Il Consiglio Superiore della Magistratura ha chiestochiarimenti relativamente all'applicazione della legge 675/1996per alcuni settori. Il Garante risponde illustrando come si debbaprocedere sia per i particolari trattamenti di competenza delC.S.M. quali quelli per finalità di giustizia, sia perquelli connessi alla gestione ordinaria dell'organo.
Roma, li 2 dicembre 1997
Prof. Carlo Federico Grosso
Vice Presidente Consiglio Superiore della Magistratura
OGGETTO: quesiti sull'applicazione della legge n.675/1996 all'attività del C.S.M. Rif. note nn. P-97-15192del 13.9.1997 e 589/97 ris. del 26.7.1997.
Il Consiglio Superiore della Magistratura ha formulatoalcuni quesiti ai quali questa Autorità intende risponderetenendo conto degli elementi forniti nel corso degli incontriche si sono tenuti presso i Vs. uffici.
Trattamenti per «Finalità di Giustizia»
La disposizione della legge n. 675 che riguarda ilC.S.M. (art. 4, comma 1, lett d)) è scaturita dalla difficoltàdi individuare, nei tempi ristretti del sofferto iter parlamentare,un criterio di distinzione puntuale tra i trattamenti di datiper scopi «amministrativi» - effettuati nell'ambitodel C.S.M., del Ministero di grazia e giustizia e degli ufficigiudiziari - e i trattamenti svolti nell'esercizio dell'attivitàgiudiziaria di ogni ordine e grado, ovvero in sedi e circostanzeche spiegano riflessi diretti su tale attività.
La definizione di una linea più precisa didemarcazione è stata demandata al legislatore delegato,il quale dovrà individuare analiticamente i trattamentiche rientrano nell'una o nell'altra delle categorie predette (art.1, comma 1, lett. i) n. 3), legge n. 676/1996).
In via transitoria, il legislatore ha indicato uncriterio-guida (l'esistenza di «ragioni di giustizia») che impone al C.S.M., al Ministero di grazia e giustiziae agli uffici giudiziari di ogni ordine e grado di operare unaricognizione dei trattamenti effettuati al proprio interno, alfine di verificare quali siano inclusi per intero nell'ambitoapplicativo della legge a. 675/1996, e quali altri, invece, sianoassoggettati alle sole disposizioni indicate nell'art. 4, comma2, in attesa che i decreti delegati individuino i temperamentinecessari per applicare le altre disposizioni della legge.
Da questa premessa, confermata dalla formulazioneletterale dell'art. 4 della legge, nonché dai relativilavori preparatori, discende una seria difficoltà ad interpretarela lettera d) di tale articolo in modo tale da ricomprendere nelconcetto di «ragioni di giustizia» l'intera sferadelle attribuzioni del C.S.M.
Il Consiglio Superiore è chiamato a completarela ricognizione delle categorie di trattamenti, e può tenerconto del margine di flessibilità insito nella formula«ragioni di giustizia», rispettando, tuttavia,l'esigenza di assoggettare per intero alla legge n. 675/1996 queitrattamenti che non hanno riflessi diretti sul piano giudiziario(benché effettuati presso il C.S.M.) e che non giustificano,quindi, un regime attenuato di tutela per i diritti della persona.
Tale ricognizione, peraltro, saràsenz'altro utile al legislatore delegato.
E' quindi opportuno che il C.S.M. completi a brevetermine l'analisi volta a distinguere i trattamenti «perfinalità di giustizia» da quelli sottoposti al regime«ordinario», analisi alla quale il legislatore delegatopotrà ispirarsi nel legiferare in materia entro il 23 luglio1998.
Fino a tale data, i trattamenti per: <finalitàdi giustizia» restano soggetti solo ad alcune distinzionidella legge, che riguardano:
a) la notificazione (artt. 7 e 34);
b) la liceità ela correttezza del trattamento, l'esattezza dei dati, la duratadella loro conservazione, ecc.(art. 9);
c) le misure di sicurezza (artt. 15 e 36);
d) le c.d. decisioni automatizzatesui profili individuali o sulla personalità (art. 17);
e) la responsabilità per danno (art. 18);
f) i compiti del Garante (artt. 31 e 32, commi 6 e 7).
A questi trattamenti non si applicano,quindi, le altre norme della legge, che disciplinano, ad esempio,l'informativa all'interessato (art. 10), il diritto di accesso(art. 13), i dati sensibili o attinenti a provvedimenti giudiziari(artt. 22, 24 e 41, comma 5) e la comunicazione a privati o adaltre amministrazioni pubbliche (art. 27).
La notificazione al Garante è prevista inlinea di principio (art. 4, comma 2). Tuttavia, la reale necessitàdi effettuare tale dichiarazione è da verificare attentamente,in quanto un'ampia serie di trattamenti non deve essere notificata(art. 7, comma 5-ter).
Qualora il Consiglio effettui alcuni trattamentiche non rientrano nell'elenco di cui all'art .7, comma 5-ter,e che non formano oggetto, quindi, di esonero, la notificazionepotrà essere effettuata una tantum dal 1 aprileal 30 giugno 1998, utilizzando l'allegato esemplare che èdisponibile anche su supporto informatico.
Se, come sembra, questi stessi trattamenti sono svoltiper finalità correlate (art. 7, comma 2) potrà essereutilizzato un unico modulo. Inoltre, se i medesimi trattamentiricadono tra quelli per i quali è possibile la notificazionein forma semplificata (art. 7, comma 5-bis), si potràcompilare solo la prima parte del modulo.
Per i trattamenti per «finalità digiustizia» non è dovuta alcuna altra comunicazioneo notificazione al Garante, neanche ai sensi degli articoli 27e 41.
Trattamenti sottoposti a regime ordinario
I trattamenti effettuati dal C.S.M.per finalità diverse da quelle «di giustizia»sono soggetti al regime «ordinario» previsto dallalegge n. 675/1996 per le amministrazioni pubbliche.
Tale disciplina comprende, in particolare:
a) la notificazione, da effettuarsi nei limiti poc'anzi indicati;
b) l'informativa all'interessatoche fornisce i dati (art. 10, comma 1), o al quale i dati si riferiscono(art. 10, comma 3), nei modi previsti dai commi 2 e 4 dell'art.10;
c) il diritto di accesso dell'interessato (art. 13);
d) la nomina degli incaricatied, eventualmente, del responsabile del trattamento (artt. 8 e19);
e) un termine transitorioche permette di continuare a trattare i dati sensibili o attinentia taluni provvedimenti giudiziari sino al 7 maggio 1998, sullabase di una comunicazione al Garante da effettuarsi in forma libera(art. 41, comma 5);
f) alcuni limiti per lacomunicazione dei dati a privati o ad altre amministrazioni pubbliche(art. 27).
Sempre per questa seconda fascia ditrattamenti, è appena il caso di precisare che talune disposizionidella legge n. 675/1996 non interessano il C.S.M., in quanto siapplicano solo all'attività dei soggetti privati e deglienti pubblici economici (es.: artt. 11, 12, 20, 22, commi 1 e2).
Regolamento interno del C.S.M.
Il Garante condivide l'orientamentodel Comitato di Presidenza e della Commissione per il regolamentointerno del C.S.M., secondo cui tale regolamento va annoveratotra le fonti citate in vari articoli della legge n. 675/1996 qualepresupposto per il trattamento dei dati o per l'applicazione dialcune eccezioni.
Il regolamento del Consiglio èprevisto espressamente dalla legge (art. 20, n. 7, della legge24 marzo 1958, n. 195), e a differenza di quelli emanati da altriorgani e che hanno una pura rilevanza interna nell'ambito degliordinamenti c.d. minori, è considerato in dottrina qualefonte secondaria in grado di produrre effetti all'esterno.
Tale circostanza, unita alla rilevanza costituzionaledel C.S.M., induce a dirimere ogni ulteriore dubbio circa la possibilitàche il regolamento interno rilevi ai fini dell'applicazione dellalegge n. 675/1996, anche in riferimento ai casi in cui il Consiglio,applicando il regolamento, adotti atti o provvedimenti che presuppongonola valutazione di dati relativi a terzi (es.: valutazione dellesituazioni di incompatibilità).
Ad analoga conclusione deve giungersiper quanto riguarda il regolamento interno sulla gestione dellespese (art. 9, comma terzo, legge n. 195/1958), a nulla rilevando ilfatto che tale atto disciplini aspetti, quali quelli contabili,che possono produrre effetti esterni in un numero inferiore dicasi.
Come ha rilevato la Commissione per il regolamentointerno, le disposizioni della legge n. 675/1996 che citano i regolamentiutilizzano clausole di vario tipo, a seconda che il trattamentointegri un obbligo o sia strumentale ad un compito, ecc.
Le diversità terminologiche riscontrate intali disposizioni non sono prive di significato, e i regolamentiinterni al C.S.M. dovranno essere applicati nella stessa misuraconsentita per altre fonti secondarie.
Dati sensibili e disciplina transitoria
La comunicazione del Consiglio delloscorso 13 settembre (n. P-97-15192) non si riferisce formalmenteall'art. 41, comma 5, della legge n. 675/1996, ma soddisfa egualmenteal requisito previsto da tale disposizione, e permette a codestoorgano di continuare a trattare i dati di carattere sensibilefino al 7 maggio 1998, data entro la quale è auspicabileche entri in vigore il decreto delegato riguardante il C.S.M.
Le precisazioni fornite nei due incontri tenutesipresso i Vs. uffici permettono di considerare effettuata la comunicazioneanche per quanto riguarda altri dati sensibili che il C.S.M. trattanell'esercizio delle proprie funzioni istituzionali (dati relativiall'eventuale adesione di magistrati o di terzi a partiti od organismipolitici, dati sulla salute di terzi - es. imputati o detenuti-,dati relativi ad alcuni provvedimenti di carattere giudiziarioa carico di terzi ai quali i provvedimenti del C.S.M. si riferisconoanche indirettamente).
Resta ferma la necessità chea decorrere dal 7 maggio 1998 tutti i trattamenti dei dati sensibilie di alcuni dati di carattere giudiziario (art. 24) siano previstida una puntuale disposizione di legge -anche delegata- che individuile rilevanti finalità di interesse pubblico perseguitedal C.S.M, i dati trattati e le operazioni eseguibili.
Non è necessaria l'emanazionedi una nuova legge, in quanto potrebbe spiegare effetti ancheuna legge previgente (ma non anche un regolamento). E' tuttaviararo che una legge antecedente al 1996 rechi una disciplina cosianalitica.
Esoneri dalla notificazione
Come già precisato, diversitrattamenti effettuati dal C.S.M. sono svolti in attuazione diun compito previsto dalla legge o da un regolamento, e non devonoessere notificati (art. 7, comma 5-ter, lett. a)).
Spetta al Consiglio individuare glieventuali trattamenti che non sono necessari per assolvere a talicompiti e che sono effettuati, quindi, sulla base di una sceltaampiamente discrezionale dell'organo.
Per quanto riguarda l'esonero previstodalla lettera e) del comma 5-ter (adempimento di obblighifiscali, contabili, ecc.), l'ipotesi comprende l'eventuale trattamentodi dati sensibili.
Obbligo di informativa
L'obbligo di informare l'interessatonei casi e nei modi previsti dall'art. 10 della legge n. 675/1996va osservato sebbene il C.S.M. non sia tenuto a richiedere ilconsenso.
Tuttavia, l'informativa:
a) non deve essere effettuata qualora il trattamentosia effettuato per «ragioni di giustizia» (l'eccezioneopera anche se i dati sono raccolti presso persone diverse dall'interessato);
b) può non comprendere gli elementi giànoti all'interessato (art. 10, comma 2);
c) può non essere inviata sei dati sono reperiti presso terzi e il trattamento avviene inbase ad un obbligo previsto dalla legge o dai regolamenti (nonè sufficiente il mero Svolgimento di un «compito»).
Accesso dell'interessato
Attualmente, il diritto di accesso dell'interessato(art. 13) non è riconosciuto per i trattamenti effettuatiper «ragioni di giustizia».
Laddove ricorra una «ragione digiustizia», l'interessato non può esercitare direttamentei diritti di cui all'art. 13, ma può sollecitare il Garantea verificare se il trattamento per «ragioni di giustizia»risponde «ai requisiti stabiliti dalla legge o dai regolamenti»(artt. 31, comma 1, lett. p) L.675/1996), 32, commi 6 e 7).
Va peraltro osservato che la leggen. 675/1996 non ha abrogato le previgenti disposizioni che disciplinanoi diritti dell'interessato nell'ambito del procedimento disciplinare.
Qualora l'interessato chieda di accedereai propri dati elaborati nell'ambito di trattamenti diversida quelli sorretti da «ragioni di giustizia», il Consiglionon può opporre all'interessato le eccezioni previste dall'art.18 del regolamento interno.
Tali eccezioni potranno valere, semmai,per i casi in cui l'interessato chieda di visionare o di accederead atti o a documenti che possono contenere informazionied indicazioni relativi a terzi.
In altre parole, un conto èl'accesso alle singole informazioni che riguardano il solo richiedente(diritto che non può essere paralizzato dalla richiestadella dimostrazione di un interesse giuridicamente rilevante),un conto è l'accesso ai documenti amministrativi (che puòessere subordinato a tale dimostrazione come pure ad altri requisiti,sulla falsariga della disciplina di cui alla legge n. 241/1990che non è in contrasto con la legge n. 675/1996).
Conservazione dei dati e cessazione del trattamento
L'art. 9, comma 1, lett. e) non prevedeun termine di conservazione dei dati necessariamente breve, ereca un principio flessibile che può essere riempito diconcreto contenuto anche sulla base di un regolamento, demandando,ad esempio, alla competente commissione consiliare il compitodi valutare quali dati debbano essere periodicamente dismessiin quanto non più pertinenti rispetto alle finalitàperseguite dal Consiglio.
Inoltre, la lettera e) permette diutilizzare i dati raccolti anche per ulteriori finalità,purché non vi sia un incompatibilità con gli scopiperseguiti in origine.
E' quindi opportuno che si effettui,anche a cura dell'eventuale responsabile dei trattamenti, un'analisidelle varie finalità perseguite.
Restano ferme, peraltro, le norme di legge che impongonola conservazione degli atti per un determinato periodo di tempo(ad es., a fini fiscali o prescrizionali), o che impongono didepositare atti e documenti presso gli Archivi di Stato.
Comunicazione a terzi
E' bene ricordare che i trattamentiper «ragioni di giustizia» non sono soggettia limitazioni per quanto riguarda la comunicazione e la divulgazionedei dati a terzi, fatta eccezione del principio generale che presupponel'esistenza di uno scopo determinato, esplicito e legittimo (nonincompatibile con la finalità dell'originaria raccoltadei dati) e rispetto a dati non eccedenti rispetto allo scopomedesimo (art. 9, lett. b) e d)).
Per i trattamenti diversi da quellisvolti per «ragioni di giustizia», invece, iregolamenti interni del CSM rappresentano una fonte idonea perlegittimare la comunicazione dei dati ad altre pubbliche amministrazionio a privati, fatta eccezione per i dati sensibili e per quelliattinenti a taluni provvedimenti di carattere giudiziario.
Per queste ultime categorie di dati,decorso il termine transitorio del 7 maggio 1998, non si potràprescindere da una disposizione di legge che precisi le rilevantifinalità di interesse pubblico perseguite e i datioggetto di comunicazione o di diffusione.
Schede anagrafiche dei magistrati
Non si ravvisano ragioni ostative almantenimento di una rete informatica che permetta di consultarei principali dati relativi alla trattazione delle pratiche relativeai magistrati.
E' tuttavia opportuno chiarire nelregolamento la sfera di pubblicità e di conoscibilitàdelle schede (accessibilità a chiunque o al solo personaleamministrativo interno o di magistratura; accesso da parte delsolo interessato, ecc.).
Sicurezza dei dati
Gli obblighi relativi alla sicurezzavanno osservati dal C.S.M. in ogni caso, esista o meno una «ragionedi giustizia» (art. 4, comma 2, legge n. 675/1996).
Tale conclusione vale sia per le misurerilevanti sul piano dell'eventuale responsabilità civile(artt. 15, comma 1, e 41, comma 3, legge n. 675/1996), sia per le«misure/minime» che un d.PR. di prossima approvazionedovrà individuare al prevalente fine di delimitare l'ambitodi applicazione della sanzione penale (artt. 15, commi 2 e 3,36 e 41, commi 3 e 4).
Non è in discussione la possibilitàdi mantenere all'interno del C.S.M. un'ampia disponibilitàdei dati da parte di un consistente numero di persone a ciòautorizzate.
Va colta, tuttavia, la novitàdella legge n. 675/1996, la quale impone di graduare gli accessia seconda della qualità dei dati, e richiede l'adozionedi ogni opportuna cautela fisica, logica ed organizzativa, alfinedi evitare che, anche all'interno del C.S.M., per comportamentipiù o meno incolpevoli, si verifichi taluno dei rischiindicati dall'art. 15.
Incaricati del trattamento
L'art. 19 (che non si applica nei casi in cui ricorrono«ragioni di giustizia»), si riferisce a chiunque (lavoratoredipendente o autonomo, collaboratore esterno o soggetto comunqueautorizzato) sia stato incaricato dal «titolare» (ovverodal C.S.M.) o dal «responsabile» (la cui nomina èfacoltativa) a raccogliere, elaborare ed utilizzare i dati personali.
E' possibile ravvisare taleincarico anche in un ordine di servizio scritto.
Tuttavia, la mera assegnazione di unapersona ad una struttura interna non soddisfa, di per sé,ai requisiti previsti dalla legge, dovendo risultare chiaro aquali categorie di dati hanno accesso le persone preposte allastruttura (al limite, attraverso l'integrazione dell'eventualemansionario, in modo tale che la formale preposizione ad un serviziopresupponga, univocamente, l'incarico di compiere determinateoperazioni del «trattamento» (cfr. artt. 8, comma 5e 19).
Disciplina transitoria
Come si è detto, l'eventualenotificazione dei trattamenti potrà essere effettuata inun'unica soluzione, dal 1 aprile al 30 giugno 1998.
Per quanto riguarda le misure di sicurezza, il C.S.M.deve distinguere il profilo civilistico da quello penale.
Sul piano della responsabilitàcivile, fino al mese di settembre del 1998 (data presumibile dientrata in vigore del regolamento che individuerà le misureminime di sicurezza, previsto dall'art. 15, comma 2), ilConsiglio dovrà semplicemente fare in modo che i trattamentidi dati in atto alla data dell'8 maggio 1998 non siano sottopostia rischi di maggiore entità.
Entrato in vigore tale regolamento,il Consiglio dovrà invece osservare il principio dellamassima sicurezza enunciato con una clausola generale dall'art.15, comma 1.
Sul piano penale, le eventuali responsabilitàderiveranno solo dalla specifica violazione delle precise disposizioniregolamentari di prossima emanazione, a decorrere, anche in questocaso, dal mese di settembre del 1998.
In proposito, esula dai compiti diquesta Autorità fornire indicazioni più specifiche.
Si può peraltro osservare, inuno spirito di collaborazione istituzionale, che, nella vastagamma delle competenze del C.S.M. sembrano rientrare per interonell'ambito applicativo della legge i trattamenti dei seguentidati:
a) dati relativi al personale amministrativo in servizio presso il Consiglio,ovvero concernenti l'attività contrattuale dell'organo;
b) dati raccolti per l'ordinaria gestione del personale di magistraturaprofessionale ed onoraria (congedi e astensioni dal lavoro; riconoscimentoinfermità; sussidi; aspettative; trattamento economico;conferimento di funzioni; autorizzazione ad assumere incarichiextragiudiziari; appartenenza ad associazioni; ecc.), dati che,talvolta, sono relativi ai familiari degli interessati;
c) dati relativi a terzi menzionati negli atti e negli archivi custoditidal C.S.M.
Al contrario, appare aderente allalettera e allo spirito della legge una valutazione che conducaa ritenere soggette solo parzialmente all'ambito applicativo dellalegge le attività che hanno un connotato giustiziale oche incidono sulla capacità del magistrato (es.: procedimentidisciplinari; trasferimenti per incompatibilità).
Il Garante è consapevole delfatto che anche le prime categorie di trattamenti di dati sonofunzionali ed indispensabili ai fini dell'ordinato svolgimentodella funzione giudiziaria; è altrettanto consapevole,tuttavia, della necessità che i diritti fondamentali dellapersona trovino piena tutela anche nell'ambito di attivitàpara-giudiziarie le quali, peraltro, non sembrano pregiudicatedal riconoscimento di determinate garanzie individuali.
Il Garante confida di aver fornito una risposta esaurienteai vari quesiti, e resta a disposizione per ogni ulteriore contributoutile alla piena e corretta applicazione della legge e allo studiodelle eventuali modifiche che codesto Consiglio riterràdi apportare ai propri regolamenti interni.
Il Garante coglie peraltro l'occasioneper segnalare l'opportunità che il Consiglio richiami l'attenzionedegli uffici giudiziari sulle problematiche derivanti dall'applicazionedella legge n. 675/1996 al loro interno, e sottolinei la necessitàche tali uffici segnalino con regolarità al Garante, aisensi dell'art. 40 della legge, i provvedimenti emessi in relazionealla legge stessa e alla legge n. 547/1993, in modo da rendere completae aggiornata la banca dati di informatica giuridica che il Garanteintende attivare e rendere accessibile al pubblico.IL PRESIDENTE