Protezione dei dati sensibili. Dati sensibili: il ritardo della PA. e le prescrizioni del Garante
IL GARANTE PER LA PROTEZIONE
DEI DATI PERSONALI
Nella
riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del
dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del
dott. Giuseppe Fortunato, componenti e del dott. Giovanni Buttarelli,
segretario generale;
Vista
la normativa internazionale e comunitaria e il Codice in materia di protezione
dei dati personali (direttiva
n. 95/46/CE; d.lg.
30 giugno 2003, n. 196);
Vista
la documentazione in atti;
Viste
le osservazioni dell’Ufficio, formulate dal segretario generale ai sensi dell’art.
15 del regolamento del Garante, n. 1/2000;
Relatore
il prof. Francesco Pizzetti;
PREMESSO:
1. Considerazioni introduttive
Il Codice entrato in vigore il 1° gennaio 2004 ha riunito in modo
organico la normativa di tutela relativa al trattamento dei dati personali; ha
offerto all’intera amministrazione pubblica un’occasione significativa per
portare a compimento il processo di modernizzazione, in modo da adeguare il
proprio assetto organizzativo e funzionale dando idonee risposte alle istanze
dei cittadini rivolte al massimo rispetto dei diritti e delle libertà
fondamentali.
In
questo quadro, il Garante rileva, pero’, con rammarico che numerose
amministrazioni pubbliche non hanno dato piena attuazione al Codice.
In
particolare, questa Autorità segnala che non sono state ancora introdotte le
garanzie previste in ordine al trattamento di alcune informazioni che
riguardano profili particolarmente delicati della sfera privata delle persone, ovvero
dei c.d. dati "sensibili".
La
vicenda incide in termini rilevanti sulla sfera dei diritti dei cittadini.
L’utilizzo
di queste informazioni (concernenti la salute, la vita sessuale, la sfera
religiosa, politico-sindacale o filosofica, nonchè l’origine razziale ed
etnica) è inoltre soggetto a rigorose cautele anche in base alla disciplina
comunitaria, la quale vieta il loro trattamento a meno che ricorrano specifici
motivi di interesse pubblico rilevante e siano altresi’ assicurate opportune
garanzie (art. 8 direttiva cit.). Analoghe cautele sono previste per i dati di
carattere giudiziario. L’inerzia delle pubbliche amministrazioni lede, quindi,
non solo il diritto
dei cittadini alla protezione dei dati personali, ma comporta anche una violazione
del diritto comunitario.
Il
ritardo accumulato su questo piano è eccessivo. Sin dal 1997, vigente
la legge n. 675/1996, ed
anche dopo l’approvazione del Codice nel 2003, i soggetti pubblici hanno
infatti potuto avvalersi di un lungo periodo transitorio e di diverse proroghe.
L’eventuale protrarsi dell’inerzia delle amministrazioni anche dopo il 31
dicembre 2005 (data di scadenza dell’ultima proroga) risulterebbe del tutto
ingiustificata.
L’Autorità
esprime viva preoccupazione in relazione al rispetto del termine di legge del
31 dicembre prossimo.
Se
non interverranno per tale data i necessari atti di natura regolamentare il
trattamento dei dati sensibili e giudiziari dovrà essere infatti interrotto a
decorrere dal 1° gennaio prossimo. La prosecuzione del trattamento di dati
sensibili e giudiziari dopo tale data concretizzerebbe un illecito, con
conseguenti responsabilità di diverso ordine, anche contabile e per danno
erariale; potrebbe inoltre comportare l’inutilizzabilità dei dati trattati
indebitamente, nonchè il possibile intervento di provvedimenti anche
giudiziari di blocco o di divieto del trattamento (art. 154 del Codice; art. 3 d.l. 24 giugno 2004, n. 158,
come modificato dalla l. 27 luglio 2004, n. 188; art. 11, commi 1, lett. a) e
2, del Codice).
Nel
quadro della tematica in esame, le amministrazioni pubbliche hanno l’obbligo
-accanto ad altri doveri in materia- di rendere trasparenti ai cittadini quali
informazioni vengono raccolte tra quelle particolarmente delicate cui si è
fatto riferimento; devono altresi’ chiarire come utilizzano queste informazioni
per le finalità di rilevante interesse pubblico individuate con legge. Tali
indicazioni vanno trasfuse in un atto regolamentare cui va data ampia pubblicità
(artt. 4, comma 1, lett. d) ed e), 20, comma 2 e 21, comma 2, del Codice).
Non
si tratta di un mero adempimento formale, oppure di una semplice ricognizione
di prassi esistenti, poichè da tali regolamenti discenderanno effetti
sostanziali per i cittadini interessati.
Gli
schemi dei regolamenti devono essere sottoposti al Garante per l’espressione
del parere, cui i soggetti pubblici devono poi conformarsi.
Considerata
l’ampiezza del settore, il Codice prevede anche la possibilità che siano
redatti schemi tipo per insiemi omogenei di amministrazioni, sui quali puo’
essere pertanto espresso un unico parere.
Per
contribuire alla corretta applicazione del Codice, il Garante ha intensificato
la collaborazione finalizzata alla predisposizione di tali schemi tipo con
organismi rappresentativi di regioni, autonomie locali ed università, nonchè,
in riferimento alle rispettive funzioni istituzionali, con la Presidenza del
Consiglio dei ministri e il Dipartimento della funzione pubblica.
Il
Garante resta pero’ in attesa di ricevere per il parere sia gli schemi tipo
eventualmente proposti, sia gli schemi di regolamento predisposti da singole
amministrazioni.
2. Aspetti procedurali
Diversi documenti del Garante e più di una circolare evidenziano da
tempo la problematica e la circostanza, ribadita dal Codice, che le
amministrazioni non possono avvalersi, nel caso di specie, di meri atti che,
anche se denominati regolamenti, non hanno, anche per la loro eventuale
rilevanza solo interna, la necessaria natura di fonte normativa suscettibile di
incidere su diritti e libertà fondamentali di terzi (Provv. Garante
del 17 gennaio 2002, in Boll. n. 24, p. 40 e 16
giugno 1999, in Boll. n. 9, p. 19; note del Garante rivolte alla Presidenza
del Consiglio dei ministri il 10
settembre 1999, il 10
novembre 2000 e il 3
maggio 2001, in Boll. n. 9, p. 31, n. 14-15, p. 26 e n. 20, p. 36).
Spetta
ai soggetti pubblici che trattano i dati adottare l’atto di natura
regolamentare, o avvalendosi dei poteri ad essi riconosciuti dall’ordinamento
di riferimento, oppure promuovendo l’adozione di un regolamento da parte della
competente amministrazione di riferimento la quale eserciti, ad esempio, poteri
di indirizzo e controllo (es.: artt. 4 e 14 d.lg 30 marzo 2001 n. 165 e, a
titolo esemplificativo, artt. 8 e ss. d.lg. 30 luglio 1999, n. 300 e 9 d.lg. 29
ottobre 1999, n. 419).
Gli
atti di natura regolamentare da adottare devono essere predisposti previa
ricognizione attenta dei trattamenti di dati sensibili e giudiziari in fase di
attuale trattamento o che si intende trattare in futuro.
Occorre
poi tenere presente che potranno essere prese in considerazione nei regolamenti
le sole finalità di rilevante interesse pubblico già individuate
specificamente dal Codice o, come quest’ultimo prevede, da un’espressa
previsione di legge che, anche se collocata fuori del Codice, le evidenzi
comunque puntualmente nei termini richiesti (art. 20 e Parte II del Codice).
La
ricognizione, che presuppone il necessario coinvolgimento delle articolazioni
interne del soggetto pubblico interessato, permette a quest’ultimo di
effettuare anche un’ulteriore verifica circa la rispondenza dei trattamenti in
corso con i principi del Codice oggi già direttamente applicabili (e
ovviamente da rispettare anche in sede regolamentare), nonchè di adeguare
prontamente procedure in atto eventualmente non conformi a legge (principio
di indispensabilità in rapporto alle finalità perseguite; verifiche
periodiche dei vari requisiti dei dati -esattezza, aggiornamento, pertinenza,
completezza, ecc.- e del loro rapporto con gli adempimenti da svolgere; scelta
di modalità volte a prevenire violazioni di diritti e libertà fondamentali;
raccolta dei dati sensibili e giudiziari di regola presso gli interessati;
particolari cautele rispetto a dati riferiti a terzi non direttamente
interessati ai compiti o adempimenti da svolgere; divieto di diffusione di dati
sulla salute ecc.: cfr. art.
22 del Codice).
3. Il parere del Garante
Gli atti di natura regolamentare devono essere adottati, in ogni caso, in
conformità al parere del Garante. Come accennato, il parere puo’
essere espresso anche su schemi tipo, il che contribuisce a rendere più
organiche le garanzie in riferimento ad altre amministrazioni e semplifica, inoltre,
l’iter di approvazione degli atti.
Infatti,
una volta espresso dal Garante il parere su uno schema tipo riguardante
l’attività di soggetti pubblici che svolgono attività omogenee, lo schema di
ciascun regolamento non deve essere sottoposto singolarmente a questa Autorità,
semprechè il trattamento ipotizzato sia attinente e conforme allo schema tipo
esaminato.
E’
invece necessario sottoporre al Garante uno schema di regolamento per uno
specifico parere solo se:
a)
manca uno schema tipo già esaminato dall’Autorità;
b)
vi è uno schema tipo al quale l’amministrazione deve apportare modifiche
sostanziali o integrazioni non formali che riguardano (a causa di ulteriori
categorie di dati o di altre rilevanti operazioni di trattamento) casi in esso
non considerati nello schema tipo.
Anche
in questi due casi, il Garante è impegnato ad esprimere il parere nel termine
di 45 gg. dal ricevimento della richiesta (o nei 20 gg. dal ricevimento degli
elementi istruttori ricevuti dalle amministrazioni interessate), decorsi i
quali, se non interviene un parere formale, il soggetto puo’ adottare comunque
il regolamento e proseguire poi il trattamento (<a
hr
