Domanda: L'amministrazione comunale di Vado Ligure (SV) ha affidato ad una società di servizi l'incarico di costituire una banca dati di tutte le unità immobiliari esistenti sul territorio e di tutte le aziende con la finalità di garantire una presunta equità fiscale.

La società incaricata raccoglierà tutti i dati esistenti nei vari uffici pubblici riguardanti ogni unità immobiliare, visionerà i progetti edilizi esistenti nell'ufficio tecnico, i dati catastali dell'UTE di Savona, le informazioni della Camera di Commercio, del Ministero delle Finanze, dell' Enel, degli attuali contribuenti per i tributi comunali ecc. ed, inoltre, con un volantino distribuito a cura del Comune, i cittadini sono stati informati che verranno inviate specifiche lettere ad ognuno dei proprietari di fabbricati per chiedere di portare in visione alcuni documenti specifici.

Può la società di servizi costituire questa banca dati e quale materiale può essere fornito dal comune e dagli altri enti, senza una specifica autorizzazione da parte dei cittadini e senza violare il Codice sulla privacy?

Risposta: L'articolo 19, comma 3 del D.lgs.196/2003 stabilisce che i soggetti pubblici possono comunicare i dati personali che trattano a privati e enti pubblici economici soltanto se la comunicazione sia prevista espressamente da norme di legge o regolamento.

E' questa, dunque, la condizione che il Comune e gli altri enti, cui Lei fa riferimento, dovranno rispettare nel fornire il materiale alla società di servizio, per operare in ottemperanza alle disposizioni in materia di tutela della privacy.

Domanda: In attesa di emanazione della normativa specifica relativa al trattamento di dati sensibili di enti pubblici (es: Azienda Ospedaliera) è necessario richiedere ai dipendenti il consenso espresso per il trattamento dei propri dati sensibili (malattia, deleghe sindacali ecc.)?

Risposta: Gli artt. 75 e seguenti del Codice della privacy hanno introdotto le attese regole sul trattamento di dati personali in ambito sanitario. Tuttavia, nel caso di specie è da rilevare che il trattamento indicato rientra nel normale trattamento di dati sensibili da parte di soggetti pubblici, regolato dall'art. 20 del D.lgs.196/2003.

Tale articolo dispone che il trattamento di dati sensibili da parte di soggetti pubblici è consentito solo se autorizzato da espressa disposizione di legge, nella quale siano specificati i tipi di dati che possono essere trattati, le operazioni eseguibili e le rilevanti finalità di interesse pubblico perseguito.

Nei casi in cui sia specificata la finalità, di rilevante interesse pubblico (come per il caso da Lei evidenziato), ma non i tipi di dati e ed operazioni eseguibili, i soggetti pubblici dovranno identificare e rendere pubblici, secondo i rispettivi ordinamenti, i tipi di dati e di operazioni strettamente pertinenti e necessari in relazione alle finalità perseguite nei singoli casi, aggiornando tale identificazione periodicamente.

In nessun caso, ad ogni modo, per gli enti pubblici sarà necessario chiedere il consenso per il trattamento di dati sensibili.

Domanda: In base alla Legge sulla "Privacy" segnalo che dovrebbero essere rifatti i cartellini arancione che noi portatori di handicap dobbiamo esporre sul parabrezza dell'autovettura, in quanto il nominativo del possessore è ben leggibile.

Risposta: E' un grave problema che si è riproposto spesso, e sul quale è intervenuto il Garante con una Pronuncia del 19 gennaio 1999, sollecitando gli enti che rilasciano i cartellini ad una maggiore attenzione.

L'art. 74 del nuovo Codice della privacy, comunque, prevede espressamente l'obbligo di omettere l'indicazione del nominativo del portatore di handicap o di stamparlo nella parte posteriore del tagliando, mettendo in evidenza, per finalità di controllo, solo l'indicazione dell'ente che ha rilasciato la concessione e il numero della stessa.

I contrassegni dovranno, in altre parole, esporre solo i dati strettamente indispensabili per le dovute verifiche sul rilascio delle autorizzazioni.

Domanda: Vorrei porre una questione: dal complesso delle norme sulla privacy non mi risulta chiaro se, almeno in via generale, i soggetti pubblici, che pur possono prescindere a certe condizioni dal consenso, debbano comunque rispettare il principio relativo alle informative da rendersi in merito al trattamento.

Risposta: I soggetti pubblici possono trattare dati, a prescindere dal consenso, soltanto per il perseguimento di finalità istituzionali e nell'ambito di norme di legge o regolamentari. L'informativa, invece, deve essere sempre data, in quanto non vi sono eccezioni specificamente a favore della pubblica amministrazione; valgono, perciò, le medesime regole stabilite per i soggetti privati.

I soggetti pubblici, inoltre, devono dotarsi di norme regolamentari specifiche che garantiscano i diritti fondamentali riconosciuti dalla legge.

Domanda: Siamo una Società di servizi che ha avuto l'incarico da parte di alcune amministrazioni comunali di elaborare un progetto e di organizzare un ufficio per la tariffazione dei rifiuti. A tale scopo ci occorrono i dati anagrafici dei cittadini, i dati dei tributi e delle abitazioni.

Quali sono le incombenze da espletare in merito al nuovo Codice della privacy?
Quale materiale può essere fornito dai Comuni e quale no?

Risposta: Se non siete stati qualificati altrimenti da parte delle amministrazioni comunali (meglio se con nomina a Responsabile del trattamento o ad incaricato), le stesse potranno comunicare dati alla vostra Società soltanto se esiste una norma di legge o di regolamento che autorizzi simili comunicazioni, ai sensi dell'art. 19, comma 3 del D.lgs.196/2003.

Domanda: La nostra Società esplica le seguenti attività:

1. Informazioni commerciali (con autorizzazione ex art. 134 TULPS);
2. Banca dati - raccolta, trattamento e comunicazione di dati provenienti da pubblici uffici.

Dopo l'entrata in vigore della legge sulla privacy alcuni Comuni rifiutano il rilascio di certificazioni anagrafiche (stato di famiglia, certificato di nascita, etc.), necessarie per le informazioni commerciali. Ritenete il comportamento di questi Comuni lecito o meno?

Risposta: La P.A., ai sensi dell'articolo 19, comma 3 del Codice della Privacy può comunicare dati a privati soltanto se la circostanza è prevista da norme di legge o di regolamento.

Tra i doveri di un'amministrazione comunale c'è quello, stabilito per legge, della tenuta dei "pubblici" registri anagrafici che, in quanto pubblici, sono consultabili ed accessibili nei limiti previsti dall'art. 107 d.lgs. 29 ottobre 1999 n. 490.

D: In generale, gli uffici pubblici detentori di dati sino ad oggi liberamente consultabili (visure ACI per la ricerca tramite numero di targa), visure della CCIAA (ove peraltro compaiono data, luogo di nascita, residenza), conservatorie dei registri immobiliari, catasti) potranno rifiutarsi di fornire i dati? Quale interpretazione date del problema e come possiamo tutelarci?

R: Proprio alla luce delle considerazioni sopra svolte, non è improbabile che molti archivi detenuti dalla P.A. contengano dati eccedenti rispetto alle finalità di raccolta: ad esempio non è infrequente il caso in cui alcuni riferimenti anagrafici siano ininfluenti rispetto agli scopi di pubblicità che si propone l'ente, per cui sarà necessario, alla luce delle nuove disposizioni introdotte dalla legge, rivedere molti elenchi pubblici.
Gli enti pubblici, inoltre, non potranno comunicare dati personali a soggetti privati se non - come si è detto - in presenza di norme di legge o di regolamento che li autorizzino.

Domanda: Si chiede di sapere in quale misura sono interessate le amministrazioni comunali nella applicazione del Codice sulla privacy?

Risposta: Il Codice sulla privacy si applica anche alla Pubblica Amministrazione, pur se, per i trattamenti da essa effettuati sono previste importanti deroghe rispetto agli obblighi imposti ai soggetti privati.
In ogni caso, le norme che regolano l'applicazione della legge alla P.A. si fondano sul principio generale per cui ogni trattamento è lecito ed ammissibile, senza il consenso dell'interessato, purché sia effettuato per lo svolgimento di funzioni istituzionali.
In particolare, poi, la legge disciplina la comunicazione di dati dalla P.A. verso enti pubblici e verso privati, secondo quanto disposto dagli artt. 19 e seguenti del D.lgs.196/2003.

Domanda: Vorrei sottoporre alla vostra attenzione la nostra situazione.
Sono il responsabile amministrativo dell'Ente pubblico presso il quale sono occupato come funzionario e mi trovo a dover applicare il Codice della privacy. La nostra attività riguarda la concessione di vari tipi di benefici agli studenti universitari (mense, alloggi, borse di studio: legge regione Veneto 22/10/1982 n. 50), benefici per i quali gli studenti devono presentare richiesta scritta per la concessione. All'interno di questa richiesta sono presenti, oltre a dati anagrafici, anche dati fiscali e reddituali. Vorrei sapere come mi devo comportare al riguardo (avrei pensato di aggiungere in calce alla domanda lo spazio per la firma di autorizzazione alla raccolta e al trattamento).

Risposta: La Pubblica Amministrazione può raccogliere dati personali soltanto per il perseguimento di finalità istituzionali, a prescindere dalla raccolta del consenso dell'interessato (art. 18, comma 3 del Codice).
Nel caso proposto, pertanto, occorre verificare se sussistano i presupposti indicati dalla legge e, nel caso, il problema da porsi è un eventuale adeguamento ai parametri normativi. La Pubblica Amministrazione, infatti, deve fornire agli interessati l'informativa di cui all'art. 13 e rispettare i principi generali individuati dall'art. 11.

D: Inoltre, ci si pone il problema di chi debba essere nominato come titolare e responsabile: la nostra struttura è composta da un Presidente, da un Consiglio di Amministrazione (organi che vengono rinnovati ogni 4 anni), da un Direttore e dai restanti dipendenti. Io sono quello con la carica più alta tra di essi, ma non sono un dirigente. Può essere eletto il Presidente come Titolare oppure il Direttore, e quindi come Responsabile posso essere nominato io oppure il Direttore?

R: Il problema posto è molto serio: l'unico indicatore che la legge prevede, a proposito della individuazione del titolare, è riferito alla identificazione del soggetto cui competono le scelte strategiche in ordine al trattamento, anche se tale parametro è difficilmente applicabile a soggetti pubblici, perché, generalmente, le scelte strategiche sulle finalità e modalità del trattamento sono fissate direttamente da atti normativi.
Il Garante, nelle istruzioni per la compilazione della notifica, ha dato soluzione formale a questo problema, identificando -nel caso della P.A.- il titolare nello stesso Ente pubblico / Amministrazione statale / Università / Ordine professionale, come Titolare del trattamento. Non è, pertanto, necessaria alcuna nomina per ciò che riguarda il Titolare del trattamento, perché tale qualifica si desume dalla situazione di fatto.

Viceversa, qualora si ritenga opportuno nominare un Responsabile (si tenga presente che la nomina di tale soggetto non è obbligatoria), la scelta potrà ricadere su persone fisiche o giuridiche, secondo le necessità e la struttura organizzativa di ogni singolo ente.
Per completezza, infine, ricordiamo che è invece obbligatorio individuare per iscritto i soggetti incaricati del trattamento dei dati personali (in questo caso, si tratterà di sole persone fisiche).