PROVVEDIMENTI A CARATTERE GENERALE - 30 giugno 2005

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof.Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componentie del dott. Giovanni Buttarelli, segretario generale;

Vista la normativa internazionale e comunitariae il Codice in materia di protezione dei dati personali (direttivan. 95/46/CE; d.lg. 30 giugno 2003, n.196);

Vista la documentazione in atti;

Viste le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante, n. 1/2000;

Relatore il prof. Francesco Pizzetti;

PREMESSO:

1. Considerazioni introduttive

Il Codice entrato in vigore l'1 gennaio 2004ha riunito in modo organico la normativa di tutela relativa al trattamento deidati personali; ha offerto all'intera amministrazione pubblica un'occasionesignificativa per portare a compimento il processo di modernizzazione, in mododa adeguare il proprio assetto organizzativo e funzionale dando idonee rispostealle istanze dei cittadini rivolte al massimo rispetto dei diritti e dellelibertà fondamentali.

In questo quadro, il Garante rileva, però, conrammarico, che numerose amministrazioni pubbliche non hanno dato pienaattuazione al Codice.

In particolare, questa Autorità segnala che nonsono state ancora introdotte le garanzie previste in ordine al trattamento dialcune informazioni che riguardano profili particolarmente delicati della sferaprivata delle persone, ovvero dei c.d. dati "sensibili".

La vicenda incide in termini rilevanti sullasfera dei diritti dei cittadini.

L'utilizzo di queste informazioni (concernentila salute, la vita sessuale, la sfera religiosa, politico-sindacale ofilosofica, nonché l'origine razziale ed etnica) è inoltre soggetto a rigorosecautele anche in base alla disciplina comunitaria, la quale vieta il lorotrattamento a meno che ricorrano specifici motivi di interesse pubblicorilevante e siano altresì assicurate opportune garanzie (art. 8 direttivacit.). Analoghe cautele sono previste per i dati di carattere giudiziario.L'inerzia delle pubbliche amministrazioni lede, quindi, non solo il diritto deicittadini alla protezione dei dati personali, ma comporta anche una violazionedel diritto comunitario.

Il ritardo accumulato su questo piano èeccessivo. Sin dal 1997, vigente la legge n. 675/1996, ed anche dopol'approvazione del Codice nel 2003, i soggetti pubblici hanno infatti potutoavvalersi di un lungo periodo transitorio e di diverse proroghe. L'eventualeprotrarsi dell'inerzia delle amministrazioni anche dopo il 31 dicembre 2005(data di scadenza dell'ultima proroga) risulterebbe del tutto ingiustificata.

L'Autorità esprime viva preoccupazione inrelazione al rispetto del termine di legge del 31 dicembre prossimo.

Se non interverranno per tale data i necessariatti di natura regolamentare, il trattamento dei dati sensibili e giudiziaridovrà essere infatti interrotto a decorrere dall'1 gennaio prossimo. Laprosecuzione del trattamento di dati sensibili e giudiziari dopo tale dataconcretizzerebbe un illecito, con conseguenti responsabilità di diverso ordine, anche contabile e per danno erariale; potrebbe inoltre comportare l'inutilizzabilitàdei dati trattati indebitamente, nonché il possibile intervento diprovvedimenti anche giudiziari di blocco o di divieto del trattamento (art. 154 del Codice; art. 3 d.l. 24 giugno 2004, n. 158, come modificato dalla l. 27 luglio 2004, n. 188; art. 11, commi 1, lett. a) e 2, del Codice).

Nel quadro della tematica in esame, leamministrazioni pubbliche hanno l'obbligo -accanto ad altri doveri in materia-di rendere trasparenti ai cittadini quali informazioni vengono raccolte traquelle particolarmente delicate cui si è fatto riferimento; devono altresìchiarire come utilizzano queste informazioni per le finalità di rilevanteinteresse pubblico individuate con legge. Tali indicazioni vanno trasfuse in unatto regolamentare cui va data ampia pubblicità (artt. 4, comma 1, lett.d) ed e), 20, comma 2 e 21, comma 2, del Codice).

Non si tratta di un mero adempimento formale,oppure di una semplice ricognizione di prassi esistenti, poiché da taliregolamenti discenderanno effetti sostanziali per i cittadini interessati.

Gli schemi dei regolamenti devono esseresottoposti al Garante per l'espressione del parere, cui i soggetti pubblicidevono poi conformarsi.

Considerata l'ampiezza del settore, il Codiceprevede anche la possibilità che siano redatti schemi tipo per insiemi omogenei di amministrazioni, sui quali può essere pertanto espresso un unico parere.

Per contribuire alla corretta applicazione delCodice, il Garante ha intensificato la collaborazione finalizzata allapredisposizione di tali schemi tipo con organismi rappresentativi di regioni,autonomie locali ed università, nonché, in riferimento alle rispettive funzioni istituzionali, con la Presidenza del Consiglio dei ministri e il Dipartimento della funzione pubblica.

Il Garante resta però in attesa di ricevere peril parere sia gli schemi tipo eventualmente proposti, sia gli schemi diregolamento predisposti da singole amministrazioni.

2. Aspetti procedurali

Diversi documenti del Garante e più di unacircolare evidenziano da tempo la problematica e la circostanza, ribadita dalCodice, che le amministrazioni non possono avvalersi, nel caso di specie, dimeri atti che, anche se denominati regolamenti, non hanno, anche per la loroeventuale rilevanza solo interna, la necessaria natura di fonte normativasuscettibile di incidere su diritti e libertà fondamentali di terzi (Provv. Garante del  17 gennaio 2002, in Boll. n. 24, p. 40 e 16 giugno 1999, in Boll. n. 9, p. 19; note del Garante rivolte alla Presidenza del Consiglio dei ministri il 10 settembre 1999, il 10 novembre 2000 e il 3 maggio 2001, in Boll. n. 9, p. 31, n. 14-15, p. 26 e n. 20, p. 36).

Spetta ai soggetti pubblici che trattano i datiadottare l'atto di natura regolamentare, o avvalendosi dei poteri ad essiriconosciuti dall'ordinamento di riferimento, oppure promuovendo l'adozione diun regolamento da parte della competente amministrazione di riferimento laquale eserciti, ad esempio, poteri di indirizzo e controllo (es.: artt. 4 e14 d.lg 30 marzo 2001 n. 165 e, a titolo esemplificativo, artt. 8 e ss. d.lg.30 luglio 1999, n. 300 e 9 d.lg. 29 ottobre 1999, n. 419).

Gli atti di natura regolamentare da adottaredevono essere predisposti previa ricognizione attenta dei trattamenti di datisensibili e giudiziari in fase di attuale trattamento o che si intende trattarein futuro.

Occorre poi tenere presente che potranno essereprese in considerazione nei regolamenti le sole finalità di rilevante interessepubblico già individuate specificamente dal Codice o, come quest'ultimoprevede, da un'espressa previsione di legge che, anche se collocata fuori delCodice, le evidenzi comunque puntualmente nei termini richiesti (art. 20 e Parte II del Codice).

La ricognizione, che presuppone il necessariocoinvolgimento delle articolazioni interne del soggetto pubblico interessato,permette a quest'ultimo di effettuare anche un'ulteriore verifica circa larispondenza dei trattamenti in corso con i principi del Codice oggi giàdirettamente applicabili (e ovviamente da rispettare anche in sede regolamentare),nonché di adeguare prontamente procedure in atto eventualmente non conformi alegge (principio di indispensabilità in rapporto alle finalità perseguite;verifiche periodiche dei vari requisiti dei dati -esattezza, aggiornamento,pertinenza, completezza, ecc.- e del loro rapporto con gli adempimenti dasvolgere; scelta di modalità volte a prevenire violazioni di diritti e libertàfondamentali; raccolta dei dati sensibili e giudiziari di regola presso gliinteressati; particolari cautele rispetto a dati riferiti a terzi nondirettamente interessati ai compiti o adempimenti da svolgere; divieto didiffusione di dati sulla salute ecc.: cfr. art. 22 del Codice).

3. Il parere del Garante

Gli atti di natura regolamentare devono essereadottati, in ogni caso, in conformità al parere del Garante. Come accennato, ilparere può essere espresso anche su schemi tipo, il che contribuisce a renderepi� organiche le garanzie in riferimento ad altre amministrazioni e semplifica,inoltre, l'iter di approvazione degli atti.

Infatti, una volta espresso dal Garante ilparere su uno schema tipo riguardante l'attività di soggetti pubblici chesvolgono attività omogenee, lo schema di ciascun regolamento non deve esseresottoposto singolarmente a questa Autorità, sempreché il trattamento ipotizzato sia attinente e conforme allo schema tipo esaminato.

È invece necessario sottoporre al Garante unoschema di regolamento per uno specifico parere solo se:

a) manca uno schema tipo già esaminato dall'Autorità;

b) vi è uno schema tipoal quale l'amministrazione deve apportare modifiche sostanziali o integrazioninon formali che riguardano (a causa di ulteriori categorie di dati o di altrerilevanti operazioni di trattamento) casi in esso non considerati nello schematipo.

Anche in questi due casi, il Garante è impegnatoad esprimere il parere nel termine di 45 gg. dal ricevimento della richiesta (onei 20 gg. dal ricevimento degli elementi istruttori ricevuti dalleamministrazioni interessate), decorsi i quali, se non interviene un parere formale,il soggetto può adottare comunque il regolamento e proseguire poi iltrattamento (art. 154, comma 5, del Codice).

4. Contenuto dell'atto regolamentare epubblicità

In questa sede, Il Garante intende fornire alleamministrazioni che non potranno avvalersi di schemi tipo alcune prescrizionidi carattere generale per contribuire all'adozione di adeguate bozze diregolamento pi� attente ai profili sostanziali di tutela, pi� comprensibili daparte dei cittadini e non basate su approcci meramente formali alla tematica.

Questa particolare attenzione è ancor pi�necessaria se si tiene conto che, dal 1� gennaio 2006 non sarà lecito alcuntrattamento dei dati sensibili e giudiziari che non sia disciplinatoespressamente nei regolamenti.

Lo schema di regolamento deve conteneresinteticamente, ma in termini adeguati ed agevolmente comprensibili, leseguenti indicazioni specificate per categorie.

1.   Dati indispensabili

Occorre individuare letipologie di informazioni sensibili e giudiziarie che si devono necessariamenteutilizzare in rapporto alle attività istituzionali svolte, avendo cura che aciascun adempimento corrisponda il trattamento delle sole informazioni per ciòstrettamente indispensabili (art. 22, comma 3, del Codice). I dati vanno indicati solo per tipologie, evitando elencazioni eccessivamente sommarie.

2.   Operazioni di trattamento indispensabili

Vanno parimenti individuate le operazioni che sidevono necessariamente svolgere per perseguire le finalità di rilevanteinteresse pubblico puntualmente individuate per legge, mettendo in particolareevidenza le operazioni che possono spiegare effetti maggiormente significativiper l'interessato e per le quali sono pertanto necessarie pi� garanzie. Anchein questo caso la descrizione è per tipologie, evitando indicazioni del tuttogeneriche circa l'impiego delle informazioni.

Tra tali operazioni rientrano, in particolare,quelle svolte pressoché interamente mediante siti web, o volte a definirein forma completamente automatizzata profili o personalità di interessati, leinterconnessioni e i raffronti tra banche di dati gestite da diversi titolari,oppure con altre informazioni sensibili e giudiziarie detenute dal medesimotitolare del trattamento (art. 22, c. 9, 10 e 11, del Codice), nonché la comunicazione dei dati a terzi.

Si possono invece indicare pi� sinteticamente leoperazioni "ordinarie" e pi� ricorrenti di trattamento (raccolta,registrazione, organizzazione, conservazione, elaborazione, modificazioneecc.).

3.   Ulteriore contenuto dello schema di regolamento

É opportuno che il soggetto pubblicodescriva sinteticamente, in termini comunicativi, anche la complessiva attività svolta, con particolare riguardo agli aspetti pi� incisivi per i diritti dei cittadini.

Non è quindi necessario scendere in eccessivilivelli di dettaglio non richiesti dal Codice; né è richiesta la riproduzioneanalitica delle disposizioni del Codice (in particolare, degli artt. 3, 11, 18-22, 85s. e 95s.).

Andrebbe altresì evitato di disciplinaresituazioni già adeguatamente regolate sul piano legislativo e regolamentarequanto ai tipi di dati e di operazioni, come avviene nel caso dei datipersonali trattati per effetto di un accesso a documenti amministrativi (artt. 59 e 60 del Codice; l. n. 241/1990 e successive modificazioni ed integrazioni).

Va inoltre rilevato in questa sede che lanormativa sugli obblighi e compiti che rendono indispensabile utilizzare datisensibili e giudiziari deve essere oggetto di un espresso riferimentonell'informativa da rendere agli interessati (art. 22, comma 2,del Codice). L'indicazione di tale normativa può essere quindi utile anchenell'ambito dello schema tipo, contribuendo ad evitare che il regolamentoprenda erroneamente in considerazione attività che, pur essendo demandate alsoggetto pubblico, non rientrano tra quelle che una fonte primaria non haritenuto di importanza tale da legittimare il trattamento di dati sensibili egiudiziari, in quanto non considerate "rilevanti finalità di interessepubblico".

Da ultimo, tra le garanzie individuate dalCodice figura il diritto dei cittadini di conoscere con quali modalità sonoutilizzate le predette informazioni che lo riguardano (art. 20, comma 2,del Codice).

Va pertanto prescritto ai soggetti pubbliciinteressati di intraprendere, in aggiunta alla pubblicità legale da assicurareagli atti regolamentari secondo i singoli ordinamenti, adeguate iniziative perassicurare idonea conoscibilità alle scelte adottate a proposito dei datisensibili e giudiziari, utilizzando non solo i siti web istituzionali, ma anche le iniziative di comunicazione istituzionale cui essi sono tenuti.

Riservandosi di concludere rapidamente inseparata sede i processi di collaborazione già avviati con alcuni organismirappresentativi di soggetti pubblici, il Garante ritiene infine doverosoprescrivere in questa sede a tutti i soggetti pubblici interessati di adottarele predette misure, necessarie o, a seconda dei casi, opportune.

A tal fine, il Garante pone anche a disposizionedei soggetti pubblici, in allegato al presente provvedimento, un modello diriferimento per redigere gli schemi. Questo modello aggiorna quello giàpredisposto dal Garante il 17 gennaio 2002.

TUTTO CI� PREMESSO IL GARANTE:

a) ai sensi dell'art.154, comma 1, lett. c), del Codice, prescrive ai titolari di trattamenti di datipersonali oggetto del presente provvedimento di adottare le misure necessarieed opportune ivi indicate al fine di rendere i trattamenti medesimi conformialle disposizioni vigenti;

b) disponeche copia del presente provvedimento sia trasmessa al Ministero dellagiustizia-Ufficio pubblicazione leggi e decreti, per la sua pubblicazione sullaGazzetta Ufficiale, ai sensi dell'art. 143, comma 2, del Codice.

Roma, 30 giugno 2005

IL PRESIDENTE
Pizzetti

IL RELATORE
Pizzetti

IL SEGRETARIO GENERALE
Buttarelli