testata per la stampa della pagina
/
condividi

PROVVEDIMENTO DEL 7 GENNAIO 2002

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

In data odierna, in presenza del prof. Stefano Rodota', presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del dottor Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;

Vista la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Stefano Rodot a';

PREMESSO

I DATI SENSIBILI

La legge n. 675/1996 prevede garanzie particolari per la categoria dei dati c.d. sensibili che riguardano profili particolarmente delicati della sfera privata delle persone (salute, vita sessuale, sfera religiosa, politica, sindacale e filosofica, origine razziale ed etnica) e che sono specificamente enumerati (art. 22, comma 1, legge cit.).

L'utilizzazione di questi dati determina effetti rilevanti nei confronti degli interessati. La direttiva comunitaria in materia (n. 95/46/CE) ne disciplina in maniera particolarmente rigorosa il trattamento. E' previsto, sempre a livello comunitario, solo un numero limitato di eccezioni tra cui figura, in particolare, l'ipotesi in cui sulla base della legge o di una decisione dell'Autorit a' garante sia riconosciuta l'esistenza di un interesse pubblico rilevante e siano previste opportune garanzie (art. 8, par. 4, dir. cit).

IL TRATTAMENTO DA PARTE DI SOGGETTI PUBBLICI
 
Per la pubblica amministrazione italiana e' stato previsto un lungo periodo transitorio in base al quale la stessa ha potuto proseguire i trattamenti di dati sensibili per oltre un biennio a partire dal maggio del 1997, senza porre in essere significative procedure per incrementare il grado di rispetto dei diritti degli interessati (art. 41, comma 5, legge cit.).

Nel 1999, sulla base di talune modifiche ed integrazioni apportate alla legge n. 675, sono state previste soluzioni che avrebbero dovuto facilitare l'introduzione di specifiche garanzie su iniziativa delle singole amministrazioni pubbliche che trattano i dati (d.lg. 11 maggio 1999 n. 135 e d.lg. 30 luglio 1999, n. 282).

Per i soggetti pubblici e' rimasta operante la possibilit a' di trattare i dati sensibili quando ciò sia previsto da una norma di legge che specifichi espressamente talune condizioni (rilevanti finalit a' di interesse pubblico perseguite; dati personali che possono essere utilizzati; operazioni di trattamento eseguibili).

Per i casi in cui manchi tale specifica base normativa, si e' prevista la possibilit a' per i soggetti pubblici di chiedere al Garante di individuare transitoriamente le rilevanti finalit a' di interesse pubblico non previste espressamente da una legge, da un decreto legislativo o da un decreto -legge e che possono giustificare l'utilizzazione dei dati sensibili.

Varie finalit a' di interesse pubblico sono state individuate da un apposito decreto legislativo (n. 135/1999) e da un provvedimento del Garante (n. 1/P/2000 del 30 dicembre 1999-13 gennaio 2000, in G.U. 2 febbraio 2000, n. 26).

Tale decreto ha previsto, altresi', alcuni principi per quanto riguarda le informazioni utilizzabili e le modalit a' di trattamento (artt. 2-4 d.lg. n. 135 cit.).

Per la loro attuazione i soggetti pubblici avrebbero dovuto avviare l'adeguamento dei propri ordinamenti entro il 31 dicembre 1999.

In particolare, entro tale data avrebbero dovuto essere instaurate le procedure per individuare i tipi di dati sensibili e le operazioni di trattamento strettamente pertinenti e necessarie in relazione alle finalit a' individuate dapprima dal predetto decreto e, poi, dal provvedimento del Garante. Tale identificazione avrebbe dovuto essere poi aggiornata periodicamente (art. 5, comma 4, d.lg. cit.; art. 22, comma 3-bis, cit.).

Analoga soluzione, in riferimento alle finalit a' individuate dal citato decreto, avrebbe dovuto essere seguita per trattare i dati che attengono a determinati provvedimenti di carattere giudiziario (art. 5, comma 5-bis, d.lg. cit.; art. 24 legge cit.).

EVENTI SUCCESSIVI AL 1999

Il decreto n. 135/1999 non ha previsto un termine perentorio entro il quale i soggetti pubblici avrebbero dovuto ultimare le procedure in esame, essendo stato individuato solo il termine iniziale del 31 dicembre 1999.

Dall'esame di alcuni ricorsi e segnalazioni il Garante ha potuto però rilevare che diverse amministrazioni pubbliche non hanno attivato alcuna iniziativa anche dopo tale data, evidenziando una totale inerzia al riguardo.

Ciò sebbene la Presidenza del Consiglio dei ministri abbia fornito indicazioni con due circolari (n. DAGL/643-Pres. 98 e n. DAGL/643-Pres. 2000, in G.U. 3 maggio 2000, n. 101), ricordando alle amministrazioni anche l'obbligo di assicurare la massima diffusione della rilevazione effettuata, attraverso un'opportuna pubblicazione degli atti adottati.

Non e' stato nemmeno emanato il decreto, previsto sempre nel 1999, per provvedere ai predetti adempimenti in modo uniforme per tutti gli organismi pubblici operanti all'interno del Servizio sanitario nazionale (art. 2 d.lg. n. 282/1999; art. 23 legge cit.).

Sono state intraprese solo rare iniziative da parte o nell'interesse di soggetti pubblici, peraltro adottate in difformit a' dalla legge (v., ad esempio, il d.m. 30 maggio 2000 sui dati sensibili trattati dal Ministero del commercio con l'estero, emanato senza la prevista consultazione del Garante), oppure inadeguate rispetto al quadro delle garanzie necessarie (v. ad es., alcuni schemi di regolamento predisposti dall'ANCI, "destinati ad offrire soluzioni organizzative", ritenuti dal Garante non conformi alla cornice delle norme in vigore: cfr. nota del 23 maggio 2000, riportata nel Bollettino del Garante n. 13, p.p. 21-26).

Da più fonti conoscitive (ricorsi, schemi di provvedimento, richieste di parere, ecc.) e' emersa inoltre la tendenza di vari soggetti pubblici a privilegiare aspetti meramente formali nella tutela delle persone interessate, legati ad adempimenti talvolta superflui o inadatti ai singoli casi di specie, trascurando invece la cura dei profili sostanziali di garanzia.

IL CONTENUTO DEI PROVVEDIMENTI DA ADOTTARE
 
L'individuazione dei tipi di dati sensibili e giudiziari e delle operazioni di trattamento, che diversi soggetti pubblici non hanno definito nelle forme previste dai rispettivi ordinamenti, non rappresenta un mero adempimento formale di ricognizione di prassi esistenti.

Si tratta, piuttosto, di un provvedimento che deve attuare con effetti innovativi i principi vincolanti affermati in proposito dal d.lg. n. 135/1999 (artt. 2-4), al fine di ridefinire su basi più rispettose dei diritti della personalit a' una serie di trattamenti legati alle finalit a' di rilevante interesse pubblico enumerate dal decreto legislativo o dalla decisione del Garante.

Il provvedimento che i soggetti pubblici devono adottare esige anzitutto, una scrupolosa ricognizione di tutte le attivit a' materiali che il soggetto pubblico intende proseguire in relazione a dette finalit a', con strumenti automatizzati e non automatizzati.

Occorre poi una previa valutazione della stretta pertinenza e necessariet a' dei dati e delle operazioni rispetto alle finalit a', valutazione da operarsi da parte degli organi in grado di manifestare in proposito la volont a' del soggetto pubblico (art. 22, comma 3-bis, cit.).

Trattandosi di provvedimenti attuativi del citato decreto legislativo (art. 5, comma 5, d.lg. n. 135 cit.), e' inoltre fuor di luogo la mera riproduzione del contenuto di disposizioni riportate in leggi, decreti legislativi o decreti-legge, unita ad un' indicazione solo di macro-tipologie di dati e di descrizioni del tutto generiche del loro impiego.

La pubblicit a' che per legge deve essere data a tali provvedimenti, secondo i vari ordinamenti (art. 22, comma 3-bis, cit.), deve porre poi il cittadino in condizione di conoscere, con un apprezzabile grado di chiarezza, con quali modalit a' sono utilizzate delicate informazioni che secondo la direttiva comunitaria non potrebbero altrimenti essere trattate, come si e' detto.

A tal fine possono essere utilizzati anche prospetti schematici (del tipo di quello che il Garante ritiene di suggerire, in allegato al presente provvedimento), che possono facilitare il collegamento tra le tipologie di informazioni e di operazioni e le finalit a' di rilevante interesse pubblico specificamente individuate dal d.lg. n. 135/1999, dal Garante o da un altro atto normativo avente le caratteristiche suddette.

I dati personali trattati vanno indicati per categorie (senza entrare in ulteriori specifici dettagli: es. dati sulla salute; vita sessuale; ecc.) tenendo conto che le tipologie di dati non individuate e rese pubbliche non possono essere poi utilizzate.

La parte del provvedimento che attiene alle operazioni di trattamento potrebbe essere cosi' suddivisa: a) indicando un primo gruppo di operazioni standard, che può essere comune a più tipologie di dati, ma che deve comunque rispondere al principio di stretta necessit a' (raccolta, conservazione, cancellazione, ecc.); b) ponendo altresi' in maggiore evidenza le operazioni che possono spiegare effetti più significativi per l'interessato (es., elaborazione, selezione, raffronto); c) aggiungendo una descrizione sintetica dei flussi di dati (specificando ad es. dove sono raccolti di regola i dati, le eventuali interconnessioni o consultazioni da parte di altre amministrazioni, i trattamenti di cui all'art. 17 della legge n. 675/1996 ecc.).

FORMA DEI PROVVEDIMENTI

Per quanto riguarda la forma il d.lg n. 135/1999 rinvia agli ordinamenti dei soggetti pubblici interessati, i quali operano in diversi settori dello Stato, degli enti pubblici e dell'amministrazione locale.

Questa Autorit a' ha evidenziato in altre circostanze che gli atti amministrativi diversi da quelli di rango regolamentare non si prestano ad essere utilizzati nel caso di specie (v. ad es. la nota indirizzata alla Presidenza del Consiglio dei Ministri il 15.11.1999, nonché il comunicato stampa in pari data pubblicato nel Bollettino del Garante n. 10, p. 112).

Non a caso il decreto legislativo n. 282/1999 ha previsto la fonte di rango regolamentare per i trattamenti di dati in ambito sanitario.

Lungi dall'avere un carattere meramente ricognitivo di prassi preesistenti, i provvedimenti qui considerati producono effetti innovativi e significativi sui diritti fondamentali di numerose persone interessate.

Vengono infatti rese lecite alcune operazioni di trattamento come la comunicazione e la diffusione che, se effettuate su dati "comuni", richiedono una norma di legge o di regolamento (art. 27, commi 2 e 3, legge cit.).

In considerazione anche dei riferimenti contenuti nella normativa comunitaria che presuppone fonti primarie o decisioni dell'autorit a' garante nazionale (art. 8., par. 4, dir. cit.), e' necessario che i soggetti pubblici prescelgano per gli atti in questione una fonte di rango quantomeno regolamentare.

Si richiamano, in proposito, le considerazioni più volte gi a' sviluppate dal Garante a proposito dell'art. 27 della legge circa la differenza tra le fonti normative secondarie e gli atti, pur denominati regolamenti, che ne hanno l'apparenza, ma non la sostanza e sono quindi insuscettibili di determinare effetti giuridici all'esterno nella materia in esame (v., fra le altre, la nota del 23.1.1998 pubblicata sul Bollettino del Garante n. 3, p. 28).

Occorre comunque tener conto anche del particolare, e più adeguato, procedimento di formazione -interno ed esterno ai soggetti pubblici- degli atti di rango regolamentare, che assicura all'atto in questione una maggiore stabilit a'.

CONCLUSIONI

La ricognizione dei trattamenti e la loro disciplina nei regolamenti non riguardano aspetti meramente formali, ma incidono su aspetti sostanziali e sono necessari per poter ritenere leciti i trattamenti dei dati sensibili e giudiziari.

In loro mancanza i soggetti pubblici operano sprovvisti di un indefettibile presupposto di liceit a', trattando dati sensibili e giudiziari relativi ad innumerevoli cittadini senza alcune necessarie garanzie, privando gli interessati della possibilit a' di conoscere le utilizzazioni effettive dei dati che li riguardano.

La diffusivit a' del fenomeno e' tale da esporre il nostro Paese ai rischi di gravi violazioni della disciplina comunitaria.

Il Garante, in presenza di accertate violazioni di quanto previsto dalle discipline ricordate, adotter a' specifici provvedimenti di blocco o divieto del trattamento. Resta comunque impregiudicato il diritto dei cittadini di far valere i propri diritti nelle competenti sedi, anche in relazione agli eventuali danni subiti.

Il Garante ritiene altresi' di dover nuovamente segnalare la problematica alle competenti autorit a' di Governo, per quanto ritenuto necessario in relazione al buon andamento degli uffici pubblici e alla coerente e tempestiva attivazione delle politiche comunitarie, nonché all'eventuale previsione di un termine per la conclusione dei procedimenti in questione.

L'Autorit a' ritiene anche opportuno rappresentare a tutte le amministrazioni interessate le suesposte indicazioni per le attivit a' che dovranno prontamente intraprendere o riassumere, riservandosi di collaborare con gli organismi rappresentativi delle autonomie locali, anche in base ai protocolli con essi gi a' sottoscritti, ai fini della predisposizione di un più dettagliato schema di regolamento per gli enti locali.

TUTTO CIO' PREMESSO IL GARANTE:

a) segnala al Governo ai sensi dell'art. 31, comma 1, lett. m), della legge n. 675/1996 la necessit a' di conformare alle disposizioni vigenti il trattamento dei dati sensibili e giudiziari da parte dei soggetti pubblici;

b) dispone la trasmissione di copia del presente provvedimento anche alle amministrazioni indicate nell'elenco in atti e a quelle che hanno chiesto sull'argomento un parere al Garante.
Roma, 17 gennaio 2002

IL PRESIDENTE
Rodot a'

IL RELATORE
Rodot a'

IL SEGRETARIO GENERALE
Buttarelli

* Denominazione del trattamento *

Indicare sinteticamente la denominazione o il tipo di trattamento (es.: gestione del rapporto di lavoro del personale):

* Fonte Normativa *

Indicare le fonti normative sull'attivit a' istituzionale cui e' collegato il trattamento (nel caso dell'esempio precedente: Codice Civile, l. n. 300/1970; d.lg. n. 165/2001; ecc.):

* Rilevanti finalit a' di interesse pubblico perseguite dal trattamento *

Indicare le rilevanti finalit a' esplicitate dalla legge, dal d.lg. n. 135/1999 o da altri decreti legislativi attuativi della l. n. 675/1996 o dal provvedimento del Garante ed il relativo specifico riferimento (nel caso dell'esempio del rapporto di lavoro: (art. 9, d.lg. n. 135/1999: Instaurazione e gestione dei rapporti di lavoro dipendente di qualunque tipo, anche a tempo parziale o temporaneo e di altre forme di impiego che non comportano la costituzione di un rapporto di lavoro subordinato):

* Tipi di dati trattati (barrare le caselle corrispondenti) *

Indicare le rilevanti finalit a' esplicitate dalla legge, dal d.lg. n. 135/1999 o da altri decreti legislativi attuativi della l. n. 675/1996 o dal provvedimento del Garante ed il relativo specifico riferimento (nel caso dell'esempio del rapporto di lavoro: (art. 9, d.lg. n. 135/1999: Instaurazione e gestione dei rapporti di lavoro dipendente di qualunque tipo, anche a tempo parziale o temporaneo e di altre forme di impiego che non comportano la costituzione di un rapporto di lavoro subordinato):

* Tipi di dati trattati (barrare le caselle corrispondenti) *

q origine |_| razziale |_| etnica

q convinzioni |_| religiose, |_| filosofiche, |_| d'altro genere

q convinzioni |_| politiche, |_| sindacali

q stato di salute: |_| patologie attuali |_| patologie pregresse |_| terapie in corso |_| anamnesi familiare

q vita sessuale

q dati genetici

q dati di carattere giudiziario (art. 24, l. n. 675/1996)

* Operazioni eseguite (barrare le caselle corrispondenti) *

* Trattamento "ordinario" dei dati *

q Raccolta: |_| presso gli interessati |_| presso terzi

q Elaborazione: |_| in forma cartacea |_| con modalit a' informatizzate

q Altre operazioni pertinenti e non eccedenti rispetto alla finalit a' del trattamento e diverse da quelle "standard" quali la conservazione, la consultazione interna, la rettifica, la cancellazione o il blocco nei casi previsti dalla legge (specificare):

* Particolari forme di elaborazione *

q Interconnessione, raffronti, incroci di dati:

|_| con altri trattamenti o banche dati dello stesso ente (specificare quali ed indicarne i motivi)........................................

|_| con altri soggetti pubblici o privati (specificare quali ed indicarne i motivi): ....................................

q Trattamento automatizzato volto a definire il profilo o la personalit a' dell'interessato ai fini dell'adozione di un provvedimento amministrativo o giudiziario (specificare ed indicarne i motivi):

q Comunicazione ai seguenti soggetti per le seguenti finalit a' (specificare ed indicare l'eventuale base normativa): ...........................................................................................

q Diffusione (specificare ed indicare l'eventuale base normativa) ..............................................................................................................

q Altre operazioni: (indicare altre eventuali operazioni effettuate sui dati in questione diverse da quelle

enucleate precedentemente): ....................................................

* Sintetica descrizione del trattamento e del flusso informativo *

(Descrivere sinteticamente il trattamento ed il relativo flusso): ..............................