II - L´attività svolta dal Garante - par. 20-21 - Relazione 2005 - 7 luglio 2006

20. Attività ispettive e applicazione di sanzioni amministrative

20.1. Il potenziamento del dispositivo di controllo

Nel 2005 si è registrato un importante incremento delle attività ispettive (+130% rispetto al 2004) in conseguenza di un complesso di decisioni rientranti nel processo di potenziamento delle attività di controllo dell´Autorità.

Il Garante, per svolgere al meglio i compiti di garanzia dei cittadini e per evitare che, nell´esercizio dell´attività di impresa, soggetti poco virtuosi acquisiscano rendite illecite sulla base di trattamenti di dati personali effettuati in contrasto con la legge, a danno delle altre imprese, ha investito nuovamente in modo significativo sull´attività ispettiva attraverso:

• una revisione e un potenziamento organizzativo del Dipartimento che cura tale attività;
• la firma di un nuovo protocollo di intesa con la Guardia di finanza;
• l´introduzione di una nuova procedura di programmazione delle attività ispettive tesa ad intensificare ulteriormente il controllo su determinati settori di volta in volta individuati in ragione di una più specifica attività di analisi.

Per quanto riguarda il profilo organizzativo, l´esperienza degli anni precedenti ha evidenziato la necessità di accorpare organizzativamente funzioni afferenti all´espletamento dell´attività ispettiva e alla contestazione e all´applicazione delle sanzioni amministrative (spesso connesse all´attività ispettiva stessa), oltre che a diversi rapporti con l´autorità giudiziaria, al fine di orientare in una nuova unità organizzativa istituita internamente all´Ufficio del Garante (Dipartimento attività ispettive e sanzioni) la cura del controllo dell´Autorità di tipo ispettivo nei confronti dei settori che hanno evidenziato, anche a seguito delle sanzioni contestate, il più alto coefficiente di inadempimento, nonché di rendere più spedito il procedimento relativo alle contestazioni delle sanzioni che coinvolge l´operato di più unità organizzative.

Alla medesima, nuova unità organizzativa è stata quindi attribuita la competenza di provvedere alla procedura per il cd. "ravvedimento operoso" in relazione all´omessa adozione delle misure minime di sicurezza, punita con una sanzione penale dall´art. 169, comma 2. Trattasi della procedura in base alla quale, una volta accertata la mancata adozione di quelle misure di sicurezza considerate come "minime" e previste dal disciplinare tecnico costituente l´Allegato B) al Codice, il Garante impartisce all´autore del reato le prescrizioni per ripristinare il livello minimo di sicurezza previsto dalla legge. La verifica della congruità dell´adempimento apre la strada per la definizione del procedimento attraverso il pagamento del quarto del massimo dell´ammenda prevista dalla legge, estinguendo così il reato.

Altro elemento determinante per lo sviluppo delle attività ispettive è stato rappresentato dalla firma di un nuovo protocollo di intesa con la Guardia di finanza. Il nuovo accordo, siglato presso il Comando generale l´11 novembre 2005, muove dalla considerazione dell´eccellente livello di collaborazione nell´attività di controllo raggiunto a seguito del protocollo del 2002 e dell´accresciuta capacità operativa del Corpo conseguente all´istituzione del Nucleo funzione pubblica e privacy, reparto specializzato nell´attività di vigilanza in materia di protezione dei dati personali.

In relazione a quanto stabilito nel nuovo protocollo la Guardia di finanza, oltre ad assicurare al Garante la collaborazione nell´attività ispettiva, si impegna a rilevare e a segnalare all´Autorità tutte le situazioni rilevanti sotto il profilo dell´applicazione della legge di cui sia venuta a conoscenza nell´ambito dello svolgimento di attività di controllo, constatate anche con altre finalità (ad esempio, nell´ambito dei controlli tributari).

Altro elemento qualificante dell´attività ispettiva svolta nel 2005 è stato il potenziamento dell´attività di prevenzione attraverso accertamenti cd. di iniziativa, ovvero avviati motu proprio dall´Autorità anche in assenza di atti di impulso di cittadini (segnalazioni, reclami o ricorsi), i quali hanno costituito la parte più consistente dell´intera attività di controllo (circa il 70%).

A partire dal mese di settembre 2005 è stata messa a punto una procedura di programmazione attraverso la quale il collegio del Garante, con cadenza semestrale, tenuto conto delle risorse disponibili, detta le linee di indirizzo dell´attività ispettiva di iniziativa, individuando i settori e gli ambiti delle ispezioni e determinando il numero delle attività di controllo da effettuarsi in relazione ai diversi settori.

Le linee generali degli indirizzi stabiliti con la programmazione dell´attività ispettiva vengono di volta in volta rese pubbliche.

Questa nuova impostazione dell´attività di controllo consente, attraverso verifiche effettuate nei confronti di più soggetti operanti nello stesso settore o che effettuano tipologie omogenee di trattamento, di acquisire importanti elementi di valutazione in ordine:

• al grado di adeguamento al Codice degli operatori appartenenti ad un determinato settore (ad es., società di selezione e collocamento del personale) o che utilizzano i dati personali per particolari finalità (ad es., profilazione dei clienti attraverso l´uso di tessere di fidelizzazione);
• a fenomeni di ampia portata che possono costituire presupposto per l´adozione di provvedimenti generali (diretti, cioè, ad un insieme indeterminato di operatori);
• alla verifica dell´impatto dei provvedimenti adottati.

Ne deriva una valorizzazione dell´attività di controllo come strumento di governo del sistema in un´ottica non solo repressiva, ma anche conoscitiva e di indirizzo.

20.2. La collaborazione con la Guardia di finanza

Anche nel 2005 è risultato determinante, nel settore ispettivo, il rapporto con la Guardia di finanza, che ha consentito all´Autorità di poter disporre di risorse qualificate per espletare l´attività di controllo affidata dalla legge.

Il perfezionamento del nuovo protocollo di intesa consente al Garante di avvalersi del Corpo attraverso:

• la partecipazione di proprio personale agli accessi alle banche dati, ispezioni, verifiche e alle altre rilevazioni nei luoghi ove si svolge il trattamento;
• l´assistenza nei rapporti con l´autorità giudiziaria;
• lo sviluppo di attività ispettive delegate o sub-delegate per l´accertamento delle violazioni;
• la contestazione delle sanzioni amministrative rilevate nell´ambito delle attività delegate;
• l´esecuzione di indagini conoscitive sullo stato di attuazione del Codice in determinati settori;
• la segnalazione all´Autorità di situazioni rilevanti, ai fini dell´applicazione della legge, acquisite anche nell´esecuzione di altri compiti di istituto.

In pratica il Garante, ogni qualvolta ritenga necessario avvalersi della collaborazione del Corpo, attiva il Nucleo speciale funzione pubblica e privacy che, disponendo di personale specializzato, provvede direttamente ad effettuare gli accertamenti avvalendosi anche dei reparti del Corpo territorialmente competenti.

Le informazioni e i documenti acquisiti nell´ambito degli accertamenti vengono trasmessi all´Autorità per le successive verifiche in ordine alla liceità del trattamento e al rispetto dei principi previsti dalla legge. Quando nell´ispezione emergono violazioni penali o amministrative la Guardia di finanza procede direttamente ad inoltrare la notizia di reato all´autorità giudiziaria e a contestare la violazione amministrativa.

Una delle novità più rilevanti del nuovo protocollo consiste nel maggior coinvolgimento nell´attività di controllo della componente territoriale della Guardia di finanza (nuclei di polizia tributaria, compagnie e tenenze). L´obiettivo è di disporre di un dispositivo di controllo flessibile ed articolato che consenta, in funzione della complessità degli accertamenti, di effettuarli direttamente a cura del Dipartimento attività ispettive e sanzioni dell´Ufficio del Garante, ovvero attraverso il Nucleo speciale, oppure, nel caso di accertamenti di non elevata complessità che concernono ad esempio la verifica di singoli adempimenti, delegando anche i reparti territoriali della Guardia di finanza.

Al fine di implementare le competenze in materia di protezione dei dati personali, è stato avviato, con il supporto dell´Autorità, già nel mese di dicembre 2005, un complesso piano di formazione del personale appartenente ai comandi territoriali a cui partecipano 120 tra ufficiali e ispettori.

Altro elemento qualificante del nuovo accordo di collaborazione riguarda il supporto che il Corpo si è impegnato ad offrire al Garante per la diffusione delle informazioni sull´applicazione delle norme in materia di protezione dei dati personali, attraverso una stretta interazione tra gli Uffici relazioni con il pubblico. Grazie a questo accordo gli Uffici relazioni con il pubblico della Guardia di finanza potranno costituire, per i cittadini, punti di contatto attraverso i quali ricevere informazioni di prima necessità sulla legge e sui principali adempimenti e reperire materiali esplicativi editi dall´Autorità.

Anche in questo ambito è stato avviato un idoneo percorso formativo per il personale della Guardia di finanza impiegato nel settore delle relazioni con il pubblico.

20.3. Settori oggetto dei controlli e casi più rilevanti

I principali settori nei quali sono stati effettuati controlli sono stati:

• aziende sanitarie locali (43);
• società di ricerca e selezione del personale (40);
• società di gestione di alberghi (21);
• società che effettuano sondaggi di opinione (18);
• palestre e centri benessere (12);
• laboratori di analisi che effettuano anche trattamenti di dati genetici (10);
• società che utilizzano tessere di fidelizzazione (10);
• società che utilizzano sistemi di videosorveglianza in luoghi aperti al pubblico (tra cui servizi di trasporto ferroviario, metropolitano e aeroportuale) (7);
• società ed enti che effettuano trattamenti di dati biometrici (5);
• società che gestiscono sistemi di informazione creditizia, cd. centrali rischi private (4);
• società che forniscono nuovi servizi televisivi (digitale terrestre e web TV) (2);
• operatori telefonici, con riguardo alla data retention dei dati di traffico telefonico e telematico (2).

Oltre alle ispezioni di iniziativa di cui sopra, sono state effettuati ulteriori cinquantasei accertamenti in relazione a segnalazioni, reclami e ricorsi pervenuti al Garante o comunque necessari per definire procedimenti aperti dall´Autorità nei confronti di titolari.

I controlli effettuati nei confronti delle aziende sanitarie sono stati volti a verificare l´esatto adempimento alle disposizioni relative alla notificazione al Garante del trattamento di dati genetici e di dati idonei a rivelare lo stato di salute e la vita sessuale, trattati a fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto di organi e tessuti e monitoraggio della spesa sanitaria (ai sensi dell´art. 37 del Codice).

Anche se le ispezioni hanno evidenziato un elevato numero di violazioni si è avuto comunque modo di rilevare che alcune realtà hanno avviato interessanti progetti per implementare la protezione dei dati personali attraverso non solo il corretto adempimento degli obblighi di legge, ma anche mediante un´opera di sensibilizzazione e formazione del personale sanitario e amministrativo degli enti, tesa ad accrescere la cultura della privacy.

Per quanto riguarda i controlli nei confronti delle società di selezione del personale, sono emerse alcune violazioni relative all´omessa notificazione con riferimento all´art. 37, comma 1, lett. d) del Codice –dati trattati con l´ausilio di strumenti elettronici volti a definire il profilo o la personalità dell´interessato– e alla lett. e) del medesimo comma –dati sensibili registrati in banche dati a fini di selezione del personale per conto terzi–.

In generale, si è riscontrato un utilizzo di informative sul trattamento dei dati dei candidati alle selezioni non sempre in linea con i principi del Codice, nonché la diffusione di prassi che non trovano supporto nel dettato normativo, come quella dell´inserimento della locuzione "autorizzo il trattamento dei miei dati ai sensi del d.lg. n. 196/2003" nell´ambito di curricula.

Alcuni accertamenti ispettivi sono stati effettuati a seguito di segnalazioni concernenti accessi illeciti a dati anagrafici detenuti presso il Comune di Roma, al fine di verificare anche il rispetto delle misure di sicurezza nel trattamento dei dati in correlazione a casi di falsa sottoscrizione di candidature alle elezioni regionali del 3 e 4 aprile 2005. L´esito degli accertamenti, effettuati anche nell´esercizio di funzioni di polizia giudiziaria, è stato comunicato alla competente autorità giudiziaria.

Il caso riguardava in particolare accessi effettuati, per finalità e con modalità non consentite, tramite Laziomatica S.p.A. (società per azioni a prevalente capitale regionale istituita dalla Regione Lazio, che le ha affidato la gestione del Sistema informativo regionale), ad una banca dati anagrafica del Comune di Roma che la regione era stata autorizzata a consultare solo per alcune finalità sanitarie, sulla base di un protocollo di intesa. Gli accessi, effettuati in singolari circostanze (utilizzo dipassword altrui; consultazioni in orari non di servizio, notturni e festivi; asseriti interventi di manutenzione straordinaria che hanno determinato la cancellazione di dati di tracciamento di accessi), hanno permesso di consultare ed utilizzare illecitamente vari dati personali inerenti anche a documenti di identità, per finalità diverse da quelle per le quali i dati anagrafici erano stati resi accessibili alla regione (v. amplius par. 2.6). Gli accertamenti effettuati dal Garante sono stati estesi alla sicurezza dei dati presso le banche dati anagrafiche del Comune, ove è emerso il mancato rispetto di alcune misure minime di sicurezza tra le quali l´omesso aggiornamento del documento programmatico sulla sicurezza dei dati, unitamente a talune inosservanze della disciplina applicabile alla gestione dell´anagrafe della popolazione residente. Rispetto ai profili relativi alle misure minime di sicurezza sono stati avviati autonomi procedimenti nei confronti dei responsabili.

Parallelamente a questa vicenda sono stati effettuati accertamenti in relazione a segnalazioni, pervenute nel medesimo periodo, che evidenziavano la possibile utilizzazione illecita, per scopi elettorali, di dati relativi a dipendenti di un ente pubblico e di un´azienda municipale. All´esito dell´attività ispettiva è stata in effetti rilevata la mancata adozione delle misure minime di sicurezza da parte dell´ente pubblico ispezionato e si è proceduto, anche in questo caso, alla segnalazione del reato di cui all´art. 169 del Codice all´autorità giudiziaria competente.

20.4. L´attività sanzionatoria del Garante

Le sanzioni amministrative contestate hanno riguardato: l´omessa notificazione al Garante (61); l´omessa o inidonea informativa all´interessato (24); l´omessa risposta alle richieste di informazione del Garante (8) e la mancata acquisizione del consenso preventivo del consumatore per l´utilizzo di sistemi del telefono, della posta elettronica, di sistemi automatizzati di chiamata senza l´intervento di un operatore o di fax prevista dall´art. 12 del d.lg n. 185/1999 (v. ora art. 62 d.lg. 6 settembre 2005, n. 206, recante il Codice del consumo) (1).

A fronte delle sanzioni contestate, sono state riscossi euro 644.000 da parte di enti e società sanzionate che hanno acceduto alla procedura cd. di "definizione in via breve", versando il doppio del minimo previsto per la sanzione contestata.

20.5. Alcuni riferimenti statistici

Delle 230 attività ispettive effettuate nel 2005, 22 sono state curate direttamente dal Dipartimento attività ispettive e sanzioni del Garante e 208 sono state effettuate su delega dalla Guardia di finanza.

Gli accertamenti hanno riguardato sia l´ambito pubblico (53), sia quello privato (179) e sono stati volti a verificare il rispetto dei principali adempimenti previsti dalla normativa.

Le attività ispettive avviate dal Garante motu proprio sono state 169, quelle effettuate nell´ambito di procedimenti conseguenti a segnalazioni pervenute dai cittadini sono state 46; 15 accertamenti sono stati effettuati in relazione ad elementi emersi a seguito di ricorsi, o sono stati tesi a verificare il corretto adempimento dei provvedimenti del Garante.

Con riferimento all´ambito territoriale la ripartizione è stata la seguente:

• nord (97);
• centro (62);
• sud (71).

L´incidenza delle violazioni penali e amministrative riscontrate è stato pari a circa al 44% sul totale delle ispezioni effettuate.

Le violazioni penali segnalate all´autorità giudiziaria riguardano ipotesi di trattamento illecito di dati personali (1), omessa adozione di misure di sicurezza (4), inosservanza dei provvedimenti del Garante e false dichiarazioni al Garante (2) e hanno comportato la segnalazione di 10 persone all´autorità giudiziaria.

Undici sono stati i procedimenti connessi al cd. "ravvedimento operoso" in materia di misure minime di sicurezza, previsto dall´art. 168, comma 2, del Codice, in relazione ai quali sono state impartite dodici prescrizioni, in relazione alle quali sono state ammesse al pagamento del quarto del massimo dell´ammenda prevista dalla legge, in quanto responsabili della violazione, n. 16 persone, per un totale di sanzioni applicate pari a euro 189.145.

Il Dipartimento attività ispettive e sanzioni ha inoltre provveduto, tramite il Nucleo speciale della Guardia di finanza, alla notifica di 70 atti tra proroghe e decisioni di ricorsi e, in generale, provvedimenti dell´Autorità.

21. Relazioni istituzionali

21.1. L´Autorità e le attività di sindacato ispettivo e di indirizzo del Parlamento

Anche nel 2005 l´Autorità ha svolto un ruolo consultivo in riferimento ad atti di sindacato ispettivo e ad attività di indirizzo del Parlamento in relazione ad aspetti di specifico interesse in materia di protezione dei dati personali; ha fornito altresì al Governo, ove richiesta, chiarimenti ed indicazioni necessari.

Nell´ambito di tale collaborazione sono stati inoltrati al Governo elementi di valutazione in relazione ad alcuni atti di sindacato ispettivo fra i quali si ricordano, in particolare:

• un´interrogazione a risposta scritta dell´on. Cortiana (n. 4-01434) concernente la diffusione su organi di stampa della vicenda di una ragazza dichiarata adottabile nonostante l´assoluzione del padre dall´accusa di violenza nei suoi confronti (Nota 2 agosto 2005). L´Autorità ha richiamato, in proposito, l´applicazione delle disposizioni del Codice (art. 50) e sul processo penale a carico di imputati minorenni (art. 13 d.P.R. 22 settembre 1988, n. 448), che prevedono limiti alla diffusione di notizie e di immagini relative a minori di età o che comunque consentano l´identificazione di minorenni coinvolti in un procedimento giudiziario, anche in materie diverse da quella penale;
• un´interrogazione a risposta orale dell´on. Perrotta (n. 3-3617) concernente l´intestazione ad un utente di più schede telefoniche prepagate, attivate illecitamente a nome e all´insaputa del ricorrente (Nota 2 agosto 2005). L´Autorità ha evidenziato di essersi occupata, in più occasioni, dell´attivazione di servizi di telefonia mobile e fissa non richiesti, ivi comprese le schede telefoniche "prepagate", anche in relazione alla vicenda cui si riferiva l´interrogazione, già oggetto di un ricorso presentato all´Autorità per i connessi profili riguardanti la protezione dei dati personali.

21.2. L´attività consultiva del Garante sugli atti del Governo

L´articolo 154, comma 4, del Codice prevede che il Presidente del Consiglio dei ministri e ciascun Ministro consultino il Garante all´atto della predisposizione di norme regolamentari e di atti amministrativi suscettibili di incidere sulla protezione dei dati personali, nell´interesse pubblico e dei cittadini, al fine di prevenire problemi applicativi e in un quadro di collaborazione istituzionale del quale, più volte, vari ministeri hanno riconosciuto l´importanza e l´utilità.

Nel 2005, il Garante ha espresso in questa chiave diversi pareri i quali hanno riguardato, in particolare:

• uno schema di provvedimento dell´Agenzia delle entrate con cui sono state stabilite le specifiche tecniche per l´invio delle richieste e delle risposte in modalità telematica in materia di indagini finanziarie, in attuazione dell´art.32, comma 3, d.P.R. n. 600/1973 e dell´art. 51, comma 4, d.P.R. n. 633/1972 (Parere 21 dicembre 2005 [doc. web n.  1210095]). Il provvedimento individua, quale modalità di comunicazione, la posta elettronica certificata, la cui casella è accessibile tramite password ed è utilizzabile solo dai titolari degli accertamenti (provvedimento Agenzia delle entrate 22 dicembre 2005, in G.U. 10 gennaio 2006, n. 7, S.O. n. 6);
• uno schema di regolamento che istituisce presso il Dipartimento per lo sviluppo delle economie territoriali della Presidenza del Consiglio dei ministri una banca di dati informatica denominata "Guida agli investimenti locali" (Parere 21 dicembre 2005 [doc. web n.  1212504]);
• uno schema di regolamento del Ministro del lavoro e delle politiche sociali, di concerto con il Ministro della salute, concernente gli accertamenti di assenza di tossicodipendenza sui lavoratori destinati a mansioni che comportano rischi per la sicurezza, l´incolumità e la salute dei terzi, adottato ai sensi dell´art. 125 d.P.R. 9  ottobre  1990,  n.  309,  e  successive   modificazioni  (Parere  15   dicembre  2005 [doc. web n. 1209068]). Nel parere, dopo aver segnalato che gli esami per accertare l´assenza di tossicodipendenza nell´ambito di particolari categorie di lavoratori devono essere compiuti nel rispetto della dignità e della riservatezza delle persone coinvolte, l´Autorità ha sottolineato la necessità che il regolamento eviti formulazioni generiche o non rispettose del principio di proporzionalità rispetto alle finalità di tali esami. È stato richiesto, in particolare, di specificare la previsione che impone gli esami complementari tossicologici; in considerazione della loro invasività, è stato richiesto di precisare che questo tipo di esami (successivi alla visita medica) vanno eseguiti soltanto quando ci si trovi in presenza di sintomi di una "dipendenza" da sostanze stupefacenti e non solo di un loro uso, magari occasionale. Il Garante ha poi chiesto di individuare con precisione i casi di incidente sul lavoro che possono imporre tali accertamenti e i conseguenti trattamenti di dati, dovendosi fare riferimento solo a quelli che, per le loro caratteristiche e in relazione ai comportamenti dei lavoratori coinvolti, possano derivare da una tossicodipendenza;
• uno schema di decreto del Presidente della Repubblica recante modifiche alla disciplina concernente il sistema matricolare del Corpo della Guardia di finanza, adottato ai sensi dell´art. 5 l. 5 novembre 1962, n. 1695 (Parere 19 ottobre 2005 [doc. web n.  1185148]);
• uno schema di decreto del Ministro dell´interno, di concerto con il Ministro delle comunicazioni e con il Ministro per l´innovazione e le tecnologie, concernente le misure che i titolari o gestori di esercizi pubblici e circoli privati che pongono a disposizione del pubblico apparecchi terminali utilizzabili per comunicazioni, anche telematiche (cd. Internet point), devono osservare per rispettare l´obbligo di monitorare le operazioni degli utenti e di archiviare i relativi dati, ai sensi dell´articolo 7, comma 4, d.l. n. 144/2005 (decreto cd. "antiterrorismo", sul quale v. amplius par. 1.1.) (Parere 11 agosto 2005 [doc. web n. 1170246]). Il decreto adottato ha recepito le osservazioni del Garante (d.m. 16 agosto 2005, in G.U. 17 agosto 2005, n. 190);
• uno schema di decreto del Ministro degli affari esteri, per l´istituzione di un nuovo modello di passaporto ordinario atto a contenere dati biometrici (cd. passaporto elettronico), in linea con quanto previsto in sede comunitaria (regolamento del Consiglio n. 2252/2004 e decisione della Commissione n. 409/2005) (Parere 26 luglio 2005 [doc. web n.  1153396]). Il decreto ha recepito le osservazioni del Garante prevedendo, in particolare, che i dati biometrici possano essere utilizzati solo per finalità di verifica dell´identità del titolare e non debbano essere registrati in banche di dati (d.m. 29 novembre 2005, in G.U. 17 gennaio 2006, n. 13);
• uno schema di decreto interministeriale, trasmesso dal Ministero dell´interno, per individuare i dati e le informazioni da registrare nell´archivio informatizzato dello Sportello unico per l´immigrazione, ai sensi dell´art.30-quater, comma 3, d.P.R. n. 394/1999, introdotto dal d.P.R. n. 334/2004 (Parere 26 luglio 2005 [doc. web n.  1152007]);
• uno schema di decreto del Ministro della salute, relativo all´istituzione del registro nazionale delle strutture autorizzate all´applicazione delle tecniche della procreazione medicalmente assistita, degli embrioni formati e dei nati a seguito dell´applicazione delle tecniche medesime, previsto dall´art. 11, comma 1, l. n. 40/2004 (Parere 26 luglio 2005 [doc. web n.  1151435]; v.par. 3.1.4). Il decreto ha recepito le indicazioni del Garante prevedendo che nel registro possano essere inseriti solo dati in forma anonima, anche aggregata, relativi alle coppie che accedono alle predette tecniche, agli embrioni e ai nati (d.m. 7 ottobre 2005, in G.U. 3 dicembre 2005, n. 282);
• uno schema di provvedimento del Ministero dell´economia e delle finanze relativo alla trasmissione al Ministero della salute e alle regioni, con modalità telematiche, dei dati relativi alle ricette mediche, ai sensi dell´art. 50, comma 10, d.l. 30 settembre 2003, n. 269, convertito,  con modificazioni,  dalla  l. n.  326/2003   (Parere   21  luglio  2005  [doc. web n. 1151167]).  Il provvedimento è stato adottato in data 9 marzo 2006 ed è stato pubblicato nella G.U. 20 marzo 2006, n. 66;
• uno schema di decreto del Ministro dell´interno concernente la modulistica relativa ai procedimenti per l´assunzione di lavoratori stranieri e per il ricongiungimento familiare, di competenza dello Sportello unico per l´immigrazione, ai sensi dell´art. 30-bis d.P.R. n. 394/1999 (Parere 25 maggio 2005 [doc. web n.  1131847]);
• tre schemi di regolamento del Ministro dell´economia e delle finanze concernenti gli obblighi antiriciclaggio per intermediari abilitati, altri operatori non finanziari e alcuni professionisti, in attuazione degli articoli 3, comma 2, e 8, comma 4, d.lg. n. 56/2004 (Parere 12 maggio 2005 [doc. web n.  1131800]);
• due schemi di decreto del Ministro dell´interno in materia di registrazione di immagini e di titoli di accesso negli stadi, adottati in attuazione dell´art.1-quater d.l. 24 febbraio 2003, n. 28,  convertito,  con  modificazioni,  dalla l. 2 aprile 2003 n. 88  (Parere 4 maggio 2005   [doc.  web n.  1120732]; v. par. 13.1). I decreti prevedono l´utilizzo di strumenti di videosorveglianza presso gli impianti sportivi di capienza superiore alle diecimila unità e l´obbligo di accedere nei medesimi stadi muniti di biglietti nominativi (dd.mm. 6 giugno 2005,  in G.U. 30 giugno 2005, n. 150);
• uno schema di decreto dirigenziale del Ministero della giustizia, di attuazione in via parziale e transitoria dell´art. 33 d.P.R. 14 novembre 2002, n. 313, concernente il rilascio all´interessato della visura, non avente valore di certificato, dei dati registrati nel casellario giudiziale (Nota 6 aprile 2005). Il decreto è stato adottato il 1° agosto 2005 ed è stato pubblicato nella G.U. 10 ottobre 2005, n. 185;
• due schemi di decreto del Ministro dell´istruzione, recanti l´individuazione delle modalità e dei contenuti delle prove di ammissione ad alcuni corsi di laurea programmati a livello nazionale (Nota 5 aprile 2005; v. par. 2.7.1);
• uno schema di convenzione fra il Ministero dell´interno e l´Agenzia del territorio ai sensi dell´art. 54 del Codice, per l´accesso degli organi di polizia agli archivi informatici del catasto terreni, del catasto edilizio urbano e del catasto geometrico, ai fini della consultazione degli atti (Nota 4 aprile 2005);
• uno schema di regolamento del Dipartimento per le pari opportunità della Presidenza del Consiglio dei ministri, recante modifiche ed integrazioni al regolamento sulla costituzione e il funzionamento della commissione per le adozioni internazionali (d.P.R. 1° dicembre 1999, n. 492) (Nota 4 aprile 2005);
• due schemi di decreti (trasmessi dal Ministero delle attività produttive), concernenti l´utilizzo di strumenti di controllo nel settore dei trasporti su strada (tachigrafi digitali), adottati ai sensi dell´art. 3, commi 7 e 8, d.m. n. 361/2003 (Nota 18 febbraio 2005). Le indicazioni fornite dal Garante sono state recepite nei decreti adottati (d.m. 11 marzo 2005, in G.U. 11 maggio 2005, n. 108; d.m. 23 giugno 2005, in G.U. 26 luglio 2005, n. 172).

L´Autorità, inoltre, nel quadro di una proficua collaborazione istituzionale, ha fornito osservazioni ed elementi di valutazione sugli aspetti di protezione dei dati personali in ordine ad alcuni schemi di decreti legislativi, alle amministrazioni che ne hanno fatto richiesta, con particolare riferimento al codice dell´amministrazione digitale, al sistema pubblico di connettività e all´utilizzo di dati pubblici (v. amplius par. 1.4).

A fronte dei pareri espressi sopra menzionati, deve segnalarsi che –anche se in misura ridotta rispetto al 2004– continuano a registrarsi casi di mancata consultazione dell´Autorità. Si riportano le fattispecie più significative:

• decreto del Ministro della salute 30 dicembre 2004 ("Norme procedurali per l´effettuazione dei controlli antidoping e per la tutela della salute, ai sensi dell´art. 3, comma 1, della legge 14 dicembre 2000, n. 376") (G.U. 17 febbraio 2005, n. 39);
• provvedimento dell´Agenzia delle entrate 10 marzo 2005 ("Trasmissione telematica di comunicazioni all´anagrafe tributaria") (G.U. 21 marzo 2005, n. 66);
• provvedimento dell´Agenzia delle entrate 16 marzo 2005 ("Comunicazione all´anagrafe tributaria dei dati catastali identificativi degli immobili presso cui sono attivate utenze di energia elettrica, di servizi idrici e del gas") (G.U. 23 marzo 2005, n. 68);
• decreto del Ministro del lavoro e delle politiche sociali 4 febbraio 2005 ("Istituzione del Casellario centrale delle posizioni previdenziali attive, presso l´Istituto nazionale della previdenza") (G.U. 29 marzo 2005, n. 72);
• decreto del Ministro della salute 3 marzo 2005 ("Protocolli per l´accertamento della idoneità del donatori di sangue di emocomponenti") (G.U. 13 aprile 2005, n. 85);
• decreto del Ministro della salute 3 marzo 2005 ("Caratteristiche e modalità per la donazione del sangue e di emocomponenti")(G.U. 13 aprile 2005, n. 85);
• decreto del Ministro dell´interno 2 agosto 2005 ("Modificazioni al d.m. 19 luglio 2000, recante: «Regole tecniche e di sicurezza relative alla carta d´identità e al documento d´identità elettronici») (G.U. 12 agosto 2005, n. 187);
• decreto del Ministro dell´interno 2 agosto 2005 ("Regole tecniche e di sicurezza per la redazione dei piani di sicurezza comunali per la gestione delle postazioni di emissione Cie, in attuazione  del  comma  2  dell´art. 7-vicies ter  della  legge  31  marzo 2005, n. 43") (G.U. 19 settembre 2005, n. 218);
• decreto del Ministro dell´economia e delle finanze 4 agosto 2005 ("Modalità di attuazione del progetto Pc ai giovani") (G.U. 27 settembre 2005, n. 225).

21.3. Altra collaborazione con la Presidenza del Consiglio dei ministri

L´Autorità ha proseguito, nel 2005, l´attività consultiva sollecitata dalla Presidenza del Consiglio dei ministri sul contenuto di alcune leggi regionali, rispetto agli aspetti riconducibili alla materia della protezione dei dati personali, al fine di segnalare questioni eventualmente rilevanti in sede di conflitto di attribuzioni tra Stato e regioni.

In alcuni casi non si sono ravvisati profili di illegittimità costituzionale; in altri, sono stati invece rilevati aspetti problematici, come avvenuto nel caso della legge della Regione Toscana 15 dicembre 2004, n. 63, recante "Norme contro le discriminazioni determinate dall´orientamento sessuale o dall´identità di genere", di cui si è già riferito nella Relazione 2004 (p. 136).

In particolare, l´esame degli articoli 7 e 8 di tale legge –che individuano il soggetto competente ad esprimere il consenso ad un determinato trattamento terapeutico per conto di chi si trovi in condizione di incapacità e grave pericolo per la salute o l´integrità fisica– ha evidenziato questioni di legittimità costituzionale attinenti al profilo della potestà legislativa dello Stato in materia di protezione di dati personali, con specifico riferimento alle disposizioni del Codice sull´acquisizione del consenso informato al trattamento dei dati, sulle garanzie a tutela della riservatezza dei pazienti e sulla necessità e proporzionalità della raccolta di informazioni in banche di dati. L´Autorità ha segnalato tali aspetti alla Presidenza del Consiglio dei ministri (Nota 11 gennaio 2005) che ha, in seguito, impugnato la legge davanti alla Corte costituzionale.

Di particolare interesse si sono inoltre rivelate le ulteriori vicende della legge della Regione Emilia-Romagna 24 maggio 2004, n. 11 (Sviluppo regionale della società dell´informazione). Come riportato nella precedente Relazione (p. 135), l´Autorità aveva rilevato importanti profili di illegittimità costituzionale di tale legge, che sono stati poi dedotti dalla Presidenza del Consiglio dei ministri nel contestarne la legittimità dinanzi alla Consulta.

Con sentenza 7 luglio 2005, n. 271, la Corte costituzionale ha sostanzialmente accolto le argomentazioni contenute nel ricorso presentato dalla Presidenza del Consiglio dei ministri, dichiarando incostituzionali gli artt. 12, 13 e 14 della legge regionale in relazione all´art. 117, secondo comma, lettere l), m) ed r), e sesto comma, Cost., e in riferimento ai principi della legislazione statale in materia di protezione dei dati personali.

La Corte ha rilevato che, alla luce del riparto delle potestà legislative di cui al nuovo art. 117 Cost., al legislatore regionale va riconosciuta una limitata competenza "a disciplinare procedure o strutture organizzative che prevedono il trattamento di dati personali", e solo "nell´integrale rispetto della legislazione statale sulla loro protezione"; di qui la dichiarazione di illegittimità costituzionale sia dell´art. 12 della legge (che, pur affermando il rispetto delle norme a tutela della riservatezza e delle forme di segreto, risultava in concreto contraddire sotto molteplici profili la legislazione statale vigente in materia di protezione dei dati personali, nonché le stesse direttive europee che ne sono all´origine), sia dell´art. 13, comma 1, della medesima legge (nella parte in cui non richiamava la legislazione statale in materia di protezione dei dati personali).

In seguito alla dichiarazione di incostituzionalità, la Regione Emilia-Romagna, con la legge regionale 22 dicembre 2005, n. 22, ha modificato il testo degli articoli 12 e 13 della predetta l.r. n. 11/2004. L´Autorità ha rilevato che le nuove disposizioni approvate da tale Regione possono ritenersi nel loro complesso sostanzialmente rispondenti ai principi affermati dalla Corte. Il Garante si è peraltro soffermato in particolare su una disposizione (il nuovo comma 7 del citato articolo 12), che intende promuovere la comunicazione alla regione e agli altri soggetti pubblici dei dati personali contenuti nei sistemi informativi dei soggetti privati che operano in ambito regionale svolgendo "attività di interesse pubblico", precisando che ritiene possibile interpretarla –conformemente alla prospettiva indicata dalla Corte– nel senso che la regione potrà promuovere la predetta comunicazione di dati relativamente alle sole informazioni pertinenti e non eccedenti rispetto alle attribuzioni regionali. L´Autorità ha rilevato, altresì, che in sintonia con questa interpretazione dovrebbe essere letta anche l´ulteriore previsione, prevista dalla l.r. n. 11/2004, di intese fra la regione stessa e gli enti locali, in relazione alle rispettive attribuzioni dei diversi enti, necessarie per assicurare il rispetto del principio di finalità nel trattamento (Nota 10 febbraio 2006).