REGOLAMENTO
DATI SENSIBILI NELLA PA
Le prescrizioni del Garante
dal comunicato del sito
www.garanteprivacy.it
dell'Autorità Garante di luglio 2005
Indice
1. Considerazioni
introduttive
2. Aspetti procedurali
3. Il parere del Garante
4. Contenuto dell'atto regolamentare e pubblicità
5. Facsimle di atto
1. Considerazioni introduttive
Il Codice entrato in vigore il 1° gennaio 2004 ha riunito in modo
organico la normativa di tutela relativa al trattamento dei dati
personali; ha offerto all'intera amministrazione pubblica un'occasione
significativa per portare a compimento il processo di modernizzazione,
in modo da adeguare il proprio assetto organizzativo e funzionale dando
idonee risposte alle istanze dei cittadini rivolte al massimo rispetto
dei diritti e delle libertà fondamentali.
In questo quadro, il Garante rileva, però, con rammarico che numerose
amministrazioni pubbliche non hanno dato piena attuazione al Codice.
In particolare, questa Autorità segnala che non sono state ancora
introdotte le garanzie previste in ordine al trattamento di alcune
informazioni che riguardano profili particolarmente delicati della sfera
privata delle persone, ovvero dei c.d. dati "sensibili".
La vicenda incide in termini rilevanti sulla sfera dei diritti dei
cittadini.
L'utilizzo di queste informazioni (concernenti la salute, la vita
sessuale, la sfera religiosa, politico-sindacale o filosofica, nonché
l'origine razziale ed etnica) è inoltre soggetto a rigorose cautele
anche in base alla disciplina comunitaria, la quale vieta il loro
trattamento a meno che ricorrano specifici motivi di interesse pubblico
rilevante e siano altresì assicurate opportune garanzie (art. 8
direttiva cit.). Analoghe cautele sono previste per i dati di carattere
giudiziario. L'inerzia delle pubbliche amministrazioni lede, quindi, non
solo il diritto dei cittadini alla protezione dei dati personali, ma
comporta anche una violazione del diritto comunitario.
Il ritardo accumulato su questo piano è eccessivo. Sin dal 1997, vigente
la legge n. 675/1996, ed anche dopo l'approvazione del Codice nel 2003,
i soggetti pubblici hanno infatti potuto avvalersi di un lungo periodo
transitorio e di diverse proroghe. L'eventuale protrarsi dell'inerzia
delle amministrazioni anche dopo il 31 dicembre 2005 (data di scadenza
dell'ultima proroga) risulterebbe del tutto ingiustificata.
L'Autorità esprime viva preoccupazione in relazione al rispetto del
termine di legge del 31 dicembre prossimo.
Se non interverranno per tale data i necessari atti di natura
regolamentare il trattamento dei dati sensibili e giudiziari dovrà
essere infatti interrotto a decorrere dal 1° gennaio prossimo. La
prosecuzione del trattamento di dati sensibili e giudiziari dopo tale
data concretizzerebbe un illecito, con conseguenti responsabilità di
diverso ordine, anche contabile e per danno erariale; potrebbe inoltre
comportare l'inutilizzabilità dei dati trattati indebitamente, nonché il
possibile intervento di provvedimenti anche giudiziari di blocco o di
divieto del trattamento (art. 154 del Codice; art. 3 d.l. 24 giugno
2004, n. 158, come modificato dalla l. 27 luglio 2004, n. 188; art. 11,
commi 1, lett. a) e 2, del Codice).
Nel quadro della tematica in esame, le amministrazioni pubbliche hanno
l'obbligo -accanto ad altri doveri in materia- di rendere trasparenti ai
cittadini quali informazioni vengono raccolte tra quelle particolarmente
delicate cui si è fatto riferimento; devono altresì chiarire come
utilizzano queste informazioni per le finalità di rilevante interesse
pubblico individuate con legge. Tali indicazioni vanno trasfuse in un
atto regolamentare cui va data ampia pubblicità (artt. 4, comma 1, lett.
d) ed e), 20, comma 2 e 21, comma 2, del Codice).
Non si tratta di un mero adempimento formale, oppure di una semplice
ricognizione di prassi esistenti, poiché da tali regolamenti
discenderanno effetti sostanziali per i cittadini interessati.
Gli schemi dei regolamenti devono essere sottoposti al Garante per
l'espressione del parere, cui i soggetti pubblici devono poi
conformarsi.
Considerata l'ampiezza del settore, il Codice prevede anche la
possibilità che siano redatti schemi tipo per insiemi omogenei di
amministrazioni, sui quali può essere pertanto espresso un unico parere.
Per contribuire alla corretta applicazione del Codice, il Garante ha
intensificato la collaborazione finalizzata alla predisposizione di tali
schemi tipo con organismi rappresentativi di regioni, autonomie locali
ed università, nonché, in riferimento alle rispettive funzioni
istituzionali, con la Presidenza del Consiglio dei ministri e il
Dipartimento della funzione pubblica.
Il Garante resta però in attesa di ricevere per il parere sia gli schemi
tipo eventualmente proposti, sia gli schemi di regolamento predisposti
da singole amministrazioni.
2. Aspetti procedurali
Diversi documenti del Garante e più di una circolare evidenziano da
tempo la problematica e la circostanza, ribadita dal Codice, che le
amministrazioni non possono avvalersi, nel caso di specie, di meri atti
che, anche se denominati regolamenti, non hanno, anche per la loro
eventuale rilevanza solo interna, la necessaria natura di fonte
normativa suscettibile di incidere su diritti e libertà fondamentali di
terzi (Provv. Garante del 17 gennaio 2002, in Boll. n. 24, p. 40 e 16
giugno 1999, in Boll. n. 9, p. 19; note del Garante rivolte alla
Presidenza del Consiglio dei ministri il 10 settembre 1999, il 10
novembre 2000 e il 3 maggio 2001, in Boll. n. 9, p. 31, n. 14-15, p. 26
e n. 20, p. 36).
Spetta ai soggetti pubblici che trattano i dati adottare l'atto di
natura regolamentare, o avvalendosi dei poteri ad essi riconosciuti
dall'ordinamento di riferimento, oppure promuovendo l'adozione di un
regolamento da parte della competente amministrazione di riferimento la
quale eserciti, ad esempio, poteri di indirizzo e controllo (es.: artt.
4 e 14 d.lg 30 marzo 2001 n. 165 e, a titolo esemplificativo, artt. 8 e
ss. d.lg. 30 luglio 1999, n. 300 e 9 d.lg. 29 ottobre 1999, n. 419).
Gli atti di natura regolamentare da adottare devono essere predisposti
previa ricognizione attenta dei trattamenti di dati sensibili e
giudiziari in fase di attuale trattamento o che si intende trattare in
futuro.
Occorre poi tenere presente che potranno essere prese in considerazione
nei regolamenti le sole finalità di rilevante interesse pubblico già
individuate specificamente dal Codice o, come quest'ultimo prevede, da
un'espressa previsione di legge che, anche se collocata fuori del
Codice, le evidenzi comunque puntualmente nei termini richiesti (art. 20
e Parte II del Codice).
La ricognizione, che presuppone il necessario coinvolgimento delle
articolazioni interne del soggetto pubblico interessato, permette a
quest'ultimo di effettuare anche un'ulteriore verifica circa la
rispondenza dei trattamenti in corso con i principi del Codice oggi già
direttamente applicabili (e ovviamente da rispettare anche in sede
regolamentare), nonché di adeguare prontamente procedure in atto
eventualmente non conformi a legge (principio di indispensabilità in
rapporto alle finalità perseguite; verifiche periodiche dei vari
requisiti dei dati -esattezza, aggiornamento, pertinenza, completezza,
ecc.- e del loro rapporto con gli adempimenti da svolgere; scelta di
modalità volte a prevenire violazioni di diritti e libertà fondamentali;
raccolta dei dati sensibili e giudiziari di regola presso gli
interessati; particolari cautele rispetto a dati riferiti a terzi non
direttamente interessati ai compiti o adempimenti da svolgere; divieto
di diffusione di dati sulla salute ecc.: cfr. art. 22 del Codice).
3. Il parere del Garante
Gli atti di natura regolamentare devono essere adottati, in ogni caso,
in conformità al parere del Garante. Come accennato, il parere può
essere espresso anche su schemi tipo, il che contribuisce a rendere più
organiche le garanzie in riferimento ad altre amministrazioni e
semplifica, inoltre, l'iter di approvazione degli atti.
Infatti, una volta espresso dal Garante il parere su uno schema tipo
riguardante l'attività di soggetti pubblici che svolgono attività
omogenee, lo schema di ciascun regolamento non deve essere sottoposto
singolarmente a questa Autorità, sempreché il trattamento ipotizzato sia
attinente e conforme allo schema tipo esaminato.
É invece necessario sottoporre al Garante uno schema di regolamento per
uno specifico parere solo se:
a) manca uno schema tipo già esaminato dall'Autorità;
b) vi è uno schema tipo al quale l'amministrazione deve apportare
modifiche sostanziali o integrazioni non formali che riguardano (a causa
di ulteriori categorie di dati o di altre rilevanti operazioni di
trattamento) casi in esso non considerati nello schema tipo.
Anche in questi due casi, il Garante è impegnato ad esprimere il parere
nel termine di 45 gg. dal ricevimento della richiesta (o nei 20 gg. dal
ricevimento degli elementi istruttori ricevuti dalle amministrazioni
interessate), decorsi i quali, se non interviene un parere formale, il
soggetto può adottare comunque il regolamento e proseguire poi il
trattamento (art. 154, comma 5, del Codice).
4.
Contenuto dell'atto regolamentare e pubblicità
In questa sede, Il Garante intende fornire alle amministrazioni che non
potranno avvalersi di schemi tipo alcune prescrizioni di carattere
generale per contribuire all'adozione di adeguate bozze di regolamento
più attente ai profili sostanziali di tutela, più comprensibili da parte
dei cittadini e non basate su approcci meramente formali alla tematica.
Questa particolare attenzione è ancor più necessaria se si tiene conto
che, dal 1° gennaio 2006 non sarà lecito alcun trattamento dei dati
sensibili e giudiziari che non sia disciplinato espressamente nei
regolamenti.
Lo schema di regolamento deve contenere sinteticamente, ma in termini
adeguati ed agevolmente comprensibili, le seguenti indicazioni
specificate per categorie.
1. Dati indispensabili
Occorre individuare le tipologie di informazioni sensibili e giudiziarie
che si devono necessariamente utilizzare in rapporto alle attività
istituzionali svolte, avendo cura che a ciascun adempimento corrisponda
il trattamento delle sole informazioni per ciò strettamente
indispensabili (art. 22, comma 3, del Codice). I dati vanno indicati
solo per tipologie, evitando elencazioni eccessivamente sommarie.
2. Operazioni di trattamento indispensabili
Vanno parimenti individuate le operazioni che si devono necessariamente
svolgere per perseguire le finalità di rilevante interesse pubblico
puntualmente individuate per legge, mettendo in particolare evidenza le
operazioni che possono spiegare effetti maggiormente significativi per
l'interessato e per le quali sono pertanto necessarie più garanzie.
Anche in questo caso la descrizione è per tipologie, evitando
indicazioni del tutto generiche circa l'impiego delle informazioni.
Tra tali operazioni rientrano, in particolare, quelle svolte pressoché
interamente mediante siti web, o volte a definire in forma completamente
automatizzata profili o personalità di interessati, le interconnessioni
e i raffronti tra banche di dati gestite da diversi titolari, oppure con
altre informazioni sensibili e giudiziarie detenute dal medesimo
titolare del trattamento (art. 22, c. 9, 10 e 11, del Codice), nonché la
comunicazione dei dati a terzi.
Si possono invece indicare più sinteticamente le operazioni "ordinarie"
e più ricorrenti di trattamento (raccolta, registrazione,
organizzazione, conservazione, elaborazione, modificazione ecc.).
3. Ulteriore contenuto dello schema di regolamento
É opportuno che il soggetto pubblico descriva sinteticamente, in termini
comunicativi, anche la complessiva attività svolta, con particolare
riguardo agli aspetti più incisivi per i diritti dei cittadini.
Non è quindi necessario scendere in eccessivi livelli di dettaglio non
richiesti dal Codice; né è richiesta la riproduzione analitica delle
disposizioni del Codice (in particolare, degli artt. 3, 11, 18-22, 85 s.
e 95 s.).
Andrebbe altresì evitato di disciplinare situazioni già adeguatamente
regolate sul piano legislativo e regolamentare quanto ai tipi di dati e
di operazioni, come avviene nel caso dei dati personali trattati per
effetto di un accesso a documenti amministrativi (artt. 59 e 60 del
Codice; l. n. 241/1990 e successive modificazioni ed integrazioni).
Va inoltre rilevato in questa sede che la normativa sugli obblighi e
compiti che rendono indispensabile utilizzare dati sensibili e
giudiziari deve essere oggetto di un espresso riferimento
nell'informativa da rendere agli interessati (art. 22, comma 2, del
Codice). L'indicazione di tale normativa può essere quindi utile anche
nell'ambito dello schema tipo, contribuendo ad evitare che il
regolamento prenda erroneamente in considerazione attività che, pur
essendo demandate al soggetto pubblico, non rientrano tra quelle che una
fonte primaria non ha ritenuto di importanza tale da legittimare il
trattamento di dati sensibili e giudiziari, in quanto non considerate
"rilevanti finalità di interesse pubblico".
Da ultimo, tra le garanzie individuate dal Codice figura il diritto dei
cittadini di conoscere con quali modalità sono utilizzate le predette
informazioni che lo riguardano (art. 20, comma 2, del Codice).
Va pertanto prescritto ai soggetti pubblici interessati di
intraprendere, in aggiunta alla pubblicità legale da assicurare agli
atti regolamentari secondo i singoli ordinamenti, adeguate iniziative
per assicurare idonea conoscibilità alle scelte adottate a proposito dei
dati sensibili e giudiziari, utilizzando non solo i siti web
istituzionali, ma anche le iniziative di comunicazione istituzionale cui
essi sono tenuti.
Riservandosi di concludere rapidamente in separata sede i processi di
collaborazione già avviati con alcuni organismi rappresentativi di
soggetti pubblici, il Garante ritiene infine doveroso prescrivere in
questa sede a tutti i soggetti pubblici interessati di adottare le
predette misure, necessarie o, a seconda dei casi, opportune.
A tal fine, il Garante pone anche a disposizione dei soggetti pubblici,
in allegato al presente provvedimento, un
modello di riferimento per redigere gli schemi. Questo
modello aggiorna quello già predisposto dal Garante il 17 gennaio
2002.
Schema di regolamento
Art. ...
1. Il presente regolamento, in attuazione del Codice in materia di
protezione dei dati personali (artt. 20, comma 2, e 21, comma 2, del
decreto legislativo 30 giugno 2003, n. 196), identifica le tipologie di
dati sensibili e di operazioni indispensabili a ... per perseguire le
finalità di rilevante interesse pubblico espressamente individuate da
apposita previsione di legge.
Art. ...
1. Ai sensi dell'art. 1, ... , per le finalità di ... tratta le seguenti
tipologie di dati sensibili e giudiziari mediante i tipi di operazioni
di seguito indicati.
INDICAZIONE DEL TRATTAMENTO E DESCRIZIONE RIASSUNTIVA DEL CONTESTO
Indicare sinteticamente il contesto in cui il trattamento è effettuato (es.:
gestione del rapporto di lavoro del personale), descrivendo anche, con
linguaggio chiaro e comunicativo, le caratteristiche principali del
trattamento e del flusso informativo
FINALITÁ DI RILEVANTE INTERESSE PUBBLICO PERSEGUITE
Indicare le finalità di rilevante interesse pubblico specificamente
indicate dal Codice o da una norma di legge e il relativo riferimento
normativo (es., instaurare e gestire il rapporto di lavoro di qualunque
tipo con il personale dipendente, anche a tempo parziale o temporaneo,
nonché altre forme di lavoro non subordinato).
FONTE NORMATIVA
Indicare, se possibile, le fonti normative sull'attività istituzionale
cui il trattamento è collegato (es.: artt. 2094-2134 del codice civile);
legge n. 300/1970; d.lg. n. 165/2001; d.lg. n. 151/2001).
TIPI DI DATI TRATTATI
(barrare le caselle corrispondenti)
origine □ razziale □ etnica
convinzioni □ religiose □ filosofiche □ d'altro genere
convinzioni □ politiche □ sindacali
stato di salute □ patologie attuali □ patologie pregresse
□ terapie in corso □ anamnesi familiare
vita sessuale □
dati di carattere giudiziario (art. 4, comma1, lett. e), del Codice)□
OPERAZIONI ESEGUITE
(barrare le caselle corrispondenti)
Particolari forme di trattamento
Interconnessioni e raffronti di dati:
con altre informazioni o banche dati dello stesso soggetto pubblico
(specificare quali ed indicarne i motivi):
...........................................
con altri soggetti pubblici o privati (specificare quali ed indicare la
base normativa):
...........................................
Trattamento automatizzato volto a definire il profilo o la personalità
dell'interessato ai fini dell'adozione di un provvedimento
amministrativo o giudiziario (specificare quali ed indicarne i motivi o
la base normativa):
...........................................
Comunicazione ai seguenti soggetti per le seguenti finalità (indicare
l'eventuale base normativa):
...........................................
· Diffusione (specificare l'ambito ed indicare l'eventuale base
normativa):
...........................................
· Altre operazioni (indicare eventuali altre operazioni
effettuate sui dati, diverse da quelle sopra indicate):
...........................................
Altre tipologie più ricorrenti di trattamento
Raccolta: □ presso gli interessati □ presso terzi
Elaborazione: □ in forma cartacea □ con modalità
informatizzate
· Altre operazioni indispensabili rispetto alla finalità del
trattamento e diverse da quelle "ordinarie" quali la registrazione, la
conservazione, la cancellazione o il blocco nei casi previsti dalla
legge (specificare):
dal comunicato del sito
www.garanteprivacy.it
dell'Autorità Garante di luglio 2005