Il Codice Privacy negli enti locali
Il nuovo codice della Privacy ( D.Lgs. 30 giugno 2003 n° 196), entrato in vigore il 1 gennaio 2004, introduce una razionalizzazione della normativa previgente sui dati personali che trova, così, una sistemazione organica ponendo il nostro Paese all’avanguardia rispetto ai partners europei in quanto primo esempio di codice in materia di Privacy. Il codice va inquadrato nel contesto della crescente attenzione che il nostro Paese dedica da qualche anno al tema della protezione dei dati personali e deve essere, inoltre, considerato alla luce delle preoccupazioni che investono i pubblici amministratori nel momento in cui l’informatica accresce il proprio ruolo nella gestione dei procedimenti: come conciliare l’e-government con il diritto alla riservatezza? Come conciliare diritto di accesso e trasparenza amministrativa con la tutela dei dati personali? Analizziamo alcune innovazioni fondamentali che il nuovo Codice apporta al trattamento dei dati personali nella Pubblica Amministrazione. In primis esso fissa alcuni principi generali; l’art. 1 enuncia un principio generale che era soltanto implicitamente desumibile dalla precedente normativa: recita, infatti, testualmente “Chiunque ha diritto alla protezione dei dati personali che lo riguardano”. Il successivo art. 2 introduce quei concetti di semplificazione, armonizzazione ed efficacia già propri di norme come la 241/1990, concernente il diritto di accesso ai documenti amministrativi; anche la trasparenza è garantita, infatti la persona fisica cui i dati si riferiscono è pienamente tutelata nei propri diritti non solo di accesso ma anche di controllo sulla provenienza dei dati posseduti dagli enti, con quali criteri e per quali fini essi vengono gestiti. Sostanzialmente, l’elenco dei diritti che l’interessato ha, resta immutato (diritto di cancellazione, di modifica, ecc.). L’art. 3 sancisce e generalizza il Principio di necessità, corollario dell’alto livello di tutela che il codice vuole imprimere ai dati personali. Questo principio limita il trattamento dei dati personali ai soli dati necessari. Coloro che trattano dati devono, di conseguenza, utilizzare con moderazione le informazioni, evitando la raccolta e l’impiego di quei dati che non siano effettivamente necessari e utilizzando, se sufficienti al trattamento, quei dati aventi caratteristiche non invasive della sfera personale (dati anonimi). Il Codice riserva una parte specifica alla statuizione di regole generali, valide per tutti i trattamenti: il trattamento deve essere lecito, corretto, connesso a scopi determinati, espliciti e legittimi, esatto, aggiornato, pertinente, completo, non eccedente rispetto agli scopi e protratto per il tempo strettamente necessario al raggiungimento dello scopo stesso, deve essere legato ad una informativa completa all’interessato, all’atto della raccolta o successivamente in caso di raccolta presso terzi; inoltre si rammenta che le amministrazioni sono tenute a rendere oralmente o per iscritto tale informativa e che la stessa deve essere inserita nei moduli per le dichiarazioni sostitutive secondo il testo unico della documentazione amministrativa (DPR 445/2000), deve rispettare i codici di deontologia e buona condotta promossi dal Garante, condizione di liceità e correttezza del trattamento stesso relativamente a quei settori cui si riferiscono, deve sottostare a cautele particolari nel caso di cessazione del trattamento, deve adottare misure e accorgimenti a garanzia dell’interessato nel caso di trattamento di dati semisensibili, cioè di trattamento di quei dati che comunque possono comportare rischi specifici per i diritti e le libertà fondamentali dello stesso, comporta, inoltre, la generalizzata sanzione civilistica della “Responsabilità per l’esercizio di attività pericolosa”, art. 2050 c.c., nel caso di danno derivante da violazione di norme concernenti il trattamento, comprensiva anche del danno non patrimoniale. Alle norme generali valide per tutti i trattamenti il Codice affianca una serie di regole ulteriori operanti soltanto per i soggetti pubblici (artt. 18-22). Occorre rilevare a tal fine come, per quanto riguarda la disciplina dei trattamenti in ambito pubblico, il legislatore non abbia inciso particolarmente lasciando sostanzialmente inalterata la disciplina ricompressa nella L. 675/96 e nel D. Lgs. 135/99 contenete “Disposizioni integrative della legge 675/96 sul trattamento dei dati sensibili da parte di soggetti pubblici”. Nell’art. 18 il legislatore codifica espressamente l’esenzione dei soggetti pubblici dall’onere di preventiva richiesta del consenso dell’interessato, in precedenza solo implicitamente desumibile dal vecchio testo normativo, salvo però quanto previsto per gli esercenti le professioni sanitarie e gli organismi sanitari pubblici. Questo significa che il consenso non ha, di regola, per la P.A. alcuna utilità giuridica vanificando, dal punto di vista giuridico, quei comportamenti, talvolta riscontrati nella pratica, in cui i Comuni hanno ritenuto di rafforzare la liceità del trattamento richiedendo, per trattamenti dotati di per sé dei requisiti di legge, anche il consenso dell’interessato. L’articolo in esame, inoltre, ribadisce che il trattamento dei dati personali è consentito solo per lo svolgimento delle funzioni istituzionali: province e comuni, quindi, possono raccogliere e gestire dati personali “comuni” cioè diversi da dati sensibili o giudiziari anche in assenza di norma di legge o di regolamento che preveda espressamente il trattamento specifico, ma solo nell’ambito delle proprie funzioni istituzionali. Regole differenti, invece, valgono per il trattamento dei dati sensibili e giudiziari ai quali vengono riservate una serie di cautele aggiuntive, rispetto ai dati ordinari, tra le quali, per citare qualche esempio, l’utilizzo di tecniche di cifratura per i dati utilizzati con strumenti elettronici o la conservazione separata dei dati idonei a rivelare lo stato di salute o i dati giudiziari. Inoltre, il trattamento dei dati sensibili è consentito solo se autorizzato da espressa previsione di legge in cui sono specificati i tipi di dati, le operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite. In mancanza di una norma di legge che li specifichi, i tipi di dati e le operazioni eseguibili sono individuati dalle amministrazioni pubbliche con regolamento da adottare entro il 30 settembre 2004. Novità del codice è che tale regolamento d’ora in poi, dovrà conformarsi al parere espresso dal Garante anche su schemi tipo, pena l’illiceità del trattamento eventualmente posto in essere. Significativa, anche se residuale, appare la possibilità, già peraltro esistente nel D. Lgs. 135/99, di rivolgersi al Garante per chiedergli il riconoscimento della rilevante finalità pubblica di quegli ulteriori trattamenti che non siano stati dichiarati di rilevanza pubblica con norma di legge. Anche in tal caso, è necessaria, da parte dei singoli enti, la regolamentazione dei tipi di dati e di operazioni utilizzabili. Per quanto riguarda le comunicazioni a terzi di dati, il Codice la consente solo quando è ammessa da una norma di legge o di regolamento; se tuttavia la comunicazione dei dati è rivolta ad altri soggetti pubblici, questa può prescindere da un’espressa previsione di legge o regolamento, ma deve essere comunque necessaria per lo svolgimento di funzioni istituzionali. In questo caso, è necessaria una comunicazione al Garante e il trattamento potrà essere iniziato solo decorsi quarantacinque giorni dal ricevimento della comunicazione salvo diversa determinazione del Garante.Per quanto riguarda la figura del titolare del trattamento, secondo l’interpretazione sostenuta dal Garante, nella PA il titolare è l’Ente nel suo complesso. Il responsabile sarà solitamente il dirigente o colui che occupa posizioni organizzative, e che dovrà ricevere istruzioni in materia da parte di chi rappresenta l’Amministrazione. Alcune novità riguardano la normativa degli incaricati, che possono essere solo persone fisiche e non persone giuridiche, che possono essere designate anche per relationem mediante “la documentata preposizione della persona fisica ad un’unità per la quale è individuato per iscritto l’ambito del trattamento consentito agli addetti all’unità medesima”. Neppure il nuovo codice detta specifiche disposizioni rispetto a soggetti, che pur estranei alla struttura organizzativa dell’Ente svolgano per conto della P.A. attività di trattamento. Si pensi ai commissari di concorso esterni, o ai collaboratori esterni del sistema informatico. Per tali soggetti, appare necessario che si operi una specifica e formale designazione a responsabile o ad incaricato per conto dell’Ente, in modo da evitare paradossali complicazioni nello svolgimento delle attività, quali ad esempio la necessità da parte di questi soggetti di richiedere preventivamente il consenso al trattamento dei dati. Ulteriore novità per la PA riguarda la notificazione al Garante del trattamento dei dati, essa, infatti, si riduce ulteriormente e rispetto alla precedente disciplina scompare del tutto la notificazione semplificata prevista dal vecchio art. 7 L. 675/96. Resta l’adempimento della notificazione che è però ridotta a talune tipologie di attività di trattamento, elencate all’art. 37 comma 1, le quali sembrerebbero estranee all’ente locale; tuttavia occorre operare una verifica concreta per escluderne l’attinenza rispetto all’Ente locale. La notificazione al Garante va effettuata soltanto per via telematica utilizzando il modello predisposto dal Garante e osservando le prescrizioni da questo impartite. Riformulata appare poi la disciplina concernete le misure di sicurezza, con l’introduzione del “disciplinare tecnico in materia di misure minime di sicurezza” (allegato B). Tali misure minime di sicurezza dovranno essere adottate – salvo aver già provveduto - da ogni Amministrazione entro il 30 giugno 2004; tuttavia se l’Ente dovesse disporre al momento di strumenti elettronici che, per obiettive ragioni tecniche, non consentono in tutto o in parte l’immediata applicazione delle misure minime di sicurezza, il necessario adeguamento potrà avvenire entro un anno dall’entrata in vigore del codice, cioè entro il 31 dicembre 2004. Il titolare, nel frattempo, dovrà adottare ogni possibile misura di sicurezza in relazione agli strumenti elettronici detenuti, in modo da evitare, un incremento dei rischi di distruzione o perdita anche accidentale dei dati, di accesso non autorizzato ovvero di trattamento non consentito o non conforme alla finalità della raccolta. Sarà necessario, inoltre, descrivere le ragioni di inadeguatezza tecnica delle apparecchiature in un documento a data certa da conservare presso l’Amministrazione. Infine, qualora i dati trattati dovessero essere di tipo sensibile o giudiziario, il titolare del trattamento dovrà redigere, entro il 31 marzo di ogni anno, un documento programmatico sulla sicurezza. Insomma: con il nuovo Codice in materia di privacy una piccola rivoluzione si avrà anche per la pubblica amministrazione!
Laura Zotti