chi siamo
la rivista
la rivista: numero in corso
la rivista: numeri precedenti
la redazione
le tariffe pubblicitarie
per abbonarsi alla rivista
i libri
i convegni
informazione tecnica
collaboratori tecnici
la normativa
varie
contattaci
ritorna alla home page

Il trattamento di dati sensibili da parte dei soggetti pubblici

Marcello Zucchi
 Studio Oddo - Milano

Il 31 dicembre 1999 è scaduto il termine concesso ai soggetti pubblici per l'adeguamento dei propri ordinamenti a quanto previsto dai commi 3 e 3 bis dell'articolo 22 della Legge 675/96 (tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali), così come modificati dal D.Lgs. 11 maggio 1999, n. 135. Come è noto quest'ultimo decreto - il cui testo è stato pubblicato in forma integrale sulle pagine di questa rivista (n. 6 luglio/agosto 1999, pagg. 88-93) - ha introdotto le disposizioni integrative della Legge 31 dicembre 1996, n. 675, relative al trattamento di dati sensibili da parte dei soggetti pubblici.
Queste ultime sono state poi a loro volta integrate dal recentissimo provvedimento del Garante per la protezione dei dati personali, pubblicato sulla Gazzetta Ufficiale n. 26 del 2 febbraio 2000, con il quale sono state individuate ulteriori rilevanti finalità di interesse pubblico nel cui ambito è autorizzato il trattamento dei dati sensibili nello Stato e negli enti locali.
Per meglio comprendere il contesto normativo nel quale si collocano queste disposizioni dedicate al trattamento di dati sensibili da parte dei soggetti pubblici, è preliminarmente opportuno premettere qualche cenno relativo ai principali obblighi che incombono su chiunque (sia esso un soggetto di diritto pubblico o privato) esegua a qualsiasi titolo un "trattamento di dati personali" rientrante nella sfera di applicazione della suddetta L. 675/96.

L'identificazione del "titolare del trattamento", soggetto in capo al quale sono previsti i principali obblighi e adempimenti formali, appare di per sé problematica alla luce della legge e delle interpretazioni che della stessa sono state fornite. Il titolare viene infatti definito dalla legge come la persona fisica, giuridica, pubblica amministrazione, ente, associazione o organismo cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento di dati personali, ivi compreso il profilo della sicurezza. Le difficoltà derivano dalla circostanza che se da una parte il "titolare" può essere anche una persona giuridica o una pubblica amministrazione e quindi la "struttura" nel suo complesso, dall'altra il sistema sanzionatorio previsto dalla legge rende comunque inevitabile - in virtù del principio della personalità della responsabilità penale - ricondurre le responsabilità che contraddistinguono il titolare in capo ad una persona fisica al vertice dell'amministrazione della struttura stessa. A questo proposito non si può non sottolineare l'attenzione prestata dal legislatore alla repressione dei trattamenti di dati personali in contrasto con le disposizioni delle leggi, attraverso un sistema che, oltre a particolari effetti sul piano civile e amministrativo, prevede anche una serie di reati omissivi e commissivi sanzionati con pene di particolare gravità (v. artt. 34 e ss. L. 675/96).
Peraltro, nonostante le incertezze derivanti dalla assenza di specifici precedenti giurisprudenziali, si può ragionevolmente sostenere che, anche in questa materia, siano applicabili i principi relativi alla delega di funzioni a dirigenti ed a preposti.

I principali adempimenti previsti dalla legge in capo al titolare del trattamento sono costituiti da:
a) notificazione al Garante circa il trattamento dei dati personali (art. 7);
b) informazione agli interessati (art. 10);
c) consenso espresso degli interessati (art. 11);
d) adozione di misure minime di sicurezza per il trattamento dei dati personali (ai sensi dell'art. 15 L. 675/96 e del D.P.R. 28 luglio 1999, n. 318) e di specifiche modalità di trattamento per i dati sensibili (art. 3, comma 4, D.Lgs. 135/99).

Fondamentale, al fine dell'identificazione degli adempimenti a carico del titolare del trattamento, è la determinazione della natura dei dati che ne sono oggetto. In particolare è indispensabile valutare se, tra i dati raccolti presso il personale, ve ne siano anche di sensibili, ovvero appartenenti ad una delle categorie tassativamente indicate all'art. 22 della L. 675/96 e che comprendono i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.
La "sensibilità" del dato trattato determina un ampliamento degli adempimenti a carico del titolare. Oltre a quelli comuni a tutti i trattamenti, rappresentati principalmente dalla notificazione al Garante dell'inizio del trattamento secondo determinate procedure stabilite dalla legge, dalla necessità di informare il soggetto interessato al trattamento e di ricevere il consenso al trattamento, nel caso di dati sensibili è altresì necessaria un'autorizzazione (art. 22 L. 675/96) ad hoc da parte del Garante.
Relativamente alla autorizzazione la legge prevede tuttavia alcune esenzioni.
Una delle principali esclusioni riguarda proprio i soggetti pubblici che ai sensi del combinato disposto dell'art. 3, L. 675/96 e delle disposizioni di cui al D.Lgs. 11 maggio 1999, n. 135, sono autorizzati al trattamento di dati sensibili nell'ambito di alcune rilevanti finalità di interesse pubblico tassativamente individuate:
- stato civile, anagrafe e liste elettorali (art. 6);
- cittadinanza, immigrazione e condizione dello straniero (art. 7);
- esercizio dei diritti politici e pubblicità dell'attività di determinati organi (art. 8);
- rapporti di lavoro (art. 9);
- materia tributaria e doganale (art. 10);
- attività di controllo e ispettive (art. 11);
- istruzione (art. 12);
- benefici economici e abitazioni (art. 13);
- onorificenze, ricompense e riconoscimenti (art. 14);
- volontariato e obiezione di coscienza (art. 15);
- attività sanzionatoria e di predisposizione di elementi di tutela in sede amministrativa o giurisdizionale (art. 16);
- tutela della salute (art. 17);
- interruzione volontaria della gravidanza (art. 18);
- tossicodipendenze (art. 19);
- portatori di handicap (art. 20);
- rapporti con enti di culto (art. 21);
- statistica (art. 22);
- ricerca storica e archivi (art. 23);

Questa elencazione tassativa, giudicata insufficiente dalle pubbliche amministrazioni interessate, è stata come già accennato integrata ad opera del recente provvedimento del Garante per la tutela dei dati personali, pubblicato sulla Gazzetta Ufficiale del 2 febbraio 2000.
In tale ambito sono state individuate ulteriori finalità rilevanti di interesse pubblico, ed in particolare quelle relative alla gestione degli asili nido e delle mense scolastiche, alle attività ricreative o di promozione della cultura e dello sport, all'assegnazione di alloggi di edilizia residenziale pubblica, alla polizia municipale, agli uffici per le relazioni con il pubblico, al collocamento, all'attività dei difensori civici regionali e locali, con particolare riferimento alla trattazione di petizioni e segnalazioni.
Bisogna tuttavia ricordare che la mera individuazione delle suddette finalità di interesse pubblico ad opera del legislatore non è di per sé sufficiente a legittimare - sia pure nel loro ambito - il trattamento di dati sensibili da parte di soggetti pubblici.
Infatti, in mancanza di una espressa disposizione di legge nella quale siano altresì specificati i tipi di dati che possono essere trattati, le singole amministrazioni sono tenute a identificare e a rendere pubblici, secondo i rispettivi ordinamenti, i tipi di dati e di operazioni strettamente pertinenti e necessari in relazione alle finalità perseguite nei singoli casi, aggiornando tale identificazione periodicamente. I soggetti pubblici avrebbero quindi dovuto, come già accennato, avviare l'adeguamento dei propri ordinamenti a queste disposizioni entro il 31 dicembre 1999 (cfr. art. 5, comma 4, D.Lgs. 135/99).
Il legislatore ha poi delineato una serie di principi ulteriori che devono regolare il trattamento di dati sensibili da parte dei soggetti pubblici ed il cui rigore dovrebbe compensare la mancanza della autorizzazione preventiva da parte del Garante.
In primo luogo (art. 4) si precisa che le operazioni di trattamento consentite sono solo quelle strettamente necessarie al perseguimento delle finalità per le quali il trattamento è consentito, anche quando i dati sono raccolti nello svolgimento di compiti di vigilanza, di controllo o ispettivi esercitati anche su richiesta di altri soggetti.
Vengono poi ribaditi e specificati alcuni principi già contenuti nella legge ed in particolare l'esigenza di assicurare l'esattezza e l'aggiornamento dei dati, la loro pertinenza e completezza, specificando che i dati, anche a seguito di verifiche, risultano eccedenti o non pertinenti o non è necessari, non possono essere utilizzati salvo per l'eventuale conservazione a norma di legge (art. 3 D.Lgs. 135/99).

Anche nel caso di trattamento di dati sensibili autorizzato, per il soggetto pubblico restano tuttavia fermi salve specifiche eccezioni gli adempimenti di base a carico del titolare, ed in particolare:
- la notificazione al Garante
- l'informazione agli interessati
- il consenso espresso degli interessati
- l'adozione di misure minime di sicurezza per il trattamento dei dati personali e di specifiche modalità di trattamento per i dati sensibili.

La notificazione, da effettuarsi a cura del titolare del trattamento, prima dell'inizio dello stesso, consiste nella compilazione di un database distribuito gratuitamente su floppy disk presso gli uffici postali, da inviarsi al Garante per la protezione dei dati personali, sia su supporto magnetico che in copia cartacea sottoscritta dal titolare. Ogni rilevante modificazione dei dati notificati rende necessaria una nuova notificazione.
In sede di notifica al Garante, il titolare può indicare l'identità di uno o più responsabili del trattamento (art. 8, L. 675/96). Si tratta di uno o più soggetti preposti dal titolare al trattamento dei dati personali. La nomina del responsabile deve essere effettuata con avvedutezza, in quanto l'affidamento dei delicati compiti previsti dalla legge a soggetto non idoneo configura una sicura ipotesi di culpa in eligendo.
La notificazione al Garante, andrà effettuata in forma semplificata ai sensi dell'art. 7, comma 5-bis della legge. La "semplificazione" consiste nella facoltà di non notificare alcune delle informazioni, che devono invece essere tassativamente fornite nell'ambito della notificazione ordinaria, ed in particolare quelle di cui alle lettere b), c), e) e g), dell'art. 7, comma 3.

L'informativa ed il consenso rappresentano gli adempimenti fondamentali a carico del titolare del trattamento.
Le informazioni rese al momento della raccolta (art. 10 L. 675/96) consistono nella comunicazione, orale o scritta, all'interessato, di una serie di informazioni relative alle modalità di svolgimento del trattamento che, nel caso di specie dovranno fare riferimento esplicito alla natura dei dati sensibili trattati ed alle norme che ne rendono necessario il trattamento (art. 2, comma 2, D.Lgs. 135/99).

Per quanto concerne il consenso dell'interessato, che nella prassi viene documentato a mezzo della sottoscrizione apposta in calce all'informativa, si deve richiamare il disposto di cui all'art. 12, lett. a) della L. 675/96, nel quale si prevedono tassativamente i casi di esclusione del consenso. Tra questi è il caso di ricordare l'esclusione che riguarda i trattamenti relativi ai "dati raccolti e detenuti in base ad un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria". A seconda della sussistenza o meno di una previsione specifica di legge, il titolare sarà tenuto a documentare il consenso dell'interessato o potrà limitarsi a fornirgli l'informativa. Oltre agli adempimenti "formali" descritti sopra non si possono non richiamare, sia pure per rinvio, i requisiti dettati dalla L. 675/96, con specifico riferimento alle modalità operative del trattamento. Vengono quindi in rilievo l'art. 15 della suddetta legge, intitolato alla "sicurezza dei dati", ed in particolare il D.P.R. 318/99 (Regolamento recante norme per l'individuazione delle misure minime di sicurezza per il trattamento dei dati personali, a norma dell'art. 15, comma 2, della Legge 31 dicembre 1996, n. 675). Quest'ultimo decreto ha descritto in modo piuttosto dettagliato le misure minimali di sicurezza, la cui qualità e quantità è direttamente proporzionale alle modalità di elaborazione e di trasmissione dei dati ed alla natura dei dati trattati (ovviamente il trattamento di dati sensibili è soggetto a misure di sicurezza più restrittive rispetto a quelle previste per i dati non sensibili: cfr. art. 5 D.P.R. 318/99).

A queste misure che accomunano tutti i titolari di trattamenti, "pubblici" e non, si devono aggiungere le disposizioni del D.Lgs. 135/99, relativo al trattamento di dati sensibili da parte dei soggetti pubblici, che prevede ulteriori accorgimenti a carico di questi ultimi, tra i quali ricordiamo in particolare l'obbligo di trattare i dati sensibili "…con tecniche di cifratura o mediante l'utilizzazione di codici identificativi o di altri sistemi…" (art. 3, comma 4), e di conservare i "dati idonei a rivelare lo stato di salute e la vita sessuale…separatamente da ogni altro dato personale trattato per finalità che non richiedano il loro utilizzo…" (art. 3, comma 5).

In conclusione si può osservare come il sistema di autorizzazioni generali per il trattamento di dati sensibili da parte della pubblica amministrazione si stia rivelando, nonostante l'evidente esigenza di semplificazione correlata alle finalità di utilità pubbliche perseguite, particolarmente complesso e macchinoso. Non stupirebbe pertanto, anche in considerazione della tipica pesantezza della macchina pubblica, se i numerosi adempimenti formali e sostanziali evidenziati, fossero oggetto di una limitata attuazione, con evidente pregiudizio della effettiva tutela della privacy dei cittadini.

 



chi siamo la rivista i libri i convegni informazione tecnica collaboratori tecnici normativa varie contattaci ritorna alla home page
web design