REGOLAMENTO TRATTAMENTO DATI ENTRO FINE ANNO



(continua a leggere)


III ACCONTO ADDIZIONALE IRPEF 2004



































































































IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Giovanni Buttarelli, segretario generale; Vista la normativa internazionale e comunitaria e il Codice in materia di protezione dei dati personali (direttiva n. 95/46/CE;  d.lg. 30 giugno 2003, n. 196); Vista la documentazione in atti; Viste le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante, n. 1/2000; Relatore il prof. Francesco Pizzetti; PREMESSO: 1. Considerazioni introduttive Il Codice entrato in vigore il 1° gennaio 2004 ha riunito in modo organico la normativa di tutela relativa al trattamento dei dati personali; ha offerto all'intera amministrazione pubblica un'occasione significativa per portare a compimento il processo di modernizzazione, in modo da adeguare il proprio assetto organizzativo e funzionale dando idonee risposte alle istanze dei cittadini rivolte al massimo rispetto dei diritti e delle libertà fondamentali. In questo quadro, il Garante rileva, però, con rammarico che numerose amministrazioni pubbliche non hanno dato piena attuazione al Codice. In particolare, questa Autorità segnala che non sono state ancora introdotte le garanzie previste in ordine al trattamento di alcune informazioni che riguardano profili particolarmente delicati della sfera privata delle persone, ovvero dei c.d. dati "sensibili". La vicenda incide in termini rilevanti sulla sfera dei diritti dei cittadini. L'utilizzo di queste informazioni (concernenti la salute, la vita sessuale, la sfera religiosa, politico-sindacale o filosofica, nonché l'origine razziale ed etnica) è inoltre soggetto a rigorose cautele anche in base alla disciplina comunitaria, la quale vieta il loro trattamento a meno che ricorrano specifici motivi di interesse pubblico rilevante e siano altresì assicurate opportune garanzie (art. 8 direttiva cit.). Analoghe cautele sono previste per i dati di carattere giudiziario. L'inerzia delle pubbliche amministrazioni lede, quindi, non solo il diritto dei cittadini alla protezione dei dati personali, ma comporta anche una violazione del diritto comunitario. Il ritardo accumulato su questo piano è eccessivo. Sin dal 1997, vigente la legge n. 675/1996, ed anche dopo l'approvazione del Codice nel 2003, i soggetti pubblici hanno infatti potuto avvalersi di un lungo periodo transitorio e di diverse proroghe. L'eventuale protrarsi dell'inerzia delle amministrazioni anche dopo il 31 dicembre 2005 (data di scadenza dell'ultima proroga) risulterebbe del tutto ingiustificata. L'Autorità esprime viva preoccupazione in relazione al rispetto del termine di legge del 31 dicembre prossimo. Se non interverranno per tale data i necessari atti di natura regolamentare il trattamento dei dati sensibili e giudiziari dovrà essere infatti interrotto a decorrere dal 1° gennaio prossimo. La prosecuzione del trattamento di dati sensibili e giudiziari dopo tale data concretizzerebbe un illecito, con conseguenti responsabilità di diverso ordine, anche contabile e per danno erariale; potrebbe inoltre comportare l'inutilizzabilità dei dati trattati indebitamente, nonché il possibile intervento di provvedimenti anche giudiziari di blocco o di divieto del trattamento (art. 154 del Codice; art. 3 d.l. 24 giugno 2004, n. 158, come modificato dalla l. 27 luglio 2004, n. 188; art. 11, commi 1, lett. a) e 2, del Codice). Nel quadro della tematica in esame, le amministrazioni pubbliche hanno l'obbligo -accanto ad altri doveri in materia- di rendere trasparenti ai cittadini quali informazioni vengono raccolte tra quelle particolarmente delicate cui si è fatto riferimento; devono altresì chiarire come utilizzano queste informazioni per le finalità di rilevante interesse pubblico individuate con legge. Tali indicazioni vanno trasfuse in un atto regolamentare cui va data ampia pubblicità (artt. 4, comma 1, lett. d) ed e), 20, comma 2 e 21, comma 2, del Codice). Non si tratta di un mero adempimento formale, oppure di una semplice ricognizione di prassi esistenti, poiché da tali regolamenti discenderanno effetti sostanziali per i cittadini interessati. Gli schemi dei regolamenti devono essere sottoposti al Garante per l'espressione del parere, cui i soggetti pubblici devono poi conformarsi. Considerata l'ampiezza del settore, il Codice prevede anche la possibilità che siano redatti schemi tipo per insiemi omogenei di amministrazioni, sui quali può essere pertanto espresso un unico parere. Per contribuire alla corretta applicazione del Codice, il Garante ha intensificato la collaborazione finalizzata alla predisposizione di tali schemi tipo con organismi rappresentativi di regioni, autonomie locali ed università, nonché, in riferimento alle rispettive funzioni istituzionali, con la Presidenza del Consiglio dei ministri e il Dipartimento della funzione pubblica. Il Garante resta però in attesa di ricevere per il parere sia gli schemi tipo eventualmente proposti, sia gli schemi di regolamento predisposti da singole amministrazioni.   2. Aspetti procedurali Diversi documenti del Garante e più di una circolare evidenziano da tempo la problematica e la circostanza, ribadita dal Codice, che le amministrazioni non possono avvalersi, nel caso di specie, di meri atti che, anche se denominati regolamenti, non hanno, anche per la loro eventuale rilevanza solo interna, la necessaria natura di fonte normativa suscettibile di incidere su diritti e libertà fondamentali di terzi (Provv. Garante del 17 gennaio 2002, in Boll. n. 24, p. 40 e 16 giugno 1999, in Boll. n. 9, p. 19; note del Garante rivolte alla Presidenza del Consiglio dei ministri il 10 settembre 1999, il 10 novembre 2000 e il 3 maggio 2001, in Boll. n. 9, p. 31, n. 14-15, p. 26 e n. 20, p. 36). Spetta ai soggetti pubblici che trattano i dati adottare l'atto di natura regolamentare, o avvalendosi dei poteri ad essi riconosciuti dall'ordinamento di riferimento, oppure promuovendo l'adozione di un regolamento da parte della competente amministrazione di riferimento la quale eserciti, ad esempio, poteri di indirizzo e controllo (es.: artt. 4 e 14 d.lg 30 marzo 2001 n. 165 e, a titolo esemplificativo, artt. 8 e ss. d.lg. 30 luglio 1999, n. 300 e 9 d.lg. 29 ottobre 1999, n. 419). Gli atti di natura regolamentare da adottare devono essere predisposti previa ricognizione attenta dei trattamenti di dati sensibili e giudiziari in fase di attuale trattamento o che si intende trattare in futuro. Occorre poi tenere presente che potranno essere prese in considerazione nei regolamenti le sole finalità di rilevante interesse pubblico già individuate specificamente dal Codice o, come quest'ultimo prevede, da un'espressa previsione di legge che, anche se collocata fuori del Codice, le evidenzi comunque puntualmente nei termini richiesti (art. 20 e Parte II del Codice). La ricognizione, che presuppone il necessario coinvolgimento delle articolazioni interne del soggetto pubblico interessato, permette a quest'ultimo di effettuare anche un'ulteriore verifica circa la rispondenza dei trattamenti in corso con i principi del Codice oggi già direttamente applicabili (e ovviamente da rispettare anche in sede regolamentare), nonché di adeguare prontamente procedure in atto eventualmente non conformi a legge (principio di indispensabilità in rapporto alle finalità perseguite; verifiche periodiche dei vari requisiti dei dati -esattezza, aggiornamento, pertinenza, completezza, ecc.- e del loro rapporto con gli adempimenti da svolgere; scelta di modalità volte a prevenire violazioni di diritti e libertà fondamentali; raccolta dei dati sensibili e giudiziari di regola presso gli interessati; particolari cautele rispetto a dati riferiti a terzi non direttamente interessati ai compiti o adempimenti da svolgere; divieto di diffusione di dati sulla salute ecc.: cfr. art. 22 del Codice).   3. Il parere del Garante Gli atti di natura regolamentare devono essere adottati, in ogni caso, in conformità  al parere del Garante. Come accennato, il parere può essere espresso anche su schemi tipo, il che contribuisce a rendere più organiche le garanzie in riferimento ad altre amministrazioni e semplifica, inoltre, l'iter di approvazione degli atti. Infatti, una volta espresso dal Garante il parere su uno schema tipo riguardante l'attività di soggetti pubblici che svolgono attività omogenee, lo schema di ciascun regolamento non deve essere sottoposto singolarmente a questa Autorità, sempreché il trattamento ipotizzato sia attinente e conforme allo schema tipo esaminato. É invece necessario sottoporre al Garante uno schema di regolamento per uno specifico parere solo se: a) manca uno schema tipo già esaminato dall'Autorità; b) vi è uno schema tipo al quale l'amministrazione deve apportare modifiche sostanziali o integrazioni non formali che riguardano (a causa di ulteriori categorie di dati o di altre rilevanti operazioni di trattamento) casi in esso non considerati nello schema tipo. Anche in questi due casi, il Garante è impegnato ad esprimere il parere nel termine di 45 gg. dal ricevimento della richiesta (o nei 20 gg. dal ricevimento degli elementi istruttori ricevuti dalle amministrazioni interessate), decorsi i quali, se non interviene un parere formale, il soggetto può adottare comunque il regolamento e proseguire poi il trattamento (art. 154, comma 5, del Codice).   4. Contenuto dell'atto regolamentare e pubblicità In questa sede, Il Garante intende fornire alle amministrazioni che non potranno avvalersi di schemi tipo alcune prescrizioni di carattere generale per contribuire all'adozione di adeguate bozze di regolamento più attente ai profili sostanziali di tutela, più comprensibili da parte dei cittadini e non basate su approcci meramente formali alla tematica.