e l'accesso alla documentazione della Pubblica Amministrazione di PARAGRAFO 1 - La leggesulla privacy in generale - definizioni. La legge sulla privacy prevede una lunga serie diobblighi, sanzionati penalmente, a carico di chi si trovi a gestireraccolte di informazioni relative a terzi. A tal proposito, l'art.1 lett.d) definisce la figuradel titolare della raccolta di informazioni qualificandolocome la persona fisica, la persona giuridica, la pubblica amministrazionee qualsiasi altro ente associazione od organismo cui competonole decisioni in ordine alle finalità ed alle modalitàdi trattamento di dati personali. Dalla portata vastissima della definizione, si puòdire che praticamente tutti i soggetti giuridici, e cioèi centri di imputazione di interessi dell'ordinamento giuridico,risultano essere sottoposti, per lo meno in qualità dititolari, all'applicazione della L.675/96, purchéad essi spetti un potere di gestione di dati personali altrui. Per fare qualche esempio, saranno tenuti ai variadempimenti previsti le società commerciali, gli studiprofessionali, le imprese di ogni dimensione ed i lavoratori autonomi;in generale, tutti i soggetti, e quindi anche le pubbliche amministrazioni,che dispongano di registrazioni su carta o su computer di datirelativi a terzi. I terzi in questione vengono qualificati interessati. Sempre infatti all'art.1, questa volta alla letteraf), si definisce l'interessato come la persona fisica,la persona giuridica, l'ente o l'associazione cui si riferisconoi dati personali. Per inciso, si noti che non occorre la personalitàgiuridica per rientrare nell'ambito definitorio. Anche a questo proposito, la categoria soggettivadegli interessati risulta vastissima, rientrandovi tutti i soggetticui, direttamente od anche solo indirettamente, si riferisca l'archiviocartaceo od elettronico. Passando ora al campo oggettivo di applicazione,si consideri l'art.1 paragrafo 2 lett. a), b), c), g), h) e i),laddove offre, oltre alle nozioni di banca dati, dato personale,comunicazione e diffusione, anche una definizione di trattamento,talmente ampia e generica da ricomprendere praticamente ogni possibileattività relativa a dati personali. Costituisce, infatti, trattamento (art.1 lett.b)) qualunque operazione o complesso di operazioni svolti cono senza l'ausilio di mezzi elettronici o comunque automatizzati,concernenti la raccolta, la registrazione, l'organizzazione, laconservazione, l'elaborazione, la modificazione, la selezione,l'estrazione, il raffronto, l'utilizzo, l'interconnessione, ilblocco, la comunicazione, la diffusione, la cancellazione ed,infine, la distruzione di dati . Sulla base delle nozioni di cui si è dettonel paragrafo precedente, in questa sede, ci si occuperàdei trattamenti di dati personali effettuati dalle pubbliche amministrazioni,in relazione al diritto di accesso agli atti della p.a.. Ogni amministrazione detiene una più o menocopiosa serie di dati relativi a persone fisiche, giuridiche oad enti non riconosciuti, comunemente in archivi documentali oppurein banche dati elettroniche. Dato che le pubbliche amministrazioni rientrano nellanozione di titolare di cui abbiamo parlato nel primo paragrafo,si applicherà loro la L.675/96 quando compiano operazionisulle raccolte di documenti o sugli schedari computerizzati. Sempre in ordine all'attività della p.a.,l'art.22 della legge 7 agosto 1990 n.241, come noto, prevede cheè riconosciuto a chiunque vi abbia interesse per la tuteladi situazioni giuridicamente rilevanti il diritto di accesso aidocumenti amministrativi. Ai sensi del successivo II comma è consideratodocumento amministrativo ogni rappresentazione grafica del contenutodi atti, anche interni, formati dalle pubbliche amministrazionio, comunque, utilizzati ai fini dell'attività amministrativa. L'unico requisito posto dalla legge per accedereai documenti della p.a., è che il richiedente dimostridi essere portatore di un interesse giuridicamente rilevante. Sia in dottrina che in giurisprudenza è statosempre riconosciuto che, fra gli interessi riconoscibili comerilevanti, rientri quello alla visione degli atti del procedimentoamministrativo, se il richiedente è destinatario potenzialedel provvedimento finale. In via d'interpretazione estensiva, è statapure riconosciuta la rilevanza dell'interesse a visionare gliatti procedimentali da parte dei destinatari anche solo indirettidel futuro provvedimento. Sul punto è sufficiente rinviare ad alcunesentenze del Consiglio di Stato (C.d.S. sez. VI, 5.1.95 n. 12e C.d.S. sez. IV, 23.10.95 n. 830). Per completare il quadro, infine, è statariconosciuta la rilevanza dell'interesse anche di chi non si trovicoinvolto affatto in un procedimento amministrativo in corso,ma semplicemente sia portatore di interessi di carattere personale,quali quello scientifico o di ricerca. La dottrina (Cerulli Irelli - Galli) è dasempre favorevole a questa interpretazione; in giurisprudenzasi vedano alcune sentenze conformi del Consiglio di Stato , edin particolare, la sez.IV 5.12.95 n.982 e la sez.IV 6.3.95 n.158. Le attività della p.a. strumentali al dirittodi accesso previsto dalla L.241/90, le attività cioèvolte a garantire la visione dei documenti e l'ottenimento dicopia di essi, sono di due tipi, una interna e l'altraesterna. In primo luogo vi sono le attività consistentinella raccolta e conservazione sistematica degli atti, nel lororaffronto e nell'estrazione della documentazione scelta; in secondoluogo si ha la consegna materiale dei documenti che, in tal modo,vengono messi a disposizione del privato. Quando si compiono tali operazioni sui documenti,immancabilmente si verificano trattamenti di dati nel sensodella legge sulla privacy. Oltre che sui documenti, infatti, le operazioni suddettesi svolgono anche sui dati personali in essi eventualmente contenuti. Le attività interne che servono per far accedereai documenti, quindi, si possono qualificare come trattamentiai sensi dell'art.1 lett.b), legge 675/96. Quanto alle attività che abbiamo definitoesterne, ai sensi dell'art.1 lett. g) della L.657/96, ildare conoscenza dei dati personali ad uno o più soggettideterminati, diversi dall'interessato (e cioè a soggetti,quali il richiedente, diversi da quelli i cui dati sono contenutinella documentazione), in qualunque forma, anche mediante la loromessa a disposizione o consultazione, è definita comunicazione. La messa a disposizione dei dati e cioè, secondola terminologia della legge sulla privacy, la comunicazionedei dati stessi, è sempre complementare all'esercizio deldiritto di accesso: è evidente infatti che nel metterea disposizione del richiedente gli atti, la amministrazione nonpuò contestualmente non comunicare i dati personali inessi contenuti. Con riferimento a tutte le attività sopraviste, gli adempimenti cui sono tenute le p.a. in qualitàdi titolari di banche dati sono minori rispetto agli analoghidoveri posti in capo ai privati ed alle imprese (private e, sivedrà meglio in seguito, pubbliche), dal momento che leamministrazioni pubbliche non sono destinatarie che di una parte delle norme della L.675/96. In particolare, come si vedrà subito, gliartt.11 e 20 della L.675/96, che prevedono l'obbligatorietàdel consenso preventivo dell'interessato, non si applicano allepp.aa; per l'art.10, infatti, è richiesto il consenso dell'interessato,solo quando il trattamento di dati personali avviene da partedi privati o di enti pubblici economici. Parallelamente, l'art.20,più specifico con riguardo a quel tipo di trattamento checonsiste nella comunicazione o nella diffusione di dati personali,prevede che per tali attività sia necessario il consensodell'interessato se esse siano svolte da parte di privati od entipubblici economici (si veda in proposito la definizione di impresapubblica di cui all'art.1 della Dir.93/38 CE), e non quindi dalleamministrazioni pubbliche generalmente intese (si veda la definizionedi pubblica amministrazione di cui all'art.1 II comma del D.lvo3.2.93 n.29). Per fare qualche esempio, il trattamento da partedegli enti territoriali (Regioni, Comuni e Province), cosìcome il trattamento da parte degli organi dello Stato, potràessere compiuto a prescindere dal consenso degli interessati. Per il resto, le amministrazioni pubbliche sia delloStato che degli enti locali, saranno solo tenute, come qualunquealtro titolare, agli ulteriori adempimenti previsti dallalegge 675/96: dovranno in particolare notificare al Garante l'informativadi cui all'art. 7, dovranno nominare il proprio responsabile aisensi dell'art. 8, dovranno trattare i dati personali secondole modalità di cui all'art.9 e, infine, dovranno comunicareagli interessati le informazioni di cui all'art.10. Alle pp.aa. sono parimenti applicabili gli artt.22,23, 24 e 28. Non rientra nell'economia del presente lavoro l'approfondimentodelle norme suddette poiché non rilevano con riguardo aldiritto di accesso. Si deve solo dire che, in conclusione, la p.a. ètenuta agli adempimenti che in genere competono a qualsiasi titolare,ma è esonerata dall'obbligo di ottenere il preventivo consensodegli interessati. Sulla base dei sopravisti artt.11 e 20, infatti,il consenso del soggetto i cui dati vengono trattati non occorreràné per le attività esterne né per le interne,e cioè né per i semplici trattamenti né perla comunicazione. In sede di istanza di accesso alla documentazionedella p.a., al richiedente non potrà, in altre parole,essere chiesto altro che, sulla base dell'art.22 della L.241/90,di dimostrare che il suo interesse a vedere le carte èbasato su esigenze giuridicamente rilevanti. Non è legittimo opporre la necessitàdel consenso degli interessati. Occorre ora esaminare gli artt.13 e 22 della L. 675/96,onde verificarne la compatibilità con il diritto di accessoriconosciuto dalla L.241/90. In un secondo momento (sez. III)si parlerà della terza norma che può far sorgeredubbi interpretativi, e cioè l'art.27. L'art.13 lett. g) della L.675/96, prevede che inrelazione al trattamento di dati personali l'interessatoha diritto di opporsi, in tutto o in parte, al trattamentodei dati personali che lo riguardano. A differenza degli artt.11 e 20 sul consenso, dicui si è detto al paragrafo precedente, la disposizionein esame si applica oltre che ai dati detenuti da privati o daenti pubblici economici, anche a quelli gestiti da tutte le amministrazionipubbliche. Essa riconosce agli interessati il dirittopotestativo di bloccare i trattamenti sui loro dati personali. Si tratterà quindi di valutare se tale dirittodi veto può anche essere esercitato per opporsi all'accessodi cui alla L.241/90. Si prenda in secondo luogo in esame l'art.22 suicosiddetti dati sensibili (razza, opinioni politiche, convinzionireligiose ecc...). Esso dispone che il trattamento di dati sensibilida parte di soggetti pubblici è consentito solo se autorizzatoda espresse disposizioni di legge. Per tali dati, il trattamento da parte della pubblicaamministrazione deve ritenersi generalmente vietato, salvo appuntoil caso che una legge lo autorizzi. Anche in proposito, occorreràpertanto soffermarsi sul rapporto col diritto garantito dallaL.241/90 di accedere a tutti i documenti della p.a., compresiquelli che contengano dati sensibili. Gli interrogativi che nascono dagli artt.13 e 22sono quindi due: 1- potrà una persona opporre il proprio vetoall'accesso ai documenti che contengono suoi dati in possessodella p.a.? 2- sarà necessaria la legge d'autorizzazionedi cui all'art.22 perché si possa accedere ai documentiamministrativi contenenti dati sensibili? La soluzione ai due quesiti può essere datasulla base di alcune semplici considerazioni. In primo luogo, secondo l'art.43 II della legge L.675/96,conformemente del resto al sopravisto art.27, restano ferme ledisposizioni della legge 20 maggio 1970 n.300 nonché, inquanto compatibili, le disposizioni della legge 5 giugno 1990n.135 e del D.lvo 6 settembre 1989 n. 322, nonché le vigentinorme in materia di accesso ai documenti amministrativi. La norma suddetta sembra, almeno a parere di chiscrive, aver fatto salve sic et simpliciter, tutte le norme dellaL.241/90 (e le relative norme d'attuazione). Il dato letterale sembra prevedere chiaramente che,proprio con riguardo all'accesso, e cioè alla legge 241/90e relativi regolamenti di attuazione, i problemi di coordinamentocon la legge sulla privacy debbano essere tranciati a monte. La norma, del resto è facilmente comprensibilealla luce dell'autonomia concettuale della legge sull'accessorispetto alla legge sulla privacy. Come noto, la L.241/90 costituisce una fonte attuativadell'art.97 della Costituzione. In proposito basta leggere l'art.221 comma della L.241/90, per constatare come tale legge sia stataemanata per perseguire la trasparenza dell'amministrazione e,quindi, per attuare i precetti costituzionali dell'imparzialitàe del buon andamento dell'amministrazione. La L.241/90 presuppone insomma una ratio completamenteautonoma rispetto alla legge sulla privacy, ratio che si manifestain una disciplina speciale del trattamento dei documenti in possessodella p.a.. In proposito, l'art.43 ha fatto integralmente salvele regole sul diritto d'accesso, non per caso, ma in primo luogoper la autonomia delle regole poste dalla L.241/90, regole basatesu distinti presupposti costituzionali e volte ad assicurare latrasparenza della p.a.. Ciò non significa che la L.241, anche perseguendoobbiettivi propri, si sia disinteressata della riservatezza dellepersone. In proposito, l'art.24 lett. d) ha espressamentedelegato il Governo ad emanare le norme per salvaguardare la riservatezzadi terzi, persone, gruppi ed imprese, garantendo peraltro agliinteressati la visione degli atti relativi ai procedimenti amministrativi,la cui conoscenza sia necessaria per curare o per difendere iloro interessi giuridici. In osservanza della delega dell'art.24, il Governoha poi previsto, nel regolamento 27.6.1992 n.352 altre limitazionial diritto di accesso, sempre a garanzia base della riservatezzadei terzi. Inoltre, questa volta in attuazione dell'art.24 IVcomma, le singole amministrazioni hanno individuato le categoriedi documenti sottratti all'accesso, ancora una volta, per tutelareil diritto alla riservatezza (si vedano, ad esempio, i D.M. 16maggio 1996, n.422 sui documenti di competenza del Ministero delcommercio con l'estero oppure il DM 14.6.95 sui documenti delMinistero della Difesa). In conclusione, si ritiene che l'art.43 della L.675/96 abbia stabilito la salvezza in toto della legge 241/90,da un lato perché tale legge presenta caratteri di specialitàed autonomia, ed in secondo luogo perché la tutela dellaprivacy non è estranea alla L.241/90, ma viene da essagarantita in maniera specifica, anche se adeguatamente alle esigenzedi preservare la trasparenza dell'attività amministrativa. Non appare questa la sede più opportuna perdilungarsi nella descrizioni di tutte le tipologie documentalisottratte al diritto d'accesso ai sensi dei vari regolamenti attuatividella L.241/90. In questa sede è necessario solo rilevarecome alla base delle discipline regolamentari delle singole p.a.vi debba sempre essere, per l'art.24 lett. d), il rispetto dellariservatezza della vita privata delle persone e delle informazioniriservate degli enti. Nel senso di riconoscere che la L.241/90 non èintaccata dalle norme sulla privacy, si è del resto direcente espresso il TAR Abruzzo, sez. Pescara, con la sentenza5.12.1997 n.681. Si consideri infatti il breve passaggio della pronuncianel quale è stato chiarito come la norma di cui all'art.43,comma 2, della L. 31 dicembre 1996 n.65, in materia di tuteladel trattamento dei dati personali, ha lasciato ferme le vigentidisposizioni in materia di accesso ai documenti amministrativi.Se ne deve ricavare che il legislatore ha inteso far salva tuttala normativa vigente in ordine al diritto di accesso, e ciò,in relazione ai rapporti tra il diritto alla riservatezza e iprincipi della trasparenza dell'attività amministrativa,di cui il diritto all'accesso costituisce un corollario. Sotto il profilo dei dati contenuti in documentidella p.a., se così è, le norme della L.241/90 prevalgonosugli artt.13 e 20 della L.675/90. In particolare, l'accesso non potrà esserecondizionato negativamente né dal veto eventualmente espressodall'interessato né, in secondo luogo, dalla mancanza dellaspeciale legge d'autorizzazione sui dati sensibili. Tuttavia, siccome qualche autore (si veda Guida alDiritto del Sole 24 Ore - 1998 n.2, p.94 - a firma Irene Tricomi)ha affacciato timidamente la possibilità che l'inciso inquanto compatibili contenuto nell'art.43 possa significareche la legge 241/90 non sopravviva integralmente ma solo laddovecompatibile con le nuove norme sulla privacy, si consideri quantosegue: - in primo luogo, dalla lettera dell'art.43 sembrache l'inciso in quanto compatibili vada riferito soloalla legge 5 giugno 1990 n.135 ed al D.lvo 6 settembre 1989 n.322,e non anche alle disposizioni sull'accesso (si veda il testo dellanorma); - inoltre, sia la legge n.241 che la legge 675/96garantiscono, come si può agevolmente ricavare rispettivamentedai loro articoli 24 e 1, e come già detto in precedenza,la riservatezza dei terzi, la prima legge in misura tale da nonconfliggere con l'opposta esigenza della trasparenza amministrativa,la seconda in maniera generalizzata per tutti i titolari di trattamenti. Le due leggi si pongono, perseguendo distinte finalità,in un rapporto di specialità. La legge n.241/90 costituisce infatti un corpus normativorivolto a disciplinare esclusivamente le situazioni particolariche consistono nei trattamenti funzionali all'eserciziodel diritto di accesso. Tali trattamenti, che come abbiamo detto sononecessari alla visione degli atti da parte dei privati, sono solouna parte dei trattamenti di cui si occupa in via generalela L.675/96. Ecco perché, in primo luogo per le particolaritàdella materia, la legge n.241/90 si presenta come speciale rispettoalla legge sulla privacy e, come tale, non può considerarsiabrogata da quest'ultima (sul punto si veda l'art.15 delle Preleggial codice civile). Un secondo indice della specialità della L.241/90sta nel fatto che essa si rivolge unicamente alle attivitàdi trattamento poste in essere dalla pubblica amministrazionementre, come si è detto, la legge n.675/96 pone norme chevalgono, tranne eccezioni, per tutti i soggetti giuridici. Concludendo, la L.241/90 sembra speciale rispettoalla L.675/96 e quindi ad essa aggiuntiva. Se le due normativepossono convivere, appunto perché regolano settori distinti,si può affermare che esse sono compatibili. Si consideri infatti la giurisprudenza per cui duenormative sono incompatibili solo quando tra le leggi consideratevi sia una contraddizione tale da renderne impossibile la contemporaneaapplicazione (Cassazione n.1493/79). La L.241/90 e la L.675/96 si possono contemporaneamenteapplicare perché operano in ambiti diversi. Anche volendo dar corso alla tesi sulla necessitàdi una valutazione del rapporto fra le due leggi, che dovrebbeessere imposta dall'inciso in quanto compatibili dell'art.43II comma, sulla base di quanto detto, si può ugualmenteaffermare che la legge n.241/90 continua ad essere vigente. La p.a., pertanto, sarà tenuta a svolgerele nuove attività impostele dalla L.675/96 oltre alle attivitàstrumentali per l'esercizio del diritto di accesso. Ne consegue che la disciplina del diritto d'accessonon risulta essere stata modificata, nemmeno sotto i due profilidei dati sensibili e del diritto di veto e pertanto, in conclusione,la p.a. dovrà anche nei casi suddetti consentire l'accessosempre che, si ribadisce, il richiedente dimostri di essere portatoredi un interesse rilevante e sempre che l'accesso sia consentitodai regolamenti di attuazione della L.241/90 . La considerazione secondo cui la legge n. 675/96non ha introdotto modifiche od abrogazioni alla L.241/90, risultaconfermata anche dal dettato dell'art.27 della L.675/96 che disponeal I comma, che il trattamento di dati personali da parte disoggetti pubblici, esclusi gli enti pubblici economici, èconsentito soltanto per lo svolgimento delle funzioni istituzionalinei limiti stabiliti dalle leggi e dai regolamenti, e al IIIcomma, che la comunicazione e la diffusione dei datipersonali da parte di soggetti pubblici a privati o ad enti pubblicieconomici, sono ammesse solo se previste da norme di legge o diregolamento. A ben vedere, la norma di cui al I comma soprariportato non dice nulla di nuovo, né in relazioneal fatto che il trattamento risulta consentito solo per losvolgimento delle funzioni istituzionali né quandorichiama i limiti stabiliti dalle legge e dai regolamenti.Il richiamo alle funzioni istituzionali sembra superfluo, perla considerazione che ogni attività della pubblica amministrazionedeve sempre e comunque muoversi all'interno delle funzioni istituzionalifissate dalle leggi. Altrettanto ultroneo appare il richiamo all'obbligatoriorispetto dei limiti imposti dalle leggi o dai regolamenti, poichéè ovvio che ogni trattamento, anche da parte dellapubblica amministrazione, non può che avvenire conformementea leggi o a regolamenti. Il III comma introduce una disposizione piùrestrittiva rispetto al I comma poiché consente quellasottospecie di trattamento che consiste nella comunicazione,solo se tale comunicazione sia espressamente ammessa daspecifiche leggi e regolamenti. Al di là di questa sommaria analisi dellenorme, quel che rileva è considerare che il dirittod'accesso, come disciplinato dalla L.241/90 e relativi regolamenti,risulta comprensivo sia dei trattamenti di cui al I comma dell'art.27,sia della comunicazione di cui al III comma dello stessoart.27, secondo quanto si è cercato di spiegare alla Sez.I del presente scritto. Ed allora, poiché la L.241/90 attribuiscealla p.a. la funzione di garantire la trasparenza del propriooperato (anche consentendo l'accesso ai propri documenti a favoredei portatori di interessi rilevanti) e poiché la L.241/90e relativi regolamenti introducono una precisa disciplina deldiritto di accesso (che come detto si risolve in comunicazione),ne discende che l'art.27 e la L.241/90 sono perfettamente compatibilie il rispetto della disciplina della L.241/90 e dei relativi regolamentiassicurano anche il rispetto della L.675/96. Vediamo ora alcuni brevi cenni sulle disposizionipenali previste per l'inosservanza dei vari adempimenti a caricodella p.a. con riguardo, s'intende, al diritto d'accesso. L'art.35 prevede che chiunque, al fine di trarneper sé o per altri profitto o di recare ad altri un danno,procede al trattamento di dati personali in violazionedell'art.27 è punito con la reclusione fino a due annio, se il fatto consiste nella comunicazione o diffusione, con la reclusione minima di tre mesi. Il secondo comma dello stesso art. 35 prevede un'analogasanzione penale per le ipotesi di comunicazione o diffusionedei dati personali, in violazione degli artt.21, 22, 23, 24 e28 comma 3 della Legge. Per il terzo comma, se dai fatti di reato derivanocumento la reclusione è aumentata. Queste sole sono le ipotesi di reato che interessanoai fini del presente scritto. A tal proposito, si possono fare alcuni appunti dicarattere generale. Le norme suindicate rinviano, ai fini della qualificazionedella condotta punibile e dei soggetti responsabili, alle definizionicontenute nell'art.1 della L.675/96, della cui genericitàabbiamo detto nel primo paragrafo. In conseguenza tali norme descrivono fattispeciedi reato che non sembrano, a nostro avviso, sufficientemente determinate,tanto sotto il profilo della condotta punibile, che sotto il profilodell'individuazione delle persone perseguibili. Non mancheranno sicuramente, fin dai primi casi sottopostialla giurisdizione penale, le questioni sulla insufficiente tassativitàdelle fattispecie incriminabili. Per ora, in mancanza di una giurisprudenza che riconducale norme suindicate nell'alveo del principio della tassativitàdelle norme penali, si è creata, un pò dappertutto,una vera e propria sindrome da privacy. Anche la pubblica amministrazione, colta sicuramentedi sorpresa da una legge complessa ed intricata, scarsamente coordinatacon le norme amministrativistiche, in taluni casi ha iniziatocon l'improvvisare un'applicazione della legge 675/96 in contrastocon le fonti del diritto amministrativo, ed in particolare conla legge 241/90. Come si spera di essere riusciti a chiarire nel presentescritto, la legge 241/90 continua ad essere valida ed a disciplinareautonomamente l'accesso alla documentazione pubblica. Dando, pertanto, applicazione corretta alla 241/90nessun impiegato della p.a. potrà incorrere nelle sanzionipreviste dalla L.675/96. L'unica cosa che dovrà fare, come sempre finoad oggi, sarà quella di valutare la rilevanza giuridicadell'interesse di chi chiede di vedere i documenti, e conseguentementeconsentire l'accesso nei limiti posti dalla legge 241/90 e dairelativi regolamenti d'attuazione (DPR 27.6.1992 n.352 e gli altriregolamenti adottati dalle singole amministrazioni). |