di Marco Marandola

Il Parlamento ha di recente approvato la legge n. 675 del 31 dicembre 1996: Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali. La legge, che recepisce la direttiva europea 95/46/CE del 24 ottobre 1995, stabilisce una serie di vincoli, adempimenti e sanzioni relativamente al trattamento dei dati personali.

Vedremo che il Legislatore ha inteso proteggere in senso molto ampio il trattamento dei dati personali, al fine di tutelare la riservatezza delle persone fisiche, ma anche di persone giuridiche, enti o associazioni, e ha previsto alcuni obblighi accompagnati da sanzioni anche penali per tutti coloro che trattano dati personali.

La "previsione" della legge riguarda anche le attività delle biblioteche, nella parte in cui, ad esempio, abbiano presso di sé elenchi di soci, o raccolgano dati personali di utenti che al momento di essere ammessi al servizio della biblioteca abbiano compilato dei moduli conservati nell'archivio della biblioteca stessa.

Nella definizione dell'art. 1 secondo comma viene intesa come «dato personale» qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione. Escluso, invece, dalle ipotesi regolate dalla legge, (ad eccezione delle disposizioni degli artt. 15, 18 e 36) il trattamento di dati personali effettuato da persone fisiche per fini esclusivamente personali.

La legge definisce, inoltre, come «titolare» (ovviamente del dato personale) chiunque, sia esso persona fisica, persona giuridica, pubblica amministrazione, o qualsiasi altro ente, associazione e organismo, sia competente a decidere sulle finalità e sulle modalità del trattamento degli stessi dati personali. Il titolare che intenda procedere alla raccolta, registrazione, conservazione o altre operazioni sui dati personali, è tenuto a comunicare al «Garante per la tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali» con lettera raccomandata, o con altro mezzo idoneo a certificare la ricezione (art. 7).

La comunicazione deve contenere una serie di elementi che rispettino il 4° comma dell'art. 7.

Il trattamento di dati personali da parte di soggetti pubblici, esclusi gli enti pubblici economici, è consentito solo per lo svolgimento delle funzioni istituzionali, nei limiti della legge e dei regolamenti. La eventuale comunicazione e diffusione al pubblico di tali dati è consentita solo se previsto dalla legge e/o regolamento, o risulti necessario per lo svolgimento delle funzioni istituzionali. In tal caso deve essere data comunicazione al Garante, in base all'art. 7, che può anche vietare tale comunicazione o diffusione (art. 27).

Deve, inoltre, essere nominato dal titolare un responsabile per il trattamento dei dati personali. Tale responsabile deve essere scelto tra soggetti che, per esperienza, capacità ed affidabilità, forniscano garanzie in merito al rispetto delle disposizioni vigenti dall'8 maggio 1997 (data dell'entrata in vigore della l. 675) sul trattamento dei dati personali e sulle misure di sicurezza previste; il responsabile, inoltre, procede al trattamento dei dati secondo le disposizioni impartite dal titolare.

Il titolare e il responsabile hanno l'obbligo di custodire e controllare i dati in modo da ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato, trattamento non consentito o non conforme alle finalità della raccolta.

Le misure minime da adottare in via preventiva saranno identificate con un decreto emanato dal Presidente della Repubblica.

I dati personali oggetto di trattamento devono comunque essere:

1) trattati in modo lecito e secondo correttezza;
2) raccolti e registrati per scopi determinati, espliciti e legittimi;
3) esatti e se necessario aggiornati;
4) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati;
5) conservati in modo tale da consentire l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario (art. 9). L'interessato deve prestare il proprio consenso scritto al trattamento dei propri dati personali (art. 17). Tuttavia, tale consenso scritto non è richiesto se il trattamento è effettuato da soggetti diversi dai privati o da enti pubblici economici (art. 15) e negli altri casi stabiliti dall'art. 12.

La legge prevede, comunque, l'obbligo di informare per iscritto l'interessato o la persona presso la quale sono raccolti i dati personali circa:

1) le finalità e le modalità del trattamento cui sono destinati i dati;
2) la natura obbligatoria o facoltativa del conferimento dei dati;
3) le conseguenze di un eventuale rifiuto di rispondere;
4) i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati e l'ambito di diffusione dei dati medesimi;
5) i diritti di cui all'art. 13;
6) il nome, la denominazione o la ragione sociale e il domicilio, la residenza o la sede del titolare e, se indicato, del responsabile (art. 10, 1° comma).

Sono vietate, in base all'art. 21, la comunicazione e la diffusione dei dati personali per finalità diverse da quelle indicate nella notificazione al Garante in base all'art. 7. Tuttavia, tali attività sono permesse se sono necessarie per finalità di ricerca scientifica, o di statistica, e se si tratta di dati anonimi, o se richiesto per finalità di difesa o sicurezza dello Stato o di prevenzione, accertamento o prevenzione di reati.

È prevista, inoltre, una particolare disciplina per i dati personali idonei a rivelare l'origine razziale o etnica, le convinzioni religiose, filosofiche o di ogni altro genere, l'opinione politica, l'adesione a partiti, sindacati, associazioni o organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati idonei a rivelare lo stato di salute e la vita sessuale; tali dati possono essere oggetto di trattamento solo con il consenso scritto dell'interessato e previa autorizzazione del Garante. Queste alcune delle previsioni della legge n. 675 del 31 dicembre 1996.

La normativa prevede, insomma, limiti pesanti alla raccolta e al trattamento di dati personali che non siano già accessibili al pubblico. Per quanto riguarda le biblioteche va sottolineata la necessità di adottare particolare cautela e di predisporre tutte le misure richieste dalla legge per la raccolta, gestione e sicurezza dei dati protetti.

In particolare, ad esempio, una serie di previsioni del regolamento recante norme per le biblioteche pubbliche statali, possono ricadere nella normativa ora esposta (vorrei inoltre sempre ricordare la necessità di interpretare alcune disposizioni del regolamento alla luce della legislazione del diritto d'autore, poiché vi sono effettivi problemi nell'applicazione pratica, e pesanti sanzioni per chi violi tali disposizioni).

Va ricordato, inoltre, che la legge è entrata in vigore lo scorso 8 maggio 1997 (120 giorni dalla pubblicazione, avvenuta il giorno 8 gennaio 1997) e per il trattamento di dati personali svolto senza l'ausilio di mezzi elettronici o comunque automatizzati (ad eccezione delle previsioni degli artt. 22 e 24) dal 1° gennaio 1998.