Diritti interna

Doveri interna

ricerca avanzata

Nota del Presidente del Garante, Antonello Soro, al Presidente del Consiglio dei Ministri, al Presidente della Conferenza delle regioni e delle province autonome e al Presidente dell'ANCI, in tema di trattamenti di categorie particolari di dati personali per motivi di interesse pubblico rilevante

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
9065601
Data:
27/11/18
Tipologia:
Note istituzionali

Nota del Presidente del Garante, Antonello Soro, al Presidente del Consiglio dei Ministri, al Presidente della Conferenza delle regioni e delle province autonome e al Presidente dell'ANCI, in tema di trattamenti di categorie particolari di dati personali per motivi di interesse pubblico rilevante 

 


Giuseppe Conte
Presidente del Consiglio dei Ministri

Stefano Bonaccini
Presidente della Conferenza delle regioni e delle province autonome

Antonio Decaro
Presidente ANCI - Associazione nazionale dei comuni italiani

 

 

Il Regolamento (UE) 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali (di seguito "Regolamento"), applicabile dal 25 maggio 2018 in tutti gli Stati membri dell’Unione europea, ha stabilito, all’art. 9, par. 1, un generale divieto di trattamento dei dati sensibili, oggi denominati "categorie particolari di dati personali", cioè dei dati che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, i dati genetici, i dati biometrici, i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona. 

L’art. 9, par. 2, lett. g, del Regolamento sancisce tuttavia una deroga a tale divieto, rispetto al trattamento delle richiamate categorie di dati necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato. Analoghe considerazioni possono in parte essere formulate in relazione ai dati relativi a condanne penali e reati di cui all’art. 10 del Regolamento.

Il legislatore nazionale ha definito "rilevante" l’interesse pubblico per il trattamento effettuato da soggetti che svolgono compiti di interesse pubblico o connessi all’esercizio di pubblici poteri nelle materie indicate dal comma 2 dell’art. 2-sexies, del d.lgs. 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali (di seguito "Codice", come recentemente modificato dal d.lgs. n. 101/2018).

Più in particolare, nella medesima disposizione viene altresì specificato che i trattamenti in questione sono ammessi qualora siano previsti dal diritto dell'Unione europea ovvero, nell’ordinamento interno, da disposizioni di legge o, «nei casi previsti dalla legge", di regolamento. Tali fonti normative devono specificare i tipi di dati che possono essere trattati, le operazioni eseguibili, il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato (cfr. art. 2-sexies, comma 1 per le particolari categorie di dati personali, nonché art. 2-octies, commi 3 e 5, per i dati relativi a condanne penali e reati e a connesse misure di sicurezza).

Mentre, con riferimento ai medesimi trattamenti, ai sensi del sistema previgente, si operava un generico rinvio ai regolamenti dei singoli soggetti pubblici (cfr. art. 20 del Codice, ora abrogato), nel nuovo sistema, la fonte regolamentare è idonea a disciplinare i dati personali in questione solo «nei casi previsti dalla legge".

Il richiamato inciso può ingenerare dubbi interpretativi in ordine alla necessità che la legge debba prevedere, nei singoli casi, quando un trattamento può essere disciplinato con fonte regolamentare. Tale interpretazione rischierebbe tuttavia di irrigidire eccessivamente la disciplina delle suddette categorie di dati precludendo, almeno nell’immediato, la possibilità di un opportuno aggiornamento dei regolamenti per il trattamento dei dati sensibili e giudiziari già adottati dai soggetti  pubblici. Aggiornamento, questo, invece auspicabile anche in ragione dell’estensione dell’ambito applicativo di tale disciplina ai soggetti privati che trattino particolari categorie di dati, per motivi di interesse pubblico rilevante, nelle materie previste (v. art. 22, comma 9, del d.lgs. n. 101/2018).

Per tali ragioni, il Collegio di questa Autorità, nell’adunanza del 21 novembre u.s., in assenza di ulteriori interventi normativi al riguardo e al fine di salvaguardare il vigente assetto di garanzie, ha ritenuto che la citata locuzione debba essere interpretata come un rinvio a tutti quei casi in cui il soggetto chiamato a disciplinare le particolari categorie di dati sia- in base a specifica disposizione legislativa- titolare di poteri regolamentari.

Tale interpretazione è peraltro compatibile con il Regolamento, il cui art. 9, par. 2, lett. g), individua il presupposto di legittimità  del trattamento nel "diritto degli Stati membri" genericamente inteso, non limitandolo esclusivamente alla legge (come del resto chiarito al considerando 41 del Regolamento stesso). 

Ne consegue che solo enti titolari - in base a disposizioni di legge - di potestà regolamentare avente carattere normativo (con esclusione, quindi, dei soggetti titolari di potestà regolamentare a rilevanza meramente interna), potranno continuare a individuare, con tale fonte, trattamenti di particolari categorie di dati personali e di dati relativi a condanne penali e reati. 

Per i soggetti sprovvisti di potestà regolamentare in senso proprio, invece, sarà l’amministrazione di riferimento, titolare dei poteri di vigilanza, indirizzo e controllo sugli stessi, a disciplinare, con proprio regolamento, il trattamento di particolari categorie di dati personali e di dati relativi a condanne penali e reati. 

In ogni caso, nelle more dei pur opportuni aggiornamenti, devono peraltro intendersi tuttora applicabili i vigenti regolamenti sui trattamenti di dati sensibili e giudiziari adottati secondo la disciplina previgente (art. 20, c.2 del Codice).

Antonello Soro