LEGGE
PRIVACY INIZIO
2002: IL PUNTO DELLA SITUAZIONE NELLE P.A.
Testo
integrale della segnalazione del Garante al Governo, dal
sito:
www.garanteprivacy.it
IL
TRATTAMENTO DA PARTE DI SOGGETTI PUBBLICI
"Per la pubblica amministrazione
italiana è stato previsto un lungo periodo transitorio in base al quale
la stessa ha potuto proseguire i trattamenti di dati sensibili per oltre
un biennio a partire dal maggio del 1997, senza porre in essere
significative procedure per incrementare il grado di rispetto dei
diritti degli interessati (art. 41, comma 5, legge cit.).
Nel 1999, sulla base di talune
modifiche ed integrazioni apportate alla legge n. 675, sono state
previste soluzioni che avrebbero dovuto facilitare l’introduzione di
specifiche garanzie su iniziativa delle singole amministrazioni
pubbliche che trattano i dati (d.lg. 11 maggio 1999 n. 135 e d.lg. 30
luglio 1999, n. 282).
Per i soggetti pubblici è
rimasta operante la possibilità di trattare i dati sensibili quando ciò
sia previsto da una norma di legge che specifichi espressamente talune
condizioni (rilevanti finalità di interesse pubblico perseguite; dati
personali che possono essere utilizzati; operazioni di trattamento
eseguibili).
Per i casi in cui manchi tale
specifica base normativa, si è prevista la possibilità per i soggetti
pubblici di chiedere al Garante di individuare transitoriamente le
rilevanti finalità di interesse pubblico non previste espressamente da
una legge, da un decreto legislativo o da un decreto -legge e che
possono giustificare l’utilizzazione dei dati sensibili.
Varie finalità di interesse
pubblico sono state individuate da un apposito decreto legislativo (n.
135/1999) e da un provvedimento del Garante (n. 1/P/2000 del 30 dicembre
1999-13 gennaio 2000, in G.U. 2 febbraio 2000, n. 26).
Tale decreto ha previsto, altresì,
alcuni principi per quanto riguarda le informazioni utilizzabili e le
modalità di trattamento (artt. 2-4 d.lg. n. 135 cit.).
Per la loro attuazione i soggetti
pubblici avrebbero dovuto avviare l’adeguamento dei propri ordinamenti
entro il 31 dicembre 1999.
In particolare, entro tale data
avrebbero dovuto essere instaurate le procedure per individuare i tipi
di dati sensibili e le operazioni di trattamento strettamente pertinenti
e necessarie in relazione alle finalità individuate dapprima dal
predetto decreto e, poi, dal provvedimento del Garante. Tale
identificazione avrebbe dovuto essere poi aggiornata periodicamente (art.
5, comma 4, d.lg. cit.; art. 22, comma 3-bis, cit.).
Analoga soluzione, in riferimento
alle finalità individuate dal citato decreto, avrebbe dovuto essere
seguita per trattare i dati che attengono a determinati provvedimenti di
carattere giudiziario (art. 5, comma 5-bis, d.lg. cit.; art. 24 legge
cit.).
EVENTI
SUCCESSIVI AL 1999
Il decreto n. 135/1999 non ha
previsto un termine perentorio entro il quale i soggetti pubblici
avrebbero dovuto ultimare le procedure in esame, essendo stato
individuato solo il termine iniziale del 31 dicembre 1999.
Dall’esame di alcuni ricorsi e
segnalazioni il Garante ha potuto però rilevare che diverse
amministrazioni pubbliche non hanno attivato alcuna iniziativa anche
dopo tale data, evidenziando una totale inerzia al riguardo.
Ciò sebbene la Presidenza del
Consiglio dei ministri abbia fornito indicazioni con due circolari (n.
DAGL/643-Pres. 98 e n. DAGL/643-Pres. 2000, in G.U. 3 maggio
2000, n. 101), ricordando alle amministrazioni anche l’obbligo di
assicurare la massima diffusione della rilevazione effettuata,
attraverso un’opportuna pubblicazione degli atti adottati.
Non è stato nemmeno emanato il
decreto, previsto sempre nel 1999, per provvedere ai predetti
adempimenti in modo uniforme per tutti gli organismi pubblici operanti
all’interno del Servizio sanitario nazionale (art. 2 d.lg. n.
282/1999; art. 23 legge cit.).
Sono state intraprese solo rare
iniziative da parte o nell’interesse di soggetti pubblici, peraltro
adottate in difformità dalla legge (v., ad esempio, il d.m. 30 maggio
2000 sui dati sensibili trattati dal Ministero del commercio con
l’estero, emanato senza la prevista consultazione del Garante), oppure
inadeguate rispetto al quadro delle garanzie necessarie (v. ad es.,
alcuni schemi di regolamento predisposti dall’ANCI, "destinati ad
offrire soluzioni organizzative", ritenuti dal Garante non conformi
alla cornice delle norme in vigore: cfr. nota del 23 maggio 2000,
riportata nel Bollettino del Garante n. 13, p.p. 21-26).
Da più fonti
conoscitive (ricorsi, schemi di provvedimento, richieste di parere,
ecc.) è emersa inoltre la tendenza di vari soggetti pubblici a
privilegiare aspetti meramente formali nella tutela delle persone
interessate, legati ad adempimenti talvolta superflui o inadatti ai
singoli casi di specie, trascurando invece la cura dei profili
sostanziali di garanzia.
IL
CONTENUTO DEI PROVVEDIMENTI DA ADOTTARE
L’individuazione dei tipi di
dati sensibili e giudiziari e delle operazioni di trattamento, che
diversi soggetti pubblici non hanno definito nelle forme previste dai
rispettivi ordinamenti, non rappresenta un mero adempimento formale di
ricognizione di prassi esistenti.
Si tratta, piuttosto, di un
provvedimento che deve attuare con effetti innovativi i principi
vincolanti affermati in proposito dal d.lg. n. 135/1999 (artt. 2-4), al
fine di ridefinire su basi più rispettose dei diritti della personalità
una serie di trattamenti legati alle finalità di rilevante interesse
pubblico enumerate dal decreto legislativo o dalla decisione del
Garante.
Il provvedimento che i soggetti
pubblici devono adottare esige anzitutto, una scrupolosa ricognizione di
tutte le attività materiali che il soggetto pubblico intende proseguire
in relazione a dette finalità, con strumenti automatizzati e non
automatizzati.
Occorre poi una previa
valutazione della stretta pertinenza e
necessarietà dei dati e delle operazioni rispetto alle
finalità, valutazione da operarsi da parte degli organi in grado di
manifestare in proposito la volontà del soggetto pubblico (art. 22,
comma 3-bis, cit.).
Trattandosi di provvedimenti
attuativi del citato decreto legislativo (art. 5, comma 5, d.lg. n. 135
cit.), è inoltre fuor di luogo la mera riproduzione del contenuto di
disposizioni riportate in leggi, decreti legislativi o decreti-legge,
unita ad un’ indicazione solo di macro-tipologie di dati e di
descrizioni del tutto generiche del loro impiego.
La pubblicità che per legge deve
essere data a tali provvedimenti, secondo i vari ordinamenti (art. 22,
comma 3-bis, cit.), deve porre poi il cittadino in condizione di
conoscere, con un apprezzabile grado di chiarezza, con quali modalità
sono utilizzate delicate informazioni che secondo la direttiva
comunitaria non potrebbero altrimenti essere trattate, come si è detto.
A tal fine possono essere
utilizzati anche prospetti schematici (del
tipo di quello che il Garante ritiene di suggerire, in allegato al
presente provvedimento), che possono facilitare il collegamento tra le
tipologie di informazioni e di operazioni e le finalità di rilevante
interesse pubblico specificamente individuate dal d.lg. n. 135/1999, dal
Garante o da un altro atto normativo avente le caratteristiche suddette.
I dati personali trattati vanno
indicati per categorie (senza entrare in ulteriori specifici dettagli:
es. dati sulla salute; vita sessuale; ecc.) tenendo conto che le
tipologie di dati non individuate e rese pubbliche non possono essere
poi utilizzate.
La parte del provvedimento che
attiene alle operazioni di trattamento potrebbe essere così suddivisa: a)
indicando un primo gruppo di operazioni standard, che può
essere comune a più tipologie di dati, ma che deve comunque rispondere
al principio di stretta necessità (raccolta, conservazione,
cancellazione, ecc.); b) ponendo altresì in maggiore evidenza le
operazioni che possono spiegare effetti più significativi per
l’interessato (es., elaborazione, selezione, raffronto); c) aggiungendo
una descrizione sintetica dei flussi di dati (specificando ad es. dove
sono raccolti di regola i dati, le eventuali interconnessioni o
consultazioni da parte di altre amministrazioni, i trattamenti di cui
all’art. 17 della legge n. 675/1996 ecc.).
FORMA
DEI PROVVEDIMENTI
Per quanto riguarda la forma il d.lg n. 135/1999 rinvia agli
ordinamenti dei soggetti pubblici interessati, i quali operano in
diversi settori dello Stato, degli enti pubblici e
dell’amministrazione locale.
Questa Autorità ha evidenziato
in altre circostanze che gli atti amministrativi diversi da quelli di
rango regolamentare non si prestano ad essere utilizzati nel caso di
specie (v. ad es. la nota indirizzata alla Presidenza del Consiglio dei
Ministri il 15.11.1999, nonché il comunicato stampa in pari data
pubblicato nel Bollettino del Garante n. 10, p. 112).
Non a caso il decreto legislativo
n. 282/1999 ha previsto la fonte di rango regolamentare per i
trattamenti di dati in ambito sanitario.
Lungi dall’avere un carattere
meramente ricognitivo di prassi preesistenti, i provvedimenti qui
considerati producono effetti innovativi e significativi sui diritti
fondamentali di numerose persone interessate.
Vengono infatti rese lecite
alcune operazioni di trattamento come la comunicazione e la diffusione
che, se effettuate su dati "comuni", richiedono una norma di
legge o di regolamento (art. 27, commi 2 e 3, legge cit.).
In considerazione anche dei
riferimenti contenuti nella normativa comunitaria che presuppone fonti
primarie o decisioni dell’autorità garante nazionale (art. 8., par.
4, dir. cit.), è necessario che i soggetti pubblici prescelgano per gli
atti in questione una fonte di rango quantomeno regolamentare.
Si richiamano, in proposito, le
considerazioni più volte già sviluppate dal Garante a proposito
dell’art. 27 della legge circa la differenza tra le fonti normative
secondarie e gli atti, pur denominati regolamenti, che ne hanno
l’apparenza, ma non la sostanza e sono quindi insuscettibili di
determinare effetti giuridici all’esterno nella materia in esame (v.,
fra le altre, la nota del 23.1.1998 pubblicata sul Bollettino del
Garante n. 3, p. 28).
Occorre comunque tener conto
anche del particolare, e più adeguato, procedimento di formazione -interno
ed esterno ai soggetti pubblici- degli atti di rango regolamentare, che
assicura all’atto in questione una maggiore stabilità.
CONCLUSIONI
La ricognizione dei trattamenti e
la loro disciplina nei regolamenti non riguardano aspetti meramente
formali, ma incidono su aspetti sostanziali e sono necessari per poter
ritenere leciti i trattamenti dei dati sensibili e giudiziari.
In loro mancanza i soggetti
pubblici operano sprovvisti di un indefettibile presupposto di
liceità,
trattando dati sensibili e giudiziari relativi ad innumerevoli cittadini
senza alcune necessarie garanzie, privando gli interessati della
possibilità di conoscere le utilizzazioni effettive dei dati che li
riguardano.
La diffusività del fenomeno è
tale da esporre il nostro Paese ai rischi di gravi violazioni della
disciplina comunitaria.
Il Garante, in presenza di
accertate violazioni di quanto previsto dalle discipline ricordate,
adotterà specifici provvedimenti di blocco o divieto del trattamento.
Resta comunque impregiudicato il diritto dei cittadini di far valere i
propri diritti nelle competenti sedi, anche in relazione agli eventuali
danni subiti.
Il Garante ritiene altresì di
dover nuovamente segnalare la problematica alle competenti autorità di
Governo, per quanto ritenuto necessario in relazione al buon andamento
degli uffici pubblici e alla coerente e tempestiva attivazione delle
politiche comunitarie, nonché all’eventuale previsione di un termine
per la conclusione dei procedimenti in questione.
L’Autorità ritiene anche opportuno
rappresentare a tutte le amministrazioni interessate le suesposte
indicazioni per le attività che dovranno prontamente intraprendere o
riassumere, riservandosi di collaborare con gli organismi
rappresentativi delle autonomie locali, anche in base ai protocolli con
essi già sottoscritti, ai fini della predisposizione di un più
dettagliato schema di regolamento per gli enti locali.
TUTTO CIO’ PREMESSO IL GARANTE:
a) segnala
al Governo ai sensi dell’art. 31, comma 1, lett. m), della legge n.
675/1996 la necessità di conformare alle disposizioni vigenti il
trattamento dei dati sensibili e giudiziari da parte dei soggetti
pubblici;
b) dispone
la trasmissione di copia del presente provvedimento anche alle
amministrazioni indicate nell’elenco in atti e a quelle che hanno
chiesto sull’argomento un parere al Garante".
Testo integrale della segnalazione del Garante del 17 gennaio 2002
dal
sito: www.garanteprivacy.it
RITORNA
ALLA SEZIONE
GARANTE PRIVACY DI
QUESTO SITO
|