Al trattamento dei dati personali effettuato dai soggetti pubblici continua ad applicarsi una disciplina in parte differenziata rispetto a quella cui sono sottoposti i soggetti privati e gli enti pubblici economici.

Sulla base di alcuni principi generali fissati dal Codice per tutti i trattamenti effettuati da soggetti pubblici e privati, le amministrazioni pubbliche sono legittimate a trattare dati personali comuni, sensibili o giudiziari soltanto per svolgere funzioni istituzionali, rispettando gli eventuali altri presupposti e limiti stabiliti da disposizioni normative estranee al Codice ed astenendosi dall’acquisire il consenso degli interessati, specie per rendere lecito un trattamento altrimenti non ammesso.
Il Codice al capo II del Titolo III prevede alcune regole specifiche per gli enti pubblici a cominciare dall’art. 18 che al 2° ed al 3° comma riprende i principi contenuti nel 1° comma dell’art. 27 della legge 675/96, mentre riguardo la comunicazione e diffusione dei dati personali da e a soggetti pubblici fa rinvio all’art. 25 del T.U. (5° comma). Il 4° comma si limita a precisare che al di fuori di quanto stabilito nella parte II in ambito sanitario, i soggetti pubblici non devono richiedere il consenso dell’interessato.
La norma in esame specie nella parte in cui consente il trattamento dei dati personali da parte dei soggetti pubblici soltanto per lo svolgimento di funzioni istituzionali (2° comma) e nei presupposti e limiti stabiliti dal codice, dalla legge e dai regolamenti (3° comma), invita ad alcune riflessioni.
Difatti, tenuto conto di cio’ che si intende per “trattamento” (qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati) ne consegue che, avendo l’art. 15, comma 2, della legge n. 59/1997 attribuito validita’ e rilevanza giuridica agli “atti, dati e documenti formati dalla Pubblica Amministrazione e dai privati con strumenti informatici o telematici…”, lo svolgimento di attivita’ giuridicamente rilevanti, da parte della P.A., comporta l’applicazione della disposizione di cui sopra anche in tema di formazione, conservazione e trasmissione dei documenti informatici e, quindi, di trattamento dei dati personali in essi contenuti.
Ne dovrebbe discendere, come corollario, che le modalita’ di trattamento dei dati, ovverosia con, o senza, l’ausilio di mezzi elettronici, da parte della P.A., sono indifferenti ai fini dell’individuazione degli obblighi imposti e delle facolta’ riconosciute dal legislatore alla medesima P.A. qualora il trattamento in parola sia finalizzato allo svolgimento delle funzioni istituzionali e questo avvenga, ovviamente, nei limiti stabiliti dalla legge e dai regolamenti.
E’ indubbio comunque che nella disposizione in esame il legislatore ha finalizzato il trattamento dei dati al principio di competenza, operando una scelta che sottolinea il carattere strumentale ed autonomo del trattamento dei dati rispetto allo svolgimento di funzioni di interesse pubblico.

L’ambito di applicazione di quest’art. 18 e la sua reale portata sono stati chiariti dal Garante (ovviamente con riferimento all’allora art. 27 della legge 675/96) con taluni provvedimenti come il parere reso il 13 febbraio 1998 su richiesta del Consiglio Nazionale dell’Economia e del Lavoro dove ha precisato che la prima condizione per l’applicabilita’ del regime speciale previsto dalla norma e’ che il trattamento sia svolto da un soggetto pubblico, oppure il parere del 13 novembre 1997 (reso su richiesta dell’Azienda di Stato per gli interventi nel mercato agricolo) dove il Garante ha individuato con esattezza il contenuto della disciplina di cui all’art. in esame.
Particolarmente rilevante e’ l’art. 19 del Codice che prevede principi applicabili al trattamento dei dati diversi da quelli sensibili e giudiziari. Tale disposizione si ispira anch’essa all’art. 27 della legge 675/96 ma a differenza di quest’ultimo articolo parla esplicitamente di “dati diversi da quelli sensibili e giudiziari”. Al 1° comma, quindi, riprendendo il principio gia’ enunciato all’art. 18 2° comma, aggiunge che il trattamento di tali dati e’ consentito anche in mancanza di una norma di legge o regolamento che lo preveda espressamente, spingendosi piu’ in la’ di quanto prevedeva la legislazione precedente.
Il 2° ed il 3° comma di quest’art. 19, invece, disciplinano le fattispecie di comunicazioni di dati da parte di un soggetto pubblico ad altro soggetto pubblico e da parte di un soggetto pubblico a privati o enti pubblici economici riproducendo rispettivamente il 2° ed il 3° comma dell’art. 27 della legge 675/96.
In particolare la comunicazione da parte di un soggetto pubblico ad altri soggetti pubblici e’ ammessa quando e’ prevista da una norma di legge o di regolamento. In mancanza di tale norma la comunicazione e’ ammessa quando e’ comunque necessaria per lo svolgimento di funzioni istituzionali e puo’ essere iniziata se e’ decorso il termine di cui all’articolo 39, comma 2, (45 giorni dal ricevimento della comunicazione) e non e’ stata adottata la diversa determinazione ivi indicata.
Inoltre la comunicazione da parte di un soggetto pubblico a privati o a enti pubblici economici e la diffusione da parte di un soggetto pubblico sono ammesse unicamente quando sono previste da una norma di legge o di regolamento.

Queste disposizioni hanno fatto sollevare in dottrina (ma si sono verificati anche casi concreti) il problema dell’interconnessione delle banche di dati pubblici con anche il rischio di perdita e distruzione dei dati stessi.
Difatti questo problema assume una specifica connotazione per quanto concerne la comunicazione e la diffusione dei dati fra soggetti pubblici e fra questi e i soggetti privati, tenuto conto che la Rete Unitaria della P.A. (la cui piena funzionalita’ e’ ancora lontana) ha per suo precipuo scopo e obiettivo finale proprio la condivisione, attraverso lo scambio, dei dati posseduti dalla P.A..

Per quanto concerne il primo profilo, rientrante nel secondo comma dell’art. 19, per lo scambio di dati fra soggetti pubblici, che dovra’ essere enormemente facilitato dall’entrata a regime della Rete Unitaria, non si dovrebbero verificare problemi di particolare criticita’, in quanto la Rete si configura come una rete interna virtuale, che collega tra loro le reti delle singole Amministrazioni e che sara’ rigorosamente preclusa – almeno per quanto concerne lo stato attuale delle conoscenze tecnologiche – all’accesso indesiderato dei terzi estranei alla P.A. Il problema e’ che la RUPA stenta a decollare ed allo stato attuale sono solo 35 le amministrazioni pubbliche e gli enti attualmente collegati. Per non parlare, poi, delle effettive funzionalita’, difatti, la percentuale di servizi offerti on line e’ solo del 5%.
Ancora piu’ delicato si presenta il secondo profilo, quello, cioe’, della comunicazione e della diffusione dei dati da parte di soggetti pubblici a privati (comma 3 dell’articolo 19): ulteriore obiettivo, questo, ormai, non solo della RUPA, ma dell’intero progetto di e-government o per meglio dire del piano di azione varato dal Consiglio dei Ministri il 22 giugno 2000 su iniziativa del Ministro della Funzione Pubblica, Franco Bassanini.
Tale piano, difatti, ha come suo obiettivo fondamentale quello di garantire ai cittadini l’accesso on-line a tutti i servizi erogati dalle pubbliche amministrazioni nell’ottica di quella che dovrebbe essere la nuova frontiera di Internet.

E’ evidente che l’apertura degli apparati nei confronti di soggetti privati che, per definizione, non operano per lo svolgimento di una funzione istituzionale, anche se, talora, vi cooperano come condizione necessaria di svolgimento da parte delle Pubbliche Amministrazioni aumenta, di certo, il rischio di distruzione, perdita o, comunque, di trattamento dei dati che costituiscono oggetto di comunicazione o diffusione.
Cio’ nondimeno, deve ritenersi che l’esercizio di un diritto, costituzionalmente garantito (art.3, comma 2, della Costituzione), da parte del cittadino, da attuarsi anche mediante l’accesso controllato a determinate informazioni circolanti su e attraverso la Rete Unitaria o qualsiasi altra Rete pubblica, non puo’ essere vanificato dall’esigenza che venga assicurata la riservatezza dei suoi dati; ne’ cio’ puo’ impedire, o pregiudicare, il diritto, prima ancora del dovere, all’efficienza, efficacia dell’attivita’ svolta dalla Pubblica Amministrazione, fatta salva l’adozione, da parte di quest’ultima, di piu’ rigorose misure di sicurezza, da attuarsi anche con il ricorso a meticolose verifiche periodiche sia delle procedure informatiche che della completezza e dell’esattezza dei dati trattati, nonche’ con il rigoroso contenimento dei trattamenti nei limiti normativamente previsti, in modo, cioe’, non eccedente rispetto agli obblighi e ai compiti attribuiti alla Pubblica Amministrazione medesima (COCCO).
Si tratta, per come e’ evidente, di un contesto normativo alquanto rigido, la cui attuazione, se realizzata con una interpretazione ancorata al dato letterale, puo’ procurare serio intralcio al complesso dei servizi che potranno essere resi dalla P.A. e dai privati mediante l’uso massiccio delle nuove tecnologie dell’informazione: e’ questa una sfida di civilta’ che viene lanciata all’attuale ordinamento dall’uso diffuso delle moderne tecnologie, che del resto costituisce il presupposto fondamentale per avviare quel grande processo di innovazione tecnologica che sta coinvolgendo tutto il sistema pubblico italiano al fine di metterlo cosi’ sullo stesso piano rispetto a quello di altri paesi piu’ progrediti nelle nuove tecnologie della comunicazione, (si pensi, ad esempio, al nuovo sistema pubblico di connettivita’, inteso dal Ministro per l’Innovazione e le tecnologie come la naturale evoluzione della Rete Unitaria, che collega le Pubbliche Amministrazioni Centrali alle quali potranno ricongiungersi le P.A. Locali).

In questa ottica l’interconnessione delle banche di dati pubblici puo’ addirittura favorire la tutela del cittadino poiche’ assicura meglio il cd. principio della pertinenza in quanto e’ possibile raccogliere all’occorrenza il dato che serve e non creare inutilmente basi di dati in piu’ Amministrazioni.
Problemi peculiari continua a porre il trattamento dei dati sensibili (attinenti a profili particolarmente delicati della sfera privata delle persone: la salute, le abitudini sessuali, le convinzioni religiose, politiche, sindacali e filosofiche, l’origine razziale ed etnica) o giudiziari.
La legislazione previgente aveva introdotto gia’ particolari garanzie per entrambe le categorie di informazioni, garanzie che sono rimaste sostanzialmente inattuate o eluse in numerosi uffici pubblici a causa della perdurante inerzia delle amministrazioni nell’adeguare i propri ordinamenti alla normativa in materia di riservatezza, malgrado le reiterate proroghe di termini e alcune disposizioni di favore rispetto al settore privato.
Il Codice rafforza ulteriormente le garanzie per i cittadini; inoltre, ridefinisce la categoria dei dati giudiziari, anche alla luce della nuova disciplina in materia di casellario giudiziario (d.P.R. 14 novembre 2002, n. 313), includendovi le informazioni relative alla qualita’ di indagato o di imputato, secondo le nozioni che ne danno, rispettivamente, gli artt. 60 e 61 c.p.p.
In particolare, viene rafforzato e sviluppato il principio di proporzionalita’ nel trattamento di queste informazioni, ritenendosi legittimo il trattamento dei soli dati sensibili e giudiziari “indispensabili” allo svolgimento di attivita’ che non potrebbero essere adempiute mediante il ricorso a dati anonimi o a dati personali di diversa natura (art. 22 d.lgs. n. 196/2003).
Con questo limite, resta ferma la possibilita’ per i soggetti pubblici di trattare i dati sensibili o giudiziari quando cio’ sia previsto da una norma di legge (oppure, se si tratta di dati giudiziari, da un provvedimento del Garante) che specifichi espressamente le rilevanti finalita’ di interesse pubblico perseguite, i dati personali che possono essere utilizzati e le operazioni di trattamento eseguibili (v. anche art. 27 d.lgs. n. 196/2003).

Per quanto riguarda i dati sensibili, nel caso in cui la legge (o, in via transitoria, il Garante) specifichi soltanto le finalita’ di rilevante interesse pubblico, il Codice conferma l’adeguata soluzione secondo cui l’atto con il quale le amministrazioni devono individuare e rendere pubblici i tipi di dati utilizzabili e le operazioni eseguibili deve avere natura regolamentare e non gia’ meramente amministrativa (artt. 20 s. d.lg. n. 196/2003).
Secondo la nuova disciplina, i regolamenti devono essere inoltre adottati in conformita’ al parere reso dal Garante, che puo’ essere formulato anche su schemi-tipo al fine di rendere piu’ agevole e rapida l’adozione di tali atti. Qualora gli schemi regolamentari predisposti dalle amministrazioni corrispondano ai modelli su cui il Garante ha reso un parere conforme, non sara’ quindi necessario sottoporli caso per caso allo specifico esame da parte dell’Autorita’.

Al fine di consentire un efficace adeguamento al sistema di garanzie delineato dal Codice, per i trattamenti iniziati prima della sua entrata in vigore e’ stato anche fissato un termine improrogabile (non proprio perche’ gia’ e’ stato prorogato al 31 dicembre 2005) entro il quale i soggetti pubblici formalmente o sostanzialmente inadempienti (alcuni atti gia’ adottati, a volte anche senza il parere del Garante, non recano alcuna effettiva disciplina o ricognizione della materia) dovranno emanare il regolamento.
Al riguardo, va anche ricordato che l’Autorita’, nel parere del 4 settembre 2003 sullo schema di regolamento predisposto dal Ministero degli affari esteri, ha sottolineato come varie finalita’ di rilevante interesse pubblico che possono giustificare il trattamento di dati sensibili e giudiziari, sono espressamente individuate dalla legge (ora, dal Codice). E’ peraltro insufficiente l’indicazione solo di alcune macro-tipologie di dati, corredata da descrizioni del loro impiego, dovendosi piuttosto specificare i tipi di dati concretamente utilizzati e le operazioni su di essi effettuate.
L’art. 20 del Codice nel dettare i principi applicabili al trattamento dei dati sensibili da parte dei soggetti pubblici riprende, in effetti, i principi gia’ enunciati al comma 3 e comma 3-bis dell’art. 22 della legge 675/96.
La necessita’ di tutelare il “nocciolo duro” della riservatezza e’ stata costante fin dalle prime normative nazionali ed e’ stata recepita dalla Convenzione del Consiglio d’Europa all’art. 6. La Direttiva 95/46/CE all’art. 8 disciplina in dettaglio i “trattamenti riguardanti categorie particolari di dati”. Esso affronta tre aspetti: i dati che rivelano origini razziali ed etniche, opinioni politiche, religiose e filosofiche, l’appartenenza sindacale, lo stato di salute e la vita sessuale; i dati che riguardano, piu’ specificamente, lo stato di salute; i dati sulle infrazioni e condanne penali.

Come gia’ evidenziato uno dei problemi di maggiore rilevanza legati all’applicazione della normativa sulla privacy nel campo della Pubblica Amministrazione e’ sicuramente rappresentato dalla gestione illegittima della grande maggioranza dei dati sensibili da parte degli Uffici Pubblici. In realta’ tutte le Amministrazioni avrebbero dovuto gia’ da tempo emanare dei provvedimenti dai quali risultassero la tipologia dei dati sensibili trattati e l’uso specifico.
Nonostante, quindi, le ripetute raccomandazioni del Garante (l’ultima risale al 17 gennaio 2002, ai sensi dell’art. 31, comma 1, lett. m), della legge n. 675/1996), come era logico prevedere, gli Uffici pubblici sono in difficolta’, specie avuto riferimento ai dati sensibili. Il problema e’ divenuto particolarmente serio, anche perche’ la complessita’ della normativa, continuamente integrata e modificata nel corso degli anni, ha creato difficolta’ interpretative anche al Garante ed alla Presidenza del Consiglio, che, riguardo la natura giuridica dei provvedimenti da porre in essere per la corretta applicazione della legge sulla privacy, hanno discusso sull’opportunita’ di emanare un regolamento (secondo l’Autorita’) o un atto amministrativo (secondo la Presidenza del Consiglio), ed alla fine, come si e’ visto, ha prevalso la linea del Garante (v. il 2° comma dell’art. 20).

I dati sensibili come e’ noto sono quei dati che hanno una particolare capacita’ di incidere sulla riservatezza dei singoli individui e di determinare discriminazioni sociali particolarmente odiose (si tratta, in particolare, di quei dati che sono idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, lo stato di salute e la vita sessuale di una persona).
Il Garante per i dati personali, ha sempre dedicato particolare attenzione ai dati sensibili, e sin dall’inizio ha adottato, in merito agli stessi, sei “Autorizzazioni generali” emanate in prima applicazione nel novembre e nel dicembre 1997 e reiterate alla scadenza sempre con scadenza annuale (di recente sono state rinnovate alla luce del nuovo Codice).
Le autorizzazioni toccano i seguenti settori:
1. trattamento di dati sensibili nei rapporti di lavoro;
2. trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale;
3. trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle fondazioni;
4. trattamento dei dati sensibili da parte dei liberi professionisti;
5. trattamento dei dati sensibili da parte di “diverse categorie di titolari”;
6. trattamento di alcuni dati sensibili da parte degli investigatori privati.

L’art. 21 del Codice ripete al 1° comma con esplicito riferimento ai dati giudiziari lo stesso principio contenuto nell’art. 20, 1° comma (relativo ai dati sensibili). Lo stesso 2° comma rinvia all’art. 20 commi 2 e 4. Appare, quindi, evidente la volonta’ del legislatore di dedicare un articolo specifico ai dati giudiziari seppur molti principi siano analoghi ai dati sensibili.
L’art. 22 del Codice detta in maniera piu’ particolareggiata la disciplina applicabile al trattamento dei dati sensibili e giudiziari (questa volta considerati insieme). La norma trae ispirazione in tutti i suoi 12 commi dal d.lgs. n. 135/99 (ad eccezione del comma 8 che vietando la diffusione dei dati idonei a rivelare lo stato di salute, riprende l’art. 23, comma 4 della legge 675/96), in particolare dagli artt. 2, 3 e 4.
In effetti considerato che l’operativita’ del “vecchio” art. 22 della legge 675/96 nella sua versione originaria era subordinata alla presenza di una normativa specifica che in realta’ all’epoca non esisteva, e’ stato, in seguito, emanato il d.lgs. n. 135 del 1999, che oltre a concedere piu’ tempo agli uffici pubblici, si e’ assunto anche il compito di indicare in quali settori ed a quali condizioni potevano essere trattati i dati sensibili sempre a condizione di specificare i tipi di dati oggetto di trattamento, le operazioni eseguibili, e le rilevanti finalita’ di interesse pubblico perseguite.

Obiettivo, questo, rispettato con gli articoli da 6 a 23 del decreto citato. Con una prima ricognizione poi completata cono successivi decreti (come il d.lgs. n. 281 del 30/07/99, il d.lgs. n. 282 del 30/07/99 e il d.lgs. n. 467 del 28/12/2001), il Governo, in realta’, ha concesso il via libera agli uffici pubblici per i dati sensibili utilizzati, per esempio, a fini statistici o di rapporti di lavoro o ancora elettorali, fiscali, di immigrazione. Fermo restando la possibilita’ per i soggetti pubblici di richiedere al Garante, in attesa di piu’ specifici provvedimenti normativi, l’individuazione di attivita’, tra quelle demandate agli stessi soggetti pubblici dalla legge, che perseguono rilevanti finalita’ di interesse pubblico e per le quali e’ conseguentemente autorizzato, il trattamento dei dati sensibili.
Il problema e’ che secondo quanto sottolineato dal Garante nella relazione del 2001, “anche nell’anno 2001, gli atti adottati in tal senso dalle amministrazioni sono risultati, purtroppo, in numero assolutamente esiguo e non privi di gravi difetti, lacune ed errori, tanto da giustificare la considerazione che varie disposizioni del d.lgs. n. 135/1999 sono rimaste sostanzialmente inapplicate e che diversi trattamenti di dati personali effettuati in ambito pubblico sono proseguiti in modo illecito, dal punto di vista formale e sostanziale” e purtroppo la situazione non e’ cambiata affatto per il 2002.

Nell’ultima raccomandazione del 17 gennaio 2002 il Garante ha cercato di sgomberare il campo da possibili equivoci segnalando al Governo la necessita’ di conformare alle disposizioni vigenti il trattamento di tali dati da parte dei soggetti pubblici e fornendo alle amministrazioni interessate specifiche indicazioni sulle attivita’ che debbono essere prontamente intraprese a tale scopo.
In particolare, secondo il Garante, l’individuazione dei tipi di dati sensibili e giudiziari e delle operazioni di trattamento, che diversi soggetti pubblici non hanno definito nelle forme previste dai rispettivi ordinamenti, non rappresenta un mero adempimento formale di ricognizione di prassi esistenti. Trattasi, invece, di un provvedimento che deve attuare con effetti innovativi i principi vincolanti affermati in proposito dal d.lgs. n. 135/1999 (artt. 2-4), al fine di ridefinire su basi piu’ rispettose dei diritti della personalita’ una serie di trattamenti legati alle finalita’ di rilevante interesse pubblico enumerate dal decreto legislativo.
Un altro grande settore dove assume una particolare rilevanza la tutela dei diritti della personalita’ rispetto alla P.A. e’ senz’altro rappresentato dalle banche dati. In effetti, la materia della costituzione di grandi banche dati pubbliche ha registrato di recente un forte sviluppo. Il ricorso ad archivi di grandi dimensioni continua a presentare vantaggi sul piano dell’efficienza dell’attivita’ amministrativa, per l’elevato numero di informazioni che vi sono detenute e per le piu’ agevoli interconnessioni che possono operarsi. Per altro verso, tale tendenza alimenta elementi di preoccupazione per i cittadini e induce l’Autorita’ Garante a rivolgere una particolare attenzione al fenomeno, per valutare l’incidenza degli effetti delle nuove tecnologie sui diritti fondamentali della personalita’.

Tale problematica si pone in maniera evidente riguardo alle banche dati che possono essere disponibili anche in rete (e con l’avvento di Internet questa e’ ormai una realta’ concreta). La loro esistenza, infatti, sottintende l’accesso ai dati personali ed il loro trattamento per varie finalita’, il che puo’ comportare, senza una disciplina ad hoc dell’intera materia, gravi lesioni del diritto alla privacy.

La odierna qualificazione della societa’ contemporanea come societa’ dell’informazione individua, con assoluta precisione, la tendenza ad identificare ciascun individuo in quell’insieme di informazioni (quindi di dati personali) che lo distinguono rispetto a tutti gli altri consociati. Se queste sono le prospettive future della vita sociale, e’ indispensabile che il mondo giuridico fornisca ad ogni soggetto gli strumenti sufficientemente raffinati e flessibili per consentirgli un’adeguata tutela ed una completa garanzia.

Scritto da