Agatif | Alessandro Dario Cortesi
AGATIF propone lo scambio di esperienze professionali, anche nel quadro del diritto comunitario, la comparazione del diritto amministrativo e del diritto processuale amministrativo nei Paesi europei.
Agatif, giudici amministrativi italiani, tar lombardia, tar lazio, diritto amministrativo, avvocati amministrativi italiani, giudici amministrativi francesi, giudici amministrativi tedeschi, giurisprudenza, convegni diritto amministrativo
216
archive,tag,tag-alessandro-dario-cortesi,tag-216,ajax_fade,page_not_loaded,,select-theme-ver-3.1,wpb-js-composer js-comp-ver-4.11.2.1,vc_responsive

Alessandro Dario Cortesi Tag

2 gennaio 2019 In Senza categoria

Relazione italiana del prof. avv. Alessandro Dario Cortesi – Menaggio – 14/9/2012

IL SINDACATO DEL POTERE AMMINISTRATIVO IN MATERIA AMBIENTALE

1.- Discrezionalità – Discrezionalità tecnica

Premetto alcune definizioni per rendere più comprensibili i ragionamenti che seguiranno.
Alcuni ideali del positivismo (che hanno trovato la massima diffusione in occasione dell’entrata in vigore del codice napoleonico) sono oggi riconosciuti come tali (delle finalità irraggiungibili, ma a cui comunque tendere): nessuno ritiene di poter scrivere più un codice o un corpo di leggi del tutto completo, immutabile, cristallizzato, non integrabile ab externo; nessuno pensa più che il giudice possa essere semplicemente la bocca della legge.
Qualsiasi testo normativo necessiterà, dunque, per trovare concreta applicazione, di un’attività interpretativa. Anche nelle ipotesi in cui il legislatore abbia conferito all’amministrazione un potere “vincolato”, anche laddove l’an, il quando, il quomodo e il quid siano stati definiti puntualmente dalla legge, all’amministrazione prima ed al giudice dopo residueranno dei problemi da risolvere.
Si pensi ai poteri vincolati per eccellenza: alla materia delle sanzioni amministrative. L’automobile che presenta solo una ruota sul marciapiede è in divieto di sosta? L’articolo del codice della strada che se ne occupa (V. artt. 6 e 7 del codice della strada, D.lgs. 30 aprile 1992, n. 285) richiede un’interpretazione da parte del vigile, ma non per questo si potrà dire che il legislatore abbia conferito alla polizia locale un potere discrezionale.

La discrezionalità pura attiene, viceversa, al conferimento da parte del legislatore all’amministrazione di un potere di ponderare e soppesare gli interessi in gioco al fine di individuare e perseguire l’interesse pubblico primario.

Non è, tuttavia, sempre semplice nell’ordinamento italiano distinguere il potere vincolato dal potere discrezionale perché difficilmente il legislatore lascia piena libertà all’amministrazione di determinarsi circa qualsiasi aspetto dell’esercizio del potere conferitole e ancor più di rado prevede che siano emanati provvedimenti strettamente vincolati.
Inoltre nel corso del procedimento il potere, attribuito come discrezionale, può divenire in concreto vincolato in ragione di auto-vincoli che la stessa amministrazione si sia data.

Ciò che conta perché si possa parlare di vera discrezionalità è che il legislatore abbia lasciato all’amministrazione il compito di soppesare gli interessi in gioco. Secondo una nota formula dottrinale, l’amministrazione dovrà in tal caso adottare, fra le tante possibili, la scelta che contemporaneamente enfatizzi l’interesse pubblico da perseguire dalla norma attributiva di potere e sacrifichi il meno possibile gli interessi privati dei cittadini coinvolti.
Ebbene, qualora residuino più scelte, che garantiscano il medesimo grado di soddisfazione dell’interesse pubblico e sacrifichino in ugual misura (minima) diversi interessi privati, le scelte effettuate saranno tutte legittime e l’amministrazione dovrà effettuare la scelta sulla scorta di altre considerazioni.
Sulla base della distinzione tra potere discrezionale e potere vincolato possiamo affrontare il tema delle valutazioni tecniche complesse.

Ai sensi del codice dei beni culturali e del paesaggio, D. lgs. 22 gennaio 2004 n. 42, art. 136, comma 1, lett. b), l’amministrazione deve apporre un vincolo su ville, giardini e parchi “che si distinguono per la loro non comune bellezza”.
Una volta qualificato un giardino come caratterizzato da bellezza non comune, non residua all’amministrazione alcuna diversa scelta: esso va sottoposto a vincolo con tutte le conseguenze che ne derivano (anche in pregiudizio del proprietario).
Ma la decisione se un parco o un giardino sia o meno bello non richiede un semplice accertamento (come potrebbe essere la verifica dell’altezza di un edificio) bensì una valutazione complessa, ovvero una scelta da adottarsi sulla base di regole o criteri tecnico-scientifici in mancanza di consenso universale della comunità scientifica di riferimento (sui criteri da applicarsi o sulle conseguenze che derivano dall’applicazione degli stessi).

Sebbene il potere conferito all’amministrazione sia quindi rigorosamente vincolato, all’amministrazione residuano importanti margini di scelta: se seleziona i fatti considerati rilevanti, e applica i criteri dettati da una determinata scuola di pensiero, giunge a determinate conclusioni, mentre se rivolge la propria attenzione al pensiero di altra scuola di pensiero, giunge a conclusioni nettamente opposte.
E in materia ambientale esistono indirizzi molto sfaccettati. Per i fautori del deep ecology movement, ad es., una palude non deve essere bonificata, ma preservata in quanto tale, poiché si deve ragionare in termini di egualitarismo biosferico, non in chiave antropocentrica.

La legislazione ambientale italiana pone il giurista spesso di fronte a dilemmi del genere e ciò, altrettanto spesso, perché la comunità scientifica non è (ancora) giunta su molti temi ad approdi definitivi (o quantomeno non è riuscita ad elaborare paradigmi sufficientemente condivisi).

Il dubbio che ci accompagnerà fino alla fine della relazione (e temo anche dopo) è se, ed entro che limiti, il giudice amministrativo possa sostituirsi alla pubblica amministrazione in ipotesi di esercizio di discrezionalità tecnica.

* * * * *
2.- Esiste un diritto dell’ambiente o si tratta di un coacervo di interessi degni di protezione?

Il dubbio sull’esistenza di un vero e proprio diritto dell’ambiente penso possa ritenersi oggi superato.
Il Consiglio di Stato italiano è stato un precursore. Già con sentenza della sez. V, 9 marzo 1973, n. 253 ha riconosciuto la legittimazione a ricorrere ad un’associazione ambientale.
In termini di “diritto alla salubrità dell’ambiente” già si sono espresse le Sezioni Unite della Corte di Cassazione nella sentenza 6 ottobre 1979, n. 5172, di qualche mese successiva alla sentenza della Corte di Giustizia delle Comunità Europee, 20 febbraio 1979 in causa C-120/78, Cassis De Dijon.
Con la sentenza “Oli usati” 7 febbraio 1985 in causa 240/83 la Corte di Giustizia ha affermato che la tutela ambientale “costituisce uno degli scopi essenziali della Comunità”.
Nel 1987 con la sent. 28 maggio 1987, n. 210 la Corte Costituzionale ha posto le basi per riconoscere l’ambiente come valore costituzionale.

Come spesso accade, la protezione degli interessi, emersa in prima battuta in sede giudiziale – dottrinale, ha trovato poi un formale “recepimento” da parte delle istanze politiche.
Il che si è concretizzato nel rapporto Brundtland del 1987, in cui è emersa la formula di successo di “sviluppo sostenibile”; a Rio de Janeiro 1992, con l’adozione della dichiarazione sull’ambiente e lo sviluppo ed il programma Agenda 21 (ove sono espressi i principi di precauzione e di chi inquina paga), nonché a Kyoto nel 1997, con l’adozione del protocollo che ha riconosciuto la necessità di politiche attive fissando l’obiettivo della riduzione media dei gas inquinanti del 5,2% in meno rispetto alla soglia del 1990 entro il 2012 (dell’8% per l’Unione Europea).
Anche le fonti comunitarie hanno registrato un imponente sviluppo: per citare solo alcuni passaggi chiave, dalla direttiva 85/337 sulla valutazione di impatto ambientale, emanata allorquando si dubitava dell’inerenza della materia alla disciplina comunitaria, si è giunti all’Atto unico europeo del 1986, all’Accordo di Maastricht del 1992 (passaggio dal principio dell’unanimità a quello di cooperazione per le misure ambientali), fino al Trattato di Amsterdam del 1997 (inserimento dello sviluppo equilibrato e sostenibile all’art. 2 del Trattato CE e passaggio alla procedura della codecisione).

Né sono mancati momenti di stallo. Nel 2009 ci si attendeva dalla Conferenza di Copenaghen una riflessione importante sui risultati ottenuti post-Kyoto ed un rilancio degli obiettivi di riduzione degli inquinanti, ma non è stato possibile e così pure nella conferenza successiva di Cancun nel dicembre 2010. Nella successiva, tenutasi a Durban nel 2011 gli Stati si sono solo impegnati a valutare un possibile nuovo accordo globale (c.d. Kyoto2) entro il 2015, che diverrà efficace a partire dal 2020.
Fortunatamente l’Europa ha dato il buon esempio adottando in tema di clima ed energia gli obiettivi 20-20-20: entro il 2020 20% di riduzione delle emissioni di gas serra nell’Unione Europea; 20% dei consumi energetici nell’Unione Europea che provengano da fonti rinnovabili; 20% di riduzione nell’uso di energia primaria rispetto alle proiezioni, da raggiungere con un miglioramento dell’efficienza energetica.
* * * * *
3.- Tratti caratteristici del diritto dell’ambiente

Al diritto dell’ambiente occorre a mio avviso riconoscere piena autonomia scientifica.
La tutela dell’ambiente, infatti, non può essere intesa secondo canoni tradizionali, ma richiede l’elaborazione di categorie sue proprie.
Cerchiamo di analizzare alcune peculiarità:
1) l’interesse ad un ambiente salubre; al mantenimento di un equilibrio fra lo sfruttamento del suolo, della flora e della fauna, e la preservazione delle risorse per le generazioni future (in altre parole l’interesse alla sostenibilità dello sviluppo) è un interesse diffuso, di cui è titolare ciascun essere umano;
2) vista l’invasività della tecnologia moderna e il fenomeno del c.d. forum shopping la tutela dell’ambiente deve essere necessariamente globale: gli interventi imprudenti dell’uomo sull’ecosistema generano ricadute a migliaia di chilometri di distanza (pensiamo all’effetto serra o allo scoppio di una centrale nucleare);
3) di norma assegnare protezione ad un interesse, elevandolo al rango di diritto assoluto, significa costituire un dovere di astensione in capo ad altri soggetti, come accade per la proprietà. Nel caso del diritto dell’ambiente spesso l’affermazione di un interesse ambientale comporta qualcosa in più: preclude la soddisfazione di altri interessi antagonisti;
4) alcuni autori, riferendosi all’ambiente salubre e all’equilibrio dell’ecosistema preferiscono non parlare di diritti, ma, secondo una lettura di carattere economico, di beni che non ammettono uso esclusivo e che non si prestano ad una diversa fruizione. Altri ancora utilizzano la categoria dei c.d. commons, che permettono un impiego concorrente, ma comunque non attribuiscono diritti soggettivi. Non si tratta di un dettaglio, ma di uno degli aspetti più rilevanti di questo ramo del diritto (assieme, per chi lo ritiene necessario, al superamento della visione antropocentrica);
5) I guadagni derivanti dalle attività inquinanti sono private e locali, mentre le negatività che generano ricadono su altri, se non addirittura indistintamente sulla collettività e rappresentano rilevanti ostacoli al raggiungimento dell’equilibrio con le sole leve del libero mercato, imponendo l’intervento pubblico. Rappresentano cioè delle esternalità;
6) le conoscenze scientifiche e la tecnologia si evolvono così rapidamente che anche i meccanismi di tutela dell’ambiente debbono reggere il passo: sono soggetti a rapida (e crescente) obsolescenza (si pensi alla telefonia cellulare, agli organismi geneticamente modificati). Il diritto dell’ambiente appare sempre un cantiere aperto;
7) in materia ambientale spesso si devono affrontare rischi di cui non sono note – per la persistente incapacità della scienza a fornire risposte – né le cause, né gli effetti, soprattutto di lungo periodo. Alcuni eventi (es. scioglimento dei ghiacciai) sono in parte naturali, in parte dipendenti dall’attività dell’uomo, ma non si sa in che misura. Alcuni eventi, non manifestatisi in precedenza, potrebbero non essere nemmeno dannosi.
* * * * *
4.- Il codice dell’ambiente. Gli adattamenti del procedimento amministrativo quando è coinvolto un interesse ambientale.

Oggi le comunità hanno ormai acquisito consapevolezza dell’importanza degli interessi ambientali, per cui il legislatore non conferisce alla pubblica amministrazione un potere totalmente discrezionale, essendo l’interesse ambientale considerato non dominante, ma tendenzialmente prevalente, rispetto ad altri interessi; in molti casi sono necessarie valutazioni tecniche complesse, per le quali alla risoluzione di problemi giuridici si associa l’applicazione di regole tratte da altre scienze.

Esaminando in concreto le direttive impartite dal legislatore italiano alla pubblica amministrazione bisogna rammentare le indicazioni di massima contenute nel D.Lgs. 3.4.2006, n. 152 (c.d. codice dell’ambiente).

Si veda in particolare l’art. 3-quater secondo cui:
“1. Ogni attività umana giuridicamente rilevante ai sensi del presente codice deve conformarsi al principio dello sviluppo sostenibile, al fine di garantire che il soddisfacimento dei bisogni delle generazioni attuali non possa compromettere la qualità della vita e le possibilità delle generazioni future.
2. Anche l’attività della pubblica amministrazione deve essere finalizzata a consentire la migliore attuazione possibile del principio dello sviluppo sostenibile, per cui nell’ambito della scelta comparativa di interessi pubblici e privati connotata da discrezionalità gli interessi alla tutela dell’ambiente e del patrimonio culturale devono essere oggetto di prioritaria considerazione.
3. Data la complessità delle relazioni e delle interferenze tra natura e attività umane, il principio dello sviluppo sostenibile deve consentire di individuare un equilibrato rapporto, nell’ambito delle risorse ereditate, tra quelle da risparmiare e quelle da trasmettere, affinché nell’ambito delle dinamiche della produzione e del consumo si inserisca altresì il principio di solidarietà per salvaguardare e per migliorare la qualità dell’ambiente anche futuro.
4. La risoluzione delle questioni che involgono aspetti ambientali deve essere cercata e trovata nella prospettiva di garanzia dello sviluppo sostenibile, in modo da salvaguardare il corretto funzionamento e l’evoluzione degli ecosistemi naturali dalle modificazioni negative che possono essere prodotte dalle attività umane”.

Secondariamente bisogna notare che la presenza di un interesse ambientale autorizza parziali modifiche al procedimento amministrativo:
• le pubbliche amministrazioni devono rendere pubbliche le informazioni di carattere ambientale, diffondendo dati che permettano di conoscere lo stato effettivo dell’ecosistema;
• per la richiesta di copia dei documenti amministrativi i cittadini non devono dimostrare di avere un particolare interesse.
• quanto alla partecipazione al procedimento, sono ammesse alla presentazione di memorie, di cui l’amministrazione deve tenere conto, non solo le associazioni ambientali, come definite dalla legge, ma chiunque (cfr. gli artt. 6, 7 e 8 della Convenzione di Aarhus e la direttiva 2003/35/CE);
• quanto ai pareri, richiesti entro il termine di 20 giorni dall’amministrazione procedente, si può ordinariamente prescinderne in caso di ritardo, ma non quando si tratti di un interesse ambientale (analogamente per le valutazioni tecniche);
• con riferimento alle conferenze indette dall’Amministrazione, il motivato dissenso di quella preposta alla cura di un interesse ambientale è superabile solo con deliberazione del Consiglio dei Ministri.

I procedimenti che coinvolgono interessi ambientali sono caratterizzati da alta complessità, orizzontale e verticale, prima di tutto organizzativa, concorrendo spesso più amministrazioni al perseguimento degli interessi ambientali. Si occupano indirettamente di ambiente anche le amministrazioni preposte alla pianificazione urbanistica, all’uso del territorio, alla tutela del paesaggio, della salute pubblica, dell’acqua, dell’energia.

Non è un caso se l’art. 3-ter del D.Lgs. 152/2006 dispone che “La tutela dell’ambiente e degli ecosistemi naturali e del patrimonio culturale deve essere garantita da tutti gli enti pubblici e privati e dalle persone fisiche e giuridiche pubbliche o private, mediante una adeguata azione che sia informata ai principi della precauzione, dell’azione preventiva, della correzione, in via prioritaria alla fonte, dei danni causati all’ambiente, nonché al principio «chi inquina paga» che, ai sensi dell’articolo 174, comma 2, del Trattato delle unioni europee, regolano la politica della comunità in materia ambientale”.

Quindi, riassumendo, diverse e concorrenti fonti (internazionali, comunitarie, nazionali e locali) sono interpretate da più amministrazioni, dalle attribuzioni spesso in parte sovrapponibili, con la collaborazione dei cittadini, per esercitare la funzione nel caso concreto, in seno a procedimenti almeno in parte speciali. Ovviamente in queste condizioni è difficile ricondurre la decisione finale ad una sola amministrazione. Appaiono più plausibili letture diverse, come qualla dottrinale della c.d. “coalizione decisionale”.

Il quadro si completa, poi, con un’ampia legittimazione delle associazioni (anche internazionali, anche solo locali) al ricorso davanti ai Tribunali (v. Convenzione di Aarhus del 25 giugno 1998; direttiva 2003/35/CE, che modifica le direttive 85/337/CEE e 96/61/CE; nonché Corte di Giustizia, sez. II, 15 ottobre 2009, n. 263, in causa C-263/08; cfr. sul punto la sentenzxa della Corte di Giustizia, sez. IV, 12 maggio 2011, in causa C-115/09 – Bund fur Umwelt und Naturschutz Deutschland, il che testimonia le difficoltà del processo tedesco, caratterizzato da un’impostazione soggettivistica ad adattarsi alla materia ambientale.

* * * * *
5.- Il sindacato

Debbo ora rispondere all’interrogativo circa i potere riconosciuto ai Tribunali sull’esercizio della discrezionalità tecnica da parte dell’amministrazione.
La discrezionalità, anche quella tecnica, secondo un risalente insegnamento della dottrina italiana tuttora tramandato dalla giurisprudenza, rappresenterebbe un limite alla cognizione da parte del giudice. Ciò in quanto negli ordinamenti democratici è vigente il principio della separazione dei poteri (che trova, fra le altre, le proprie radici nell’opera De l’esprit des lois, di CHARLES DE SECONDAT, BARONE DE LA BRÈDE ET DE MONTESQUIEU).

Tali affermazioni richiedono peraltro un approfondimento.
La separazione dei poteri è una conquista del costituzionalismo che deve essere salvaguardata. Ma non è la separazione in quanto tale a rappresentare una garanzia per i cittadini, quanto la dottrina della rule of law, dei c.d. checks and balances: ogni potere è infatti espressamente chiamato a controllare gli altri e nessuno è esente dall’applicazione della legge (legibus solutus).

Il problema si pone, a mio avviso, in altri termini.
Di fronte alla discrezionalità, che si esercita attraverso la graduazione di diversi interessi pubblici e privati per il perseguimento di quello affidato all’Amministrazione procedente, le scelte effettuate dall’amministrazione non possono essere sostituite da quelle del giudice.
Pensiamo alla scelta di pianificazione urbanistica di rendere edificabile un terreno agricolo. Verificato che tale scelta si è sviluppata entro i confini di un giusto procedimento, il giudice non può adottare la scelta opposta.
Nè avrebbe senso preferire la valutazione del giudice a quella dell’amministrazione, essendo questa espressione del principio di rappresentatività (ed anche per salvaguardare l’indipendenza della magistratura).

Analoghe considerazioni sembrerebbero valere per la discrezionalità tecnica e sono tuttora attuali nella giurisprudenza del Consiglio di Stato e di numerosi Tribunali amministrativi.
Anche in pronunce assai recenti il Consiglio di Stato ha precisato che il giudizio tecnico-discrezionale “non è sindacabile nel merito, se non per macroscopico travisamento dei fatti e per illogicità nei presupposti o nelle considerazioni conclusive”.
Si tratta di un controllo ab extrinseco, che analizza il procedimento seguito dall’amministrazione e valuta se sussistano vizi nel processo formativo della volontà, ma non scende a controllare la congruità della scelta tecnica adottata.

Pensiamo per un momento alla scelta sull’incommerciabilità della costata fiorentina per il pericolo di diffusione del morbo della mucca pazza. L’amministrazione aveva allora adottato una scelta precauzionale, in funzione di una motivazione scientifica e per il principio di precauzione (better safe than sorry). Il giudice, qualora avesse ritenuto infondata detta motivazione, accogliendo le tesi di alcuni scienziati secondo i quali il rischio di contagio era insussistente, lo avrebbe fatto non per ragioni giuridiche, ma per un proprio giudizio di maggiore attendibilità di quest’ultima opinione. E alcuni autori e parte rilevante della giurisprudenza non ritengono che possa spingersi a tanto.

Non si tratta tuttavia di una posizione univoca; altra parte della giurisprudenza sembra, infatti, propensa ad un controllo funditus della scelta effettuata dall’Amministrazione.

Secondo il T.A.R. Puglia Lecce Sez. II, 1 giugno 2012, n. 991 “la scelta tecnica è controllabile dal Giudice Amministrativo anche attraverso la verifica dell’attendibilità delle operazioni tecniche sotto il profilo della loro correttezza quanto al criterio adoperato ed al procedimento applicativo”; secondo il T.A.R. Lazio Latina Sez. I, 2 marzo 2012, n. 180 “In riferimento alla procedura di valutazione per la selezione di docenti universitari le valutazioni della Commissione costituiscono espressione dell’esercizio della c.d. discrezionalità tecnica, o meglio costituiscono valutazioni tecniche. Si tratta di valutazioni pienamente controllabili dal giudice amministrativo, sia sotto il profilo della ragionevolezza, adeguatezza e proporzionalità che sotto l’aspetto più strettamente tecnico. Infatti, tramontata l’equazione discrezionalità tecnica-merito insindacabile, il sindacato giurisdizionale sugli apprezzamenti tecnici della p.a. può oggi svolgersi in base non al mero controllo formale ed estrinseco dell’iter logico seguito dall’autorità amministrativa, bensì alla verifica diretta dell’attendibilità delle operazioni tecniche sotto il profilo della loro correttezza quanto a criterio tecnico e a procedimento applicativo”.
In questo senso anche Cons. Stato Sez. IV, 14 febbraio 2012, n. 707: “La discrezionalità tecnica della p.a., o meglio l’insieme delle valutazioni tecniche che la costituiscono, è pienamente valutabile dal giudice amministrativo, sia sotto il profilo della ragionevolezza, adeguatezza e proporzionalità che sotto l’aspetto più strettamente tecnico, ben essendo consentito un sindacato non limitato al mero controllo formale ed estrinseco dell’iter logico seguito dall’Autorità amministrativa, ma mirante alla verifica diretta dell’attendibilità delle operazioni tecniche sotto il profilo della loro correttezza quanto a criterio tecnico e a procedimento applicativo (Conferma della sentenza del T.a.r. Lazio, sez. I, 19 aprile 2010, n. 7452).
Come si vede la giurisprudenza italiana è oggi divisa e non è ancora chiaro quale sarà l’indirizzo che prevarrà.

La soluzione che appare oggi ancora minoritaria potrebbe, peraltro, prevalere. Analizzando le sentenze della Corte di giustizia e del Tribunale di I grado dell’Unione Europea, quando esaminano atti nazionali in grado di vulnerare il diritto comunitario, si apprezza immediatamente con quanta incisività la formazione della volontà amministrativa è assoggettata a verifica (cfr. ad es. Tribunale di I grado delle Comunità europee, sez. III, 11 settembre 2002, in causa T-70/99, Alpharma Inc. vs. Consiglio dell’UE).

Riassumendo quanto suesposto, esistono in Italia diverse tipologie di sindacato del giudice amministrativo:
• un controllo completo sugli accertamenti tecnici (con dominio delle scienze esatte), sui fatti e sull’interpretazione data ai concetti giuridici a contenuto indeterminato;
• un controllo meramente formale ed esterno per le ipotesi di potere discrezionale, tale da valutare in ogni caso il rispetto dei principi di completezza dell’istruttoria, di logicità e pertinenza della valutazione, di imparzialità, di proporzionalità e di motivazione.
Quello della discrezionalità tecnica è un istituto di confine e rispetto a questo quello dei confini dei poteri del giudice amministrativo rimane un tema aperto.

Due ultime riflessioni sul punto.

In primo luogo, condivido i dubbi espressi da taluni Autori sulla compatibilità con l’art. 6 della Convenzione europea per i diritti dell’uomo quanto alle norme italiane e tedesce sulle mere irregolarità formali, come tali non rilevanti ai fini dell’annullamento del provvedimento amministrativo impugnato.
La correttezza del procedimento è, infatti, l’unica garanzia per il cittadino, cosicché una lettura estensiva delle ipotesi di irregolarità determinerebbe un depotenziamento, quando non addirittura il venir meno, di una tutela effettiva. Direi di più: la norma italiana mi pare in diretto contrasto, fra l’altro, con la convenzione di Aarhus, essendo la partecipazione, come chiarito dalla Corte di Giustizia, un valore in sé. Almeno quando sono coinvolti interessi ambientali di tale articolo dovrebbe darsi quindi un’interpretazione conforme alle fonti internazionali.

In secondo luogo, se il controllo del giudice si può estendere, come credo, alla congruità del valutazione tecnica effettuata, occorrerebbe che maturassero delle linee guida in merito alla decisione che deve essere assunta dall’amministrazione circa la soluzione verso la quale indirizzarsi.
Il punto è stato approfondito negli Stati Uniti e si sono messi in evidenza tre possibili approcci:
• il c.d. least feasible approach (Corte Suprema degli Stati Uniti, nel caso American Textile Manifactures Institute Inc. vs. Donovan, 452, U.S. 490; Tribunale di I grado delle comunità europee sent. Alpharma Inc. cit.): la salute pubblica ha la prevalenza rispetto a qualsiasi considerazione economica;
• La significant-risk doctrine (Corte Suprema, nel caso Industrial Union Department vs. American Petroleum Institute, 1980, 448, U.S. 607). Secondo questo diverso indirizzo prevenire il verificarsi di un rischio si traduce in una spesa, in termini assoluti e comparativi. Le risorse utilizzate per prevenire il rischio x non sono più disponibili per prevenire il rischio y. Giacché le risorse non sono illimitate e non permettono quindi di prevenire qualsiasi rischio, occorre valutare, secondo il miglior materiale probatorio disponibile e secondo la valutazione dell’uomo ragionevole, quale sia un grado accettabile di rischio e oltre quale soglia un rischio non lo sia.
• Il bilanciamento costi – benefici: secondo il giudice Powell nel caso sopra indicato, la valutazione del rischio significativo deve essere svolta proprio sulla scorta di un’analisi economica dei costi e dei benefici.

Vista la centralità del ruolo dell’esperto, la giurisprudenza americana si è incaricata anche dell’accesso di tale figura nel giudizio. Per lungo tempo ha adottato il c.d. Frye Test (dal caso Corte Suprema Frye vs. United States 8 D.C. circ. 1923) secondo cui è utilizzabile in giudizio solo la tesi di uno scienziato che abbia ricevuto general acceptance nella comunità scientifica di riferimento. Tale test, ritenuto ingiustamente penalizzante per le impostazioni più innovative e comunque inutile a dirimere le ipotesi in cui le conoscenze scientifiche sono ad uno stadio embrionale, è stato sostituito settant’anni dopo dal c.d. Daubert test (dalla sentenza della Corte Suprema Daubert vs. Marrel Daw Pharmaceuticals Inc., 509, 113, Ct., 1993), che è considerata la base della Rule 702 del Federal Rule of Evidence. Secondo tale regola: “A witness who is qualified as an expert by knowledge, skill, experience, training, or education may testify in the form of an opinion or otherwise if: […] (b) the testimony is based on sufficient fact or data; (c) the testimony is the product of reliable principles and methods; and (d) the expert has reliably applied the principles and methods to the facts of the case” (v. sito internet federalevidence.com).
E secondo una successiva sentenza [Moore v. Ashland Chemical Inc., 151 F.3d 269 (5th Cir. 1998)], il giudizio di affidabilità deve essere condotto in funzione:
1) della sottoposizione a test (attuale o potenziale);
2) della sottoposizione a peer review e a pubblicazione della teoria;
3) dell’esistenza di conosciuti o potenziali margini di errore;
4) della sottoposizione a standard e controlli;
5) in funzione del grado di accettazione nell’ambito della comunità scientifica di riferimento.

Ebbene, è interessante notare come tali modelli d’oltreoceano abbiano trovato riscontro nell’ordinamento comunitario.
La chiave di lettura è quella dell’interpretazione del principio di precauzione, che così torna a manifestare tutta la sua centralità nella fase di gestione del rischio.
Si esamini la Comunicazione della Commissione Europea sul principio di precauzione Bruxelles, 2 febbraio 2000, COM (2000)1.
Secondo tale comunicazione, in tanto ha senso impiegare il principio, in quanto si sia identificato con precisione un rischio. Sin dalle prime battute occorre avviare una valutazione scientifica di tale rischio, la più completa possibile, con acquisita consapevolezza del grado di incertezza scientifica.
Solo sulla base di queste premesse, qualora tale rischio non possa essere considerato accettabile, è necessario adottare scelte, con il coinvolgimento di “tutte le parti interessate, quanto più precocemente e quanto più ampiamente possibile”.
Occorre in particolare adottare delle misure:
• proporzionali rispetto al livello prescelto di protezione;
• non discriminatorie;
• coerenti con misure analoghe già adottate;
• basate su un esame dei potenziali vantaggi e oneri dell’azione o dell’inazione (compresa, ove ciò sia possibile e adeguato, un’analisi economica costi/benefici). Sempre secondo la comunicazione occorre valutare anche l’efficacia e l’accettabilità da parte del pubblico delle possibili azioni e tenere conto della giurisprudenza della Corte di Giustizia secondo cui la protezione della salute ha la precedenza sulle considerazioni economiche.
• soggette a revisione alla luce di nuovi dati scientifici e
• in grado di attribuire correttamente la responsabilità per la produzione delle prove scientifiche necessarie per una più completa valutazione del rischio.

Un’adeguata valorizzazione del principio di precauzione così applicato potrebbe permettere anche al giudice nazionale di operare il controllo sulle valutazioni tecniche complesse, ancorando l’eventuale intervento sostitutivo su più solide basi, rispetto a quelle di un’isolata consulenza tecnica d’ufficio.

Villa Vigoni, 14 settembre 2012
Avv. Prof. Alessandro Cortesi

31 dicembre 2018 In Relazioni

Relazione italiana del prof. avv. Alessandro Dario Cortesi – Saarbrücken – 5/10/2018

I.- La tutela della “privacy”
Il convegno di oggi ha per oggetto la “tutela dei dati personali”; tutela che ha ricevuto nuova attenzione ed impulso a seguito della pubblicazione del Regolamento UE 27 aprile 2016, n. 679.
Un aspetto merita di essere subito chiarito: la tutela dei dati personali è sovente associata a quella della privacy dell’individuo, ma si tratta di due aspetti che devono essere mantenuti distinti e separati.
Il concetto di “privacy”, che viene tradotto in italiano come “privatezza” o “riservatezza” (nella consapevolezza che si tratta di sostantivi che non riescono a rendere l’ampiezza di significato della parola inglese), è di origine anglosassone.
Si tratta di un istituto di fonte tipicamente dottrinale.
I trattati sul diritto alla privacy sono soliti richiamare il (davvero lungimirante) saggio di due giovani avvocati statunitensi, Samuel D. Warren e Louis D. Brandeis, pubblicato il 15 dicembre 1890 sull’Harward Law Review, intitolato appunto “The right to Privacy” , ma si trattò, è ovvio, solo di uno spunto preliminare.
Assai più significativi per il riconoscimento di tale diritto furono gli interventi, di oltre mezzo secolo successivi:
• di William Faulkner, in un’opera intitolata “Privacy” , apparsa negli USA nel 1955, in cui premio Nobel per la letteratura si scagliava con massima veemenza contro il tritacarne mediatico (all’epoca alla spasmodica ricerca dei dettagli della sua vita amorosa);
• e soprattutto di William L. Prosser, in un’opera anch’essa intitolata “Privacy”, apparsa nell’agosto del 1960 sulla California Law Review.
In un curioso rimpallo fra la East Coast e la West Coast degli Stati Uniti, infatti, l’idea iniziale, espressa dai giovani avvocati di Boston, che teorizzavano il “right to be let alone” (ovvero il diritto ad essere lasciati soli per godere della propria intimità, nella determinazione delle proprie scelte di vita, nell’espressione della propria sensibilità, del proprio credo, nella custodia dei propri pensieri ed emozioni), veniva ripresa settanta anni dopo da Prosser, preclaro preside dell’University of California – School of Law di Berkeley, autore di fondamentali monografie sui torts, che così tipizzava le sue possibili violazioni:
a) penetrare in uno spazio chiuso riservato;
b) rivelare in pubblico i fatti privati;
c) mettere qualcuno in cattiva luce;
d) appropriarsi a fini commerciali del nome o dell’immagine di un privato, senza che questi abbia prestato il consenso.
È evidente, quindi, che il diritto alla privacy, nato come baluardo dell’individuo (tutela di livello costituzionale) contro illegittime intromissioni del potere pubblico, si stesse trasformando, nell’interpretazione della dottrina più autorevole, in uno strumento di difesa anche da ingerenze dei privati.
Si trova conferma di tale lettura nella Dichiarazione universale dei diritti dell’uomo, adottata dall’Assemblea Generale delle Nazioni Unite il 10 dicembre 1948, che stabilisce all’art. 12 che “Nessun individuo potrà essere sottoposto ad interferenze arbitrarie [da chiunque perpetrate, quindi – N.d.A.] nella sua vita privata, nella sua famiglia, nella sua casa, nella sua corrispondenza, né a lesioni del suo onore e della sua reputazione. Ogni individuo ha diritto ad essere tutelato dalla legge contro tali interferenze o lesioni”.
Le costituzioni degli Stati europei furono molto più restie nel recepimento delle dottrine anglosassoni, così come le relative giurisprudenze. Soprattutto in Italia, il desiderio di superare le prassi censorie del famigerato Ministero della Cultura Popolare di epoca fascista impedì di riconoscere, expressis verbis, il diritto alla privacy.
La Carta Costituzionale italiana, pubblicata in Gazzetta Ufficiale 27 dicembre 1947, n. 298, sancisce solennemente l’inviolabilità della libertà personale (art. 13), l’inviolabilità del domicilio (art. 14) e di ogni forma di comunicazione (art. 15), la libera manifestazione del pensiero (art. 21), disposizioni che limitano l’intervento pubblico ad ipotesi eccezionali, stabilite dalla legge.
Non viene però esplicitato un diritto del cittadino alla riservatezza e, quanto alla stampa, all’art. 21, secondo comma Cost., si precisa viceversa che essa “non può essere soggetta ad autorizzazioni o censura” .
Una prima esplicitazione del diritto alla riservatezza è rinvenibile, invece, nella Convenzione per la salvaguardia dei diritti dell’uomo e delle libertà fondamentali, firmata a Roma il 4 novembre 1950 e ratificata in Italia con legge 4 agosto 1955, n. 848.
La Convenzione prevede, infatti, all’art. 8 “Diritto al rispetto della vita privata e familiare” che “1. Ogni persona ha diritto al rispetto della sua vita privata e familiare, del suo domicilio e della sua corrispondenza. 2. Non può esservi ingerenza della pubblica autorità nell’esercizio di tale diritto a meno che tale ingerenza sia prevista dalla legge e costituisca una misura che, in una società democratica, è necessaria per la sicurezza nazionale, l’ordine pubblico, il benessere economico del paese, la prevenzione dei reati, la protezione della salute o della morale, o la protezione dei diritti e delle libertà altrui”.
Come si vede, però, ancora a quell’epoca l’attenzione dei giuristi si appuntava principalmente sul diritto alla riservatezza. In Italia, ancora negli anni Cinquanta, la riflessione dottrinale si concentrava sulla tutela delle vittime dell’esposizione mediatica: si avanzavano critiche sull’ingerenza dei media nei casi nostrani Caruso, Petacci, Soraya.
Sono solo le Costituzioni più “giovani” che hanno introdotto delle disposizioni specifiche in materia di privacy.
Si ricordano:
• la Constituição da República Portuguesa del 2 aprile 1976 (cfr. art. 35, più volte novellato);
• la Constitución española del 27 dicembre 1978 (cfr. art. 18, comma 4);
• la Costituzione olandese del 17 febbraio 1983 (cfr. art. 10);
• le Costituzioni dei Länder tedeschi;
• le Costituzioni di molti paesi dell’Europa dell’Est;
• la Costituzione greca (cfr. art. 9A nella sua revisione del 2001).
* * * *
II.- L’emersione nelle Carte dei diritti dell’uomo della distinta tutela dei “dati personali”
Se si procede con un secondo balzo storico, e ci si proietta negli anni Novanta, si registra l’emersione di un secondo approccio, al cui sviluppo le istanze europee hanno contribuito in misura rilevante. Secondo tale visione non vi può essere concreta tutela della vita privata, se non si tutelano anche i dati personali.
Se si esamina ad esempio la Carta dei diritti fondamentali dell’Unione Europea, che in Italia è nota come Carta di Nizza (essendo stata ivi solennemente proclamata il 7 dicembre 2000), si nota che essa non dedica più un solo articolo alla questione, bensì due: il settimo e l’ottavo.
Per inciso, come tutti loro ricorderanno, detta Carta è stata sottoscritta (in versione adattata) a Strasburgo il 12 dicembre 2007 e, ai sensi dell’art. 6 del trattato di Lisbona, ha acquisito il medesimo valore giuridico dei trattati.
Ebbene l’art. 7 della Carta, rubricato “Rispetto della vita privata e familiare” precisa che “Ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e delle proprie comunicazioni”, il che riflette l’approccio anglosassone originario.
Ma il successivo art. 8, rubricato “Rispetto dei dati di carattere personale” specifica invece che “1. Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano. 2. Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o un altro fondamento legittimo previsto per legge. Ogni persona ha diritto di accedere ai dati raccolti che la riguardano e di ottenere la rettifica. 3. Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente”.
* * * *
III.- La centralità dei dati nell’era dell’accesso. I c.d. big data.
Non vi è bisogno di spendere troppe parole per illustrare la pervasività della rivoluzione tecnologica che segna in profondità la società in cui viviamo. Praticamente ogni aspetto della nostra vita è toccato dall’informatica. In altre parole, utilizzando un acronimo invalso nella prassi, tutto è ITC, information and communication technology, tecnologia dell’informazione e della comunicazione.
Non si tratta della prima rivoluzione dell’informazione. Gutenberg intorno al 1439 inventò la stampa (risale al 1455 la pubblicazione della Bibbia, primo libro di una certa rilevanza stampato con caratteri mobili a Magonza). Secondo alcuni storici, nei cinquant’anni compresi tra il 1453 ed il 1503, furono stampati circa 8 milioni di libri, più di quelli che avevano prodotto tutti gli emanuensi d’Europa dalla fondazione di Costantinopoli, ovvero 1200 anni prima.
Oggi vengono processati ogni giorno zettabyte di dati (1 ZB= 1021 byte): basti pensare alle fotografie scattate, alle e-mail scambiate, ai post pubblicati sui social network, ma anche ai dati raccolti dai satelliti, alla criptovaluta trasferita ed alle relative trascrizioni su blockchain.
Oggi come allora l’incremento esponenziale della mole di dati trattati e della velocità con cui si producono è cagionata da innovazioni tecnologiche. Non una soltanto, per la precisione: lo sviluppo di elaboratori elettronici sempre più performanti, la precipitazione del costo delle memorie di massa e dei sensori, il collegamento dei computer in rete (ed in primis internet), la telefonia cellulare (gli smartphone), la compressione dei dati, la globalizzazione, sono tutti fattori concorrenti.
Ma decisivi appaiono la digitalizzazione (digitization), ovvero la conversione di un’informazione in formato digitale, e la c.d. datizzazione (datafication), ovvero la trasformazione in dati pienamente manipolabili.
Per comprendere la differenza fra questi due concetti vi propongo l’esempio dei documenti di testo.
L’acquisizione in formato immagine di una pagina di un libro (scansione/scannerizzazione) ha come risultato un file che riproduce il testo. Quel file può essere copiato, spedito, manipolato (nel senso che l’immagine può essere ridotta, ampliata, tagliata ecc.). Il risultato della scansione non è ancora però un file di testo, compiutamente modificabile dall’utente. Chi usufruisce del file non può copiarne dei brani ed incollarli in un altro documento; non può cancellare delle parole e sostituirle con altre o aggiungere delle righe.
Per ottenere questo risultato non basta uno scanner. È necessario utilizzare un programma di riconoscimento ottico dei caratteri, ovvero un software in grado di riconoscere i segni grafici ed interpretarli quali lettere dell’alfabeto (cd. software OCR – Optical Character Recognition).
Il procedimento da ultimo descritto attua la datizzazione.
Con queste tecniche tutto viene trasformato in dati: intere biblioteche, interi cataloghi musicali, collezioni di fotografie e di audiovisivi. Come anticipava il noto sociologo Jeremy Rifkin, questo consente di passare dall’“era della proprietà”, all’“era dell’accesso” e dà l’abbrivio all’economia della condivisione (sharing economy).
È facile preconizzare che su questa strada che non si registreranno marce indietro.
Si diffonderanno sempre più i c.d. wearable devices (ovvero gli elaboratori indossabili), come i vari orologi e attrezzature fitness, che monitorano in tempo reale lo stato di salute dell’individuo. Ogni cosa sarà dotata di sensori e collegata alla rete (c.d. internet of things). Sono già in commercio elettrodomestici che implementano la c.d. domotica. Alcuni giorni fa ho visto in un negozio persino uno spazzolino da denti che si collega alla rete.
Appositi visori (come i Google Glass) permetteranno di sperimentare la c.d. realtà aumentata, ovvero di ottenere in tempo reale una serie di approfondimenti in relazione a quanto stiamo vedendo (ma nel contempo accenderanno miliardi di telecamere in grado di registrare ogni nostro movimento).
Si diffonderanno i visori di realtà virtuale che ci consentiranno di lavorare, relazionarci con gli altri distanti anche migliaia di chilometri, frequentare lezioni, fare la spesa, assistere a funzioni religiose e magari assistere ai convegni della nostra associazione, rimanendo nella nostra abitazione e condividendo immaginifici spazi in grado di appagare al meglio i nostri sensi.
E poi si svilupperanno i veicoli a guida autonoma, i robot umanoidi e così via.
Tutti queste attrezzature potranno funzionare solo processando enormi moli di dati e contribuiranno a crearne altrettante.
Ma se questi aspetti, seppur futuristici, sono intuiti dalla collettività, altri lo sono assai meno.
L’uomo è abituato da sempre ad assumere delle decisioni fondate su di una serie di informazioni limitata. Il pensiero umano razionale prende le mosse dall’osservazione di determinati fenomeni, formula congetture, estrapola dalla variegata realtà dei dati che ritiene rilevanti, eventualmente analizza delle statistiche (possibilmente rappresentative dell’universo) ed infine verifica se le ipotesi iniziali trovino o meno conferma. Laddove le ipotesi iniziali vengano smentite dalla sperimentazione, si cerca di affinarle, in un ciclo continuo che tende a scoprire una nuova legge naturale (sempre ammesso che la natura segua delle leggi e non sia dominata dal caos).
I big data consentono agli elaboratori di procedere diversamente, di assumere delle decisioni processando praticamente tutti i dati, qualsivoglia variabile, nessuna esclusa. Questo modo di procedere già oggi rende più efficiente il medico diagnostico di IBM rispetto ad un dottore in carne ed ossa; già oggi rende alcuni sistemi esperti, utilizzati dagli studi legali, più efficienti di una schiera dei più preparati legali.
Gli elaboratori sono in grado di individuare delle corrispondenze fra fenomeni che l’uomo non aveva finora mai colto (e che solo la capacità di calcolo delle macchine può disvelare). Si sono così evidenziate delle relazioni fra alcuni sintomi e determinate malattie, o fra la somministrazione di determinate molecole e degli esiti medici positivi: corrispondenze (schemi ripetitivi, in inglese pattern) che raggiungono elevatissimi gradi di probabilità (quasi certezze), ma di cui tuttora si ignora completamente la ratio. In altre parole con queste tecniche siamo in grado di curare malattie, senza sapere come sia possibile.
Passando ad argomenti più vicini ai nostri domini di esperienza, anche a Milano si sono messi alla prova degli algoritmi di c.d. polizia predittiva (ad opera della società Keycrime) in grado, una volta processati moltissimi dati relativi ai reati ed ai soggetti che li hanno commessi (11.000 variabili per ogni reato), di prevedere quando e dove si verificheranno nuovi crimini e quindi di sventarli. L’impiego di tali algoritmi ha consentito di abbattere significativamente il numero delle rapine: le forze dell’ordine si fanno trovare puntuali all’appuntamento con il rapinatore, come se avessero ricevuto una soffiata.
E ancora non è tutto. L’intelligenza artificiale, come sappiamo, rappresenta il tentativo di emulare il cervello umano. La nuova frontiera è quella del c.d. machine learning, ovvero del software che autoapprende (id est che si riprogramma in piena autonomia).
Esiste il concreto rischio che determinate funzioni, anche decisive per la sopravvivenza dell’uomo (si pensi alla gestione del triage nel pronto soccorso), vengano demandate a computer, che dimostrano di ottenere risultati di massima efficienza, in ragione di algoritmi che si aggiornano in tempo reale con una velocità tale che non è fisicamente consentito ad un programmatore umano comprenderne il funzionamento. Presto si porrà quindi questo dilemma: sarà meglio affidarci alle macchine, perché anche se non ne comprendiamo fino in fondo le ragioni, ottengono risultati irraggiungibili dalla mente umana, o mantenere la nostra autonomia?
Preferireste essere giudicati da un giudice in carne ed ossa, nella consapevolezza che la sua umanità porta con sé la possibilità che commetta errori, o dalla fredda lucidità ed imparzialità di un giudice computer (secondo esperienze che vengono già condotte ad es. in Cina)?
* * * *
IV.- Le direttive sulla tutela dei dati personali ed il Regolamento europeo.
Dal momento che la circolazione dei dati, a tacer d’altro, è alla base del commercio elettronico, le istituzioni europee si sono rapidamente rese conto della necessità di armonizzare le nascenti discipline nazionali e ciò innanzitutto per creare un maturo mercato unico europeo .
Non possiamo per ragioni di tempo esaminare nel dettaglio le numerose disposizioni che sono state emanate per perseguire tale scopo.
Fra le principali citiamo:
• la direttiva 1995/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (attuata in Italia con legge 31 dicembre 1996 n. 675) e
• la direttiva 2002/58/CE del Parlamento Europeo e del Consiglio del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (recepita in Italia con Decreto delegato legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali).
A distanza di oltre 20 anni dalla precedente fonte europea in argomento, le istituzioni europee hanno operato una scelta diversa: in luogo di un’ulteriore direttiva, si è scelto di emanare il Regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 (d’ora in poi GDPR).
Il fatto stesso che si sia scelto di riformare la materia attraverso un regolamento (fonte che, a differenza della direttiva, non necessita della mediazione dei singoli Stati, ma si impone direttamente nei loro ordinamenti), prova che la desiderata uniformazione non si sia compiutamente raggiunta, il che è del resto ammesso nel considerando 9 dello stesso GDPR.
Il Regolamento avrà maggiori possibilità di successo? Nutro alcuni dubbi a proposito.
A tacer d’altro l’inasprimento delle sanzioni (che ai sensi degli artt. 83 e 84 dovranno essere effettive, proporzionate e dissuasive), la previsione della figura del Responsabile della protezione dei dati (artt. 37 e ss.), l’esplicitazione dei principi di responsabilizzazione (accountability: considerando 57 e art. 5 c. 2), di protezione dei dati fin dalla progettazione e per impostazione predefinita (art. 25) hanno ridestato l’interesse delle imprese, sensibilizzate al riconoscimento di questi diritti anche se il trattamento è effettuato al di fuori dell’Europa (nei limiti indicati dall’art. 3).
Questi principi innovativi faciliteranno la circolazione dei dati in ambito sovranazionale, ma è lecito dubitare che si raggiungerà, anche tramite il Regolamento, il traguardo di una disciplina davvero uniforme e ciò nonostante il ruolo sempre più forte che sono chiamate a svolgere:
• le Autorità garanti nazionali;
• il Gruppo di lavoro ex articolo 29 (della direttiva 95/46/CE), ora ridenominato European Data Protection Board (in italiano Comitato europeo per la protezione dei dati);
• il Garante Europeo della protezione dei dati.
e nonostante l’attività degli Organismi di certificazione di cui all’art. 43 del GDPR e la redazione dei codici di condotta di cui all’art. 40 GDPR.
Ostacola il raggiungimento di questi obiettivi il dato letterale del GDPR, che risulta assai farraginoso, ripetitivo e talvolta oscuro (problema a cui si aggiunge la complessa traduzione in lingua italiana di alcuni sintagmi che complica l’attività dell’interprete).
Ma soprattutto la consapevolezza che il diritto alla tutela dei dati personali non può essere riconosciuto quale diritto assoluto.
Anche se è accordata all’individuo la facoltà di decidere se e in che misura rendere disponibili informazioni sul proprio conto ed il potere di controllarne la successiva circolazione, la Corte di giustizia in una serie di pronunce (cfr. ad es. sentenza 9 novembre 2010 in cause riunite C-92/09 e C-93/09, Volker und Markus Schecke e Eifert e sentenza 5 maggio 2011, C-543/09) ha chiarito che tale diritto non si può tradurre in una sorta di signoria sui dati personali a sé riferiti, così da orientarne arbitrariamente o capricciosamente la circolazione.
Assai chiaro in questo senso è il considerando 4 del GDPR laddove specifica che “il diritto alla protezione dei dati di carattere personale non è una prerogativa assoluta, ma va considerato alla luce della sua funzione sociale e va contemperato con altri diritti fondamentali, in ossequio al principio di proporzionalità”.
Anche il Regolamento, quindi, riconosce l’esistenza di interessi pubblici confliggenti (cfr. ad es. considerando 16 e 19) e la necessità di operare un bilanciamento, entro degli spazi in cui si concretizzano le scelte politiche nazionali (cfr. art. 2, comma 2 GDPR).
Questa la ragione per cui permangono nel testo del Regolamento frequenti rinvii al diritto degli Stati membri (si vedano, e senza pretese di esaustività, i considerando 8, 10, 19, 121, 129, 142, 146, 152, 153, 154, 155, 163 e gli artt. 6, 8, 9, 14, 15, 28, 29, 32, 36, 37, 38, 39, 40, 42, 43, 49, 53, 54, 62, 80, 85) e si aprono quindi ampi spazi per il permanere di discipline nazionali difformi.
* * * *
V.- L’attuazione in Italia del GDPR
L’attuazione del GDPR in Italia è stata (ed è) tortuosa.
Nonostante il Regolamento europeo offrisse un biennio di tempo per armonizzare le discipline interne, il Governo italiano ha ottenuto una delega in questo senso dal Parlamento solo 6 mesi prima, con legge 25 ottobre 2017 n.163 (legge di delegazione europea 2016-2017, cfr. art. 13).
Il 14 dicembre 2017 la collega dell’Università di Bologna, prof.ssa Giusella Finocchiaro, è stata chiamata dal Ministero della Giustizia a presiedere un Gruppo di lavoro per l’esercizio della delega. In conclusione dei propri lavori, condotti in tempi assai rapidi, il Gruppo di lavoro ha predisposto un articolato interessante. In una logica di accesa semplificazione delle fonti il Gruppo suggeriva, fra l’altro, la completa abrogazione del Codice in materia di protezione dei dati personali.
Personalmente ho appoggiato tale soluzione, ma ho sostenuto, come in verità la maggior parte degli interpreti, che a legge immutata essa fosse di dubbia costituzionalità per eccesso di delega.
Forse anche per questa ragione, l’Esecutivo non ha accolto la proposta del Gruppo di lavoro e la delega, che aveva naturale scadenza il 21 maggio 2018 (pochi giorni prima rispetto al fatidico 25 maggio 2018, termine di piena applicazione del GDPR), non è stata esercitata nei termini (con conseguenze assai problematiche in particolare in relazione alle sanzioni, comprese quelle penali).
Tuttavia l’art. 13 comma 3, prevedeva che il Governo esercitasse la delega secondo le procedure previste dall’art. 32 della legge 24 dicembre 2012, n. 234. Questa norma, a sua volta, specifica che quando gli schemi dei decreti delegati vengano inviati alle Commissioni parlamentari per il previsto parere quando manchino meno di 30 giorni alla scadenza della delega, come è accaduto nel caso di specie, tale scadenza risulti automaticamente prorogata per la durata di tre mesi (quindi fino al 21 agosto 2018).
Questa interpretazione ha consentito al Governo di esercitare la delega in tempi più recenti ed emanare il decreto delegato legislativo 10 agosto 2018, n. 101 (la cui pubblicazione tutti noi cultori della materia abbiamo atteso con ansia questa estate).
La pubblicazione del decreto è avvenuta solo nella Gazzetta Ufficiale 4 settembre 2018, n. 205. Il codice in materia di protezione dei dati personali D. lgs. 196/2003 cit. non solo non è stato abrogato ma è stato radicalmente novellato. Le nuove disposizioni sono entrate in vigore, a seguito della vacatio legis, solo pochi giorni fa e precisamente il 19 settembre 2018.
* * * *
VI.- Il ruolo dell’amministrazione
Non vi è dubbio che le pubbliche amministrazioni detengano sterminate moli di dati. Basti pensare ai censimenti dell’istituto nazionale di statistica, all’anagrafe della popolazione, alle liste elettorali, ai dati catastali, al pubblico registro automobilistico, alle dichiarazioni dei redditi, alle cartelle mediche.
Atteso che le pubbliche amministrazioni conservano i dati personali solo in quanto indispensabili per l’esercizio delle funzioni amministrative, si tratta di trattamenti legittimati a prescindere dal consenso dell’interessato e ciò in forza dell’art. 6, comma 1 GDPR, lettere c) (obbligo legale del titolare del trattamento), d) (salvaguardia di interessi vitali) e soprattutto e) (esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri).
La superfluità del consenso semplifica le cose, ma le pubbliche amministrazioni devono comunque individuare un ufficio che si occupi dell’adeguamento al GDPR (in primis che si occupi della tenuta del registro dei trattamenti, art. 30 GDPR e dell’aggiornamento delle informative, artt. 13 e 14 GDPR), il che costituisce un processo continuo. Esse devono nominare un Responsabile della protezione dei dati personali (art. 37 GDPR), figura peraltro con caratteristiche assolutamente peculiari, che viene tipicamente nominata a seguito di procedura ad evidenza pubblica (integrando un appalto di servizi).
E soprattutto devono implementare adeguate misure di sicurezza per fronteggiare aggressioni di qualsiasi genere, non solo quelle di hackers e cyberterroristi, ma anche quelle, spesso assai trascurate, che utilizzano tecniche di c.d. ingegneria sociale (social engineering).
Se Facebook, che investe milioni di dollari in sicurezza – notizia di qualche giorno fa –, ha registrato negli ultimi giorni la violazione dei dati personali di 90 milioni di account (fra cui quello del vostro relatore di oggi), possiamo immaginare che difese implementino i nostri comuni più piccoli. Non si tratta di rischi solo teorici: alcune anagrafi sono state colpite ad es. dai c.d. cryptoransomware, software che criptano tutti i dati e chiedono un “riscatto” in bitcoin…
Vi sono poi interi settori di trattamento che sono regolati da disposizioni specifiche (cfr. Capo IX GDPR). Si pensi, ex plurimis, ai dati personali in ambito penale (disciplinati dal D. lgs. 18 maggio 2018, n. 51), ai dati in ambito sanitario, ai dati trattati ai fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o ai fini statistici (cfr. art. 89 GDPR).
Le maggiori criticità che le amministrazioni devono affrontare sono rappresentate tuttavia, secondo la mia esperienza, dalle intersezioni fra la disciplina della tutela dei dati personali e le disposizioni in tema di:
1) accesso alla documentazione amministrativa (su cui v. prossimo paragrafo);
2) trasparenza (disciplinata in Italia dal Decreto legislativo 14 marzo 2013, n. 33 di Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni);
3) dematerializzazione della documentazione amministrativa (disciplinata in particolare dal Decreto legislativo, 7 marzo 2005, n. 82, c.d. Codice dell’Amministrazione Digitale).
Dal punto di vista organizzativo, l’art. 17, comma 1 del Codice dell’Amministrazione Digitale prevede la nomina del Responsabile della transizione digitale dell’amministrazione. Detto soggetto dovrà ovviamente confrontarsi con i responsabili sopra citati e con altre funzioni apicali indicate nello stesso Codice (cfr. art. 44 comma 1-ter CAD).
Anche se l’art. 20, comma 3 del GDPR esclude il diritto alla portabilità dei dati necessari per l’esecuzione di un compito di interesse pubblico, il Codice dell’amministrazione digitale, all’art. 50, continua a richiedere che i dati siano “formati, raccolti, conservati, resi disponibili ed accessibili” secondo modalità che consentano l’utilizzo da parte delle altre pubbliche amministrazioni e dei privati. E non potrebbe essere altrimenti: la partecipazione al procedimento amministrativo informatico (art. 4 CAD), la partecipazione democratica elettronica (art. 9 CAD), non sarebbero altrimenti predicabili.
Si comprende così la ragione per cui l’art. 68 CAD richieda, per la scelta del software da parte delle pubbliche amministrazioni, di valutare comparativamente le varie soluzioni disponibili, considerando anche l’utilizzo del free software (di formati non proprietari).
Si applica, invece, anche alle pubbliche amministrazioni l’art. 22 GDPR che dispone che “L’interessato ha il diritto di non essere sottoposto ad una decisione basata unicamente sul trattamento automatizzato, compresa la profilazione, che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona”. Il comma 3 prescrive “il diritto di ottenere l’intervento umano da parte del titolare del trattamento, di esprimere la propria opinione e di contestare la decisione”.
Si tratta a mio avviso di una delle disposizioni più significative del Regolamento Europeo, che rappresenta una difesa nei confronti di quelle che sono state qualificate ad es. da Cathy O’Neil, in una recente opera , come “armi di distruzione matematica” (si pensi all’esempio del triage ospedaliero di cui sopra), ma, per le amministrazioni che hanno in corso processi di digitalizzazione ed efficientamento delle proprie funzioni, può segnare un rilevante ostacolo.
* * * *
VII.- La tutela giurisdizionale
Volgendo lo sguardo alla tutela giurisdizionale, la scelta del legislatore italiano è stata tradizionalmente quella di attribuire le controversie relative alla protezione dei dati personali al Giudice ordinario.
È prevista, invero, anche una forma di tutela amministrativa ai sensi degli artt. 140-bis e ss. del Codice per la tutela dei dati personali: si può presentare reclamo all’Autorità Garante, che decide entro nove mesi. Ma avverso la decisione del Garante è comunque ammesso ricorso giurisdizionale (cfr. art. 143, u.c. Codice).
L’art. 10 del D. lgs. 1° settembre 2011 n. 150, nel testo che è stato vigente dal 6 ottobre 2011 al 18 settembre 2018, prevedeva la competenza del tribunale del luogo ove avesse residenza il titolare del trattamento dei dati. A seguito della novella del 2018, risulta competente in alternativa il Tribunale del luogo di residenza dell’interessato (scelta più razionale, che avvicina queste controversie a quelle che concernono la tutela dei consumatori).
Il rito da seguirsi è quello semplificato del lavoro, ma la sentenza che definisce il giudizio non è appellabile e ricorre per lo più una disposizione eccezionale per il nostro ordinamento: il Giudice ordinario può sospendere il provvedimento e prescrivere l’adizione di misure ritenute necessarie all’Amministrazione titolare o responsabile dei dati (nonché condannare al risarcimento dei danni) e ciò “anche in deroga al divieto di cui all’articolo 4 della legge 20 marzo 1865, n. 2248, allegato E)”. È pacifico, quindi, che il Giudice civile possa in quest’ipotesi annullare/riformare il provvedimento amministrativo.
Se queste peculiarità hanno superato, con un tratto di penna, ampi dibattiti dottrinali, i limiti contenuti nella legge delega per l’attuazione del GDPR non hanno consentito al legislatore delegato di superare un’aporia sistematica che appare evidente da un confronto di diritto comparato.
Il capo V della legge 7 agosto 1990 n. 241, che contiene le disposizioni generali sul procedimento amministrativo, è dedicato al diritto di accesso dell’interessato (mediante presa visione e estrazione di copia) di documenti amministrativi.
Questi documenti possono contenere dati personali propri del soggetto interessato ovvero di soggetti terzi. In entrambi i casi, possono entrare in conflitto le competenze dell’Amministrazione a cui viene rivolta l’istanza di accesso (ovvero del Difensore civico ex art. 25 legge 241/1990 o della Commissione per l’accesso ai documenti amministrativi, incardinata presso la Presidenza del Consiglio dei Ministri ex art. 27 legge 241/1990), con le competenze dell’Autorità Garante della Tutela dei dati personali.
Laddove accada, il comma 4 dell’art. 25 della legge 241/1990, nel testo risultante da una serie di modifiche, prevede queste forme di raccordo: “Se l’accesso è negato o differito per motivi inerenti ai dati personali che si riferiscono a soggetti terzi, la Commissione provvede, sentito il Garante per la protezione dei dati personali, il quale si pronuncia entro il termine di dieci giorni dalla richiesta, decorso inutilmente il quale il parere si intende reso. Qualora un procedimento di cui alla sezione III del capo I del titolo I della parte III del decreto legislativo 30 giugno 2003, n. 196, o di cui agli articoli 154, 157, 158, 159 e 160 del medesimo decreto legislativo n. 196 del 2003, relativo al trattamento pubblico di dati personali da parte di una pubblica amministrazione, interessi l’accesso ai documenti amministrativi, il Garante per la protezione dei dati personali chiede il parere, obbligatorio e non vincolante, della Commissione per l’accesso ai documenti amministrativi. La richiesta di parere sospende il termine per la pronuncia del Garante sino all’acquisizione del parere, e comunque per non oltre quindici giorni. Decorso inutilmente detto termine, il Garante adotta la propria decisione”.
Se in qualche misura il problema può ritenersi così risolto nella fase amministrativa/procedimentale, esso persiste in ambito giurisdizionale.
In caso di diniego di accesso agli atti amministrativi, infatti, l’interessato può promuovere ricorso giurisdizionale. Sennonché la scelta operata dal legislatore in questo caso è quella opposta a quella sopra indicata: queste controversie sono attribuite alla giurisdizione esclusiva del Giudice amministrativo (cfr. art. 116 del D. lgs. 2 luglio 2010 n. 104, Codice del processo amministrativo).
Può quindi capitare che, mentre il Giudice amministrativo sta decidendo se sia o meno corretto il provvedimento di un Ente pubblico che neghi l’accesso alla documentazione amministrativa, il soggetto dei cui dati si discute (il controinteressato nel ricorso davanti al Tribunale amministrativo regionale) promuova un parallelo ricorso avanti al Giudice ordinario per ottenere la rettifica o la cancellazione dei dati stessi.
Le due Autorità giurisdizionali potrebbero decidere in modo difforme e, dal momento che eccezionalmente entrambe hanno facoltà di impartire ordini all’Amministrazione, quest’ultima potrebbe vedersi rivolgere indicazioni opposte.

Prof. Avv. Alessandro Dario Cortesi
Professore a contratto di informatica giuridica
Università Cattolica del Sacro Cuore Milano
Facoltà di Giurisprudenza