II - L´attività svolta dal Garante - par. 2 - Relazione 2005 - 7 luglio 2006

 

2. Trattamenti effettuati in ambito pubblico

2.1. Profili introduttivi 

L´anno trascorso ha contraddistinto una fase di rilievo per le pubbliche amministrazioni, chiamate ad attivarsi più incisivamente del passato nel riconoscere e rendere pubbliche alcune garanzie previste, in particolare, per il trattamento dei dati sensibili e giudiziari.

Le nuove scadenze di legge previste a conclusione di un periodo transitorio sproporzionatamente lungo, caratterizzato da numerose e ingiustificate proroghe, pur imponendo alle amministrazioni pubbliche di concludere l´iter per l´adozione dei necessari atti di natura regolamentare per il trattamento dei dati sensibili e giudiziari, hanno esposto il nostro Paese a procedure di infrazione per la violazione del diritto comunitario. L´utilizzo delle predette informazioni è soggetto, infatti, a rigorose cautele in base alla disciplina comunitaria, la quale vieta in linea di principio il loro trattamento a meno che, in chiave di assoluta eccezione, ricorrano specifici motivi di interesse pubblico rilevante e siano altresì assicurate adeguate garanzie (art. 8 direttiva n. 95/46/Ce).

La predisposizione dei predetti regolamenti, oltre a costituire un adempimento necessario in base al Codice, ha offerto all´intera amministrazione pubblica un´occasione significativa per proseguire, anche sotto il profilo delle garanzie e della trasparenza, il sofferto processo di modernizzazione delle proprie strutture, rendendo possibile un adeguamento del proprio assetto organizzativo e funzionale anche in riferimento al rispetto dei diritti e delle libertà fondamentali della persona, che trovano un immediato riflesso in ogni settore di attività della pubblica amministrazione.

L´Autorità è stata chiamata nuovamente a verificare il rispetto della disciplina in materia di protezione dei dati personali in diversi settori della P.a. in cui sono peraltro intervenute nuove disposizioni speciali. Si è potuto, così, registrare una più marcata consapevolezza nel corpo sociale della necessità di tutelare maggiormente e in termini più specifici il diritto fondamentale alla protezione dei dati personali, anche in particolari ambiti che, finora, non erano stati oggetto di espressa valutazione.

Quest´opera più analitica di controllo sul corretto trattamento dei dati da parte dei soggetti pubblici ha permesso peraltro di riscontrare alcuni ritardi e incertezze applicative, talvolta fisiologici, talaltra connessi a ingiustificate preoccupazioni o letture normative connaturate solo in parte alla necessità di coniugare l´innovativo quadro di garanzie per i diritti e le libertà fondamentali nel trattamento dei dati con specifiche procedure proprie di singole amministrazioni legate anche a norme risalenti nel tempo.

2.2. Regolamenti sui trattamenti di dati sensibili e giudiziari

I soggetti pubblici possono trattare i dati sensibili esclusivamente in base ad un´espressa disposizione di legge che lo consenta espressamente, individuando i tipi di dati utilizzabili, le operazioni eseguibili e il carattere di rilevante interesse pubblico delle finalità perseguite (artt. 20, comma 1, e 21, comma 1, del Codice); riguardo ai dati giudiziari, il trattamento può essere autorizzato anche in base ad un provvedimento del Garante (art. 21, comma 1).

Come già evidenziato in passato, laddove siano specificate per legge solo le "rilevanti finalità di interesse pubblico", l´amministrazione interessata può trattare i dati sensibili e giudiziari qualora adotti un apposito atto di reale natura regolamentare che identifichi i tipi di dati utilizzati e di operazioni su di essi eseguibili, conformandosi al parere reso in proposito dal Garante (artt. 20, comma 2, e 21, comma 2, del Codice); tale parere può essere espresso dall´Autorità anche su schemi-tipo, nella prospettiva di rispettare il principio di semplificazione (art. 2, comma 2, del Codice) e di armonizzare un livello elevato di tutela dei diritti rispetto all´operato delle singole amministrazioni.

In merito, nonostante l‘emanazione dei regolamenti fosse stata già imposta vigente la legge n. 675/1996, il Codice, prevedendo un ulteriore periodo transitorio di adeguamento a favore delle amministrazioni, aveva indicato, in un primo tempo, il 30 settembre 2004 quale nuova scadenza per adottare i predetti regolamenti. Tale scadenza è stata successivamente differita al 31 dicembre 2005 (l. 27 luglio 2004, n. 188, di conversione del d.l. 24 giugno 2004, n. 158) e nel corrente anno, giova evidenziarlo, il termine è stato ulteriormente prorogato (dapprima al 28 febbraio 2006, poi al 15 maggio 2006 e, infine, al 31 luglio 2006: art. 181 del Codice, come modificato dall´art. 10 d.l. 30 dicembre 2005, n. 273, convertito, con modificazioni, con l. 23 febbraio 2006, n. 51 e dal d.l. 12 maggio 2006, n. 173).

Nel corso del 2005, in previsione della predetta scadenza, il Garante ha adottato un provvedimento generale con il quale ha fornito nuove indicazioni a tutti i soggetti pubblici per favorire una migliore ricognizione dei trattamenti e la predisposizione del contenuto degli atti regolamentari in questione (Provv. 30 giugno 2005 [doc. web n. 1144445], pubblicato in G.U. 23 luglio 2005, n. 170). Il Garante ha in primo luogo segnalato alle amministrazioni che la prosecuzione del trattamento di dati sensibili e giudiziari in carenza del necessario supporto normativo, dopo la menzionata scadenza, concretizzerebbe un illecito (con conseguenti responsabilità di diverso ordine, anche contabile e per danno erariale), e potrebbe inoltre comportare sia l´inutilizzabilità dei dati trattati indebitamente, sia il possibile intervento di provvedimenti anche giudiziari di blocco o di divieto del trattamento (art. 154 del Codice; art. 11, commi 1, lett.  a), e 2, del Codice). Analoga riflessione è stata svolta in riferimento ai trattamenti di dati che non saranno menzionati nei regolamenti, trattamenti che non potranno essere effettuati.

Provvedimento generale sui regolamenti per il trattamento dei dati sensibili e giudiziari nella P.a.

L´Autorità ha poi evidenziato la possibilità, prevista nel Codice, di procedere alla predisposizione di schemi-tipo operanti per insiemi omogenei di amministrazioni, rispetto ai quali può essere pertanto espresso dal Garante un unico parere, al fine sia di rendere più organiche le garanzie in riferimento ad altre amministrazioni, sia di semplificare l´iter di approvazione degli atti.

L´Autorità ha in seguito sottolineato che le pubbliche amministrazioni che adottano un regolamento conforme allo schema-tipo approvato dal Garante non devono chiedere singolarmente al Garante di esprimere il  parere  previsto  ai  sensi degli artt. 20, comma 2, 21, comma  2 e 154, comma 5, del Codice (Nota 16 febbraio 2005). Le medesime amministrazioni devono invece sottoporre al Garante uno schema di regolamento per il parere qualora manchi uno schema-tipo sul quale si sia già espressa favorevolmente l´Autorità, oppure nell´ipotesi in cui l´amministrazione intenda apportare a tale schema-tipo già esaminato modifiche sostanziali o integrazioni non formali, che riguardino categorie di dati o tipologie rilevanti di operazioni, precedentemente non considerati (Nota 11 novembre 2005).

L´Autorità ha inoltre fornito ulteriori chiarimenti sulla natura della disciplina regolamentare prevista dal Codice, segnalando che le amministrazioni pubbliche (quali, ad esempio, taluni enti vigilati o controllati) non possono avvalersi di atti e decreti che, pur essendo a volte denominati quali "regolamenti", non abbiano in base alla legge la necessaria natura di reale fonte normativa suscettibile di incidere su diritti e libertà fondamentali di terzi. Le amministrazioni non possono in particolare avvalersi di meri regolamenti interni od organizzativi che non abbiano, in base alla legge, i necessari caratteri di innovatività nell´ordinamento, generalità ed astrattezza, dovendo assicurare comunque l´adozione di un atto di effettiva natura regolamentare, promuovendone quindi, se necessario, l´adozione da parte della competente amministrazione di riferimento (Note 23 e 24 gennaio 2006).

Al fine di contribuire alla corretta applicazione del Codice, il Garante, in vista delle scadenze di legge, ha in ogni caso intensificato la collaborazione finalizzata alla predisposizione degli schemi (come pure di schemi-tipo) di regolamento, alcuni dei quali da tempo in fase di studio; ciò, con organismi rappresentativi di regioni, autonomie locali ed università, nonché, in riferimento alle rispettive funzioni istituzionali, con la Presidenza del Consiglio dei ministri ed altri soggetti pubblici.

Collaborazione per la predisposizione di schemi di regolamento

Infine, l´Autorità, a seguito di interpelli anche informali, ha fornito innumerevoli chiarimenti e delucidazioni a diversi soggetti pubblici (ministeri, autorità indipendenti, istituti di ricerca, istituti previdenziali ed assicurativi), in ordine alla corretta predisposizione degli schemi di regolamento di competenza. Si è così favorita una maggiore conformità al Codice degli schemi sottoposti al parere già nella fase della loro elaborazione, con conseguente incremento dei pareri favorevoli che hanno constatato il già intervenuto recepimento di indicazioni fornite nel quadro dei contatti tra le amministrazioni interpellanti e l´Ufficio del Garante.

L´esame comparato di un elevato numero di schemi di regolamento ha permesso all´Autorità di disporre di un orizzonte più ampio per valutazioni organiche sul modo con cui le P.a. trattano dati delicati per la sfera delle persone.

Si è potuta, tra l´altro, rilevare la frequente ricorrenza di alcuni profili critici che non hanno a volte consentito di valutare positivamente gli schemi sottoposti per il parere o, più spesso, di esprimere un parere favorevole in termini generali, ma con varie "condizioni" che hanno impegnato a fondo l´attività istruttoria del parere risultata particolarmente onerosa per l´Autorità. Si è ad esempio riscontrata la tendenza di talune amministrazioni a "legalizzare" mediante lo schema predisposto un insieme di trattamenti che non rientrava tra le attribuzioni istituzionali di riferimento, oppure di modalità di trattamento obiettivamente sproporzionate in rapporto alle finalità perseguite.

In numerosi casi si è reso necessario richiamare l´attenzione delle pubbliche amministrazioni in ordine alla necessità di prendere in considerazione nei regolamenti le sole, specifiche finalità di rilevante interesse pubblico, perseguite di volta in volta dall´ente in rapporto alle attività istituzionali svolte, già individuate specificamente dal Codice o, come quest´ultimo prevede, da un´espressa previsione di legge che, anche se collocata fuori del Codice, le evidenzi comunque puntualmente nei termini richiesti (art. 20 e parte II del Codice). Per altro verso, si è non di rado rilevato l´inserimento, negli schemi, di richiami generici alla normativa vigente, oppure a non meglio precisate "finalità pubbliche", con conseguente prescrizione da parte dell´Autorità dell´inserimento di richiami più puntuali alla disciplina di riferimento.

Si è altresì esaminata un´ulteriore problematica di fondo, riguardante la possibilità per determinati soggetti di adottare atti aventi effettiva natura regolamentare: si pensi agli organismi strumentali dotati unicamente di autonomia gestionale, costituiti dagli enti locali per la cura associata di uno o più servizi e funzioni pubblici locali, ovvero alle aziende di servizi alla persona con personalità giuridica di diritto pubblico. In tali ipotesi, è stato necessario rilevare che le amministrazioni non possono avvalersi, nel caso di specie, di meri atti che, anche se denominati regolamenti, non hanno, anche per la loro eventuale rilevanza solo interna, la necessaria natura di fonte regolamentare suscettibile di incidere su diritti e libertà fondamentali di terzi. Tali soggetti sono stati pertanto invitati ad assicurare l´utilizzazione di un atto di natura effettivamente regolamentare, promuovendone se del caso l´adozione da parte delle competenti amministrazioni di riferimento le quali esercitino, ad esempio, poteri di indirizzo e controllo (Note 15 novembre e 2 dicembre 2005).

Particolarmente impegnativa è stata, per l´Autorità, la verifica dell´indispensabilità del trattamento delle tipologie di informazioni sensibili e giudiziarie individuate negli schemi-tipo (art. 22, comma 3, del Codice). In numerosi casi, si è conseguentemente reso necessario depennare categorie di dati sensibili o giudiziari o di operazioni di trattamento individuate negli schemi.

In particolare, è stata rivolta l´attenzione sulle operazioni che possono spiegare effetti maggiormente significativi per l´interessato, e per le quali devono pertanto essere assicurate opportune garanzie. Spesso, infatti, non è risultata comprovata l´indispensabilità delle operazioni di interconnessione con altri titolari del trattamento, pubblici o privati: non sono mancati i casi in cui si è registrata la carenza di una rigorosa delimitazione in conformità al principio di indispensabilità, ovvero dell´individuazione della base normativa che autorizza le predette operazioni (art. 22, commi 9 e 11 del Codice). Il Garante ha quindi richiesto di verificare di volta in volta se l´operazione consistesse effettivamente in una interconnessione o in un diverso tipo di collegamento per via telematica volto ad ottenere informazioni o certificazioni dal medesimo o da altri titolari del trattamento, senza una consultazione diretta di banche dati.

Oggetto di attente verifiche sono state, altresì, le operazioni di comunicazione e diffusione individuate: con riferimento alle prime, si è reso necessario richiamare l´attenzione delle amministrazioni pubbliche in ordine alla necessità di delimitarle ed evidenziarle rigorosamente in considerazione del principio di stretta indispensabilità, indicando il motivo per cui si effettua la predetta operazione, nonché l´eventuale base normativa; con riferimento alle seconde, è stata sempre evidenziata la necessità di riportare l´espressa disposizione di legge che le autorizzi (art. 22, comma 11, del Codice).

Si è reso poi necessario sottolineare, in diverse occasioni, che con l´atto di natura regolamentare vanno identificati unicamente i tipi di dati sensibili e giudiziari trattati, nonché i tipi di operazioni su di essi eseguibili, e non altri aspetti riguardanti il rispetto della normativa in materia di protezione dei dati personali. Spesso, infatti, le amministrazioni pubbliche hanno disciplinato con l´atto in questione le modalità di esercizio del diritto di accesso ai propri dati personali da parte dell´interessato (artt. 7-10 del Codice); l´informativa (art. 13); l´individuazione ed i compiti del titolare, di eventuali responsabili e degli incaricati del trattamento (artt. 28-30); l´esercizio del diritto di accesso ai documenti amministrativi (artt. 59 e 60); l´adozione delle misure di sicurezza (artt. 31-36). Nelle predette ipotesi, l´Autorità ha osservato che non deve pertanto essere effettuata alcuna comunicazione al Garante in ordine ai predetti adempimenti e che dalla circostanza che l´Autorità abbia ricevuto eventuali note in proposito, il titolare del trattamento non può desumere alcun assenso o autorizzazione a proseguire il trattamento dei dati con le modalità dichiarate.

Occorre altresì evidenziare che, in numerosi casi, l´Autorità è stata interpellata in ordine a trattamenti di dati sensibili già disciplinati in sede legislativa ovvero, nel caso dei dati giudiziari, anche con provvedimento del Garante, per i quali, pertanto, è stato rilevato che il soggetto pubblico non deve provvedere con proprio regolamento.

2.2.1. Enti locali

Nel quadro della collaborazione instaurata con organismi rappresentativi di comuni, comunità montane e province, è stata ultimata la predisposizione dei rispettivi schemi-tipo di regolamento.

Per quanto riguarda, in particolare, i comuni, l´Anci (Associazione nazionale dei comuni italiani), in collaborazione con il Garante, ha elaborato nel 2005 il relativo schema-tipo di regolamento anche alla luce delle proposte di modifica e delle integrazioni prospettate durante la fase della consultazione pubblica effettuata nel 2004. Il Garante ha poi espresso parere positivo (Parere 21 settembre 2005 [doc. web n. 1170239]) sullo schema definitivo [doc. web n. 1174532].

Comuni

In considerazione dei numerosi trattamenti di dati sensibili e giudiziari effettuati in un´amministrazione con articolate competenze come quella comunale, lo schema-tipo di regolamento per i comuni è corredato da trentacinque schede comprensive di diverse finalità di rilevante interesse pubblico individuate nel Codice (artt. 62-73, 86, 90, 95 e 112).

In particolare, le schede riguardano i trattamenti relativi alla gestione del personale impiegato a vario titolo presso il comune e quelli relativi ai servizi demografici, anagrafici, di stato civile ed elettorale; si riferiscono, inoltre, ai trattamenti di dati sensibili e giudiziari rinvenibili presso i servizi sociali, alle attività amministrative curate dalla polizia municipale, così come a quelle esperite per il patrocinio e la difesa in giudizio dell´amministrazione. Infine, un´ulteriore serie di schede censisce le attività relative all´incontro domanda/offerta di lavoro, comprese quelle relative alla formazione. 

L´Uncem (Unione nazionale comuni comunità enti montani) ha redatto il proprio schema-tipo di regolamento utilizzando il predetto schema-tipo predisposto per i comuni dal quale sono state espunte alcune schede in considerazione delle specifiche e rilevanti finalità di interesse pubblico perseguite per legge dalle comunità montane. Anche in questo caso, il parere del Garante è risultato positivo (Parere 19 ottobre 2005 [doc. web nn. 1182188]). Lo schema-tipo [doc  web n. 1182195] si compone pertanto di un articolato integrato solo da diciannove schede che individuano i tipi di dati e di operazioni in relazione alla gestione del personale dipendente, all´attuazione di servizi sociali, all´espletamento dei servizi di istruzione e cultura, di polizia municipale, dell´avvocatura e relativi alle politiche del lavoro.

Comunità montane

Lo schema-tipo di regolamento riguardante i trattamenti di dati sensibili e giudiziari effettuati presso le province [doc web n. 1175684] è frutto della collaborazione con l´Upi (Unione delle province d´Italia). Anche in questo caso, il progetto di schema-tipo, nell´ambito di una consultazione pubblica, è stato messo a disposizione delle province, dal 20 aprile al 15 maggio 2005, al fine di sollecitare eventuali proposte di modifica o integrazioni; sulla versione definitiva il Garante si è espresso positivamente (Parere 7 settembre 2005 [doc. web nn. 1174562]).

Province

Lo schema-tipo di regolamento per le province contiene, anch´esso, un articolato, cui fanno seguito quindici schede corrispondenti alla gestione dei dati nei rapporti di lavoro dipendente di qualunque tipo, da parte degli organi dell´ente, nonché del difensore civico. Le schede riguardano, inoltre, la gestione delle attività relative all´incontro domanda/offerta di lavoro e al contenzioso; le attività concernenti le erogazioni di benefici a vario titolo, di vigilanza in materia ambientale e di sicurezza stradale; le attività attinenti al rilascio di autorizzazioni, abilitazioni ed iscrizioni agli albi; la protezione civile; l´organizzazione del servizio scolastico, la gestione delle biblioteche e dei centri di documentazione, nonché le attività riguardanti le iniziative di democrazia diretta.

Diversi enti locali hanno successivamente richiesto un parere dell´Autorità in ordine al trattamento di dati sensibili e giudiziari per ulteriori attività (protezione civile, agevolazioni tributarie, volontariato, attività ricreative) che non figuravano, per tipologia di dati o di operazioni, negli schemi-tipo di regolamento già predisposti dall´Anci, dall´Upi e dall´Uncem.

Ulteriori specifiche attività

Il Garante ha unificato la trattazione delle varie istanze pervenute esprimendo un unico parere nel quale ha previsto che tutti gli altri enti locali interessati a svolgere i medesimi trattamenti con le stesse modalità, possono effettuarli adottando o integrando i regolamenti di pertinenza sulla base delle indicazioni fornite dall´Autorità, senza che sia necessario sottoporre singolarmente all´Autorità ciascuno schema (Parere 29 dicembre 2005  [doc. web n. 1213424]).

In base a questo parere dell´Autorità, gli enti locali possono trattare informazioni sullo stato di salute dei cittadini nell´ambito delle competenze loro attribuite dalla legge in materia di protezione civile per programmare piani di emergenza e dare attuazione, in caso di calamità, a piani di evacuazione. I dati sull´origine razziale e etnica, opinioni politiche e religiose, salute e dati giudiziari possono essere utilizzati da comuni e province nell´ambito delle attività per il conferimento di onorificenze e ricompense, concessioni di patrocini e patronati. Le stesse tipologie di dati sono utilizzabili dai comuni per l´iscrizione di associazioni ed organizzazioni di volontariato negli albi comunali.

Oltre al trattamento dei dati sensibili già individuati nello schema-tipo Anci, i comuni possono trattare dati personali relativi alle convinzioni religiose e filosofiche nei casi in cui essi concedano agevolazioni tributarie o utilizzino fondi per interventi relativi ad edifici di culto, di partito o di associazioni.

Nei confronti di un altro cospicuo numero di enti locali, i quali avevano richiesto anch´essi il parere su schemi di regolamento, l´Autorità ha, invece, evidenziato che alcune tipologie di trattamento specificato nei medesimi schemi sono già ricomprese negli schemi-tipo. Si è fatto riferimento, in particolare, alle attività relative alla protocollazione ed archiviazione (Nota 23 febbraio 2006); al trattamento di dati idonei a rivelare lo stato di salute finalizzato alla concessione di contributi per l´abbattimento delle barriere architettoniche (Nota 3 marzo 2006); al trattamento di dati giudiziari per l´applicazione delle norme in materia di sanzioni amministrative e ricorsi, con particolare riferimento ai condoni edilizi (Nota 14 marzo 2006); al trattamento di dati sensibili dei volontari di protezione civile effettuato per gestire forme di impiego che non comportano la costituzione di un rapporto di lavoro subordinato (Nota 8 marzo 2006).

E´ stato inoltre rilevato che taluni dei trattamenti di dati sensibili sottoposti all´esame dell´Autorità risultavano già disciplinati in sede legislativa ovvero, nel caso dei dati giudiziari, in base ad un provvedimento del Garante, non occorrendo, per tali casi, che l´amministrazione provveda ad una specifica disciplina con regolamento. Tali ipotesi hanno riguardato i dati giudiziari trattati per adempiere ad obblighi previsti da disposizioni di legge in materia di comunicazioni e certificazioni antimafia o per espletare procedure relative a gare d´appalto (Nota 23 febbraio 2006); la notificazione di atti contenenti dati sensibili o giudiziari effettuata su delega dell´autorità giudiziaria (Nota 14 marzo 2006); il trattamento di dati sensibili e giudiziari effettuato nell´ambito del Programma statistico nazionale-Psn (Nota 31 marzo 2006); i trattamenti di dati sensibili effettuati da farmacie comunali (Nota 14 marzo 2006).

L´Autorità è stata poi chiamata ad esprimere un parere anche in ordine al trattamento dei dati svolto da parte delle comunità comprensoriali. In proposito, nel rilevare che tali comunità sono enti di diritto pubblico (ai quali si applicano le norme di legge relative alle comunità montane che non siano incompatibili con le disposizioni della normativa di riferimento: art. 1, comma 2, d.P.G.p. 9 novembre 1981, n. 20-60/Legisl., recante "Approvazione del testo unico delle leggi provinciali concernenti l´ordinamento e l´attività dei comprensori"), l´Autorità ha adottato un provvedimento collegiale (Parere  30 novembre 2005 [doc. web  n. 1202243]) con il quale ha segnalato che tali soggetti, anche in relazione alle competenze svolte per conto di comuni, possono avvalersi degli schemi-tipo di regolamento predisposti dall´Uncem per le comunità montane e dall´Anci per i comuni, sui quali il Garante ha espresso parere favorevole. I comprensori richiedenti sono stati quindi invitati a conformare lo schema di regolamento alle indicazioni fornite con il parere stesso, segnatamente per quanto concerne le operazioni di interconnessione, raffronto, comunicazione e diffusione.

Comunità comprensoriali

2.2.2. Regioni e province autonome

L´Autorità aveva avviato nel 2004 una collaborazione con la Conferenza delle regioni e delle province autonome per la redazione di uno schema-tipo di regolamento sul trattamento dei dati personali sensibili e giudiziari effettuato presso regioni e province autonome, aziende sanitarie locali, enti e agenzie regionali e provinciali, nonché enti vigilati da regioni e province autonome.

Lo schema-tipo di regolamento sottoposto al parere del Garante alla fine del 2005 ha però evidenziato alcuni profili problematici che sono stati tuttavia approfonditi nel quadro del rapporto di collaborazione istituzionale tra gli uffici prima che il parere fosse espresso (Nota 30 dicembre 2005).

I profili di maggiore criticità hanno riguardato i trattamenti di dati personali connessi all´esercizio dell´attività epidemiologica del servizio sanitario regionale, ovvero l´ipotizzata attivazione verso l´amministrazione regionale di un flusso informativo sistematico di dati sulla salute degli assistiti, identificabili anche attraverso il codice fiscale, da parte dei soggetti erogatori dell´assistenza sanitaria territoriale. Al riguardo, è emersa l´esigenza di una revisione della bozza di schema-tipo consentendo comunque l´efficace esercizio delle funzioni di organizzazione, programmazione, valutazione e controllo dell´attività sanitaria da parte delle regioni nel pieno rispetto, però, delle garanzie previste dalla disciplina in materia di protezione dei dati personali.

Un´ulteriore problematica emersa nell´esame dello schema-tipo di regolamento riguardava l´ipotizzato svolgimento, da parte delle regioni, di un´attività amministrativa di follow-up nei confronti dei singoli assistiti, realizzata sulla base del predetto flusso informativo; attività che deve invece rimanere, anche in base ai principi del Codice, di esclusiva competenza delle strutture sanitarie.

A seguito dei rilievi formulati preliminarmente dall´Autorità, il testo aggiornato dello schema-tipo di regolamento è stato sottoposto all´esame del Garante con esito positivo (Provv. 13 aprile 2006 [doc. web n. 1272225]).

Le regioni e le province autonome hanno potuto pertanto avvalersi di tale schema-tipo in conformità al quale è stata resa possibile l´adozione dei necessari atti regolamentari sul trattamento di dati di pertinenza dei medesimi enti, nonché delle aziende sanitarie, degli enti e agenzie regionali/provinciali e degli enti vigilati dalla regione/provincia autonoma.

Sempre in riferimento ai trattamenti di dati sensibili e giudiziari svolti presso le regioni e le province autonome, il Garante ha esaminato un ulteriore schema-tipo di regolamento predisposto dalla Conferenza dei Presidenti dell´assemblea, dei consigli regionali e delle province autonome, riguardante i trattamenti in ambito anch´esso regionale, ma effettuati presso assemblee e consigli regionali e provinciali. Il Garante ha espresso parere condizionato al rispetto di alcune indicazioni (Provv.29 dicembre 2005 [doc. web n. 1210939]).

Per quanto riguarda, infine, la pubblicità immobiliare, è stata avviata una collaborazione con la Regione Friuli Venezia Giulia e le province autonome di Trento e Bolzano, al fine di elaborare una scheda-tipo da allegare al regolamento dei medesimi enti per i trattamenti di dati sensibili e giudiziari connessi con l´impianto e la tenuta dei libri fondiari, secondo il sistema in vigore nei territori già appartenenti all´impero austro-ungarico.

2.2.3. Ministeri

Accanto alle prime iniziative in materia intraprese dalle autonomie locali, nel 2005 alcune amministrazioni centrali hanno sottoposto anch´esse all´esame dell´Autorità propri schemi di regolamento su cui è stato espresso il parere nella prima parte del 2006.

Il parere reso dal Garante all´amministrazione della difesa ha riguardato, in particolare, l´identificazione dei tipi di dati e di operazioni eseguibili in relazione ad una serie di trattamenti effettuati presso l´amministrazione, tra i quali quelli riguardanti il reclutamento, le assunzioni e l´impiego del personale civile e militare, la redazione e la tenuta dei documenti caratteristici, matricolari e dei fascicoli personali, il monitoraggio sanitario, le attività amministrative connesse alla tutela della salute dei dipendenti, l´assistenza sanitaria e l´attività medico-legale anche in favore di terzi, nonché la gestione del contenzioso giudiziale e stragiudiziale (Parere 9 marzo 2006 [doc. web n. 1259655]).

Ministero della difesa

L´Autorità ha espresso parere positivo anche sullo schema di regolamento per i trattamenti dei dati sensibili e giudiziari effettuati presso il Ministero dell´istruzione, dell´università e della ricerca, le istituzioni scolastiche ed educative, gli istituti di alta formazione artistica, musicale e coreutica e gli istituti regionali di ricerca educativa (Parere 16 marzo 2006 [doc. web  n.1259641]), nonché presso il Ministero delle infrastrutture e dei trasporti (Parere 23 marzo 2006 [doc. web n. 1269037]). Per quest´ultima amministrazione, in particolare, oltre alla gestione del personale e al contenzioso, sono stati presi in considerazione i trattamenti relativi al rilascio delle patenti, alla gestione del demanio marittimo e alle attività di controllo in materia di immigrazione clandestina, ambiente, trasporto terrestre e marittimo, nonché alle operazioni di ricerca e soccorso in mare.

Altri ministeri

2.2.4. Altri soggetti pubblici

Va segnalato anche il parere conforme espresso dall´Autorità in ordine allo schema-tipo di regolamento sul trattamento dei dati sensibili e giudiziari predisposto dalla Crui (Conferenza dei rettori delle università italiane) (Parere 17 novembre 2005 [doc. web nn.  1198369 e 1201343]). La Conferenza ha coordinato il lavoro preparatorio degli atenei offrendo un supporto per interpretare e applicare la normativa sulla tutela dei dati sensibili e giudiziari. Lo schema-tipo di regolamento ha individuato i dati sensibili e giudiziari che vengono di consueto trattati presso le università pubbliche italiane per diverse finalità tra le quali figurano, in particolare, quelle connesse alle attività di ricerca e all´attività didattica e di gestione dei percorsi formativi degli studenti. Analogamente a quanto avviene per altri schemi-tipo, tutte le università pubbliche possono utilizzare lo schema approvato dal Garante per adottare il proprio regolamento, senza dover richiedere autonomamente uno specifico parere dell´Autorità.

Pareri su schemi-tipo

Il Garante ha inoltre espresso parere positivo sullo schema-tipo di regolamento predisposto da Assoporti, per le autorità portuali (Parere  7 dicembre 2005 [doc.  web n. 1212485]) e da Unioncamere, per conto delle camere di commercio (Parere 15 dicembre 2005 [doc. web n. 1202978]), oltre che sullo schema di regolamento relativo al trattamento di dati sensibili e giudiziari effettuato dalla stessa Unioncamere (Parere 30 novembre 2005 [doc. web  n. 1202969]).

Anche il Ministero dell´ambiente e della tutela del territorio ha sottoposto all´esame dell´Autorità uno schema di regolamento, predisposto dall´Ente parco delle dolomiti bellunesi, ai fini dell´adozione quale schema-tipo per i trattamenti dei dati sensibili e giudiziari da effettuarsi presso gli enti parco nazionali. Nel parere reso, il Garante ha fornito alcune indicazioni, in conformità alle quali lo schema dovrà essere riformulato (Parere  9 marzo 2006 [doc. web n. 1269050]).

Si dà conto di seguito di pronunciamenti dell´Autorità che, pur essendo in taluni casi intervenuti nella prima parte del 2006, fanno seguito ad un´attività istruttoria svoltasi nell´anno oggetto della presente Relazione.

Sono diverse le amministrazioni che, a causa del peculiare settore di competenza e, quindi, della specificità dei trattamenti di dati effettuati, non hanno potuto avvalersi di schemi-tipo di regolamento predisposti da organi rappresentativi ed hanno dovuto pertanto presentare al Garante una richiesta di parere su uno specifico schema di regolamento.

Pareri su specifici schemi di regolamento

Di seguito, anche in questi casi, a forme di collaborazione informale con l´Ufficio del Garante, l´Autorità ha espresso il proprio parere positivo in ordine a richieste pervenute e riguardanti gli schemi predisposti dai seguenti enti: Enit-Ente nazionale italiano per il turismo (Parere 21 dicembre 2005  [doc.  web n. 1212477]); Enac-Ente nazionale per l´aviazione civile (Parere 12 gennaio 2006 [doc.  web n. 1218208]); Cnipa-centro nazionale per l´informatica nella pubblica amministrazione (Parere 12 gennaio 2006 [doc. web n.  1218226]); Avvocatura generale dello Stato (Parere 18 gennaio 2006 [doc.  web n. 1218216]); Ansv-Agenzia nazionale per la sicurezza del volo (Parere 23 febbraio 2006 [doc.  web n. 1245373]).

Analogamente, l´Autorità si è espressa sulle richieste di parere rivolte da taluni istituti previdenziali ed assicurativi relativamente, soprattutto, ad attività relative alla gestione del personale, ad attività assicurative ed assistenziali in favore dei propri iscritti, nonché di difesa in giudizio dell´amministrazione: parere positivo è stato espresso in quest´ambito nei riguardi delll´Ipost-Istituto postelegrafonici (Parere 16 febbraio 2006  [doc. web n. 1244658]) e dell´Enam-Ente nazionale di assistenza magistrale (Parere 16 marzo 2006 [doc. web n. 1259665]).

Tra  gli  enti  di  ricerca,  l´Infn  (Istituto  nazionale  di  fisica  nucleare)  (Parere 19 ottobre 2005  [doc.  web  n. 1182760]), l´Asi-Agenzia spaziale italiana (Parere 27 gennaio 2006 [doc. web n. 1244630]), l´Inaf-Istituto nazionale di astrofisica (Parere 27 gennaio 2006  [doc. web n. 1244643]) e il Consorzio per l´area di ricerca scientifica e tecnologica di Trieste (Parere 2 marzo 2006  [doc. web n. 1246876]), hanno chiesto ed ottenuto dal Garante parere positivo in ordine ai rispettivi schemi di regolamento. La peculiarità e, al contempo, l´elemento comune di tali atti regolamentari è costituita dal fatto che in essi, oltre ai trattamenti di informazioni sensibili e giudiziarie effettuati nell´ambito della gestione dei rapporti di lavoro e del contenzioso, sono stati disciplinati i trattamenti finalizzati alla formazione professionale o universitaria.

È stato espresso un parere positivo anche in ordine al regolamento presentato dall´Istat-Istituto nazionale di statistica, tenendo conto della specifica disciplina prevista per i trattamenti di dati per scopi di ricerca statistica effettuati dai soggetti che fanno parte o partecipano al Sistema statistico nazionale ed inseriti nel Programma statistico nazionale-Psn. In tale caso, l´articolo 6-bis, comma 2, del decreto legislativo 6 settembre 1989, n. 322 prevede infatti che nel Programma statistico nazionale, sul quale il Garante esprime un parere specifico, siano indicati i dati sensibili e giudiziari, le rilevazioni per le quali essi sono trattati e le relative modalità del trattamento(Parere 15 dicembre 2005 [doc.  web n. 1212493]).

Tra le autorità amministrative indipendenti che hanno chiesto un parere specifico, poi espresso in senso positivo dal Garante, si annoverano l´Isvap-Istituto sulla vigilanza per  le  assicurazioni  private  e  di  interesse  collettivo  (Parere 30 novembre 2005 [doc.  web n. 1212464]), la Covip-Commissione di vigilanza sui fondi pensione (Parere 2 febbraio 2006 [doc. web n. 1225873]); l´Autorità garante della concorrenza e del mercato (Parere 7 dicembre 2005 [doc. web n. 1212281]) e la Consob-Commissione nazionale per le società e la borsa (Parere 15 dicembre 2005 [doc. web n. 1202986]). Tali regolamenti individuano, in particolare, i tipi di dati sensibili e giudiziari e le operazioni eseguibili in relazione ai trattamenti posti in essere dalle citate autorità per svolgere le funzioni istituzionali, anche di controllo e vigilanza, nell´ambito dei rispettivi settori di competenza. Anche il Garante ha adottato il proprio regolamento per il trattamento dei dati sensibili e giudiziari [doc. web n. 1249212], con deliberazione 29 dicembre 2005, n. 26, pubblicata in Gazzetta Ufficiale 22 marzo 2006, n. 68.

Autorità amministrative indipendenti

L´Autorità ha prestato la propria collaborazione, esprimendo parere favorevole, in relazione all´adozione del regolamento Isvap concernente le modalità di funzionamento del "Centro di informazioni", da adottare ai sensi degli artt. 5 e 10 del d.lg. 30 giugno 2003, n. 190 (ora previsto dagli artt. 154 e 155 d.lg. 7 settembre 2005, n. 209, recante il Codice delle assicurazioni private) in attuazione della direttiva 2000/26/Ce, in materia di assicurazione della responsabilità civile risultante dalla circolazione di autoveicoli. Il Centro informazioni istituito presso l´Isvap (cfr. art. 5 d.lg. n. 190/2003) svolge attività a favore dei soggetti residenti nel territorio della Repubblica, danneggiati da sinistri della circolazione stradale provocati da veicoli stazionanti abitualmente e assicurati in un Stato diverso da quello di residenza, i quali possono chiedere nel proprio Stato di residenza il risarcimento a seguito di un sinistro derivante dalla circolazione dei veicoli a motore. Il Centro è chiamato anche a trattare dati personali relativi a soggetti assicurati in Italia per agevolare il reperimento da parte dei danneggiati delle informazioni necessarie a far valere la richiesta di indennizzo (finalità esclusiva nella prospettiva del legislatore comunitario per l´istituzione dei "centri" sopra descritti). Le informazioni destinate a confluire nel Centro saranno in parte fornite dalle singole imprese di assicurazione, anche attraverso l´associazione nazionale di categoria (Ania), a tal fine designata responsabile del trattamento (art. 29 del Codice).

Regolamento Isvap sul Centro di informazioni

In alcuni casi, l´Autorità ha condizionato il proprio parere favorevole al rispetto di talune condizioni. Per quanto concerne lo schema curato dal Consiglio nazionale delle ricerche-Cnr, il Garante ha sollecitato modifiche ed integrazioni anche in riferimento alle indicazioni normative menzionate nel medesimo schema. Alcune di esse sono apparse infatti non pertinenti (in quanto relative alla previdenza del personale degli enti locali), o da sopprimere o incomplete (con riferimento ai principi fondamentali in materia di libertà ed attività sindacale); è stata evidenziata anche la non corretta individuazione di alcune disposizioni del Codice relative alle finalità di rilevante interesse pubblico perseguite dall´ente.

Particolari indicazioni fornite in sede di parere

Ulteriori condizioni sono state fissate dall´Autorità a proposito della necessità di enucleare distinte schede per disciplinare le attività effettuate a fini di ricerca scientifica (distinguendo ulteriormente quelle di ricerca medica, biomedica ed epidemiologica dalle altre relative alla restante attività di ricerca) e quelle di natura amministrativa correlate ad attività di prevenzione, diagnosi e cura della salute dei soggetti assistiti dal Servizio sanitario nazionale. Il Garante ha fornito altresì indicazioni in ordine alla necessità di specificare, anche per categorie, i destinatari delle comunicazioni dei dati, di eliminare il riferimento a trattamenti di dati giudiziari già oggetto dell´autorizzazione generale n. 7/2005 [doc. web n. 1203942] e di comprovare l´indispensabilità dell´utilizzo di dati relativi alle convinzioni religiose per perseguire le attività connesse all´esercizio di libertà ed attività sindacali (Parere 8 febbraio 2006 [doc. web n. 1244717]).

Analoga valutazione sull´indispensabilità dei dati è stata prescritta ad un altro ente di ricerca (la Stazione zoologica "Anton Dohrn"), a proposito di alcune comunicazioni di dati prospettate, e in relazione all´utilizzo di informazioni attinenti all´origine razziale o etnica per perseguire attività relative all´instaurazione e gestione dei rapporti di lavoro, nonché di promozione e formazione nella ricerca scientifica e di corresponsione di compensi e rimborsi ai componenti degli organi statutari e delle specifiche commissioni dell´ente. Inoltre, le finalità di gestione dei rapporti con i predetti componenti non sono state ritenute ricomprese in quelle di promozione e formazione nella ricerca scientifica; si è quindi evidenziata  la  necessità  di  disciplinarle  in  una  scheda  distinta  (Parere  23  febbraio  2006 [doc. web n. 1246894]).

Specifiche integrazioni sono state parimenti prospettate, quale condizione per l´acquisizione di un parere favorevole, all´Istituto nazionale di alta matematica "Francesco Severi", nel cui schema di regolamento non risultavano contemplate alcune operazioni essenziali a realizzare attività indicate nello schema stesso e strettamente connesse alla finalità di instaurazione e gestione di rapporti di lavoro (Parere 23 febbraio 2006 [doc. web n. 1246888]).

Anche lo schema curato dall´Istituto nazionale economia agraria (Inea) è stato oggetto di indicazioni specifiche. Al riguardo, il Garante ha chiesto di modificare alcuni riferimenti normativi (ritenuti incompleti o inidonei a legittimare le operazioni indicate) e di integrare una scheda con l´indicazione specifica dei tipi di dati utilizzati, che venivano invece menzionati soltanto nella sintetica descrizione del trattamento (Parere 16 febbraio 2006 [doc. web n. 1244652]).

2.3. Trasparenza dell´attività amministrativa e accesso ai documenti 

Le problematiche legate ai rapporti intercorrenti tra la trasparenza dell´attività amministrativa e la protezione dei dati personali continuano ad essere fonte di alcuni dubbi interpretativi presso taluni operatori: anche nel 2005 sono pervenuti numerosi quesiti riguardanti i limiti del diritto all´accesso ai sensi della l. 7 agosto 1990, n. 241, come pure al diritto di accesso riconosciuto ai consiglieri comunali e provinciali ai sensi dell´art. 43 del d.lg. 18 agosto 2000, n. 267.

Su tali aspetti, l´Autorità è stata tra l´altro interpellata da un comune, sia in ordine alla possibilità di ottemperare alla richiesta presentata da un cittadino, ai sensi della l.n. 241/1990, di rilasciare copia di documenti ed informazioni riguardanti l´esito di alcuni procedimenti disciplinari nei confronti di un dipendente, sia relativamente ad una richiesta avente analogo oggetto, formulata da un consigliere comunale ai sensi dell´art. 43 del d.lg. n. 267/2000 (Nota 13 luglio 2005).

Linee generali

Sotto il primo profilo è stato ribadito il consolidato orientamento dell´Autorità ricordando nuovamente che il Codice non ha abrogato le norme vigenti in materia di accesso ai documenti amministrativi (artt. 59 e 60). Spetta all´amministrazione destinataria della richiesta di accesso verificare, caso per caso, l´interesse e i motivi sottesi alla relativa istanza, e valutare la sussistenza delle ragioni per le quali il documento può essere sottratto, anche temporaneamente, alla conoscenza del richiedente.

Con riferimento, invece, alla possibilità di consentire ad un consigliere comunale l´acquisizione delle predette informazioni, l´Ufficio del Garante ha ribadito che, anche in tali ipotesi, il Codice non ha abrogato o modificato la specifica disposizione di legge che riconosce ai consiglieri comunali e provinciali il diritto di ottenere dagli uffici del comune, compresi enti ed aziende collegati, informazioni utili all´espletamento del loro mandato, nel rispetto del segreto d´ufficio, ma anche del principio di pertinenza e non eccedenza nel trattamento dei dati.

Principi analoghi sono stati richiamati nella risposta fornita ad un cittadino, il quale si era rivolto all´Autorità lamentando la presunta illegittimità del comportamento tenuto da un comune (Nota 9 novembre 2005). L´ente aveva reso disponibili a terzi i documenti presentati e sottoscritti dall´interessato, il quale, nell´ambito di una segnalazione all´amministrazione comunale, aveva evidenziato problemi di edilizia privata riguardanti il condominio di propria residenza. Al riguardo, è stato sottolineato che l´amministrazione destinataria della richiesta di accesso è tenuta a valutare l´interesse e i motivi sottesi alla relativa istanza alla luce delle norme vigenti in materia di accesso ai documenti amministrativi, le quali attribuiscono il diritto di prendere visione e di estrarre copia di documenti amministrativi ai soggetti privati che abbiano un interesse diretto, concreto e attuale, corrispondente ad una situazione giuridicamente tutelata e collegata al documento al quale è chiesto l´accesso (artt. 22 ss. l.n. 241/1990, come modificata dalla l.n. 15/2005).

Con riferimento ad una richiesta di intervento presentata da un cittadino che aveva interpellato l´Autorità al fine di vedere soddisfatta una sua istanza di accesso rivolta ad una sede Inps, è stato ricordato che le scelte effettuate dall´amministrazione, in caso di diniego dell´accesso, espresso o tacito, o del suo differimento sono più propriamente sindacabili dinanzi al tribunale amministrativo regionale, ovvero mediante richiesta di riesame della suddetta determinazione, al difensore civico competente per ambito territoriale, in base all´art. 25, l.n. 241/1990, come modificato dalla l.n. 15/2005 (Nota 6 dicembre 2005).

Ulteriori precisazioni in merito sono state fornite ad alcuni cittadini i quali, in qualità di richiedenti l´accesso a taluni atti amministrativi, nel lamentare la comunicazione delle loro generalità al controinteressato da parte del comune interpellato, avevano richiesto all´Autorità la determinazione del risarcimento dei danni. A tal proposito, è stato evidenziato (Nota 17 gennaio 2006), da un lato, che le pubbliche amministrazioni, destinatarie di una richiesta di accesso agli atti ed ai documenti da esse detenuti, sono tenute a comunicare l´avvio del procedimento ai soggetti nei confronti dei quali il provvedimento finale è destinato a produrre effetti diretti ed a quelli che per legge debbono intervenirvi (art. 7 l.n. 241/1990); dall´altro, che l´Autorità non è competente in relazione alle richieste risarcitorie, fermo restando il diritto della persona interessata, che ritenga di aver subito un danno non patrimoniale–per effetto del trattamento di dati personali, di far valere le proprie pretese risarcitorie davanti all´autorità giudiziaria ordinaria, ove ne ricorrano i presupposti (art. 15 del Codice).

Ulteriori questioni interpretative sono state poste dall´Agea (Agenzia per le erogazioni in agricoltura) con riferimento alla possibilità di fornire l´elenco nominativo dei beneficiari dei fondi comuni nel settore dell´agricoltura (Feoga) ad una giornalista che intendeva diffonderli durante una trasmissione televisiva (Nota 30 settembre 2005).

Beneficiari dei fondi nel settore dell´agricoltura

In proposito è stata richiamata preliminarmente l´attenzione del principio generale operante per i soggetti pubblici, secondo cui i dati personali possono essere comunicati a privati richiedenti in tutti i casi in cui tale comunicazione sia prevista o consentita da una disposizione di legge o di regolamento (art. 19, comma 3, del Codice). Nel ricordare che l´Autorità si era già espressa in passato nei confronti dell´Agea a proposito delle informazioni contenute nel Sistema informativo agricolo nazionale (Sian), rilevando che il registro delle quote-latte è consultabile integralmente da chiunque ne avesse interesse, in quanto tale regime di conoscibilità risulta espressamente disciplinato da una disposizione regolamentare (art. 3, comma 2, d.m. 31 luglio 2003 Min. politiche agricole), è stato sottolineato come debbano essere verificate anche in tal caso le disposizioni vigenti applicabili all´Agenzia, con particolare riferimento a quelle in materia di accesso.

L´Autorità ha fornito indicazioni relativamente all´accesso, da parte di un giornalista, ai dati contenuti nell´anagrafe delle prestazioni e degli incarichi conferiti ai pubblici dipendenti presso il Dipartimento della funzione pubblica (art. 24, comma 1, 30 dicembre 1991, n. 412). è stato chiarito che la normativa di riferimento si limita a stabilire, per le pubbliche amministrazioni, l´obbligo di comunicare al Dipartimento i compensi percepiti dai propri dipendenti anche per incarichi relativi a compiti e doveri d´ufficio, essendo le stesse tenute, altresì, a comunicare semestralmente l´elenco dei collaboratori esterni e dei soggetti cui sono stati affidati incarichi di consulenza, con l´indicazione della ragione dell´incarico e dell´ammontare dei compensi corrisposti (artt. 7, comma 6, e 53, comma 14, d.lg. 30 marzo 2001, n. 165), senza che sia però disciplinato il profilo relativo alla conoscibilità dei dati in questione.

Prestazioni e incarichi conferiti ai pubblici dipendenti

Pertanto, i predetti documenti possono formare oggetto di accesso ai sensi della legge n. 241/1990 e dell´art. 59 del Codice: spetta quindi al medesimo Dipartimento –quale amministrazione destinataria della richiesta di accesso– verificare se l´istanza del giornalista sia accoglibile o meno, in base all´interesse e ai motivi rappresentati, tenendo anche conto della prima giurisprudenza amministrativa formatasi a proposito del diritto di critica e di cronaca, quale "diritto" autonomo che potrebbe giustificare una richiesta di accesso a documenti. Non si pongono problemi, invece, per la pubblicazione di dati anonimi o riepilogativi attinti da tabelle a carattere esclusivamente statistico, prive di dettagli correlabili a nominativi (cfr.art. 53, comma 16, d.lg. n. 165/2001).

2.4. Il principio del "pari rango"

Le problematiche applicative derivanti dal contemperamento del diritto di accesso agli atti ed ai documenti amministrativi, da un lato, e del diritto alla riservatezza dall´altro, emergono con maggiore evidenza nell´ipotesi in cui i documenti amministrativi di cui si richiede l´ostensione contengono dati idonei a rivelare lo stato di salute o la vita sessuale. In tale ipotesi, il trattamento è consentito laddove la situazione giuridicamente rilevante, che si intende tutelare con la richiesta di accesso, sia di rango almeno pari ai diritti dell´interessato, ovvero consista in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile (art. 60 del Codice) (v. già il Provv. 9 luglio 2003 [doc.  web n. 29832], in Relazione 2003, p. 64).

In merito, l´Autorità ha rilevato in termini generali che, per il rilascio di copia della documentazione sanitaria relativa ad un ricovero ospedaliero, richiesta da un soggetto diverso dall´interessato e, in particolare, dal difensore nell´ambito delle indagini effettuate nell´interesse di due soggetti indagati per fatti connessi al ricovero medesimo, non è necessario ottenere una specifica autorizzazione del Garante laddove le richieste siano formulate nei confronti di organismi sanitari in conformità alla legge, anche sotto il profilo della disciplina delle investigazioni difensive introdotta dalla legge 7 dicembre 2000, n. 397 (Nota 28 aprile 2005).

Finalità di investigazione difensiva

In tal caso, spetta però all´amministrazione destinataria della richiesta non solo accertare, caso per caso, la sussistenza dei presupposti per l´esercizio della facoltà riconosciuta al difensore dalla citata disciplina, ma operare anche un´attenta valutazione dei diritti coinvolti, al fine di stabilire se il diritto che il soggetto intende far valere, sulla base della documentazione richiesta, possa essere appunto considerato "di pari rango" rispetto a quello della persona cui si riferiscono i dati (artt. 92, comma 2, 71 e 60 del Codice).

Analoghe considerazioni sono state sviluppate con riferimento alla richiesta di un´"autorizzazione" ad ottenere copia della cartella clinica redatta in riferimento allo stato di salute di un dipendente, e relativa all´accettazione in pronto soccorso per un incidente occorsogli sul luogo di lavoro, al fine di consentire la difesa in giudizio del datore di lavoro (Nota 8 novembre 2005).

Cartella clinica di un dipendente infortunato in servizio

L´Ufficio del Garante ha evidenziato ulteriormente che, nell´ipotesi in cui venga presentata ad una amministrazione pubblica una richiesta di accesso agli atti relativi all´attribuzione del punteggio conferito a singoli dipendenti nell´ambito di una graduatoria di trasferimento provinciale, laddove il punteggio analitico attribuito nelle graduatorie di trasferimento contenga anche dati idonei a rivelare lo stato di salute, l´amministrazione interpellata può accogliere l´istanza sempreché, a seguito di una valutazione dei diritti coinvolti, valuti che il diritto che il terzo intende far valere sulla base delle informazioni o della documentazione richiesta possa essere considerato "di pari rango" rispetto a quello della persona cui si riferiscono i dati (Nota 17 gennaio 2006).

Graduatorie di trasferimento

2.5. Pubblici registri, elenchi, atti e documenti conoscibili da chiunque

Il Garante si è pronunciato su alcune questioni relative al trattamento dei dati contenuti in pubblici registri, elenchi, atti e documenti conoscibili da chiunque, con particolare riferimento al Casellario informatico delle imprese in relazione alla trasparenza negli appalti.

Casellario informatico delle imprese

In sede di esame di un ricorso, il Garante si è occupato ad esempio del regime di comunicazione e di pubblicità di tale Casellario. In esso, sono contenute le attestazioni relative alle imprese appaltatrici di lavori pubblici rilasciate dagli organismi che ne accertano i requisiti, nonché le comunicazioni dei soggetti pubblici che riferiscono sull´andamento degli appalti; tra le informazioni acquisite al Casellario, rientrano anche i casi di esclusione per collegamento sostanziale, trattandosi di ipotesi ritenuta lesiva della par condicio tra concorrenti e della segretezza delle offerte [doc. web n. 1151205].

Rispetto a questa stessa ipotesi, una società ha richiesto la cancellazione delle informazioni dal Casellario, sostenendo che era illecita tanto l´iscrizione, quanto la diffusione on-line sul sito web dell´Autorità di vigilanza per i lavori pubblici, trattandosi di operazioni ritenute prive di fondamento normativo. Il Garante ha invece ritenuto lecita, alla luce della vigente normativa, l´iscrizione nel Casellario da parte dell´Autorità di vigilanza anche dei dati relativi al "collegamento sostanziale", nonché la loro comunicazione ad altri organi per fini di piena trasparenza delle operazioni di appalto. É risultata, invece, ingiustificata, secondo la disciplina vigente, la diffusione delle informazioni tramite il sito Internet della stessa Autorità, alla luce della specifica disciplina applicabile.

Dopo l´intervento del Garante, l´Autorità di vigilanza per i lavori pubblici ha quindi sospeso la visibilità in Internet dei dati oggetto del ricorso ed ha comunicato di aver istituito un gruppo di lavoro per la revisione del Casellario sotto il profilo dell´individuazione di corrette modalità di diffusione e di tempi di conservazione adeguata delle informazioni.

La legge finanziaria per il 2005 ha introdotto una disposizione che vieta, di regola, la riutilizzazione commerciale delle informazioni contenute negli archivi catastali e nei pubblici registri immobiliari tenuti dagli uffici dell´Agenzia del territorio (art. 1, commi 367 e ss., l.n. 311/2004).

Ipoteche

L´eventuale possibilità di riutilizzare per fini commerciali tali informazioni è stata subordinata alla stipula di specifiche convenzioni con la stessa Agenzia, le quali devono disciplinare, a fronte del preventivo pagamento dei tributi dovuti, le modalità e i termini della raccolta, della conservazione, dell´elaborazione dei dati, nonché il controllo del limite di riutilizzo consentito. A tale scopo, il Garante ha promosso la sottoscrizione del codice deontologico previsto in materia (artt. 61 e 118 del Codice), anche al fine di garantire il rispetto dei diritti degli interessati e del principio di compatibilità della riutilizzazione con gli scopi per i quali i dati sono stati originariamente raccolti; principio del quale l´Agenzia del territorio dovrà tenere conto qualora intenda delimitare, nel rispetto dei principi di pertinenza e non eccedenza, le modalità di riutilizzazione dei dati da parte dei soggetti convenzionati (Provv. 25 maggio 2005 [doc. web n. 1131826]).

2.6. Documentazione anagrafica e materia elettorale

Le problematiche riguardanti la materia anagrafica hanno impegnato l´Autorità su diversi fronti nel corso del 2005.

In particolare, in diverse occasioni l´Autorità è stata chiamata ad occuparsi della conformità al Codice della trasmissione a soggetti privati di informazioni contenute negli archivi anagrafici, con particolare riferimento allo stato di famiglia (Note 17 gennaio 2006).

In proposito, è stato ricordato che la specifica disposizione contemplata nel regolamento anagrafico la quale l´ufficiale dell´anagrafe rilascia, a chiunque ne faccia richiesta, i "certificati concernenti la residenza e lo stato di famiglia" degli iscritti all´anagrafe (art. 33 d.P.R. 30 maggio 1989, n. 223)–costituisce un´idonea fonte normativa per la comunicazione all´esterno di dati personali da parte di soggetti pubblici (art. 19, comma 3, del Codice).

Sono state poi distinte le predette ipotesi da quelle in cui si intenda attivare un flusso di dati anagrafici verso soggetti pubblici. Sul punto, è stato tra l´altro chiarito, ad esempio, che l´università può svolgere senza particolari difficoltà le proprie attività stante la possibilità di accedere, con cadenza regolare, ai dati anagrafici dei nuovi nati presso gli uffici anagrafici di un comune, al fine di poter inviare alle famiglie materiale informativo riguardante progetti di ricerca sullo sviluppo cognitivo, linguistico e socio-affettivo del bambino nei primi tre anni di vita (Nota 25 febbraio 2005). La possibilità del rilascio, anche periodico, di elenchi degli iscritti nell´anagrafe della popolazione residente, è infatti previsto rispetto alle pubbliche amministrazioni "che ne facciano motivata richiesta, per esclusivo uso di pubblica utilità" (art. 34, comma 2, d.P.R. n. 223/1989); pertanto, ove l´amministrazione comunale interpellata valuti che la motivata richiesta dell´università di utilizzare i predetti elenchi anagrafici sia finalizzata ad un uso di pubblica utilità, si può accedere ai predetti elenchi, in conformità alla previsione dell´art. 19, comma 2, del Codice, che autorizza la comunicazione di dati personali tra soggetti pubblici qualora ciò sia previsto da norme legislative o regolamentari.

Accesso delle università

E´ risultato inoltre particolarmente significativo l´intervento del Garante resosi necessario a seguito di segnalazioni concernenti alcuni accessi illeciti a dati anagrafici detenuti presso il Comune di Roma, in correlazione ad un caso di falsa sottoscrizione di candidature alle elezioni regionali del 3 e 4 aprile 2005. L´Autorità ha effettuato una serie di accertamenti ispettivi, anche nell´esercizio di funzioni di polizia giudiziaria, che hanno portato all´adozione di un provvedimento che ha preso in esame diversi profili problematici (Provv. 6 ottobre 2005 [doc. web n. 1179484], pubblicato in G.U. 24 ottobre 2005, n. 248).

Caso "Laziomatica"

In primo luogo, è stato rilevato che da parte di Laziomatica S.p.A. (società per azioni a prevalente capitale regionale istituita dalla Regione Lazio per la gestione del Sistema informativo regionale-Sir: v.l.r. 3 agosto 2001, n. 20) erano stati effettuati accessi illeciti ad una banca dati anagrafica del Comune di Roma, che la stessa Regione sarebbe autorizzata a consultare solo per determinate finalità sanitarie, in base al "Protocollo di intesa per la cooperazione nello sviluppo dei servizi al cittadino" sottoscritto il 12 maggio 2004 allo scopo di permettere uno scambio di dati tra i due enti per effettuare verifiche attinenti solo a prestazioni sanitarie (ticket, scelta del medico); con la possibilità di accedere direttamente agli stessi dati anagrafici detenuti dal Comune.

Il Garante ha pertanto prescritto ai sensi dell´art. 154, comma 1, lett. c), del Codice, alla Regione Lazio e Laziomatica S.p.A., di osservare le regole concernenti sia il ruolo del responsabile e degli incaricati del trattamento (artt. 29 e 30), sia la definizione dei rispettivi compiti e le rigorose istruzioni da impartire, adeguando entro 180 giorni i rapporti tra loro intercorrenti. La Regione e il Comune sono stati invitati anche a rivedere entro il medesimo termine il Protocollo di intesa, per permettere alla prima di continuare ad ottenere speditamente e on-line la conferma dei dati anagrafici necessari per varie prestazioni sanitarie, senza che ciò comporti la possibilità di consultare direttamente e liberamente la banca dati anagrafica della popolazione.

In secondo luogo, è emerso che, nella prassi amministrativa osservata presso il Comune di Roma nei rapporti con numerosi enti, ivi inclusa la Regione, veniva consentita la consultazione diretta per via telematica di dati anagrafici mediante un meccanismo di cd. "anagrafe aperta"; in altri termini, i dati anagrafici venivano riportati in un cd. "data base popolazione" contenente numerose ulteriori informazioni (relative anche a "vaccinazioni, elettorale, leva militare" o alla carta d´identità ed al codice fiscale). In tal modo, si era realizzato un sistema di impropria consultazione diretta di dati anagrafici da parte di personale comunale non facente parte dei servizi di anagrafe e di stato civile (centrali e dei municipi), nonché, soprattutto, da parte di numerosi soggetti esterni al Comune di Roma (amministrazioni centrali, militari e sanitarie; uffici giudiziari ed enti locali; ecc.). La consultazione diretta veniva consentita senza verificare né la concreta motivazione di pubblica utilità in base alla quale veniva richiesto di conoscere i dati anagrafici, né le singole utilizzazioni dei dati consentite a regime presso enti a struttura complessa che perseguono differenti finalità.

Il Garante ha rilevato che il predetto sistema si discostava dal quadro normativo vigente: l´ufficiale d´anagrafe può infatti rilasciare solo attestazioni o certificazioni relativamente al contenuto delle schede che compongono l´anagrafe della popolazione residente, ed entro certi limiti può anche rilasciare elenchi. Ad eccezione del personale autorizzato delle forze di polizia, le medesime schede non possono però essere consultate direttamente da parte di chi, pur facente parte del personale comunale, sia estraneo all´ufficio di anagrafe (artt. 1, 33, 34 e 37 d.P.R. 30 maggio 1989, n. 223). L´utilizzo di elenchi di dati anagrafici è consentito anche da parte del comune che detiene i dati, per fini di comunicazione istituzionale, ma sempre su motivata richiesta volta "interna" all´ente–(art. 177, comma 1, del Codice). Altri soggetti anche privati possono ottenere solo dati anagrafici resi anonimi ed aggregati, su richiesta e per fini statistici e di ricerca (art. 34, comma2, d.P.R. n. 223/1989).

Il Codice, pur non avendo inciso sulla portata delle predette disposizioni sull´anagrafe della popolazione, ha però ribadito la necessità del perdurante rispetto delle vigenti norme che regolano la conoscibilità e la pubblicità di taluni atti (cfr., ad es., gli artt. 19, comma 3, 24, comma 1, lett. c), 59 e 61 del Codice), che subordinano la consultazione di materiale documentale al rispetto di determinati limiti temporali (ad es., con esclusione dei periodi in cui un elenco è in fase di aggiornamento) o soggettivi, oppure di talune modalità (ad es., documentazione dell´identità del soggetto che intende consultare un registro) o finalità (ad es., fini statistici e di ricerca).

Anche in relazione a questo elemento di illiceità del trattamento, il Garante ha fissato un termine di 180 giorni, entro i quali il Comune di Roma è stato richiesto di individuare un diverso meccanismo che, pur permettendo di comunicare i dati richiesti (quali le richieste di certificazione o attestazione, oppure di rilascio di elenchi ad amministrazioni pubbliche motivato da ragioni accertate di pubblica utilità), permetta di perseguire le finalità di snellimento e di efficienza dell´azione amministrativa attraverso modalità di riscontro  anche  automatiche  e  per  via  telematica  che escludano,  però,  la  consultazione  diretta, anche on-line, degliatti di provenienza anagrafica da parte di soggetti interni ed esterni diversi da quelli preposti all´ufficio anagrafe.

Nel quadro delle iniziative di aggiornamento della normativa anagrafica, l´Autorità è stata invitata dal Ministero dell´interno (Dipartimento per gli affari interni e territoriali, Direzione centrale per i servizi demografici) a partecipare ai lavori del Comitato tecnico istituito per predisporre uno studio finalizzato alla revisione della predetta normativa, alla luce soprattutto delle innovazioni riguardanti l´Indice nazionale delle anagrafi ed il sistema di accesso ed interscambio anagrafico, nonché dei provvedimenti relativi a soggetti stranieri.

Comitato tecnico per la revisione della disciplina anagrafica

Con riferimento poi alle finalità di ricerca storica, l´Autorità è stata poi interpellata in ordine alle modalità di raccolta di dati anagrafici e di informazioni contenute nelle liste elettorali. Ad esempio, è stato chiesto di verificare la praticabilità della creazione di una banca dati contenente informazioni, estrapolate da pubblici registri, elenchi, atti o documenti conoscibili da chiunque e risalenti sino al 1950, concernenti cittadini deceduti emigrati all´estero nel secolo scorso, al fine di agevolare la ricerca delle proprie origini da parte di discendenti degli interessati. In proposito, nel richiamare la specifica disciplina di settore relativa anche alla consultazione degli archivi storici di enti pubblici, è stato evidenziato il diverso regime di conoscibilità previsto per le liste elettorali possono essere rilasciate in copia "per finalità di applicazione della disciplina in materia di elettorato attivo e passivo, di studio, di ricerca statistica, scientifica o storica, o carattere socio-assistenziale o per i perseguimento di un interesse collettivo o diffuso" (art. 177, comma 5, del Codice, che ha sostituito l´art. 51 d.P.R. 20 marzo 1967, n. 223)– da quello relativo ai dati anagrafici, previsto dal citato art. 33 d.P.R. n. 223/1989 (Nota 28 gennaio 2005).

Utilizzo di dati anagrafici per finalità di ricerca storica

2.7. Istruzione

2.7.1. Università

Si è registrata anche una proficua collaborazione con alcune istituzioni universitarie, nelle forme e modalità previste dal Codice. Un ateneo ha comunicato all´Autorità, ai sensi dell´art. 39 del Codice, l´intenzione di stipulare una convenzione con l´Azienda per il diritto alla studio universitario, per consentire un reciproco accesso ai dati personali degli studenti contenuti nei rispettivi archivi, al fine di controllare la veridicità delle autocertificazioni prodotte dagli studenti riguardo alla loro condizione economica.

Verifica delle autocertificazioni e diritto allo studio

L´Ufficio del Garante, nel riconoscere che sussistono in capo alle suddette amministrazioni compiti istituzionali di intervento diretti a rimuovere ostacoli di ordine economico e sociale per la concreta realizzazione del diritto agli studi universitari (d.P.C.M. 9 aprile 2001), ha precisato che, in virtù dei principi di pertinenza e non eccedenza dei dati trattati rispetto alle finalità perseguite, non dovrebbe essere consentito per tali finalità l´accesso ai dati personali degli studenti per gli interventi diretti alla totalità degli iscritti, potendosi ritenere lecito esclusivamente l´accesso alle informazioni personali dei soggetti che abbiano avanzato una specifica richiesta per usufruire di determinati benefici, in funzione della loro appartenenza a talune fasce di reddito, o del possesso di individuati meriti accademici (Nota 3 febbraio 2005).

Nei primi mesi del 2005, in occasione dell´emanazione dei decreti del Ministro dell´istruzione, dell´università e della ricerca riguardanti le modalità e i contenuti delle prove di ammissione ai corsi di laurea specialistica programmati a livello nazionale per l´anno accademico 2006–2007, l´amministrazione ha espresso l´intenzione di pubblicare sul proprio sito Internet i punteggi riferiti ai singoli argomenti di esame e al totale complessivo ottenuto da ciascun candidato, senza l´indicazione dei dati personali di quest´ultimo. Ciò, per consentire ai candidati di accedere, utilizzando chiavi personali (username e password), ad un´area riservata del sito Internet Cineca, per visualizzare il proprio elaborato (contraddistinto da un codice identificativo) e visionare la valutazione dei singoli argomenti d´esame, nonché il punteggio complessivo ottenuto. I testi di informativa da fornire ai candidati agli schemi di decreto–sono stati considerati conformi all´art. 13 del Codice (Parere 6 aprile 2006 [doc. web n. 1269403]).

Si è reso necessario un ulteriore intervento dell´Autorità in relazione a quanto disposto dal decreto del Ministro dell´istruzione, dell´università e della ricerca del 1° febbraio 2005, secondo il quale gli studenti iscritti all´ultimo anno della scuola secondaria superiore, interessati all´accesso ai corsi di laurea universitari, ai corsi delle istituzioni di alta formazione artistica e culturale, ai percorsi di istruzione e formazione tecnica superiore (Ifts), nonché all´inserimento nel mondo del lavoro, potevano preiscriversi all´università utilizzando un apposito modulo ad accesso libero, disponibile sul sito web del Ministero.

Preiscrizioni all´università per via telematica

In merito a quanto previsto nel decreto citato, adottato senza la prevista consultazione del Garante, è stato osservato che la raccolta dei dati sensibili in sede di prescrizione informatica, come disciplinata dal decreto stesso, non risultava lecita alla luce del principio di indispensabilità del loro trattamento. La preiscrizione rappresenta infatti non un atto formale di iscrizione, bensì un primo strumento per l´orientamento dello studente e per programmare l´offerta formativa. Un ulteriore elemento di criticità è stato ravvisato nella prevista confluenza dei moduli compilati dagli studenti in una banca dati consultabile da parte di diversi soggetti anche privati. Nella medesima occasione è stato inoltre rappresentato al Ministero l´obbligo di fornire comunque una specifica informativa agli studenti (Nota 18 febbraio 2005).

Infine, con riferimento allo schema di decreto relativo alle preiscrizioni universitarie per l´anno accademico 2006-2007, l´Autorità ha espresso parere favorevole riscontrando che è stata prevista soltanto la raccolta di dati personali non sensibili degli studenti. Il decreto ha inoltre disposto che i dati acquisiti siano resi accessibili (anche con modalità telematiche attraverso l´utilizzo di una specifica chiave di accesso) alle sole istituzioni formative nei riguardi delle quali lo studente abbia manifestato un interesse all´immatricolazione. Il testo dell´informativa da fornire agli studenti, allegato allo schema di decreto, è risultato conforme a quanto previsto dall´art. 13 del Codice (Parere 8 febbraio 2006 [doc. web n. 1244669]).

2.7.2. Scuola

Il Garante ha ricevuto numerosi reclami e segnalazioni da parte di genitori ed alunni, che lamentavano possibili violazioni della riservatezza in relazione alla predisposizione, da parte degli istituti scolastici, del "portfolio delle competenze individuali" (uno strumento didattico redatto dall´insegnante per ciascun alunno, che, oltre ai progressi formativi ed educativi dello studente, è stato predisposto per documentarne interessi, attitudini, aspirazioni personali emergenti nel corso degli anni scolastici).

Portfolio delle competenze individuali

Con il provvedimento generale del 26 luglio 2005 [doc. web n. 1155253], l´Autorità ha indicato agli istituti scolastici pubblici e privati le modalità per trattare lecitamente i dati personali in occasione della compilazione e gestione del "portfolio". L´Autorità ha stabilito che nel "portfolio" debbano essere inseriti solamente dati personali pertinenti e necessari per la valutazione e l´orientamento dell´alunno. I dati più delicati, in grado di rivelare particolari condizioni come lo stato di adozione o le malattie sofferte, possono essere annotati solo se strettamente indispensabili per la valutazione e l´orientamento dell´alunno.

In alcuni casi portati all´esame dell´Autorità, la raccolta di dati era risultata invece eccessiva ed ingiustificata, potendo far emergere informazioni particolarmente delicate sull´alunno (ad es. lo stato di adozione) o in quanto concernenti informazioni relative al suo profilo psicologico (descrizioni di paure e disagi), al suo stato di salute (eventuali ricoveri ospedalieri e patologie), al credo religioso, alla condizione sociale e familiare, o ad altri dati sensibili del minore.

In base alle garanzie richiamate dal Garante, ogni istituto scolastico è stato quindi richiamato ad adottare opportune misure per evitare la raccolta di dati non necessari, nonché per informare gli esercenti la potestà genitoriale sul trattamento dei dati personali dei minori. Ai genitori o ai legali rappresentanti devono essere garantiti tutti i diritti riconosciuti dal Codice (ad es., accesso ai dati, aggiornamento, integrazione, ecc.). Devono essere poi predisposte idonee misure di sicurezza, e va individuato un ridotto periodo di conservazione dei dati. Il Garante ha inoltre precisato che, alla fine del corso di studi, il "portfolio" deve essere rilasciato allo studente, affinché questi lo consegni, ove previsto, al proprio nuovo istituto scolastico.

Un ulteriore intervento si è avuto a seguito della segnalazione di un genitore che lamentava la raccolta, in occasione di una campagna di prevenzione delle malattie renali rivolta a tutti i bambini frequentanti le scuole elementari di un comune pugliese, di dati personali, anche sensibili, di minori, senza la previsione di idonee garanzie in merito ai soggetti che avrebbero avuto accesso a tali informazioni.

Campagne di sanitaria nelle scuole

Il progetto era stato promosso da alcuni istituti scolastici, da un circolo sportivo, da un istituto di credito e da alcune strutture sanitarie, anche private, operanti nel territorio. Nell´acquisire ulteriori elementi presso il segnalante e le predette strutture si è potuto anche rappresentare ai promotori dell´iniziativa la necessità di intervenire sulle relative modalità operative, al fine di individuare una differente procedura che consentisse ai genitori interessati di sottoporre i loro figli allo screening gratuito delle malattie renali, senza però dar vita a raccolte o comunicazioni di dati personali dei minori stessi non strettamente necessari.

La struttura promotrice della campagna di prevenzione ha compreso le problematiche relative al trattamento dei dati personali degli alunni e ha quindi modificato l´intero assetto del progetto, in modo da articolarlo non più attraverso la raccolta dei dati dei bambini interessati ad effettuare gratuitamente l´esame delle urine, bensì attraverso la distribuzione all´interno delle classi di un buono anonimo per l´esecuzione gratuita dell´esame, che il genitore interessato avrebbe potuto consegnare direttamente al laboratorio medico. È stato inoltre previsto che i risultati degli esami clinici effettuati fossero consegnati solo ai genitori dei bambini, non potendo, in ogni caso, essere conosciuti da parte delle strutture promotrici (Nota 15 aprile 2005).

A seguito di una segnalazione, l´Autorità ha appreso che un´associazione sportiva, all´interno di un progetto realizzato in collaborazione con enti locali e soggetti privati, volto ad offrire tre mesi di pratica sportiva gratuita agli alunni delle scuole pubbliche elementari e medie, effettuava un dettagliato screening medico, psicologico e motorio degli alunni anche in relazione alla loro anamnesi familiare. L´Ufficio ha invitato l´associazione sportiva a richiedere unicamente un certificato medico di idoneità fisica all´attività sportiva, anziché anche altra documentazione sanitaria, e a distruggere gli altri dati idonei a rivelare lo stato di salute del minore o della relativa famiglia, eventualmente già raccolti. All´associazione sportiva sono stati altresì segnalati gli obblighi in materia di misure di sicurezza e la necessità di informare in modo idoneo i legali rappresentanti degli alunni coinvolti (Nota 23 dicembre 2005).

Collaboratori tra istituzioni scolastiche e circoli sportivi

Il Garante ha bloccato la pubblicazione di alcuni risultati di una ricerca universitaria svolta in una scuola elementare, riportati in una tesi di laurea. Ciò in quanto alunni e genitori non erano stati informati né degli scopi dell´iniziativa, né della circostanza che la loro partecipazione era facoltativa.

Ricerche universitarie svolte nelle scuole

Il provvedimento di blocco adottato dall´Autorità ha riguardato le informazioni personali (in alcuni casi anche sensibili, in quanto idonee a rivelare aspetti della sfera psico-fisica dei genitori) raccolte tramite questionari sottoposti ad alcuni alunni delle elementari o elaborate nelle varie fasi della ricerca. Il Garante ha sottolineato che l´università, titolare del trattamento, per effettuare lecitamente la rilevazione dei dati a fini di ricerca, avrebbe dovuto informare adeguatamente i genitori delle predette circostanze (cfr. Newsletter 11-24 aprile 2005).

L´Autorità è intervenuta anche sulla distribuzione presso le scuole elementari di un questionario con il quale venivano raccolte informazioni sull´identità sessuale degli alunni e sugli eventuali interventi chirurgici cui essi erano stati sottoposti (Nota 14 luglio 2005). Dagli accertamenti effettuati è risultato che il questionario, realizzato dall´istituto di sessuologia di un´università, avrebbe dovuto essere inizialmente distribuito mantenendo l´anonimato degli alunni. Essendo stata riscontrata invece la mancanza della garanzia di anonimato, l´istituto scolastico ha bloccato la distribuzione dei suddetti questionari.

Sollecitata da un quesito formulato da un istituto scolastico, l´Autorità ha ricordato che specifiche disposizioni di legge attribuiscono ai comuni la vigilanza sull´adempimento dell´obbligo scolastico, prevedendo che il sindaco debba trasmettere ogni anno ai direttori didattici degli istituti scolastici l´elenco dei fanciulli che per ragioni di età sono soggetti all´obbligo scolastico, al fine di accertare l´eventuale inadempienza all´obbligo (art. 114 d.lg. 16 aprile 1994, n. 297). Tale comunicazione è risultata quindi lecita (Nota 17 giugno 2005).

Vigilanza sull´adempimento dell´obbligo scolastico

L´Autorità è nuovamente intervenuta in merito alla pubblicità dei risultati degli scrutini scolastici, essendo venuta a conoscenza da notizie stampa di iniziative promosse da alcuni presidi di istituti superiori per vietare di fotografare gli esiti finali degli scrutini pubblicati. Al riguardo, è stato precisato che nessuna norma del Codice preclude la piena pubblicità degli esiti scolastici, né la possibilità di accedere ai luoghi dove questi sono esposti e di trarne notizia prendendo appunti per usi personali, eventualmente anche attraverso foto da utilizzare ovviamente in maniera lecita. Nella medesima occasione è stato inoltre ricordato che i dati relativi agli esiti scolastici, per quanto riferiti a minori, non si qualificano di per sé come dati sensibili, non riguardando informazioni sullo stato di salute, le opinioni politiche, le appartenenze religiose, l´etnia o gli stili di vita, e consistendo piuttosto in dati "comuni" sul rendimento scolastico (cfr. Comunicato stampa 14 giugno 2005).

Pubblicazione degli esiti degli scrutini

A seguito di alcune notizie stampa, l´Autorità ha appurato la presenza sul web di numerose graduatorie permanenti contenenti dati personali, anche sensibili, del personale A.t.a. (assistenti amministrativi, tecnici di laboratorio e collaboratori ausiliari del Ministero dell´istruzione, dell´università e della ricerca). Su sollecitazione del Garante, detto Ministero ha diramato una circolare (28 novembre 2005, n. 2100) con cui, recependo le osservazioni formulate dall´Autorità, ha invitato tutti gli uffici scolastici regionali ad inserire nella graduatoria solo il nome e cognome e la posizione dell´interessato, omettendo qualsiasi altra informazione personale come, ad esempio, il domicilio, il recapito telefonico o la presenza di eventuali invalidità.

Graduatorie permanenti on-line

2.8. Notificazioni di atti e comunicazioni

Sono pervenute ancora all´Autorità numerose segnalazioni di cittadini concernenti notifica di atti giudiziari, verbali di contravvenzione, avvisi fiscali ed atti amministrativi.

L´Autorità ha ricordato che il Codice (art. 174), modificando alcune disposizioni dei codici di procedura civile e penale, oltre che di alcune leggi speciali, ha introdotto particolari modalità operanti per le notifiche da effettuare a persone diverse dal destinatario, al fine di tutelarne la riservatezza adottando accorgimenti che prevengano l´indebita conoscenza del contenuto dell´atto da parte di terzi.

Notificazioni

Tali novità hanno riguardato in modo particolare l´obbligo di inserire la copia dell´atto da notificare in una busta sigillata su cui va apposto solo il numero cronologico della notificazione, e di annotare tale attività nella relazione in calce all´originale e alla copia dell´atto stesso. Nessun segno o indicazione da cui possa desumersi il contenuto dell´atto può essere quindi apposto sulla busta. Si tratta poi di cautele operanti nel processo sia civile, sia penale, nonché per le notificazioni di sanzioni amministrative e di atti e documenti provenienti da organi delle pubbliche amministrazioni, se effettuate a soggetti diversi dagli interessati.

Altre segnalazioni hanno riguardato notificazioni di atti giudiziari eseguite in maniera non corretta; in particolare, le doglianze concernevano notifiche effettuate a persone diverse dai destinatari attraverso la consegna di plichi non sigillati. Gli uffici addetti alla notifiche sono stati richiamati al pieno rispetto delle norme poste a tutela della riservatezza dei destinatari degli atti.

L´Ufficio ha ricordato la liceità dell´utilizzo del fax come mezzo di comunicazione tra pubbliche amministrazioni in quanto espressamente consentito dalla legge, e di specificare che i dipendenti preposti all´invio e alla ricezione devono essere designati quali incaricati del trattamento rispettando anche le misure di sicurezza e gli obblighi di riservatezza previsti dal Codice (Nota 16 febbraio 2005).

Strumenti di comunicazione tra pubbliche amministrazioni

Con particolare riferimento, poi, all´attività svolta da un´azienda sanitaria, l´Autorità ha affermato che il ricorso a tale mezzo di comunicazione deve avvenire osservando comunque le dovute cautele, soprattutto per quanto riguarda informazioni sensibili, assicurandosi che soggetti diversi dall´interessato o non autorizzati al trattamento dei dati personali ne vengano a conoscenza. Nel caso di specie, nel corso di un procedimento di affido, alcuni assistenti sociali avevano inviato una comunicazione riservata al numero di fax del luogo di lavoro del genitore diverso da quello espressamente indicato come recapito per la corrispondenza relativa ai rapporti con il figlio minore.

Sono pervenute al Garante diverse segnalazioni relative al mancato rispetto delle nuove disposizioni relative alla pubblicità degli avvisi di vendita giudiziaria. Si è potuto quindi far notare che, con riferimento al processo esecutivo, l´art. 490 c.p.c. prevede ora l´omissione dell´indicazione del debitore, qualora l´annuncio sia inserito nei quotidiani o sia divulgato con le forme della pubblicità commerciale. Le informazioni relative al debitore possono essere comunque fornite dalla cancelleria del tribunale a chiunque vi abbia interesse, unitamente ad ogni altra ulteriore informazione ritenuta necessaria (Provv. 7 febbraio 2005 [doc. web n. 1103505]).

Vendite giudiziarie

Restano all´attenzione dell´Autorità le questioni emergenti dalle recenti modifiche dell´art. 490 c.p.c. che prevedono la pubblicazione su siti Internet dell´avviso, dell´ordinanza del giudice e della stima, nonché il regime di pubblicità ed il contenuto dell´istanza di vendita (art. 173 disp. att. c.p.c.), effettuata a cura del creditore procedente.

2.9. Attività fiscale, tributaria e doganale

Il Garante è intervenuto in merito ad alcune disposizioni introdotte dalla legge finanziaria per il 2005, volte a potenziare il patrimonio informativo a disposizione degli organismi preposti ai controlli fiscali e alla riscossione dei tributi, esaminandone i profili rilevanti per il trattamento dei dati personali (Provv. 25 maggio 2005 [doc. web n. 1131826]). Il nuovo assetto normativo ha infatti ampliato sensibilmente l´ambito applicativo delle disposizioni in materia di indagini bancarie da parte dell´amministrazione finanziaria con riferimento ai dati, alle notizie e ai documenti acquisibili dagli organi di controllo, agli operatori presso i quali questi ultimi possono intraprendere accertamenti, nonché ad alcune novità procedurali.

L´Autorità ha rilevato che l´utilizzazione dei dati personali deve avvenire sulla base di un preciso quadro di riferimento anche per ciò che riguarda i flussi tra l´amministrazione finanziaria e i destinatari delle richieste di informazioni, con particolare riferimento alla possibilità di accedere e di interconnettere informazioni contenute in altri archivi, nel rispetto dei principi di necessità e di proporzionalità nel trattamento dei dati. Il passaggio ad un sistema più efficiente di trasmissione delle informazioni necessarie alle indagini bancarie, basato solo sulla via telematica, deve garantire comunque il rispetto dei presupposti normativi, i quali giustificano soltanto verifiche mirate e relative a casi individuati selettivamente.

Il Garante ha inoltre precisato che è necessario individuare precise modalità di accertamento, delineando misure ed accorgimenti volti a garantire la sicurezza dei dati e il rispetto dei principi di selettività, proporzionalità e di pertinenza delle informazioni raccolte presso gli interessati e i terzi.

Non sono risultati, poi, adeguatamente tipizzati i contenuti informativi del sistema di comunicazione introdotto dalla legge finanziaria, stante il riferimento ampio e indistinto ad ogni tipo di dato o notizia relativi a soggetti indicati anche per categorie. L´esigenza di procedere solo a richieste selettive di dati, in rapporto a necessità effettive di verifica, è stata quindi avvertita dal Garante, in particolare per informazioni richieste cumulativamente o per intere categorie, tenendo conto dell´indeterminato ambito di oggettivo di riferimento delle richieste medesime.

La predetta legge finanziaria ha integrato le tipologie di dati che soggetti pubblici e privati devono trasmettere all´anagrafe tributaria (art. 7 d.P.R. n. 605/1973), prevedendo la trasmissione delle denunce di inizio attività presentate allo sportello unico comunale per l´edilizia, nonché delle informazioni catastali identificative dell´immobile contenute nei contratti di somministrazione. I decreti volti a disciplinare tali comunicazioni sono stati adottati senza il necessario interpello preventivo del Garante, circostanza che può determinare anche l´inutilizzabilità dei dati personali in tal modo raccolti, oltre che un vizio per violazione di legge.

Comunicazione all´anagrafe tributaria

Con il predetto provvedimento del 25 maggio 2005 il Garante ha quindi ravvisato l´esigenza che sia avviata, presso l´anagrafe tributaria, una verifica organica sull´effettiva necessità e proporzionalità della raccolta sistematica e generalizzata delle varie categorie di dati acquisite e disponibili, adottando anche modalità tecniche rispettose del Codice. In particolare, il Garante ha rilevato la necessità di verificare se, in rapporto alle finalità perseguite, sia sufficiente che l´Amministrazione finanziaria si limiti ad accedere per via telematica ai dati necessari alle verifiche, presenti presso banche dati pubbliche e private, evitando di duplicare in modo superfluo le medesime banche dati presso l´anagrafe tributaria, peraltro anche con possibili difficoltà di aggiornamento e nell´allineamento dei dati.

Con il medesimo provvedimento il Garante è intervenuto anche in riferimento all´operatività dell´anagrafe dei conti e dei depositi istituita con la legge n. 413/1991.

Anagrafe dei conti e dei depositi

Tutti i soggetti operanti nel settore finanziario devono rilevare e porre in evidenza i dati identificativi (compreso il codice fiscale) di tutti i soggetti che intrattengano qualsiasi rapporto o effettuino qualsiasi operazione di natura finanziaria. Ritenendo che il regolamento istitutivo della citata anagrafe debba essere modificato o integrato per essere adeguato alla nuova disciplina, il Garante ha segnalato la necessità di individuare soluzioni efficaci e rispettose dei principi in materia di protezione dei dati personali.

Il Garante ha espresso parere favorevole sullo schema di provvedimento predisposto dall´Agenzia delle entrate in merito all´adozione di specifiche tecniche per l´invio di comunicazioni telematiche in materia di indagini finanziarie, in attuazione di quanto previsto dalla legge finanziaria per il 2005 (Parere 21 dicembre 2005 [doc. web n. 1210095]).

Comunicazioni telematiche nelle indagini bancarie

Tale provvedimento, volto a ridurre i rischi di ingerenza di soggetti non autorizzati rispetto alla trasmissione cartacea delle comunicazioni, ha lasciato immutato l´iter procedimentale previsto per autorizzare l´inoltro delle richieste. Il provvedimento prevede che i dati acquisiti siano trattati nel rispetto dei principi di necessità, pertinenza e non eccedenza, e che la loro comunicazione avvenga mediante posta elettronica certificata. Si è incrementata così la sicurezza sulla provenienza della richiesta –anche grazie alla firma elettronica–, sull´integrità nella fase di trasporto del messaggio –attraverso la tecnica di cifratura mediante l´utilizzo di una coppia di chiavi asimmetriche–, nonché sulla ricezione esclusiva da parte dei legittimi destinatari.

Nell´ambito del medesimo provvedimento il Garante ha altresì valutato la conformità al Codice della nuova disciplina della dichiarazione stragiudiziale introdotta dalla legge finanziaria (cfr. par. 11.1).

2.10. Trattamenti effettuati presso regioni ed enti locali

Sono rimaste numerose le questioni interpretative portate all´attenzione del Garante da parte di regioni e di enti locali.

Tra le fattispecie di maggior rilievo generale, si ricorda quella evocata da una segnalazione che lamentava le modalità di gestione dei servizi pubblici presso un comune, affidata per alcune funzioni delicate –quali quelle relative alla gestione dell´ufficio anagrafe, dello stato civile e notifiche– a personale appartenente ad una società di diritto privato, nonché a volontari (Nota 3 agosto 2005).

Sono stati svolti anche accertamenti a seguito di una segnalazione relativa ad un comune che, nell´erogare un sussidio per mezzo di una banca convenzionata, avrebbe comunicato a quest´ultima dati sensibili del beneficiario (nella causale del mandato di pagamento era stato evidenziato il collegamento del sussidio con patologie di carattere psichiatrico: Nota 16 settembre 2005).

Il Garante ha adottato una decisione a seguito di un ricorso che contestava l´inoltro ai consiglieri comunali, da parte del sindaco, della copia di una lettera anonima che denunciava la gestione, ritenuta poco trasparente, di alcuni immobili comunali affidata ad una Onlus amministrata dalla ricorrente. Quest´ultima si è rivolta al Garante chiedendo, in particolare, la cancellazione e/o il blocco dei dati. Il Garante ha ritenuto infondate le richieste della ricorrente. Dalla documentazione in atti non è risultato che il trattamento dei dati fosse in termini generali illecito, anche per quanto riguarda la conservazione della lettera, considerato che la stessa, indirizzata al sindaco del comune, era stata acquisita lecitamente al protocollo (Provv. 14 luglio 2005 [doc. web n. 1157675]). La ricorrente aveva chiesto anche di far cessare il comportamento, ritenuto illegittimo, del sindaco (inoltro della nota ai consiglieri comunali). Il ricorso è stato dichiarato infondato anche in riferimento a tale profilo, in quanto la nota riguardava una questione di indubbio interesse istituzionale, relativa alla gestione di un bene di interesse turistico e culturale del comune resistente. Pertanto, la sua comunicazione (pur potendo essere auspicabilmente preceduta da una valutazione più specifica della necessità della sua comunicazione ai consiglieri, alla luce del principio di pertinenza e non eccedenza di cui all´art. 11 del Codice) non è stata ritenuta illecita, in relazione alla volontà, attestata dal sindaco, di informare i consiglieri comunali riguardo ad un documento che, per quanto anonimo, conteneva elementi rilevanti (per quanto da verificare nella loro veridicità) su una questione di interesse istituzionale. Tale valutazione è apparsa conforme sia al generale potere di controllo politico-amministrativo che la legge attribuisce al consiglio comunale (art. 42 d.lg. 18 agosto 2000, n. 267), sia alle specifiche funzioni di controllo attribuite ai singoli consiglieri (anche in riferimento alla possibilità di chiedere la convocazione del consiglio o di presentare, sulla questione in esame, interrogazioni e mozioni ai sensi degli artt. 39, comma 2, e 43, comma 1, del citato d.lg. n. 267/2000).

Dati di terzi in missive anonime acquisite agli atti comunali

Sono pervenute ancora, da regioni ed enti locali, richieste di valutazione del Garante ai sensi degli artt. 19, comma 2, e 39, comma 1, lett. a), del Codice, rispetto alla trasmissione ad altri soggetti pubblici di dati personali, ritenuti necessari per svolgere funzioni istituzionali da parte degli enti coinvolti in casi in cui mancano norme di legge o di regolamento che prevedano tale comunicazione. E´ pervenuta ad esempio una richiesta della Comunità montana del Lazio Castelli romani e predestini per accedere agli archivi informatici Agea contenenti i dati anagrafici e produttivi delle aziende olivicole e i frantoi operanti nel territorio, relativi alle campagne olearie 2002-2003 e 2003-2004; ciò, al fine di costituire una banca dati sotto la vigilanza dell´Agea (Nota 2 febbraio 2005).

Comunicazioni  ed interconnessioni tra enti locali ed altre amministrazioni

A tale proposito è stato ricordato che la comunicazione di dati è ammissibile se realmente necessaria in rapporto alle funzioni istituzionali; occorre in particolare che le modalità della comunicazione, specie nel caso di accesso on-line, rispettino il principio di pertinenza e non determinino, presso l´amministrazione ricevente, un afflusso di dati esuberante rispetto alle finalità perseguite (art. 11 del Codice). Per permettere all´Autorità una valutazione compiuta, è stato chiesto di precisare la motivazione in base alla quale si sarebbe reso necessario, per la comunità montana, acquisire i dati presso l´Agea, chiarendo, in particolare, se le medesime informazioni fossero conoscibili mediante accesso ad altre fonti documentali detenute da soggetti pubblici, se risultassero liberamente accessibili a chiunque e se riguardassero tutte le aziende, ovvero soltanto quelle che avessero presentato domande di finanziamenti comunitari all´Agea.

L´Autorità ha fornito ulteriori chiarimenti ad un comune che aveva prospettato la necessità di effettuare una serie di trasmissioni di dati personali a terzi (Nota 21 marzo 2005). Con riferimento alla necessità di comunicare dati alla provincia rispetto a servizi socio-assistenziali espletati da quest´ultima in regime di convenzione con i comuni (d.l. 18 gennaio 1993, n. 9, convertito in legge, con modificazioni, dall´art. 1, comma 2, l. 18 marzo 1993, n. 67), è stato evidenziato che, laddove detta comunicazione riguardi dati sensibili e giudiziari, non è possibile avvalersi dell´art. 39 del Codice, in quanto per il trattamento di tale categoria di dati da parte dei soggetti pubblici il Codice detta una specifica disciplina particolarmente stringente (artt. 20, 21 e 22). Nella medesima fattispecie, in relazione alla prevista apertura di banche dati personali da parte del comune ad una società per azioni concessionaria per l´accertamento e la liquidazione dell´imposta sulla pubblicità e di diritti sulle pubbliche affissioni, asseritamente necessaria per permettere la gestione del servizio di riscossione dei relativi tributi, è stata parimenti rilevata l´impossibilità di avvalersi della comunicazione al Garante ai sensi dell´art. 39 del Codice, in quanto la stessa è ammessa solo tra enti pubblici. A tale proposito è stata però evidenziata la possibilità di valutare se la relazione fra il comune e la società concessionaria avrebbe potuto essere inquadrata, previa apposita designazione, nell´ambito di un rapporto fra titolare (il comune) e responsabile del trattamento (il concessionario) ai sensi dell´art. 29 del Codice, designando anche i dipendenti del concessionario preposti alle operazioni di trattamento quali incaricati del trattamento (art. 30). Per quanto concerne, infine, la necessità rappresentata dal medesimo comune di trasmettere i ruoli tributari e patrimoniali ad una società concessionaria per la riscossione dei tributi comunali e delle entrate patrimoniali dell´amministrazione locale, è stato precisato che l´uso delle informazioni dei debitori iscritti a ruolo e dei relativi coobbligati risulta consentito unicamente nei limiti e con le modalità stabilite dall´art. 18 d.lg. 13 aprile 1999, n. 112 e dal relativo decreto attuativo del Ministero delle finanze del 16 novembre 2000.

L´Autorità ha concluso nel 2005 gli accertamenti avviati in relazione alle modalità di trattamento dei dati personali per finalità di gestione del servizio di raccolta differenziata dei rifiuti solidi urbani (cfr. Relazione 2003, p. 72). Ne è conseguita l´adozione di un provvedimento di carattere generale, risultato necessario per valutare congiuntamente il rispetto della disciplina sulla raccolta differenziata (che può comportare, quando è necessario, accertamenti sull´identità di contravventori passibili di sanzioni amministrative) con il diritto degli interessati a non subire violazioni ingiustificate della propria riservatezza, soprattutto in caso di indebita visione ed utilizzazione da parte di terzi di informazioni anche sensibili, quali quelle concernenti la salute (farmaci, prescrizioni mediche, ecc.) o le convinzioni politiche, religiose o sindacali, reperibili nei sacchetti o in contenitori analoghi di rifiuti (Provv. 14 luglio 2005 [doc. web n. 1149822]).

Raccolta differenziata dei rifiuti solidi urbani

Con il medesimo provvedimento il Garante ha anche risposto a vari quesiti di enti locali e a numerosi reclami e segnalazioni di cittadini i quali lamentavano una violazione della propria riservatezza in relazione alle modalità di raccolta differenziata dei rifiuti e ai controlli amministrativi. L´Autorità ha così individuato un quadro di garanzie per rispettare diritti e libertà fondamentali dei cittadini, prescrivendo ai comuni, titolari dei trattamenti di dati per finalità di gestione di servizi di raccolta differenziata, di adottare alcune misure necessarie per conformarsi ai principi del Codice, sul presupposto che la raccolta differenziata, prevista da specifiche norme, risponda ad un importante interesse pubblico.

In particolare, il Garante ha ritenuto che l´obbligo imposto da alcuni enti locali di utilizzare sacchetti trasparenti, anche di diverso colore a seconda dei materiali da inserire, per la raccolta "porta a porta" stimolando l´utenza ad una selezione responsabile dei materiali conferiti e favorendo il loro più efficace recupero–debba considerarsi in termini generali non proporzionato. Sproporzionata è risultata, altresì, la misura che obbligava ad applicare sul contenitore dei rifiuti targhette adesive riportanti "a vista" il nominativo e l´indirizzo della persona cui si riferiscono i rifiuti, in particolare se conferiti in strada.

Si è invece precisato che può ritenersi lecito contrassegnare il sacchetto dei rifiuti mediante un codice a barre relativo ai dati identificativi del soggetto (anche se collegato ad una banca dati anagrafica presso il comune), oppure fornire agli utenti appositi sacchetti dotati di microchip o, eventualmente, di dispositivi di Radio Frequency Identification (Rfid), poiché tali procedure permettono di limitare l´identificabilità del soggetto conferente ai soli casi in cui sia stata già accertata la violazione delle prescrizioni in ordine alla differenziazione. Infatti, al momento dell´apertura del sacchetto, i soggetti preposti alla verifica dell´omogeneità dei materiali inseriti vengono a conoscenza del suo contenuto, ma non anche degli elementi identificativi del soggetto conferente; per converso, i soggetti preposti all´applicazione della sanzione, mediante la decodifica del codice a barre o del microchip, acquisiscono il nominativo del soggetto cui il sacchetto si riferisce, in relazione all´accertata segnalazione di non conformità del conferimento, senza accedere al contenuto del sacchetto.

Il Garante ha anche ritenuto che le ispezioni dei sacchetti debbano ritenersi ammesse nei soli casi in cui il soggetto che abbia depositato i rifiuti con modalità difformi da quelle consentite non risulti in altro modo identificabile, dovendosi evitare la pratica di controlli generalizzati da parte del personale incaricato (agenti di polizia municipale; dipendenti di aziende municipalizzate) al fine di rinvenire nei sacchetti stessi elementi informativi. Tale conclusione resta valida anche quando la violazione consista nel mancato rispetto dell´orario di conferimento.

Quanto, infine, alle procedure di raccolta differenziata in apposite aree di conferimento (cd. ecopiazzole), è stato considerato lecito che i soggetti preposti alla loro gestione esigano l´esibizione di un documento di identità annotando il deposito del rifiuto in un registro recante il nome e l´indirizzo dei conferenti, la quantità approssimativa, nonché il tipo di materiale ricevuto, per la sola finalità di accertamento dell´effettiva residenza nel comune del conferente, nonché per evitare che lo stesso soggetto possa conferire i rifiuti in violazione dei limiti quantitativi ammessi.

Nonostante le indicazioni fornite con il citato provvedimento generale, risultano permanere tuttora comportamenti difformi rispetto a quanto prescritto, soprattutto con riferimento alla raccolta differenziata a domicilio. L´Ufficio ha in tali casi invitato il comune interessato a conformarsi entro breve termine alle prescrizioni ed a produrre ogni informazione utile a sostegno delle iniziative assunte, ricevendo un riscontro sul quale sono in corso ulteriori accertamenti (Nota 12 ottobre 2005).

Tra le questioni allo studio dell´Autorità concernenti l´attività degli enti locali e delle pubbliche amministrazioni in generale, è in corso di definizione quella relativa alla compatibilità con il Codice di alcuni contratti di sponsorizzazione.

Sponsorizzazione degli enti locali

2.11. Attività giudiziaria

Esprimendo, con un provvedimento del 27 ottobre 2005 [doc. web n. 1185160], le proprie valutazioni ai sensi dell´art. 17 del Codice (verifica preliminare in riferimento ai trattamenti dei dati personali diversi da quelli sensibili e giudiziari, che presentino rischi per i diritti e le libertà fondamentali nonché per la dignità dell´interessato), il Garante, attesa la finalità del progetto, ha considerato positivamente la scelta della caratteristica biometrica come credenziale di autenticazione dei soggetti abilitati, preventivamente designati quali incaricati del trattamento, ed ha apprezzato che le informazioni biometriche siano trattate solo in forma sintetizzata e compressa (cd. template), anziché in forma di immagine dattiloscopica, al fine di permettere un´autenticazione informatica locale.

Dopo aver richiamato la necessità del rispetto di tutte le norme contenute nel Codice in materia di misure di sicurezza (artt. 31 ss. e Disciplinare tecnico All. B) del Codice), l´Autorità ha, peraltro, ricordato che il sistema deve essere realizzato in armonia con i principi informatori del Codice, espressi in particolare nell´art. 11; ha quindi prescritto che vengano raccolti e trattati i soli dati pertinenti rispetto al perseguimento della finalità di realizzazione della Cmg, che i dati non siano utilizzati per altri scopi e che gli stessi vengano conservati per il solo tempo necessario per raggiungere la finalità dichiarata e successivamente distrutti. Il Garante ha, però, ritenuto che non sussistano esigenze di complessiva funzionalità del sistema o legate a specifiche finalità non altrimenti perseguibili (tale non potendo essere considerata, come previsto nel progetto, la finalità del rilascio di eventuali duplicati), tali da giustificare l´archiviazione delle informazioni biometriche in una banca dati centralizzata.

L´Autorità è intervenuta nuovamente, su richiesta di una camera di commercio, al fine di individuare precise garanzie per gli interessati nel quadro dell´attuazione di un progetto per lo sviluppo di metodi alternativi di risoluzione delle controversie in collaborazione con un tribunale e un consiglio dell´ordine degli avvocati. Rispetto alla definizione dei moduli operativi del progetto, basato comunque sull´adesione libera e volontaria degli interessati, sono state prescritte alcune misure a tutela della riservatezza, in particolare in tema di informativa, la quale dovrà essere resa più specifica, con riferimento alle modalità di trattamento e al periodo di eventuale conservazione temporanea dei dati presso la camera di commercio, anche in caso di insuccesso del tentativo di conciliazione, e sull´accessibilità dei dati personali contenuti nei fascicoli del tribunale, che non devono essere trattati dai rappresentanti della camera di commercio e dell´ordine (Nota 21 marzo 2005).

Metodi alternativi di risoluzione delle controversie presso la camera di commercio

Sono continuati nel 2005, e successivamente, i contatti con il Ministero della giustizia relativi al progetto volto a sperimentare un modello di giustizia riparativa nell´esecuzione penale, da realizzarsi attraverso percorsi di mediazione penale tra reo e vittima.

Mediazione penale e giustizia riparativa

Nel corso dei lavori della commissione di studio "Mediazione penale e giustizia riparativa", costituita presso il Dipartimento dell´amministrazione penitenziaria, sono state di seguito sottoposte alla valutazione dell´Autorità le modalità attuative del progetto, che concernono profili che attengono alla tutela della riservatezza, soprattutto per quanto riguarda le esigenze di protezione della vittima del reato.

Nell´istruttoria, anche in base alle informazioni trasmesse sia dalla Federazione, sia dalla Procura, è tuttavia risultato, in primo luogo, che il materiale probatorio era stato formalmente richiesto e lecitamente acquisito dalla Federazione in attuazione della legge sulla correttezza nello svolgimento di manifestazioni sportive (art. 2, comma 3, l.n. 401/1989), la quale permette agli organi della disciplina sportiva di chiedere copia degli atti di un procedimento penale ai fini esclusivi della propria competenza funzionale.

In secondo luogo, il Garante ha accertato che la Procura di Genova aveva trasmesso alla Federazione stralci delle trascrizioni e dei brogliacci relativi ai fatti oggetto dell´indagine penale, dai quali erano state omesse le parti di conversazioni di natura strettamente privata. Tali brani, in effetti, sono risultati espunti dalla relazione conclusiva che l´Ufficio indagini aveva trasmesso nel mese di giugno alla Procura federale della Federazione, e di essi non vi era traccia nelle decisioni assunte dalla commissione disciplinare nel successivo mese di luglio.

All´esito di tali risultanze, tenuto altresì conto del divieto di pubblicazione degli atti trasmessi dall´autorità giudiziaria gravante sulla Federazione ai sensi dell´art. 114 c.p.p., e del fatto che per l´attività degli organi di giustizia sportiva non è prevista alcuna forma di pubblicità degli atti, il Garante ha quindi ritenuto che non fossero emersi elementi per adottare un provvedimento inibitorio dell´ulteriore trattamento dei dati personali dell´interessato da parte della Federazione, adottando così una decisione di non luogo a provvedere sulla segnalazione (Provv. 3 agosto 2005 [doc. web n. 1153792]).