Il
trattamento di dati sensibili da parte dei soggetti pubblici
Marcello
Zucchi
Studio Oddo - Milano
Il
31 dicembre 1999 è scaduto il termine concesso ai soggetti
pubblici per l'adeguamento dei propri ordinamenti a quanto previsto
dai commi 3 e 3 bis dell'articolo 22 della Legge 675/96 (tutela
delle persone e di altri soggetti rispetto al trattamento dei
dati personali), così come modificati dal D.Lgs. 11 maggio
1999, n. 135. Come è noto quest'ultimo decreto - il cui
testo è stato pubblicato in forma integrale sulle pagine
di questa rivista (n. 6 luglio/agosto 1999, pagg. 88-93) - ha
introdotto le disposizioni integrative della Legge 31 dicembre
1996, n. 675, relative al trattamento di dati sensibili da parte
dei soggetti pubblici.
Queste ultime sono state poi a loro volta integrate dal recentissimo
provvedimento del Garante per la protezione dei dati personali,
pubblicato sulla Gazzetta Ufficiale n. 26 del 2 febbraio 2000,
con il quale sono state individuate ulteriori rilevanti finalità
di interesse pubblico nel cui ambito è autorizzato il
trattamento dei dati sensibili nello Stato e negli enti locali.
Per meglio comprendere il contesto normativo nel quale si collocano
queste disposizioni dedicate al trattamento di dati sensibili
da parte dei soggetti pubblici, è preliminarmente opportuno
premettere qualche cenno relativo ai principali obblighi che
incombono su chiunque (sia esso un soggetto di diritto pubblico
o privato) esegua a qualsiasi titolo un "trattamento di
dati personali" rientrante nella sfera di applicazione
della suddetta L. 675/96.
L'identificazione
del "titolare del trattamento", soggetto in capo al
quale sono previsti i principali obblighi e adempimenti formali,
appare di per sé problematica alla luce della legge e
delle interpretazioni che della stessa sono state fornite. Il
titolare viene infatti definito dalla legge come la persona
fisica, giuridica, pubblica amministrazione, ente, associazione
o organismo cui competono le decisioni in ordine alle finalità
ed alle modalità del trattamento di dati personali, ivi
compreso il profilo della sicurezza. Le difficoltà derivano
dalla circostanza che se da una parte il "titolare"
può essere anche una persona giuridica o una pubblica
amministrazione e quindi la "struttura" nel suo complesso,
dall'altra il sistema sanzionatorio previsto dalla legge rende
comunque inevitabile - in virtù del principio della personalità
della responsabilità penale - ricondurre le responsabilità
che contraddistinguono il titolare in capo ad una persona fisica
al vertice dell'amministrazione della struttura stessa. A questo
proposito non si può non sottolineare l'attenzione prestata
dal legislatore alla repressione dei trattamenti di dati personali
in contrasto con le disposizioni delle leggi, attraverso un
sistema che, oltre a particolari effetti sul piano civile e
amministrativo, prevede anche una serie di reati omissivi e
commissivi sanzionati con pene di particolare gravità
(v. artt. 34 e ss. L. 675/96).
Peraltro, nonostante le incertezze derivanti dalla assenza di
specifici precedenti giurisprudenziali, si può ragionevolmente
sostenere che, anche in questa materia, siano applicabili i
principi relativi alla delega di funzioni a dirigenti ed a preposti.
I
principali adempimenti previsti dalla legge in capo al titolare
del trattamento sono costituiti da:
a) notificazione al Garante circa il trattamento dei dati personali
(art. 7);
b) informazione agli interessati (art. 10);
c) consenso espresso degli interessati (art. 11);
d) adozione di misure minime di sicurezza per il trattamento
dei dati personali (ai sensi dell'art. 15 L. 675/96 e del D.P.R.
28 luglio 1999, n. 318) e di specifiche modalità di trattamento
per i dati sensibili (art. 3, comma 4, D.Lgs. 135/99).
Fondamentale,
al fine dell'identificazione degli adempimenti a carico del
titolare del trattamento, è la determinazione della natura
dei dati che ne sono oggetto. In particolare è indispensabile
valutare se, tra i dati raccolti presso il personale, ve ne
siano anche di sensibili, ovvero appartenenti ad una delle categorie
tassativamente indicate all'art. 22 della L. 675/96 e che comprendono
i dati personali idonei a rivelare l'origine razziale ed etnica,
le convinzioni religiose, filosofiche o di altro genere, le
opinioni politiche, l'adesione a partiti, sindacati, associazioni
od organizzazioni a carattere religioso, filosofico, politico
o sindacale, nonché i dati personali idonei a rivelare
lo stato di salute e la vita sessuale.
La "sensibilità" del dato trattato determina
un ampliamento degli adempimenti a carico del titolare. Oltre
a quelli comuni a tutti i trattamenti, rappresentati principalmente
dalla notificazione al Garante dell'inizio del trattamento secondo
determinate procedure stabilite dalla legge, dalla necessità
di informare il soggetto interessato al trattamento e di ricevere
il consenso al trattamento, nel caso di dati sensibili è
altresì necessaria un'autorizzazione (art. 22 L. 675/96)
ad hoc da parte del Garante.
Relativamente alla autorizzazione la legge prevede tuttavia
alcune esenzioni.
Una delle principali esclusioni riguarda proprio i soggetti
pubblici che ai sensi del combinato disposto dell'art. 3, L.
675/96 e delle disposizioni di cui al D.Lgs. 11 maggio 1999,
n. 135, sono autorizzati al trattamento di dati sensibili nell'ambito
di alcune rilevanti finalità di interesse pubblico tassativamente
individuate:
- stato civile, anagrafe e liste elettorali (art. 6);
- cittadinanza, immigrazione e condizione dello straniero (art.
7);
- esercizio dei diritti politici e pubblicità dell'attività
di determinati organi (art. 8);
- rapporti di lavoro (art. 9);
- materia tributaria e doganale (art. 10);
- attività di controllo e ispettive (art. 11);
- istruzione (art. 12);
- benefici economici e abitazioni (art. 13);
- onorificenze, ricompense e riconoscimenti (art. 14);
- volontariato e obiezione di coscienza (art. 15);
- attività sanzionatoria e di predisposizione di elementi
di tutela in sede amministrativa o giurisdizionale (art. 16);
- tutela della salute (art. 17);
- interruzione volontaria della gravidanza (art. 18);
- tossicodipendenze (art. 19);
- portatori di handicap (art. 20);
- rapporti con enti di culto (art. 21);
- statistica (art. 22);
- ricerca storica e archivi (art. 23);
Questa
elencazione tassativa, giudicata insufficiente dalle pubbliche
amministrazioni interessate, è stata come già
accennato integrata ad opera del recente provvedimento del Garante
per la tutela dei dati personali, pubblicato sulla Gazzetta
Ufficiale del 2 febbraio 2000.
In tale ambito sono state individuate ulteriori finalità
rilevanti di interesse pubblico, ed in particolare quelle relative
alla gestione degli asili nido e delle mense scolastiche, alle
attività ricreative o di promozione della cultura e dello
sport, all'assegnazione di alloggi di edilizia residenziale
pubblica, alla polizia municipale, agli uffici per le relazioni
con il pubblico, al collocamento, all'attività dei difensori
civici regionali e locali, con particolare riferimento alla
trattazione di petizioni e segnalazioni.
Bisogna tuttavia ricordare che la mera individuazione delle
suddette finalità di interesse pubblico ad opera del
legislatore non è di per sé sufficiente a legittimare
- sia pure nel loro ambito - il trattamento di dati sensibili
da parte di soggetti pubblici.
Infatti, in mancanza di una espressa disposizione di legge nella
quale siano altresì specificati i tipi di dati che possono
essere trattati, le singole amministrazioni sono tenute a identificare
e a rendere pubblici, secondo i rispettivi ordinamenti, i tipi
di dati e di operazioni strettamente pertinenti e necessari
in relazione alle finalità perseguite nei singoli casi,
aggiornando tale identificazione periodicamente. I soggetti
pubblici avrebbero quindi dovuto, come già accennato,
avviare l'adeguamento dei propri ordinamenti a queste disposizioni
entro il 31 dicembre 1999 (cfr. art. 5, comma 4, D.Lgs. 135/99).
Il legislatore ha poi delineato una serie di principi ulteriori
che devono regolare il trattamento di dati sensibili da parte
dei soggetti pubblici ed il cui rigore dovrebbe compensare la
mancanza della autorizzazione preventiva da parte del Garante.
In primo luogo (art. 4) si precisa che le operazioni di trattamento
consentite sono solo quelle strettamente necessarie al perseguimento
delle finalità per le quali il trattamento è consentito,
anche quando i dati sono raccolti nello svolgimento di compiti
di vigilanza, di controllo o ispettivi esercitati anche su richiesta
di altri soggetti.
Vengono poi ribaditi e specificati alcuni principi già
contenuti nella legge ed in particolare l'esigenza di assicurare
l'esattezza e l'aggiornamento dei dati, la loro pertinenza e
completezza, specificando che i dati, anche a seguito di verifiche,
risultano eccedenti o non pertinenti o non è necessari,
non possono essere utilizzati salvo per l'eventuale conservazione
a norma di legge (art. 3 D.Lgs. 135/99).
Anche
nel caso di trattamento di dati sensibili autorizzato, per il
soggetto pubblico restano tuttavia fermi salve specifiche eccezioni
gli adempimenti di base a carico del titolare, ed in particolare:
- la notificazione al Garante
- l'informazione agli interessati
- il consenso espresso degli interessati
- l'adozione di misure minime di sicurezza per il trattamento
dei dati personali e di specifiche modalità di trattamento
per i dati sensibili.
La
notificazione, da effettuarsi a cura del titolare del trattamento,
prima dell'inizio dello stesso, consiste nella compilazione
di un database distribuito gratuitamente su floppy disk presso
gli uffici postali, da inviarsi al Garante per la protezione
dei dati personali, sia su supporto magnetico che in copia cartacea
sottoscritta dal titolare. Ogni rilevante modificazione dei
dati notificati rende necessaria una nuova notificazione.
In sede di notifica al Garante, il titolare può indicare
l'identità di uno o più responsabili del trattamento
(art. 8, L. 675/96). Si tratta di uno o più soggetti
preposti dal titolare al trattamento dei dati personali. La
nomina del responsabile deve essere effettuata con avvedutezza,
in quanto l'affidamento dei delicati compiti previsti dalla
legge a soggetto non idoneo configura una sicura ipotesi di
culpa in eligendo.
La notificazione al Garante, andrà effettuata in forma
semplificata ai sensi dell'art. 7, comma 5-bis della legge.
La "semplificazione" consiste nella facoltà
di non notificare alcune delle informazioni, che devono invece
essere tassativamente fornite nell'ambito della notificazione
ordinaria, ed in particolare quelle di cui alle lettere b),
c), e) e g), dell'art. 7, comma 3.
L'informativa
ed il consenso rappresentano gli adempimenti fondamentali a
carico del titolare del trattamento.
Le informazioni rese al momento della raccolta (art. 10 L. 675/96)
consistono nella comunicazione, orale o scritta, all'interessato,
di una serie di informazioni relative alle modalità di
svolgimento del trattamento che, nel caso di specie dovranno
fare riferimento esplicito alla natura dei dati sensibili trattati
ed alle norme che ne rendono necessario il trattamento (art.
2, comma 2, D.Lgs. 135/99).
Per
quanto concerne il consenso dell'interessato, che nella prassi
viene documentato a mezzo della sottoscrizione apposta in calce
all'informativa, si deve richiamare il disposto di cui all'art.
12, lett. a) della L. 675/96, nel quale si prevedono tassativamente
i casi di esclusione del consenso. Tra questi è il caso
di ricordare l'esclusione che riguarda i trattamenti relativi
ai "dati raccolti e detenuti in base ad un obbligo previsto
dalla legge, da un regolamento o dalla normativa comunitaria".
A seconda della sussistenza o meno di una previsione specifica
di legge, il titolare sarà tenuto a documentare il consenso
dell'interessato o potrà limitarsi a fornirgli l'informativa.
Oltre agli adempimenti "formali" descritti sopra non
si possono non richiamare, sia pure per rinvio, i requisiti
dettati dalla L. 675/96, con specifico riferimento alle modalità
operative del trattamento. Vengono quindi in rilievo l'art.
15 della suddetta legge, intitolato alla "sicurezza dei
dati", ed in particolare il D.P.R. 318/99 (Regolamento
recante norme per l'individuazione delle misure minime di sicurezza
per il trattamento dei dati personali, a norma dell'art. 15,
comma 2, della Legge 31 dicembre 1996, n. 675). Quest'ultimo
decreto ha descritto in modo piuttosto dettagliato le misure
minimali di sicurezza, la cui qualità e quantità
è direttamente proporzionale alle modalità di
elaborazione e di trasmissione dei dati ed alla natura dei dati
trattati (ovviamente il trattamento di dati sensibili è
soggetto a misure di sicurezza più restrittive rispetto
a quelle previste per i dati non sensibili: cfr. art. 5 D.P.R.
318/99).
A
queste misure che accomunano tutti i titolari di trattamenti,
"pubblici" e non, si devono aggiungere le disposizioni
del D.Lgs. 135/99, relativo al trattamento di dati sensibili
da parte dei soggetti pubblici, che prevede ulteriori accorgimenti
a carico di questi ultimi, tra i quali ricordiamo in particolare
l'obbligo di trattare i dati sensibili "
con tecniche
di cifratura o mediante l'utilizzazione di codici identificativi
o di altri sistemi
" (art. 3, comma 4), e di conservare
i "dati idonei a rivelare lo stato di salute e la vita
sessuale
separatamente da ogni altro dato personale trattato
per finalità che non richiedano il loro utilizzo
"
(art. 3, comma 5).
In
conclusione si può osservare come il sistema di autorizzazioni
generali per il trattamento di dati sensibili da parte della
pubblica amministrazione si stia rivelando, nonostante l'evidente
esigenza di semplificazione correlata alle finalità di
utilità pubbliche perseguite, particolarmente complesso
e macchinoso. Non stupirebbe pertanto, anche in considerazione
della tipica pesantezza della macchina pubblica, se i numerosi
adempimenti formali e sostanziali evidenziati, fossero oggetto
di una limitata attuazione, con evidente pregiudizio della effettiva
tutela della privacy dei cittadini.
|