CE - GRUPPO PER LA TUTELA DELLE PERSONE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI

Parere 5/2001

Adottato il 17 maggio 2001

Il GRUPPO PER LA TUTELA DELLE PERSONE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI

Istituito con la direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995,

visti gli articoli 29 e 30, paragrafi 1a) e 3, della direttiva,

viste le relative norme di procedura ed in particolare gli articoli 12 e 14,

HA ADOTTATO il presente parere ⁱ .

1. INTRODUZIONE

È stato comunicato al gruppo di lavoro che il Parlamento europeo discuterà il tema dell'accesso del pubblico ai documenti e della riservatezza sollevato dalla relazione speciale del Mediatore europeo al Parlamento europeo a seguito del progetto di raccomandazione alla Commissione europea nella denuncia 713/98/IJH. È stato anche chiesto al Parlamento europeo di adottare la raccomandazione sotto forma di risoluzione.

Il gruppo è consapevole del fatto che questa tematica verrà trattata nel quadro interistituzionale comunitario. Tuttavia, ai sensi dell'articolo 30 della direttiva 95/46/CE, esso può formulare di propria iniziativa raccomandazioni su qualsiasi questione riguardante la tutela dei dati personali nella Comunità. Il gruppo di lavoro ritiene che una risoluzione del Parlamento europeo a questo proposito, come chiede il mediatore, possa avere una notevole incidenza sulla tutela delle persone con riguardo al trattamento dei dati personali a livello comunitario. Il gruppo ritiene anche che gli competa emettere un parere sui principali aspetti giuridici di un tema concernente la tutela dei dati personali. Il presente documento pertanto tratta unicamente il problema della tutela dei dati personali e dell'accesso del pubblico ai documenti delle istituzioni e degli organi comunitari.

2. LA QUESTIONE DELLA RISERVATEZZA E DEL LIBERO ACCESSO IN TERMINI GENERALI

Il gruppo di lavoro si richiama al proprio parere n. 3/99 sull'informazione del settore pubblico e la tutela dei dati personali. Tali dati, se contenuti in documenti ufficiali o posseduti da amministrazioni o enti pubblici, mantengono comunque la propria natura personale e vanno quindi tutelati conformemente alla legislazione sulla tutela dei dati, nella misura in cui il loro trattamento è disciplinato da tale legislazione. In particolare, nel caso della Commissione si applica la direttiva 95/46/CE sulla tutela dei dati ("la direttiva"), in conformità dell'articolo 286 del trattato che istituisce la Comunità europea. Va ricordato che sulla base di tale articolo il Parlamento europeo e il Consiglio hanno adottato il regolamento (CE) n. 45/2001 del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati ⁱⁱ .

D'altro canto il diritto dei cittadini ad accedere ai documenti pubblici costituisce un importante elemento di responsabilizzazione dell'amministrazione nei confronti dei cittadini e di trasparenza nel processo decisionale degli enti pubblici. A livello comunitario il diritto di accesso è sancito dall'articolo 255 del trattato.

Tutti i paesi dell'Unione europea e le istituzioni comunitarie ritengono che questi due siano diritti fondamenti della società democratica. Nella carta dei diritti fondamentali dell'Unione europea il diritto alla protezione dei dati di carattere personale è riconosciuto all'articolo 8 e il diritto d'accesso ai documenti all'articolo 42.

Poiché questi diritti hanno natura, importanza e rango uguali, essi andrebbero messi in atto congiuntamente, trovando un punto di equilibrio per ciascun caso specifico di richiesta di accesso a documenti pubblici contenenti dati personali. La conciliazione dei due diritti nei singoli casi si concreterà nell'accettazione o nel rifiuto della richiesta d'accesso da parte delle amministrazioni pubbliche. Non si può quindi ritenere che esista un conflitto di principio e inevitabile tra questi due diritti. Anche il considerando n. 72 della direttiva consente che nell'applicazione dei principi in essa stabiliti si tenga conto del principio dell'accesso del pubblico ai documenti ufficiali.

3. ASPETTI DELLA TUTELA DELLA RISERVATEZZA RIGUARDANTI LA COMUNICAZIONE AL PUBBLICO DI DATI PERSONALI POSSEDUTI DA AMMINISTRAZIONI O ENTI PUBBLICI.

Sotto l'aspetto della tutela della riservatezza, la comunicazione a terzi di dati personali raccolti e posseduti da amministrazioni o enti pubblici va considerata come trattamento di dati personali ai sensi della direttiva. Secondo la definizione dell'articolo 2, lettera b), si intende per "trattamento di dati personali" ("trattamento") qualsiasi operazione o insieme di operazioni compiute con o senza l'ausilio di processi automatizzati e applicati a dati personali, come la raccolta, la registrazione, l'organizzazione, la conservazione, l'elaborazione o la modifica, l'estrazione, la consultazione, l'impiego, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, nonché il congelamento, la cancellazione o la distruzione.

L'analisi che segue è rilevante quando tale trattamento dei dati personali rientra nel campo d'applicazione della direttiva e delle leggi nazionali sulla tutela dei dati che la recepiscono. In particolare l'articolo 3 della direttiva ne stabilisce l'applicazione al trattamento di dati personali interamente o parzialmente automatizzato nonché al trattamento non automatizzato di dati personali contenuti o destinati a figurare negli archivi. L'articolo 2 inoltre stabilisce che ai fini della direttiva si intende per "archivio di dati personali" ("archivio") qualsiasi insieme strutturato di dati personali accessibili, secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico. Al di fuori del campo d'applicazione della direttiva la riservatezza degli individui è tutelata dall'articolo 8 della Convenzione europea sui diritti umani.

In tali circostanze il trattamento di dati personali è in ogni caso soggetto alle disposizioni dell'articolo 6 della direttiva. Vanno richiamate in particolare le lettere a) e b), che dispongono che i dati personali devono essere:

(a) trattati lealmente e lecitamente.

La comunicazione al pubblico di dati personali posseduti da amministrazioni o enti pubblici deve pertanto essere leale e lecita. Nei singoli casi occorre quindi verificare che la comunicazione non sia sleale nei confronti della persona interessata, valutando le circostanze della situazione specifica. La comunicazione non deve inoltre essere illecita, cioè non deve violare obblighi a carico di amministrazioni e enti pubblici, come ad esempio il dovere di riservatezza derivante dalla natura dei dati e dalle circostanze della loro raccolta.

(b) rilevati per finalità determinate, esplicite e legittime, e successivamente trattati in modo non incompatibile con tali finalità [...].

A questo punto è importante stabilire se il trattamento dei dati personali posseduti da amministrazioni o enti pubblici e consistente nella comunicazione di tali dati a terzi facenti parte del pubblico possa essere ritenuto non incompatibile con le finalità per cui tali dati sono stati originariamente rilevati e successivamente trattati.

La risposta comporta un'analisi dettagliata di ogni tipo di finalità della rilevazione e del successivo trattamento dei dati personali, condotta caso per caso. La valutazione sarà di norma effettuata dal responsabile del trattamento. Per certe categorie di dati o documenti essa può anche essere effetto della regolamentazione. La valutazione deve anche tener conto del carattere obbligatorio o volontario della rilevazione dei dati; del tipo dei dati personali trattati; della situazione della persona interessata e delle possibili conseguenze a suo carico dell'eventuale comunicazione al pubblico dei dati. Anche se in campo amministrativo il principio del libero accesso può essere considerato un elemento a favore di tale compatibilità, l'obbligo di analizzare le circostanze dei singoli casi impone di respingere la tesi dell'incondizionata e automatica compatibilità della comunicazione al pubblico dei dati con le finalità della loro rilevazione e successivo trattamento, solo perché responsabili del trattamento sono un'amministrazione o un ente pubblico, e unicamente sulla base di tale principio di libero accesso.

4. LEGITTIMITÀ DELLA COMUNICAZIONE AL PUBBLICO DI DATI PERSONALI

In generale il trattamento di dati personali consistente nella loro comunicazione al pubblico dovrebbe essere legittimato da una delle ragioni previste all'articolo 7, che secondo l'ordine di presentazione della direttiva sono le seguenti:

(a) la persona interessata ha manifestato il proprio consenso in maniera inequivocabile.

In questo caso l'amministrazione o ente pubblico può effettuare la comunicazione al pubblico dei dati personali. Tuttavia, qualora la persona interessata non abbia dato il proprio consenso esplicito alla comunicazione (o lo abbia addirittura esplicitamente rifiutato), i terzi possono accedere ai dati personali posseduti dall'amministrazione solo in presenza di una delle altre ragioni che legittimano il trattamento.

(b) il trattamento è necessario all'esecuzione del contratto concluso con la persona interessata o all'esecuzione di misure precontrattuali prese su richiesta di tale persona.

Su tale base l'amministrazione o ente pubblico che possiede i dati può comunicarli ad un terzo, che opera effettivamente in qualità di agente dell'amministrazione per dare esecuzione ad un contratto. Come avviene ad esempio quando i dati personali di dipendenti pubblici vengono comunicati ad una banca che provvede al pagamento delle retribuzioni. Sarebbe tuttavia difficile giustificare a questo titolo la comunicazione dei dati a terzi appartenenti al pubblico in generale.

(c) il trattamento è necessario per adempiere un obbligo legale al quale è soggetto il responsabile del trattamento.

Talvolta le amministrazioni e gli enti pubblici sono legalmente obbligati a comunicare i dati personali in loro possesso a terzi richiedenti. Ai dati personali contenuti in un pubblico registro può accedere qualsiasi titolare di un interesse legittimo, come avviene ad esempio nel caso del catasto.

Il gruppo di lavoro tiene a sottolineare che nella maggior parte dei paesi europei la legislazione sull'accesso del pubblico ai documenti amministrativi stabilisce che l'amministrazione è in generale soggetta all'obbligo di consentire l'accesso del pubblico ai documenti, fatta eccezione per le norme sulla riservatezza e la tutela dei dati, o tenuto debito conto di tali norme. In alcuni paesi la legislazione consente di rifiutare l'accesso del pubblico se nella fattispecie risultano prevalenti altri interessi, come ad esempio la riservatezza. In alcuni casi la legislazione può consentire la comunicazione al pubblico in generale, mentre in altri può consentirla solo ai titolari di interessi legittimi. Possono valere norme diverse per tipi diversi di dati, o per categorie diverse di persone interessate. In alcuni paesi ad esempio la comunicazione al pubblico di dati personali viene consentita su basi più ampie qualora i dati si riferiscano a dipendenti pubblici e alle loro funzioni, piuttosto che a comuni cittadini.

La Commissione da parte sua è soggetta a norme che le impongo di tener conto sia del principio del libero accesso che della tutela della riservatezza. In effetti le norme sull'accesso del pubblico ai documenti in vigore al momento della richiesta che è all'origine della denuncia all'Ombudsman ⁱⁱⁱ prevedevano esplicitamente il rifiuto da parte delle istituzioni dell'accesso a qualsiasi documento, la cui comunicazione compromettesse la tutela dell'individuo e della riservatezza. Il trattato che istituisce la Comunità europea inoltre prevede specificamente all'articolo 255 che sono stabiliti i limiti a tutela di interessi pubblici o privati applicabili al diritto di accesso ai documenti comunitari, mentre all'articolo 286 prescrive che gli atti comunitari sulla protezione delle persone fisiche con riguardo al trattamento dei dati personali si applicano alle istituzioni comunitarie.

Poiché l'obbligo delle amministrazioni di consentire l'accesso del pubblico ai documenti è limitato dal loro obbligo di tutelare i dati personali, una comunicazione al pubblico illimitata, automatica e svincolata di dati personali, che non tenga conto dell'esigenza di tutelare la riservatezza, sarebbe in contrasto con le disposizioni di legge che disciplinano l'accesso del pubblico ai documenti, perché non rispetterebbe l'eccezione prevista dalla legislazione stessa. Non sarebbe pertanto conforme ad un obbligo legale cui l'amministrazione è soggetta, e non sarebbe quindi legittima a norma del presente titolo. In altri termini il rispetto di un obbligo legale non può essere un motivo idoneo a rendere legittima una comunicazione al pubblico automatica e illimitata di dati personali, ai sensi della direttiva.

Al contrario una lettura congiunta di gran parte delle leggi sull'accesso del pubblico e la tutela dei dati impone l'esigenza di trovare un punto di equilibrio tra i due diritti. Occorre procedere ad un'analisi delle circostanze caso per caso, per stabilire quale dei due diritti o interessi debba prevalere in ogni situazione specifica, e per decidere di conseguenza se la richiesta di accesso debba essere soddisfatta o respinta.

(d) il trattamento è necessario per la salvaguardia dell'interesse vitale della persona interessata.

Su tale base l'amministrazione o ente pubblico che possiede i dati può comunicarli al pubblico, qualora la loro diffusione sia necessaria per la salvaguardia dell'interesse vitale nella persona interessata. È il caso ad esempio delle amministrazioni pubbliche che comunicano i dati riguardanti persone scomparse, nella misura in cui la loro ampia diffusione può favorire il ritrovamento delle persone o la loro protezione. Altri esempi riguardano la comunicazione di dati sanitari dietro richiesta medica da parte del medico curante della persona interessata.

Tuttavia questo motivo di giustificazione non sembra valere per la maggior parte delle

richieste di accesso ai dati personali.

(e) il trattamento è necessario per l'esecuzione di un compito di interesse pubblico o connesso all'esercizio di pubblici poteri di cui è investito il responsabile del trattamento o il terzo a cui vengono comunicati i dati.

Il gruppo di lavoro sottolinea che in termini generali è difficile distinguere queste situazioni da quelle previste al punto c), e che pertanto possono valere gli stessi argomenti ivi esposti. In effetti, se la comunicazione al pubblico è necessaria per l'esecuzione di un compito di interesse pubblico da parte di un'amministrazione pubblica, di norma la stessa legislazione prevede l'obbligo corrispondente di comunicare i dati, conformemente al principio del primato della legge. In certi casi tuttavia, anche se la comunicazione al pubblico non è prevista come obbligo giuridico specifico per l'ente pubblico, questo non può ragionevolmente assolvere i compiti che la legge gli assegna se non comunica i dati personali che possiede. La comunicazione in questo caso è una conseguenza necessaria per eseguire di un compito, anche se non costituisce un obbligo specifico a norma di legge.

(f) il trattamento è necessario per il perseguimento dell'interesse legittimo del responsabile del trattamento oppure del o dei terzi cui vengono comunicati i dati, a condizione che non prevalgano l'interesse o i diritti e le libertà fondamentali della persona interessata, che richiedono tutela ai sensi dell'articolo 1, paragrafo 1.

Il gruppo di lavoro osserva che questo titolo enuncia una disposizione generale che impone di trovare un punto di equilibrio tra il diritto della persona interessata alla riservatezza da un lato e altri interessi legittimi, come il diritto di accesso del pubblico ai documenti amministrativi, d'altro lato. La direttiva non stabilisce una superiorità di un diritto sull'altro, ma esige che si effettui una valutazione caso per caso dei diritti e degli interessi presenti in ogni situazione specifica, tenendo conto del complesso delle circostanze. Sarebbe inaccettabile collocare a priori il diritto di accesso ai documenti al di sopra del diritto alla riservatezza, e sarebbe altrettanto sbagliato fare il contrario. Il prevalere del diritto d'accesso su quello alla riservatezza, o all'opposto della riservatezza sul libero accesso, dovrebbe essere il risultato a posteriori dell'analisi approfondita dei singoli casi. Se si ritiene prevalente il diritto d'accesso, occorre comunicare al pubblico i dati personali. Se invece prevale la riservatezza, la comunicazione dei dati va rifiutata.

Le suddette considerazioni valgono quando si applica l'articolo 7 della direttiva. Occorre comunque ricordare che essa contiene disposizioni specifiche riguardanti categorie particolari di dati. Più precisamente l'articolo 8 vieta il trattamento di dati personali che rivelano l'origine razziale o etica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, nonché il trattamento dei dati relativi alla salute e alla vita sessuale, consentendo solo un numero limitato di eccezioni motivate.

5. CONCLUSIONI

Per rispondere alla domanda se un'amministrazione o ente pubblico abbia l'obbligo di comunicare al pubblico i dati personali in suo possesso, qualora le persone interessate abbiano esplicitamente rifiutato il proprio consenso a tale comunicazione, occorre tener conto delle seguenti considerazioni, che sono rilevanti dal punto di vista della tutela del diritto fondamentale alla riservatezza. Queste considerazioni si applicano al trattamento di dati personali interamente o parzialmente automatizzato da parte di amministrazioni o enti pubblici, nonché al trattamento non automatizzato di dati personali contenuti o destinati a figurare negli archivi.

• Occorre esaminare se la comunicazione al pubblico possa essere ritenuta un trattamento leale e lecito, in base alle circostanze dei singoli casi. La comunicazione non dovrebbe inoltre essere incompatibile con le finalità generali per cui tali dati sono stati originariamente rilevati e successivamente trattati dalle amministrazioni o enti pubblici. È un'analisi che va condotta caso per caso, tenendo conto in particolare del carattere obbligatorio o volontario della rilevazione dei dati, del tipo dei dati personali trattati, della situazione della persona interessata e delle possibili conseguenze a suo carico dell'eventuale comunicazione al pubblico.

• Mentre il trattamento di dati di natura delicata è soggetto alle specifiche disposizioni dell'articolo 8 della direttiva, la comunicazione al pubblico di dati personali posseduti da amministrazioni o enti pubblici dovrebbe essere legittimata da una delle ragioni previste all'articolo 7 della direttiva. Di tali ragioni solo quelle che seguono sembrano in grado di giustificare nella maggior parte dei casi la comunicazione al pubblico di dati personali posseduti da un'amministrazione o ente pubblico:

Per il gruppo di lavoro
Il presidente
Stefano RODOTÁ

NOTE

i L'autorità svedese responsabile della tutela dei dati è contraria al presente documento per la ragioni che seguono. In primo luogo essa ritiene che conclusioni generali come quelle contenute nel presente parere dovrebbero fondarsi su un'analisi più completa. Essa ritiene inoltre che le conclusioni del documento contengano un'implicita subordinazione del diritto di accesso del pubblico ai documenti ufficiali alla direttiva sulla tutela dei dati. Non si sarebbe quindi raggiunto un equilibrio adeguata tra diritto d'accesso del pubblico e diritto alla tutela dei dati.
I membri danese e finlandese del gruppo di lavoro sono della stessa opinione.

ii GU L 8 del 12.1.2000

iii Decisione della Commissione dell'8 febbraio 1994 sull'accesso del pubblico ai documenti della Commissione (94/90/CECA, CE, Euratom), compreso l'allegato, che contiene il codice di condotta relativo all'accesso del pubblico ai documenti della Commissione e del Consiglio.