.
All'atto dell'approvazione della Direttiva UE 95/46, relativa al trattamento dei dati personali, solo l'Italia e la Grecia erano prive di una specifica legislazione organica su questa materia.La consapevolezza che la tutela della privacy non è uniformemente ed universalmente apprezzata si rileva nella disciplina prevista dalla stessa legge, per il caso in cui i dati debbano essere trasmessi all'estero, laddove distingue fra Stati appartenenti o non appartenenti all'Unione Europea. Questa eventualità è molto più frequente di quanto si possa pensare, solo se si considera che la banca dati del service provider può essere in un paese diverso da quello dell'utente e da quello del provider che concede l'accesso in rete.
Per grandi linee, si possono riconoscere due sistemi. Nel primo, seguito in Italia, il cosiddetto opt in system, l'interessato ha la facoltà di scegliere di entrare a far parte della categoria di persone i cui dati personali possono essere utilizzati. Da questa categoria tutti sono estranei fino al momento della manifestazione di volontà specifica; per questo è previsto il divieto di utilizzare i dati personali senza il consenso della persona interessata. Nel secondo, seguito da gran parte dei paesi europei (Francia, Spagna, Portogallo, Svezia, Olanda, Belgio), il cosiddetto opt out system, l'interessato è tra le persone i cui dati possono essere liberamente utilizzati. Tuttavia può scegliere di essere posto al di fuori di questa categoria e di impedire che i suoi dati diventino oggetto di un trattamento; per questo è data la facoltà all'interessato di manifestare il proprio dissenso all'uso dei suoi dati. Tra queste posizioni estreme, ve ne sono molte intermedie: c'è chi ravvisa un consenso implicito, nel fatto che l'interessato non abbia manifestato il suo espresso dissenso; altri, come il Regno Unito, richiede esclusivamente di informare gli interessati del fatto che i dati personali potranno essere utilizzati a fini commerciali. Non è invece previsto il dovere del titolare del trattamento di informare l'interessato del suo diritto di chiedere la cancellazione dei dati personali dagli archivi. Ancora, negli Stati Uniti, in assenza di una normativa generale, esistono statutes federali che fissano norme a tutela dei dati personali nelle attività legate, tra l'altro, al video on demand e a quelle finanziarie connesse al credito bancario (cfr. G. Grippo, Il quadro sovranazionale e i modelli stranieri, in Privacy, a cura di A. Clemente, Milano, 1999, pp. 181 ss.).
Ad ogni buon conto, nella considerazione comune italiana la stessa idea di privacy si lega proprio all'esistenza della l. 31 dicembre 1996, n. 675, successivamente modificata (meglio nota come l. privacy) e della l. delega 31 dicembre 1996, n. 676, poi riproposta con la l. 6 ottobre 1998, n. 344, ma il cui termine del 31 luglio 1999 è passato senza che i decreti delegati siano stati emanati. In questa legge, la privacy è strumentale alla realizzazione dei diritti e delle libertà fondamentali delle persone fisiche e degli enti di qualsiasi natura o struttura, con particolare riferimento alla riservatezza e all'identità personale, necessari per il rispetto della dignità umana. In ciò sta una delle differenze tra questa e la ormai dimenticata, ed ora in parte abrogata, l. 1 aprile 1981, n. 121. In base a quest'ultima legge, ogni amministrazione, ente, impresa o associazione privata in possesso di archivi magnetici per l'inserimento di dati o di informazioni sui cittadini, di qualsiasi natura, doveva notificarne l'esistenza al Ministero degli Interni. Ma questa normativa apparteneva alla stagione della cosiddetta 'emergenza', era dettata da ragioni di tutela dell'ordine pubblico, e non sembra possa essere iscritta nella legislazione per la protezione dei dati personali, in funzione della valorizzazione della persona.
Proprio la lettura dell'art. 1 della l. 675/1996 suggerisce di catalogare la riservatezza e l'identità personale fra i diritti capaci di esprimere al massimo grado le libertà fondamentali, specie delle persone fisiche. Proprio per questa ragione, si è ritenuto che una parte importante della legge si applicasse anche ai trattamenti iniziati prima della sua entrata in vigore; e anche questa è la ragione per la quale il trattamento dei dati delle persone giuridiche (come gli enti e le società) è soggetto a minori vincoli. Con questo fine, il legislatore ha previamente individuato l'oggetto sul quale si può determinare la lesione, il dato e la banca dati; il modo in cui questa si può realizzare, nelle attività di trattamento, di comunicazione, di diffusione dei dati raccolti. Inoltre ha chiaramente identificato il soggetto interessato ai propri dati, nella persona di colui che possa subire pregiudizio da un trattamento scorretto; il titolare, il responsabile ed anche quella dell'incaricato del trattamento. Infine ha istituito una nuova autorità, denominata Garante per la protezione dei dati personali, dotandola dei poteri necessari per la vigilanza ed il controllo nelle diverse fasi del trattamento, così da assicurare il rispetto delle procedure previste dalla stessa legge; addirittura gli ha attribuito il potere di emettere provvedimenti vincolanti anche nella forma di norme giuridiche: è il caso di quando promuove ed approva codici di comportamento per determinate categorie professionali, come quella dei giornalisti.
La nozione di dato personale è contenuta nell'art. 1, comma 2°, lett. c (l. 675/1996): "qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso il numero di identificazione personale". La nozione di banca dati è contenuta nella lett. a della stessa norma: "qualsiasi complesso di dati personali, ripartito in una o più unità dislocate in uno o più siti, organizzato secondo una pluralità di criteri determinati tali da facilitarne il trattamento". Nella medesima norma si precisa che queste, come altre nozioni, sono limitate ai fini previsti dalla predetta legge; ma la loro generalità consente di poter attribuire a questi concetti una valenza più generale. Per di più lo stesso legislatore cura di precisare al successivo art. 5 (l. 675/1996) che "il trattamento di dati personali svolto senza l'ausilio di mezzi elettronici o comunque automatizzati è soggetto alla medesima disciplina prevista per il trattamento effettuato con l'ausilio di tali mezzi". Sicché non è l'uso di un computer, eventualmente collegato in rete, a determinare l'esigenza di protezione con le procedure previste dalla legge, ma qualsiasi raccolta di dati che possa assumere il carattere di una banca dati che ne determina l'applicazione.
La natura del dato dipende dalle informazioni che è in grado di offrire. È questa la ragione per la quale, nell'ambito della generale categoria dei dati, la legge opportunamente distingue tra i dati personali comuni, i dati sensibili ed i dati anonimi. I primi sono quelli definiti in precedenza; i dati sensibili sono quelli definiti dall'art. 22 (l. 675/1996): si tratta dei "dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale". I dati anonimi sono definiti dall'art. 1, comma 2°, lett. i (l. 675/1996), come "il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile".La natura del dato, comune, sensibile o anonimo, oppure le finalità del trattamento diversificano le procedure che la legge impone di osservare al titolare di una banca dati. Così, per trattare un dato sensibile, occorre che il titolare della banca dati acquisisca il previo consenso dall'interessato, comunichi l'attività al Garante, dal quale deve ottenere anche il consenso. Se il dato è comune, non è richiesta l'autorizzazione del Garante, ma restano obbligatori la notifica al Garante dell'esistenza della banca dati e l'acquisizione del consenso dell'interessato per il trattamento e per le ulteriori fasi.
La finalità del trattamento può escludere la necessità della previa acquisizione del consenso dall'interessato o dal Garante. Sono i casi espressamente regolati dall'art. 12 (l. 675/1996), nei quali, oltre al dato anonimo, vanno pure annoverati quelli relativi all'esecuzione di un'attività obbligatoria per legge da parte del titolare; di un'attività collegata a quella per la quale il titolare ha in precedenza ricevuto un espresso incarico da parte dell'interessato; dell'attività di giornalista e così via.Una più generale esenzione da gran parte degli obblighi previsti dalla legge riguarda i soggetti pubblici che raccolgono dati per finalità pubblicistiche. La previsione è contenuta nell'art. 4 (l. 675/1996) che, ad esempio, esenta l'ufficio del Casellario giudiziario dall'acquisizione del consenso e dalla notifica al Garante.
Il diritto alla privacy comprende anche il potere dell'interessato di partecipare al processo di trattamento del dato, per controllare che questo avvenga "in modo lecito e secondo correttezza" (art. 9, comma 1°, lett. a, l. 675/1996). I principî espressi da questa norma indicano come apprezzare le attività potenzialmente abusive o lesive "dei diritti [e] delle libertà fondamentali", espressamente contemplati dalla l. 675 del 1996. Per evitare abusi o lesioni i dati devono essere: a) trattati in modo lecito e corretto; b) raccolti e registrati per scopi determinati, espliciti e legittimi e utilizzati in altre operazioni del trattamento in termini non incompatibili con tali scopi; c) esatti e, se necessario, aggiornati; d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono stati raccolti o successivamente trattati; e) conservati in una forma che consenta l'identificazione dell'interessato, per un periodo di tempo non superiore a quello necessario agli scopi per cui sono stati raccolti o trattati.
La correttezza invocata dalla legge va coordinata con il principio di diritto comune della buona fede (art. 1375 c.c.), della lealtà (art. 1175 c.c.), della solidarietà sociale (art. 2 cost.), della utilità sociale (art. 41, comma 2°, cost.), per contemperare la tutela della riservatezza e le esigenze di circolazione dei dati personali. Si tratta di un canone oggettivo di comportamento: non la correttezza intesa dal singolo titolare, secondo il suo uso, costume o le sue abitudini; bensì quella che la generalità dei titolari avrebbero osservato in quelle circostanze di tempo e di luogo. Il contenuto di questo canone generale di comportamento si delinea attraverso il bilanciamento tra i diritti degli utenti e gli interessi dei gestori di banche dati.
L'interessato deve essere adeguatamente informato al momento della raccolta dei dati della finalità del trattamento, del modo in cui questi devono essere trattati, dei soggetti ai quali possono o devono essere comunicati. Essendo informato, l'interessato può esercitare personalmente una serie di diritti presso il titolare della banca dati, allo scopo di controllare lo stato in cui si trovano, la loro veridicità, il permanere dell'utilità della loro conservazione e così via. Nei casi in cui la riservatezza del dato derivi da esigenze di carattere generale o di sicurezza nazionale, questo controllo può essere sempre svolto per mezzo del Garante.In buona sostanza l'interessato, pur avendo prestato il consenso al trattamento al momento della raccolta, non per questo interrompe il legame con il dato che gli appartiene, poiché consiste in un elemento della sua personalità. Proprio per questo conserva il diritto di controllare che il trattamento o la diffusione avvengano in modo lecito e corretto; che quelle attività siano funzionali alle esigenze per le quali è stato richiesto il consenso o per le quali è stata notificata al Garante la banca dati; e soprattutto che permanga l'interesse alla conservazione dei dati in possesso del titolare.
Qualora l'interessato ravvisi una illiceità o una scorrettezza nel trattamento, oltre al risarcimento del danno ed alla denuncia al Garante, può chiedere la rettifica, la cancellazione, la trasformazione in forma anonima del dato, il blocco parziale o totale dello stesso trattamento. Ad esempio può accadere che, nel corso del tempo, i dati diventino "eccedenti rispetto alle finalità per le quali sono stati raccolti o successivamente trattati" (art. 9, lett. d, l. 675/1996), dunque che vengano cancellati dalla banca dati.Il trattamento è svolto dal titolare, dal responsabile o da un suo incaricato. La nozione di titolare è data dall'art. 1, comma 1°, lett. d (l. 675/1996), che lo definisce come "la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento di dati personali, ivi compreso il profilo della sicurezza".
La nozione di responsabile è data dall'art. 1, comma 1°, lett. e (l. 675/1996), che lo definisce come "la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali"; al responsabile sono richiesti i requisiti di "esperienza, capacità ed affidabilità" (art. 8, comma 1°, l. 675/1996). Gli incaricati sono normalmente preposti del titolare o del responsabile e devono svolgere il loro compito, "attenendosi alle istruzioni del titolare o del responsabile" (art. 8, ult. comma, l. 675/1996). La legge prevede che "non si considera comunicazione la conoscenza dei dati personali da parte delle persone incaricate per iscritto di compiere le operazioni del trattamento dal titolare o dal responsabile, e che operano sotto la loro diretta autorità" (art. 19 l. 675/1996). Qualora l'organizzazione dell'attività del titolare richieda il trasferimento dei dati personali ai fini del trattamento ad un responsabile o ad un incaricato all'esterno della sua azienda, secondo una prassi meglio nota come outsorcing, si ritiene che occorra un espresso consenso da parte dell'interessato.
L'interessato deve essere informato della raccolta dei dati (art. 10 l. 675/1996), e deve prestare il proprio consenso al trattamento, espresso e documentabile per iscritto (art. 11 l. 675/1996). Se i dati non sono sensibili, dunque non attengono, ad esempio, alla sfera della salute, delle abitudini sessuali o delle convinzioni politiche, religiose e sindacali (art. 22 della legge 675/1996), la raccolta o l'elaborazione richiedono il consenso dell'interessato, che può essere manifestato anche oralmente, purché sia documentato per iscritto, a meno che i dati siano estratti da un archivio pubblico accessibile a chiunque. "Il consenso può riguardare l'intero trattamento o una o più operazioni dello stesso" (art. 11, comma 2°, l. 675/1996). La regola, dunque, è che l'interessato deve poter partecipare coscientemente al processo di raccolta e di trattamento dei dati; in via di eccezione, il consenso può essere escluso.
I casi di esclusione del consenso riguardano ipotesi nelle quali i dati sono comunque conosciuti, per essere raccolti in pubblici registri; perché la loro raccolta è resa obbligatoria da una legge, da un regolamento, o da una norma di fonte comunitaria; perché sono parte di un'attività contrattuale della quale l'interessato è parte o in vista della quale assumerà quella veste. Ad esempio, per l'esecuzione dell'incarico ricevuto dal cliente, il professionista è obbligato a raccogliere dati relativi alla persona del suo assistito, altrimenti non potrebbe svolgere alcuna opera o non potrebbe regolarizzare la sua posizione fiscale. Addirittura il medico normalmente è tenuto a raccogliere dati sensibili, ma ciò è strettamente ed inscindibilmente legato all'esercizio della sua professione; non potrebbe altrimenti effettuare una diagnosi o prescrivere una cura al paziente. In altri casi ancora, i dati sono raccolti per finalità di ricerca scientifica, di statistica, e si tratta di dati anonimi. Il senso della deroga è di garantire al massimo grado la riservatezza e l'identità personale dell'interessato, senza con ciò ostacolare il legittimo svolgimento di attività economiche, informatiche e professionali necessariamente connesse con l'elaborazione di dati personali. In questo modo è abbandonata l'idea del consenso espresso come requisito insostituibile per l'esercizio dell'attività; resta fermo il limite secondo il quale la deroga non può legittimare in alcun modo la prevaricazione della dignità umana (art. 1 l. 675/1996). Così, ad esempio, chi tratta affari con un imprenditore è legittimato dall'attività contrattuale in corso ad assumere informazioni sulla solvibilità, sulla solidità finanziaria, sullo stato di insolvenza, sulla correttezza commerciale, e chi li divulga non deve avere acquisito il previo consenso.
Non è invece legittimato ad assumere informazioni su quei profili attinenti la sfera economica dell'interessato, i quali, in via indiretta e mediata, comunicano notizie sulla sua sfera intima: ad esempio deve essere negato l'accesso all'estratto conto della Viacard, che, oltre a fornire informazioni di tipo economico, rivela anche gli spostamenti del soggetto.Un caso ulteriore di mancata previsione dell'obbligo d'acquisizione preventiva del consenso si profila per il "trattamento dei dati per fini esclusivamente personali". La ragione deriva dall'esigenza di salvaguardare il diritto di ciascun individuo di informarsi e di essere informato nell'ambito della vita di relazione, strumentale all'esercizio della libertà di manifestazione del pensiero (ex art. 21 Cost.). La deroga riguarda esclusivamente i trattamenti effettuati da persone fisiche e non anche quelli, seppur a fini personali, realizzati da persone giuridiche, enti o associazioni.Il consenso dell'interessato si presenta quale atto giuridico che si può affiancare ad altri atti o contratti che l'interessato compia con il titolare della banca dati.
Si pensi al consenso prestato dall'assicurato o dal cliente della banca all'impresa di assicurazione o alla banca, al momento della conclusione di una polizza o dell'apertura di un conto corrente bancario. Normalmente i vizi del consenso prestato (come la dichiarazione resa per errore o in stato di incapacità naturale) non si trasmettono alla ulteriore attività contrattuale svolta; è fatto salvo il caso della cessazione del trattamento che può determinare la nullità della cessione della banca dati, se questa venga ceduta ad altri per finalità diverse da quella per la quale il consenso era stato prestato. Altrimenti, il consenso prestato vale a misurare il potere impiegato dal titolare della banca dati nelle fasi di trattamento e di comunicazione. Ciò al fine di valutare la sua eventuale responsabilità penale (artt. 34-36), amministrativa (art. 39) o civile (art. 18) (tutte norme della l. 675/1996).
Le informazioni contenute in dati costituiscono un valore socialmente rilevante, al punto che la sua tutela non può essere rimessa soltanto ai diretti interessati; ciò conferma l'evoluzione in precedenza ricordata che, procedendo dalla riservatezza, intesa come diritto al riserbo, è approdata alla privacy, intesa come diritto di costruire l'immagine della propria sfera privata nei rapporti con i terzi. Proprio per questa ragione è stata introdotta la figura del Garante per la protezione dei dati personali, il quale, nel ruolo di autorità indipendente, assolve il compito del giudicante (art. 29 l. 675/1996), del controllore, del consulente, ed in senso lato anche del promotore di leggi (art. 31 l. 675/1996). L'istituzione e i poteri del Garante rappresentano una novità assoluta nella tutela dei dati personali, affidata, fino a questo momento, alla sola garanzia giurisdizionale del risarcimento del danno alla riservatezza e, sotto il profilo penale, limitata alla punibilità di alcune fattispecie.
Per far valere i diritti dell'interessato previsti dall'art. 13, la legge attribuisce al Garante una competenza alternativa a quella del giudice ordinario, disponendo che il soggetto leso può agire sia presso l'uno, sia presso l'altro, per la tutela delle proprie pretese; tuttavia una volta scelta la via della magistratura ordinaria l'altra diventa improcedibile e viceversa. In questo modo il Garante assume un ruolo giudicante a tutti gli effetti; è competente anche a pronunciarsi in via cautelare o d'urgenza quando la particolarità del caso lo richieda; ed è dotato anche di poteri superiori a quelli di un giudice togato, potendo "disporre, anche d'ufficio, l'espletamento di perizie" (art. 29, comma 3°, l. 675/1996). In questa sua veste, può inibire al trasgressore la continuazione dell'attività illecita; può disporre rimedi necessari a tutela dei diritti dell'interessato, "assegnando un termine per la loro adozione" (art. 29, comma 4°, l. 675/1996). Oltre alla maggiore speditezza di questo procedimento che si deve chiudere nel termine di venti giorni dal suo inizio, proprio queste ragioni possono indurre il soggetto leso a privilegiare la scelta del Garante, anziché quella del giudice togato.
La condanna del titolare o del responsabile del trattamento al risarcimento del danno patrimoniale e non patrimoniale nei confronti dell'interessato è una prerogativa riservata esclusivamente al giudice ordinario. A questo l'interessato si può rivolgere dopo aver adito il Garante e aver ottenuto i provvedimenti di sua competenza, senza che ciò contrasti con il divieto di sottoporre a giudici diversi la medesima domanda.
Qualora successivamente al deposito del ricorso non segua alcuna attività da parte del Garante, si forma il silenzio-rigetto, autonomamente impugnabile con la procedura prevista per gli atti di volontaria giurisdizione. Formalmente le sue decisioni non possono essere equiparate a quelle di un giudice togato: si ritiene che abbiano la struttura degli atti amministrativi di accertamento, formati in modo contenzioso. Il fenomeno è abbastanza simile a quello delle pronunce rese in sede contenziosa dalle altre autorità indipendenti. Il decreto del Tribunale sull'impugnazione della decisione del Garante è ricorribile soltanto per Cassazione.
Il Garante svolge inoltre il compito di controllore. In primo luogo tiene direttamente il "registro generale dei trattamenti sulla base delle notifiche ricevute" (art. 31, comma 1°, lett. a, l. 675/1996). Inoltre verifica l'operato dei titolari o dei responsabili del trattamento, al fine di assicurare il rispetto delle leggi, suggerendo le procedure più idonee a garantire la realizzazione dell'obiettivo, anche in caso di cessazione del trattamento. Questo controllo si estende anche a quelle banche dati che, per legge, non richiedono alcuna notifica o richiesta di consenso da parte dell'interessato. Per queste, infatti, l'esonero da tali formalità non libera comunque dall'obbligo di garantire la sicurezza nella raccolta, nel trattamento e nella comunicazione dei dati. Per assolvere questo compito la legge attribuisce al Garante i poteri necessari per eseguire ispezioni, sentire gli interessati, ordinare esibizione di copie di atti e quant'altro occorra per garantire effettività al controllo, anche in vista dei provvedimenti sanzionatori di sua competenza; un aspetto particolare del controllo riguarda la vigilanza che il Garante è tenuto ad effettuare sulle cessazioni dei trattamenti.
Al Garante, inoltre, è attribuito il compito di divulgare tra il pubblico la conoscenza della legge e di tutti i provvedimenti diretti a darvi piena applicazione, compresi i propri. Questa funzione rientra, in senso lato, nell'attività di consulenza, nell'ambito della quale il Garante ha anche il compito di studiare le forme più idonee per assicurare la protezione della privacy delle persone anche in rapporto alla sicurezza dei dati, secondo i criteri dettati dall'art. 15 l. 675/1996. Quale consulente, il Garante deve essere sentito dal Presidente del Consiglio dei ministri e da ogni ministro, quando predispongono le norme regolamentari o altri provvedimenti che possano incidere sulla l. 675/1996. Nell'ambito di questa funzione il Garante segnala "al Governo l'opportunità di provvedimenti normativi richiesti dall'evoluzione del settore" (art. 31, comma 1°, lett. m, l. 675/1996). Per meglio realizzare questo compito, il Garante deve coordinare la sua attività con quella delle altre autorità indipendenti (art. 31, comma 5° e 6°, l. 675/1996). Così quando la sicurezza del servizio di telecomunicazioni o dei dati personali richieda anche l'adozione di misure che riguardano la rete, il fornitore del servizio le adotta congiuntamente con il fornitore della rete pubblica di telecomunicazioni. Ma in caso di mancato accordo, su richiesta di uno dei fornitori, la controversia è definita dall'Autorità per le garanzie nelle comunicazioni, di concerto con il Garante per la protezione dei dati personali.
Ancora, il Garante è tenuto a redigere una relazione annuale sulla sua attività che trasmette al Parlamento e al governo, entro il 30 aprile dell'anno successivo a quello cui si riferisce. Ed è proprio questa la sede nella quale svolge una sorta di bilancio a consuntivo della sua attività, facendo emergere lo stato dell'arte in questo settore, e formula suggerimenti.L'ultima delle funzioni del Garante è assimilabile a quella di chi propone e di chi promulga una legge. Dispone l'art. 31, comma 1°, lett. h (l. 675/1996), che il Garante promuove l'adozione di codici di deontologia e di autodisciplina fra le categorie professionali interessate. Questi codici sono settoriali, non solo perché si riferiscono a una categoria, ma anche perché si riferiscono ad una specifica attività di quella categoria: il trattamento di dati personali. Inoltre sono promossi da un'autorità amministrativa indipendente; e la loro conformità alle leggi ed ai regolamenti è controllata dall'autorità che li promuove, "anche attraverso l'esame di osservazioni di soggetti interessati": gli appartenenti alla categoria, nonché i portatori di interessi contrapposti, come le associazioni di consumatori.Fra le categorie interessate da questi codici di autoregolamentazione, quella dei giornalisti assume un ruolo prioritario. In questo settore, il delicato equilibrio fra diritto di cronaca e diritto di riservatezza è stato realizzato nei tredici articoli di cui si compone il Codice deontologico. Questo è stato consegnato dal Consiglio nazionale dell'Ordine all'Autorità Garante il 15 luglio 1998, è entrato in vigore il 9 agosto 1999, ed in questo modo ha trovato esecuzione l'art. 25 l. 765/1996. Una volta pubblicati sulla Gazzetta Ufficiale, per le categorie interessate i codici deontologici diventano obbligatori al pari di una legge.
La tutela contro la violazione della privacy si realizza con diversi strumenti. Un primo è quello penale: se la lesione della privacy comporta anche la violazione dell'onore e della reputazione o costituisce una diffamazione della persona, l'interessato può chiedere la condanna penale del responsabile. Questa è comune a tutti i diritti della personalità se i fatti illeciti siano ascrivibili ad una di quelle figure di reato autonomamente sanzionate. La l. 675 del 1996 prevede, inoltre, agli artt. 34-36, ulteriori ipotesi di reato collegate alla violazione delle attività richieste dalla legge: come la infedele notificazione, il trattamento illecito di dati, l'omissione di misure necessarie alla sicurezza dei dati, l'inosservanza dei provvedimenti del Garante. Quale pena accessoria è inoltre prevista la pubblicazione della sentenza di condanna dall'art. 38.
Un secondo strumento di tutela contro la violazione della privacy è dato dalla previsione di esplicite sanzioni amministrative per illeciti di grado minore, e l'organo competente ad irrogarle è il Garante. In definitiva si può affermare che le sanzioni penali coprono l'area degli illeciti consumati nella diffusione e nella comunicazione dei dati, la violazione delle norme di sicurezza disposte in via regolamentare, l'inosservanza dei provvedimenti del Garante, la violazione del principio del consenso e, per i soggetti pubblici non economici, dell'autorizzazione legislativa. Mentre le sanzioni amministrative valgono a rafforzare i poteri di indagine del Garante.
Alla tutela penale o amministrativa si aggiunge quella inibitoria. È nei poteri del Garante o del giudice ordinario imporre ai trasgressori la cessazione di ogni attività lesiva; ciò può comportare anche il blocco integrale dei trattamenti o di parte di essi, la cessazione della diffusione o della comunicazione dei dati (art. 31 lett. l, l. 675/1996). Questo rimedio nasce proprio per la protezione dei diritti della personalità, come, ad esempio, il diritto al nome (art. 7 c.c.), allo pseudonimo (art. 9 c.c.), all'immagine (art. 10 c.c.), rispetto ai quali l'azione inibitoria appare tipizzata. Le modalità del trattamento non sembrano interessate da nessuna di tali sanzioni e per queste si dirà in seguito a proposito del risarcimento del danno.Infine, tra le tutele apprestate all'interessato è prevista la rettifica dei dati in fase di raccolta, trattamento, diffusione o comunicazione. Nel caso di minore di età, le azioni possono essere svolte dal tutore se nominato, senza particolari autorizzazioni da parte del tribunale (art. 374 c.c.), o dai genitori.
La tutela risarcitoria dei diritti della personalità costituisce l'ulteriore rimedio apprestato dall'ordinamento giuridico. Tradizionalmente è un rimedio di non sempre agevole impiego, giacché non sempre è possibile desumere dalla lesione di un diritto non patrimoniale un danno patrimoniale.
Nel nostro sistema, infatti, mentre il danno al patrimonio è risarcibile senza alcuna limitazione, il danno non patrimoniale è risarcibile soltanto nei casi previsti dalla legge (art. 2059 c.c.) e fra questi primeggiano quelli conseguenti alla commissione di un fatto che costituisce anche reato (art. 185 c.p.). Ne discende che, quando la lesione della privacy si realizzi mediante una diffamazione, una lesione dell'onore o della reputazione, è possibile il risarcimento del danno non patrimoniale, mentre negli altri casi occorre addurre la prova che, indirettamente, quel fatto ha causato una perdita economicamente apprezzabile al patrimonio della vittima: il cosiddetto danno patrimoniale indiretto. Questa prova non sempre è agevole, poiché non sempre può verificarsi una perdita misurabile nei termini di un minor reddito: basti pensare che non tutti i soggetti lesi sono titolari di un reddito oppure non è detto che, per effetto di una diffamazione, di una lesione dell'onore e così via, si verifichi una contrazione di reddito. A questa difficoltà la l. 675 del 1996 ha dato risposta in due norme. La prima prevede che l'attività di chi tratti dati personali sia equiparata a quella dell'esercente un'attività pericolosa (art. 2050 c.c.), al pari di quelle indicate nel T.U. delle leggi di pubblica sicurezza (ad esempio il produttore di polveri da sparo o chi esplode fuochi artificiali); dunque l'esercente risponde anche se l'evento dannoso si consuma senza che la sua condotta sia connotata da un comportamento colposo. Il responsabile si libera soltanto dimostrando il caso fortuito, qui inteso come interruzione del rapporto di causalità fra l'attività e l'evento dannoso. Stessa soluzione è stata adottata per il danno cagionato da "chiunque intenda utilizzare un sistema di chiavi asimmetriche o della firma digitale" (art. 9 d.p.r. 10 novembre 1997, n. 513).
L'art. 29, ult. comma, l. 675/1996 stabilisce che "il danno non patrimoniale è risarcibile anche nei casi di violazione dell'art. 9"; quest'ultima norma regola le modalità di raccolta e indica i requisiti dei dati personali. Il senso complessivo di questa disciplina è la previsione di una responsabilità senza colpa, e un ampliamento del danno da trattamento dei dati esteso anche a quello non patrimoniale.Si può peraltro ipotizzare che la lesione di un diritto della personalità, anche di quello della privacy, possa trovare tutela risarcitoria nella forma del danno esistenziale (Cassazione, 7 giugno 2000, n. 7713). Questa figura di danno, tra i nuovi nati nella famiglia della responsabilità civile, può costituire il mezzo attraverso il quale condannare ad un risarcimento anche nell'ipotesi di lesione dei diritti (non patrimoniali) della personalità, diversi dal diritto alla salute (art. 32 cost.). Anche i diritti espressione di un valore d'uso, e non di un interesse apprezzabile come valore di scambio, comportano un pregiudizio economicamente valutabile, secondo un criterio sociale tipico. Ciò implica una diversa considerazione della patrimonialità del danno, che non si identifica soltanto con tutto ciò che nel mercato trova un controvalore, per cui anche i valori d'uso possono esser apprezzati economicamente. In questo modo il risarcimento del danno aggiunge alla funzione compensativa del patrimonio della vittima, anche una diversa finalità satisfattiva, per i casi in cui il pregiudizio non trovi nel mercato il suo controvalore.
AA.VV., Privacy e banche dei dati. Aspetti giuridici e sociali, Bologna 1981.
Bin, M., Privacy e trattamento dei dati personali: entriamo in Europa, in "Contratto e imprese: Europa", 1997, pp. 459 ss.
Franceschelli, V. (a cura di), La tutela della privacy informatica, Milano 1998.
Natoli, U., Rodotà, S., Apitzsch, W., Ruzzino, P., Ventura, L., Spagnuolo Vigorita, L., Bertinotti, F., I controlli elettronici tra limiti legali e contrattazione collettiva, in "Rivista giuridica del lavoro" 1987, I, pp. 473 ss.
Rodotà, S., Protezione dei dati e circolazione delle informazioni, in "Rivista critica di diritto privato", 1984, pp.721 ss.
Rodotà, S., Privacy e costruzione della sfera privata. Ipotesi e prospettive, in "Politica del diritto", 1991, pp. 521 ss.
Rodotà, S., Tecnologie e diritti, Bologna 1995.
Rodotà, S., Persona, riservatezza, identità. Prime note sistematiche sulla protezione dei dati personali, in "Rivista critica di diritto privato", 1997, pp. 583 ss.
Rodotà, S., Relazione per l'anno 1997 del garante per la protezione dei dati personali, in "Diritto informazione e informatica", 1998, pp. 553 ss.
Rosenberg, N., Suppes, P., Rodotà, S., Colombo, U., Pastella, F., Campiglio, L., Hammond, P. J., Ruberti, A., Garaci, E., Mercurio L., Scienza, tecnologia, società alle soglie del XXI secolo. Atti del congresso, Stresa, 25/26 ottobre 1996, Milano 1997.
Torsello, M., Martinetti, G., Calabresi, G., Poullet, Y., Rodotà, S., Gellman, R., Vitalis, A. Burkert, H., Società dell'informazione. Tutela della riservatezza. Atti del congresso, Stresa, 16-17 maggio 1997, Milano 1998.
Vettori, G., Privacy: un primo bilancio, in "Rivista di diritto privato", 1998, pp. 673 ss.
Zanelli, P., La l. n. 675 del '96: una strategia integrata di protezione per la privacy, in "Contratto e impresa", 1997, pp. 689 ss.