Il
CODICE PRIVACY NEGLI ENTI LOCALI
Il nuovo
codice della Privacy ( D.Lgs. 30 giugno 2003 n° 196), entrato in vigore il 1
gennaio 2004, introduce una razionalizzazione della normativa previgente sui
dati personali che trova, così, una sistemazione organica ponendo il nostro
Paese all’avanguardia rispetto ai partners europei in quanto primo esempio di
codice in materia di Privacy. Il codice va inquadrato nel contesto della
crescente attenzione che il nostro Paese dedica da qualche anno al tema della
protezione dei dati personali e deve essere, inoltre, considerato alla luce
delle preoccupazioni che investono i pubblici amministratori nel momento in cui
l’informatica accresce il proprio ruolo nella gestione dei procedimenti: come
conciliare l’e-government con il diritto alla riservatezza? Come conciliare
diritto di accesso e trasparenza amministrativa con la tutela dei dati
personali? Analizziamo alcune
innovazioni fondamentali che il nuovo Codice apporta al trattamento dei dati
personali nella Pubblica Amministrazione. In primis esso fissa alcuni principi
generali; l’art. 1 enuncia un principio generale che era soltanto
implicitamente desumibile dalla precedente normativa: recita, infatti,
testualmente “Chiunque ha diritto alla protezione dei dati personali
che lo riguardano”. Il successivo art. 2 introduce quei concetti di
semplificazione, armonizzazione ed efficacia già propri di norme come la
241/1990, concernente il diritto di accesso ai documenti amministrativi; anche
la trasparenza è garantita, infatti la persona fisica cui i dati si riferiscono
è pienamente tutelata nei propri diritti non solo di accesso ma anche di
controllo sulla provenienza dei dati posseduti dagli enti, con quali criteri e
per quali fini essi vengono gestiti. Sostanzialmente, l’elenco dei diritti che
l’interessato ha, resta immutato (diritto di cancellazione, di modifica,
ecc.). L’art. 3 sancisce e generalizza il Principio di necessità,
corollario dell’alto livello di tutela che il codice vuole imprimere ai dati
personali. Questo principio limita il trattamento dei dati personali ai soli
dati necessari. Coloro che trattano dati devono, di conseguenza, utilizzare con
moderazione le informazioni, evitando la raccolta e l’impiego di quei dati che
non siano effettivamente necessari e utilizzando, se sufficienti al trattamento,
quei dati aventi caratteristiche non invasive della sfera personale (dati
anonimi). Il Codice riserva una parte specifica alla statuizione di regole
generali, valide per tutti i trattamenti: il trattamento deve essere lecito,
corretto, connesso a scopi determinati, espliciti e legittimi, esatto,
aggiornato, pertinente, completo, non eccedente rispetto agli scopi e protratto
per il tempo strettamente necessario al raggiungimento dello scopo stesso, deve
essere legato ad una informativa completa all’interessato, all’atto della
raccolta o successivamente in caso di raccolta presso terzi; inoltre si rammenta
che le amministrazioni sono tenute a rendere oralmente o per iscritto tale
informativa e che la stessa deve essere inserita nei moduli per le dichiarazioni
sostitutive secondo il testo unico della documentazione amministrativa (DPR
445/2000), deve rispettare i codici di deontologia e buona condotta promossi dal
Garante, condizione di liceità e correttezza del trattamento stesso
relativamente a quei settori cui si riferiscono, deve sottostare a cautele
particolari nel caso di cessazione del trattamento, deve adottare misure e
accorgimenti a garanzia dell’interessato nel caso di trattamento di dati
semisensibili, cioè di trattamento di quei dati che comunque possono comportare
rischi specifici per i diritti e le libertà fondamentali dello stesso,
comporta, inoltre, la generalizzata
sanzione civilistica della “Responsabilità per l’esercizio di attività
pericolosa”, art. 2050 c.c., nel caso di danno derivante da violazione di
norme concernenti il trattamento, comprensiva anche del danno non patrimoniale.
Alle norme generali valide per tutti i trattamenti il Codice affianca una serie
di regole ulteriori operanti soltanto per i soggetti pubblici (artt. 18-22).
Occorre rilevare a tal fine come, per quanto riguarda la disciplina dei
trattamenti in ambito pubblico, il legislatore non abbia inciso particolarmente
lasciando sostanzialmente inalterata la disciplina ricompressa nella L. 675/96 e
nel D. Lgs. 135/99 contenete “Disposizioni integrative della legge 675/96 sul
trattamento dei dati sensibili da parte di soggetti pubblici”. Nell’art. 18
il legislatore codifica espressamente l’esenzione dei soggetti pubblici
dall’onere di preventiva richiesta del consenso dell’interessato, in
precedenza solo implicitamente desumibile dal vecchio testo normativo, salvo però
quanto previsto per gli esercenti le professioni sanitarie e gli organismi
sanitari pubblici. Questo significa che il consenso non ha, di regola, per la
P.A. alcuna utilità giuridica vanificando, dal punto di vista giuridico, quei
comportamenti, talvolta riscontrati nella pratica, in cui i Comuni hanno
ritenuto di rafforzare la liceità del trattamento richiedendo, per trattamenti
dotati di per sé dei requisiti di legge, anche il consenso dell’interessato.
L’articolo in esame, inoltre, ribadisce
che il trattamento dei dati personali è consentito solo per lo svolgimento
delle funzioni istituzionali: province e comuni, quindi, possono raccogliere e
gestire dati personali “comuni” cioè diversi da dati sensibili o giudiziari
anche in assenza di norma di legge o di regolamento che preveda espressamente il
trattamento specifico, ma solo nell’ambito delle proprie funzioni
istituzionali. Regole differenti, invece, valgono per il trattamento dei dati
sensibili e giudiziari ai quali vengono riservate una serie di cautele
aggiuntive, rispetto ai dati ordinari, tra le quali, per citare qualche esempio,
l’utilizzo di tecniche di cifratura per i dati utilizzati con strumenti
elettronici o la conservazione separata dei dati idonei a rivelare lo stato di
salute o i dati giudiziari. Inoltre, il trattamento dei dati sensibili è
consentito solo se autorizzato da espressa previsione di legge in cui sono
specificati i tipi di dati, le operazioni eseguibili e le finalità di rilevante
interesse pubblico perseguite. In mancanza di una norma di legge che li
specifichi, i tipi di dati e le operazioni eseguibili sono individuati dalle
amministrazioni pubbliche con regolamento da adottare entro il 30 settembre
2004. Novità del codice è che tale regolamento d’ora in poi, dovrà
conformarsi al parere espresso dal Garante anche su schemi tipo, pena l’illiceità del trattamento eventualmente posto in
essere. Significativa, anche se residuale, appare la possibilità, già peraltro
esistente nel D. Lgs. 135/99, di rivolgersi al Garante per chiedergli il
riconoscimento della rilevante finalità pubblica di quegli ulteriori
trattamenti che non siano stati dichiarati di rilevanza pubblica con norma di
legge. Anche in tal caso, è necessaria, da parte dei singoli enti, la
regolamentazione dei tipi di dati e di operazioni utilizzabili. Per quanto
riguarda le comunicazioni a terzi di dati, il Codice la consente solo quando è
ammessa da una norma di legge o di regolamento; se tuttavia la comunicazione dei
dati è rivolta ad altri soggetti pubblici, questa può prescindere da
un’espressa previsione di legge o regolamento, ma deve essere comunque
necessaria per lo svolgimento di funzioni istituzionali. In questo caso, è
necessaria una comunicazione al Garante e il trattamento potrà essere iniziato
solo decorsi quarantacinque giorni dal ricevimento della comunicazione salvo
diversa determinazione del Garante.Per quanto riguarda la figura del titolare
del trattamento, secondo l’interpretazione sostenuta dal Garante, nella PA il
titolare è l’Ente nel suo complesso. Il responsabile sarà solitamente il
dirigente o colui che occupa posizioni organizzative, e che dovrà
ricevere istruzioni in materia da parte di chi rappresenta
l’Amministrazione. Alcune novità riguardano la normativa degli incaricati,
che possono essere solo persone fisiche e non persone giuridiche,
che possono essere designate anche per relationem mediante “la
documentata preposizione della persona fisica ad un’unità per la quale è
individuato per iscritto l’ambito del trattamento consentito agli addetti
all’unità medesima”. Neppure il nuovo codice detta specifiche disposizioni
rispetto a soggetti, che pur estranei alla struttura organizzativa dell’Ente
svolgano per conto della P.A. attività di trattamento. Si pensi ai commissari
di concorso esterni, o ai collaboratori esterni del sistema informatico. Per
tali soggetti, appare necessario che si operi una specifica e formale
designazione a responsabile o ad
incaricato per conto dell’Ente, in modo da evitare paradossali complicazioni
nello svolgimento delle attività, quali ad esempio la necessità da parte di
questi soggetti di richiedere preventivamente
il consenso al trattamento dei dati. Ulteriore novità per la PA riguarda
la notificazione al Garante del trattamento dei dati, essa, infatti, si riduce
ulteriormente e rispetto alla precedente disciplina scompare del tutto la
notificazione semplificata prevista dal vecchio art. 7 L.
675/96. Resta l’adempimento della notificazione che è però ridotta a talune
tipologie di attività di trattamento, elencate all’art. 37 comma 1, le quali
sembrerebbero estranee all’ente locale; tuttavia occorre operare una verifica
concreta per escluderne l’attinenza rispetto all’Ente locale. La
notificazione al Garante va effettuata soltanto per via telematica utilizzando
il modello predisposto dal Garante e osservando le prescrizioni
da questo impartite. Riformulata appare poi la disciplina concernete le
misure di sicurezza, con l’introduzione del
“disciplinare tecnico in materia di misure minime di sicurezza”
(allegato B). Tali misure minime di sicurezza dovranno essere adottate – salvo
aver già provveduto - da ogni
Amministrazione entro il 30 giugno 2004; tuttavia se l’Ente dovesse disporre
al momento di strumenti elettronici che, per obiettive ragioni tecniche, non
consentono in tutto o in parte l’immediata applicazione delle misure minime di
sicurezza, il necessario adeguamento potrà avvenire entro un anno
dall’entrata in vigore del codice, cioè entro il 31 dicembre 2004. Il
titolare, nel frattempo, dovrà adottare ogni possibile misura di sicurezza in
relazione agli strumenti elettronici detenuti, in modo da evitare, un incremento
dei rischi di distruzione o perdita anche accidentale dei dati, di accesso non
autorizzato ovvero di trattamento non consentito o non conforme alla finalità
della raccolta. Sarà necessario, inoltre, descrivere le ragioni di
inadeguatezza tecnica delle apparecchiature in un documento a data certa da
conservare presso l’Amministrazione. Infine, qualora i dati trattati dovessero
essere di tipo sensibile o giudiziario, il titolare del trattamento dovrà
redigere, entro il 31 marzo di ogni anno, un documento programmatico sulla
sicurezza. Insomma: con il nuovo Codice in materia di privacy una piccola
rivoluzione si avrà anche per la
pubblica amministrazione!
Laura
De Zotti
www.consulentelegaleinformatico.it