Torno, come promesso, a parlare di autorità amministrative indipendenti e, per consecutio logica, delle problematiche relative al valore che può attribuirsi ai pronunciamenti nel contesto della gerarchia delle fonti considerato che le due questioni sono, a mio avviso, facce della stessa medaglia.
In particolare ad essere oggetto di esame è il difficile equilibrio tra Legge e Provvedimenti del Garante Privacy che, da tempo, è oggetto di controversie interpretative. Basti pensare al Provvedimento di natura prescrittiva sugli Amministratori di sistema: perché alcune indicazioni di natura generale diventano obbligatorie, vincolanti e foriere di sanzioni (penali e civili) per il Titolare che ne ometta l’applicazione quando né il vigente Codice Privacy né altre leggi accennano a questa figura (da non confondersi con l’operatore di sistema di cui alla novellata legge sui crimini informatici)?
Per poter dare una risposta vale la pena partire da quanto affermato nel precedente post: l’Autorità garante per la protezione dei dati personali rientra nel novero delle c.d. autorità amministrative indipendenti.
Pacifica sul punto la dottrina nel considerare le autorità indipendenti accomunate da connotati uniformi: lo specifico grado di indipendenza nei confronti del potere politico, di quello burocratico e di quello economico in virtù del quale è possibile garantire l'esercizio della funzione che le autorità sono chiamate a svolgere, consentendo alle autorità stesse di agire in posizione di terzietà, e di neutralità, quindi di imparzialità rispetto agli interessi pubblici e privati in gioco in funzione di regolazione e di controllo di un determinato settore.
Seguendo questa impostazione si può affermare quindi che:
1. gli interventi in uno specifico settore come quello della protezione dei dati personali sono oggetto di delega legislativa ad un soggetto dotato di competenze specifiche (il Garante privacy)
2. Il Garante privacy è messo in condizione di esprimere compiutamente le proprie posizioni anche per il tramite di appostita produzione regolamentativa (rappresentata a tutti gli effetti da quei provvedimenti di cui si è fatto cenno)
3. Con i provvedimenti il Garante esprime, a seconda dei casi, o una posizione precisa (che sfocia in oneri obbligatori per il destinatario) o un modus operandi di cui è consigliabile tenere conto.
4. La portata di tali provvedimenti risulta essere di carattere generale (come nel caso del provvedimento sugli amministratori di sistema) o specifico( destinatari sono soggetti che operano in uno certo settore merceologico, come le società di TLC)
A mio parere, quindi, se la suddetta ricostruzione è formalmente corretta, a nulla vale obiettare l’esistenza di altre leggi o tacciare di incostituzionalità i provvedimenti: la gerarchia delle fonti è rispettata proprio in ragione della natura precipua dell’autorità e del limitato settore in cui è chiamata ad intervenire. Inoltre tutti gli interventi dell’autorità sono improntati al più rigoroso rispetto dei principi di imparzialità e di qualità democratica della loro azione (il c.d. modello regolativo giustiziale ha ricevuto una consacrazione, a livello di principio, da due Leggi la 62/2005 e la 262/2005).
Venuta meno l’ipotesi di contrasto con la gerarchia delle fonti paventata dal GIP di Milano è possibile entrare nel merito della questione concernente la cancellazione dell’IP per mettere in evidenza gli eventuali profili di responsabilità.
Primo aspetto. Le Prescrizioni sulla conservazione dei dati di traffico (H3G) - 10 gennaio 2008, non contrastano con le indicazioni di legge sui termini di conservazione in quanto:
• I dati sono stati raccolti in contrasto con quanto disposto dall’art. 132 del Codice Privacy e per un periodo di tempo prolungato (il verbale di contestazione risaliva al 14 marzo 2007)
• Tutti i dati di traffico telematico generati dagli utenti H3G senza distinzioni di sorta confluivano direttamente nel server utilizzato per scopi di giustizia.
• le informazioni raccolte, tutte ascrivibili alla sfera dei dati personali, arrivavano ad un livello di dettaglio che comprendeva la Url completa, con il dettaglio delle singole pagine aperte dall'utente interessato.
Secondo aspetto. Sulla base degli accertamenti svolti il Garante ha espresso sul punto una duplice, e molto circostanziata, richiesta:
• per il futuro il divieto della conservazione, in qualsiasi forma e grado di dettaglio, di informazioni sui siti visitati dagli utenti, anche qualora esse siano specificate con notazione Url o con mero indirizzo Ip di destinazione
• per il passato la cancellazione dei dati trattati illecitamente al più presto, dando riscontro a questa Autorità dell'avvenuta cancellazione entro e non oltre il termine di sessanta giorni dalla data di ricezione del presente provvedimento.
Terzo (ed ultimo) aspetto. Il Garante ha emesso un Provvedimento di natura generale il 17 gennaio 2008 (Sicurezza dei dati di traffico telefonico e telematico) seguito da un successivo provvedimento del 24 luglio 2008 (Recepimento normativo in tema di dati di traffico telefonico e telematico) e da due distinte proroghe di adeguamento il cui termine ultimo è stato fissato per il 15 dicembre 2009.
Anche qui vale la pena soffermarsi sulla cronologia degli eventi per comprendere come il Garante abbia agito in maniera ineccepibile:
• Con il Provvedimento del 17 gennaio 2008 i termini di conservazione erano quelli previsti dall’allora vigente art. 132.
• Il suddetto Provvedimento è stato modificato da altro (24 luglio 2008), in ragione dei mutamenti introdotti dalla Legge 48/2008 (ratifica della convenzione sul cybercrime) che ha, in parte rinnovellato l’art. 132 .
• Stanti le difficoltà interpretative e applicative di alcune prescrizioni contenute nel provvedimento del luglio 2008, l’applicazione definitiva è stata prorogata al prossimo 15 dicembre.
Male, quindi, hanno fatto quei gestori telefonici e telematici coinvolti nella vicenda a “cancellare tutto e subito”.
In particolare ad essere oggetto di esame è il difficile equilibrio tra Legge e Provvedimenti del Garante Privacy che, da tempo, è oggetto di controversie interpretative. Basti pensare al Provvedimento di natura prescrittiva sugli Amministratori di sistema: perché alcune indicazioni di natura generale diventano obbligatorie, vincolanti e foriere di sanzioni (penali e civili) per il Titolare che ne ometta l’applicazione quando né il vigente Codice Privacy né altre leggi accennano a questa figura (da non confondersi con l’operatore di sistema di cui alla novellata legge sui crimini informatici)?
Per poter dare una risposta vale la pena partire da quanto affermato nel precedente post: l’Autorità garante per la protezione dei dati personali rientra nel novero delle c.d. autorità amministrative indipendenti.
Pacifica sul punto la dottrina nel considerare le autorità indipendenti accomunate da connotati uniformi: lo specifico grado di indipendenza nei confronti del potere politico, di quello burocratico e di quello economico in virtù del quale è possibile garantire l'esercizio della funzione che le autorità sono chiamate a svolgere, consentendo alle autorità stesse di agire in posizione di terzietà, e di neutralità, quindi di imparzialità rispetto agli interessi pubblici e privati in gioco in funzione di regolazione e di controllo di un determinato settore.
Seguendo questa impostazione si può affermare quindi che:
1. gli interventi in uno specifico settore come quello della protezione dei dati personali sono oggetto di delega legislativa ad un soggetto dotato di competenze specifiche (il Garante privacy)
2. Il Garante privacy è messo in condizione di esprimere compiutamente le proprie posizioni anche per il tramite di appostita produzione regolamentativa (rappresentata a tutti gli effetti da quei provvedimenti di cui si è fatto cenno)
3. Con i provvedimenti il Garante esprime, a seconda dei casi, o una posizione precisa (che sfocia in oneri obbligatori per il destinatario) o un modus operandi di cui è consigliabile tenere conto.
4. La portata di tali provvedimenti risulta essere di carattere generale (come nel caso del provvedimento sugli amministratori di sistema) o specifico( destinatari sono soggetti che operano in uno certo settore merceologico, come le società di TLC)
A mio parere, quindi, se la suddetta ricostruzione è formalmente corretta, a nulla vale obiettare l’esistenza di altre leggi o tacciare di incostituzionalità i provvedimenti: la gerarchia delle fonti è rispettata proprio in ragione della natura precipua dell’autorità e del limitato settore in cui è chiamata ad intervenire. Inoltre tutti gli interventi dell’autorità sono improntati al più rigoroso rispetto dei principi di imparzialità e di qualità democratica della loro azione (il c.d. modello regolativo giustiziale ha ricevuto una consacrazione, a livello di principio, da due Leggi la 62/2005 e la 262/2005).
Venuta meno l’ipotesi di contrasto con la gerarchia delle fonti paventata dal GIP di Milano è possibile entrare nel merito della questione concernente la cancellazione dell’IP per mettere in evidenza gli eventuali profili di responsabilità.
Primo aspetto. Le Prescrizioni sulla conservazione dei dati di traffico (H3G) - 10 gennaio 2008, non contrastano con le indicazioni di legge sui termini di conservazione in quanto:
• I dati sono stati raccolti in contrasto con quanto disposto dall’art. 132 del Codice Privacy e per un periodo di tempo prolungato (il verbale di contestazione risaliva al 14 marzo 2007)
• Tutti i dati di traffico telematico generati dagli utenti H3G senza distinzioni di sorta confluivano direttamente nel server utilizzato per scopi di giustizia.
• le informazioni raccolte, tutte ascrivibili alla sfera dei dati personali, arrivavano ad un livello di dettaglio che comprendeva la Url completa, con il dettaglio delle singole pagine aperte dall'utente interessato.
Secondo aspetto. Sulla base degli accertamenti svolti il Garante ha espresso sul punto una duplice, e molto circostanziata, richiesta:
• per il futuro il divieto della conservazione, in qualsiasi forma e grado di dettaglio, di informazioni sui siti visitati dagli utenti, anche qualora esse siano specificate con notazione Url o con mero indirizzo Ip di destinazione
• per il passato la cancellazione dei dati trattati illecitamente al più presto, dando riscontro a questa Autorità dell'avvenuta cancellazione entro e non oltre il termine di sessanta giorni dalla data di ricezione del presente provvedimento.
Terzo (ed ultimo) aspetto. Il Garante ha emesso un Provvedimento di natura generale il 17 gennaio 2008 (Sicurezza dei dati di traffico telefonico e telematico) seguito da un successivo provvedimento del 24 luglio 2008 (Recepimento normativo in tema di dati di traffico telefonico e telematico) e da due distinte proroghe di adeguamento il cui termine ultimo è stato fissato per il 15 dicembre 2009.
Anche qui vale la pena soffermarsi sulla cronologia degli eventi per comprendere come il Garante abbia agito in maniera ineccepibile:
• Con il Provvedimento del 17 gennaio 2008 i termini di conservazione erano quelli previsti dall’allora vigente art. 132.
• Il suddetto Provvedimento è stato modificato da altro (24 luglio 2008), in ragione dei mutamenti introdotti dalla Legge 48/2008 (ratifica della convenzione sul cybercrime) che ha, in parte rinnovellato l’art. 132 .
• Stanti le difficoltà interpretative e applicative di alcune prescrizioni contenute nel provvedimento del luglio 2008, l’applicazione definitiva è stata prorogata al prossimo 15 dicembre.
Male, quindi, hanno fatto quei gestori telefonici e telematici coinvolti nella vicenda a “cancellare tutto e subito”.
Comments
Post a Comment