Il Dipartimento vigilanza e controllo dell’Ufficio del Garante ha effettuato 56 ispezioni nei confronti di pubbliche amministrazioni e privati: complessivamente 30 in piu’ rispetto all’anno precedente.
Il quadro che emerge da tali ispezioni, lo riferisce una comunicazione del Garante per la protezione dei dati personali in merito all’attivita’ 2003, e’ che nel settore privato aziende piu’ grandi iniziano ad affrontare meglio la legge predisponendo anche “uffici privacy”, avvalendosi magari di collaborazioni esterne,  mentre aziende medio piccole trascurano di piu’ la materia ed evidenziano un livello inferiore di adeguamento alla normativa e agli indirizzi del Garante. Nella pubblica amministrazione la cultura della privacy stenta ad affermarsi: processi di lavoro e gestione delle pratiche di ufficio poco rispettosi della legge sulla tutela dei dati personali e, in alcuni casi, assoluta noncuranza e superficialita’ nel trattamento dei dati.

I controlli di cui sopra sono stati originati da segnalazioni di cittadini o di organi di stampa (48%), che hanno reso necessaria una verifica sul posto e da ricorsi (42%), dai quali sono emersi profili che meritavano accertamenti autonomi. Cicli di ispezioni e controlli incrociati, pari al 10% del totale,  sono stati effettuati d’ufficio per verificare il rispetto della normativa in determinati settori.
Le ispezioni hanno riguardato nel 34% dei casi le modalita’ di acquisizione del consenso, soprattutto nell’ambito delle comunicazioni commerciali indesiderate via Internet e nel 26% il rispetto della normativa in materia di videosorveglianza.
In un ulteriore 26% dei casi l’ispezione ha accertato l’origine dei dati personali trattati mentre nel 12% ha verificato le misure di sicurezza. Gli interventi recenti sono stati effettuati su tutta la penisola, anche se in questa fase si sono concentrati nelle regioni settentrionali e centrali dove sono localizzate in prevalenza le aziende private controllate. Nel corso delle attivita’ ispettive sono state accertate numerose violazioni amministrative e, nel 10% dei casi, si e’ proceduto ad inviare segnalazioni all’Autorita’ giudiziaria per violazioni costituenti reato quali: il trattamento illecito di dati personali, la mancata adozione delle misure di sicurezza, l’inottemperanza ai provvedimenti del Garante.
Cio’ che maggiormente preoccupa dall’analisi di tali dati e’ la situazione ancora difficile nell’ambito della pubblica amministrazione, al di la’ dei problemi connessi ad Internet, (in attesa del tanto sospirato codice di deontologia).

Il codice per la protezione dei dati personali dedica agli uffici pubblici varie disposizioni, ma sin dall’inizio oltre alle regole generali valide per tutti i tipi di trattamento di dati, detta regole ulteriori al Capo II del Titolo III.
In particolare l’art. 18 riprende i principi contenuti nel 1° comma dell’art. 27 della legge 675/96, mentre riguardo la comunicazione e diffusione dei dati personali da e a soggetti pubblici fa rinvio all’art. 25 del T.U. (5° comma).
La norma specie nella parte in cui consente il trattamento dei dati personali da parte dei soggetti pubblici soltanto per lo svolgimento di funzioni istituzionali (2° comma) e nei presupposti e limiti stabiliti dal codice, dalla legge e dai regolamenti (3° comma), invita ad alcune riflessioni.
Difatti, tenuto conto di cio’ che si intende per “trattamento” ne consegue che, avendo l’art. 15, comma 2, della legge n. 59/1997 attribuito validita’ e rilevanza giuridica agli “atti, dati e documenti formati dalla Pubblica Amministrazione e dai privati con strumenti informatici o telematici…”, lo svolgimento di attivita’ giuridicamente rilevanti, da parte della P.A., comporta l’applicazione della disposizione di cui sopra anche in tema di formazione, conservazione e trasmissione dei documenti informatici e, quindi, di trattamento dei dati personali in essi contenuti (COCCO).
Ne dovrebbe discendere, come corollario, che le modalita’ di trattamento dei dati, ovverosia con, o senza, l’ausilio di mezzi elettronici, da parte della P.A., sono indifferenti ai fini dell’individuazione degli obblighi imposti e delle facolta’ riconosciute dal legislatore alla medesima P.A. qualora il trattamento in parola sia finalizzato allo svolgimento delle funzioni istituzionali e questo avvenga, ovviamente, nei limiti stabiliti dalla legge e dai regolamenti.
E’ indubbio comunque che nella disposizione in esame il legislatore ha finalizzato il trattamento dei dati al principio di competenza, operando una scelta che sottolinea il carattere strumentale ed autonomo del trattamento dei dati rispetto allo svolgimento di funzioni di interesse pubblico.

L’ambito di applicazione di quest’art. 18 e la sua reale portata sono stati chiariti dal Garante (ovviamente con riferimento all’allora art. 27 della legge 675/96) con taluni provvedimenti come il parere reso il 13 febbraio 1998 su richiesta del Consiglio Nazionale dell’Economia e del Lavoro dove ha precisato che la prima condizione per l’applicabilita’ del regime speciale previsto dalla norma e’ che il trattamento sia svolto da un soggetto pubblico, oppure il parere del 13 novembre 1997 (reso su richiesta dell’Azienda di Stato per gli interventi nel mercato agricolo) dove il Garante ha individuato con esattezza il contenuto della disciplina di cui all’art. in esame (TRAVAGLINI).

L’art. 19 si ispira anch’esso all’art. 27 della legge 675/96 ma a differenza di quest’ultimo articolo parla esplicitamente di “dati diversi da quelli sensibili e giudiziari”. Al 1° comma, quindi, riprendendo il principio gia’ enunciato all’art. 18 2° comma, aggiunge che il trattamento di tali dati e’ consentito anche in mancanza di una norma di legge o regolamento che lo preveda espressamente, spingendosi piu’ in la’ di quanto prevedeva la legislazione precedente.
Il 2° ed il 3° comma di quest’art. 19, invece, disciplinano le fattispecie di comunicazioni di dati da parte di un soggetto pubblico ad altro soggetto pubblico e da parte di un soggetto pubblico a privati o enti pubblici economici riproducendo rispettivamente il 2° ed il 3° comma dell’art. 27 della legge 675/96.
Queste disposizioni hanno fatto sollevare in dottrina (ma si sono verificati anche casi concreti) il problema dell’interconnessione delle banche di dati pubblici con anche il rischio di perdita e distruzione dei dati stessi.
Difatti questo problema assume una specifica connotazione per quanto concerne la comunicazione e la diffusione dei dati fra soggetti pubblici e fra questi e i soggetti privati, tenuto conto che la Rete Unitaria della P.A. (la cui piena funzionalita’ e’ ancora lontana) ha per suo precipuo scopo e obiettivo finale proprio la condivisione, attraverso lo scambio, dei dati posseduti dalla P.A..
Per quanto concerne il primo profilo, rientrante nel secondo comma dell’art. 19, per lo scambio di dati fra soggetti pubblici, che dovra’ essere enormemente facilitato dall’entrata a regime della Rete Unitaria, non si dovrebbero verificare problemi di particolare criticita’, in quanto la Rete si configura come una rete interna virtuale, che collega tra loro le reti delle singole Amministrazioni e che sara’ rigorosamente preclusa – almeno per quanto concerne lo stato attuale delle conoscenze tecnologiche – all’accesso indesiderato dei terzi estranei alla P.A. Il problema e’ che la RUPA stenta a decollare ed allo stato attuale sono solo 35 le amministrazioni pubbliche e gli enti attualmente collegati. Per non parlare, poi, delle effettive funzionalita’, difatti, la percentuale di servizi offerti on line e’ solo del 5%.

Ancora piu’ delicato si presenta il secondo profilo, quello, cioe’, della comunicazione e della diffusione dei dati da parte di soggetti pubblici a privati (comma 3 dell’articolo 19): ulteriore obiettivo, questo, ormai, non solo della RUPA, ma dell’intero piano di e-government.
Tale piano, difatti, ha come suo obiettivo fondamentale quello di garantire ai cittadini l’accesso on-line a tutti i servizi erogati dalle pubbliche amministrazioni nell’ottica di quella che dovrebbe essere la nuova frontiera di Internet.

E’ evidente che l’apertura degli apparati nei confronti di soggetti privati che, per definizione, non operano per lo svolgimento di una funzione istituzionale, anche se, talora, vi cooperano come condizione necessaria di svolgimento da parte delle Pubbliche Amministrazioni aumenta, di certo, il rischio di distruzione, perdita o, comunque, di trattamento dei dati che costituiscono oggetto di comunicazione o diffusione.
Cio’ nondimeno, deve ritenersi che l’esercizio di un diritto, costituzionalmente garantito (art.3, comma 2, della Costituzione), da parte del cittadino, da attuarsi anche mediante l’accesso controllato a determinate informazioni circolanti su e attraverso la Rete Unitaria o qualsiasi altra Rete pubblica, non puo’ essere vanificato dall’esigenza che venga assicurata la riservatezza dei suoi dati; ne’ cio’ puo’ impedire, o pregiudicare, il diritto, prima ancora del dovere, all’efficienza, efficacia dell’attivita’ svolta dalla Pubblica Amministrazione, fatta salva l’adozione, da parte di quest’ultima, di piu’ rigorose misure di sicurezza, da attuarsi anche con il ricorso a meticolose verifiche periodiche sia delle procedure informatiche che della completezza e dell’esattezza dei dati trattati, nonche’ con il rigoroso contenimento dei trattamenti nei limiti normativamente previsti, in modo, cioe’, non eccedente rispetto agli obblighi e ai compiti attribuiti alla Pubblica Amministrazione medesima (COCCO).

Si tratta, per come e’ evidente, di un contesto normativo alquanto rigido, la cui attuazione, se realizzata con una interpretazione ancorata al dato letterale, puo’ procurare serio intralcio al complesso dei servizi che potranno essere resi dalla P.A. e dai privati mediante l’uso massiccio delle nuove tecnologie dell’informazione: e’ questa una sfida di civilta’ che viene lanciata all’attuale ordinamento dall’uso diffuso delle moderne tecnologie, che del resto costituisce il presupposto fondamentale per avviare quel grande processo di innovazione tecnologica che sta coinvolgendo tutto il sistema pubblico italiano al fine di metterlo cosi’ sullo stesso piano rispetto a quello di altri paesi piu’ progrediti nelle nuove tecnologie della comunicazione, (si pensi, ad esempio, al nuovo sistema pubblico di connettivita’, inteso dal Ministro per l’Innovazione e le tecnologie come la naturale evoluzione della Rete Unitaria, che collega le Pubbliche Amministrazioni Centrali alle quali potranno ricongiungersi le P.A. Locali).
In questa ottica l’interconnessione delle banche di dati pubblici puo’ addirittura favorire la tutela del cittadino poiche’ assicura meglio il cd. principio della pertinenza in quanto e’ possibile raccogliere all’occorrenza il dato che serve e non creare inutilmente basi di dati in piu’ Amministrazioni.

L’art. 20 nel dettare i principi applicabili al trattamento dei dati sensibili da parte dei soggetti pubblici riprende i principi gia’ enunciati al comma 3 e comma 3-bis dell’art. 22 della legge 675/96.
Il primo comma di quest’articolo 20 riproduce (anche se non vengono esclusi gli enti pubblici economici) il 3° comma, 1° periodo dell’art. 22 della legge 675/96, mentre il 3° comma dell’art. 20 riproduce il 2° periodo del 3° comma dell’art. 22, legge 675/96.
Il 2° comma dell’art. in esame, invece, si ispira al comma 3-bis dell’art. 22, legge 675/96 come il 4° comma.
La necessita’ di tutelare il “nocciolo duro” della riservatezza e’ stata costante fin dalle prime normative nazionali ed e’ stata recepita dalla Convenzione del Consiglio d’Europa all’art. 6. La Direttiva 95/46/CE all’art. 8 disciplina in dettaglio i “trattamenti riguardanti categorie particolari di dati”. Esso affronta tre aspetti: i dati che rivelano origini razziali ed etniche, opinioni politiche, religiose e filosofiche, l’appartenenza sindacale, lo stato di salute e la vita sessuale; i dati che riguardano, piu’ specificamente, lo stato di salute; i dati sulle infrazioni e condanne penali.
Uno dei problemi di maggiore rilevanza legati all’applicazione della normativa sulla privacy nel campo della Pubblica Amministrazione e’ sicuramente rappresentato dalla gestione illegittima della grande maggioranza dei dati sensibili da parte degli Uffici Pubblici. In realta’ tutte le Amministrazioni avrebbero dovuto gia’ da tempo emanare dei provvedimenti dai quali risultassero la tipologia dei dati sensibili trattati e l’uso specifico.

Il problema sta diventando particolarmente delicato, anche per le evidenti conseguenze in campo telematico, specialmente adesso che con l’emanazione della direttiva per la conoscenza e l’uso del dominio internet “.gov.it” e l’efficace interazione del portale nazionale “italia.gov.it” con le pubbliche amministrazioni e le loro diramazioni territoriali, la presenza della P.A. in Rete, nella prospettiva di una revisione di tutti i siti Internet degli organi pubblici allo scopo di renderli piu’ vicini ai cittadini, principalmente avuto riferimento all’interattivita’, sta diventando una realta’ tangibile.
E le recenti notizie non sono confortanti, visto che il Garante per la protezione dei dati personali, nell’effettuare un’indagine a campione su determinati siti web, al fine di elaborare il codice di deontologia e di buona condotta riguardante il trattamento dei dati personali effettuato nell’ambito dei servizi di comunicazione e informazione offerti per via telematica e in particolare nella rete web, ha accertato che piu’ del 90% dei siti esaminati non rispettano le prescrizioni della legge sulla privacy.

Nonostante, quindi, le ripetute raccomandazioni del Garante (l’ultima risale al 17 gennaio 2002, ai sensi dell’art. 31, comma 1, lett. m), della legge n. 675/1996), come era logico prevedere, gli Uffici pubblici sono in difficolta’, specie avuto riferimento ai dati sensibili.
Il problema e’ divenuto particolarmente serio, anche perche’ la complessita’ della normativa, continuamente integrata e modificata nel corso degli anni, ha creato difficolta’ interpretative anche al Garante ed alla Presidenza del Consiglio, che, riguardo la natura giuridica dei provvedimenti da porre in essere per la corretta applicazione della legge sulla privacy, hanno discusso sull’opportunita’ di emanare un regolamento (secondo l’Autorita’) o un atto amministrativo (secondo la Presidenza del Consiglio), ed alla fine ha prevalso la linea del Garante come risulta dal 2° comma della disposizione in esame.
Gli articoli 21 e 22, poi, raccolgono i precetti contenuti nei decreti integrativi della legge 675/96 in riferimento al trattamento dei dati sensibili, ribadendo i requisiti imposti dall’art. 22 della legge fondamentale.

Scritto da