Dott.ssa Valentina Frediani
Il Consulente Legale Informatico
vfrediani@consulentelegaleinformatico.it
Il Codice privacy negli enti locali
Il nuovo codice della
Privacy (D.Lgs. 30 giugno 2003 n° 196), entrato in vigore il 1' gennaio 2004,
introduce una razionalizzazione della normativa previgente sui dati personali
che trova, così, una sistemazione organica ponendo il nostro Paese
all’avanguardia rispetto ai partners europei in quanto primo esempio di codice
in materia di Privacy. Il codice va inquadrato nel contesto della crescente
attenzione che il nostro Paese dedica da qualche anno al tema della protezione
dei dati personali e deve essere, inoltre, considerato alla luce delle
preoccupazioni che investono i pubblici amministratori nel momento in cui
l’informatica accresce il proprio ruolo nella gestione dei procedimenti: come
conciliare l’e-government con il diritto alla riservatezza? Come conciliare
diritto di accesso e trasparenza amministrativa con la tutela dei dati
personali? Analizziamo alcune
innovazioni fondamentali che il nuovo Codice apporta al trattamento dei dati
personali nella Pubblica Amministrazione. In primis esso fissa alcuni principi
generali; l’art. 1 enuncia un principio generale che era soltanto
implicitamente desumibile dalla precedente normativa: recita, infatti, testualmente “Chiunque ha diritto alla
protezione dei dati personali che lo riguardano”. Il successivo art. 2
introduce quei concetti di semplificazione, armonizzazione ed efficacia già
propri di norme come la 241/1990, concernente il diritto di accesso ai
documenti amministrativi; anche la trasparenza è garantita, infatti la persona
fisica cui i dati si riferiscono è pienamente tutelata nei propri diritti non
solo di accesso ma anche di controllo sulla provenienza dei dati posseduti
dagli enti, con quali criteri e per quali fini essi vengono gestiti.
Sostanzialmente, l’elenco dei diritti che l’interessato ha, resta immutato
(diritto di cancellazione, di modifica, ecc.). L’art. 3 sancisce e generalizza
il Principio di necessità, corollario dell’alto livello di tutela che il
codice vuole imprimere ai dati personali. Questo principio limita il
trattamento dei dati personali ai soli dati necessari. Coloro che trattano dati
devono, di conseguenza, utilizzare con moderazione le informazioni, evitando la
raccolta e l’impiego di quei dati che non siano effettivamente necessari e utilizzando,
se sufficienti al trattamento, quei dati aventi caratteristiche non invasive
della sfera personale (dati anonimi). Il Codice riserva una parte specifica
alla statuizione di regole generali, valide per tutti i trattamenti: il
trattamento deve essere lecito, corretto, connesso a scopi determinati,
espliciti e legittimi, esatto, aggiornato, pertinente, completo, non eccedente
rispetto agli scopi e protratto per il tempo strettamente necessario al
raggiungimento dello scopo stesso, deve essere legato ad una informativa
completa all’interessato, all’atto della raccolta o successivamente in caso di
raccolta presso terzi; inoltre si rammenta che le amministrazioni sono tenute a
rendere oralmente o per iscritto tale informativa e che la stessa deve essere inserita
nei moduli per le dichiarazioni sostitutive secondo il testo unico della
documentazione amministrativa (DPR 445/2000), deve rispettare i codici di
deontologia e buona condotta promossi dal
Garante, condizione di liceità e correttezza del trattamento stesso
relativamente a quei settori cui si riferiscono, deve sottostare a cautele
particolari nel caso di cessazione del trattamento, deve adottare misure e
accorgimenti a garanzia dell’interessato nel caso di trattamento di dati
semisensibili, cioè di trattamento di quei dati che comunque possono comportare
rischi specifici per i diritti e le libertà fondamentali dello stesso,
comporta, inoltre, la generalizzata
sanzione civilistica della “Responsabilità per l’esercizio di attività
pericolosa”, art. 2050 c.c., nel caso di danno derivante da violazione di norme
concernenti il trattamento, comprensiva anche del danno non patrimoniale. Alle
norme generali valide per tutti i trattamenti il Codice affianca una serie di
regole ulteriori operanti soltanto per i soggetti pubblici (artt. 18-22).
Occorre rilevare a tal fine come, per quanto riguarda la disciplina dei
trattamenti in ambito pubblico, il legislatore non abbia inciso particolarmente
lasciando sostanzialmente inalterata la disciplina ricompressa nella L. 675/96
e nel D. Lgs. 135/99 contenete “Disposizioni integrative della legge 675/96 sul
trattamento dei dati sensibili da parte di soggetti pubblici”. Nell’art. 18 il
legislatore codifica espressamente l’esenzione dei soggetti pubblici dall’onere
di preventiva richiesta del consenso dell’interessato, in precedenza solo
implicitamente desumibile dal vecchio testo normativo, salvo però quanto
previsto per gli esercenti le professioni sanitarie e gli organismi sanitari
pubblici. Questo significa che il consenso non ha, di regola, per la P.A.
alcuna utilità giuridica vanificando, dal punto di vista giuridico, quei
comportamenti, talvolta riscontrati nella pratica, in cui i Comuni hanno
ritenuto di rafforzare la liceità del trattamento richiedendo, per trattamenti
dotati di per sé dei requisiti di legge, anche il consenso dell’interessato.
L’articolo in esame, inoltre, ribadisce
che il trattamento dei dati personali è consentito solo per lo svolgimento
delle funzioni istituzionali: province e comuni, quindi, possono raccogliere e
gestire dati personali “comuni” cioè diversi da dati sensibili o giudiziari
anche in assenza di norma di legge o di regolamento che preveda espressamente
il trattamento specifico, ma solo nell’ambito delle proprie funzioni
istituzionali. Regole differenti, invece, valgono per il trattamento dei dati
sensibili e giudiziari ai quali vengono riservate una serie di cautele
aggiuntive, rispetto ai dati ordinari, tra le quali, per citare qualche
esempio, l’utilizzo di tecniche di cifratura per i dati utilizzati con
strumenti elettronici o la conservazione separata dei dati idonei a rivelare lo
stato di salute o i dati giudiziari. Inoltre, il trattamento dei dati sensibili
è consentito solo se autorizzato da espressa previsione di legge in cui sono
specificati i tipi di dati, le operazioni eseguibili e le finalità di rilevante
interesse pubblico perseguite. In mancanza di una norma di legge che li
specifichi, i tipi di dati e le operazioni eseguibili sono individuati dalle
amministrazioni pubbliche con regolamento da adottare entro il 30 settembre
2004. Novità del codice è che tale regolamento d’ora in poi, dovrà conformarsi
al parere espresso dal Garante anche su schemi tipo, pena l’illiceità del trattamento eventualmente posto in essere.
Significativa, anche se residuale, appare la possibilità, già peraltro
esistente nel D. Lgs. 135/99, di rivolgersi al Garante per chiedergli il
riconoscimento della rilevante finalità pubblica di quegli ulteriori
trattamenti che non siano stati dichiarati di rilevanza pubblica con norma di
legge. Anche in tal caso, è necessaria, da parte dei singoli enti, la
regolamentazione dei tipi di dati e di operazioni utilizzabili. Per quanto
riguarda le comunicazioni a terzi di dati, il Codice la consente solo quando è
ammessa da una norma di legge o di regolamento; se tuttavia la comunicazione
dei dati è rivolta ad altri soggetti pubblici, questa può prescindere da
un’espressa previsione di legge o regolamento, ma deve essere comunque
necessaria per lo svolgimento di funzioni istituzionali. In questo caso, è
necessaria una comunicazione al Garante e il trattamento potrà essere iniziato
solo decorsi quarantacinque giorni dal ricevimento della comunicazione salvo
diversa determinazione del Garante.Per quanto riguarda la figura del titolare
del trattamento, secondo l’interpretazione sostenuta dal Garante, nella PA il
titolare è l’Ente nel suo complesso. Il responsabile sarà solitamente il
dirigente o colui che occupa posizioni organizzative, e che dovrà ricevere istruzioni in materia da parte di
chi rappresenta l’Amministrazione. Alcune novità riguardano la normativa degli
incaricati, che possono essere solo persone fisiche e non persone
giuridiche, che possono essere
designate anche per relationem mediante “la documentata preposizione della
persona fisica ad un’unità per la quale è individuato per iscritto l’ambito del
trattamento consentito agli addetti all’unità medesima”. Neppure il nuovo
codice detta specifiche disposizioni rispetto a soggetti, che pur estranei alla
struttura organizzativa dell’Ente svolgano per conto della P.A. attività di
trattamento. Si pensi ai commissari di concorso esterni, o ai collaboratori
esterni del sistema informatico. Per tali soggetti, appare necessario che si
operi una specifica e formale designazione
a responsabile o ad incaricato per conto dell’Ente, in modo da evitare
paradossali complicazioni nello svolgimento delle attività, quali ad esempio la
necessità da parte di questi soggetti di richiedere preventivamente il consenso al trattamento dei dati.
Ulteriore novità per la PA riguarda la notificazione al Garante del trattamento
dei dati, essa, infatti, si riduce ulteriormente e rispetto alla precedente
disciplina scompare del tutto la notificazione semplificata prevista dal
vecchio art. 7 L. 675/96. Resta
l’adempimento della notificazione che è però ridotta a talune tipologie di
attività di trattamento, elencate all’art. 37 comma 1, le quali sembrerebbero
estranee all’ente locale; tuttavia occorre operare una verifica concreta per
escluderne l’attinenza rispetto all’Ente locale. La notificazione al Garante va
effettuata soltanto per via telematica utilizzando il modello predisposto dal
Garante e osservando le prescrizioni da
questo impartite. Riformulata appare poi la disciplina concernete le misure di
sicurezza, con l’introduzione del
“disciplinare tecnico in materia di misure minime di sicurezza”
(allegato B). Tali misure minime di sicurezza dovranno essere adottate – salvo
aver già provveduto - da ogni
Amministrazione entro il 30 giugno 2004; tuttavia se l’Ente dovesse disporre al
momento di strumenti elettronici che, per obiettive ragioni tecniche, non
consentono in tutto o in parte l’immediata applicazione delle misure minime di
sicurezza, il necessario adeguamento potrà avvenire entro un anno dall’entrata
in vigore del codice, cioè entro il 31 dicembre 2004. Il titolare, nel
frattempo, dovrà adottare ogni possibile misura di sicurezza in relazione agli
strumenti elettronici detenuti, in modo da evitare, un incremento dei rischi di
distruzione o perdita anche accidentale dei dati, di accesso non autorizzato
ovvero di trattamento non consentito o non conforme alla finalità della
raccolta. Sarà necessario, inoltre, descrivere le ragioni di inadeguatezza
tecnica delle apparecchiature in un documento a data certa da conservare presso
l’Amministrazione. Infine, qualora i dati trattati dovessero essere di tipo
sensibile o giudiziario, il titolare del trattamento dovrà redigere, entro il
31 marzo di ogni anno, un documento programmatico sulla sicurezza. Insomma: con
il nuovo Codice in materia di privacy una piccola rivoluzione si avrà anche per la pubblica amministrazione!
Laura De Zotti