REGOLAMENTO TRATTAMENTO DATI ENTRO FINE ANNO
III ACCONTO ADDIZIONALE IRPEF 2004
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
IL GARANTE PER LA PROTEZIONE
DEI DATI PERSONALI
Nella riunione odierna, in presenza del prof. Francesco
Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del
dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Giovanni
Buttarelli, segretario generale;
Vista la normativa internazionale e comunitaria e il
Codice in materia di protezione dei dati personali (direttiva
n. 95/46/CE; d.lg. 30 giugno 2003, n. 196);
Vista la documentazione in atti;
Viste le osservazioni dell'Ufficio, formulate dal
segretario generale ai sensi dell'art. 15 del regolamento del Garante, n.
1/2000;
Relatore il prof. Francesco Pizzetti;
PREMESSO:
1. Considerazioni introduttive
Il Codice entrato
in vigore il 1° gennaio 2004 ha riunito in modo organico la normativa di tutela
relativa al trattamento dei dati personali; ha offerto all'intera
amministrazione pubblica un'occasione significativa per portare a compimento il
processo di modernizzazione, in modo da adeguare il proprio assetto organizzativo
e funzionale dando idonee risposte alle istanze dei cittadini rivolte al
massimo rispetto dei diritti e delle libertà fondamentali.
In questo quadro, il Garante rileva, però, con rammarico
che numerose amministrazioni pubbliche non hanno dato piena attuazione al
Codice.
In particolare, questa Autorità segnala che non sono state
ancora introdotte le garanzie previste in ordine al trattamento di alcune
informazioni che riguardano profili particolarmente delicati della sfera
privata delle persone, ovvero dei c.d. dati "sensibili".
La vicenda incide in termini rilevanti sulla sfera dei
diritti dei cittadini.
L'utilizzo di queste informazioni (concernenti la salute,
la vita sessuale, la sfera religiosa, politico-sindacale o filosofica, nonché
l'origine razziale ed etnica) è inoltre soggetto a rigorose cautele anche in
base alla disciplina comunitaria, la quale vieta il loro trattamento a meno che
ricorrano specifici motivi di interesse pubblico rilevante e siano altresì
assicurate opportune garanzie (art. 8 direttiva cit.). Analoghe cautele sono
previste per i dati di carattere giudiziario. L'inerzia delle pubbliche
amministrazioni lede, quindi, non solo il diritto dei cittadini alla protezione
dei dati personali, ma comporta anche una violazione del diritto comunitario.
Il ritardo accumulato su questo piano è eccessivo. Sin dal
1997, vigente la legge n. 675/1996, ed anche dopo l'approvazione del Codice nel
2003, i soggetti pubblici hanno infatti potuto avvalersi di un lungo periodo
transitorio e di diverse proroghe. L'eventuale protrarsi dell'inerzia delle
amministrazioni anche dopo il 31 dicembre 2005 (data di scadenza dell'ultima
proroga) risulterebbe del tutto ingiustificata.
L'Autorità esprime viva preoccupazione in relazione al
rispetto del termine di legge del 31 dicembre prossimo.
Se non interverranno per tale data i necessari atti di
natura regolamentare il trattamento dei dati sensibili e giudiziari dovrà
essere infatti interrotto a decorrere dal 1° gennaio prossimo. La prosecuzione
del trattamento di dati sensibili e giudiziari dopo tale data concretizzerebbe
un illecito, con conseguenti responsabilità di diverso ordine, anche contabile
e per danno erariale; potrebbe inoltre comportare l'inutilizzabilità dei dati
trattati indebitamente, nonché il possibile intervento di provvedimenti anche
giudiziari di blocco o di divieto del trattamento (art. 154 del Codice; art.
3 d.l. 24 giugno 2004, n. 158, come modificato dalla l. 27 luglio 2004, n. 188;
art. 11, commi 1, lett. a) e 2, del Codice).
Nel quadro della tematica in esame, le amministrazioni
pubbliche hanno l'obbligo -accanto ad altri doveri in materia- di rendere
trasparenti ai cittadini quali informazioni vengono raccolte tra quelle
particolarmente delicate cui si è fatto riferimento; devono altresì chiarire
come utilizzano queste informazioni per le finalità di rilevante interesse
pubblico individuate con legge. Tali indicazioni vanno trasfuse in un atto
regolamentare cui va data ampia pubblicità (artt. 4, comma 1, lett. d)
ed e), 20, comma 2 e 21, comma 2, del Codice).
Non si tratta di un mero adempimento formale, oppure di
una semplice ricognizione di prassi esistenti, poiché da tali regolamenti
discenderanno effetti sostanziali per i cittadini interessati.
Gli schemi dei regolamenti devono essere sottoposti al
Garante per l'espressione del parere, cui i soggetti pubblici devono poi
conformarsi.
Considerata l'ampiezza del settore, il Codice prevede
anche la possibilità che siano redatti schemi tipo per insiemi omogenei di
amministrazioni, sui quali può essere pertanto espresso un unico parere.
Per contribuire alla corretta applicazione del Codice, il
Garante ha intensificato la collaborazione finalizzata alla predisposizione di
tali schemi tipo con organismi rappresentativi di regioni, autonomie locali ed
università, nonché, in riferimento alle rispettive funzioni istituzionali, con
la Presidenza del Consiglio dei ministri e il Dipartimento della funzione
pubblica.
Il Garante resta però in attesa di ricevere per il parere
sia gli schemi tipo eventualmente proposti, sia gli schemi di regolamento
predisposti da singole amministrazioni.
2. Aspetti procedurali
Diversi documenti
del Garante e più di una circolare evidenziano da tempo la problematica e la
circostanza, ribadita dal Codice, che le amministrazioni non possono avvalersi,
nel caso di specie, di meri atti che, anche se denominati regolamenti, non
hanno, anche per la loro eventuale rilevanza solo interna, la necessaria natura
di fonte normativa suscettibile di incidere su diritti e libertà fondamentali
di terzi (Provv. Garante del 17 gennaio 2002, in Boll. n. 24, p. 40
e 16 giugno 1999, in Boll. n. 9, p. 19; note del Garante rivolte alla
Presidenza del Consiglio dei ministri il 10 settembre 1999, il 10
novembre 2000 e il 3 maggio 2001, in Boll. n. 9, p. 31, n. 14-15, p.
26 e n. 20, p. 36).
Spetta ai soggetti pubblici che trattano i dati adottare
l'atto di natura regolamentare, o avvalendosi dei poteri ad essi riconosciuti
dall'ordinamento di riferimento, oppure promuovendo l'adozione di un
regolamento da parte della competente amministrazione di riferimento la quale
eserciti, ad esempio, poteri di indirizzo e controllo (es.: artt. 4 e 14
d.lg 30 marzo 2001 n. 165 e, a titolo esemplificativo, artt. 8 e ss. d.lg. 30
luglio 1999, n. 300 e 9 d.lg. 29 ottobre 1999, n. 419).
Gli atti di natura regolamentare da adottare devono essere
predisposti previa ricognizione attenta dei trattamenti di dati sensibili e
giudiziari in fase di attuale trattamento o che si intende trattare in futuro.
Occorre poi tenere presente che potranno essere prese in
considerazione nei regolamenti le sole finalità di rilevante interesse pubblico
già individuate specificamente dal Codice o, come quest'ultimo prevede, da
un'espressa previsione di legge che, anche se collocata fuori del Codice, le
evidenzi comunque puntualmente nei termini richiesti (art. 20 e Parte
II del Codice).
La ricognizione, che presuppone il necessario
coinvolgimento delle articolazioni interne del soggetto pubblico interessato,
permette a quest'ultimo di effettuare anche un'ulteriore verifica circa la
rispondenza dei trattamenti in corso con i principi del Codice oggi già
direttamente applicabili (e ovviamente da rispettare anche in sede
regolamentare), nonché di adeguare prontamente procedure in atto eventualmente
non conformi a legge (principio di indispensabilità in rapporto alle
finalità perseguite; verifiche periodiche dei vari requisiti dei dati
-esattezza, aggiornamento, pertinenza, completezza, ecc.- e del loro rapporto
con gli adempimenti da svolgere; scelta di modalità volte a prevenire
violazioni di diritti e libertà fondamentali; raccolta dei dati sensibili e
giudiziari di regola presso gli interessati; particolari cautele rispetto a
dati riferiti a terzi non direttamente interessati ai compiti o adempimenti da
svolgere; divieto di diffusione di dati sulla salute ecc.: cfr. art. 22
del Codice).
3. Il parere del Garante
Gli atti di natura
regolamentare devono essere adottati, in ogni caso, in conformità
al parere del Garante. Come accennato, il parere può essere espresso
anche su schemi tipo, il che contribuisce a rendere più organiche le garanzie
in riferimento ad altre amministrazioni e semplifica, inoltre, l'iter di
approvazione degli atti.
Infatti, una volta espresso dal Garante il parere su uno
schema tipo riguardante l'attività di soggetti pubblici che svolgono attività
omogenee, lo schema di ciascun regolamento non deve essere sottoposto
singolarmente a questa Autorità, sempreché il trattamento ipotizzato sia
attinente e conforme allo schema tipo esaminato.
É invece necessario sottoporre al Garante uno schema di
regolamento per uno specifico parere solo se:
a) manca uno schema tipo già esaminato dall'Autorità;
b) vi è uno schema tipo al quale l'amministrazione deve
apportare modifiche sostanziali o integrazioni non formali che riguardano (a
causa di ulteriori categorie di dati o di altre rilevanti operazioni di
trattamento) casi in esso non considerati nello schema tipo.
Anche in questi due casi, il Garante è impegnato ad
esprimere il parere nel termine di 45 gg. dal ricevimento della richiesta (o
nei 20 gg. dal ricevimento degli elementi istruttori ricevuti dalle
amministrazioni interessate), decorsi i quali, se non interviene un parere
formale, il soggetto può adottare comunque il regolamento e proseguire poi il
trattamento (art. 154, comma 5, del Codice).
4. Contenuto dell'atto regolamentare e pubblicità
In questa sede, Il
Garante intende fornire alle amministrazioni che non potranno avvalersi di
schemi tipo alcune prescrizioni di carattere generale per contribuire
all'adozione di adeguate bozze di regolamento più attente ai profili
sostanziali di tutela, più comprensibili da parte dei cittadini e non basate su
approcci meramente formali alla tematica.