Provv. Garante Privacy del 7 gennaio 2002

Garante per la Protezione dei Dati Personali

Provvedimento del 7 gennaio 2002

(…)

I DATI "SENSIBILI"

La legge n. 675/1996 prevede garanzie particolari per la categoria dei dati c.d. sensibili che riguardano profili particolarmente delicati della sfera privata delle persone (salute, vita sessuale, sfera religiosa, politica, sindacale e filosofica, origine razziale ed etnica) e che sono specificamente enumerati (art. 22, comma 1, legge cit.).

L’utilizzazione di questi dati determina effetti rilevanti nei confronti degli interessati. La direttiva comunitaria in materia (n. 95/46/CE) ne disciplina in maniera particolarmente rigorosa il trattamento.

E’ previsto, sempre a livello comunitario, solo un numero limitato di eccezioni tra cui figura, in particolare, l’ipotesi in cui sulla base della legge o di una decisione dell’Autorità garante sia riconosciuta l’esistenza di un interesse pubblico rilevante e siano previste opportune garanzie (art. 8, par. 4, dir. cit).

IL TRATTAMENTO DA PARTE DI SOGGETTI PUBBLICI

Per la pubblica amministrazione italiana è stato previsto un lungo periodo transitorio in base al quale la stessa ha potuto proseguire i trattamenti di dati sensibili per oltre un biennio a partire dal maggio del 1997, senza porre in essere significative procedure per incrementare il grado di rispetto dei diritti degli interessati (art. 41, comma 5, legge cit.).

Nel 1999, sulla base di talune modifiche ed integrazioni apportate alla legge n. 675, sono state previste soluzioni che avrebbero dovuto facilitare l’introduzione di specifiche garanzie su iniziativa delle singole amministrazioni pubbliche che trattano i dati (d.lg. 11 maggio 1999 n. 135 e d.lg. 30 luglio 1999, n. 282).

Per i soggetti pubblici è rimasta operante la possibilità di trattare i dati sensibili quando ciò sia previsto da una norma di legge che specifichi espressamente talune condizioni (rilevanti finalità di interesse pubblico perseguite; dati personali che possono essere utilizzati; operazioni di trattamento eseguibili).

Per i casi in cui manchi tale specifica base normativa, si è prevista la possibilità per i soggetti pubblici di chiedere al Garante di individuare transitoriamente le rilevanti finalità di interesse pubblico non previste espressamente da una legge, da un decreto legislativo o da un decreto -legge e che possono giustificare l’utilizzazione dei dati sensibili.

Varie finalità di interesse pubblico sono state individuate da un apposito decreto legislativo (n. 135/1999) e da un provvedimento del Garante (n. 1/P/2000 del 30 dicembre 1999-13 gennaio 2000, in G.U. 2 febbraio 2000, n. 26).

Tale decreto ha previsto, altresì, alcuni principi per quanto riguarda le informazioni utilizzabili e le modalità di trattamento (artt. 2-4 d.lg. n. 135 cit.).

Per la loro attuazione i soggetti pubblici avrebbero dovuto avviare l’adeguamento dei propri ordinamenti entro il 31 dicembre 1999.

In particolare, entro tale data avrebbero dovuto essere instaurate le procedure per individuare i tipi di dati sensibili e le operazioni di trattamento strettamente pertinenti e necessarie in relazione alle finalità individuate dapprima dal predetto decreto e, poi, dal provvedimento del Garante. Tale identificazione avrebbe dovuto essere poi aggiornata periodicamente (art. 5, comma 4, d.lg. cit.; art. 22, comma 3-bis, cit.).

Analoga soluzione, in riferimento alle finalità individuate dal citato decreto, avrebbe dovuto essere seguita per trattare i dati che attengono a determinati provvedimenti di carattere giudiziario (art. 5, comma 5-bis, d.lg. cit.; art. 24 legge cit.).

EVENTI SUCCESSIVI AL 1999

Il decreto n. 135/1999 non ha previsto un termine perentorio entro il quale i soggetti pubblici avrebbero dovuto ultimare le procedure in esame, essendo stato individuato solo il termine iniziale del 31 dicembre 1999.

Dall’esame di alcuni ricorsi e segnalazioni il Garante ha potuto però rilevare che diverse amministrazioni pubbliche non hanno attivato alcuna iniziativa anche dopo tale data, evidenziando una totale inerzia al riguardo.

Ciò sebbene la Presidenza del Consiglio dei ministri abbia fornito indicazioni con due circolari (n. DAGL/643-Pres. 98 e n. DAGL/643-Pres. 2000, in G.U. 3 maggio 2000, n. 101), ricordando alle amministrazioni anche l’obbligo di assicurare la massima diffusione della rilevazione effettuata, attraverso un’opportuna pubblicazione degli atti adottati.

Non è stato nemmeno emanato il decreto, previsto sempre nel 1999, per provvedere ai predetti adempimenti in modo uniforme per tutti gli organismi pubblici operanti all’interno del Servizio sanitario nazionale (art. 2 d.lg. n. 282/1999; art. 23 legge cit.).

Sono state intraprese solo rare iniziative da parte o nell’interesse di soggetti pubblici, peraltro adottate in difformità dalla legge (v., ad esempio, il d.m. 30 maggio 2000 sui dati sensibili trattati dal Ministero del commercio con l’estero, emanato senza la prevista consultazione del Garante), oppure inadeguate rispetto al quadro delle garanzie necessarie (v. ad es., alcuni schemi di regolamento predisposti dall’ANCI, "destinati ad offrire soluzioni organizzative", ritenuti dal Garante non conformi alla cornice delle norme in vigore: cfr. nota del 23 maggio 2000, riportata nel Bollettino del Garante n. 13, p.p. 21-26).

Da più fonti conoscitive (ricorsi, schemi di provvedimento, richieste di parere, ecc.) è emersa inoltre la tendenza di vari soggetti pubblici a privilegiare aspetti meramente formali nella tutela delle persone interessate, legati ad adempimenti talvolta superflui o inadatti ai singoli casi di specie, trascurando invece la cura dei profili sostanziali di garanzia.

IL CONTENUTO DEI PROVVEDIMENTI DA ADOTTARE

L’individuazione dei tipi di dati sensibili e giudiziari e delle operazioni di trattamento, che diversi soggetti pubblici non hanno definito nelle forme previste dai rispettivi ordinamenti, non rappresenta un mero adempimento formale di ricognizione di prassi esistenti.

Si tratta, piuttosto, di un provvedimento che deve attuare con effetti innovativi i principi vincolanti affermati in proposito dal d.lg. n. 135/1999 (artt. 2-4), al fine di ridefinire su basi più rispettose dei diritti della personalità una serie di trattamenti legati alle finalità di rilevante interesse pubblico enumerate dal decreto legislativo o dalla decisione del Garante.

Il provvedimento che i soggetti pubblici devono adottare esige anzitutto, una scrupolosa ricognizione di tutte le attività materiali che il soggetto pubblico intende proseguire in relazione a dette finalità, con strumenti automatizzati e non automatizzati.

Occorre poi una previa valutazione della stretta pertinenza e necessarietà dei dati e delle operazioni rispetto alle finalità, valutazione da operarsi da parte degli organi in grado di manifestare in proposito la volontà del soggetto pubblico (art. 22, comma 3-bis, cit.).

Trattandosi di provvedimenti attuativi del citato decreto legislativo (art. 5, comma 5, d.lg. n. 135 cit.), è inoltre fuor di luogo la mera riproduzione del contenuto di disposizioni riportate in leggi, decreti legislativi o decreti-legge, unita ad un’indicazione solo di macro-tipologie di dati e di descrizioni del tutto generiche del loro impiego.

La pubblicità che per legge deve essere data a tali provvedimenti, secondo i vari ordinamenti (art. 22, comma 3-bis, cit.), deve porre poi il cittadino in condizione di conoscere, con un apprezzabile grado di chiarezza, con quali modalità sono utilizzate delicate informazioni che secondo la direttiva comunitaria non potrebbero altrimenti essere trattate, come si è detto.

A tal fine possono essere utilizzati anche prospetti schematici (del tipo di quello che il Garante ritiene di suggerire, in allegato al presente provvedimento), che possono facilitare il collegamento tra le tipologie di informazioni e di operazioni e le finalità di rilevante interesse pubblico specificamente individuate dal d.lg. n. 135/1999, dal Garante o da un altro atto normativo avente le caratteristiche suddette.

I dati personali trattati vanno indicati per categorie (senza entrare in ulteriori specifici dettagli: es. dati sulla salute; vita sessuale; ecc.) tenendo conto che le tipologie di dati non individuate e rese pubbliche non possono essere poi utilizzate.

La parte del provvedimento che attiene alle operazioni di trattamento potrebbe essere così suddivisa: a) indicando un primo gruppo di operazioni standard, che può essere comune a più tipologie di dati, ma che deve comunque rispondere al principio di stretta necessità (raccolta, conservazione, cancellazione, ecc.); b) ponendo altresì in maggiore evidenza le operazioni che possono spiegare effetti più significativi per l’interessato (es., elaborazione, selezione, raffronto); c) aggiungendo una descrizione sintetica dei flussi di dati (specificando ad es. dove sono raccolti di regola i dati, le eventuali interconnessioni o consultazioni da parte di altre amministrazioni, i trattamenti di cui all’art. 17 della legge n. 675/1996 ecc.).

FORMA DEI PROVVEDIMENTI

Per quanto riguarda la forma il d.lg n. 135/1999 rinvia agli ordinamenti dei soggetti pubblici interessati, i quali operano in diversi settori dello Stato, degli enti pubblici e dell’amministrazione locale.

Questa Autorità ha evidenziato in altre circostanze che gli atti amministrativi diversi da quelli di rango regolamentare non si prestano ad essere utilizzati nel caso di specie (v. ad es. la nota indirizzata alla Presidenza del Consiglio dei Ministri il 15.11.1999, nonché il comunicato stampa in pari data pubblicato nel Bollettino del Garante n. 10, p. 112).

Non a caso il decreto legislativo n. 282/1999 ha previsto la fonte di rango regolamentare per i trattamenti di dati in ambito sanitario.

Lungi dall’avere un carattere meramente ricognitivo di prassi preesistenti, i provvedimenti qui considerati producono effetti innovativi e significativi sui diritti fondamentali di numerose persone interessate.

Vengono infatti rese lecite alcune operazioni di trattamento come la comunicazione e la diffusione che, se effettuate su dati "comuni", richiedono una norma di legge o di regolamento (art. 27, commi 2 e 3, legge cit.).

In considerazione anche dei riferimenti contenuti nella normativa comunitaria che presuppone fonti primarie o decisioni dell’autorità garante nazionale (art. 8., par. 4, dir. cit.), è necessario che i soggetti pubblici prescelgano per gli atti in questione una fonte di rango quantomeno regolamentare.

Si richiamano, in proposito, le considerazioni più volte già sviluppate dal Garante a proposito dell’art. 27 della legge circa la differenza tra le fonti normative secondarie e gli atti, pur denominati regolamenti, che ne hanno l’apparenza, ma non la sostanza e sono quindi insuscettibili di determinare effetti giuridici all’esterno nella materia in esame (v., fra le altre, la nota del 23.1.1998 pubblicata sul Bollettino del Garante n. 3, p. 28).

Occorre comunque tener conto anche del particolare, e più adeguato, procedimento di formazione -interno ed esterno ai soggetti pubblici- degli atti di rango regolamentare, che assicura all’atto in questione una maggiore stabilità.

CONCLUSIONI

La ricognizione dei trattamenti e la loro disciplina nei regolamenti non riguardano aspetti meramente formali, ma incidono su aspetti sostanziali e sono necessari per poter ritenere leciti i trattamenti dei dati sensibili e giudiziari.

In loro mancanza i soggetti pubblici operano sprovvisti di un indefettibile presupposto di liceità, trattando dati sensibili e giudiziari relativi ad innumerevoli cittadini senza alcune necessarie garanzie, privando gli interessati della possibilità di conoscere le utilizzazioni effettive dei dati che li riguardano.

La diffusività del fenomeno è tale da esporre il nostro Paese ai rischi di gravi violazioni della disciplina comunitaria.

Il Garante, in presenza di accertate violazioni di quanto previsto dalle discipline ricordate, adotterà specifici provvedimenti di blocco o divieto del trattamento. Resta comunque impregiudicato il diritto dei cittadini di far valere i propri diritti nelle competenti sedi, anche in relazione agli eventuali danni subiti.

Il Garante ritiene altresì di dover nuovamente segnalare la problematica alle competenti autorità di Governo, per quanto ritenuto necessario in relazione al buon andamento degli uffici pubblici e alla coerente e tempestiva attivazione delle politiche comunitarie, nonché all’eventuale previsione di un termine per la conclusione dei procedimenti in questione.

L’Autorità ritiene anche opportuno rappresentare a tutte le amministrazioni interessate le suesposte indicazioni per le attività che dovranno prontamente intraprendere o riassumere, riservandosi di collaborare con gli organismi rappresentativi delle autonomie locali, anche in base ai protocolli con essi già sottoscritti, ai fini della predisposizione di un più dettagliato schema di regolamento per gli enti locali.

TUTTO CIO’ PREMESSO IL GARANTE:

a) segnala al Governo ai sensi dell’art. 31, comma 1, lett. m), della legge n. 675/1996 la necessità di conformare alle disposizioni vigenti il trattamento dei dati sensibili e giudiziari da parte dei soggetti pubblici;

b) dispone la trasmissione di copia del presente provvedimento anche alle amministrazioni indicate nell’elenco in atti e a quelle che hanno chiesto sull’argomento un parere al Garante.

(Presidente e Relatore S. Rodotà)

Articolo precedenteNessun vincitore
Articolo successivoCorte Costituzionale del 30 gennaio 2002
Lo studio legale dedica, tutti i giorni, una piccola parte del proprio tempo all'aggiornamento del sito web della rivista. E' un'attività iniziata quasi per gioco agli albori di internet e che non cessa mai di entusiasmarci. E' anche l'occasione per restituire alla rete una parte di tutto quello che essa ci ha dato in questi anni. I bravi giuristi sono sempre i benvenuti per allargare la nostra community. Scriveteci o mandate il vostro cv a segreteria@giurdanella.it .