Parere sullo schema di regolamento sull'organizzazione della banca di dati relativa ai minori "adottabili"

Provvedimento del 11 luglio 2003

Roma, 11 luglio 2003

Prot. n. 10602/25794

Ministero della giustizia
Ufficio legislativo
Via Arenula 70 -ROMA

rif. n. 599/ U - 7/3-1 U.L. del 20 marzo 2003

Oggetto: schema di regolamento recante "Modalità di attuazione e organizzazione della banca dati relativa ai minori dichiarati adottabili istituita dall'art. 40 della legge 28 marzo 2001, n. 149".

 

Codesto Ministero ha chiesto il parere di questa Autorità in ordine allo schema di regolamento recante le modalità di attuazione e organizzazione della banca di dati relativa ai minori dichiarati adottabili istituita ai sensi dell'art. 40 della legge 28 marzo 2001, n. 149, di modifica della legge 4 maggio 1983, n. 184, in materia di adozioni.

Il parere è riferito ai soli aspetti concernenti il trattamento dei dati personali allo stato attuale della disciplina vigente, tenendo conto, tuttavia, che la tematica della gestione di banche di dati in ambito giudiziario e dei collegamenti con banche di dati di altri soggetti pubblici è oggetto del Codice in materia di protezione dei dati personali recentemente approvato in via definitiva dal Governo e in corso di pubblicazione.

Il quadro normativo indica, in ogni caso, l'esigenza di alcune modifiche al testo necessarie per conformare pienamente lo schema di regolamento ai principi in materia di protezione dei dati personali, in particolare per quanto riguarda i soggetti coinvolti nei flussi informativi e i relativi accessi alla banca di dati, i dati personali che possono essere trattati e le modalità del trattamento.

Il regolamento e l'istituenda banca di dati interesserà informazioni delicate riferite ad un numero elevato di interessati e ciò sembra esigere un quadro rafforzato di garanzie e di misure di sicurezza.

Soggetti coinvolti e titolari del trattamento
Appare necessario specificare più in dettaglio, in linea anche con quanto previsto dalla legge n. 184 del 1983, i soggetti che possono trattare i dati personali necessari per il funzionamento della banca di dati, chiarendo in particolare quali sono i soggetti autorizzati a inserire o modificare i dati e la fonte di reperimento dei dati (v. anche art. 4, comma 2) e quali, invece, gli "utenti" delle informazioni contenute nella banca di dati (artt. 3, comma 2, 4 e 5). In particolare non è chiaro che cosa si voglia intendere con il riferimento - perfettibile - all'ufficio "al quale il dato appartiene" (art. 3, comma 1, lett. a). Rigorosa attenzione andrebbe posta per i dati di provenienza extragiudiziaria (regionale: art. 4, comma 3).

Una più dettagliata individuazione degli organi e degli uffici coinvolti e dei relativi trattamenti è necessaria anche al fine di individuare correttamente il titolare o i titolari del trattamento (art. 2, comma 2, in relazione all'art. 1, comma 2, lett. d, l. n. 675/1996), fermo restando che possono essere individuati, anche direttamente nell'ambito della disposizione medesima, uno o più responsabili del trattamento (art. 8, l. n. 675/1996).

Identificazione dei soggetti che hanno accesso alla banca di dati
Si segnala, poi, l'esigenza di perfezionare lo schema in riferimento alla precisa identificazione dei soggetti che hanno accesso alla banca di dati e alla conservazione dei dati raccolti (artt. 2, comma 1, e art. 5, comma 2).

In particolare, fermo restando il legittimo "tracciamento" delle operazioni di implementazione della banca di dati e di consultazione della stessa da parte degli utenti, anche per esigenze di sicurezza del sistema o per valutazioni statistiche anonime, è opportuno che per tale finalità non si faccia riferimento a un "codice di identificazione" dei soggetti, in quanto si tratta di un ulteriore aspetto oggetto del citato testo unico. La legge n. 127/2001 e, prima ancora, la legge-delega n. 676/1996 prevedono, infatti, anche in relazione ad una disposizione comunitaria, specifiche garanzie volte ad individuare, in chiave selettiva, i presupposti per l'utilizzo di numeri di identificazione personale, anche in riferimento a dati di carattere giudiziario.

Le predette osservazioni potrebbero essere recepite sopprimendo il riferimento al "codice di identificazione", ovunque ricorra nel testo (art. 1, comma 1, lett. f) e art. 2, comma 1), e sostituendo il comma 2 dell'articolo 5 dello schema con i seguenti:

"2. Ciascuna postazione avente accesso alla banca di dati resta soggetta a previa registrazione con annotazione dei dati identificativi dell'utente.

3. I dati personali concernenti l'identificazione degli utenti del servizio e le operazioni di accesso e consultazione della banca di dati di cui al comma 1, lett. a) e b), sono utilizzabili per fini di sicurezza del sistema e di accertamento di eventuali illeciti, nel rispetto dei principi dell'articolo 9 della legge n. 675/1996, nonché per statistiche sulla base di dati anonimi.

4. Gli utenti possono utilizzare i dati personali consultati per esclusivi scopi connessi alle finalità per le quali la banca di dati è istituita.".

È necessario poi precisare nella disposizione che tale identificazione non riguarda gli "interessati" ai quali è consentito l'accesso ai sensi dell'art. 5, comma 1, lett. c), fermo restando che tale possibilità di accesso per il tramite degli uffici giudiziari competenti lascia impregiudicata, per l'interessato, la possibilità di esercitare il diritto di accesso ai sensi dell'articolo 13 della legge n. 675 del 1996.

In relazione alla circostanza che l'articolo 6 prevede il trattamento di numerosi dati, anche sulla salute, andrebbe valutata la praticabilità di una suddivisione dei livelli di accesso ai dati in una/due fasce di utenti, eventualmente a seconda delle finalità.

Dati personali contenuti nella banca di dati e pertinenza
Per quanto riguarda l'individuazione delle informazioni contenute nella banca di dati, è necessaria l'indicazione più precisa dei dati "idonei al miglior esito del procedimento" in relazione alle finalità perseguite dal presente regolamento (art. 6, comma 1, lett. a), n. 8) e lett. b), n. 12), come previsto, peraltro, dallo stesso articolo 40 della legge n. 184 del 1983 cui il regolamento dà attuazione (art. 9, l. n. 675/1996). Conseguentemente, la corrispondente parte della definizione di "dati" di cui all'art. 1, comma 1, lett. b), andrebbe collegata a tale chiarimento. Può essere, inoltre, opportuno indicare i tipi di dati sensibili oggetto di trattamento e le operazioni eseguibili nell'ambito della gestione della banca di dati, anche al fine di rendere superflua l'altrimenti necessaria adozione di un ulteriore atto regolamentare per identificare, in modo assai selettivo, in conformità all'articolo 22, comma 3-bis, della medesima legge n. 675 del 1996, i tipi di operazioni e di dati sensibili che possono essere trattati (cfr. art. 6, comma 1, lett. a, n. 2) e lett. b) n. 6).

Inoltre, per assicurare il pieno rispetto dei principi di pertinenza, esattezza e aggiornamento dei dati (art. 9, l. n. 675/1996), nonché la compatibilità della disposizione normativa con i limiti alla conoscibilità di determinati dati personali previsti dalla normativa vigente (cfr, art. 28, l. n. 184 del 1983, circa il divieto di accesso alle informazioni relative al genitore che abbia dichiarato di non voler essere nominato) si suggeriscono le seguenti modificazioni all'articolo 6:

a) l'alinea andrebbe sostituito dal seguente: "6. Fermo restando quanto previsto dall'articolo 9 della legge 31 dicembre 1996, n. 675, la banca di dati può contenere i seguenti dati personali, aggiornati periodicamente:";

b) al comma 1, lett. a), n. 3, andrebbero aggiunte, infine, le seguenti parole: "fermo restando quanto previsto dall'articolo 28, comma 7, della legge 4 maggio 1983, n. 184;"

Da ultimo, l'art. 7 dello schema deve essere perfezionato chiarendo che l'obbligo di conservazione ivi indicato riguarda, in base alla normativa vigente, i documenti sui quali sono riportati dati personali e per le specifiche finalità previste dal d. lg. n. 490 del 1999, e calibrando i tempi di conservazione dei dati trattati con strumenti elettronici in relazione al periodo di tempo effettivamente necessario al raggiungimento dello scopo per i quali sono stati raccolti (art. 9, comma 1, lett. e), l. n. 675/1996).

Ulteriori aspetti formali
Infine, si ritiene necessario:

a) espungere dall'articolo 1 la definizione di "trattamento" (art. 1, comma 1, lett. c)), in quanto già contenuta nella legge n. 675 del 1996 e nel Codice in materia di protezione dei dati personali (salvo "recuperare" le operazioni ivi indicate ai fini dell'individuazione delle operazioni eseguibili, secondo quanto sopra specificato) e la definizione di "tenuta della banca dati", dal momento che essa non è espressamente richiamata nel testo e contiene un improprio riferimento al trattamento dei dati (art. 1, comma 1, lett. d));

b) modificare il riferimento alla "banca dati", ovunque ricorra, con quello più corretto e già previsto dalla legge n. 675 del 1996 di "banca di dati" (art. 1, comma 2, lett. a, l. n. 675/1996);

c) indicare nel preambolo l'intera legge 31 dicembre 1996, n. 675 (o, se già pubblicato, il nuovo Codice sopra citato, che sostituirà la legge n. 675), piuttosto che le sole disposizioni riguardanti il trattamento dei dati sensibili (art. 22, l. n. 675/1996), e correggere un errore materiale all'articolo 7 (decreto legislativo 29 ottobre 1999, n. 490).

L'Autorità rimane a disposizione per ogni chiarimento ed eventuale ulteriore collaborazione.

Il segretario generale
Giovanni Buttarelli