Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Pubblica amministrazione - Inadempienze delle p.a. in tema di dati sensibili ' 17 gennaio 2002 [1064681]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
1064681
Data:
17/01/02
Argomenti:
Pubblica Amministrazione , Dati sensibili
Tipologia:
Parere del Garante

[doc web n. 1064681]

Pubblica amministrazione - Inadempienze delle p.a. in tema di dati sensibili – 17 gennaio 2002

Avendo constatato l'inerzia delle amministrazioni pubbliche nell'adeguare i propri ordinamenti alle disposizioni poste dalla legge n. 675/1996 e dal d.lg. 135/1999 in materia di trattamento dei dati sensibili e giudiziari, il Garante ha segnalato al Governo la necessità di conformare alle disposizioni vigenti il trattamento di tali dati da parte dei soggetti pubblici, fornendo alle amministrazioni interessate specifiche indicazioni sulle attività che debbono essere prontamente intraprese a tale scopo.

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

In data odierna, in presenza del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice presidente, del prof. Gaetano Rasi e del dottor Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;

Vista la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Stefano Rodotà;

PREMESSO

I DATI "SENSIBILI"
La legge n. 675/1996 prevede garanzie particolari per la categoria dei dati c.d. sensibili che riguardano profili particolarmente delicati della sfera privata delle persone (salute, vita sessuale, sfera religiosa, politica, sindacale e filosofica, origine razziale ed etnica) e che sono specificamente enumerati (art. 22, comma 1, legge cit.).

L'utilizzazione di questi dati determina effetti rilevanti nei confronti degli interessati. La direttiva comunitaria in materia (n. 95/46/CE) ne disciplina in maniera particolarmente rigorosa il trattamento. E’ previsto, sempre a livello comunitario, solo un numero limitato di eccezioni tra cui figura, in particolare, l'ipotesi in cui sulla base della legge o di una decisione dell'Autorità garante sia riconosciuta l'esistenza di un interesse pubblico rilevante e siano previste opportune garanzie (art. 8, par. 4, dir. cit).

IL TRATTAMENTO DA PARTE DI SOGGETTI PUBBLICI
Per la pubblica amministrazione italiana è stato previsto un lungo periodo transitorio in base al quale la stessa ha potuto proseguire i trattamenti di dati sensibili per oltre un biennio a partire dal maggio del 1997, senza porre in essere significative procedure per incrementare il grado di rispetto dei diritti degli interessati (art. 41, comma 5, legge cit.).

Nel 1999, sulla base di talune modifiche ed integrazioni apportate alla legge n. 675, sono state previste soluzioni che avrebbero dovuto facilitare l’introduzione di specifiche garanzie su iniziativa delle singole amministrazioni pubbliche che trattano i dati (d.lg. 11 maggio 1999 n. 135 e d.lg. 30 luglio 1999, n. 282).

Per i soggetti pubblici è rimasta operante la possibilità di trattare i dati sensibili quando ciò sia previsto da una norma di legge che specifichi espressamente talune condizioni (rilevanti finalità di interesse pubblico perseguite; dati personali che possono essere utilizzati; operazioni di trattamento eseguibili).

Per i casi in cui manchi tale specifica base normativa, si è prevista la possibilità per i soggetti pubblici di chiedere al Garante di individuare transitoriamente le rilevanti finalità di interesse pubblico non previste espressamente da una legge, da un decreto legislativo o da un decreto -legge e che possono giustificare l’utilizzazione dei dati sensibili.

Varie finalità di interesse pubblico sono state individuate da un apposito decreto legislativo (n. 135/1999) e da un provvedimento del Garante (n. 1/P/2000 del 30 dicembre 1999-13 gennaio 2000, in G.U. 2 febbraio 2000, n. 26).

Tale decreto ha previsto, altresì, alcuni principi per quanto riguarda le informazioni utilizzabili e le modalità di trattamento (artt. 2-4 d.lg. n. 135 cit.).

Per la loro attuazione i soggetti pubblici avrebbero dovuto avviare l'adeguamento dei propri ordinamenti entro il 31 dicembre 1999.

In particolare, entro tale data avrebbero dovuto essere instaurate le procedure per individuare i tipi di dati sensibili e le operazioni di trattamento strettamente pertinenti e necessarie in relazione alle finalità individuate dapprima dal predetto decreto e, poi, dal provvedimento del Garante. Tale identificazione avrebbe dovuto essere poi aggiornata periodicamente (art. 5, comma 4, d.lg. cit.; art. 22, comma 3-bis, cit.).

Analoga soluzione, in riferimento alle finalità individuate dal citato decreto, avrebbe dovuto essere seguita per trattare i dati che attengono a determinati provvedimenti di carattere giudiziario (art. 5, comma 5-bis, d.lg. cit.; art. 24 legge cit.).

EVENTI SUCCESSIVI AL 1999
Il decreto n. 135/1999 non ha previsto un termine perentorio entro il quale i soggetti pubblici avrebbero dovuto ultimare le procedure in esame, essendo stato individuato solo il termine iniziale del 31 dicembre 1999.

Dall’esame di alcuni ricorsi e segnalazioni il Garante ha potuto però rilevare che diverse amministrazioni pubbliche non hanno attivato alcuna iniziativa anche dopo tale data, evidenziando una totale inerzia al riguardo.

Ciò sebbene la Presidenza del Consiglio dei ministri abbia fornito indicazioni con due circolari (n. DAGL/643-Pres. 98 e n. DAGL/643-Pres. 2000, in G.U. 3 maggio 2000, n. 101), ricordando alle amministrazioni anche l'obbligo di assicurare la massima diffusione della rilevazione effettuata, attraverso un'opportuna pubblicazione degli atti adottati.

Non è stato nemmeno emanato il decreto, previsto sempre nel 1999, per provvedere ai predetti adempimenti in modo uniforme per tutti gli organismi pubblici operanti all'interno del Servizio sanitario nazionale (art. 2 d.lg. n. 282/1999; art. 23 legge cit.).

Sono state intraprese solo rare iniziative da parte o nell’interesse di soggetti pubblici, peraltro adottate in difformità dalla legge (v., ad esempio, il d.m. 30 maggio 2000 sui dati sensibili trattati dal Ministero del commercio con l’estero, emanato senza la prevista consultazione del Garante), oppure inadeguate rispetto al quadro delle garanzie necessarie (v. ad es., alcuni schemi di regolamento predisposti dall'ANCI, "destinati ad offrire soluzioni organizzative", ritenuti dal Garante non conformi alla cornice delle norme in vigore: cfr. nota del 23 maggio 2000, riportata nel Bollettino del Garante n. 13, p.p. 21-26).

Da più fonti conoscitive (ricorsi, schemi di provvedimento, richieste di parere, ecc.) è emersa inoltre la tendenza di vari soggetti pubblici a privilegiare aspetti meramente formali nella tutela delle persone interessate, legati ad adempimenti talvolta superflui o inadatti ai singoli casi di specie, trascurando invece la cura dei profili sostanziali di garanzia.

IL CONTENUTO DEI PROVVEDIMENTI DA ADOTTARE
L'individuazione dei tipi di dati sensibili e giudiziari e delle operazioni di trattamento, che diversi soggetti pubblici non hanno definito nelle forme previste dai rispettivi ordinamenti, non rappresenta un mero adempimento formale di ricognizione di prassi esistenti.

Si tratta, piuttosto, di un provvedimento che deve attuare con effetti innovativi i principi vincolanti affermati in proposito dal d.lg. n. 135/1999 (artt. 2-4), al fine di ridefinire su basi più rispettose dei diritti della personalità una serie di trattamenti legati alle finalità di rilevante interesse pubblico enumerate dal decreto legislativo o dalla decisione del Garante.

Il provvedimento che i soggetti pubblici devono adottare esige anzitutto, una scrupolosa ricognizione di tutte le attività materiali che il soggetto pubblico intende proseguire in relazione a dette finalità, con strumenti automatizzati e non automatizzati.

Occorre poi una previa valutazione della stretta pertinenza e necessarietà dei dati e delle operazioni rispetto alle finalità, valutazione da operarsi da parte degli organi in grado di manifestare in proposito la volontà del soggetto pubblico (art. 22, comma 3-bis, cit.).

Trattandosi di provvedimenti attuativi del citato decreto legislativo (art. 5, comma 5, d.lg. n. 135 cit.), è inoltre fuor di luogo la mera riproduzione del contenuto di disposizioni riportate in leggi, decreti legislativi o decreti-legge, unita ad un’ indicazione solo di macro-tipologie di dati e di descrizioni del tutto generiche del loro impiego.

La pubblicità che per legge deve essere data a tali provvedimenti, secondo i vari ordinamenti (art. 22, comma 3-bis, cit.), deve porre poi il cittadino in condizione di conoscere, con un apprezzabile grado di chiarezza, con quali modalità sono utilizzate delicate informazioni che secondo la direttiva comunitaria non potrebbero altrimenti essere trattate, come si è detto.

A tal fine possono essere utilizzati anche prospetti schematici (del tipo di quello che il Garante ritiene di suggerire, in allegato al presente provvedimento), che possono facilitare il collegamento tra le tipologie di informazioni e di operazioni e le finalità di rilevante interesse pubblico specificamente individuate dal d.lg. n. 135/1999, dal Garante o da un altro atto normativo avente le caratteristiche suddette.

I dati personali trattati vanno indicati per categorie (senza entrare in ulteriori specifici dettagli: es. dati sulla salute; vita sessuale; ecc.) tenendo conto che le tipologie di dati non individuate e rese pubbliche non possono essere poi utilizzate.

La parte del provvedimento che attiene alle operazioni di trattamento potrebbe essere così suddivisa: a) indicando un primo gruppo di operazioni standard, che può essere comune a più tipologie di dati, ma che deve comunque rispondere al principio di stretta necessità (raccolta, conservazione, cancellazione, ecc.); b) ponendo altresì in maggiore evidenza le operazioni che possono spiegare effetti più significativi per l'interessato (es., elaborazione, selezione, raffronto); c) aggiungendo una descrizione sintetica dei flussi di dati (specificando ad es. dove sono raccolti di regola i dati, le eventuali interconnessioni o consultazioni da parte di altre amministrazioni, i trattamenti di cui all’art. 17 della legge n. 675/1996 ecc.).

FORMA DEI PROVVEDIMENTI
Per quanto riguarda la forma il d.lg n. 135/1999 rinvia agli ordinamenti dei soggetti pubblici interessati, i quali operano in diversi settori dello Stato, degli enti pubblici e dell'amministrazione locale.

Questa Autorità ha evidenziato in altre circostanze che gli atti amministrativi diversi da quelli di rango regolamentare non si prestano ad essere utilizzati nel caso di specie (v. ad es. la nota indirizzata alla Presidenza del Consiglio dei Ministri il 15.11.1999, nonché il comunicato stampa in pari data pubblicato nel Bollettino del Garante n. 10, p. 112).

Non a caso il decreto legislativo n. 282/1999 ha previsto la fonte di rango regolamentare per i trattamenti di dati in ambito sanitario.

Lungi dall'avere un carattere meramente ricognitivo di prassi preesistenti, i provvedimenti qui considerati producono effetti innovativi e significativi sui diritti fondamentali di numerose persone interessate.

Vengono infatti rese lecite alcune operazioni di trattamento come la comunicazione e la diffusione che, se effettuate su dati "comuni", richiedono una norma di legge o di regolamento (art. 27, commi 2 e 3, legge cit.).

In considerazione anche dei riferimenti contenuti nella normativa comunitaria che presuppone fonti primarie o decisioni dell'autorità garante nazionale (art. 8., par. 4, dir. cit.), è necessario che i soggetti pubblici prescelgano per gli atti in questione una fonte di rango quantomeno regolamentare.

Si richiamano, in proposito, le considerazioni più volte già sviluppate dal Garante a proposito dell'art. 27 della legge circa la differenza tra le fonti normative secondarie e gli atti, pur denominati regolamenti, che ne hanno l’apparenza, ma non la sostanza e sono quindi insuscettibili di determinare effetti giuridici all’esterno nella materia in esame (v., fra le altre, la nota del 23.1.1998 pubblicata sul Bollettino del Garante n. 3, p. 28).

Occorre comunque tener conto anche del particolare, e più adeguato, procedimento di formazione -interno ed esterno ai soggetti pubblici- degli atti di rango regolamentare, che assicura all’atto in questione una maggiore stabilità.

CONCLUSIONI
La ricognizione dei trattamenti e la loro disciplina nei regolamenti non riguardano aspetti meramente formali, ma incidono su aspetti sostanziali e sono necessari per poter ritenere leciti i trattamenti dei dati sensibili e giudiziari.

In loro mancanza i soggetti pubblici operano sprovvisti di un indefettibile presupposto di liceità, trattando dati sensibili e giudiziari relativi ad innumerevoli cittadini senza alcune necessarie garanzie, privando gli interessati della possibilità di conoscere le utilizzazioni effettive dei dati che li riguardano.

La diffusività del fenomeno è tale da esporre il nostro Paese ai rischi di gravi violazioni della disciplina comunitaria.

Il Garante, in presenza di accertate violazioni di quanto previsto dalle discipline ricordate, adotterà specifici provvedimenti di blocco o divieto del trattamento. Resta comunque impregiudicato il diritto dei cittadini di far valere i propri diritti nelle competenti sedi, anche in relazione agli eventuali danni subiti.

Il Garante ritiene altresì di dover nuovamente segnalare la problematica alle competenti autorità di Governo, per quanto ritenuto necessario in relazione al buon andamento degli uffici pubblici e alla coerente e tempestiva attivazione delle politiche comunitarie, nonché all’eventuale previsione di un termine per la conclusione dei procedimenti in questione.

L'Autorità ritiene anche opportuno rappresentare a tutte le amministrazioni interessate le suesposte indicazioni per le attività che dovranno prontamente intraprendere o riassumere, riservandosi di collaborare con gli organismi rappresentativi delle autonomie locali, anche in base ai protocolli con essi già sottoscritti, ai fini della predisposizione di un più dettagliato schema di regolamento per gli enti locali.


TUTTO CIO’ PREMESSO IL GARANTE:

a) segnala al Governo ai sensi dell'art. 31, comma 1, lett. m), della legge n. 675/1996 la necessità di conformare alle disposizioni vigenti il trattamento dei dati sensibili e giudiziari da parte dei soggetti pubblici;

b) dispone la trasmissione di copia del presente provvedimento anche alle amministrazioni indicate nell’elenco in atti e a quelle che hanno chiesto sull'argomento un parere al Garante.


Roma, 17 gennaio 2002

IL PRESIDENTE
Rodotà

IL RELATORE
Rodotà

IL SEGRETARIO GENERALE
Buttarelli

Denominazione del trattamento

Indicare sinteticamente la denominazione o il tipo di trattamento (es.: gestione del rapporto di lavoro del personale):

Fonte normativa

Indicare le fonti normative sull’attività istituzionale cui è collegato il trattamento (nel caso dell’esempio precedente: Codice Civile, l. n. 300/1970; d.lg. n. 165/2001; ecc.):

Rilevanti finalità di interesse pubblico perseguite dal trattamento

Indicare le rilevanti finalità esplicitate dalla legge, dal d.lg. n. 135/1999 o da altri decreti legislativi attuativi della l. n. 675/1996 o dal provvedimento del Garante ed il relativo specifico riferimento (nel caso dell’esempio del rapporto di lavoro: (art. 9, d.lg. n. 135/1999: Instaurazione e gestione dei rapporti di lavoro dipendente di qualunque tipo, anche a tempo parziale o temporaneo e di altre forme di impiego che non comportano la costituzione di un rapporto di lavoro subordinato):

Tipi di dati trattati (barrare le caselle corrispondenti)

 origine |_| razziale |_| etnica

 convinzioni |_| religiose, |_| filosofiche, |_| d’altro genere

 convinzioni |_| politiche, |_| sindacali

 stato di salute: |_| patologie attuali |_| patologie pregresse |_| terapie in corso |_| anamnesi familiare

 vita sessuale

 dati genetici

 dati di carattere giudiziario (art. 24, l. n. 675/1996)

Operazioni eseguite (barrare le caselle corrispondenti)

Trattamento “ordinario” dei dati

 Raccolta: |_| presso gli interessati |_| presso terzi

 Elaborazione: |_| in forma cartacea |_| con modalità informatizzate

q Altre operazioni pertinenti e non eccedenti rispetto alla finalità del trattamento e diverse da quelle “standard” quali la conservazione, la consultazione interna, la rettifica, la cancellazione o il blocco nei casi previsti dalla legge (specificare): …………..……………………………………………………………………………………………

Particolari forme di elaborazione

 Interconnessione, raffronti, incroci di dati:

|_| con altri trattamenti o banche dati dello stesso ente (specificare quali ed indicarne i motivi)........................................

|_| con altri soggetti pubblici o privati (specificare quali ed indicarne i motivi): ………...........................

 Trattamento automatizzato volto a definire il profilo o la personalità dell’interessato ai fini dell’adozione di un provvedimento amministrativo o giudiziario (specificare ed indicarne i motivi):

……………………………………………………………………………………………………….

 Comunicazione ai seguenti soggetti per le seguenti finalità (specificare ed indicare l’eventuale base normativa): ……………….…………………………………………………………......................................................

 Diffusione (specificare ed indicare l’eventuale base normativa) …………………………………........................................................................................................

Sintetica descrizione del trattamento del flusso informativo

(Descrivere sinteticamente il trattamento ed il relativo flusso) ………………………………………………