Índice: 1. A estrutura da lei. - 2. Os dados das pessoas físicas e jurídicas. - 3. Os direitos do interessado. - 4. Regras e exceções para a difusão dos dados pessoais. - 5. Os sujeitos públicos e a transmissão de dados para o exterior. - 6. O Garante dos dados: um órgão colegiado. - 7. As sanções. - 8. A caminho da plena aplicação da lei: os prazos. - 9. Problemas da aplicação da lei: burocracia e Authorities. - 10. As delegações ao Executivo para a regulamentação da lei. - 11. Uma primeira avaliação da lei italiana sobre a proteção dos dados. - 12. A primeira modificação na lei italiana sobre a privacy.
 
 

1. A estrutura da lei.
 
 

Após uma série de projetos-de-lei que decaíram antes da aprovação (1), finalmente também na Itália foi aprovada uma lei sobre a proteção dos dados pessoais, a qual entrou em vigência em 8 de maio de 1997 (2). Juntamente com essa, foi aprovada ainda a lei que autoriza o governo a aprovar tanto normas regulamentadoras ["norme di attuazione", em italiano, N.d.T.] (cfr. infra, item 9) quanto uma série de leis complementares àquela sobre a proteção dos dados (3). Originariamente, estes dois textos constituíam um único projeto-de-lei, desdobrado no curso do iter parlamentar.

Vez que também na Grécia foi aprovada uma lei sobre a proteção dos dados pessoais em 19 de março de 1997, ora todos os Estados da União Européia possuem uma lei sobre a privacy inspirada numa diretiva comunitária.

A lei italiana sobre a proteção dos dados pessoais - que se compõe de dez Títulos, para um total de 45 artigos - destina-se à tutela dos dados da pessoas físicas e jurídicas (art. 1°, parágrafo 1), tratados com meios informáticos ou manualmente. Esta norma não se aplica, todavia, a uma vasta lista de bancos de dados do Estado (art. 4°) e aos dados elaborados "para fins exclusivamente pessoais" (art. 3°). Entretanto, neste último caso se faz necessário respeitar as normas sobre a segurança dos dados em geral. Tais normas deverão, porém, ser elaboradas e aprovadas até 180 dias após a entrada em vigência da lei sobre a privacy, o que torna difícil prever qual ônus gravará sobre a vida privada de um vastíssimo número de cidadãos que usam computadores pessoais de mínimas dimensões.

A literatura sobre esta lei é, no momento, compreensivelmente reduzida. Até agora foram publicados três comentários (4), enquanto a publicação de outros dois está prevista para o segundo semestre de 1997 (5).
 
 

2. Os dados das pessoas físicas e jurídicas.
 
 

A proteção determinada pela lei diz respeito aos dados das pessoas físicas e jurídicas.

A tutela dos dados das pessoas jurídicas está limitada pelo art. 26, ou seja, o tratamento (e a cessação do tratamento) destes dados não está sujeito a notificação, nem aos mesmos se aplicam as normas sobre a transmissão dos dados para o exterior. Será preciso prestar atenção às reações internacionais a esta determinação legal, porque esta última, na verdade, termina tornando a lei italiana desomogênea, não somente em relação às leis de países que não tutelam os dados das pessoas jurídicas (por exemplo, França e Alemanha), como também em relação aos países que os tutelam plenamente (por exemplo, Áustria). Neste último caso, a tutela oferecida pela lei italiana poderia ser considerada excessivamente limitada.

A notificação de um banco de dados deve ser efetuada "preventivamente" (art. 7°), pelo gestor do banco ou ainda, em caso de específicas categorias de gestores, através de organismos representativos, como as Câmaras de Comércio, as Ordens profissionais (por exemplo, a dos advogados ou a dos arquitetos) etc. (art. 7°, parágrafo 5). Como no caso do exercício dos direitos do interessado (que pode ser delegado "a pessoas físicas ou a uma associação" (art. 13, parágrafo 4), estamos em presença de um poder derivado e, portanto, revogável. Um ente ou associação não está, assim, legitimado para notificar ou para pedir informações em alternativa ou em concorrência com o interessado.

O art. 9° define as caraterísticas da finalidade dos bancos de dados e as características dos dados memorizados. Encontram-se neste artigo conceitos já definidos anteriormente pela lei: os "dados pessoais objeto de tratamento" estão definidos no art. 1°, parágrafo 2, c; o "tratamento" está definido no art. 1, parágrafo 2, b. O art. 9° fixa, por sua vez, quatro princípios: 1° - o recolhimento dos dados pessoais deve ter fins determinados, explícitos e legítimos (letra b); 2° - os dados recolhidos devem ser exatos, atualizados, pertinentes, completos e não excedentes às finalidades do banco de dados (letras c e d); 3° - os dados devem ser elaborados de modo lícito e correto (letra a); 4° - os dados devem ser conservados de modo a possibilitar a identificação do interessado até quando sejam atingidos os escopos para os quais foram recolhidos (letra e).
 
 

3. Os direitos do interessado.
 
 

O interessado, ao receber as informações sobre o motivo e sobre a natureza dos dados recolhidos, bem como sobre quem deles faz a gestão (art. 10), deve fornecer o seu consentimento escrito (art. 11), salvo os casos nos quais o consentimento não é considerado necessário: por exemplo, no caso dos dados provenientes de elencos públicos, de dados recolhidos para fins jornalísticos ou científicos (estes últimos, porém, de forma anônima) e, enfim, na atividade investigatória e judiciária (art. 12).

Estas informações permitem ao interessado exercitar os direitos previstos no art. 13, pessoalmente ou através de terceira pessoa (física ou jurídica) com poderes legais específicos para tanto (letra 3). O acesso ao registro instituído pelo "Garante" (6) dos dados é gratuito. Todavia, é prevista uma medida contra os, ironicamente falando, "queixosos", a fim de prevenir o acesso a um banco de dados com a finalidade de obter informações até mesmo sobre dados "ainda não registrados": prevê-se o pagamento de uma soma não superior aos custos da pesquisa, caso não constem memorizados dados do requerente. O interessado pode, outrossim, pedir o cancelamento e várias formas de atualização dos próprios dados, bem como a certidão da comunicação destas intervenções a terceiros aos quais tenham tais dados sido transmitidos. O interessado pode também opor-se por motivos legítimos à elaboração dos próprios dados.

Estes direitos do interessado não podem ser exercitados nos casos previstos no art. 12, onde se encontram oito exceções ao princípio do consentimento.

A determinação das medidas mínimas de segurança deverá constar de um decreto do Poder Executivo a ser aprovado no prazo de seis meses a partir da entrada em vigência da lei sobre a privacy. Entretanto, são imediatamente aplicáveis as normas sobre a cessação do tratamento dos dados (art. 17) e a proibição de fundamentar "unicamente sobre um tratamento informatizado" dos dados um ato administrativo ou judiciário que avalia um comportamento (art. 18).
 
 

4. Regras e exceções para a difusão dos dados pessoais.
 
 

A difusão dos dados é lícita em presença de uma autorização escrita do interessado ou quando os dados já são conhecidos do público por intermédio de anuários, registros etc.; quando são difundidos para cumprir uma obrigação jurídica, ou no exercício da profissão de jornalista (mas com cautelas especiais: art. 20, parágrafo 1, letra d), ou ainda no âmbito de atividade econômica; quando a comunicação é necessária para a incolumidade física do interessado o de terceira pessoa; na atividade judiciária, investigatória e bancária. Enfim, a comunicação de dados pessoais é lícita por razões científicas, se os dados são anônimos, ou se quem os pede é uma repartição pública, para fins institucionais de defesa, segurança e investigação.

Com escassa sistematização, estes últimos dois casos nos quais se autoriza a comunicação (evidentemente, sem o consentimento do interessado) estão contidos no final do art. 21 que, na verdade - come indica o seu título - trata do contrário, isto é, da "proibição de comunicação".

Deve-se observar que as normas previstas no art. 20 se aplicam à difusão dos dados por parte de particulares e de entes públicos econômicos, enquanto o art. 27 se refere à difusão dos dados por parte dos "sujeitos públicos", órgãos da administração central e local. Do ponto de vista da terminologia, esta distinção entre "sujeitos públicos" e "entes públicos econômicos" exige talvez uma explicação, porque sob tais denominações se encontram realidades diversas, que variam de Estado a Estado. Os "sujeitos públicos" são os entes públicos através dos quais o Estado exercita sua atividade administrativa. A partir de 1975, a legislação italiana (Lei n. 70) os individua expressamente e estabelece que novos entes públicos podem ser instituídos ou reconhecidos somente mediante lei. Os "entes públicos econômicos" são uma importante subdivisão dos entes públicos, dos quais se diferenciam por duas características fundamentais: os "entes públicos econômicos" são submetidos ao direito privado (e não ao direito administrativo) e desenvolvem atividade comercial, perseguindo, então, fins de lucro. Em vista da privatização das empresas estatais, a Lei n. 35 de 29 de janeiro de 1992 previu a possibilidade de transformar os entes públicos econômicos em sociedades por ações.

A lei sobre a proteção dos dados usa a expressão "sujeitos públicos, excluídos os entes públicos econômicos". Por exemplo, o art. 22, parágrafo 3, sobre os dados sensíveis (como aqueles sobre a raça ou a saúde) afirma: "O tratamento dos dados indicados no parágrafo 1, por parte de sujeitos públicos, excluídos os entes públicos econômicos, é permitido somente se autorizado" etc.: aquilo que se veta aos sujeitos públicos é entretanto permitido aos entes públicos econômicos. Esta especificidade do tratamento assume particular interesse na Itália, onde as empresas de propriedade estatal (isto é, os "entes públicos econômicos", mesmo revestidos da forma de sociedade por ações) ainda constituem uma fatia relevante da economia nacional.

Deve, enfim, ser mencionada a ampla liberdade reconhecida aos jornalistas. Estes podem recolher até mesmo dados sensíveis dentro de limites por ora muito elásticos e à espera de um código deontológico proposto pelo "Garante". Põe-se a pergunta se no período compreendido entre o início da vigência da lei sobre a privacy e a aprovação deste código deontológico os jornalistas já poderão recolher e utilizar estes dados, mesmo sendo sensíveis. A resposta deve ser positiva: nesta lei, pois, a liberdade de imprensa parece prevalecer sobre a proteção dos dados.
 
 
 

5. Os sujeitos públicos e a transmissão de dados para o exterior.
 
 

Em um único capítulo (o quinto) estão reunidas as normas sobre tratamentos de dados "sob regime especial", ou seja, aqueles efetuados por sujeitos públicos - excluindo sempre os entes públicos econômicos (art. 27) - e aqueles que comportam uma trasferência de dados pessoais para o exterior (art. 28).

A difusão dos dados pode ser considerada em três níveis. No que se refere ao território nacional italiano, o parágrafo 1 do art. 27 normatiza o intercâmbio de dados entre sujeitos públicos, enquanto o parágrafo 2 rege o intercâmbio de dados entre sujeitos públicos e entes públicos econômicos. Já o art. 28 dispõe sobre a transferência para o exterior de dados, realizada por qualquer sujeito.

Entre sujeitos públicos (excluídos os entes públicos econômicos) é possível um intercâmbio de dados quando permitido por lei ou norma regulamentadora, ou ainda quando tais comunicações "sejam de qualquer modo necessárias para o desenvolvimento das funções institucionais" (art. 27, parágrafo 2). A avaliação desta necessidade parece, então, ter sido confiada ao ente que transmite e ao ente que recebe, com uma ampla margem de discricionariedade para os entes interessados. A transferência de dados entre sujeitos públicos e entes públicos econômicos, ao contrário, somente pode ser realizada mediante prévia lei ou regulamento que a autoriza.

O longo e complexo art. 28 afirma, em primeiro lugar, o princípio geral segundo o qual a transmissão de dados pessoais para o exterior "deve ser previamente notificada ao Garante" (parágrafo 1) e pode ocorrer apenas 15 dias depois da notificação, ou 20 dias depois, no caso de dados sensíveis (parágrafo 2).

Este princípio rigoroso e o complexo procedimento que dele decorre não se aplicam a uma vasta lista de exceções. A primeira exceção diz respeito à transferência de dados para Estados da União Européia. A esta, unem-se ainda, na ordem determinada pelo art. 28, parágrafo 4: a) o consentimento do interessado; b) o desenvolvimento de atividades contratuais e pré-contratuais; c) a proteção "de um interesse público relevante"; d) a atividade de investigação; e) a proteção da saúde do interessado ou de terceira pessoa; f) o acesso a informações de qualquer modo públicas; g) a autorização do Garante.

Uma outra exceção relevante está prevista para as transferências efetuadas "no exercício da profissão de jornalista" (parágrafo 6): a estas "não são aplicadas" as disposições de todo o art. 28.
 
 

6. O Garante dos dados: um órgão colegiado.
 
 

Analogamente a outras legislações européias, a lei prevê a instituição de um Garante que, na Itália, é um órgão colegiado composto de quatro membros, um dos quais eleito como presidente. O mandato deste órgão colegiado é de quatro anos, renovável apenas uma vez (art. 30). O recurso ao Garante preclui um recurso à autoridade judiciária ordinária e vice-versa (art. 29, parágrafo 2). O procedimento perante o Garante repropõe a oscilação terminológica entre "titular" e "responsável" do banco de dados (por exemplo, parágrafo 3).

A competência do Garante é análoga àquela já conhecida nos outros Estados da União Européia. Deve-se precisar, entretanto, que o Garante italiano (diversamente do alemão, por exemplo) possui competência para os bancos de dados tanto dos entes públicos como de empresas privadas. A lei estabelece ainda que os funcionários da repartição do Garante não podem superar o máximo de 45 pessoas (art. 33, parágrafo 1). Em situações especiais, porém, este número pode ser integrado com pessoal de outras administrações públicas (parágrafo 5) e com consultores (parágrafo 4).

No ordenamento jurídico italiano já existe um órgão central de coordenação da informática na Administração pública (7). Assim, a lei sobre o tratamento de dados prevê um estreito contato entre o Garante e a Autoridade da Informática na Administração Pública (AIPA) (art. 31, parágrafo 5). O Garante pode ainda requerer a utilização da infraestrutura técnica da AIPA (art. 33, parágrafo 5).

Parece, por outro lado, vagamente onírica a disposição segundo a qual "o Presidente do Conselho de Ministros e cada um dos ministros devem consultar o Garante quando da realização de normas regulamentadoras e de atos administrativos" que possam referir-se ao tratamento informatizado dos dados pessoais (art. 31, parágrafo 2). Tomada ao pé da letra e aplicada a uma moderna administração automatizada, esta norma poderia fazer do Garante uma espécie de supercoordenador do Governo (sempre que este último prestasse atenção aos pareceres do primeiro). E mais: em abstrato, esta norma pode suscitar algum tipo de superposição entre a atividade de consultoria ao Governo da AIPA e a atividade do Garante. Somente os próximos anos poderão dizer se a relação entre estes dois órgãos se caracterizará como coordenação funcional, duplicação de competências ou conflito. É provável que ocorram todas as três formas relacionais: resta saber qual percentual dirá respeito a cada uma delas.
 
 

7. As sanções.
 
 

As sanções para a violação da lei estão contidas nos arts. 34 a 39. Se a notificação do banco de dados (ver art. 7) ou da transferência de dados para o exterior for omitida, incompleta ou falsa, a pena será de três meses a dois anos de reclusão, reduzidos para um ano quando a notificação disser respeito à cessação da elaboração dos dados (ver art. 16). O tratamento ilícito dos dados, por sua vez, será punido com a reclusão até dois anos, ou de três meses a dois anos se for o caso de difusão dos dados (art. 35, parágrafo 1). Quando se apresentar a elaboração de dados sensíveis ou a transmissão dos mesmos para Estados que não lhes ofereçam proteção legislativa suficiente, a pena poderá variar de três meses a dois anos de reclusão (art. 35, parágrafo 2). Se em decorrência das hipóteses delituosas aqui elencados derivar um dano, a pena de reclusão será elevada para um mínimo de um ano e um máximo de três anos (parágrafo 3).

No que se refere às medidas de segurança devidas no tratamento de dados, o parágrafo 1 do art. 36 prevê dois tipos penais. Se, propositalmente, não forem adotadas as medidas de segurança (art. 36, parágrafo 1), "qualquer pessoa que tenha a obrigação de adotá-las", será punida com reclusão até um ano; esta pena se eleva a reclusão de dois meses a dois anos se da omissão derivar um dano. O parágrafo 2 prevê pena de reclusão até um ano "pelo fato descrito no parágrafo 1", quando cometido culposamente: claro que esta redução se aplica apenas ao caso de dano derivante de omissão culposa, vez que, de qualquer forma, para a pura omissão dolosa não seguida de dano o parágrafo 1 já prevê uma pena de até um ano de reclusão.

Encerrando as sançõe, resta dizer que o não cumprimento das decisões do Garante comportará pena de reclusão de três meses a dois anos (art. 37).

Os reatos até o momento examinados comportam também a pena da publicação da sentença nos jornais indicados pelo juiz (art. 38). Outrossim, o Garante poderá punir con sanções administrativas quem não fornecer as informações pedidas (sanção pecuniária administrativa de 1 a 6 milhões de liras italianas). Se for omitida a informação ao sujeito do qual se recolhem os dados (como previsto no art. 10), ou ainda, se na comunicação dos dados pessoais médicos não for respeitado o art. 23, parágrafo 2 (comunicação somente através de um médico), a sanção pecuniária administrativa será de 500.000 a 3 milhões de liras.
 
 
 
 

8. A caminho da plena aplicação da lei: os prazos.
 
 

Tendo em conta que a data do início da vigência da lei foi 8 de maio de 1997, 120 dias após sua publicação, a sua parte final contém um calendário dos prazos dentro dos quais deve-se respeitar as várias obrigações ali impostas (art. 41), bem como uma série de modificações e abrogações que coordenam estas disposições com a legislação italiana preexistente (arts. 42 e 43). Como prescreve a Constituição italiana, o art. 44 determina, enfim, de quais fundos derivará a cobertura financeira das despesas originadas pela lei.

No que se referiu somente ao Centro de cálculo instituído em 1981 no Ministério do Interior ("Ministero degli Interni"), todavia, o início da vigência da lei foi imediato e passou a correr já do dia sucessivo à publicação da lei sobre a proteção dos dados na "Gazzetta Ufficiale", ou seja, 31 de dezembro de 1996. Porém, a própria lei (no art. 4, parágrafo 1, letra a) isenta este Centro de cálculo de qualquer obrigação dela derivante.

Imediata foi também o início da vigência das normas sobre a nomeação do Garante (art. 30).

A data geral do início da vigência de 8 de maio de 1997, entretanto, não se aplica aos dados pessoais elaborados manualmente e aos dados elaborados informaticamente "que não estejam incluídos entre os citados nos arts. 22 e 24" (art. 45), ou seja, os dados sensíveis e aqueles relativos aos antecedentes judiciais. Para estas duas espécies de dados, o início da vigência de desloca para 1° de janeiro de 1998.

A Itália, deste modo, poderá então habilitar-se a fazer parte plenamente da comunidade dos Estados de Schengen, superando as dificuldades que durante anos a afligiram, exatamente pela falta de uma lei sobre a proteção dos dados (8). No momento é ainda incerta a data do ingresso da Italia na área de Schengen: o Ministério italiano do Interior chegou a indicar 27 de março de 1997, enquanto o Presidente de turno do Comitê de Schengen indicava 27 de outubro de 1997. A esta altura, pode-se dizer que a última data era a mais verossímel. Com a entrada em vigor da lei sobre a proteção dos dados, a Itália poderá ainda fazer parte da Central Européia de Polícia, a Europol, instituída pelo Tratado de Maastricht de 1991.

9. Problemas da aplicação da lei: burocracia e Authorities.
 
 

Ora que a lei sobre a proteção dos dados foi publicada, será necessário enfrentar os problemas ligados à sua aplicação: problemas que todos os Estados europeus já viveram e que resolveram levando em conta as peculiaridades jurídicas e sociológicas das próprias burocracias. Pode então ser de utilidade examinar aqui duas dificuldades especificamente vinculadas à administração pública italiana. A primeira é a antiga tendência à burocratização paralisante; a seconda é a recente tendência a criar novas estruturas institucionais - as authorities - que têm proliferado em medida talvez excessiva.
 
 

a) Lentidão burocrática e gestão de empresa.
 
 

A tendência à burocratização nasce da mentalidade difundida na administração pública italiana de que, em primeiro lugar, as regras devem ser aplicadas de modo a não criar problemas jurídico-formais ao ente que tais normas aplica. Esta forma de autotutela do burocrata se transforma quase sempre numa série de complicações para quem usufrui dos serviços públicos, daí derivando a má qualidade destes serviços. A experiência dos outros Estados europeus faz temer duas formas de complicações burocráticas em particular. Inicialmente, os gestores dos bancos de dados públicos e privados procurarão as formas mais seguras - não obstante, mais complexas - para evitar os rigores da lei, sendo conscientes de que, na Itália, a autoridade de vigilância se preocupará muito mais com os aspectos formais do cumprimento da lei. Além disso, muitas repartições públicas descobrirão que a proteção dos dados será um bom pretexto para recusar prestações de serviços ou informações, diminuindo assim o peso do próprio trabalho.

Enfim, deve-se lidar com o temor dos empresários, conhecido desde quando existem leis sobre a privacy: novos ônus significam custos maiores e menor flexibilidade, ou seja, perda de capacidade de concorrência. A realidade estrangeira demonstrou, na verdade, que a tutela dos dados do cidadão não tem consequências assim tão negativas. No caso italiano, contudo, não é injustificado o temor de vínculos burocráticos incompatíveis com a gestão empresarial. Um bom exemplo desta incompatibilidade é o art. 28, parágrafo 2, que prevê a transferência de dados pessoais para fora da União Européia. Esta transferência deve ocorrer somente 15 dias depois da notificação ao Garante (ou 20 dias, tratando-se de dados sensíveis) da intenção de transmitir os dados: estes prazos são incompatíveis com as exigências da economia atual.

Todavia, também o Garante se encontra numa posição apenas aparentemente vantajosa. E para este órgão pode ser cômodo não responder à notificação porque o seu silêncio não é sancionado. Ao contrário, a empresa notificante, para poder constatar este silêncio, deve de qualquer modo esperar 15 ou 20 dias. O art. 28 prevê, porém, que o Garante possa vetar a transferência dos dados para o exterior; mas ao proferir a proibição, o Garante deve levar em conta algumas circunstâncias que impõem a redação de uma decisão bem fundamentada. Para esta tarefa, 15 ou 20 dias é um tempo muito escasso, até porque contra a proibição é possível recorrer ao Tribunal civil do local da residência do titular no prazo de 30 dias. Vez que neste caso se aplica o art. 737 do Código de processo civil italiano, o Tribunal decide em Câmara de Conselho e profere uma decisão recorrível apenas perante a Corte de Cassação (Corte di Cassazione). Este procedimento pode durar anos e, entrementes, os dados esperam para ser transmitidos.

A lentidão da justiça ordinária italiana é, assim, incompatível com a gestão de uma empresa moderna. É então provável que algum empresário pense em uma solução criativa "à italiana": se o caso não for muito complexo e se for possível razoavelmente prever que não haverá nenhum veto da Autoridade, notifica-se a intenção de transmitir os datos para fora da União Européia, transmitindo-os, entretanto, sem esperar o decurso de 15 ou 20 dias, e seja o que Deus quiser. Se não chegar a proibição do Garante, tudo permanece tranquilo, mas o empresário se expõe a uma sanção de até dois anos de detenção (art. 34) ocorrendo uma omissa, incompleta ou falsa notificação. O processo penal terá impulso apenas em caso de proibição do Garante, após o recurso ao Tribunal competente e, eventualmente, à Cassação: mas na oportunidade será preciso provar que o empresário obteve lucro para si ou para outrem ou quis acarretar um dano a terceiros (dano o qual, concretizado, eleva a pena a três anos, art. 35, parágrafo 3).

Tal situação esclarece porque os empresários já estejam levantando o problema de quem deve ser o titular da elaboração dos dados, eventualmente destinado a terminar na prisão. "A letra da lei - escreve o jornal da Confederação dos industriais - o identifica com os vértices da estrutura que trata os dados. No caso de uma empresa, dever-se-ia pensar no proprietário, ou no administrador por este delegado para dirigi-la. Para as médias e grandes empresas isto representa um problema porque - mesmo que o titular nomeie um responsável pelos aspectos mais operativos do tratamento - deve porém vigiar os procedimentos. Do fronte empresarial, pede-se a possibilidade de delegar estas tarefas a uma figura del relevo na empresa (por exemplo, um diretor geral ou um outro cargo instituído ad hoc), que possa encarregar-se de todas as responsabilidades, mesmo penais, que a lei prevê para o titular. No Ministério da Justiça, entretanto, se exclui a possibilidade de qualquer delegação e se sublinha que de acordo com a lei os vértices da empresa não podem desinteressar-se pelo respeito às normas sobre a privacy. Todavia, redimensionam o alarmismo. O administrador da empresa por delegação do proprietário, explicam, pode vigiar até mesmo lendo, a cada seis meses, um relatório sobre o tratamento dos dados" (9).

Na verdade, os temores dos empresários se dirigem não às modalidades de controle, mas à pessoa exposta ao risco de ser submetida a longos procedimentos judiciários que comportam - ainda que não se concluam com a perda da liberdade pessoal - uma perda de reputação para a pessoa e para a empresa.
 
 

b) Le Authorities italianas.
 
 

O direito anglo-americano confia às Authorities a missão de garantir o bom funcionamento do mercado, enquanto no direito francês estes órgãos visam sobretudo garantir a correta relação entre serviços públicos e cidadão. Nas authorities italianas estão presentes ambas as finalidades. De 1974 até hoje a Itália instituiu oito authorities (10), das quais a tabela anexa fornece um quadro sintético das atribuições e da efetiva atividade, atestada pelo parágrafo de decisões proferidas.

Tendo nascido sob a pressão de exigências específicas e não segundo um plano normativo preciso, as Authorities variam de acordo com a estrutura, competência, âmbito de influência etc. É assim indispensável, a esta altura, uma lei-quadro que estabeleça as características destes órgãos, padronizando os cômpitos daqueles já existentes. Hoje, as competências vão desde aquelas muito vastas da Authority Antitrust, àquelas da AIPA, lembrada anteriormente, que age somente no âmbito da administração pública. Por esta sua característica, há quem entenda que a AIPA não deva ser uma agência, mas sim uma repartição especializada no âmbito de um ministério. Tal heterogeneidade entre as Authorities já está criando problemas de coordenação, come se viu ao examinar as atribuições do novo Garante e as atribuições da AIPA.

A tendência a instituir autoridades autônomas está vinculada também a duas exigências menos nobres, mas não por isso menos fortes. Em primeiro lugar, uma das férreas leis não escritas da burocracia italiana é a de que quando um órgão já existe, mas cumpre mal suas tarefas, não se procura fazê-lo funcionar: ele é duplicado com uma outra repartição, na esperança de que esta última funcione. E a authority é um instituto jurídico que tem a característica de subtrair à burocracia ministerial tarefas que necessitam de rapidez de decisão sobre temas específicos. Outrossim, as authorities, sendo desvinculadas das estruturas ministeriais, podem retribuir o pessoal com maior generosidade: devido à especialização exigida, este fato frequentemente permite alinear as retribuições da authority com as do mercado (selecionando, assim, melhores especialistas); mas, ao mesmo tempo, aumenta sensivelmente as despesas do Estado (e isto num período aparentemente de grande rigor financeiro). Por isso, o Tribunal de Contas já criticou os custos destas instituições e advertiu contra a criação de outras authorities.

No que se refere à Autoridade para a proteção dos dados, entretanto, não deveria valer uma crítica muitas vezes dirigida contra as outras authorities: os limitados poderes de intervenção e de sanção, muito inferiores nas authorities italianas do que em órgãos equivalentes nos Estados Unidos. Devido à natureza dos direitos protegidos pela lei sobre a privacy, esta parte foi cuidadosamente regulada na nova lei italiana. Se corretamente aplicada, esta parte da normativa não deverá criar grandes problemas no futuro.

É neste quadro que se insere a nova repartição do Garante da proteção dos dados. Vez que esta última entrou em função apenas em maio de 1997, é hoje inútil fazer previsões sobre o seu funcionamento. Por um lado, não obstante os problemas acima elencados, as authorities italianas têm dado resultados aceitáveis até o momento e esta constatação pode ser um bom augúrio para a nova autoridade. O pessoal a ela atribuído parece exíguo (45 pessoas), mas é preciso ver como se desenvolverá a cooperação técnica com a AIPA, que já dispõe de uma infraestrutura informática consolidada.

A experiência da entrada em vigência das leis sobre a proteção dos dados nos outros países demonstrou que as maiores dificuldades residem nos primeiros meses, quando são notificados os bancos de dados já existentes. A demora pluridecenal com a qual chega a lei italiana será sentida, porque nestes anos se desenvolveu uma grande economia informatizada que terá de ser "digerida" de uma só vez pela nova autoridade. As notificações cartáceas criaram congestionamentos e demoras na França. As notificações informatizadas permitiram à Espanha, por outro lado, de superar sem muitos problemas a fase inicial de recuperação do atrasado.
 
 
 

10. As delegações ao Executivo para a regulamentação da lei.
 
 

Para uma plena aplicação desta lei é preciso esperar a aprovação das normas às quais a lei expressamente remete; talvez seja útil resumi-las a seguir, como conclusão do exame da lei na sua inteireza. Por motivos de brevidade, limito-me às remissões contidas na lei sobre a proteção dos dados pessoais, porque elas condicionam sua eficácia. Omito, todavia, outras delegações ao Executivo contidas na lei 676/1996, porque estas se referem também a medidas de ampliação e de correção desta lei sobre a privacy.

As principais delegações de relevância imediata são:

- art. 15, parágrafo 2: no prazo de 180 dias da entrada em vigência da lei, um decreto do Presidente da República fixará as medidas mínimas de segurança para o tratamento dos dados pessoais.

- art. 17, parágrafo 2: a lei deverá individuar as garantias que tornam legítimo um ato administrativo ou judiciário que avalia um comportamento fundamentando-se "unicamente em um tratamento automatizado".

- art. 22, parágrafo 4: o Garante proporá a adoção de um código deontológico para o tratamento de dados sobre a saúde e sobre a vida sexual, para fins investigatórios ou judiciários.

- art. 25, parágrafo 2: o Garante proporá a adoção de um código deontológico para o tratamento dos dados recolhidos no exercício da atividade jornalística.

- art. 33, parágrafo 3: no prazo de 3 meses da entrada em vigência da lei, um decreto do Presidente da República estabelecerá a organização da repartição do Garante, as normas internas de procedimento e as normas para a notificação dos bancos de dados por parte do titular do tratamento (art. 7°). Trata-se, então, de medida fundamental para o efetivo início da atividade do Garante.

O primeiro passo para colmar estes espaços legais ainda vazios já foi executado: no mesmo dia da aprovação da lei sobre a proteção dos dados pessoais foi aprovada também a lei que atribui ao Executivo o poder de aprovar os regulamentos necessários para a sua aplicação (cfr. supra §1°, nota 3). Esta lei delegada determina para o governo as linhas diretivas a respeitar na aprovação dos regulamentos.

Paralelamente a estas atividades construtivas, o Parlamento e a administração italiana precisarão fazer um esforço de depuração legislativa para coordenar a nova lei sobre o proteção dos dados pessoais com as normas preexistentes. Um bom trabalho neste sentido já foi feito nas notas que acompanham a lei, quando indicam quais normas foram por ela explicitamente abrogadas. A tarefa mais árdua será, porém, a coordenação entre a lei sobre a proteção dos dados pessoais e as normas sobre a luta contra a criminalidade organizada: são, de fato, dois conjuntos normativos inspirados em príncipios em grande medida incompatíveis entre si (11).
 
 
 

11. Uma primeira avaliação da lei italiana sobre a proteção dos dados.
 
 

Estas notas foram redigidas na metade do ano de 1997, poucas semanas depois da início da vigência da lei ora examinada: elas refletem, então, as primeiras impressões suscitadas por um texto legislativo indubitavelmente complexo. Gostaria de retomar aqui algumas considerações publicadas depois da conclusão de um congresso organizado por Wolfgang Killian em Hannover.

Se, após esta primeira leitura, fosse necessário colocar em evidência os elementos desta lei que dizem respeito especificamente à realidade italiana,a atenção deveria provavelmente concentrar-se em quatro temas. Inicialmente, a escolha irreversível entre o Garante e a magistratura ordinária, feita pelo interessado desde o início do seu eventual recurso. Em segundo lugar, a distinção, no âmbito público, entre entes públicos e entes públicos econômicos, que introduz uma relevante divisão na tutela dos dados no setor público por causa da importância que as empresas públicas continuam a ter na Itália. Em terceiro lugar, a exceção para os jornalistas, aos quais esta lei é aplicada em medida muito limitada e que se vincularão a um código deontológico aprovado pelo Garante. Aliás, as exceções a favor da administração pública, da empresa estatal e dos jornalistas identificam já alguns lobbies potentes. Em quarto lugar, as relações entre o Garante e a Autoridade para a Informática na Administração Pública (AIPA), que existe desde alguns anos: efetivamente, ambos os órgãos deverão exercer função de consultoria junto ao governo (12).

Não obstante estas e outras peculiaridades, a lei respeita as indicações comunitárias. Sendo corretamente aplicada, a lei sobre a proteção dos dados pessoais poderá revelar-se um potente instrumento para completar e revigorar a integração da Itália na União Européia.
 
 

12. A primeira modificação na lei italiana sobre a privacy.
 
 

Em 8 de maio de 1997 entrou em vigência a lei italiana sobre a proteção dos dados pessoais; já em 9 de maio foi aprovado um decreto legislativo que, em seis artigos, emendou a lei até mesmo em alguns pontos relevantes (13). Este decreto legislativo entrou em vigência já em 10 de maio de 1997.

Com as novas normas, o Garante trocou de nome. Em vários pontos a lei se referia a um "Garante para a tutela das pessoas e de outros sujeitos no que diz respeito ao tratamento dos dados pessoais". Esta formulação era bizarra, mesmo sob o aspecto jurídico. Efetivamente, também no direito italiano existem as pessoas físicas e jurídicas, sendo difícil imaginar de quais "outros sujeitos" podiam ser tutelados os dados "pessoais". O art. 3° do decreto legislativo ora estabelece que a denominação oficial do Garante é "Garante para a proteção dos dados pessoais".

Todavia, em italiano, o Garante é uma pessoa individual. O fato que, com a Lei 675/96, o Garante seja um órgão colegiado gerou um estranho uso linguístico: discute-se e escreve-se sobre um "Presidente do Garante para a proteção dos dados pessoais" e de um "Secretário Geral do Garante para a proteção dos dados pessoais". Será preciso habituar-nos a estas formulações incomuns.

O art. 1° do novo decreto legislativo introduziu uma única palavra no art. 10 da Lei 675/96, porém com consequências de gravidade imprevisível neste momento. Este art. 10 prescreve o dever de informar o interessado sobre toda uma série de fatos, o que lhe permite, depois, utilizar a proteção oferecida pela lei. Na versão original, o sujeito devia ser informado "por escrito"; hoje, com a modificação introduzida pelo decreto, o mesmo pode ser informado "oralmente ou por escrito". À primeira vista, é difícil imaginar como, em caso de contestação, possa ser fornecida a prova de um consentimento oralmente concedido. Não é despido de fundamento considerar que nessa disposição o governo foi além dos limites fixados na Lei 675/96, que o autoriza apenas a esclarecer alguns pontos desta mesma lei. Não se pode, então, excluir que a nova formulação desta norma possa ser impugnada.

Os jornalistas - com o art. 2° do decreto legislativo - obtiveram maiores isenções, em parte aceitáveis, em parte discutíveis. É aceitável que as normas simplificadas, previstas pela lei originária para os jornalistas profissionais, sejam também aplicadas aos jornalistas "free lance" (em italiano, "pubblicisti", N.d.T.) e a todos aqueles que fazem o estágio em um jornal para se tornarem jornalistas profissionais. É entretanto discutível que "formas simplificadas para as informações" a serem dadas ao interessado possam ser previstas pelo código deontológico que deverá ser elaborado pelo Garante para harmonizar a tutela da privacy com a atividade jornalística. Deste modo, na verdade, direitos importantes do cidadão poderão ser limitados, passando-se por cima do Parlamento, exatamente como ocorreu com a introdução da informação oral através do art. 1° do novo decreto.

De resto, o recente decreto contém uma série de disposições úteis para resolver os problemas burocráticos e financeiros no período de prova da Autoridade, bem como algumas dilações para as comunicações a serem feitas aos interessados.

Resumindo, deve-se assinalar que a partir de 10 de maio de 1997, ou seja, dois dias após o início da vigência da Lei 675/96, o texto originário da lei italiana sobre a privacy foi modificado no art. 10, parágrafo 1; art. 25, parágrafo 4 (ao qual foi acrescentado um parágrafo 4-bis); art. 30, parágrafo 1; art. 33, parágrafo 1; art. 7°, completamente substituído por um novo texto; art. 41, ao qual se acrescentou um parágrafo 7-bis; arts. 1°, 2° e 42, parágrafos 1 e 4, sobre a denominação do Garante.

Um provérbio italiano diz: "O bom dia se reconhece da manhã". Se a sabedoria popular vale também para o direito, a jornada da privacy italiana se anuncia tempestosa.
 
 

(*) Mario G. Losano é professor titular de Teoria Geral do Direito na Università degli Studi di Milano, Itália (N.d.T.), encontrando-se atualmente na Alemanha graças ao Prêmio da Fundação Alexander von Humboldt.

(**) Este texto integra e atualiza os meus precedentes artigos sobre este tema: Das italienische Datenschutzgesetz, "Computer und Recht", XIII, 1997, n. 5, pp. 308-312; La ley italiana sobre protección de datos personales, "Cuadernos Constitucionales de la Cátedra Fadrique Furió Ceriol" (Valencia) (em curso de publicação).

(1) No que se refere ao último da longa série cfr. Mario G. Losano, El proyecto de ley sobre la tutela de la persona respecto a la elaboración informática de los datos personales, in: Miguel Angel Davara (organizado por), Encuentros sobre informática y derecho, Aranzadi, Pamplona 1993, pp. 11-16 (cfr. ainda Der neueste Entwurf für ein italienisches Datenschutzgesetz, "Datenschutz und Datensicherung", 1993, n. 11, pp. 634-635). Sobre os precedentes: Losano, Un proyecto de ley sobre la protección de los datos personales en Italia, in: Losano/Perez-Luño/Guerrero, Libertad informática y leyes de protección de datos personales, Centro de Estudios Constitucionales, Madrid 1989, pp. 61-94.

(2) Lei n. 675 de 31 de dezembro de 1996: Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali, publicada no suplemento ordinário da "Gazzetta Ufficiale", n. 5 de 8 de janeiro de 1997, primeira parte.

(3) Lei n. 676 de 31 de dezembro de 1996: Delega al Governo in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali, publicada no suplemento ordinário da "Gazzetta Ufficiale", n. 5 de 8 de janeiro de 1997, primeira parte.

(4) Jornal "Il Sole-24 Ore" (organizado por), Guida al diritto. Settimanale di documentazione giuridica, 1° de fevereiro de 1997, pp. 12-37 (texto das duas leis); pp. 38-86 (comentário); Riccardo Imperiali - Rosario Imperiali, La tutela dei dati personali. Vademecum sulla privacy informatica, Il Sole-24 Ore, Milano 1997, 408 pp. O Secretário Geral da Autoridade Italiana da Proteção dos Dados é o autor do comentário mais recente: Giovanni Buttarelli, Banche dati e tutela della riservatezza. La privacy nella società dell'informazione, Giuffrè, Milano 1997, XXII-594 pp.

(5) Os autores dos dois comentários em curso de publicação são: Ettore Giannantonio - Mario G. Losano - Vincenzo Zeno-Zencovich (Cedam, Padova 1997); Roberto Pardolesi (Zanichelli, Bologna).

(6) O termo "Garante" permanece nesta tradução como na versão original em italiano. Este termo foi proposto em 1987 por Mario G. Losano no seu projeto de lei sobre a proteção dos dados pessoais e depois se difundiu no uso comum. Todavia, aquele projeto previa o Garante como órgão individual (como na maior parte das leis análogas) e não colegiado (como na atual lei italiana): cfr. Mario G. Losano, Una legge sulla protezione dei dati personali, "Il diritto dell'informazione e dell'informatica", III, maggio - agosto 1987, pp. 465-485; tradução espanhola: Un proyecto de ley sobre la protección de los datos personales en Italia, in: Libertad informática y leyes de protección de datos personales, Centro de Estudios Constitucionales, Madrid 1989, pp. 61-94.

Ainda a propósito da tradução, o termo "parágrafo" está para "comma", em italiano. No italiano jurídico, o "comma" pode ser entendido como o parágrafo jurídico (símbolo "§", subdivisão de um artigo) não numerado, que se identifica através da reentrância gráfica na linha seguinte: a primeira reentrância do artigo, depois do "caput", é o "parágrafo 1", e assim sucessivamente (N.d.T.).

(7) Rosalba Cori, L'Autorità per l'informatica nella pubblica amministrazione un anno dopo, "Queste istituzioni", 1994, n. 97, pp. 117-135. As decisões mais importantes desta Authority têm sido publicadas, desde 1993, na revista "Diritto dell'informazione e dell'informatica".

(8) Mario G. Losano, El Tratado de Schengen e Italia: Problemas del flujo transnacional de datos, "Informática y derecho" (Mérida), [1996], n. 12-15, II Congreso Internacional de informática y derecho, Actas, vol. II, pp. 1353-1357; tradução de: The Schengen Treaty and Italy - Some Problems in Transnational Data Flow, in: Current Research Information Systems in Europe: A Step Further, Conference Proceedings (Milan, May 11-13, 1995), Consiglio Nazionale delle Ricerche, Milano 1995, pp. 53-56.

(9) "Il Sole - 24 Ore", 17 de março de 1997, p. 2.

(10) Desta oito Authorities está excluído o banco italiano "Banca d’Italia", por que este possui, além das funções de controle, competências próprias dos institutos de emissão e constitui, assim, um caso especial de competência.

(11) Uma exposição destes problemas está em Mario G. Losano, La democracia, el crimen organizado y las leyes sobre la privacy, "Doxa. Cuadernos de filosofía y derecho" (Alicante), 1995, n. 15-16, vol. I, pp. 447-466; tradução revista de Databases, Privacy and Organized Crime, in: Hans-Werner Meuer (organizador), Facing the New World of Information Technology, Saur, München - London - New Providence - Paris 1994, pp. 13-29.

(12) Das italienische Datenschutzgesetz, in: Wolfgang Kilian (organizador), EC Data Protection Directive. Interpretation - Application - Transposition. Working Conference, Toeche-Mittler, Darmstadt 1997, pp. 145-146.

(13) Decreto legislativo de 9 de maio de 1997, n. 123: Disposizioni correttive ed integrative della legge 31 dicembre 1996, n. 675, in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali, "Gazzetta Ufficiale", Serie Generale, 10 de maio de 1997, n. 107, pp. 6 ss.