La strada percorsa dalla legge sulla privacy nel Regno Unito ha avuto una progressione simile a quella italiana per l’adozione della prima legge regolatrice della materia dei dati personali, ossia la legge 675/1996. La parabola evolutiva ha inizio negli anni Settanta, attraverso con la risoluzione del Comitato dei Ministri del Consiglio d’Europa del 26 settembre 1973 sulla protezione della vita privata delle persone fisiche rispetto alle banche dati elettroniche nel settore privato ed anche con la risoluzione del 29 settembre 1974 riferita alle banche dati del settore pubblico, ma questo strumento, non avendo carattere vincolante per i governi, risultò insufficiente. L’occasione reale e proficua per un incontro tra i Paesi europei per armonizzare e discutere la questione privacy è stata la Convenzione del 28 gennaio 1981, meglio conosciuta come “Convenzione di Strasburgo”, il cui primo articolo indica come scopo ed oggetto della Convenzione quello di garantire, sul territorio di ciascuna parte aderente, ad ogni persona fisica, quali che siano la sua nazionalità o residenza, il rispetto dei suoi diritti e delle sua libertà fondamentali e, in particolare, del diritto della vita privata, in relazione all’elaborazione automatica dei dati a carattere personale che la riguardano. Nel preambolo si ravvisa la necessità di una normativa per conciliare i valori fondamentali della vita privata e della libera circolazione delle informazioni tra i popoli la Convenzione, può riassumersi in una serie di principi fondamentali, poi riconosciuti nelle legislazioni europee che seguirono; tali principi generali erano:

• Qualità dei dati: l’elaborazione deve esercitarsi in modo lecito e corretto, per scopi legittimi e con un utilizzo adeguato.

 
• Divieti di elaborazione: non è consentito indagare sull’origine razziale, sulle opinioni politiche e religiose, sulla salute, sulla vita sessuale e sulle condanne penali, salvo che il diritto nazionale non preveda garanzie.

 
• Sicurezza: devono essere previste misure preventive contro la distruzione e l’accesso indiscriminato dei dati.

• Conoscenza: deve essere garantito il libero accesso dell’interessato alla conoscibilità dell’esistenza dei dati personali

• Diritto di rettifica e cancellazione: l’interessato può chiederla per i dati illegittimamente acquisiti

• Superamento dei limiti: le restrizioni possono essere limitate nei casi di impegni statistici e scientifici, di repressione dei reati, protezione dell’interessato e difesa della libertà.

• Movimento transfrontaliero dei dati: si sancisce la necessità di assistenza reciproca fra gli Stati e la maggiore libertà di movimento oltre frontiera dei dati.

Vigeva un obbligo degli Stati firmatari; questi dovevano adottare le misure necessarie per dare effetto al contenuto della Convenzione al più tardi entro l’entrata in vigore della stessa. In realtà la Convenzione fu un ponte tra le norme già esistenti e la normativa, vincolante, comunitaria. Quest’ultimo aspetto della convenzione ha poi assunto particolare importanza in relazione all’Accordo di Schengen del 1985, relativo all’eliminazione graduale dei controlli alle frontiere comuni, in quanto la libera circolazione riguardava i dati personali ed in particolare anche quelli relativi al settore di polizia (Eurpol). Il Regno Unito proprio in applicazione e attuazione della Convenzione surriferita pose mano ad una prima legge sulla tutela dei dati personali, il “Data Protection Act” del 1984, che data la sua intrinseca lacunosità e ineguadezza, ha subito notevoli aggiustamenti nel corso della sua applicazione fino a giungere ad essere soppiantata da una nuova legge in materia di privacy nel 1998, tutt’ora in vigore. La promulgazione di una nuova normativa per la protezione dei dati personali si rese necessaria soprattutto per il venire in essere il 24 ottobre 1995, della Direttiva 95/46 del Consiglio dell’Unione Europea relativa alla tutela dei diritti e delle libertà fondamentali delle persone fisiche e particolarmente del diritto alla vita privata, in merito al trattamento dei dati personali nonché alla libera circolazione di essi. La direttiva, imponendo agli Stati membri l’obbligo di conformare, entro tre anni, il proprio ordinamento ai principi comuni come diritto del singolo di opporsi al trattamento dei dati che lo riguardano, lealtà e liceità del trattamento medesimo, rispetto dei diritti dell’uomo e delle libertà fondamentali, istituzione di appositi organismi indipendenti per la vigilanza sulla correttezza e rispetto della direttiva, ha reso necessario, per l’ordinamento giuridico inglese, la stesura di una legge che facesse propri i principi della direttiva¹. La nuova normativa in recepimento dei principi della direttiva europea entrò in vigore il 1 Marzo 2000 la con il Data Protection Act 1998. La nuova legge, che è completata da ben 17 regolamenti di attuazione, rafforza ed estende il regime di tutela dei dati personali che in Gran Bretagna era previsto sin dal “Telecommunications and Data Protection Act” del 1984. In particolare, l'ambito di applicazione della legge viene esteso anche a certe forme di archivi manuali, mentre il “data subject” (ovvero il soggetto cui si riferiscono i dati personali) gode di una tutela più estesa e le procedure di registrazione vengono sostituite con procedure di notificazione. Sono riaffermati i principi di qualità nel trattamento, si prevedono condizioni più stringenti per il trattamento di certi dati particolari (ad esempio quelli “sensibili”) insieme a nuove regole per il trasferimento dei dati a Paesi fuori dall'UE. Infine, risultano rafforzati i poteri dell'Autorità garante². Questa era originariamente denominata “Data Protection Registrar” (1984), poi “Data Protection Commissioner” (1998) e, dal 30 gennaio 2001, “Information Commissioner”.

1.2 La legge sulla privacy inglese: Data protection act del 1998

Come abbiamo precedentemente accennato a fine del paragrafo precedente, nel Regno Unito la materia della tutela dei dati personali è regolata dalla Data Protection Act del 16 luglio 1998, modellata in gran parte dalle linee guida della Direttiva del 1995 n. 46 del Consiglio dell’ Unione Europea per la quale tutti gli Stati membri di Unione Europea, compreso il Regno Unito, sono stati obbligati a generare la nuova legge “sull'elaborazione dei dati personali”. La Legge 1998 di protezione dei dati personali è entrare in vigore il 1° marzo 2000 in sostituzione della “Data protection act” del 1984. Prima di affrontare una disanima dei vari articoli che compongono la nuova disciplina della privacy nel Regno Unito, è necessario e proficuo porre la nostra attenzione su cosa si intende in Gran Bretagna per dati personali e quale sia la terminologia adottata dalla Data Protection Act. A queste necessità provvede direttamente la legge summenzionata nell’articolo di apertura stabilendosi la terminologia e le definizioni adottate nella legge stessa, quindi si intende per:

• Dati personali (personal data) le informazioni elettroniche o manuali di dati personali che identificano un individuo vivente, per esempio nome della persona, indirizzo, indirizzo di posta elettronica, campione del DNA, immagine di CCTV³ecc.

• Trattamento (data processor) qualsiasi attività che può essere effettuata riguardo ai dati personali, per esempio ottenere, memorizzare, copiare o trasferire tali dati, organizzazione, adattamento o alterazione delle informazioni o dei dati, ricerca, consultazione o uso delle informazioni

• L’utilizzatore dei dati (data controller) chiunque che controlla l'elaborazione dei dati personali, per esempio banca, società di assicurazioni, agenti di cambio, ditte di legge, supermercati e reparti di governo.

 
• Interessato (data subject ) la persona specifica che a cui i dati si riferiscono.

Nel Data Protection Act vengono stabiliti dei principi cardine per l’elaborazione dei dati personali a cui tutti gli utilizzatori di dati devono aderire incondizionatamente; tali principi, che vengono dettagliatamente specificati dal “Garante”, nel corso della propria attività di interpretazione e adeguamento della disciplina alle vicissitudini dell’evoluzione, vengono sorretti da sanzione penale per omissione da chiunque compiuta.Tali principi non si applicano per i trattamenti di dati personali effettuati per la sicurezza nazionale, la prevenzione o la repressione del crimine, la valutazione o determinazione della tassazione nazionale e per gli scopi specifici dell'amministrazione statale. Entrando nel vivo della disciplina, secondo la legge sulla privacy inglese il primo principio base per la protezione di dati personali consiste nel trattare tali dati in modo ragionevolmente e legittimo. Per determinare la legittimità il Data Protection Act utilizza il termine “giusta al metodo con cui i dati sono stati ottenuti. La parte II dell’articolo 1 chiarisce a tal fine la raccolta ed elaborazione dei dati sarà giusta solo quando la persona da quale i dati si riferiscono non sia stata “ingannata o fuorviata circa gli scopi del trattamento. Si avrà, inoltre, ragionevolezza quando i dati vengono trattati solo per gli scopi per i quali sono stati raccolti e che un eventuale mutamento del tipo di trattamento venga autorizzato in modo esplicito dall’interessato. Un secondo principio essenziale per un trattamento conforme dei dati personali viene ravvisato nella effettuazione del trattamento dei dati in un ambiente sicuro⁴. Ciò richiede di adottare misure adatte per assicurare che l'elaborazione non avvengano trattamenti non autorizzati ed a scongiurare pericoli di perdita, furto o utilizzo difforme dal paradigma normativo. A tal fine risulta fondamentale ed indispensabile il compito affidato al Information Commissioner che ha tra i suoi compiti proprio quello di dare, con i provvedimenti opportuni, specificazione hai principi posti nel Data Protection Act. Un ultimo principio che merita nota è il divieto di trasmissione dei dati personali al di fuori della Comunità Economica Europea. Le sole eccezioni a questa regola si riferiscono a quei paesi che hanno legislazione sufficientemente garantista per la protezione di dati personali secondo gli standard della Data Protection Act (finora solo Svizzera e l'Ungheria) e quando ci sia il consenso all'esportazione effettuato dall’interessato. Vale, anche in Gran Bretagna, il principio della territorialità, per cui la legge sulla privacy trova applicazione rispetto ai trattamenti di dati effettuati sul territorio nazionale, ma con la precisazione che la legge inglese si applica anche laddove il trattamento sia effettuato da un soggetto non stabilito sul territorio nazionale che ricorre, ai fini del trattamento di dati personali, a strumenti situati nel territorio nazionale, a meno che questi non siano utilizzati ai soli fini di transito nel territorio nazionale. In quest’ultima ipotesi il titolare del trattamento è tenuto a nominare un rappresentante stabilito in Gran Bretagna. Il Data protection Act nella “part II” attribuisce una serie di diritti ai soggetti cui i dati personali si riferiscono autorizzandoli ad:

• Essere informato da qualsiasi utilizzatore di dati se possiede dati personali propri e richiedere una copia dei dati medesimi;

• Impedire il trattamento la tenuta dei propri dati personali quando sussiste il pericolo di danni o sia pregiudizievole per l’interessato o per una terza persona;

• Esercitare il diritto di opporsi al trattamento di dati condotto per scopi di direct marketing;

 
• Esercitare il diritto a non essere sottoposta a decisioni individuali automatizzate;

• Esercitare il diritto di fare correggere i dati inesatti o cancellati;

• Esercitare il diritto di richiedere il risarcimento dei danni causati da elaborazione dei dati illegale;

 
• Richiedere all’ Information Commissioner di acquisire la conoscenza delle attività di qualsiasi utilizzatore di dati.

 
• Esercitare il diritto di accedere ai propri dati personali;

 
• Richiedere che il trattamento avvenga secondo i principi di legalità e conformità come stabiliti nel Data Protection Act.

Il consenso dell’interessato⁵, che pure è richiesto dalla legge inglese quale condizione per il trattamento dei dati personali, non viene previsto nel corpo della legge, come avviene per la 675/96, bensì nell’allegato (Schedule 2). Così come in allegato sono affermati i principi di qualità nel trattamento dei dati personali (Schedule 1). L’impressione di chi scrive è che in tal modo si perde l’importanza chiave dei principi di qualità nel trattamento dei dati e della necessità del consenso al trattamento⁶. Al tempo stesso il Data Protection Act stabilisce gli obblighi che l’utilizzatore dei dati deve necessariamente osservare per un corretto trattamento dei dati personali e per non incorrere nelle sanzioni penali che la legge stabilisce a protezione della disciplina della privacy. Il titolare del trattamento dei dati è tenuto a

• notificare al Commissioner i dati che lo riguardano

• a fornire una descrizione generale delle misure di sicurezza adottate, nonché a comunicare le eventuali modifiche che dovessero intervenire successivamente.

 
• Richiede ad ogni utilizzatore di dati di informare l'autorità nazionale, preposta all’osservanza della legge, ossia il “Information Commissioner”,.il proposito di utilizzare ed elaborare dati personali (“notifica”)⁷

• Aderire ad un codice di comportamento sull'elaborazione dei dati (“i principii di protezione di dati”);

• astenersi dall’effettuare il trattamento dei dati fino a che il Commissioner non si sia pronunciato sulla notifica, ovvero non sia scaduto il termine dei 28 giorni entro i quali il Commissioner deve esaminare la notifica

• osservare gli obblighi legali generali - sia statutario che consuetudinario.

Per quel che riguarda i dati cd. sensibili il Data Protection Act del 1998 all’articolo 2 stabilisce che essi riguardano l'origine razziale o etnica del soggetto interessato, i suoi pareri politici, la sua credenza religiosa o l'altra credenza di natura simile, se è un membro di un sindacato (ai sensi del sindacato e della Legge 1992 di rapporti di lavoro), la sua salute o stato fisico o mentale, la sua vita sessuale, la commissione o commissione presunta di qualsiasi reato, qualsiasi dato relativo ad illeciti commessi o dichiarati. In Italia, com’è noto, il trattamento dei dati sensibili è subordinato al consenso scritto dell’interessato e all’autorizzazione preventiva del garante, tranne il caso dei dati personali inerenti alla salute (dove non è necessaria l’autorizzazione del Garante) e dei dati raccolti nell’esercizio della professione di giornalista (dove non è richiesto né il consenso, né l’autorizzazione del Garante). La legge inglese, invece, richiede il consenso dell’interessato, ovvero, in alternativa, che il trattamento sia necessario per adempiere un’obbligazione cui è tenuto il titolare nell’ambito di un rapporto di lavoro, ovvero sia necessario per proteggere gli interessi vitali dell’interessato o di un’altra persona, sia necessario nell’ambito di un procedimento legale, per ottenere consulenza o preparare la difesa, o infine per finalità mediche⁸(Schedule 3).

1.3 Il “Garante” inglese: Information Commissioner

Dal 30 Gennaio 2001 il ruolo di garante della tutela dei dati personali nel Regno Unito, il Data Protection Commissioner, ha modificato la sua posizione e la sua denominazione in Information Commissioner per meglio rispondere alle esigenze di quanti si sentono minacciati nel proprio diritto di privacy. Infatti il commissario, David Smith, ha reso pubblico la strategia regolatrice di azione del “ICO” stabilendo che: “Un dovere primario dell'”Office” è di accertarsi che le informazioni personali siano protette correttamente. La maggior parte delle organizzazioni necessitano di una spiegazione e di una semplificazione delle disposizioni della Data Protection Act, per non incorrere nel trattamento di dati illegittimo e passibile di sanzioni penali che ostacolerebbero la loro stessa attività. Tuttavia, proteggeremo chiunque risulti essere il “bersaglio “ di trattamenti di dati personali presentando e comunicando i propri diritti, nonché apprestando i mezzi di tutela per non verder violato il proprio diritto alla privacy” Il “Grarante” inglese è un'autorità di sorveglianza indipendente. Risponde della sua attività solo nei confronti del Parlamento britannico, essendo obbligato periodicamente a riferire quanto compiuto in adempimento dei suoi doveri di vigilanza e interpretazione della Data Protection Act e leggi affini, come la legge del 2004 sulle informazioni ambientali e la segretezza delle comunicazioni elettroniche del 2003. L’ Information Commissioner ha due obiettivi principali: sincerarsi del rispetto delle normative surriferite intervenendo a dispensare pareri sulla loro applicazione ed accertarsi che i dati personali vengano trattati secondo i principi e gli obbiettivi stabiliti dalla legge. Oltre che questi obiettivi principali il “garante”, si occupa di:

• Fornire un servizio di informazioni per individui singoli e organizzazioni in materia di dati personali

• Pubblicare periodicamente raccomandazioni per il rispetto dei diritto dei singoli e la buona organizzazione dei dati personali

• Risolve i reclami presentati da chiunque si reputi leso da un illecito trattamento dei propri dati personali
 

• Cura la redazione e la tenuta di un registro dove devono necessariamente essere inclusi tutti coloro che provvedono al trattamento di dati personali

• Provvede ad erogare le sanzioni prevista dalla Data Protection Act per le violazioni ai principì di trattamento dei dati

La tutela giurisdizionale ordinaria, invece viene esercitata dal Data Protection Tribunal composto di membri togati e non togati, (questi ultimi rappresentano gli interessi delle parti in conflitto, ovvero titolari e interessati), è competente, inoltre, a conoscere i reclami avverso le decisioni del Data Commissioner. Va sottolineato come in questo caso, a differenza del caso italiano, le competenze giurisdizionali in materia di dati personali siano state attribuite ad un organo di natura giudiziaria che non coincide con l'organo di controllo.

1.4 La tematica degli MMS affrontata dal Information Commissioner inglese

Anche nel Regno Unito il dibattito tra nuove tecnologie e tutela della riservatezza ha assunto nell’ultimo settennio un apprensione rilevante soprattutto per l’efficienza e la validità degli assunti previsti dalla Data Protection Act del 1998. Nel Regno Unito, le preoccupazioni maggiori sono state espresse dal Informatio Commissioner proprio alla vigilia dell’intervento del Garante per la protezione dei dati personali italiano sul corretto utilizzo degli MMS⁹, con riconoscimento espresso dell’acutezza e prontezza del nostro Garante per un argomento che merita un’attenzione particolare visto l’enorme diffusione e sempre maggiore evoluzione tecnica che presentano i videofoni. La Legge 1998 di protezione di dati Del Regno Unito assicura che “l’utilizzo di dati personali da parte di un individuo soltanto per gli scopi personali, della famiglia o del gruppo famigliare (scopi di ricreazione compresi) sono esenti dai principi posti dalla normativa per la protezione di dati.” Il Dott. Chris Pounder dei Masons, della testata giornalistica¹⁰ legale OUT-LAW ha detto: “La Legge 1998 di protezione di dati non si applica in molte situazioni che riguardano il trattamento dei dati poiché vi è un'esenzione per l'elaborazione dei dati personali per gli scopi di ricreazione e domestici, per esempio, se fossi un membro di un club riservato e scatterei una fotografia digitale di una celebrità e la trasmetterei agli amici via telefonino non incorrerei nella definizione di trattamento di dati come stabilito dalla Data Protection Act”, ed inoltre, continua il giornalista legale “l'individuo che riceve la fotografia non ha un obbligo di riservatezza all'argomento di fotografia”. Il Dott. Pounder ha aggiunto:“La diffusione dei telefoni mobili dotati di fotocamera significherà che le macchine fotografiche digitali saranno dappertutto e questo potrebbe cogliere impreparata la legislazione in materia di privacy nel Regno Unito ponendo gravemente in pericolo la segretezza delle persone”¹¹. Date queste premesse e l’importanza di poter preservare senza riserve il diritto alla privacy minacciato costantemente da tali nuove tecnologie di comunicazione, il Garante inglese è intervenuto stabilendo una sorta di vademecum cui gli utilizzatori di “videofonini” devono necessariamente attenersi per evitare di violare la riservatezza altrui. Secondo l’ Information Commissioner prima che si cominci a scattare foto con il telefonino, risulta imprescrittibile e vitale raccogliere il consenso¹² delle persone da immortalare. Maggiori cautele sono prescritte in caso di presenza di minori, risultando necessario il consenso del genitore o di chi ha la custodia e viglilanza sullo stesso bambino o giovane fino all'età di 18 (“consenso parentale”).
 

Se i genitori non sono d'accordo circa il consenso al “trattamento” dei dati del minore con fotografie o in video registrazione, i dati raccolti si intendono non conformi al Data Protection Act e vi è la possibilità di incorrere nell’applicazione di sanzioni penali predisposte per il trattamento dei dati effettuato illegittimamente. Inoltre, se i genitori acconsentono ma il bambino non, allora acconsentire non può essere considerare come dato. Quanto finora esposto ha valenza solo quando la persona ritratta nella fotografia o ripresa in un video sia “chiaramente” riconoscibile, esulando dalla normativa in materia di privacy le immagini panoramiche, le immagini con bassa risoluzione o “sfocate, ecc. che non consentono in modo preciso di individuare persone. L’Information Commissioner si preoccupa, inoltre, di precisare la valenza temporale del consenso prestato, stabilendo l’obbligo del titolare del trattamento di distruggete le immagini dopo due anni dalla data sulla prestazione del consenso da parte dell’interessato, a meno che non venga prestato un ulteriore consenso alla continuazione del trattamento. Ciò è particolarmente importante se la vostra pubblicazione avrà un alto profilo, per esempio se avrà un'ampia circolazione o divulg un congresso. Se il consenso si riferisce per un progetto specifico e determinato, non sarà possibile usare le fotografie raccolte per altre tipologie di trattamento, salvo prestazione di un ulteriore consenso; ad esempio non è consentito pubblicare sul Web foto scattate con il cellulare se il consenso prestato si riferisce solo all’utilizzo tramite MMS¹³. Gli individui devono essere informati del rischio per sicurezza quando le immagini sono trasmesse sul World Wide Web ai paesi senza livelli sufficienti di protezione per l'elaborazione dei dati personali, fuori della Comunità Economica Europea. Il “Garante” inglese, inoltre, preoccupato per una diffusione non controllata di immagini altrui stabilisce che le raccolte fotografiche devono essere diligentemente organizzate per scongiurare perdita, diffusione e smarrimento delle immagini stesse provocando, così, pericolo per nocumento ai diritti degli interessati. L’utilizzatore delle fotografie quindi dovrà:

• aderire ai requisiti precisati nella Legge 1998 di protezione di dati

• usare un deposito sicuro se tratta le fotografie elettronicamente

• chiedere il consenso all’interessato per la raccolta e diffusione nonché in caso di diffusione estesa chiedere il consenso all’ Information Commissioner

• attenersi ai principi stabiliti nelle raccomandazioni dell’ Information Commissioner per prevenire trattamenti illeciti di dati personali

Il Garante per la protezione dei dati personali inglese termina questa sua raccomandazione sull’utilizzo dei videofonini con l’avvertimento che in caso di trattamento in difformità ai principi surriferiti, il titolore del trattamento incorrerà necessariamente nelle sanzioni predisposte dal Data Protection Act. Non sussistono finora pronunce del “Data Protection Tribunal” o “Information Commissioner” sull’utilizzo lesivo della riservatezza altrui effettuato con l’utilizzo degli MMS, ma sussistono, necessariamente, invocazioni al legislatore inglese per un’attenzione particolare su tali strumenti di comunicazione di massa che anche nel Regno Unito hanno avuto una diffusione preoccupante derivata dall’abbattimento notevole del costo dei videofonini e dalla loro sempre maggiore evoluzione tecnica che comporta una notevole qualità di ripresa paragonabile, a volte, a quella professionale
 

-------------------------------------------------------

1  Krokidi Moretti, Privacy e diritto all’informazione nella corte inglese, in Rass. Dir. Civ

2 Gli organi di controllo previsti e disciplinati dalla precedente Data protection act del 1984 erano: il Registrar data protection, funzionario nominato dalla Regina, che riferisce direttamene al Parlamento ed il Tribunale per la protezione dei dati competente a pronunciarsi sulle controversie relative alle banche dati

3 Per CCTV si intendono le immagini (foto e video)

4 www.ico.co.uk

5 Il consenso non è definito nella legge, ma interpretazione dello stesso si basa, dichiara che significa:sull’indicazione specifica ed univoca di permesso al trattamento di dati personali propri.

6 Laura Liguori e di Kathleen Stagi, Gran Bretagna: una legge di seconda generazione, in www.interlex.it

7 Gli utilizzatori di dati devono informare l'ufficio del “Garante” riguardo ai tipi di elaborazioni che intendono intraprendere. Il “Commissioner” provvederà, quindi ad l’inserzione su un apposito registro che assume la qualifica di documento pubblico e può essere consultato da chiunque per informarsi circa scopi della tenuta ed elaborazione di dati effettuata da ogni utilizzatore di dati.

8 Furedi, F., The New Ideology of Imperialism, Pluto, Londra, 2004

9  www.ico.co.uk

10 www.out-law.co.uk

11 Dandeker, C., Surveillance, Power and Modernity, Cambridge University Press, Cambridge, 2003

12 Secondo art. 7 il consenso deve essere prestato in modo esplicito e in forma scritta dall’interessato

13 “Un'immagine di dati personali e non deve essere utilizzata per uno scopo diverso da quello che originalmente era stato raccolto ( articolo 2 della Legge 1998 di protezione di dati).