|
1 Il quadro normativo
1.1. L'entrata in vigore del
Codice
L'entrata in vigore del "Codice in materia di
protezione dei dati personali" (decreto legislativo 30 giugno 2003,
n. 196, di seguito, semplicemente, "Codice"), avvenuta il 1°
gennaio 2004, ha rappresentato una tappa fondamentale per la tutela
dei diritti della persona e ha concluso il processo di recepimento
delle direttive europee in materia (95/46/CE e 2002/58/CE). È stato
così completato il complesso percorso di razionalizzazione della
disciplina inizialmente introdotta con la legge 31 dicembre 1996,
n. 675, riunendo in un unico testo una regolamentazione che si era,
nel tempo, stratificata a seguito di numerosi interventi
modificativi e integrativi. In un quadro complessivo di rafforzate
garanzie con il riconoscimento del diritto alla protezione dei
dati personali (art. 1 del Codice), in armonia con quanto ora
previsto nel Trattato che ha adottato la Costituzione europea - la
nuova disciplina ha provveduto a semplificare alcuni adempimenti e
ad attribuire un ruolo significativo, anche in una prospettiva di
deflazione legislativa, ai codici di deontologia e di buona
condotta, soggetti alla preventiva verifica da parte del
Garante.
1.2. Le modifiche (già) apportate
Devono
comunque rilevarsi alcuni segnali che sembrano muoversi in
controtendenza rispetto al progetto di "stabilizzare" le regole di
protezione dei dati personali. Già nel primo anno di vigenza del
Codice, infatti, sono stati introdotti alcuni, seppur circoscritti,
interventi modificativi in settori di rilievo e segnatamente in
relazione al regime dei dati relativi al traffico telefonico, nel
contesto sanitario e con riferimento alle ripetute proroghe dei
termini per adottare le misure minime di sicurezza e i regolamenti
sul trattamento dei dati sensibili da parte dei soggetti
pubblici.
Importanza particolare assumono le modifiche legislative apportate
all'art. 132 del Codice (prima della sua entrata in vigore) con
riguardo alla materia, di rilevanza costituzionale, della
conservazione dei dati relativi al traffico telefonico per finalità
di accertamento e di repressione dei reati (decreto-legge 24
dicembre 2003, n. 354, come modificato dalla legge di conversione
26 febbraio 2004, n. 45). Questa tematica si è riproposta anche nel
contesto delle misure adottate per contrastare la diffusione
telematica abusiva di materiale audiovisivo, nell'ambito del
dibattito parlamentare relativo alla materia regolata nel
decreto-legge 22 marzo 2004, n. 72 (convertito con legge 21 maggio
2004, n. 128). Il profilo della conservazione dei dati di traffico
telefonico e telematico è nuovamente riemerso, con tutte le
criticità che lo caratterizzano, nel corso delle audizioni
effettuate in sede d'esame del disegno di legge del Governo recante
disposizioni in materia di lotta contro lo sfruttamento sessuale
dei bambini e la pedopornografia anche a mezzo Internet (AC 4599)
(in merito si rinvia al par. 15.2).
Alcune modifiche al Codice - a brevissima distanza di tempo dalla
sua entrata in vigore - hanno riguardato altresì i trattamenti di
dati personali effettuati in ambito sanitario. In merito a tali
interventi il Garante aveva peraltro manifestato i propri dubbi al
Senato, trattandosi di modifiche in alcuni casi non necessarie (ad
esempio, in quanto volte ad esonerare i medici di base
dall'adozione di misure alle quali essi non erano comunque tenuti)
e in altri non opportune (in quanto suscettibili di incrinare
gravemente l'armonia del quadro normativo). Con tali innovazioni è
stata esclusa l'applicabilità ai medici di base dell'obbligo di
notificare al Garante alcuni trattamenti effettuati a fini sanitari
(art. 37, comma 1-bis, del Codice) e di alcune disposizioni del
Codice (v. ora l'art. 83, comma 2-bis) a garanzia dell'"anonimato"
del paziente in sala d'attesa (già, peraltro, limitato sin
dall'origine alle sole "strutture" sanitarie). Inoltre, si è
subordinata l'omissione delle generalità del paziente in alcune
ricette mediche ad un'esplicita richiesta dell'interessato (art.
89, comma 2-bis). È stato poi soppresso l'art. 181, comma 1, lett.
e), del Codice, che prevedeva il termine del 30 settembre 2004 per
adottare modalità semplificate per l'acquisi-zione del consenso e
il rilascio dell'informativa previste dall'art. 76, comma 2; con il
risultato, quindi, di cancellare inopportunamente il termine
transitorio che era stato previsto a favore dei soggetti
contemplati nella disposizione (decreto-legge 29 marzo 2004, n. 81,
convertito con modificazioni con legge 26 maggio 2004, n. 138;
pochi mesi prima, un analogo provvedimento d'urgenza non era stato
approvato alla Camera: decreto-legge 21 gennaio 2004, n. 10).
Nel corso dei lavori di conversione del decreto-legge è stato anche
presentato, e poi ritirato, un emendamento parlamentare che
prevedeva una sorta di "consenso presunto" del paziente al
trattamento dei propri dati personali. L'Autorità ha evidenziato al
Governo e al Parlamento il contrasto di tale disposizione con i
principi normativi, anche comunitari, in materia di consenso - che
deve essere comunque "esplicito", oltre che inequivoco - ,
soprattutto in relazione ai dati sensibili. Tuttavia, a conclusione
dei lavori, il Governo ha accettato come raccomandazione una
proposta di ordine del giorno in base alla quale dovrebbero essere
adottate, in via transitoria, misure che consentano ai pazienti già
in carico ai medici di base di esprimere il consenso mediante una
procedura di silenzio-assenso.
Nel pur breve lasso di tempo dall'entrata in vigore del Codice,
ricorrendo alla decretazione d'urgenza, si sono differiti i termini
per l'adempimento di taluni obblighi posti a garanzia
dell'interessato, relativamente all'applicazione delle "nuove"
misure minime di sicurezza (per l'introduzione delle quali il
Codice aveva fissato il termine del 30 giugno 2004 all'art. 180,
comma 1) e all'adozione dei regolamenti in materia di dati
sensibili da parte dei soggetti pubblici (su entrambi gli argomenti
si vedano pure, rispettivamente, i par. 16.1 e 2.2).
Con specifico riguardo alle misure minime di sicurezza, malgrado la
scadenza originariamente fissata potesse ritenersi congrua rispetto
alle esigenze prospettate (tanto più che era previsto il più ampio
termine del 1° gennaio 2005 per i soggetti che alla data di entrata
in vigore del Codice non disponessero di strumenti elettronici tali
da consentire l'im-mediata applicazione delle misure di sicurezza),
essa ha subito, in appena un anno, un duplice rinvio: inizialmente
al 31 dicembre 2004 e, quindi, al 30 giugno 2005. Analogamente, è
stato prorogato anche il termine per l'adozione delle misure di
sicurezza da parte dei soggetti che alla data di entrata in vigore
del Codice disponevano di strumenti elettronici "obsoleti": prima
al 31 marzo 2005 e, da ultimo, al 30 settembre 2005 (art. 3,
decreto-legge 24 giugno 2004, n. 158, convertito, con
modificazioni, con legge 27 luglio 2004, n. 188; decreto-legge 9
novembre 2004, n. 266, convertito, con modificazioni, con legge 27
dicembre 2004, n. 306).
Il citato decreto-legge n. 158/2004 ha prorogato anche il termine
previsto dal Codice per approvare i regolamenti delle pubbliche
amministrazioni in materia di dati sensibili e giudiziari,
originariamente fissato al 30 settembre 2004 (art. 181, comma 1,
lett.
a). Si tratta dell'ennesimo rinvio dell'attuazione di una
disciplina (che riguarda un settore assai delicato), prevista ora
dagli artt. 20 e 21 del Codice, ma introdotta già con il d.lg. n.
135/1999 e rimasta largamente inattuata, come più volte rilevato
dal Garante che ha peraltro richiamato sul punto l'attenzione del
Governo (v., fra l'altro, Provv. 17 gennaio 2002).
1.3. Legge finanziaria 2005 e altre novità normativecon
riflessi in materia di protezione dei dati personali
Nel corso dell'anno sono stati approvati altri provvedimenti
normativi che riguardano la materia del trattamento dei dati
personali e l'attività del Garante. Si fa riferimento, in
particolare, alla legge finanziaria per il 2005 (legge 30 dicembre
2004, n. 312, alla
G.U. 31 dicembre 2004, n. 306, S.O. n. 193), cheprevede la
trasmissione per via telematica del certificato di diagnosi
sull'inizio e sulla durata presunta della malattia da parte del
medico curante all'Inps (art. 1, comma 149) ovvero dei cedolini per
il pagamento delle competenze stipendiali del personale della
pubblica amministrazione (art. 1, comma 197); presenta poi profili
di sovrapposizione con alcune norme del Codice la disciplina,
dettata a fini di contrasto di fenomeni di elusione fiscale, che
mira a circoscrivere la riutilizzazione commerciale dei documenti e
dei dati acquisiti dagli archivi catastali o da pubblici registri
immobiliari (art. 1, commi 367-373). La predetta legge, infine,
modificando l'articolo 50 del decreto-legge 30 settembre 2003, n.
269, convertito dalla legge 24 novembre 2003, n. 326, prevede che
la tessera sanitaria sia consegnata a tutti gli assistiti entro il
31 dicembre 2005. La medesima legge finanziaria ha poi ridotto
considerevolmente le risorse finanziarie a disposizione del
Garante, comportando gravi difficoltà per il funzionamento
dell'Ufficio, come ampiamente segnalato dal Garante al Governo e al
Parlamento durante i lavori di approvazione del disegno di legge.
Di particolare interesse, inoltre, è una recente ordinanza del
Presidente del Consiglio dei ministri, approvata previo parere del
Garante, finalizzata alla localizzazione dei cittadini italiani
presenti nelle aree colpite dai recenti eventi calamitosi che hanno
investito il sud-est asiatico (ordinanza n. 3390 del 29 dicembre
2004, in G.U. 4 gennaio 2005, n. 2). Con tale provvedimento, i
gestori di sistemi di telefonia sono stati autorizzati a fornire al
Ministero degli affari esteri dati e informazioni utili per
rintracciare i titolari di utenze di telefonia mobile presenti nei
luoghi del disastro. In materia di Carta nazionale dei servizi si
registra, infine, l'adozione del D.M. 6 dicembre 2004 (adottato dal
Ministro dell'interno, di concerto con i Ministri dell'innovazione
e le tecnologie, nonché dell'economia e delle finanze), recante
regole tecniche e di sicurezza relative alle tecnologie e ai
materiali utilizzati per la produzione della "Carta" medesima. Il
decreto individua altresì i dati personali registrati nella memoria
riscrivibile del microcircuito, le misure di sicurezza, i servizi e
le infrastrutture delle pubbliche amministrazioni coinvolte nel
circuito di emissione.
1.4. Il monitoraggio delle leggi
regionali
Nel corso dell'anno si è proceduto, con
riferimento alle disposizioni più rilevanti in materia di
protezione dei dati personali, a monitorare le leggi regionali
pubblicate sulla Gazzetta Ufficiale. I testi sui quali è stata
effettuata un'analisi più approfondita riguardano disposizioni
relative ai settori più vari, in ragione del carattere ampio e
trasversale della disciplina di protezione dei dati personali. Tra
le questioni più rilevanti esaminate vi è quella dei limiti della
potestà legislativa nelle materie riservate alle regioni rispetto a
quella esclusiva dello Stato in tema di protezione dei dati
personali alla luce dell'art. 117 Cost. (così come novellato dalla
legge costituzionale 18 ottobre 2001, n. 3). Trattasi, com'è noto,
di un tema al centro del vivace dibattito al quale l'Autorità è
stata chiamata a prendere parte in passato (per i profili di
propria competenza), anche con l'audizione del Presidente del
Garante alla Commissione affari costituzionali della Camera dei
deputati, avvenuta il 30 ottobre 2001 (Indagine conoscitiva sugli
effetti nell'ordinamento delle revisioni del titolo V della parte
II della Costituzione). Sotto tale profilo è stata in particolare
registrata la crescente adozione di provvedimenti legislativi che,
pur attenendo direttamente a materie di competenza regionale,
contengono disposizioni anche in materia di protezione dei dati
personali; si tratta, tuttavia, di discipline a volte ripetitive
rispetto alla legislazione nazionale e quindi inidonee ad incidere
sul livello di protezione dei diritti della persona garantito dalla
legislazione comunitaria e da quella statale (salvo riproporne
caratteri e problematiche). A titolo esemplificativo, si menziona
la normativa in materia di prestazioni sociali agevolate che, com'è
noto, prevede il ricorso all'indicatore della situazione economica
equivalente ai fini della redazione della graduatoria dei
beneficiari (cfr.: d.lg. 31 marzo 1998, n. 109 successivamente
integrato dal d.lg. 3 maggio 2000, n. 130 e dai regolamenti
applicativi). A questo proposito, è stato rilevato che la
genericità e la frammentarietà della legislazione nazionale in
materia di prestazioni sociali agevolate, a suo tempo evidenziate
dall'Autorità (cfr.: Pareri 27 marzo 1998, 26 maggio 1999 e 5
aprile 2000), si riflettono sulle legislazioni regionali in merito
all'esatta individuazione delle medesime, degli enti erogatori e
dei soggetti, anche privati, legittimati al trattamento dei dati,
delle condizioni e dei limiti delle interconnessioni con gli
archivi pubblici e privati. Nell'evidenziare la sostanziale
conformità a volte anche letterale tra le disposizioni regionali e
quelle statali, è emersa anche, con riferimento alla normativa
sugli enti locali - che riconosce ai consiglieri comunali e
provinciali il diritto di ottenere dalle amministrazioni di
appartenenza notizie ed informazioni connesse all'espletamento del
proprio mandato (art. 43, comma 2, d.lg. 18 agosto 2000, n. 267)
la dibattuta questione dei limiti del predetto diritto di accesso;
mentre alcune pronunce giurisprudenziali (per esempio Cons. Stato,
4 maggio 2004, n. 2716) lo configurano in modo piuttosto ampio
(ritenendo ad esempio che la motivazione relativa alla richiesta di
accesso avanzata "per l'espletamento del mandato" basti a
giustificarla, senza che occorra alcuna ulteriore precisazione
circa le specifiche ragioni della richiesta), altre significative
prese di posizione evidenziano, al contrario, una delimitazione
dell'accesso ai soli dati personali comunque pertinenti e non
eccedenti rispetto alle finalità perseguite nel caso specifico dal
richiedente. Anche con riferimento alla legislazione regionale, in
più casi è emersa la mancata, o inadeguata specificazione dei dati
sensibili oggetto di trattamento, che necessitano pertanto di
un'ulteriore individuazione con atto regolamentare ai sensi
dell'art. 20, comma 2, del Codice, nei pur più ampi termini
temporali accordati dal menzionato decreto-legge n. 158/2004. È
allo studio dell'Autorità la questione se ipotesi di accordi tra
Stato e regioni nonché, più specificamente, forme di intesa su
materie che presentino riflessi rilevanti sulla riservatezza delle
persone siano soggette al preventivo parere del Garante (cfr. art.
154, comma 4, del Codice).
1.5. Lavori parlamentari
Oltre ai
provvedimenti normativi approvati, menzionati nel paragrafo
precedente, vanno segnalati alcuni lavori parlamentari in corso,
anch'essi di interesse per la materia della protezione dei dati
personali. In proposito vanno ricordati, in particolare: a) il
disegno di legge costituzionale di modifica della Parte II della
Costituzione (AC 4862), nell'ambito del quale la Camera, il 30
settembre 2004, ha approvato un emendamento che "inserisce" le
autorità indipendenti nella Carta costituzionale. L'emendamento,
presentato da esponenti della maggioranza e modificato da
subemendamenti presentati da parlamentari dell'opposizione, è stato
approvato quasi all'unanimità (352 sì e 10 no). Esso ha inserito
nella Costituzione l'art. 98-bis ai sensi del quale, per lo
svolgimento di attività di garanzia o di vigilanza in materia di
diritti di libertà riconosciuti dalla Costituzione e su materie di
competenza dello Stato, si possono istituire con legge apposite
autorità indipendenti, stabilendo i requisiti di eleggibilità e le
condizioni di indipendenza dei componenti e la durata del relativo
mandato. Tali autorità riferiscono alle Camere sui risultati delle
attività svolte; b) il disegno di legge del Governo recante
disposizioni in materia di lotta contro lo sfruttamento sessuale
dei bambini e la pedopornografia anche a mezzo Internet (AC 4599),
che mira ad istituire, presso il Dipartimento della pubblica
sicurezza, un ufficio centrale per il contrasto della
pedopornografia sulla rete Internet. A tale unità organizzativa
(Centro nazionale) verrebbe attribuita una pluralità di compiti:
raccogliere dalle forze di polizia segnalazioni di siti che
diffondono materiale pedopornografico; tenere un registro dei
medesimi, dei loro gestori, dei soggetti beneficiari dei pagamenti
connessi al commercio di materiale pedopornografico; raccogliere,
inoltre, le segnalazioni dei fornitori di servizi di comunicazione
elettronica relative a contratti con imprese o soggetti che
diffondono o commerciano il predetto materiale. Il disegno di legge
pone, poi, a carico dei fornitori di connettività ad Internet
obblighi finalizzati ad impedire o a filtrare l'accesso ai siti
segnalati e prevede scambi informativi fra il menzionato Centro
nazionale, l'Ufficio italiano cambi e il sistema bancario e
finanziario per l'individuazione delle persone che beneficiano dei
pagamenti sopra menzionati. Per l'individuazione delle modalità di
trasmissione in via telematica di tali informazioni riservate è
prevista l'adozione di un regolamento, previo parere del Garante.
Nell'ambito dei lavori in Commissione giustizia della Camera si
sono tenute una serie di audizioni informali, che hanno interessato
anche l'Autorità, nell'ambito delle quali è stato sollevato il
problema della conservazione dei dati di traffico in Internet (sul
quale si rinvia al par. 15.2), ritenuta utile dalle forze di
polizia per finalità d'indagine e repressione dei reati commessi in
via telematica; c) il disegno di legge del Governo in materia di
editoria e di diffusione della stampa (AC 4163), in discussione
presso la Commissione cultura della Camera, che all'art. 1 reca
disposizioni in materia di siti aventi natura editoriale e testate
editoriali. In un'audizione informale tenuta il 4 novembre u.s., il
Presidente del Garante ha richiamato l'attenzione della Commissione
sulla necessità di coordinare le emanande disposizioni con le norme
del Codice che disciplinano le responsabilità e i compiti del
titolare e del responsabile del trattamento, in particolare quando
i dati sono trattati mediante un sito Internet. Il Garante ha
ritenuto inoltre opportuno un migliore coordinamento tra alcune
disposizioni del disegno di legge, la normativa vigente in materia
di registrazione delle testate giornalistiche e il progetto di
legge recentemente approvato dalla Camera in materia di
diffamazione a mezzo stampa, che ha esteso ai siti aventi natura
editoriale l'intera disciplina della legge sulla stampa (AS 3176);
d) due proposte di legge in materia di analisi del Dna
dell'imputato o dell'indagato in ambito processuale, che prevedono
un'integrazione del codice di procedura penale e, a certe
condizioni, l'obbligo per tali soggetti di sottoporsi al prelievo
di materiale biologico a fini di confronto con quello presente su
materiale probatorio rinvenuto nel corso delle indagini (AC 4682 e
AC 4161). Nelle ultime sedute è stato sollevato dal Presidente
della Commissione giustizia della Camera e dal relatore il problema
del-l'eventuale istituzione di una banca dati in cui conservare i
campioni di materiale genetico e i dati personali dei soggetti
interessati. Ogni approfondimento al riguardo richiederà un'attenta
valutazione delle implicazioni di rilievo costituzionale che ne
deriverebbero per i diritti fondamentali della persona e, in
particolare, per la riservatezza e la dignità degli interessati; e)
alcuni disegni di legge recanti disposizioni in materia di consenso
informato e di dichiarazioni di volontà anticipate nei trattamenti
sanitari (AASS 1437, 2279 e 2943) sono all'esame congiunto della
Commissione sanità del Senato. Fra gli aspetti d'in-teresse in
materia di protezione dei dati personali, i disegni di legge
prevedono il diritto del paziente di "conoscere i dati sanitari"
che lo riguardano, diritto che però dovrebbe essere opportunamente
coordinato con il diritto di accesso ai dati personali già previsto
dall'art. 7 del Codice (oltre che con la disposizione contenuta
nell'art. 84 del Codice relativa alle modalità di comunicazione
all'interessato dei dati idonei a rivelare lo stato di salute). Le
proposte di legge introducono, poi, il "testamento di vita" e il
"mandato in previsione dell'incapacità", definiti, rispettivamente,
come l'atto scritto con cui si dispone in merito ai trattamenti
sanitari, nonché in ordine all'uso del proprio corpo, e come il
contratto con cui si attribuisce al mandatario il potere di
compiere atti giuridici in nome e nell'interesse del rappresentato
in caso di incapacità sopravvenuta. Sia il "testamento di vita",
sia il "mandato in previsione dell'in-capacità" sarebbero
conservati in un registro informatico istituito nell'ambito di un
archivio unico nazionale presso il Consiglio nazionale del
notariato, consultabili, in via telematica, da notai, autorità
giudiziaria, dirigenti sanitari e medici responsabili del
trattamento di soggetti ove ricorrano le condizioni di incapacità
previste dal disegno di legge. Il contenuto del testamento di vita
e le convenzioni oggetto del mandato non verrebbero considerati, ai
fini dell'applicazione della norma, dati sensibili. Anche per
questi aspetti, le disposizioni richiedono un diverso e adeguato
coordinamento con la normativa in materia di protezione dei dati
personali; f ) il disegno di legge comunitaria 2004 (AS 2742-B), il
cui art. 8 conferisce delega al Governo per il recepimento della
direttiva 2003/6/CE del Parlamento europeo e del Consiglio del 28
gennaio 2003, relativa all'abuso di informazioni privilegiate e
alla manipolazione del mercato (cd. abusi di mercato). La
disposizione, originariamente all'esame delle Commissioni VI e X
della Camera nell'ambito del testo di riforma della normativa in
materia di tutela del risparmio, attribuisce alla Consob poteri di
informazione e di indagine in relazione ai quali l'Autorità ha
suggerito alla Commissione per le politiche dell'Unione europea
della Camera alcune proposte emendative volte ad armonizzarne il
testo con le disposizioni del Codice, in particolare per quanto
riguarda l'applicazione delle garanzie in materia di comunicazione
o diffusione dei dati e di acquisizione di dati di traffico; g) il
disegno di legge di riforma della legge 7 agosto 1990, n. 241 (AS
1281-B) in relazione al quale l'Autorità ha segnalato alla
Commissione affari costituzionali del Senato la necessità di alcune
modifiche in vista di un opportuno coordinamento con le norme del
Codice che disciplinano l'accesso ai dati personali, anche per
quanto riguarda la prevista "collaborazione" fra il Garante e la
Commissione per l'accesso ai documenti amministrativi, istituita
presso la Presidenza del Consiglio, in procedimenti nei quali
rilevino allo stesso tempo questioni concernenti l'accesso ai
documenti e a dati personali. Solo due delle proposte suggerite
dall'Autorità sono state, poi, approvate dal Senato; h) il progetto
di riforma della normativa in materia di fallimento (r.d. 16 marzo
1942, n. 267), predisposto da un comitato ristretto istituito
nell'ambito della Commissione giustizia del Senato, che presenta
alcuni aspetti di interesse in materia di protezione dei dati
personali, sui quali la predetta Commissione ha richiesto,
informalmente, un contributo all'Autorità per un più ampio
approfondimento della materia; i) nell'ambito dei lavori in
Commissione giustizia del Senato per la modifica del codice di
procedura civile (AS 2430, approvato dalla Camera), cui si è già
fatto cenno nella Relazione 2003, l'Autorità ha segnalato
l'opportunità di armonizzare alcune disposizioni del testo con le
modifiche apportate dal Codice in materia di notifica di atti
giudiziari e di pubblicazione degli avvisi di esecuzione
immobiliare (art. 490 c.p.c., modificato dall'art. 174, comma 9,
del Codice); l) sono stati seguiti i lavori relativi ad alcune
indagini conoscitive riguardanti tematiche d'interesse, fra le
quali, in particolare, l'indagine sull'armonizzazio-ne dei sistemi
di gestione dell'anagrafe tributaria, presso la competente
Commissione parlamentare di vigilanza. In tale ambito, il 21
gennaio 2004 si è tenuta un'audizione del Presidente del Garante,
nella quale si sono auspicate modalità armonizzate nella
circolazione delle informazioni personali conservate nelle anagrafi
tributarie dei vari Paesi europei, rispettose dei principi di
protezione dei dati. Il documento conclusivo dell'indagine
approvato il 6 aprile 2004, nel riportare le indicazioni del
Garante, dà risalto al sistema delle garanzie e di tutela degli
interessati, mettendo in luce l'importanza del rispetto delle
disposizioni del Codice per assicurare un equilibrio fra le
esigenze di riservatezza e quelle di conoscenza dei dati di tipo
fiscale ed economico, anche in ambito europeo.
II - L'attività svolta dal Garante
Prologo
I compiti del Garante, in buona parte descritti all'art. 154 del
Codice (ma non esauribili in questa disposizione) sono molteplici
ed implicano attività dal contenuto composito. Per renderne conto
compiutamente, questa sezione della Relazione è idealmente
strutturata in due corpi: il primo (compreso tra i paragrafi 2 e
16), è orientato sui macro-settori nei quali le norme contenute nel
Codice incidono (semplificando: trattamenti in ambito pubblico,
attività economiche e libertà fondamentali e tecnologie
dell'informazione); il secondo (compreso tra i paragrafi 17 e 23),
tralasciando il criterio della materia, mette in luce la multiforme
tipologia di attività posta in essere dal Garante e dall'Ufficio, a
livello nazionale e sovranazionale, finalizzata all'attuazione
della disciplina di protezione dei dati.
2 Trattamenti effettuati in ambito pubblico
2.1. Notazioni introduttive
A otto anni
dall'introduzione nel nostro ordinamento della disciplina di
protezione dei dati personali, il settore pubblico manifesta (anche
alla luce dei quesiti pervenuti al Garante nel 2004) una crescente
consapevolezza dei valori sottesi al Codice. Ciononostante, e
malgrado l'impegno profuso in varie forme dall'Autorità (ad
esempio, attraverso risposte a quesiti, attività di comunicazione,
formazione ed informazione svolte; per queste ultime v. i par.
23.1. e ss.) nel sensibilizzare le amministrazioni pubbliche,
permane in alcuni contesti una inattuazione (o parziale attuazione)
delle disposizioni poste in materia di trattamento dei dati
personali, soprattutto con riferimento a quelli sensibili (e
giudiziari). A testimoniare poi l'esistenza di flussi di
informazioni personali diversi da quelli sensibili e giudiziari tra
enti pubblici, anche in assenza di una norma di legge o di
regolamento che li preveda (flussi pur necessari per lo svolgimento
delle funzioni istituzionali di uno degli enti coinvolti), stanno
le numerosissime comunicazioni pervenute all'Autorità ai sensi
degli artt. 19, comma 2 e 39, comma 1, lett. a) del Codice
(analiticamente menzionate nel successivo par. 2.2). Il settore
pubblico resta uno dei contesti nei quali, per i motivi più vari,
persiste la difficoltà di una applicazione piena - che non si
risolva nel mero assolvi-mento di adempimenti puramente formali -
dei principi di protezione dei dati personali. Se obiettivo
prioritario del Garante è tuttora la "messa in sicurezza" dei
trattamenti più delicati (quelli aventi ad oggetto il trattamento
dei dati sensibili) o delle modalità più pericolose di trattamento
delle informazioni (prime fra tutte le interconnessioni), le
pagine a seguire renderanno conto dei mille rivoli nei quali
l'Autorità, costantemente sollecitata e pur potendo disporre di
risorse assai limitate, è chiamata ad intervenire.
2.2. Regolamenti sui trattamenti di dati sensibili
egiudiziari
Come è noto, i soggetti pubblici possono trattare i dati sensibili
esclusivamente in base ad un'espres-sa disposizione di legge nella
quale siano specificati i tipi di dati, le operazioni eseguibili e
le finalità di rilevante interesse pubblico perseguite. In presenza
di una disposizione primaria che si limiti unicamente a specificare
solo la finalità di rilevante interesse pubblico, tali soggetti
devono identificare e rendere pubblici i tipi di dati sensibili o
giudiziari, nonché le operazioni eseguibili in relazione alle
finalità perseguite nei singoli casi, al fine di rendere legittimo
il trattamento: a tale scopo, sono tenuti ad adottare o a
promuovere l'adozione di un atto di natura regolamentare che sia
conforme al parere reso dal Garante sui relativi progetti (parere
che, nell'ottica di garantire il principio di semplificazione
nell'eleva-ta tutela, può essere fornito anche su schemi-tipo).
Nonostante tale adempimento fosse già contemplato dalla legge n.
675/1996, il Codice, prevedendo un ulteriore periodo transitorio di
adeguamento per le amministrazioni, aveva indicato, in un primo
tempo, il 30 settembre 2004, termine successivamente prorogato al
31 dicembre 2005, quale scadenza perentoria per l'adozione dei
predetti regolamenti previsti dagli artt. 20 e 21 (legge 27 luglio
2004, n. 188, di conversione del decreto-legge 24 giugno 2004, n.
158).
Al fine di agevolare l'adozione dei menzionati regolamenti, il
Garante ha mantenuto e ampliato le forme di collaborazione con le
pubbliche amministrazioni già avviate negli anni passati,
finalizzate all'elaborazione dei menzionati schemi-tipo, prestando
particolare attenzione ai contenuti delle schede che identificano
la tipologia di dati sensibili trattati e le operazioni eseguibili
in relazione alle finalità perseguite. Nel corso dell'anno
l'Autorità è stata interpellata sul punto anche da altri soggetti
pubblici tra i quali, in particolare, si segnalano la Crui
(Conferenza dei rettori delle università italiane), nonché
l'Istituto nazionale di fisica nucleare.
L'Autorità ha inoltre collaborato su richiesta alla predisposizione
di una direttiva del Dipartimento della funzione pubblica,
finalizzata a richiamare l'atten-zione delle amministrazioni sulle
prescrizioni del Codice che incidono maggiormente nel settore
pubblico e che richiedono l'adozione di efficaci scelte
organizzative per tradurre sul piano sostanziale le garanzie
previste dal legislatore, nonché sulle conseguenze connesse alla
loro mancata attuazione. In chiave di semplificazione, con la
direttiva in fase di definitiva formalizzazione, le amministrazioni
sono state esortate ad avviare ogni iniziativa utile ad
identificare settori di attività, comuni a più enti, per i quali si
possa procedere ad un'elaborazione congiunta di schemi tipo da
sottoporre all'attenzio-ne del Garante, avvalendosi della
collaborazione del Dipartimento della Funzione pubblica medesimo,
che intraprenderà a tale scopo le necessarie attività di
coordinamento. In vista della scadenza del 31 dicembre 2005,
l'Autorità si riserva di fornire ulteriori chiarimenti ed
indicazioni di carattere generale in aggiunta a quelle, già
dettagliate, del 17 gennaio 2002 (in Bollettino n. 24 del 2002, p.
40-45).
Anche la collaborazione avviata dall'Autorità con gli organismi
rappresentativi delle autonomie locali (Anci, Upi e Uncem) ha
ricevuto un ulteriore impulso nel corso del 2004. La fase della
consultazione è altresì proseguita con le regioni, riunite
nell'ambito della Segreteria della conferenza dei presidenti delle
regioni e delle province autonome di Trento e Bolzano, sotto il
coordinamento del Cisis (Centro interregionale per il sistema
informatico e il sistema statistico).
Nel quadro della collaborazione instauratasi, è stata redatta una
prima bozza di regolamento per i comuni e le comunità montane
contenente la denominazione dei trattamenti effettuati, la fonte
normativa, le rilevanti finalità di interesse pubblico perseguite,
i tipi di dati trattati e di operazioni eseguibili, nonché la
sintetica, ma esauriente, descrizione dei trattamenti e dei flussi
informativi. Lo schema di regolamento per il trattamento dei dati
sensibili e giudiziari è stato messo a disposizione delle
amministrazioni comunali e delle comunità montane, dal 25 maggio al
15 giugno 2004, sul sito dell'Ancitel , al fine di stimolare
proposte di modifica, suggerimenti, integrazioni ed osservazioni e
perfezionare ulteriormente il documento che, una volta approvato
dall'Autorità, costituirà lo schema-tipo in conformità al quale gli
enti citati potranno adottare - senza dover più richiedere il
parere formale del Garante ai sensi del-l'art. 20, comma 2, del
Codice - i propri atti regolamentari, salvo che debbano procedere a
specifici trattamenti non considerati nel contesto generale.
Analoghe forme di collaborazione sono intercorse con l'Unione delle
Province d'Italia (UPI) per la stesura di corrispondenti schemi di
regolamento utili per le amministrazioni provinciali: anche in
questo caso, è imminente la pubblicazione del modello predisposto
sul sito web dell'organo rappresentativo, per raccogliere pure in
questo ambito, eventuali proposte di integrazione e suggerimenti
prima che il Garante esprima il parere di competenza e lo ponga
formalmente a disposizione delle province.
Con riferimento, invece, alla collaborazione con le regioni, è
stato istituito un gruppo di lavoro interregionale, con la
partecipazione del Garante, del Ministero della salute, degli
assessorati alla sanità e delle aziende sanitarie locali, in
considerazione della necessità di includere nello schema di
regolamento anche i trattamenti di dati relativi alla salute. Ciò,
alla luce della nuova disciplina dettata in argomento dal Codice,
che non prevede più una specifica competenza del Ministero della
salute a regolamentare tali trattamenti (a differenza dell'art. 23,
comma 1-bis, della legge n. 675/1996) e demanda tale incombenza
all'iniziativa delle diverse amministrazioni.
In considerazione della peculiarità dei trattamenti da parte delle
Asl, si è ritenuto opportuno istituire un sottogruppo di esperti,
costituito dai rappresentanti degli assessorati in materia, che si
è soffermato sui trattamenti di dati sanitari di competenza delle
regioni predisponendo lo schema-tipo per i trattamenti di
competenza delle aziende sanitarie da inserire nello schema di
regolamento regionale. Pur essendo stata redatta una prima bozza di
regolamento nel corso del 2004, la già menzionata proroga al 31
dicembre 2005 del termine per l'adozio-ne degli atti regolamentari
(inizialmente prevista per il 30 settembre 2004) ha offerto la
possibilità di svolgere ulteriori approfondimenti, potendosi così
tenere conto anche delle ulteriori proposte modificative o
integrative e delle osservazioni pervenute recentemente al gruppo
tecnico e sottoposte successivamente all'attenzione del
Garante.
2.3. Trasparenza dell'attività amministrativa e accesso
ai documenti
Il difficile equilibrio tra la trasparenza dell'attività
amministrativa e la tutela della riservatezza ha costituito oggetto
di attenta riflessione da parte del Garante che, al pari degli anni
passati, è stato interpellato in più circostanze in merito. È stata
sottoposta al vaglio del Garante la prassi, seguita da alcuni enti
locali, di acquisire copia del documento di identità dei soggetti
che, a diverso titolo (ad es. residenti e domiciliati in
determinate zone), chiedono il rilascio del permesso di
acces-so/sosta nelle zone urbane a traffico limitato. Tale
trattamento dei dati personali è stato ritenuto legittimo - anche
in conformità al nuovo Codice della strada (art. 7 del d.lg. 30
aprile 1992, n. 285) e alla normativa in materia di documentazione
amministrativa (art. 45 del d.P.R. 28 dicembre 2000, n. 445) -
poiché rientra tra le finalità istituzionali dei comuni (art. 18,
commi 2 e 3, del Codice) e non contrasta i principi di pertinenza e
non eccedenza, di cui all'art. 11, comma 1, lett. d ), del Codice
(Nota 28 ottobre 2004).
Ulteriori problemi ha sollevato la compatibilità dello specifico
regime di pubblicità dell'albo dei beneficiari di provvidenze
economiche, istituito ai sensi dell'art. 1 del d.P.R. 7 aprile
2000, n. 118, con le disposizioni in materia di tutela della
riservatezza; l'Autorità ha ritenuto lecita la diffusione
indifferenziata dei nominativi dei beneficiari unitamente
all'in-dicazione della normativa che autorizza l'erogazio-ne (art.
1, comma 2, del citato d.P.R. n. 118/2000) escludendo, invece,
l'indicazione in quella stessa sede di ulteriori dati personali
(quali, ad esempio, l'indirizzo, il codice fiscale o l'importo
dell'erogazio-ne) ritenuti non pertinenti ed eccedenti rispetto
alle finalità perseguite. In considerazione del divieto di
diffondere i dati sulla salute (artt. 22, comma 8, e 68, comma 3,
del Codice), è stato precisato che eventuali elenchi di soggetti
beneficiari di assegni di cura o di prestazioni sanitarie non
devono contenere i nominativi o le iniziali degli interessati, né
il puntuale riferimento a disposizioni di legge (come nel caso
della legge 5 febbraio 1992, n. 104 in materia di assistenza,
integrazione sociale e diritti delle persone handicappate) da cui
possano desumersi le cause dell'eroga-zione: possono essere invece
utilizzate, a fini di trasparenza, diciture generiche o codici
numerici (Nota 2 novembre 2004).
Aspetto importante della tematica relativa alla trasparenza è la
conciliabilità del diritto di accesso con il diritto alla
riservatezza: permangono in merito numerose le richieste di
chiarimenti.
A tal proposito, tra le questioni maggiormente significative si
segnala una richiesta di chiarimenti sul-l'ostensibilità di
documenti amministrativi concernenti l'attività lavorativa dell'ex
coniuge detenuti dal Servizio ispezione del lavoro (Nota 26 aprile
2004). Sul punto il Garante è stato consultato anche da una
pubblica amministrazione con riferimento alla richiesta di accesso,
presentata da parte dell'ex coniuge di un proprio dipendente, volta
ad ottenere copia della documentazione contabile relativa alla
situazione retributiva del dipendente medesimo al fine di avviare
un'azione giudiziaria per la rideterminazione di un assegno di
mantenimento (Nota 20, luglio 2004). In entrambe le occasioni
l'Autorità ha evidenziato che la normativa in materia di protezione
dei dati personali non ha abrogato le norme vigenti in materia di
accesso ai documenti amministrativi (artt. 59 e 60 del Codice), le
quali attribuiscono al cittadino che vi abbia interesse per la
tutela di situazioni giuridicamente rilevanti il diritto di
accedere ai documenti detenuti dalle amministrazioni pubbliche
(artt. 22 e ss. legge 7 agosto 1990, n. 241). È stato quindi
sottolineato che spetta all'amministrazione destinataria della
richiesta di accesso verificare, caso per caso, l'interesse e i
motivi sottesi alla relativa istanza, nonché valutare la
sussistenza di una delle ragioni per le quali il documento può
essere sottratto alla conoscibilità del richiedente, essendo la
stessa in possesso di tutti i necessari elementi di ponderazione
della istanza di accesso. Con riferimento ad una richiesta di
accesso ad un rapporto informativo concernente un dirigente
scolastico, redatto in seguito ad un accertamento ispettivo, il
Garante ha ricordato che il rispetto della normativa in materia di
accesso ai documenti amministrativi è requisito di liceità del
trattamento. Pertanto, l'Autorità ha ribadito che, qualora il
documento sia stato illecitamente reso accessibile, come nel caso
specifico, i dati ivi contenuti sono inutilizzabili stante la
violazione di una disciplina rilevante in materia di protezione dei
dati personali (art. 11, comma 2, del Codice) (Nota 16 luglio
2004).
L'Autorità è stata chiamata a precisare ulteriormente il rapporto
tra il diritto di accesso e quello alla protezione dei dati
personali con specifico riferimento alla possibilità per i comuni
di accedere ad elenchi dettagliati detenuti dalle società
concessionarie del-l'erogazione di pubblici servizi contenenti i
dati degli intestatari dei contratti di fornitura. In particolare
il Garante ha chiarito che ai fini della comunicazione si può
prescindere dal consenso dell'interessato nel caso in cui
sussistano esigenze di istituzione o completamento del catasto
degli impianti termici, alla luce dell'art. 17 del d.P.R., n.
551/1999, il quale ha espressamente previsto che le società
distributrici di combustibile comunichino agli enti locali che ne
facciano richiesta la titolarità degli impianti da esse riforniti
nel corso degli ultimi dodici mesi (Nota 1° marzo 2004).
È allo studio dell'Autorità la predisposizione di un documento
sulla delicata questione del diritto di accesso dei consiglieri
comunali e provinciali, già oggetto di talune pronunce in casi
specifici nel corso dell'anno. Con riferimento alla possibilità di
consentire ad alcuni consiglieri comunali l'acquisi-zione di
informazioni sui cespiti relativi ad un piano di dismissione del
patrimonio immobiliare di un comune, ivi inclusi i nominativi degli
utenti assegnatari delle singole unità immobiliari, ed ulteriori
dati di carattere sensibile, il Garante ha evidenziato che il
Codice non ha abrogato o modificato la specifica disposizione di
legge che riconosce ai consiglieri comunali e provinciali il
diritto di ottenere dagli uffici del comune, comprese aziende ed
enti collegati, informazioni utili all'espletamento del loro
mandato, nel rispetto del segreto d'ufficio e del principio di
pertinenza e non eccedenza, ai sensi dell'art. 43, comma 2, d.lg.
18 agosto 2000, n. 267 (Nota 13 settembre 2004). Nell'ipotesi in
cui l'accesso da parte dei consiglieri comunali riguardi dati
sensibili, l'esercizio di tale diritto, ai sensi dell'art. 65,
comma 4, lett. b), del Codice, è consentito se indispensabile per
lo svolgimento della funzione di controllo, di indirizzo politico,
di sindacato ispettivo e di altre forme di accesso a documenti
riconosciute dalla legge e dai regolamenti degli organi interessati
per consentire l'esple-tamento di un mandato elettivo. Resta ferma
la necessità, come già accennato nel par. 1.4., che i dati così
acquisiti siano utilizzati per le sole finalità connesse
all'esercizio del mandato, rispettando in particolare il divieto di
divulgazione dei dati idonei a rivelare lo stato di salute. Spetta
quindi all'amministrazione destinataria della richiesta accertare
l'ampia e qualificata posizione di pretesa all'in-formazione
ratione officii del consigliere comunale. Il medesimo orientamento
è stato espresso con riferimento alla possibilità di consentire a
un consigliere comunale l'acquisizione di informazioni relative ad
una comunità di nomadi Rom coinvolti in un progetto di assistenza
ed integrazione sociale intrapreso in loro favore da un comune
(Nota 10 novembre 2004).
Il Garante ha poi precisato, come in passato, che il diritto di
accesso si configura in termini diversi con riferimento ad altri
esponenti istituzionali del comune: tale è il caso del diniego
opposto ad un sindaco di acquisire copia di tutti i ricorsi
proposti dai trasgressori del Codice della strada, corredati dalle
deduzioni tecniche redatte dal locale Comando di polizia
municipale. Il d.lg. n. 267/2000 dispone, a differenza di quanto
previsto per i consiglieri, che il sindaco e i singoli assessori
per gli specifici settori ad essi delegati, debbano unicamente
sovrintendere al funzionamento degli uffici e dei servizi, non con
atti di diretta gestione, ma con direttive generali. L'ordinamento
degli enti locali, infatti, prevede il principio della distinzione
tra le funzioni di indirizzo e controllo politico-amministrativo,
che spettano agli organi di governo dell'ente, e l'attuazione e
gestione amministrativa, che competono ai dirigenti. Pertanto, nel
solo caso in cui la richiesta di informazioni, anche di natura
sensibile, sia indispensabile al sindaco per espletare la funzione
di controllo poli-tico-amministrativo sull'andamento dell'ufficio
del personale, l'acquisizione dei dati può risultare conforme alle
norme rilevanti in tema di protezione dei dati. Di contro, in
assenza delle ricordate finalità di rilevante interesse pubblico,
la comunicazione di questi dati, specie se non generalizzata, non è
legittima e l'accesso da parte del sindaco non è consentito (Nota
22 ottobre 2004).
Un ulteriore caso particolare è stato portato all'atten-zione del
Garante da un'associazione, in merito alla richiesta da parte di un
difensore civico di conoscere eventuali provvedimenti adottati nei
confronti di un educatore (a seguito del rinvio a giudizio di
quest'ulti-mo per maltrattamenti a danno di soggetti disabili
affidatigli). Sulla base degli elementi disponibili riguardo ai
poteri informativi dello specifico difensore civico richiedente,
l'Autorità non ha ravvisato una specifica funzione idonea a
consentire l'acquisizione delle informazioni richieste
all'associazione, in mancanza del consenso dell'interessato,
necessario ai sensi dell'art. 24 del Codice (Nota 3 maggio
2004).
Rispettoso del principio di pertinenza è stato giudicato anche il
trattamento dei dati personali riportati nel tesserino di
riconoscimento delle guardie ecologiche volontarie di una
provincia: al riguardo, la normativa di settore (in particolare il
regolamento della provincia in questione) indica espressamente gli
elementi identificativi destinati ad essere riportati nel documento
(le generalità, la fotografia, i connotati e gli estremi del
decreto di guardia particolare giurata), disciplinandone, inoltre,
l'uso in caso di esibizione per lo svolgimento dei particolari
compiti attribuiti (Nota 9 settembre 2004).
2.4. Il principio del cd. pari rango
Profili particolari riguardano l'accesso ai documenti
amministrativi contenenti dati idonei a rivelare lo stato di salute
o la vita sessuale. Infatti, in tal caso il trattamento è
consentito se la situazione giuridicamente rilevante che si intende
tutelare con la richiesta di accesso è di rango almeno pari ai
diritti del-l'interessato, ovvero consiste in un diritto della
personalità o in un altro diritto o libertà fondamentale e
inviolabile (art. 60 del Codice). In proposito, il Garante ha già
chiarito che il destinatario della richiesta, al fine di stabilire
se il diritto dedotto dal richiedente vada considerato "di pari
rango" rispetto a quello della persona cui si riferiscono i dati,
deve fare riferimento non al "diritto di azione e difesa" - che
pure è costituzionalmente garantito - quanto alla situazione
giuridica soggettiva sottostante che il terzo intende far valere
(v.: già Provv. 9 luglio 2003, in Relazione 2003, p. 64). I
predetti principi, affermati anche dalla giurisprudenza del
Consiglio di Stato, sono stati posti all'at-tenzione dell'Autorità
in varie circostanze. È in avanzato stadio di trattazione la
richiesta di chiari-menti di un'amministrazione alla quale un
Comando provinciale della Guardia di finanza aveva chiesto copia
degli atti relativi al procedimento a carico di un finanziere per
l'applicazione della sanzione amministrativa prevista per la
fattispecie colposa del reato di atti osceni (art. 527, comma 2,
c.p.). La documentazione oggetto della richiesta potrebbe contenere
dati sensibili riconducibili, ad esempio, ad informazioni idonee a
rivelare la vita sessuale dell'interessato. L'Autorità si è,
invece, pronunciata in merito alla richiesta di chiarimenti
avanzata da un comune circa la possibilità da parte delle strutture
sanitarie di rilasciare ad un consigliere comunale, ai sensi
dell'art. 43 del d.lg., n. 267/2000, copia di un referto medico
riguardante un terzo (Nota 30 settembre 2004). Ciò comporta, in
sintesi, che nella prevalenza dei casi riguardanti solo diritti di
credito non sia possibile accogliere l'istanza di accesso e di
comunicazione, e che si possa invece valutare, sia pure con cautela
e caso per caso, l'effettiva necessità di consentire l'accesso ad
una cartella clinica - prima della sua probabile acquisizione su
iniziativa del giudice in caso di controversia risarcitoria per
danni ascritti all'attività professionale medica documentata nella
cartella stessa.
La questione dei limiti alla comunicazione di dati sulla salute e
sulla vita sessuale a persone diverse dall'interessato ha assunto
spesso rilevanza nel caso di richieste di accesso a cartelle
cliniche detenute presso strutture sanitarie, a volte formulate da
un difensore nell'ambito delle cd. indagini difensive (art.
391-quater c.p.p.). Anche in tal caso l'Autorità ha ribadito che le
pubbliche amministrazioni non necessitano di una specifica
autorizzazione del Garante ai fini dell'accoglimen-to di richieste
di accesso ai documenti o di comunicazione di dati personali
formulate ai sensi della disciplina delle indagini difensive
introdotta dalla legge 7 dicembre 2000, n. 397. Dal momento che il
Codice, come già ricordato, non ha abrogato le norme vigenti in
materia di accesso ai documenti amministrativi (art. 59 del
Codice), le disposizioni contenute nell'art. 391-quater del c.p.p.
vanno ritenute un'idonea fonte normativa per la comunicazione
all'esterno di dati personali che va comunque inquadrata
sistematicamente (v., ad esempio, art. 71 del Codice). Spetta
pertanto all'amministrazione destinataria della richiesta, che
dispone di tutti gli elementi a ciò necessari, accertare, caso per
caso, la sussistenza dei presupposti per l'esercizio di tale
facoltà, compresa la legittimazione del soggetto che ha formulato
l'istanza di accesso (Nota 15 ottobre 2004).
2.5. Pubblici registri, elenchi, atti e documenti
conoscibili da chiunque
Nel corso dell'anno il Garante si è pronunciato su alcune questioni
relative al trattamento dei dati contenuti in pubblici registri,
elenchi, atti e documenti conoscibili da chiunque.
In particolare, l'Autorità è stata chiamata a chiarire il regime di
pubblicità del registro delle quote-latte tenuto dall'Agenzia per
le erogazioni in agricoltura (AGEA) all'interno del Sistema
informativo agricolo nazionale (SIAN). Al riguardo, è stata
evidenziata la base normativa che consente l'integrale
consultabilità (anche in via telematica attraverso il sito Internet
del SIAN) del predetto registro da chiunque ne abbia interesse,
lasciando invece all'Agenzia la valutazione circa la possibilità di
estendere la piena conoscibilità anche alle informazioni relative
al periodo antecedente all'istituzione del registro (Nota 27
settembre 2004).
Un'altra questione all'esame dell'Autorità riguarda la possibilità
di divulgare tramite il sito web dell'ACI l'elenco dei demolitori
autorizzati all'esercizio delle operazioni di "rottamazione" dei
veicoli fuori uso: in proposito, il Garante ha ribadito le
indicazioni già fornite in un'altra occasione (Nota 16 giugno
1999), facendo presente che la diffusione del predetto elenco è
lecita solo se prevista da apposita disposizione di rango normativo
primario o secondario, non essendo sufficiente in tal senso la sola
previsione contenuta in un regolamento interno dell'ACI (Nota 29
dicembre 2004).
In sede di ricorso è stata ritenuta infondata, allo stato della
normativa all'epoca applicabile, la richiesta di cancellazione dei
dati relativi ad un'ipoteca avanzata nei confronti di una società
che fornisce informazioni commerciali. Tali dati, relativi alla
proprietà immobiliare e detenuti dai competenti uffici
dell'Agenzia del territorio competenti erano, infatti, pubblici e
quindi accessibili a chiunque ed utilizzabili anche senza il
consenso degli interessati (art. 24, comma 1, lett. c). Pertanto,
la loro estrazione e comunicazione a terzi da parte di società che
operano nel settore dell'infor-mazione societaria e commerciale
erano, allo stato, lecite (Provv. 20 maggio 2004). Sul punto,
tuttavia, è intervenuto da ultimo il legislatore che, con la legge
finanziaria 2005, al fine di contrastare fenomeni di elusione
fiscale e di tutelare la fede pubblica, ha introdotto una
disposizione che, di regola, vieta la riutilizzazione commerciale
delle informazioni contenute negli archivi catastali e nei pubblici
registri immobiliari tenuti dagli uffici dell'Agenzia del
territorio (art. 1, commi 367 e ss., legge 30 dicembre 2004, n.
311). L'eventuale possibilità di riutilizzare per fini commerciali
tali informazioni verrebbe subordinata alla stipula di specifiche
convenzioni con la stessa Agenzia, le quali dovrebbero
disciplinare, a fronte del preventivo pagamento dei tributi dovuti,
le modalità ed i termini della raccolta, della conservazione,
dell'elaborazione dei dati, nonché il controllo del limite di
riutilizzo consentito. Va però rilevato che l'applicazione di tali
disposizioni dovrà essere coordinata con le scelte normative già
fatte da Governo e Parlamento nel Codice, anche in attuazione di
raccomandazioni del Consiglio d'Europa, tenendo conto, in
particolare, del principio di compatibilità con gli scopi per i
quali i dati sono stati raccolti, e affidando al Garante la
promozione di codici deontologici che dovranno regolare la materia
(artt. 61 e 118 del Codice).
2.6. Documentazione anagrafica e materia
elettorale
A seguito delle modifiche introdotte dal
Codice nella materia anagrafica, dello stato civile e delle liste
elettorali, sono pervenuti numerosi quesiti volti ad ottenere
chiarimenti; più precisamente, il Codice ha integrato la disciplina
sull'utilizzo degli elenchi anagrafici da parte delle pubbliche
amministrazioni, prevedendo espressamente che rientrano tra gli
scopi di pubblica utilità anche quelli relativi all'applicazione
della disciplina in materia di comunicazione istituzionale e che
può farne uso per tale finalità anche il comune presso il quale è
istituita l'anagrafe. Al riguardo, l'Autorità si è pronunciata su
un ricorso relativo all'invio a cittadini minorenni, da parte di un
comune, di un invito a partecipare alla sagra patronale ed alla
festa di Halloween organizzate dall'en-te. Il Garante non ha
riscontrato, sulla base degli elementi forniti dalle parti,
specifiche violazioni in quanto i dati trattati non erano
conservati presso il comune e le comunicazioni erano state inviate
direttamente dall'ente con la sola intenzione di fare conoscere ai
bambini il contenuto delle iniziative ricreative organizzate
(Provv. 30 gennaio 2004). Sono stati avviati però specifici
accertamenti al fine di verificare la liceità del trattamento e la
correttezza del comportamento del comune, soprattutto con
riferimento all'acquisizione dei dati dei minori.
Significativa è stata anche la collaborazione richiesta al Garante
dal Ministero dell'interno per la definizione di una bozza di
accordo tra la Repubblica federale tedesca e la Repubblica italiana
sullo scambio reciproco di dati tra gli uffici anagrafici
nel-l'ambito dei trasferimenti di domicilio degli abitanti (vale a
dire delle persone fisiche sulle quali ricadono obblighi anagrafici
ai sensi della normativa statale interna, indipendentemente dalla
loro cittadinanza), da e verso i rispettivi territori nazionali. In
proposito il Garante ha evidenziato, con riferimento
all'istituzione presso ciascuno Stato contraente di un "ufficio
centrale" nazionale competente a gestire il flusso di dati tra i
due Paesi, che la disciplina sulle modalità di utilizzazione anche
esterna delle banche dati ed il connesso obbligo per gli uffici
anagrafici di comunicare dati a tale ufficio centrale, devono
essere previsti da norme di legge o di regolamento, in conformità
all'art. 19 del Codice. Inoltre, l'Autorità ha rilevato il rischio
di vanificare la disciplina anagrafica tramite la previsione
contenuta nella bozza di accordo in questione, in quanto i flussi
di comunicazioni anagrafiche che si intendono attivare modificano
profondamente la specifica normativa di settore (cfr.: d.P.R. 30
maggio 1989, n. 223; legge 15 maggio 1997, n. 127). Il Garante ha
osservato che simili modifiche potrebbero essere introdotte solo
sulla base di una previa disposizione legislativa che le preveda e
ne determini i caratteri fondamentali, nel rispetto di necessarie
cautele quali, in particolare, la non eccedenza delle informazioni
trasmesse rispetto alle finalità perseguite (Nota 14 settembre
2004). Alla luce di tali considerazioni, su richiesta del Ministero
dell'interno, si è aperto un tavolo di lavoro presso l'Autorità al
fine di esaminare congiuntamente i profili più delicati
del-l'iniziativa ed individuare idonee soluzioni anche nell'ambito
della disciplina vigente ed avvalendosi dell'Indice nazionale delle
anagrafi (Ina).
La collaborazione proficuamente avviata con il Ministero
dell'Interno ha trovato conferma anche in altri ambiti: il Garante,
infatti, è stato chiamato a prendere parte, assieme ad altre
istituzioni, al Comitato tecnico per la predisposizione di uno
studio finalizzato alla revisione della normativa anagrafica, alla
luce delle innovazioni riguardanti l'Ina ed il Sistema di accesso
ed interscambio anagrafico (Saia).
Una questione particolarmente delicata in materia è all'esame
dell'Autorità, con riferimento alla possibilità di rilasciare ad un
istituto enciclopedico privato informazioni sullo status di figlio
adottivo di un noto imprenditore, al fine di completarne la
biografia da inserire nel dizionario degli imprenditori italiani.
La normativa fa espresso divieto dell'indicazione della paternità e
della maternità nelle attestazioni di stato civile riferite
all'adottato (cfr.: artt. 26, comma 4, 28, comma 2, e 73, comma 1,
della legge 4 maggio 1983, n. 184, in materia di adozioni), negli
estratti per riassunto degli atti dello stato civile, nonché nei
certificati relativi agli atti di nascita, di matrimonio, di
cittadinanza, negli atti attestanti lo stato di famiglia e nelle
pubblicazioni di matrimonio esposte al pubblico (art. 1 della legge
31 ottobre 1955, n. 1064, richiamata dall'art. 108, comma 3 del
d.P.R. 3 novembre 2000, n. 396). Peraltro, la disciplina in materia
di protezione dei dati personali se, da un lato, autorizza, in
linea generale, il rilascio degli estratti degli atti dello stato
civile una volta decorsi settanta anni dalla loro formazione (cfr.:
art. 177, comma 3, del Codice), dall'altro fa salve le disposizioni
di legge che stabiliscono divieti o limiti più restrittivi in
materia di trattamento di "taluni" dati personali (art. 184, comma
3). Occorre quindi valutare il rilievo dei predetti divieti
stabiliti dalla legge sull'adozione.
L'Autorità è stata anche interpellata sulla fondatezza della
richiesta formulata da uno studio di ricerche genealogiche, volta
ad ottenere l'autorizzazione ad effettuare ricerche presso i
servizi dello stato civile di alcuni comuni al fine di definire le
devoluzioni successorie. Sul punto, il Garante ha ricordato
che
- a partire dal 1°gennaio 2004, secondo quanto disposto dall'art.
177, comma 3, del Codice - il rilascio degli estratti degli atti
dello stato civile è consentito unicamente ai soggetti cui l'atto
si riferisce, oppure su motivata istanza comprovante l'interesse
personale e concreto del richiedente ai fini di tutela di una
situazione giuridicamente rilevante, ovvero decorsi settanta anni
dalla formazione dell'atto. Resta ferma la possibilità che
l'ufficiale dello stato civile fornisca a richiesta singole notizie
che possono essere comunicate ai sensi dell'art. 450 c.c. (Nota 12
maggio 2004). Con riferimento, invece, al trattamento dei dati
contenuti nelle liste elettorali, il Garante è stato impegnato a
fornire chiarimenti alla luce della rilevante modifica introdotta
dal Codice che, rispetto al previo regime di piena conoscibilità e
pubblicità delle liste elettorali degli enti locali, ora prevede,
in applicazione del principio di finalità, che le liste elettorali
possano essere rilasciate in copia solo in favore di chi intende
perseguire una finalità di attuazione della disciplina in materia
di elettorato attivo o passivo, di studio, ricerca scientifica o
storica o socio-assistenziale, oppure per perseguire un interesse
collettivo o diffuso (art. 177, comma 5, del Codice). L'Autorità è
stata chiamata a pronunciarsi, tra l'al-tro, in merito al possibile
rilascio, da parte delle amministrazioni comunali, di copia delle
liste elettorali ai patronati per lo svolgimento delle loro
funzioni istituzionali. Il Garante ha chiarito che spetta
all'amministrazione destinataria dell'istanza entrare nel merito
della richiesta e valutare se la specifica finalità del loro
successivo utilizzo dichiarata da parte del richiedente sia
conforme all'attività svolta dal soggetto medesimo, nonché se
rientri effettivamente tra le ipotesi di cui al citato art. 177. In
tale occasione è stato ricordato che il Codice consente agli
istituti di patronato e di assistenza sociale, per lo svolgimento
delle proprie attività, e solo nell'am-bito di un mandato conferito
dall'interessato, di accedere alle banche di dati degli enti
eroganti le prestazioni, in relazione a tipi di dati individuati
specificamente con il consenso dell'interessato (art. 116 del
Codice) (Nota 28 luglio 2004).
In materia di immigrazione, è stato adottato un regolamento per la
razionalizzazione e l'intercon-nessione delle comunicazioni fra
amministrazioni pubbliche ai fini, in particolare, del
funzionamento dello sportello unico per il rilascio del permesso di
soggiorno (d.P.R. 27 luglio 2004, n. 242, di attuazione della legge
30 luglio 2002, n. 189), sul quale l'Autorità ha espresso parere il
4 marzo 2004. Il Dipartimento per le libertà civili e
l'immigrazione presso il Ministero dell'interno istituisce e
detiene gli archivi automatizzati in materia di immigrazione e di
asilo, ai quali accedono le pubbliche amministrazioni interessate,
individuate con decreto del Ministro medesimo. Tali archivi sono
interconnessi con i sistemi informativi delle pubbliche
amministrazioni interessate e con quelli delle regioni, delle
province autonome e degli enti locali. Su richiesta dell'Autorità,
i "controlli" sugli accessi al sistema informativo sono stati
disciplinati in conformità al principio di proporzionalità,
prevedendo che i dati personali concernenti l'identificazione degli
utenti e le operazioni di accesso agli archivi possano essere
utilizzati solo per finalità di sicurezza e di accertamento di
eventuali illeciti.
2.7. Istruzione
Anche in materia di
pubblicità degli esiti scolastici l'Autorità ha dovuto recentemente
ricordare che non è vietata la pubblicazione dei risultati degli
scrutini; al contrario, essi devono essere pubblicati, come
esplicitamente previsto dalla disciplina in materia (ordinanze
ministeriali 13 febbraio 2001, n. 29; 4 aprile 2003, n. 35; 9
febbraio 2004, n. 21).
Numerose sono state le richieste di chiarimenti in merito al
trattamento dei dati personali nel settore dell'istruzione, con
particolare riferimento alla conoscibilità di informazioni
riguardanti gli studenti. L'Autorità ha dovuto ancora una volta
precisare che non esiste alcuna disposizione del Codice o
provvedimento del Garante che imponga di tenere segreti i voti dei
compiti in classe o delle interrogazioni, né di consegnarli agli
alunni in busta chiusa. Così come non esiste alcuna disposizione
che proibisca ai medesimi di rendere nota la fede religiosa o che
ostacoli le soluzioni da tempo in atto per la partecipazione o meno
degli studenti all'ora di religione (Comunicato stampa 3 dicembre
2004).
Sono giunte al Garante numerose comunicazioni ai sensi dell'art.
39, comma 1, lett. a), del Codice da parte di istituti scolastici
che intendevano comunicare dati personali degli alunni ad altri
soggetti pubblici per lo svolgimento di finalità istituzionali, in
particolare di natura socio-assistenziale. In tali occasioni nel
ricordare che il trattamento dei dati personali deve essere
ispirato ai principi di pertinenza, proporzionalità e necessità, il
Garante ha fissato alcuni limiti a tale flusso di dati personali
degli alunni, di seguito sintetizzati:
- in merito alla richiesta di una Asl di ricevere dalle strutture
scolastiche presenti nella provincia alcuni dati personali dei
minori ivi iscritti al fine di realizzare un archivio
informatizzato per contattare gli studenti in caso di denuncia di
malattie infettive, l'Autorità ha precisato che, pur essendo
attribuito a tali enti il compito di provvedere, tra l'altro,
all'igiene e alla medicina scolastica negli istituti di istruzione
pubblica e privata di ogni ordine e grado (cfr.: art. 14, comma 3,
lett. e), l. n. 833/1978), lo stesso può essere assolto con
modalità meno invasive. Ad esempio, sarebbe possibile individuare
un responsabile interno ad ogni istituto scolastico in grado di
fornire, qualora si verifichi un evento infettivo, i dati
strettamente necessari per assicurare l'opportuno intervento
sanitario, senza creare una banca dati informatizzata relativa alla
realtà scolastica minorile di un'intera provincia (Nota 28 dicembre
2004);
- analogamente, una Asl ha richiesto l'elenco dei nomi e degli
indirizzi degli alunni iscritti nelle scuole presenti nel distretto
sanitario dell'azienda, al fine di contattare gli stessi
all'interno di una campagna contro il morbillo. Il Garante ha
osservato che la finalità di promuovere la prevenzione delle
malattie infettive attribuita alle Asl può essere utilmente
raggiunta anche senza procedere all'invio sistematico alle stesse
degli elenchi di tutti gli alunni iscritti agli istituti, mettendo
a disposizione delle famiglie il materiale informativo distribuito
dal Ministero della salute e dalle Asl presso gli istituti
scolastici (Nota 17 novembre 2004);
- alcuni istituti scolastici presenti all'interno di unostesso
comune hanno comunicato di voler avviare un progetto di gestione
integrato dell'anagrafe scolastica, contenente i dati personali
degli alunni iscritti e delle loro famiglie. Da un esame dei dati
personali richiesti è risultato che sarebbero state raccolte anche
informazioni di carattere sensibile relative ad alunni (es. stato
di handicap). In merito a tale progetto, ai sensi degli artt. 20 e
ss. del Codice, il Garante sta valutando se - in mancanza di
un'espressa previsione di legge o di regolamento che preveda
l'in-terconnessione di banche dati per la gestione integrata
dell'anagrafica scolastica comunale e tenendo conto dei principi di
indispensabilità, pertinenza e proporzionalità - la finalità di
migliorare il percorso formativo degli alunni possa essere
raggiunta con altre modalità che non comportino la creazione di
archivi contenenti dati sensibili relativi a minori, condivisi da
più soggetti pubblici;
- un assessorato regionale alla sanità ha richiestoad un'università
pubblica alcuni dati personali degli iscritti alle facoltà di
medicina e di scienze, per inviare agli studenti una lettera di
sensibilizzazione in merito alla donazione di sangue e midollo
osseo, nonché informazioni sull'autoemoteca dei volontari
dell'AVIS. Al riguardo è stato osservato che, pur sussistendo in
capo alle regioni ed ad altre amministrazioni pubbliche la funzione
di promuovere la donazione del sangue e degli emoderivati (cfr.:
art. 11, comma 3, legge 4 maggio 1990, n. 107 e Dir. P.C.M. 6
giugno 2003), tale finalità può essere raggiunta con altre
modalità, quali, ad esempio, la distribuzione di specifico
materiale informativo presso le facoltà universitarie (Nota 29
dicembre 2004).
L'Autorità ha ricordato che anche nella redazione di atti e
circolari interne contenenti dati personali è necessario rispettare
i principi di pertinenza e non eccedenza. In seguito ad una
segnalazione di un'insegnante il Garante ha ravvisato la non
conformità a tali principi del comportamento di un dirigente
scolastico che, nell'informare il personale e gli studenti di
alcune difficoltà organizzative causate dalla pendenza di
procedimenti amministrativi e giudiziari contro l'istituto, aveva
specificato anche i nominativi delle insegnanti che li avevano
avviati (Nota 25 novembre 2004).
Sono in corso alcuni approfondimenti in merito al progetto di un
istituto tecnico industriale volto al controllo elettronico della
presenza degli studenti nell'edificio scolastico, rendendo
possibile la verifica della presenza degli alunni da parte dei
genitori degli stessi tramite il sito web della scuola. Il Garante
è in procinto di definire l'istruttoria in ordine ad un caso di
monitoraggio della presenza di allievi stranieri nel territorio
provinciale effettuato da un istituto scolastico. Tale attività,
che prevede la raccolta di dati sugli alunni tramite questionari
distribuiti agli istituti d'istruzione, può comportare il
trattamento di dati sensibili dei medesimi (in particolare, di
informazioni relative all'origine razziale o etnica), nonché di
altre delicate informazioni di carattere personale, come quelle
concernenti adozioni o affidamenti.
A seguito di un ricorso (Provv. 29 dicembre 2003), il Garante ha
avviato ulteriori accertamenti in merito all'avvenuta comunicazione
ad una casa editrice, da parte di un'università statale, di alcuni
dati personali dei propri studenti. Al riguardo, è stato rilevato
che un determinato decreto rettorale non poteva ritenersi fonte
idonea a consentire tale operazione, non individuando in modo
puntuale i casi di comunicazione di dati personali degli studenti
da parte del-l'ateneo a soggetti privati. L'ateneo è stato invitato
a sospendere di propria iniziativa il trattamento in questione,
nonché ad individuare con esattezza nell'atto regolamentare le
singole ipotesi di comunicazione di dati personali degli studenti a
soggetti privati, in conformità ai principi di necessità,
pertinenza e non eccedenza dei dati rispetto alle finalità
perseguite. L'Autorità in tale occasione ha anche accertato che la
stessa università aveva fornito un'informativa incompleta agli
studenti, senza individuare le finalità, le modalità del
trattamento, nonché l'ambito di comunicazione dei dati personali
degli studenti a soggetti privati. Il Garante ha, quindi,
contestato all'università la sanzione amministrativa di cui
all'art. 161 del Codice (contestazione del 19 novembre 2004, cui è
seguito il pagamento in misura ridotta).
2.8. Notificazioni di atti e
comunicazioni
Già in passato l'Autorità ha più volte rappresentato alle pubbliche
amministrazioni l'esigenza di tutelare in maniera adeguata la
riservatezza delle persone alle quali sono notificati atti
giudiziari, verbali di contravvenzione, avvisi fiscali o altri atti
amministrativi (Provv. 22 ottobre 1998 e 26 ottobre 1999). Molte
esortazioni espresse dal Garante sono state tradotte in
disposizioni normative dal nuovo Codice, il quale ha modificato le
norme processuali interessate (art. 174) seguendo il principio
secondo cui, qualora la notificazione non possa essere eseguita
nelle mani del destinatario, la copia dell'atto deve essere
consegnata in busta sigillata e su questa non devono essere apposte
indicazioni da cui possa desumersi il contenuto dell'atto stesso.
Tale principio si applica sia nel processo civile, sia in quello
penale, nonché per le notificazioni di sanzioni amministrative e di
atti e documenti provenienti da organi delle pubbliche
amministrazioni, se effettuate a soggetti diversi dagli
interessati.
L'Ufficio del Garante ha inoltre risposto a quesiti relativi alla
notifica di violazioni finanziarie o di sanzioni disciplinari,
ribadendo che gli addetti al protocollo e il messo comunale tramite
il quale viene effettuata la notifica vanno designati quali
soggetti incaricati di svolgere le pertinenti operazioni del
trattamento; essi possono pertanto accedere al contenuto del
documento oggetto di notifica senza che ciò comporti la violazione
delle disposizioni sulla comunicazione dei dati personali, essendo
peraltro i medesimi incaricati tenuti al segreto d'uffi-cio in
virtù del loro status di dipendenti pubblici.
L'Autorità ha ricordato che l'utilizzo del fax come mezzo di
comunicazione tra pubbliche amministrazioni è espressamente
consentito dalla legge, ed ha fatto anche presente che i dipendenti
incaricati dalle amministrazioni di inviare e ricevere
comunicazioni tramite fax devono rivestire il ruolo di incaricati
del trattamento e, in quanto tali, rispettare le misure di
sicurezza e gli obblighi di riservatezza previsti dal Codice (Nota
29 dicembre 2004).
Il Garante ha precisato che, nel recapitare a mano documenti
contenenti dati relativi allo stato di salute (anche qualora il
destinatario sia un dipendente del medesimo ente), devono essere
prescelte modalità rispettose della riservatezza degli interessati,
eliminando ogni occasione di impropria conoscibilità dei dati anche
da parte delle persone fisiche incaricate del trattamento, inclusi
i messi notificatori (es., allegazione di dati sanitari in busta
chiusa; inviti all'inte-ressato a ritirare personalmente un
documento presso l'ufficio competente; comunicazione o messa a
disposizione telematica o informatica direttamente in favore del
solo interessato) (Provv. 23 luglio 2004).
L'Autorità ha evidenziato in più occasioni che il Codice ha
apportato alcune modifiche anche alle disposizioni relative alla
pubblicità degli avvisi di vendita giudiziaria. In particolare, con
riferimento al processo esecutivo, il nuovo art. 490 c.p.c. prevede
che debba essere omessa l'indicazione del debitore qualora
l'annuncio sia inserito in quotidiani, oppure divulgato con le
forme della pubblicità commerciale. Le informazioni relative al
debitore possono essere però fornite dalla cancelleria del
tribunale a chiunque vi abbia interesse, unitamente ad ogni altra
ulteriore necessaria informazione.
2.9. Attività fiscale, tributaria e
doganale
A seguito di numerosi quesiti, segnalazioni
e ricorsi, l'Autorità ha giudicato illegittima la prassi delle
società concessionarie del servizio per la riscossione dei tributi
di chiedere informazioni personali a terzi per ottenerne una
dichiarazione stragiudiziale che attesti l'esistenza di crediti del
contribuente su cui rivalersi, in quanto nessuna previsione
legislativa o regolamentare attribuiva alla stessa il potere di
effettuare questo tipo di trattamento senza il consenso del
contribuente medesimo (Provv. 12 gennaio 2004). Tale procedura,
anche in contrasto con il principio di non eccedenza (art. 11 del
Codice), poiché sproporzionata rispetto alla finalità di recupero
del credito (che può essere comunque perseguita con altri
strumenti), risultava, infatti, disciplinata solo da risoluzioni
dell'Agenzia delle entrate e da mere circolari ministeriali. Deve
essere tuttavia segnalato che il quadro normativo è stato
parzialmente modificato di recente con la legge 30 dicembre 2004,
n. 312 (art.1, comma 425, della legge finanziaria 2005), che ha
introdotto l'isti-tuto della dichiarazione stragiudiziale. Il nuovo
art. 75-bis del d.P.R. n. 602/1973 stabilisce, infatti, che il
concessionario - anche prima di procedere al pignoramento presso
terzi - possa chiedere ai debitori del soggetto che è iscritto a
ruolo di indicare per iscritto le cose e le somme dovute al
creditore. Poiché la norma prevede che l'indicazione possa avvenire
anche solo in modo generico, dovrà essere nuovamente verificato il
rapporto tra la novella e il predetto principio di pertinenza e non
eccedenza.
Per quanto riguarda il regime di pubblicità dell'elen-co dei
contribuenti, il Garante ha affermato più volte in passato che, in
base al vigente quadro normativo, risultava legittima la
pubblicazione presso gli uffici finanziari ed i comuni degli
elenchi nominativi dei contribuenti che avevano presentato la
dichiarazione dei redditi, unitamente all'indicazione del reddito
imponibile. Merita al riguardo segnalare che, recentemente,
l'Agenzia delle entrate - nel disporre la pubblicazione degli
elenchi per gli anni 2001 e 2002 - ha ritenuto, adducendo il
rispetto dei principi di pertinenza e non eccedenza, di limitare
tale pubblicità al dato relativo alla categoria reddituale
prevalente (Provv. dell'Agenzia 29 settembre 2004).
Sono stati avviati approfondimenti con l'Agenzia delle dogane in
merito all'applicazione del Codice ai trattamenti effettuati da
parte degli uffici centrali e territoriali antifrode che svolgono
funzioni di prevenzione, accertamento e repressione delle
violazioni della normativa tributaria ed extratributaria. In
particolare, l'Autorità ha esaminato anche le collaborazioni
avviate dall'Agenzia con gli operatori commerciali e le
associazioni di categoria, quali ad esempio la Confindustria.
2.10. Trattamenti svolti da regioni ed enti
locali
Numerosissimi sono stati i casi in cui le regioni e gli enti locali
hanno sottoposto all'attenzione del Garante, ai sensi degli artt.
19, comma 2, e 39, comma 1, lett. a), del Codice, l'intenzione di
trasmettere ad altri soggetti pubblici dati personali reputati
necessari per lo svolgimento di funzioni istituzionali, anche in
assenza di una norma di legge o di regolamento.
In seguito ad una richiesta di informazioni (Nota 15 giugno 2004),
ad esempio, il Garante ha ritenuto legittimo il progetto di una
regione volto a consentire ai singoli comandanti di polizia locale,
in possesso di specifiche password, l'accesso all'archivio
contenente i dati personali dei propri operatori di polizia locale
partecipanti ai corsi di aggiornamento e qualificazione
professionale organizzati dalla regione medesima, al fine di poter
valutare la partecipazione ai predetti corsi per le esigenze di
servizio delle rispettive amministrazioni. Analogamente, non è
stato interdetto alle province l'accesso in rete ai dati contenuti
nell'anagrafe venatoria centrale della regione di appartenenza per
consentire la vigilanza e la gestione delle opzioni sulle forme di
caccia esercitate dagli interessati (Nota 30 agosto 2004). Al
contrario, l'Autorità ha precisato che il meccanismo previsto
dall'art. 39 non è idoneo a consentire ad un comune di arricchire
la propria banca dati sui soggetti che hanno manifestato la propria
disponibilità all'affidamento temporaneo di minori con le
informazioni relative ai nuclei familiari aspiranti all'adozione
trattate dalla Asl. La reciproca comunicazione di dati tra il
comune e la Asl avrebbe, infatti, coinvolto anche dati sensibili
per i quali sono da osservare le più rigorose garanzie di cui agli
artt. 20 e ss. del Codice (Nota 13 settembre 2004). Analoghe
problematiche ha sollevato la richiesta della Regione Lazio volta
ad ottenere dall'Inps la comunicazione di alcuni dati personali,
anche sensibili, per la concessione di benefici economici a favore
degli anziani e degli invalidi civili. L'Autorità, interpellata sul
punto, ha indicato alle amministrazioni coinvolte le modalità più
idonee a garantire il rispetto della normativa in materia di
protezione dei dati personali. L'INPS, pertanto, secondo i criteri
stabiliti dalla regione, ha individuato direttamente i soggetti
beneficiari delle provvidenze economiche. Successivamente, su
indicazione della regione, ha consegnato a Poste Italiane S.p.A.,
designata responsabile del trattamento dall'Istituto, l'elenco dei
nominativi ed il relativo domicilio dei beneficiari per
l'erogazione delle provvidenze economiche. È stato poi operato un
doveroso distinguo tra le ipotesi in cui la comunicazione di dati
sia indirizzata da un'amministrazione comunale ad un consorzio, a
seconda della natura giuridica, pubblica o privata, di
quest'ultimo. L'applicazione degli artt. 19, comma 2, e 39, comma
1, lett. a) del Codice è, infatti, ammissibile solo per la
comunicazione di dati tra soggetti pubblici, non essendo invece
possibile avvalersi della norma in questione ove il consorzio
abbia, invece, natura privata. La comunicazione di dati da un
soggetto pubblico ad un soggetto privato è ammessa, infatti,
dall'art. 19, comma 3, unicamente quando è prevista da norme di
legge o regolamento (Nota 22 novembre 2004). Sulla base dei
medesimi principi, è stata rappresentata ad un comune
l'impossibilità di una trasmissione sistematica di dati relativi a
deceduti alle parrocchie, non avendo queste ultime natura di
soggetti pubblici (Nota 17 gennaio 2005).
Con riferimento allo scambio dei dati dei tesserati nell'ambito dei
sistemi bibliotecari provinciali, è stato rilevato che la finalità
di assicurare un adeguato servizio pubblico di lettura e di
informazione tramite il servizio di prestito interbibliotecario
potrebbe essere utilmente conseguita anche riducendo i flussi di
dati personali. Ad esempio, nel rispetto dei principi di pertinenza
e non eccedenza di cui all'art. 11 del Codice, potrebbero essere
trasmesse alle biblioteche collegate le sole richieste dei volumi
prive dei dati personali degli utenti, che sarebbero conservati
solo presso la biblioteca richiedente (Nota 21 dicembre
2004).
È stata ritenuta legittima la comunicazione di dati anagrafici da
parte di un comune alla Asl al fine di addivenire, nell'ambito di
un piano integrato per l'emergenza estiva, alla campionatura della
popolazione anziana per monitorare e prevenire eventuali episodi di
grave decadimento psico-fisico e di solitudine. La normativa sugli
atti anagrafici prevede, infatti, la possibilità per l'ufficiale
dell'anagrafe di rilasciare, anche periodicamente, elenchi degli
iscritti nell'anagrafe della popolazione residente alle
amministrazioni pubbliche che ne facciano motivata richiesta, per
esclusivo uso di pubblica utilità, ai sensi dell'art. 34, comma 1,
d.P.R. n. 223/1989 (Nota 19 luglio 2004).
In materia di trattamento di dati sensibili da parte degli enti
locali, è in istruttoria il caso nel quale un comune ha divulgato
sul proprio sito Internet i nominativi di coloro che avevano
richiesto la sostituzione nel pagamento della tariffa per la
gestione dei rifiuti, affiancati dai motivi della richiesta. In
base ad una deliberazione del locale consiglio comunale, la
predetta sostituzione può avvenire per "le utenze domestiche
connesse a nuclei familiari ove sussiste la condizione di indigenza
o sono presenti portatori di handicap". La questione involge i
diritti dei soggetti portatori di handicap che, sebbene non
menzionati con le relative generalità, potrebbero essere
indirettamente identificati.
Un recente caso in fase di preliminare approfondimento attiene alla
richiesta di collaborazione pervenuta da parte della Procura della
Repubblica di Roma in relazione ad accertamenti avviati per
controllare la liceità dei trattamenti di dati personali relativi
alle contestazioni delle sanzioni previste dal Codice della strada
effettuate da ausiliari del traffico. La vicenda riguarda in
particolare profili connessi alla verifica dei presupposti
richiesti dalla legge in relazione a comunicazioni di dati
personali eventualmente intercorse tra un ente locale e la società
di cui l'ente si avvale per la gestione del servizio.
Nel corso del 2004 è proseguita intensamente l'atti-vità di
collaborazione richiesta al Garante in relazione alle modalità di
svolgimento del censimento etni-co-linguistico nella Provincia di
Bolzano. In seguito ad ampi approfondimenti, anche in
collaborazione con le istituzioni europee, nazionali e locali,
l'Autorità ha ribadito al Governo le considerazioni, già contenute
nei due provvedimenti del 2001, in merito al contrasto tra alcuni
profili della disciplina sulla "proporzionale etnica" e la
normativa in materia di protezione dei dati personali sopravvenuta
sul piano internazionale comunitario e nazionale. In particolare, è
stata evidenziata la necessità di separare dalle operazioni di
censimento decennale della popolazione le dichiarazioni individuali
nominative di appartenenza o aggregazione linguistica e l'esigenza
che le medesime dichiarazioni divengano facoltative, da esercitarsi
una tantum solo dalle persone interessate ad usufruire dei previsti
benefici, senza la necessità di periodici rinnovi. La conservazione
di tali dichiarazioni deve avvenire presso un organo pubblico,
escludendo la raccolta intermedia presso gli enti locali e,
soprattutto, la creazione di banche dati centralizzate. Pur volendo
legittimamente prevenire elusioni o utilizzi strumentali, la
normativa deve prevedere che, trascorso un adeguato lasso
temporale, comunque inferiore all'attuale decennio, l'interessa-to
possa modificare la dichiarazione, semmai con effetti che si
producono decorso un congruo periodo di tempo (Nota 2 luglio 2004).
Dopo un ampio e serrato confronto, le istituzioni coinvolte hanno
siglato un accordo sulle modifiche da apportare alla normativa
provinciale, sottoposto nei giorni scorsi al parere del Garante, il
quale valuterà prontamente se - come ipotizzato - sono state
recepite diverse sue indicazioni, tenendo peraltro conto di alcuni
rilievi critici di recente formulati in una nuova segnalazione
inviata da parte di associazioni locali.
2.11. Attività giudiziaria e informatica
giuridica
Il Ministero della giustizia ha chiesto all'Autorità un parere in
merito allo schema di decreto ministeriale (successivamente
approvato con il D.M. 14 ottobre 2004) finalizzato a rendere
pienamente operativo il processo civile telematico. Il decreto
prevede che, tramite un complesso sistema informatico (SICI-Sistema
informativo civile), magistrati, avvocati, parti e personale
giudiziario, collegati in rete, possano intervenire direttamente
nel processo, trasmettendo comunicazioni, notifiche, atti
sottoscritti con firma digitale e consultando lo stato del
procedimento, senza recarsi necessariamente in tribunale. Nel
parere adottato il 23 luglio 2004, l'Autorità, richiedendo maggiori
garanzie per i cittadini, ha tra le altre cose invitato il
Ministero ad effettuare una rigorosa individuazione dei soggetti
abilitati all'ac-cesso al sistema sulla base delle rispettive
specifiche competenze. In considerazione della delicatezza della
tematica e della complessità del sistema informativo, l'Autorità ha
poi sottolineato l'esigenza che i dati e le informazioni trattati
dai soggetti pubblici coinvolti nel funzionamento del sistema
debbano essere usati solo per le finalità legate allo svolgimento
del processo civile on-line e in base alle rispettive funzioni e
competenze. Il Garante ha inoltre richiesto un rafforzamento delle
misure di sicurezza e l'individuazione di specifici e congrui
termini di conservazione dei dati in ragione del tempo necessario a
raggiungere gli scopi per i quali essi sono stati raccolti. Il
decreto (pubblicato in G.U. n. 272 del 19 novembre 2004) ha
tuttavia recepito solo in minima parte le indicazioni fornite dal
Garante.
Precise garanzie per gli interessati sono state indicate in un
progetto avviato da una camera di commercio, un tribunale ed un
consiglio dell'ordine degli avvocati nell'ambito dello sviluppo di
metodi alternativi di risoluzione delle controversie. Pur essendo
il progetto basato sull'adesione libera e volontaria degli
interessati, l'Autorità ha individuato alcune prescrizioni da
rispettare nella definizione dei moduli operativi. In particolare,
i dati personali contenuti nei fascicoli del tribunale non devono
essere accessibili ai rappresentanti della camera di commercio e
dell'ordine; le parti delle controversie interessate dal tentativo
di conciliazione stragiudiziale devono essere preventivamente
informate in sede giudiziaria che verranno contattate dagli addetti
dello sportello della camera di commercio. L'informativa dovrà
essere specifica, con particolare riferimento alle modalità di
trattamento ed al periodo di eventuale temporanea conservazione dei
dati presso la camera di commercio, anche in caso di insuccesso del
tentativo di conciliazione.
È in corso un tavolo di lavoro con il Dipartimento
dell'amministrazione penitenziaria del Ministero della giustizia
nell'ambito dei lavori della Commissione di studio "Mediazione
penale e giustizia riparativa". Il Ministero ha infatti avviato un
progetto finalizzato all'adozione di modelli di giustizia
riparativa nell'ambito dell'esecuzione penale, in particolare con
la sperimentazione di percorsi di mediazione penale tra reo e
vittima. Le modalità di attuazione di tale progetto sono al vaglio
del Garante nella parte in cui coinvolgono profili che attengono
alla tutela della riservatezza, soprattutto per quanto riguarda le
esigenze di tutela della vittima del reato.
Come in passato, il Garante ha più volte ribadito che la normativa
in materia di protezione dei dati personali non ha modificato il
regime di pubblicità delle sentenze, le quali devono essere redatte
secondo le regole ordinarie. Solamente in caso di riproduzione per
attività di informazione giuridica il giudice, d'ufficio o su
richiesta di parte per motivi legittimi, può disporre l'apposizione
sul provvedimento di un'annotazione volta a precludere
l'indica-zione, nella versione pubblicata, delle generalità e di
altri dati identificativi degli interessati. A prescindere
dall'annotazione, le generalità e i dati identificativi devono
essere comunque omessi nelle decisioni in materia di rapporti di
famiglia e di stato delle persone o che coinvolgono minori (artt.
51 e 52 del Codice). Una distinta questione è stata invece posta
all'at-tenzione del Garante da un ricorso avverso l'Autorità
garante per la concorrenza e il mercato, relativamente alla
conoscibilità in rete mediante motori di ricerca dei provvedimenti
che tale amministrazione deve pubblicare sul proprio bollettino,
"riprodotto" anche sul sito web istituzionale.
Infine, rispondendo ad alcuni quesiti e segnalazioni relativamente
a particolari modalità di acquisizione di mezzi di prova
nell'ambito di procedimenti giudiziari, il Garante ha ribadito che
resta ferma la competenza del giudice per ogni valutazione circa
l'am-missibilità e la rilevanza delle prove; il Codice, infatti,
afferma chiaramente che la validità, l'efficacia e l'utilizzabilità
di atti, documenti e provvedimenti nel procedimento giudiziario
basati sul trattamento di dati personali non conforme a
disposizione di legge
o di regolamento restano disciplinate dalle pertinenti disposizioni
processuali nella materia civile e penale (art. 160, comma 6).
6 Attività di polizia
6.1. Il controllo sul Centro elaborazione dati
delDipartimento di p.s.
Anche nel 2004 l'Autorità ha
ricevuto alcune segnalazioni, talvolta presentate direttamente al
Garante
o adesso a seguito di istanze di accesso rivolte al Dipartimento
della pubblica sicurezza, con le quali gli interessati hanno fatto
presente la registrazione nel Centro elaborazioni dati (C.e.d.) di
dati inesatti, incompleti ovvero non aggiornati, per lo più in
riferimento a provvedimenti giudiziari o amministrativi adottati e
non registrati (art. 10, legge 1° aprile 1981, n. 121, modificato
dall'art. 42, l. n. 675/1996 e, da ultimo, dall'art. 175, comma 3,
del Codice). In più occasioni l'Autorità ha sottolineato che anche
i trattamenti effettuati da organi o uffici di polizia concernenti
dati memorizzati nel predetto C.e.d. ovvero trattati per finalità
di prevenzione, accertamento o repressione dei reati devono essere
effettuati nel rispetto dei principi di liceità, pertinenza e non
eccedenza. L'Autorità ha richiamato l'attenzione degli uffici sulla
necessità di verificare con cadenza periodica la rispondenza dei
dati trattati a tali principi, apportandovi le modifiche richieste
e necessarie o cancellando i dati detenuti, specie in ragione degli
esiti processuali a volte documentati dagli stessi interessati. Dal
1° gennaio 2004, con l'entrata in vigore del Codice, tali
indicazioni hanno trovato ulteriore rafforzamento, in linea con
quelle fornite dal Garante.
Il Codice ha previsto che il C.e.d. del Dipartimento della pubblica
sicurezza debba assicurare, in misura più incisiva rispetto al
passato, l'aggiornamento periodico e la pertinenza e non eccedenza
dei dati trattati anche attraverso interrogazioni di altre banche
dati, come il casellario giudiziale e quello dei carichi pendenti
del Ministero della giustizia, al fine di garantire il costante
"allineamento" delle informazioni registrate nel C.e.d. con quelle
conservate in altri archivi (art. 54, comma 3, del Codice).
L'obbligo di verificare periodicamente il rispetto dei principi
descritti nell'art. 11 del Codice è previsto anche per i singoli
organi e uffici di polizia, i quali potranno avvalersi delle
risultanze del C.e.d. e dovranno, in caso di trattamenti di dati
effettuati con mezzi diversi da quelli elettronici, annotare o
integrare i documenti cartacei che li contengono (art. 54, comma 4,
del Codice). L'importanza attribuita dal Codice a tali garanzie è
testimoniata dalla previsione di un regolamento governativo che
dovrà sviluppare l'applicazione dei descritti principi ai
trattamenti effettuati per finalità di polizia, prevedendo, fra
l'altro, più precisi termini di conservazione dei dati e specifiche
modalità di aggiornamento periodico e di verifica della pertinenza
dei dati stessi rispetto alla finalità perseguita (art. 57 del
Codice). In considerazione della particolare importanza che assume
la corretta applicazione dei principi di protezione dei dati
personali in tale settore, l'Autorità intende fornire in materia
altre utili indicazioni al Governo, anche in occasione del rilascio
del parere sullo schema di regolamento che dovrà essere richiesto
al Garante ai sensi dell'art. 154, comma 4 del Codice.
Il Codice ha ulteriormente valorizzato le garanzie per
l'interessato in materia di accesso ai dati personali che lo
riguardano, in riferimento alla circostanza che la disciplina
vigente per l'accesso ai dati conservati nel C.e.d. si applica
anche ai dati comunque trattati da organi o uffici di polizia con
l'ausilio di strumenti elettronici, nonché a quelli - già
espressamente considerati in passato - destinati a confluire nel
C.e.d. medesimo (art. 10, commi 3, 4 e 5, l. n. 121/1981 e art. 56
del Codice). A fronte dell'accresciuto quadro di garanzie, il
Garante, nell'esaminare alcune segnalazioni pervenute, ha non di
rado constatato l'inadeguatezza del riscontro fornito dal
competente ufficio della pubblica sicurezza alle richieste di
accesso, di rettifica o di cancellazione dei dati registrati nel
C.e.d. presentate dall'interessato. In alcuni casi, infatti,
contrariamente a quanto chiaramente previsto dallo stesso art. 10
della l. n. 121/1981, l'ufficio competente non ha fornito
all'in-teressato la "comunicazione in forma intellegibile" dei dati
registrati nel C.e.d.; in altri, la richiesta di modifica o di
cancellazione dei dati, benché supportata da documentati esiti
processuali, è stata riscontrata con la sola, generica
comunicazione che la posizione dell'interessato nella banca di dati
risultava aggiornata o che erano state apportate le richieste
modifiche ai dati. L'Autorità intende avviare un ciclo generale di
accertamenti e verifiche presso gli archivi del C.e.d. tenendo
conto del numero ingente di casi per i quali il riscontro fornito
dal Dipartimento non è risultato soddisfacente, al fine di
verificare l'effettiva corrispondenza delle operazioni compiute dal
Dipartimento della pubblica sicurezza alle richieste di rettifica o
di cancellazione dei dati presentate dagli interessati e, più in
generale, affinché i trattamenti effettuati nell'ambito del C.e.d.
si svolgano nel tempestivo e sostanziale rispetto delle garanzie
previste dal Codice.
Sempre nel quadro delle più ampie garanzie previste dal Codice,
deve essere prestata particolare attenzione a taluni trattamenti
effettuati per finalità di polizia che presentano maggiori rischi
per l'inte-ressato in quanto riferiti a dati genetici, biometrici o
effettuati mediante tecniche basate su dati relativi
all'ubicazione. Per tali trattamenti l'Autorità intende
prescrivere, anche su comunicazione degli organi interessati,
particolari misure ed accorgimenti a garanzia del-l'interessato
(artt. 55 e 17, del Codice) ed ha già segnalato la necessità di
individuare tali misure in relazione alla raccolta dei rilievi
dattiloscopici effettuata in occasione del rilascio o del rinnovo
del permesso di soggiorno agli stranieri e all'eventuale
inserimento dei dati biometrici nel documento di soggiorno
elettronico.
6.2. Controllo sui trattamenti effettuati dai servizi
diinformazione e di sicurezza
Il Garante ha svolto anche nel periodo di riferimento l'attività di
verifica su specifici trattamenti di dati personali effettuati
presso gli organismi competenti in materia di informazioni e di
sicurezza (SISMI, SISDE e CESIS), disciplinati ora dall'art. 58 del
Codice. Questa disposizione, oltre a specificare quali regole del
Codice sono applicabili a tali trattamenti, stabilisce che, con
decreto del Presidente del Consiglio, si provveda ad individuare le
misure minime di sicurezza e le modalità di applicazione a tali
trattamenti delle pertinenti disposizioni del Codice. La previsione
di tali decreti assume particolare importanza per assicurare, anche
in sintonia con orientamenti giurisprudenziali internazionali in
materia di tutela dei diritti dell'uomo, trasparenza ai trattamenti
effettuati per tali finalità, in relazione ai tipi di operazioni e
di dati trattati, l'aggiornamento e la corretta conservazione dei
dati medesimi. L'Autorità si accinge quindi a prestare la propria
collaborazione a partire dai profili relativi alle misure di
sicurezza. Il Garante ha effettuato gli accertamenti rispetto alle
segnalazioni presentate dai soggetti interessati, in conformità a
quanto previsto dal Codice (art. 160) e con le modalità già
osservate nel corso dei precedenti anni. I controlli, che hanno
fatto seguito a quelli effettuati nel marzo 2003, sono stati
concentrati nel quinto gruppo di verifiche effettuate dal Garante a
decorrere dalla sua istituzione (per un totale di circa 40 persone
che hanno chiesto accertamenti) e si sono svolti con la piena
collaborazione dei predetti organismi, permettendo di fornire un
riscontro dell'attivi-tà svolta agli interessati nei particolari
termini previsti dal Codice all'esito degli accertamenti.
6.3. Il controllo sul Sistema di
informazioneSchengen
Il Codice ha introdotto importanti modifiche alle modalità di
esercizio del diritto di accesso al Sistema di informazione
Schengen (SIS) e degli altri diritti connessi (rettifica,
integrazione o cancellazione), che possono ora essere esercitati
direttamente nei confronti dell'autorità di polizia (c.d. accesso
"diretto") e non più solo "per il tramite" del Garante (c.d.
accesso "indiretto").
Come riportato più diffusamente nella Relazione 2003, il Codice ha
stabilito (in linea con le scelte effettuate da gran parte dei
paesi di "area Schengen") che l'interessato può rivolgersi in
Italia direttamente all'autorità che ha la competenza centrale per
la sezione nazionale del Sis, ossia il Dipartimento della pubblica
sicurezza, fermo restando il diritto di proporre una segnalazione o
un reclamo al Garante in caso di mancata o incompleta risposta. In
vista dell'entrata in vigore della nuova normativa il Garante,
sulla base dell'esperienza, ha suggerito al Ministero dell'interno
e all'Ufficio visti del Ministero degli affari esteri accorgimenti
idonei ad assicurare ai richiedenti l'accesso un riscontro completo
e tempestivo, anche attraverso il ricorso a moduli prestampati. A
seguito delle indicazioni fornite dall'Autorità, il Dipartimento
della pubblica sicurezza ha designato la Divisione N-SIS
dell'Ufficio coordinamento e pianificazione delle forze di polizia
quale ufficio preposto a ricevere le richieste di accesso, mentre
il Ministero degli affari esteri ha comunicato alle ambasciate e
alle cancellerie le necessarie misure operative, riformulando
l'infor-mativa da inserire sui provvedimenti di diniego di visto in
modo da orientare più correttamente l'eser-cizio del diritto di
verifica delle segnalazioni. Il Garante ha reso nota al pubblico la
nuova procedura (anche mediante Newsletter) pubblicando sul proprio
sito web, in italiano e in inglese, una breve informativa con
alcune indicazioni volte ad agevolare l'inoltro delle richieste di
verifica, consultabile nella home-page del sito dell'Autorità; ad
essa ha fatto riferimento anche il Ministero degli affari esteri
nell'ambito delle diretti-ve impartite agli uffici consolari. Delle
novità introdotte dal Codice l'Autorità ha poi informato le
autorità nazionali di controllo sulla protezione dei dati, con le
quali è stata instaurata una significativa collaborazione
nell'ambito della procedura di coordinamento prevista dall'art. 114
della Convenzione di Schengen al fine di definire le indicazioni
che tali autorità possono fornire agli interessati che richiedano
assistenza per l'inoltro di richieste di accesso al SIS. In
proposito, l'Autorità ha registrato la fattiva collaborazione della
Divisione N-SIS del Dipartimento della pubblica sicurezza
nell'applicazione della nuova normativa. Su specifica indicazione
fornita dall'Autorità, la Divisione N-SIS informa per conoscenza il
Garante su ogni richiesta di accesso ricevuta e sul relativo
riscontro fornito, in modo da consentire all'Autorità un efficace
monitoraggio e controllo di tutte le richieste di accesso
presentate. Quest'ultima, a sua volta, trasmette al predetto
ufficio le richieste di semplice verifica dei dati che continuano a
pervenire assai numerose probabilmente a causa di una ancora
incompleta conoscenza (specie in paesi terzi) delle nuove modalità
di accesso "diretto" introdotte dal Codice (dal 1° gennaio 2004 al
31 dicembre 2004 risultano pervenute al Garante circa 300
richieste). Si tratta in gran parte di domande presentate a seguito
di diniego del rilascio di visti, per lo più in conseguenza di
segnalazioni dovute alla non ammissione nei Paesi Schengen di
persone nei cui confronti sono stati emessi provvedimenti
amministrativi sfavorevoli in materia di ingresso e soggiorno
(espulsione, respingimento alla frontiera). In altri casi si tratta
di asserite usurpazioni d'identità o di omonimie in relazione alle
quali è stata ulteriormente rafforzata la collaborazione con il
Centro visti del Ministero degli affari esteri e con la Direzione
centrale per l'immigrazione e la polizia delle frontiere del
Dipartimento della pubblica sicurezza.
Nei mesi di settembre e ottobre, l'Italia è stata oggetto della
visita di valutazione da parte di gruppi di esperti del Consiglio
dell'Unione europea. Il Consiglio ha infatti costituito da alcuni
anni un gruppo per la valutazione Schengen che sta procedendo ad un
esame, paese per paese, del funzionamento di tutti gli elementi che
compongono il sistema: visti, frontiere esterne, SIS e SIRENE. Una
delle visite era espressamente dedicata alla verifica del rispetto
delle norme italiane in materia di protezione dei dati personali;
in particolare, ha riguardato le modalità di inserimento dei dati
nel SIS nazionale, quelle di accesso ai dati contenuti nel sistema,
le misure di protezione da accessi indesiderati e le misure di
sicurezza dei sistemi e delle reti. Attenzione è stata anche
dedicata all'incontro con il Garante nella sua qualità di autorità
nazionale di controllo sul SIS; dopo la presentazione svolta dal
segretario generale dell'Autorità, sono state soddisfatte diverse
domande tese a verificare il grado di effettiva indipendenza
dell'Autorità (come, ad esempio, in merito a: disponibilità di una
sede idonea, adeguatezza delle risorse finanziarie, possibilità di
scelta del proprio personale e numero di persone in servizio) e le
modalità di esercizio del suo ruolo di controllo sulla correttezza
dei trattamenti. Il rapporto redatto dagli esperti al termine della
visita esprime una valutazione positiva pur contenendo alcuni
inviti agli uffici di polizia che gestiscono il sistema informativo
a migliorare la protezione dei dati da accessi non autorizzati e a
controllare, in particolare, i dati inseriti dall'Italia nel SIS,
numericamente superiori a quelli di qualsiasi altro paese Schengen,
verificando la necessità del loro mantenimento nel sistema. Su
questo aspetto il Garante sta eseguendo un dettagliato lavoro di
verifica concordato con l'Autorità comune di controllo
Schengen.
6.4. Altri casi di intervento del Garante in relazione a
diverse attività svolte dalle forze di polizia
L'Autorità è nuovamente intervenuta in merito alla diffusione da
parte di organi di polizia di immagini e, specialmente, di foto
segnaletiche di persone coinvolte in attività di polizia (in
particolare con riferimento ad una vicenda giudiziaria che ha
coinvolto anche alcuni personaggi del mondo dello spettacolo). Il
Garante ha sottolineato - in linea con quanto già avvenuto in
precedenti occasioni - che la diffusione di immagini di persone
coinvolte in indagini o altri accertamenti è consentita agli organi
di polizia solo per finalità di giustizia o di polizia e comunque
nel rispetto della dignità della persona arrestata o altrimenti
detenuta (cfr. art. 97, legge 22 aprile 1941, n. 633 sul diritto
d'autore e art. 42-bis, legge 26 luglio 1975, n. 354). A seguito
dell'intervento del Garante, le amministrazioni interessate hanno
nuovamente richiamato il personale di polizia al rispetto della
normativa vigente e delle cautele indicate dall'Autorità.
L'orientamento dell'Autorità ha trovato da ultimo conferma in una
pronuncia della Corte europea dei diritti dell'uomo. Trasmettere
agli organi di stampa fotografie di una persona accusata in un
procedimento penale costituisce infatti una violazione dell'art. 8
della Convenzione europea dei diritti dell'uomo. Il principio è
stato affermato in una recente sentenza della Corte europea
(50774/99, 11 gennaio 2005) originata dal ricorso di un'insegnante
italiana fermata e posta agli arresti domiciliari con l'accusa di
associazione a delinquere, evasione fiscale e falso in bilancio -
la cui fotografia, scattata durante le indagini, era stata diffusa
nel corso di una conferenza stampa delle forze dell'ordine e quindi
pubblicata su diverse edizioni di due quotidiani locali. I giudici
hanno messo in evidenza che, rispetto ad altri casi oggetto di
precedenti pronunce della Corte (cfr. von Hannover/Germania,
59320/00, 24 giugno 2004), la fattispecie in esame presentava
alcune peculiarità: essa, in primo luogo, non riguardava un
personaggio pubblico; inoltre, la foto pubblicata proveniente dal
fascicolo d'inchiesta era stata fornita ai giornali da agenti della
Guardia di finanza. Il fatto che nel caso di specie la ricorrente
non fosse un personaggio pubblico giustifica - secondo la Corte -
una contrazione della legittima "zona di interazione tra
l'individuo e i terzi" (più ampia, evidentemente, nel caso di
persone note) che non può espandersi in ragione del coinvolgimento
della donna in un procedimento penale. I giudici, inoltre,
ravvisando l'inapplicabilità al caso di specie dell'art. 329 c.p.p.
(obbligo del segreto per gli atti d'indagine), non hanno
riscontrato la presenza di previsioni normative nell'ordinamento
italiano che nella fattispecie in esame giustificassero, ai sensi
del secondo comma dell'art. 8 della Convenzione, l'inge-renza nella
vita privata della ricorrente.
Nell'ambito dei trattamenti svolti per finalità di polizia, il
Ministero dell'interno ha sottoposto all'esame dell'Autorità la
realizzazione di un sistema automatizzato di supporto alle
decisioni per garantire trasparenza e sicurezza degli appalti nel
Mezzogiorno che comporta l'acquisizione di dati da numerose altre
pubbliche amministrazioni. Il Garante ha proposto l'avvio di un
tavolo di lavoro finalizzato all'in-dividuazione di una soluzione
idonea a realizzare tale iniziativa nel pieno rispetto delle
garanzie previste dal Codice (Nota 4 ottobre 2004). L'Autorità ha
altresì avviato specifici accertamenti in merito ad un progetto
finanziato dall'Unione europea volto alla prevenzione ed alla
repressione da parte delle forze di polizia del traffico di
stupefacenti tra alcuni porti dell'Adriatico attraverso l'utilizzo
di tecnologie informatiche di ultima generazione.
Il Ministero dell'interno e la Questura di Genova hanno chiesto al
Garante se i dati contenuti nelle comunicazioni di cessione di
fabbricati di cui al decreto legge 21 marzo 1978, n. 59, convertito
in legge, con modificazioni, dalla legge 18 maggio 1978, n. 191,
delle quali il sindaco è destinatario ai sensi dell'art. 15, comma
2, della l. n. 121/1981, potessero essere utilizzati dal comune per
lo svolgimento di controlli di natura fiscale e tributaria.
L'Autorità ha chiarito che la disciplina da ultimo menzionata
consente l'utilizzo delle informazioni contenute nel C.e.d. del
Dipartimento di pubblica sicurezza esclusivamente per finalità di
tutela dell'ordine, della sicurezza pubblica e di prevenzione e
repressione della criminalità e ne vieta la circolazione
all'interno della pubblica amministrazione (Nota 5 ottobre
2004).
L'Autorità è stata contattata dal Ministero dell'inter-no per
approfondire le modalità di attuazione della normativa in materia
protezione dei dati personali nell'ambito delle prefetture, con
particolare riferimento ai trattamenti non finalizzati alla tutela
della sicurezza e dell'ordine pubblico ovvero alla prevenzione,
accertamento e repressione dei reati e, quindi, soggetti
all'integrale applicazione del Codice.
Alcuni quesiti riguardano ancora le richieste delle autorità di
pubblica sicurezza e delle forze di polizia volte ad acquisire
informazioni e documenti riguardanti cittadini detenuti dagli
uffici comunali. In proposito è stato in più occasioni ricordato
che, fermo restando il divieto per le persone estranee all'ufficio
di anagrafe di accedere all'ufficio stesso e, quindi, di procedere
alla consultazione diretta degli atti anagrafici, le persone
appositamente incaricate dall'autorità giudiziaria e gli
appartenenti alle forze dell'ordine ed al Corpo della Guardia di
finanza possono legittimamente consultare tali informazioni. In tal
caso, tuttavia, i nominativi delle persone autorizzate ad
effettuare la consultazione diretta degli atti anagrafici devono
figurare in apposite richieste dell'ufficio o del comando di
appartenenza, da esibire all'ufficiale di anagrafe unitamente ad un
documento di riconoscimento (art. 37, d.P.R. 30 maggio 1989, n.
223). Inoltre, il Codice prevede che, in conformità alla legge ed
ai regolamenti, tale acquisizione possa altresì essere realizzata
per via telematica attraverso convenzioni, anche con schemi tipo
adottati dal Ministero dell'interno su conforme parere del Garante,
a condizione che le modalità di collegamento previste assicurino un
accesso selettivo ai soli dati necessari al perseguimento delle
finalità di sicurezza ed ordine pubblico, nonché di prevenzione,
accertamento e repressione dei reati (artt. 3, 11 e 54, del
Codice).
Prosegue, infine, l'attività di verifica dell'Autorità sui
protocolli di intesa sottoscritti tra le regioni, le Asl e la
Guardia di finanza ai fini del coordinamento dei controlli e dello
scambio di informazioni in materia di spesa sanitaria che
presentano diversi elementi critici sul piano della proporzionalità
e liceità delle modalità di trattamento
previste. |
