IL GARANTE PER LA PROTEZIONE
DEI DATI PERSONALI
Nella riunione odierna, in presenza del prof. Francesco Pizzetti,
presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del
dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del
dott. Giovanni Buttarelli, segretario generale;
Vista la normativa internazionale e comunitaria e il Codice in
materia di protezione dei dati personali (direttiva n. 95/46/CE;
decreto legislativo 30 giugno 2003, n. 196);
Vista la documentazione in atti;
Viste le osservazioni dell'Ufficio, formulate dal segretario
generale ai sensi dell'art. 15 del regolamento del Garante, n.
1/2000;
Relatore il prof. Francesco Pizzetti;
Premesso:
1. Considerazioni introduttive.
Il codice entrato in vigore il 1° gennaio 2004 ha riunito in modo
organico la normativa di tutela relativa al trattamento dei dati
personali; ha offerto all'intera amministrazione pubblica
un'occasione significativa per portare a compimento il processo di
modernizzazione, in modo da adeguare il proprio assetto organizzativo
e funzionale dando idonee risposte alle istanze dei cittadini rivolte
al massimo rispetto dei diritti e delle liberta' fondamentali.
In questo quadro, il Garante rileva, pero', con rammarico che
numerose amministrazioni pubbliche non hanno dato piena attuazione al
Codice.
In particolare, questa Autorita' segnala che non sono state ancora
introdotte le garanzie previste in ordine al trattamento di alcune
informazioni che riguardano profili particolarmente delicati della
sfera privata delle persone, ovvero dei c.d. dati «sensibili».
La vicenda incide in termini rilevanti sulla sfera dei diritti dei
cittadini.
L'utilizzo di queste informazioni (concernenti la salute, la vita
sessuale, la sfera religiosa, politico-sindacale o filosofica,
nonche' l'origine razziale ed etnica) e' inoltre soggetto a rigorose
cautele anche in base alla disciplina comunitaria, la quale vieta il
loro trattamento a meno che ricorrano specifici motivi di interesse
pubblico rilevante e siano altresi' assicurate opportune garanzie
(art. 8 direttiva cit.). Analoghe cautele sono previste per i dati di
carattere giudiziario. L'inerzia delle pubbliche amministrazioni
lede, quindi, non solo il diritto dei cittadini alla protezione dei
dati personali, ma comporta anche una violazione del diritto
comunitario.
Il ritardo accumulato su questo piano e' eccessivo. Sin dal 1997,
vigente la legge n. 675/1996, ed anche dopo l'approvazione del codice
nel 2003, i soggetti pubblici hanno infatti potuto avvalersi di un
lungo periodo transitorio e di diverse proroghe. L'eventuale
protrarsi dell'inerzia delle amministrazioni anche dopo il
31 dicembre 2005 (data di scadenza dell'ultima proroga) risulterebbe
del tutto ingiustificata.
L'Autorita' esprime viva preoccupazione in relazione al rispetto
del termine di legge del 31 dicembre prossimo.
Se non interverranno per tale data i necessari atti di natura
regolamentare il trattamento dei dati sensibili e giudiziari dovra'
essere infatti interrotto a decorrere dal 1° gennaio prossimo. La
prosecuzione del trattamento di dati sensibili e giudiziari dopo tale
data concretizzerebbe un illecito, con conseguenti responsabilita' di
diverso ordine, anche contabile e per danno erariale; potrebbe
inoltre comportare l'inutilizzabilita' dei dati trattati
indebitamente, nonche' il possibile intervento di provvedimenti anche
giudiziari di blocco o di divieto del trattamento (art. 154 del
codice; art. 3 decreto-legge 24 giugno 2004, n. 158, come modificato
dalla legge 27 luglio 2004, n. 188; art. 11, commi 1, lettera a) e 2,
del codice).
Nel quadro della tematica in esame, le amministrazioni pubbliche
hanno l'obbligo - accanto ad altri doveri in materia - di rendere
trasparenti ai cittadini quali informazioni vengono raccolte tra
quelle particolarmente delicate cui si e' fatto riferimento; devono
altresi' chiarire come utilizzano queste informazioni per le
finalita' di rilevante interesse pubblico individuate con legge. Tali
indicazioni vanno trasfuse in un atto regolamentare cui va data ampia
pubblicita' (articoli 4, comma 1, lettera d) ed e), 20, comma 2 e 21,
comma 2, del codice).
Non si tratta di un mero adempimento formale, oppure di una
semplice ricognizione di prassi esistenti, poiche' da tali
regolamenti discenderanno effetti sostanziali per i cittadini
interessati.
Gli schemi dei regolamenti devono essere sottoposti al Garante per
l'espressione del parere, cui i soggetti pubblici devono poi
conformarsi.
Considerata l'ampiezza del settore, il codice prevede anche la
possibilita' che siano redatti schemi tipo per insiemi omogenei di
amministrazioni, sui quali puo' essere pertanto espresso un unico
parere.
Per contribuire alla corretta applicazione del codice, il Garante
ha intensificato la collaborazione finalizzata alla predisposizione
di tali schemi tipo con organismi rappresentativi di regioni,
autonomie locali ed universita', nonche', in riferimento alle
rispettive funzioni istituzionali, con la Presidenza del Consiglio
dei Ministri e il Dipartimento della funzione pubblica.
Il Garante resta pero' in attesa di ricevere per il parere sia gli
schemi tipo eventualmente proposti, sia gli schemi di regolamento
predisposti da singole amministrazioni.
2. Aspetti procedurali.
Diversi documenti del Garante e piu' di una circolare evidenziano
da tempo la problematica e la circostanza, ribadita dal codice, che
le amministrazioni non possono avvalersi, nel caso di specie, di meri
atti che, anche se denominati regolamenti, non hanno, anche per la
loro eventuale rilevanza solo interna, la necessaria natura di fonte
normativa suscettibile di incidere su diritti e liberta' fondamentali
di terzi (Provv. Garante del 17 gennaio 2002, in Boll. n. 24, p. 40 e
16 giugno 1999, in Boll. n. 9, p. 19; note del Garante rivolte alla
Presidenza del Consiglio dei Ministri il 10 settembre 1999, il
10 novembre 2000 e il 3 maggio 2001, in Boll. n. 9, p. 31, n. 14-15,
p. 26 e n. 20, p. 36).
Spetta ai soggetti pubblici che trattano i dati adottare l'atto di
natura regolamentare, o avvalendosi dei poteri ad essi riconosciuti
dall'ordinamento di riferimento, oppure promuovendo l'adozione di un
regolamento da parte della competente amministrazione di riferimento
la quale eserciti, ad esempio, poteri di indirizzo e controllo (es.:
articoli 4 e 14 decreto legislativo 30 marzo 2001, n. 165 e, a titolo
esemplificativo, articoli 8 e successivi decreti legislativi
30 luglio 1999, n. 300 e 9 decreto legislativo 29 ottobre 1999, n.
419).
Gli atti di natura regolamentare da adottare devono essere
predisposti previa ricognizione attenta dei trattamenti di dati
sensibili e giudiziari in fase di attuale trattamento o che si
intende trattare in futuro.
Occorre poi tenere presente che potranno essere prese in
considerazione nei regolamenti le sole finalita' di rilevante
interesse pubblico gia' individuate specificamente dal codice o, come
quest'ultimo prevede, da un'espressa previsione di legge che, anche
se collocata fuori del codice, le evidenzi comunque puntualmente nei
termini richiesti (art. 20 e Parte II del codice).
La ricognizione, che presuppone il necessario coinvolgimento delle
articolazioni interne del soggetto pubblico interessato, permette a
quest'ultimo di effettuare anche un'ulteriore verifica circa la
rispondenza dei trattamenti in corso con i principi del codice oggi
gia' direttamente applicabili (e ovviamente da rispettare anche in
sede regolamentare), nonche' di adeguare prontamente procedure in
atto eventualmente non conformi a legge (principio di
indispensabilita' in rapporto alle finalita' perseguite; verifiche
periodiche dei vari requisiti dei dati - esattezza, aggiornamento,
pertinenza, completezza, ecc.- e del loro rapporto con gli
adempimenti da svolgere; scelta di modalita' volte a prevenire
violazioni di diritti e liberta' fondamentali; raccolta dei dati
sensibili e giudiziari di regola presso gli interessati; particolari
cautele rispetto a dati riferiti a terzi non direttamente interessati
ai compiti o adempimenti da svolgere; divieto di diffusione di dati
sulla salute ecc.: cfr. art. 22 del codice).
3. Il parere del Garante.
Gli atti di natura regolamentare devono essere adottati, in ogni
caso, in conformita' al parere del Garante. Come accennato, il parere
puo' essere espresso anche su schemi tipo, il che contribuisce a
rendere piu' organiche le garanzie in riferimento ad altre
amministrazioni e semplifica, inoltre, l'iter di approvazione degli
atti.
Infatti, una volta espresso dal Garante il parere su uno schema
tipo riguardante l'attivita' di soggetti pubblici che svolgono
attivita' omogenee, lo schema di ciascun regolamento non deve essere
sottoposto singolarmente a questa Autorita', sempreche' il
trattamento ipotizzato sia attinente e conforme allo schema tipo
esaminato.
E' invece necessario sottoporre al Garante uno schema di
regolamento per uno specifico parere solo se:
a) manca uno schema tipo gia' esaminato dall'Autorita';
b) vi e' uno schema tipo al quale l'amministrazione deve
apportare modifiche sostanziali o integrazioni non formali che
riguardano (a causa di ulteriori categorie di dati o di altre
rilevanti operazioni di trattamento) casi in esso non considerati
nello schema tipo.
Anche in questi due casi, il Garante e' impegnato ad esprimere il
parere nel termine di qurantacinque giorni dal ricevimento della
richiesta (o nei venti giorni dal ricevimento degli elementi
istruttori ricevuti dalle amministrazioni interessate), decorsi i
quali, se non interviene un parere formale, il soggetto puo' adottare
comunque il regolamento e proseguire poi il trattamento (art. 154,
comma 5, del codice).
4. Contenuto dell'atto regolamentare e pubblicita'.
In questa sede, Il Garante intende fornire alle amministrazioni che
non potranno avvalersi di schemi tipo alcune prescrizioni di
carattere generale per contribuire all'adozione di adeguate bozze di
regolamento piu' attente ai profili sostanziali di tutela, piu'
comprensibili da parte dei cittadini e non basate su approcci
meramente formali alla tematica.
Questa particolare attenzione e' ancor piu' necessaria se si tiene
conto che, dal 1° gennaio 2006 non sara' lecito alcun trattamento dei
dati sensibili e giudiziari che non sia disciplinato espressamente
nei regolamenti.
Lo schema di regolamento deve contenere sinteticamente, ma in
termini adeguati ed agevolmente comprensibili, le seguenti
indicazioni specificate per categorie.
1. Dati indispensabili. Occorre individuare le tipologie di
informazioni sensibili e giudiziarie che si devono necessariamente
utilizzare in rapporto alle attivita' istituzionali svolte, avendo
cura che a ciascun adempimento corrisponda il trattamento delle sole
informazioni per cio' strettamente indispensabili (art. 22, comma 3,
del codice). I dati vanno indicati solo per tipologie, evitando
elencazioni eccessivamente sommarie.
2. Operazioni di trattamento indispensabili. Vanno parimenti
individuate le operazioni che si devono necessariamente svolgere per
perseguire le finalita' di rilevante interesse pubblico puntualmente
individuate per legge, mettendo in particolare evidenza le operazioni
che possono spiegare effetti maggiormente significativi per
l'interessato e per le quali sono pertanto necessarie piu' garanzie.
Anche in questo caso la descrizione e' per tipologie, evitando
indicazioni del tutto generiche circa l'impiego delle informazioni.
Tra tali operazioni rientrano, in particolare, quelle svolte
pressoche' interamente mediante siti web, o volte a definire in forma
completamente automatizzata profili o personalita' di interessati, le
interconnessioni e i raffronti tra banche di dati gestite da diversi
titolari, oppure con altre informazioni sensibili e giudiziarie
detenute dal medesimo titolare del trattamento (art. 22, commi 9, 10
e 11, del codice), nonche' la comunicazione dei dati a terzi.
Si possono invece indicare piu' sinteticamente le operazioni
«ordinarie» e piu' ricorrenti di trattamento (raccolta,
registrazione, organizzazione, conservazione, elaborazione,
modificazione ecc.).
3. Ulteriore contenuto dello schema di regolamento. E' opportuno
che il soggetto pubblico descriva sinteticamente, in termini
comunicativi, anche la complessiva attivita' svolta, con particolare
riguardo agli aspetti piu' incisivi per i diritti dei cittadini.
Non e' quindi necessario scendere in eccessivi livelli di dettaglio
non richiesti dal codice; ne' e' richiesta la riproduzione analitica
delle disposizioni del codice (in particolare, degli articoli 3, 11,
18-22, 85 s. e 95 s.).
Andrebbe altresi' evitato di disciplinare situazioni gia'
adeguatamente regolate sul piano legislativo e regolamentare quanto
ai tipi di dati e di operazioni, come avviene nel caso dei dati
personali trattati per effetto di un accesso a documenti
amministrativi (articoli 59 e 60 del codice; legge n. 241/1990 e
successive modificazioni ed integrazioni).
Va inoltre rilevato in questa sede che la normativa sugli obblighi
e compiti che rendono indispensabile utilizzare dati sensibili e
giudiziari deve essere oggetto di un espresso riferimento
nell'informativa da rendere agli interessati (art. 22, comma 2, del
codice). L'indicazione di tale normativa puo' essere quindi utile
anche nell'ambito dello schema tipo, contribuendo ad evitare che il
regolamento prenda erroneamente in considerazione attivita' che, pur
essendo demandate al soggetto pubblico, non rientrano tra quelle che
una fonte primaria non ha ritenuto di importanza tale da legittimare
il trattamento di dati sensibili e giudiziari, in quanto non
considerate «rilevanti finalita' di interesse pubblico».
Da ultimo, tra le garanzie individuate dal codice figura il diritto
dei cittadini di conoscere con quali modalita' sono utilizzate le
predette informazioni che li riguardano (art. 20, comma 2, del
codice).
Va pertanto prescritto ai soggetti pubblici interessati di
intraprendere, in aggiunta alla pubblicita' legale da assicurare agli
atti regolamentari secondo i singoli ordinamenti, adeguate iniziative
per assicurare idonea conoscibilita' alle scelte adottate a proposito
dei dati sensibili e giudiziari, utilizzando non solo i siti web
istituzionali, ma anche le iniziative di comunicazione istituzionale
cui essi sono tenuti.
Riservandosi di concludere rapidamente in separata sede i processi
di collaborazione gia' avviati con alcuni organismi rappresentativi
di soggetti pubblici, il Garante ritiene infine doveroso prescrivere
in questa sede a tutti i soggetti pubblici interessati di adottare le
predette misure, necessarie o, a seconda dei casi, opportune.
A tal fine, il Garante pone anche a disposizione dei soggetti
pubblici, in allegato al presente provvedimento, un modello di
riferimento per redigere gli schemi. Questo modello aggiorna quello
gia' predisposto dal Garante il 17 gennaio 2002.
Tutto cio' premesso il Garante:
a) ai sensi dell'art. 154, comma 1, lettera c), del codice,
prescrive ai titolari di trattamenti di dati personali oggetto del
presente provvedimento di adottare le misure necessarie ed opportune
ivi indicate al fine di rendere i trattamenti medesimi conformi alle
disposizioni vigenti;
b) dispone che copia del presente provvedimento sia trasmessa al
Ministero della giustizia - Ufficio pubblicazione leggi e decreti,
per la sua pubblicazione nella Gazzetta Ufficiale, ai sensi dell'art.
143, comma 2, del codice.
Roma, 30 giugno 2005
Il Presidente Pizzetti
Il Relatore Pizzetti
Il Segretario generale Buttarelli