La legge 31 dicembre 1996, n. 675, meglio nota come legge sulla privacy o, meglio, sulla protezione dei dati personali, istituisce una nuova figura di responsabile (anche) nelle pubbliche amministrazioni. Si tratta del responsabile del trattamento dei dati. Prima di definire e descrivere tale figura è necessario, però, richiamare alcune nozioni di base sul trattamento dei dati.

A questo fine è stata istituita un’apposita autorità amministrativa indipendente (il Garante per la tutela delle persone e degli altri soggetti rispetto al trattamento dei dati personali) alla quale, chiunque intenda procedere ad un trattamento di dati personali soggetto al campo di applicazione della presente legge è tenuto a darne notificazione.

Il Garante verifica che i dati raccolti siano:

a) trattati in modo lecito e secondo correttezza;

b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini non incompatibili con tali scopi;

c) esatti e, se necessario, aggiornati;

d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati;

e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.

L’interessato deve essere sempre informato sugli scopi della raccolta dei dati e deve dare il proprio consenso al loro utilizzo (salvo in alcuni casi in cui non è richiesto, elencati dall’articolo 12).

L’interessato, infine, ha sempre il diritto di chiedere la visione o la cancellazione dei dati personali che lo riguardano e il garante, per questo e per gli altri fini fin qui indicati, dispone di poteri di accertamento che comprendono facoltà di indagine e ispezione, nonché di poteri di condanna alla cessazione dei comportamenti che violino le disposizioni ora descritte.

Regimi speciali, più restrittivi, sono indicati per i c.d. dati sensibili, cioè quelli idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonchè i dati personali idonei a rivelare lo stato di salute e la vita sessuale; questi possono essere oggetto di trattamento solo con il consenso scritto dell'interessato e previa autorizzazione del Garante (articolo 22). Regimi derogatori, più permissivi, sono invece dettati per il trattamento dei dati da parte delle pubbliche amministrazioni che operino nei settori della pubblica sicurezza, della difesa e della giustizia (articolo 4).

La legge 675/1996 individua, per ogni trattamento di dati personali, un titolare. Questo è definito dall’articolo 1, comma 2, lettera d), come la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento di dati personali, ivi compreso il profilo della sicurezza. Al titolare sono imposti dalla legge alcuni obblighi specifici, tutti riconducibili - in buona sostanza - al rispetto dei limiti legali al trattamento dei dati.

Per quanto concerne la presente trattazione ciò che interessa è la possibilità che titolare sia una pubblica amministrazione. In questo, come negli altri casi, l’amministrazione titolare può nominare uno o più responsabili del trattamento dei dati personali.

Quest’ultimo soggetto svolge - in ambito amministrativo - funzioni latamente riconducibili a quelle del responsabile del procedimento. Infatti egli, a norma dell’articolo 8 della legge, cura il procedimento amministrativo di tenuta e gestione dei dati personali. Ne discende che su di lui incombono gli stessi poteri e responsabilità incombenti sul soggetto di cui all’articolo 4 della legge 241/1990.

Vi sono, peraltro, dei doveri ulteriori (previsti con generico riferimento al titolare). L’articolo 15 prescrive, infatti, che i dati personali oggetto di trattamento devono essere custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo dal ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Le misure tecniche di sicurezza sono state individuate con un apposito regolamento, delegato dallo stesso articolo 15 ai sensi dell’articolo 17, comma 1, della legge 400/1988, e adottato con d.P.R. 28 luglio 1999, n. 318. I contenuti del regolamento sono decisamente tecnici e non meritano una disamina giuridica in questa sede, anche per ragioni di spazio. Si rinvia, pertanto, alla lettura del testo riportato in appendice. Basti qui ricordare che assumono particolare importanza la riservatezza dei dati e la limitazione all’accesso degli stessi mediante uso di apposite password qualora siano conservati in forma elettronica.

La legge 675/1996 non distingue i doveri del responsabile da quelli del titolare. Il rapporto fra i due soggetti, pertanto, è regolato dai principi generali già esposti circa il rapporto fra dirigente dell’unità operativa e responsabile del procedimento nonché dall’atto amministrativo con cui il titolare del trattamento designa uno o più responsabili. In questo senso va letta la disposizione che, nel consentire al titolare l’individuazione di più responsabili, ne legittima la suddivisione di compiti, lasciando spazio al potere di organizzazione delle amministrazioni (articolo 8, comma 3). Ancora più esplicito è il comma 4 dell’articolo 8, che impone che i compiti affidati al responsabile debbano essere analiticamente specificati per iscritto.

La regolamentazione specifica dei rapporti, dunque, costituisce la lex specialis di ogni singolo trattamento di cui sia nominato un responsabile. Dalla stessa, ad esempio, deriva la possibilità del responsabile piuttosto che del titolare di impartire istruzioni ai soggetti concretamente incaricati dei trattamenti di dati (articolo 8, comma 5).

Anche nell’ambito in esame la mancata individuazione di un responsabile lascia il complesso degli obblighi e delle responsabilità in materia al titolare. La decisione in merito assume, pertanto, una rilevante importanza.

La legge non dice nulla, tuttavia, sull’individuazione del titolare o del responsabile. Anzi, usa volutamente un’espressione quanto mai ampia e atecnica, identificando - nell’articolo 1 - l’uno e l’altro con l’intera pubblica amministrazione. È evidente che se titolare può considerarsi, caso per caso, l’ente o organo pubblico competente al trattamento dei dati, responsabile può essere soltanto uno o più singoli funzionari, nominativamente individuati (sembra inutile, più ancora che inammissibile, l’individuazione di un’altra amministrazione o di un ufficio nel suo complesso da parte dell’amministrazione titolare). Vale comunque la considerazione per cui la responsabilità è, in virtù di un principio generale, personale.

La stessa legge 675/1996, con ciò contraddicendo la genericità dell’articolo 1, obbliga le amministrazioni titolari a scegliere i responsabili, se intendono nominarli, fra i soggetti che, per esperienza, capacità e affidabilità, forniscano idonea garanzia del pieno rispetto delle norme in materia di trattamento, con riguardo anche al profilo della sicurezza dei dati. Con ciò pare allontanato ogni residuo dubbio sulla possibilità che il responsabile, in ambito amministrativo, non sia una persona fisica. D’altro canto, se pure - per esempio - l’amministrazione dell’Interno intendesse identificare genericamente la prefettura come responsabile del trattamento di dati di cui il Ministero è titolare, i relativi doveri e le connesse responsabilità, in mancanza di ulteriori specificazioni ricadrebbero sul capo dell’ufficio, cioè sul prefetto il quale, in applicazione dell’articolo 5 della legge 241/1990, potrebbe poi autonomamente individuare un funzionario responsabile del trattamento dei dati. In ogni caso vi sarebbe un atto di individuazione, poiché, anche nel primo, l’atto di delega alla prefettura varrebbe, ai fini della responsabilità - che è esclusivamente personale - quale delega al prefetto.

Un’altra tipologia di responsabilità speciale, ma senza dubbio riconducibile al paradigma della responsabilità di cura o gestionale e governata dai principi generali valevoli per i responsabili dei procedimenti ex legge 241/1990 è quella inerente alla tenuta del protocollo informatico o, rectius, al sistema di protocollo informatico.

Questo è - secondo la definizione correttamente fornita dall’articolo 1, lett. c, dela d.P.R. 428/1998 (regolamento sul protocollo informatico) - l'insieme delle risorse di calcolo, degli apparati, delle reti di comunicazione e delle procedure informatiche utilizzati dalle amministrazioni per la gestione dei documenti.

L’articolo 2 del citato regolamento fa obbligo a tutte le amministrazioni di individuare, nell'ambito del proprio ordinamento, gli uffici da considerare ai fini della gestione unica o coordinata dei documenti per grandi aree organizzative omogenee, assicurando criteri uniformi di classificazione e archiviazione, nonché di comunicazione interna tra le aree stesse. L’ampio spazio di discrezionalità lasciato dal regolamento alle amministrazioni consentirà una opportuna elasticità nell’adeguamento al nuovo sistema da parte di amministrazioni molto diverse fra loro. In alcuni ministeri, ad esempio, le aree potrebbero corrispondere con i dipartimenti mentre in altri potranno avere dimensioni molto più ridotte, anche per necessità di segretezza e di separazione di alcuni dati rispetto agli archivi generali. Nelle amministrazioni più piccole e senza particolari esigenze (scuole e piccoli comuni), l’area omogenea potrà coincidere con l’intera amministrazione.

Spettano al servizio così istituito la tenuta del protocollo informatico, della gestione dei flussi documentali e degli archivi dell’area di appartenenza. Il servizio è posto alle dirette dirette dipendenze della stessa area organizzativa omogenea (rectius: del dirigente dell’area organizzativa omogenea).

La responsabilità e la direzione del servizio devono essere affidate, per il secondo comma dell’articolo 12, a un dirigente o un funzionario (cioè di un dipendente di area C, per i ministeri e D per gli enti locali), "comunque in possesso di idonei requisiti professionali o di professionalità tecnico archivistica acquisita a seguito di processi di formazione definiti secondo le procedure prescritte dalla disciplina vigente".

Al responsabile spetta la gestione del servizio al fine di assicurane lo svolgimenti dei compiti assegnati dal regolamento. L’articolo 12, comma 3, in particolare, stabilisce che il servizio:

a) attribuisce il livello di autorizzazione per l'accesso alle funzioni della procedura, distinguendo tra abilitazioni alla consultazione e abilitazioni all'inserimento e alla modifica delle informazioni;

b) garantisce che le operazioni di registrazione e di segnatura di protocollo (cioè dell'apposizione o l'associazione, all'originale del documento, in forma permanente e non modificabile, delle informazioni riguardanti il documento stesso) si svolgano nel rispetto delle disposizioni del regolamento;

c) garantisce la corretta produzione e la conservazione del registro giornaliero di protocollo;

d) cura che le funzionalità del sistema in caso di guasti o anomalie siano ripristinate entro ventiquattro ore dal blocco delle attività e, comunque, nel più breve tempo possibile;

e) conserva le copie in luoghi sicuri e differenti;

f) garantisce il buon funzionamento degli strumenti e dell'organizzazione delle attività di registrazione di protocollo, di gestione dei documenti e dei flussi documentali, incluse le funzionalità di accesso e le attività di gestione degli archivi;

g) autorizza le operazioni di annullamento;

h) vigila sull'osservanza delle disposizioni del regolamento da parte del personale autorizzato e degli incaricati

La responsabilità è evidentemente, come già accennato, di tipo gestionale. Valgono, pertanto, le considerazioni già esposte a proposito del responsabile del procedimento, anche con riguardo agli incentivi e alle sanzioni, con particolare riferimento alla possibilità che il responsabile non sia un dirigente ma un funzionario.

Lo stesso rinvio ai principi generali vale anche per la tematica dei rapporti fra il dirigente dell’area organizzativa omogenea e il responsabile del servizio di protocollo. Rispetto alla materia dei dati personali, anzi, nell’ambito in questione il parallelo è semplificato dalla precisa identificazione delle unità organizzative e dei soggetti fatta dal d.P.R. 428/1998.