Ugo De Siervo
Quaderni I/2001
SEGRETI PERSONALI E SEGRETI DI STATO.
Privacy, archivi e ricerca storica
a cura di Carlo Spagnolo
Parte I
Privacy e codice deontologico
La relazione è organizzata in tre parti. La prima parte affronta la legge sulla protezione sui dati personali e le sue numerose integrazioni e modificazioni, la seconda parte il trattamento privilegiato della ricerca storica e la necessità di garanzie adeguate per le persone coinvolte, mentre la terza parte si sofferma sul futuro codice di deontologia “per i trattamenti a scopi storici effettuati da archivisti ed utenti”.
1. Penso che se si vogliono davvero comprendere i reali problemi dinanzi ai quali ci siamo trovati nella ricerca di un equilibrio soddisfacente fra tutela dei dati personali ed esigenze della ricerca scientifica (sia essa storica, sociale o medica), dobbiamo cercare di porci con la massima imparzialità dinanzi alla situazione giuridica e di fatto nella quale operiamo, rifuggendo da ogni tentazione di forzature argomentative. E’ dell’autunno 1997 il primo convegno a cui ho partecipato insieme alla professoressa Carucci (con la quale mi trovo spesso sostanzialmente d’accordo) per ridurre gli allarmismi sparsi a piene mani sulla sorte della ricerca storica: allora correva voce che si sarebbe arrivati alla distruzione dei materiali dall’archivio o che questi sarebbero divenuti accessibili solo in minima parte ” ; al tempo stesso dei funzionari preposti ad alcuni archivi pretendevano di giustificare indiscriminate chiusure negli accessi in nome della nuova legge. Ma ancora pochi mesi fa, dopo e malgrado il decreto delegato 281/1999, che ha risolto positivamente larga parte dei problemi esistenti, non pochi hanno ancora lanciato generici allarmi. Vale allora la pena di cercare di riportare un minimo di chiarezza.
Non vi è dubbio che la legge 675 del 1996, che ha introdotto per la prima volta nel nostro paese una legislazione a tutela della dignità personale nel trattamento dei dati che riguardano la persona, con particolare riferimento alla riservatezza ed all’identità personale, sia arrivata molto in ritardo rispetto a tanti altri paesi europei, ma al tempo stesso sia stata una legge approvata con modalità affrettate.
Molte sono state, infatti, le miopi resistenze a dotare il nostro paese di una legislazione moderna a tutela della riservatezza: mentre altri paesi si dotavano fin dagli anni settanta di legislazioni adeguate ai problemi emergenti dalla sempre crescente utilizzazione dei dati personali anche tramite le moderne potenti strumentazioni elettroniche, con le loro straordinarie capacità di immagazzinamento e di lavoro in tempo reale, il nostro paese continuava a rinviare ogni decisione in materia, tanto che se dovessimo citare nostre disposizioni legislative precedenti all’attuale tutela della riservatezza dovremmo in realtà fermarci ad alcune disposizioni del cosiddetto “statuto dei lavoratori” ed alla previsione proprio nella legislazione sugli Archivi di Stato di una speciale tutela dei documenti che contenevano informazioni relative a “situazioni puramente private”.
E ciò malgrado che -si badi bene – a livello del Consiglio dall’Europa si fosse adottato già nel 1981 la convenzione n.108 in tema di protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale, convenzione la cui ratifica è stata autorizzata dal nostro Parlamento con legge n. 98 del 1989, ma che non si è potuta in realtà ratificare se non dopo la legge 675/1996, dal momento che la ratifica esigeva che l’Italia si fosse dotata di una legislazione a tutela dei dati personali.
I colposi ritardi nell’adozione della legislazione a tutela dei dati personali tipica dei decenni trascorsi ci ha obbligati adesso a recepire la normativa contenuta nella Direttiva europea 95/46/CE, assai più analitica e severa, perché nel frattempo le continue e rapide trasformazioni tecnologiche hanno moltiplicato i rischi di possibili abusi o di inaccettabili limitazioni della libertà e dignità delle persone; il recepimento della normativa europea era non solo obbligatorio in conseguenza degli ordinari vincoli derivanti dalla nostra adesione comunitaria, ma anche urgente per dimostrare la nostra piena adeguatezza ad entrare a pieno titolo nel sistema europeo (Schengen, moneta unica).
L’accresciuta severità della Direttiva europea, specie con l’abbandono del riferimento ai soli grandi archivi elettronici e con l’estensione della tutela al trattamento dei dati contenuti nei più diversi possibili supporti, risponde ad alcune conseguenze della straordinaria fase di accelerata trasformazione tecnologica nella quale viviamo da alcuni anni, che non può non suscitare anche alcune legittime preoccupazioni: non si pensi solo alle conseguenza delle enormi basi di dati raccolti o detenuti da soggetti pubblici o privati, ma anche ai fatti significativi che si può ormai procedere ad una schedatura genetica di interi paesi (come insegna il caso islandese), o che le “tracce” telefoniche possono da sole raccontare moltissimo di ciascuno di noi o che l’utilizzazione delle tecnologie della videosorveglianza, anche le più invasive, si stanno espandendo enormemente e spesso nel modo più acritico e confuso.
La legge 675/1996, pur necessaria e sicuramente opportuna, è quindi giunta tutta insieme, senza che in precedenza esistessero norme analoghe magari anche su materie più delimitate. Neppure può negarsi che questa legge contenesse anche qualche disposizione errata od eccessiva. Il suo difetto maggiore peraltro derivava dalla sua disciplina troppo rigidamente uniforme: dovendosi applicare gli stessi principi di fondo a tutta la realtà sociale ed istituzionale, nonché a tutti i soggetti pubblici e privati, sarebbe occorsa una disciplina adeguatamente articolata e non una semplice affermazione dei principi da tutelare e solo alcune loro sommarie articolazioni, come invece è avvenuto a causa della grande urgenza finale nell’ approvazione della legge.
Non a caso, la contemporanea legge 676/1996 conferiva al Governo una opportuna delega legislativa per integrare questa legislazione in molti settori ed anche per correggerla, ove ciò risultasse necessario sulla base della concreta esperienza della sua applicazione: i nove decreti delegati adottati nel triennio successivo (con un indubbio contributo di stimolo critico del Garante), se hanno indubbiamente complicato il quadro normativo vigente, hanno però opportunamente introdotto una legislazione più articolata e quindi meglio applicabile. Ancora adesso, scadute le precedenti deleghe legislative (leggi 676/1996, 344/1998, 25/1999), occorre che il Parlamento le rinnovi ancora, dal momento che molti ed importanti settori appaiono tuttora privi di una legislazione adeguatamente articolata (si pensi, solo per fare alcuni esempi, al commercio elettronico, alla videosorveglianza, ai problemi particolari dei settori della giustizia e della sicurezza pubblica).
Comunque le integrazioni finora introdotte dall’utilizzo del potere legislativo delegato sono state numerose, con anche non poche disposizioni modificative della stessa legge di base. Lo stesso testo della legge 675/1996, pur largamente modificato (raccomando a chi voglia analizzare questa legislazione di utilizzare il “testo coordinato” che il Garante pubblica nel suo Bollettino o nel suo sito www.garanteprivacy.it) , va però ormai letto unitamente a vere e proprie normative speciali che sono state adottate soprattutto nei decreti legislativi 135/1999 (trattamento dei dati sensibili da parte della P.A.), 281/1999 (trattamento dei dati personali per finalità storiche, statistiche e di ricerca scientifica) e 282/1999 (trattamento dei dati personali in ambito sanitario).
Su questo versante il Garante, organo di controllo e garanzia e non organo legislativo, ha svolto e svolge solo funzioni di stimolo e di supporto tecnico, che peraltro divengono importanti se il Governo o il Parlamento ne ricercano e ne accettano il parere, mentre purtroppo in genere manca a livello governativo una consapevolezza adeguata dei nuovi complessi problemi (si veda, ad esempio, il curioso episodio del discutibilissimo decreto legislativo deliberato dal Governo nel luglio 1998 ma poi mai emanato, relativo al tema importante del trattamento dei dati sensibili da parte delle pubbliche amministrazioni).
Semmai è significativo un progressivo riconoscimento al Garante di alcuni poteri normativi secondari, seppur non sempre in forma esplicita: al di là del potere regolamentare interno e dei poteri nel procedimento di formazione del “codice di deontologia” degli operatori informativi, si pensi alle “autorizzazioni generali” relative al trattamento dei dati sensibili e dei dati di rilevanza penale, nonché al nuovo importante potere di determinare (seppur solo in assenza di leggi sul punto ed in via provvisoria) l’individuazione di quali attività pubbliche fra quelle demandate ai diversi soggetti pubblici perseguano “rilevanti finalità di interesse pubblico” e per le quali è pertanto autorizzato il trattamento di dati sensibili (cfr. terzo comma dell’art. 22 della legge 675, quale modificato dal secondo comma dell’art.5 del decreto legislativo 135/1999).
Attraverso tutta questa serie di fonti, primarie e secondarie, la disciplina si articola opportunamente, per cercare di dare una risposta alle tante tipicità dei diversi settori. Certo, il processo di articolazione e correzione della disciplina di base appare spesso complesso e faticoso, con qualche inutile eccesso di tecnicismo che riduce la stessa comprensibilità delle innovazioni e con anche evidenti ondeggiamenti del legislatore delegato (si vedano le parziali sovrapposizioni ed anche alcuni emendamenti significativi fra i tre più recenti decreti legislativi).
Molte cose avrebbero potuto e ancora ora potrebbero andar assai meglio su questo piano, ma occorre essere consapevoli che anche i processi di produzione normativa soffrono l’ incertezza istituzionale complessiva e la notevole debolezza di molte strutture amministrative di vertice: basti dire che la molto recente deliberazione del testo unico sui beni culturali, di un testo cioè che avrebbe dovuto ridare certezza all’intero settore tramite un procedimento deliberativo sottratto alle urgenze di tutti i giorni contiene (insieme a tante cose opportune) anche la dichiarazione del tutto paradossale di abrogazione dell’art.21 del decreto legislativo 1409/1963, allorché questo articolo era stato modificato ed anche integrato da un art. 21 bis dal decreto legislativo 281/1999, quasi che la Commissione che ha redatto il testo unico ed il Governo che lo ha deliberato non sapessero ciò che il Governo aveva deciso pochi mesi prima. Al clamoroso errore si porrà ovviamente rimedio, dal momento che in sede di testo unico il Governo poteva intervenire solo sui testi vigenti alla fine del 1998, ma certo l’ episodio appare veramente rivelatore del deplorevole livello dei procedimenti di produzione normativa.
2. Venendo al tema specifico del rapporto fra riservatezza e ricerca storica, vorrei essere estremamente rapido sul passato e soffermarmi semmai un po’ di più sulle prospettive: certo sarebbe facile recriminare sul clima fortemente allarmato, se non sull’allarmismo, che si diffuse nelle varie categorie professionali nel primo periodo di vigenza della legge, spesso senza neppure una considerazione pienamente adeguata del contenuto effettivo della legge.
Non che mancassero elementi di preoccupazione per la mancata esplicita considerazione della ricerca scientifica nella legge 675/1996, per la rigida diversità di trattamento dei soggetti pubblici e di quelli privati, per alcune vere e proprie “scorie” rimaste nella legge dopo i complessi lavori parlamentari (in questa sede si può ricordare, ad esempio, che i notevoli privilegi originariamente previsti per chi utilizzasse dati personali a fini di un esercizio della libertà di manifestazione del pensiero erano limitati nel testo originario della legge ai soli “giornalisti professionisti”, con grave violazione della stessa normativa costituzionale: solo con il decreto legislativo 123/1997 si è arrivati ad equiparare a questi anche tutti coloro che pubblicano anche occasionalmente articoli, saggi od altre forme di manifestazione del pensiero: cfr. l’attuale quarto comma dell’art. 25 della legge 675/1996).
Per ridurre i timori, allora largamente diffusi, sull’impossibilità di proseguire le tante ricerche che esigono di operare su dati personali, ricordo di aver più volte citato l’esplicita previsione dell’art.1 della legge 676/1996, che delegava il Governo a “specificare le modalità di trattamento dei dati personali utilizzati a fini storici, di ricerca e di statistica” alla luce dei principi della Direttiva e delle raccomandazioni del Consiglio dall’Europa in materia. In realtà nell’art. 6 della Direttiva 95/46/CE sia il principio di finalità per l’utilizzabilità dei dati personali, che quello di temporaneità della loro conservazione prevedono la possibilità esplicita di eccezioni proprio per scopi di ricerca storica, statistica o scientifica, peraltro in presenza di appropriate garanzie determinate dai legislatori.
Ma soprattutto nel non breve periodo che ha preceduto il decreto legislativo 281/1999, l’attività del Garante, sia tramite alcune parti delle autorizzazioni al trattamento dei dati sensibili da parte di soggetti privati, sia tramite l’approvazione del Codice di deontologia dei giornalisti, sia tramite alcune prese di posizione pubbliche (si pensi a quelle relative alla scorrettezza di interpretare come preclusiva all’accesso ai dati conservati negli Archivi l’amplissima definizione di dati sensibili contenuta nell’art. 22 della legge) e deliberazioni su casi ricadenti nell’ambito di ricerche su dati personali, non ha posto limiti all’attività di ricerca, se non per richiamare od imporre il rispetto di limiti puntualmente previsti dalla legge (ad es., il divieto di diffusione di dati sanitari; la necessità di conseguire il consenso degli interessati, là dove la legge lo impone). L’assenza di puntuali polemiche sta a dimostrare che finora non si sono certo prodotti quei terribili danni che molti prevedevano.
Adesso finalmente siamo giunti con l’art.3 del decreto legislativo 281/1999 ad affermare che “il trattamento di dati personali per scopi storici, di ricerca scientifica o di statistica è compatibile con gli scopi per i quali i dati sono stati raccolti o successivamente trattati e può essere effettuato anche oltre il periodo necessario a questi ultimi scopi” (è il nuovo comma 1 bis dell’art. 9 della legge 675/1996). Contemporaneamente l’art. 5 del decreto legislativo introduce un’ esplicita eccezione al principio di temporaneità nella conservazione dei dati personali utilizzati per scopi storici, di ricerca scientifica e di statistica, prevedendo anche la possibilità della loro cessione ad altro titolare.
Qui però appare il limite che ciò debba avvenire “in conformità alla legge, ai regolamenti, alla normativa comunitaria e ai codici di deontologia e di buona condotta”. Ma poi il riferimento allo specifico codice di deontologia e buona condotta “per i trattamenti a scopi storici effettuati da archivisti e utenti” noi lo ritroviamo nelle fondamentali disposizioni che affermano che il suo rispetto “costituisce condizione essenziale per la liceità del trattamento dei dati” (art. 6, secondo comma) e che fanno dipendere dai suoi contenuti praticamente tutti i limiti all’accesso, alla comunicazione ed alla diffusione dei dati conservati negli Archivi pubblici e privati (art.7, quinto comma). Non si può, infatti, minimamente dimenticare che le disposizioni della Direttiva, prima ricordate, accompagnano sempre la previsione delle amplissime deroghe a favore del perseguimento di fini scientifici, con la necessità assoluta di assicurare “adeguate garanzie” per i soggetti i cui dati vengono trattati.
Occorre, infatti, essere ben consapevoli che se le eccezioni sono indispensabili per tutta una serie di ricerche, tuttavia questi dati restano pur sempre di persone a cui non si sono chiesti consensi e che addirittura sono in genere neppure consapevoli di queste ulteriori forme di utilizzazione dei loro dati, a suo tempo conferiti per tutt’altre finalità , con anche la reale possibilità che da una loro utilizzazione senza principi e regole possano derivarne danni più o meno gravi alle persone interessate.
Solo per fare qualche esempio, si può pensare anzitutto proprio al problema assai delicato dell’accesso degli studiosi a tutti i dati contenuti negli innumerevoli documenti che confluiscono negli Archivi di Stato. Specie dopo la positiva innovazione che li ha resi liberamente consultabili dopo 40 anni, corrispondente al periodo di normale loro “versamento” agli Archivi, sia che si tratti di dati comuni che di dati sensibili diversi da quelli idonei a rivelare “lo stato di salute o la vita sessuale o rapporti riservati di tipo familiare”, sembra evidente la necessità di qualche limite a tutela contro una improvvisa generale “scopertura” di dati fino ad allora più o meno riservati; si può, ad esempio, allora comprendere il senso della prescrizione per la quale questi dati raccolti per scopi storici “non possono essere utilizzati per adottare atti o provvedimenti amministrativi sfavorevoli all’interessato” (art.7, primo comma) o quello relativo alle pur ridotte possibilità che hanno i diretti interessati di esercitare i diritti dell’art. 13 della legge 675/1996 sui dati versati (si può conoscerne il loro contenuto, ma l’eventuale intervento per integrarli o correggerli non può portare che ad aggiungervi altra documentazione, senza alterare quella originaria; soprattutto il loro “blocco” è possibile solo nella rara ipotesi che “il loro trattamento comporti un concreto pericolo di lesione della dignità , della riservatezza o dell’identità personale degli interessati e i dati non siano di rilevante interesse pubblico” ).
Il problema si fa evidentemente ancora più serio per le limitatissime categorie di dati particolarmente tutelati (dati idonei a rivelare o stato di salute, la vita sessuale, o “rapporti riservati di tipo familiare” ), poiché per queste ultime categorie di dati occorre solo attendere il termine più ampio di 70 anni (termine peraltro riducibile su istanza, ai sensi del rinnovato art. 21 del d.P.R. 1409/1963), malgrado che qui possano venire in evidenza alcuni dei dati in assoluto più delicati (si pensi ai rapporti di filiazione adottiva o al rifiuto di riconoscere propri figli da parte di madri naturali, ma si pensi anche ai dati genetici o a vari dati delicatissimi che possono essere contenuti nei fascicoli dei processi penali). Eppure anche qui, salvi i limiti che potrebbero in futuro essere semmai determinati direttamente dal legislatore (ad esempio, per alcuni limitate categorie di dati contenuti nei registri dello stato civile), tutto diviene accessibile, con i soli limiti prima accennati in riferimento ai dati comuni. Può dirsi quindi che la tutela dei diritti degli interessati in questo particolare settore passa essenzialmente attraverso le prescrizioni che potranno essere introdotte dalle future disposizioni del codice di deontologia, chiamato a disciplinare una molteplicità di istituti, secondo quanto previsto nell’art.7.5 del decreto legislativo 281/1999.
In sintesi quindi può dirsi che non piccola parte della disciplina da applicare in questi settori particolari è affidata al contenuto del codice deontologico, a cominciare dalla determinazione di molte di quelle “garanzie appropriate” che la Direttiva europea esige a tutela dei soggetti i cui dati personali vengono così largamente utilizzati al di fuori delle ordinarie tutele.
3. I codici di deontologia previsti dalla legislazione italiana sono ormai tra loro alquanto differenziati, come vedremo, ma derivano tutti dalla previsione dell’art. 27 della Direttiva europea, che parla di “codici di condotta destinati a contribuire, in funzione delle specificità settoriali, alla corretta applicazione delle disposizioni nazionali di attuazione della presente direttiva” .
La legge 675/1999 disciplinava già due tipi di “codici di deontologia e di buona condotta” tra loro molto diversi: l’art. 31.1.h. prevede in generale la promozione di codici facoltativi da parte del Garante all’interno di categorie professionali o imprenditoriali, mentre l’art. 25, commi 2, 3, 4, della legge (per questa parte più volte modificata da alcuni dei decreti correttivi) prevede un codice relativo all’esercizio delle funzioni informative, obbligatoriamente da adottare da parte del Consiglio nazionale dell’Ordine dei giornalisti.
In questo secondo caso si è potuto parlare di una vera e propria nuova fonte normativa secondaria, anzitutto perché questo codice si applica a chiunque utilizzi dati personali nell’esercizio di una funzione di manifestazione del pensiero, ma poi anche perché la legge affida a questo codice il compito di specificare alcune fondamentali tutele dei dati nei diversi possibili contesti da specificare. Inoltre il Garante dispone di un vero e proprio potere di stimolo e di indirizzo, sanzionato anche da un suo possibile intervento sostitutivo in caso di mancata adozione del codice. Si prevede anche che il testo del codice approvato dal Garante venga pubblicato sulla Gazzetta Ufficiale e divenga efficace quindici giorni dopo tale pubblicazione.
Molto diversi, invece, gli altri codici, anzitutto perché sono solo facoltativi e vincolano i soli appartenenti alle categorie (se adottati da Ordini o collegi professionali) o gli aderenti agli organismi associativi che li adottano; in secondo luogo, hanno una funzione meramente aggiuntiva alle prescrizioni di legge. A sua volta, il Garante sembra avere solo una serie di funzioni di stimolo ed agevolazione ad un procedimento che resta tutto interno al rapporto fra la categoria professionale o imprenditoriale e i soggetti i cui dati personali possono essere trattati in quell’ambito: al di là dello stimolo iniziale, il problema forse più complesso è di valutare la rappresentatività dei diversi soggetti interessati al fine di garantire un corretto procedimento di formazione del codice (o dei codici); già meno complessa è la verifica della conformità del codice alla legge ed ai regolamenti, previamente raccogliendo anche le osservazioni di altri soggetti sociali interessati, e l’azione per pubblicizzarlo in modo adeguato, una volta approvato. Sembra evidente che l’efficacia di questi codici facoltativi resta a livello disciplinare (ove poteri del genere esistano nella categoria interessata) o può contribuire a livello giurisdizionale solo a definire il corretto espletamento della relativa funzione professionale o imprenditoriale (e solo per coloro che facciano parte degli organismi sottoscrittori).
Ancora diversi, come abbiamo prima visto, sono i codici previsti dai recenti decreti delegati: l’art. 17.3 del decreto 135/1999, modificato dall’art. 3 del decreto 282/1999, prevede uno o più codici di deontologia e buona condotta per gli esercenti le professioni sanitarie e gli organismi sanitari estranei al S.S.N., che devono articolare tutta la disciplina definita solo nelle linee generali dalla legislazione e la cui accettazione “è condizione essenziale per il trattamento dei dati da parte degli incaricati del trattamento” ; l’art. 6 del decreto 281/1999 prevede che soggetti pubblici e privati operanti nei settori della ricerca storica, scientifica e statistica debbano adottare appositi codici di deontologia e buona condotta, il rispetto delle cui disposizioni “costituisce condizione essenziale per la liceità del trattamento dei dati” : si cita il procedimento generale di cui all’art. 31.1.h. della legge, ma in realtà si prevede anche che il Garante debba promuoverli entro sei mesi dall’entrata in vigore del decreto legislativo e che questi codici, una volta approvati, debbano essere pubblicati sulla Gazzetta ufficiale. E prima abbiamo visto quali e quanti vantaggi si possono conseguire solo se si applicano le norme dei diversi codici (ed in realtà si tratta, al di là di alcuni elementi comuni, di codici diversi: quello per i trattamenti a scopi storici, quelli per trattamenti per scopi statistici e quelli per ricerche scientifiche, quelli per ricerche mediche ed epidemiologiche).
Sembra abbastanza chiaro che l’insieme delle tipicità procedimentali e contenutistiche di questi testi normativi li porta fra le speciali fonti normative pubbliche di livello secondario. Tutto ciò aumenta notevolmente l’importanza delle scelte che verranno adottate dalle categorie interessate, sotto lo stimolo dei soggetti sociali coinvolti ed il ruolo del Garante di stimolo e di verifica di coerenza con il sistema normativo sulla protezione dei dati personali.
Proprio per questo motivo, mentre non posso assolutamente entrare nel merito delle scelte che gli organismi rappresentativi delle categorie interessate dovranno autonomamente assumere, mi permetto solo di segnalare alcuni problemi di metodo e di procedura nell’elaborazione del codice, nonché alcuni contenuti che dovranno necessariamente essere trattati.
Anzitutto il decreto legislativo parla di un “codice di deontologia e di buona condotta per i trattamenti a scopi storici effettuati da archivisti e utenti” e cioè di un codice unico, frutto dell’intesa fra la categoria professionale degli archivisti e soggetti rappresentativi del diversificato universo degli utenti degli archivi. Questa scelta sembra corrispondere alla impossibilità di trattare separatamente i due versanti, pur nella consapevolezza che alcune disposizioni riguarderanno solo gli archivisti o solo gli utenti. Tra l’altro, una scelta del genere può aiutare ad evitare il rischio di trasformare questi codici, che devono riguardare il solo trattamento dei dati personali, in generali codici di deontologia di una professione.
Certo che questa scelta accentua naturalmente la difficoltà di individuare soggetti dotati di idonea rappresentatività , che il Garante deve verificare nel procedimento di formazione del codice: non solo, infatti, non esistono in questo settore soggetti associativi di tipo pubblico, ma mentre può essere relativamente facile individuare soggetti rappresentativi degli archivisti (pubblici e privati), sembra più complesso individuare tutto ciò sul versante degli utenti degli archivi. Peraltro la soluzione può essere individuata nel riferimento, contenuto nel primo comma dell’art.6 del decreto legislativo 281/1999, alle società scientifiche, oltre che alle associazioni professionali: ciò che quindi basta è la partecipazione di soggetti collettivi qualificati anche solo dal punto di vista scientifico, senza la necessità di una rappresentatività di tipo sindacale. D’altra parte, è prevista nel procedimento di formazione dei codici anche una fase opportuna di raccolta di opinioni sulle bozze dei codici presso i “soggetti interessati” dall’applicazione dello stesso: questa sede potrà essere anche un’occasione anche per verificare la rappresentatività sostanziale dei vari soggetti che hanno preso parte al procedimento di formazione della bozza.
Parzialmente connesso alla natura dei soggetti che prenderanno parte al procedimento di formazione del codice è il problema delle conseguenze delle deroghe alle disposizioni del codice, una volta entrato in vigore, poiché da più parti si obietta che molti organismi rappresentativi non dispongono, nè vogliono disporre, di poteri disciplinari sui propri aderenti. In realtà le fondamentali sanzioni per violazioni del codice consistono nelle sanzioni civili, amministrative ed anche penali contenute nella legge 675/1996, dal momento che il secondo comma dell’art. 6 del decreto legislativo 281/1999 è del tutto esplicito nell’affermare che il mancato rispetto delle disposizioni del codice comporta l’illiceità del trattamento dei dati. Solo in aggiunta a queste sanzioni potranno ipotizzarsi altre sanzioni di tipo disciplinare o all’interno di apparati amministrativi i cui componenti sono tenuti al rispetto del codice, o nell’ambito di servizi pubblici od aperti al pubblico, o anche nell’ambito di forme associative private che prevedano obblighi del genere.
Alcune sintetiche e finali osservazioni sui contenuti necessari del codice. Il quinto comma dell’art.7 del decreto legislativo 281/1999 alla lettera b prescrive alcune misure minime di garanzia per gli interessati, ai cui dati particolarmente sensibili si sia potuti accedere: qui occorrerà sforzarsi seriamente per individuare forme efficaci di “adeguate garanzie”, anche andando al di là della sola fase della diffusione dei dati personali.
La lettera a accenna, invece, a due diversi temi: la non discriminazione fra gli utenti (tema che caratterizza opportunamente anche il nuovo secondo comma dell’art. 21 del d.P.R. 1409/1963) e i possibili limiti nella fase della diffusione. Sul primo punto, mi permetto solo di auspicare che le necessarie disposizioni del codice relative alle varie categorie di utenti siano quanto più precise ed oggettive, in modo da ridurre criteri valutativi eccessivamente discrezionali. Analogamente potrebbe dirsi per disposizioni che vogliano specificare quanto determinato dal secondo comma dell’art. 7 del decreto legislativo 281/1999: mi sembra, infatti, estremamente difficile ed anche pericoloso sindacare, salvo casi limite, la pertinenza e la indispensabilità dell’utilizzazione o della diffusione di dati personali per il perseguimento di finalità di ricerca. Sul secondo punto, molto opportuno mi sembra il riferimento alla disciplina relativa all’attività giornalistica ed ai suoi limiti (non a caso, nel terzo comma dell’art. 7 del decreto legislativo si ripete testualmente quanto introdotto nel primo comma dell’art. 25 della legge 675/1996 dall’art.12 del decreto legislativo 171/1998), in particolare perché il codice deontologico dei giornalisti già contiene disposizioni che ben bilanciano le esigenze della cronaca con quelle della tutela della riservatezza e che quindi possono essere largamente utilizzate.
La lettera c introduce il riferimento all’estensione della disciplina anche agli archivi privati, in attuazione della innovazione sostanziale introdotta in modo un po’ improvviso dall’art. 9 dello stesso decreto delegato 281/1999: qui sarà interessante verificare come il codice riuscirà a bilanciare l’esigenza dei ricercatori di accedere anche a questi archivi con la loro perdurante privatezza.