Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

I - Stato di attuazione del Codice in materia di protezione dei dati personali - Relazione 2004 - 9 febbraio 2005

I - Stato di attuazione del Codice in materia di protezione dei dati personali - Relazione 2004 - 9 febbraio 2005

 

1 Il quadro normativo

1.1. L´entrata in vigore del Codice

L´entrata in vigore del "Codice in materia di protezione dei dati personali" (decreto legislativo 30 giugno 2003, n. 196, di seguito, semplicemente, "Codice"), avvenuta il 1° gennaio 2004, ha rappresentato una tappa fondamentale per la tutela dei diritti della persona e ha concluso il processo di recepimento delle direttive europee in materia (95/46/CE e 2002/58/CE). È stato così completato il complesso percorso di razionalizzazione della disciplina inizialmente introdotta con la legge 31 dicembre 1996, n. 675, riunendo in un unico testo una regolamentazione che si era, nel tempo, stratificata a seguito di numerosi interventi modificativi e integrativi.

In un quadro complessivo di rafforzate garanzie il riconoscimento del diritto alla protezione dei dati personali (art. 1 del Codice), in armonia con quanto ora previsto nel Trattato che ha adottato la Costituzione europea-la nuova disciplina ha provveduto a semplificare alcuni adempimenti e ad attribuire un ruolo significativo, anche in una prospettiva di deflazione legislativa, ai codici di deontologia e di buona condotta, soggetti alla preventiva verifica da parte del Garante.

 

1.2. Le modifiche (già) apportate

Devono comunque rilevarsi alcuni segnali che sembrano muoversi in controtendenza rispetto al progetto di "stabilizzare" le regole di protezione dei dati personali.

Già nel primo anno di vigenza del Codice, infatti, sono stati introdotti alcuni, seppur circoscritti, interventi modificativi in settori di rilievo, e segnatamente in relazione al regime dei dati relativi al traffico telefonico, nel contesto sanitario e con riferimento alle ripetute proroghe dei termini per adottare le misure minime di sicurezza e i regolamenti sul trattamento dei dati sensibili da parte dei soggetti pubblici.

Importanza particolare assumono le modifiche legislative apportate all´art. 132 del Codice (prima della sua entrata in vigore) con riguardo alla materia, di rilevanza costituzionale, della conservazione dei dati relativi al traffico telefonico per finalità di accertamento e di repressione dei reati (decreto-legge 24 dicembre 2003, n. 354, come modificato dalla legge di conversione 26 febbraio 2004, n. 45). Questa tematica si è riproposta anche nel contesto delle misure adottate per contrastare la diffusione telematica abusiva di materiale audiovisivo, nell´ambito del dibattito parlamentare relativo alla materia regolata nel decreto-legge 22 marzo 2004, n. 72 (convertito con legge 21 maggio 2004, n. 128).

 
La  conservazione dei dati di traffico

Il profilo della conservazione dei dati di traffico telefonico e telematico è nuovamente riemerso, con tutte le criticità che lo caratterizzano, nel corso delle audizioni effettuate in sede d´esame del disegno di legge del Governo recante disposizioni in materia di lotta contro lo sfruttamento sessuale dei bambini e la pedopornografia anche a mezzo Internet (AC 4599) (in merito si rinvia al par. 15.2).

Alcune modifiche al Codice -a brevissima distanza di tempo dalla sua entrata in vigore- hanno riguardato altresì i trattamenti di dati personali effettuati in ambito sanitario. In merito a tali interventi il Garante aveva peraltro manifestato i propri dubbi al Senato, trattandosi di modifiche in alcuni casi non necessarie (ad esempio, in quanto volte ad esonerare i medici di base dall´adozione di misure alle quali essi non erano comunque tenuti) e in altri non opportune (in quanto suscettibili di incrinare gravemente l´armonia del quadro normativo).

 
Il trattamento di dati idonei a rivelare lo stato di salute in ambito sanitario

Con tali innovazioni è stata esclusa l´applicabilità ai medici di base dell´obbligo di notificare al Garante alcuni trattamenti effettuati a fini sanitari (art. 37, comma1-bis, del Codice) e di alcune disposizioni del Codice (v. ora l´art. 83, comma 2-bis ) a garanzia dell´"anonimato" del paziente in sala d´attesa (già, peraltro, limitato sin dall´origine alle sole "strutture" sanitarie). Inoltre, si è subordinata l´omissione delle generalità del paziente in alcune ricette mediche ad un´esplicita richiesta dell´interessato (art. 89, comma 2-bis).

È stato poi soppresso l´art. 181, comma 1, lett. e), del Codice, che prevedeva il termine del 30 settembre 2004 per adottare modalità semplificate per l´acquisizione del consenso e il rilascio dell´informativa previste dall´art. 76, comma 2; con il risultato, quindi, di cancellare inopportunamente il termine transitorio che era stato previsto a favore dei soggetti contemplati nella disposizione (decreto-legge 29 marzo 2004, n. 81, convertito con modificazioni con legge 26 maggio 2004, n. 138; pochi mesi prima, un analogo provvedimento d´urgenza non era stato approvato alla Camera: decreto-legge 21 gennaio 2004, n. 10).

Nel corso dei lavori di conversione del decreto-legge è stato anche presentato, e poi ritirato, un emendamento parlamentare che prevedeva una sorta di "consenso presunto" del paziente al trattamento dei propri dati personali. L´Autorità ha evidenziato al Governo e al Parlamento il contrasto di tale disposizione con i principi normativi, anche comunitari, in materia di consenso -che deve essere comunque "esplicito", oltre che inequivoco-, soprattutto in relazione ai dati sensibili. Tuttavia, a conclusione dei lavori, il Governo ha accettato come raccomandazione una proposta di ordine del giorno in base alla quale dovrebbero essere adottate, in via transitoria, misure che consentano ai pazienti già in carico ai medici di base di esprimere il consenso mediante una procedura di silenzio-assenso.

Nel pur breve lasso di tempo dall´entrata in vigore del Codice, ricorrendo alla decretazione d´urgenza, si sono differiti i termini per l´adempimento di taluni obblighi posti a garanzia dell´interessato, relativamente all´applicazione delle "nuove" misure minime di sicurezza (per l´introduzione delle quali il Codice aveva fissato il termine del 30 giugno 2004 all´art. 180, comma 1) e all´adozione dei regolamenti in materia di dati sensibili da parte dei soggetti pubblici (su entrambi gli argomenti si vedano pure, rispettivamente, i par. 16.1 e 2.2 ).

 
Proroga dei termini

Con specifico riguardo alle misure minime di sicurezza, malgrado la scadenza originariamente fissata potesse ritenersi congrua rispetto alle esigenze prospettate (tanto più che era previsto il più ampio termine del 1° gennaio 2005 per i soggetti che alla data di entrata in vigore del Codice non disponessero di strumenti elettronici tali da consentire l´immediata applicazione delle misure di sicurezza), essa ha subito, in appena un anno, un duplice rinvio: inizialmente al 31 dicembre 2004 e, quindi, al 30 giugno 2005. Analogamente, è stato prorogato anche il termine per l´adozione delle misure di sicurezza da parte dei soggetti che alla data di entrata in vigore del Codice disponevano di strumenti elettronici "obsoleti": prima al 31 marzo 2005 e, da ultimo, al 30 settembre 2005 (art. 3, decreto-legge 24 giugno 2004, n. 158, convertito, con modificazioni, con legge 27 luglio 2004, n. 188; decreto-legge 9 novembre 2004, n. 266, convertito, con modificazioni, con legge 27 dicembre 2004 n. 306).

 
Adozione delle misure minime di sicurezza

Il citato decreto-legge n. 158/2004 ha prorogato anche il termine previsto dal Codice per approvare i regolamenti delle pubbliche amministrazioni in materia di dati sensibili e giudiziari, originariamente fissato al 30 settembre 2004 (art. 181, comma 1, lett.  a). Si tratta dell´ennesimo rinvio dell´attuazione di una disciplina (che riguarda un settore assai delicato), prevista ora dagli artt. 20 e 21 del Codice, ma introdotta già con il d.lg. n. 135/1999 e rimasta largamente inattuata, come più volte rilevato dal Garante che ha peraltro richiamato sul punto l´attenzione del Governo (v., fra l´altro, Provv.  17 gennaio 2002).

 
Adozione dei regolamenti sul trattamento dei dati sensibili e giudiziari

 

1.3. Legge finanziaria 2005 e altre novità normative con riflessi in materia di protezione dei dati personali

Nel corso dell´anno sono stati approvati altri provvedimenti normativi che riguardano la materia del trattamento dei dati personali e l´attività del Garante.

Si fa riferimento, in particolare, alla legge finanziaria per il 2005 (legge 30 dicembre 2004, n. 312, alla G.U. 31 dicembre 2004, n. 306, S.O. n. 193), che prevede la trasmissione per via telematica del certificato di diagnosi sull´inizio e sulla durata presunta della malattia da parte del medico curante all´Inps (art. 1, comma 149) ovvero dei cedolini per il pagamento delle competenze stipendiali del personale della pubblica amministrazione (art. 1, comma 197); presenta poi profili di sovrapposizione con alcune norme del Codice la disciplina, dettata a fini di contrasto di fenomeni di elusione fiscale, che mira a circoscrivere la riutilizzazione commerciale dei documenti e dei dati acquisiti dagli archivi catastali o da pubblici registri immobiliari (art. 1, commi 367-373). La predetta legge, infine, modificando l´articolo 50 del decreto-legge 30 settembre 2003, n. 269, convertito dalla legge 24 novembre 2003, n. 326, prevede che la tessera sanitaria sia consegnata a tutti gli assistiti entro il 31 dicembre 2005.

La medesima legge finanziaria ha poi ridotto considerevolmente le risorse finanziarie a disposizione del Garante, comportando gravi difficoltà per il funzionamento dell´Ufficio, come ampiamente segnalato dal Garante al Governo e al Parlamento durante i lavori di approvazione del disegno di legge.

Di particolare interesse, inoltre, è una recente ordinanza del Presidente del Consiglio dei ministri, approvata previo parere del Garante, finalizzata alla localizzazione dei cittadini italiani presenti nelle aree colpite dai recenti eventi calamitosi che hanno investito il sud-est asiatico (ordinanza n. 3390 del 29 dicembre 2004, in G.U. 4 gennaio 2005, n. 2). Con tale provvedimento, i gestori di sistemi di telefonia sono stati autorizzati a fornire al Ministero degli affari esteri dati e informazioni utili per rintracciare i titolari di utenze di telefonia mobile presenti nei luoghi del disastro.

In materia di Carta nazionale dei servizi si registra, infine, l´adozione del d.m. 6 dicembre 2004 (adottato dal Ministro dell´interno, di concerto con i Ministri dell´innovazione e le tecnologie, nonchè dell´economia e delle finanze), recante regole tecniche e di sicurezza relative alle tecnologie e ai materiali utilizzati per la produzione della "Carta" medesima. Il decreto individua altresì i dati personali registrati nella memoria riscrivibile del microcircuito, le misure di sicurezza, i servizi e le infrastrutture delle pubbliche amministrazioni coinvolte nel circuito di emissione.

 

1.4. Il monitoraggio delle leggi regionali

Nel corso dell´anno si è proceduto, con riferimento alle disposizioni più rilevanti in materia di protezione dei dati personali, a monitorare le leggi regionali pubblicate sulla Gazzetta Ufficiale.

I testi sui quali è stata effettuata un´analisi più approfondita riguardano disposizioni relative ai settori più vari, in ragione del carattere ampio e trasversale della disciplina di protezione dei dati personali.

Tra le questioni più rilevanti esaminate vi è quella dei limiti della potestà legislativa nelle materie riservate alle regioni rispetto a quella esclusiva dello Stato in tema di protezione dei dati personali alla luce dell´art. 117 Cost. (così come novellato dalla legge costituzionale 18 ottobre 2001, n. 3). Trattasi, com´è noto, di un tema al centro del vivace dibattito al quale l´Autorità è stata chiamata a prendere parte in passato (per i profili di propria competenza), anche con l´audizione del Presidente del Garante alla Commissione affari costituzionali della Camera dei deputati, avvenuta il 30 ottobre 2001 (Indagine conoscitiva sugli effetti nell´ordinamento delle revisioni del titolo V della parte II della Costituzione).

Sotto tale profilo è stata in particolare registrata la crescente adozione di provvedimenti legislativi che, pur attenendo direttamente a materie di competenza regionale, contengono disposizioni anche in materia di protezione dei dati personali; si tratta, tuttavia, di discipline a volte ripetitive rispetto alla legislazione nazionale e quindi inidonee ad incidere sul livello di protezione dei diritti della persona garantito dalla legislazione comunitaria e da quella statale (salvo riproporne caratteri e problematiche).

A titolo esemplificativo, si menziona la normativa in materia di prestazioni sociali agevolate che, com´è noto, prevede il ricorso all´indicatore della situazione economica equivalente ai fini della redazione della graduatoria dei beneficiari (cfr. d.lg. 31 marzo 1998, n. 109 successivamente integrato dal d.lg. 3 maggio 2000, n. 130 e dai regolamenti applicativi). A questo proposito, è stato rilevato che la genericità e la frammentarietà della legislazione nazionale in materia di prestazioni sociali agevolate, a suo tempo evidenziate dall´Autorità (cfr. Pareri 27 marzo 1998, 26 maggio 1999 e 5 aprile 2000), si riflettono sulle legislazioni regionali in merito all´esatta individuazione delle medesime, degli enti erogatori e dei soggetti, anche privati, legittimati al trattamento dei dati, delle condizioni e dei limiti delle interconnessioni con gli archivi pubblici e privati.

Nell´evidenziare la sostanziale conformità a volte anche letterale tra le disposizioni regionali e quelle statali, è emersa anche, con riferimento alla normativa sugli enti locali -che riconosce ai consiglieri comunali e provinciali il diritto di ottenere dalle amministrazioni di appartenenza notizie ed informazioni connesse all´espletamento del proprio mandato (art. 43, comma 2, d.lg. 18 agosto 2000, n. 267)- la dibattuta questione dei limiti del predetto diritto di accesso; mentre alcune pronunce giurisprudenziali (per esempio Cons. Stato, 4 maggio 2004, n. 2716) lo configurano in modo piuttosto ampio (ritenendo ad esempio che la motivazione relativa alla richiesta di accesso avanzata "per l´espletamento del mandato" basti a giustificarla, senza che occorra alcuna ulteriore precisazione circa le specifiche ragioni della richiesta), altre significative prese di posizione evidenziano, al contrario, una delimitazione dell´accesso ai soli dati personali comunque pertinenti e non eccedenti rispetto alle finalità perseguite nel caso specifico dal richiedente.

Anche con riferimento alla legislazione regionale, in più casi è emersa la mancata, o inadeguata specificazione dei dati sensibili oggetto di trattamento, che necessitano pertanto di un´ulteriore individuazione con atto regolamentare ai sensi dell´art. 20, comma 2, del Codice, nei pur più ampi termini temporali accordati dal menzionato decreto-legge n. 158/2004.

È allo studio dell´Autorità la questione se ipotesi di accordi tra Stato e regioni nonchè, più specificamente, forme di intesa su materie che presentino riflessi rilevanti sulla riservatezza delle persone siano soggette al preventivo parere del Garante (cfr. art. 154, comma 4, del Codice).

 

1.5. Lavori parlamentari

Oltre ai provvedimenti normativi approvati, menzionati nel paragrafo precedente, vanno segnalati alcuni lavori parlamentari in corso, anch´essi di interesse per la materia della protezione dei dati personali. In proposito vanno ricordati, in particolare:

a) il disegno di legge costituzionale di modifica della Parte II della Costituzione (AC 4862), nell´ambito del quale la Camera, il 30 settembre 2004, ha approvato un emendamento che "inserisce" le autorità indipendenti nella Carta costituzionale. L´emendamento, presentato da esponenti della maggioranza e modificato da subemendamenti presentati da parlamentari dell´opposizione, è stato approvato quasi all´unanimità (352 sì e 10 no). Esso ha inserito nella Costituzione l´art. 98-bis ai sensi del quale, per lo svolgimento di attività di garanzia o di vigilanza in materia di diritti di libertà riconosciuti dalla Costituzione e su materie di competenza dello Stato, si possono istituire con legge apposite autorità indipendenti, stabilendo i requisiti di eleggibilità e le condizioni di indipendenza dei componenti e la durata del relativo mandato. Tali autorità riferiscono alle Camere sui risultati delle attività svolte;

 
Costituzione

 b) il disegno di legge del Governo recante disposizioni in materia di lotta contro lo sfruttamento sessuale dei bambini e la pedopornografia anche a mezzo Internet (AC 4599), che mira ad istituire, presso il Dipartimento della pubblica sicurezza, un ufficio centrale per il contrasto della pedopornografia sulla rete Internet. A tale unità organizzativa (Centro nazionale) verrebbe attribuita una pluralità di compiti: raccogliere dalle forze di polizia segnalazioni di siti che diffondono materiale pedopornografico; tenere un registro dei medesimi, dei loro gestori, dei soggetti beneficiari dei pagamenti connessi al commercio di materiale pedopornografico; raccogliere, inoltre, le segnalazioni dei fornitori di servizi di comunicazione elettronica relative a contratti con imprese o soggetti che diffondono o commerciano il predetto materiale. Il disegno di legge pone, poi, a carico dei fornitori di connettività ad Internet obblighi finalizzati ad impedire o a filtrare l´accesso ai siti segnalati e prevede scambi informativi fra il menzionato Centro nazionale, l´Ufficio italiano cambi e il sistema bancario e finanziario per l´individuazione delle persone che beneficiano dei pagamenti sopra menzionati. Per l´individuazione delle modalità di trasmissione in via telematica di tali informazioni riservate è prevista l´adozione di un regolamento, previo parere del Garante. Nell´ambito dei lavori in Commissione giustizia della Camera si sono tenute una serie di audizioni informali, che hanno interessato anche là, nell´ambito delle quali è stato sollevato il problema della conservazione dei dati di traffico in Internet (sul quale si rinvia al par. 15.2), ritenuta utile dalle forze di polizia per finalità d´indagine e repressione dei reati commessi in via telematica;

 
Sfruttamento sessuale dei bambini e pedopornografia in Internet

 c) il disegno di legge del Governo in materia di editoria e di diffusione della stampa (AC 4163), in discussione presso la Commissione cultura della Camera, che all´art. 1 reca disposizioni in materia di siti aventi natura editoriale e testate editoriali. In un´audizione informale tenuta il 4 novembre u.s., il Presidente del Garante ha richiamato l´attenzione della Commissione sulla necessità di coordinare le emanande disposizioni con le norme del Codice che disciplinano le responsabilità e i compiti del titolare e del responsabile del trattamento, in particolare quando i dati sono trattati mediante un sito Internet. Il Garante ha ritenuto inoltre opportuno un migliore coordinamento tra alcune disposizioni del disegno di legge, la normativa vigente in materia di registrazione delle testate giornalistiche e il progetto di legge recentemente approvato dalla Camera in materia di diffamazione a mezzo stampa, che ha esteso ai siti aventi natura editoriale l´intera disciplina della legge sulla stampa (AS 3176);

 
Siti aventi natura editoriale e testate editoriali

 d) due proposte di legge in materia di analisi del Dna dell´imputato o dell´indagato in ambito processuale, che prevedono un´integrazione del codice di procedura penale e, a certe condizioni, l´obbligo per tali soggetti di sottoporsi al prelievo di materiale biologico a fini di confronto con quello presente su materiale probatorio rinvenuto nel corso delle indagini (AC 4682 e AC 4161). Nelle ultime sedute è stato sollevato dal Presidente della Commissione giustizia della Camera e dal relatore il problema dell´eventuale istituzione di una banca dati in cui conservare i campioni di materiale genetico e i dati personali dei soggetti interessati. Ogni approfondimento al riguardo richiederà un´attenta valutazione delle implicazioni di rilievo costituzionale che ne deriverebbero per i diritti fondamentali della persona e, in particolare, per la riservatezza e la dignità degli interessati;

 
Dna dell´imputato o dell´indagato

 e) alcuni disegni di legge recanti disposizioni in materia di consenso informato e di dichiarazioni di volontà anticipate nei trattamenti sanitari (AASS 1437, 2279 e 2943) sono all´esame congiunto della Commissione sanità del Senato. Fra gli aspetti d´interesse in materia di protezione dei dati personali, i disegni di legge prevedono il diritto del paziente di "conoscere i dati sanitari" che lo riguardano, diritto che però dovrebbe essere opportunamente coordinato con il diritto di accesso ai dati personali già previsto dall´art. 7 del Codice (oltre che con la disposizione contenuta nell´art. 84 del Codice relativa alle modalità di comunicazione all´interessato dei dati idonei a rivelare lo stato di salute). Le proposte di legge introducono, poi, il di vita" e il "mandato in previsione dell´incapacità", definiti, rispettivamente, come l´atto scritto con cui si dispone in merito ai trattamenti sanitari, nonchè in ordine all´uso del proprio corpo, e come il contratto con cui si attribuisce al mandatario il potere di compiere atti giuridici in nome e nell´interesse del rappresentato in caso di incapacità sopravvenuta. Sia il "testamento di vita", sia il "mandato in previsione dell´incapacità" sarebbero conservati in un registro informatico istituito nell´ambito di un archivio unico nazionale presso il Consiglio nazionale del notariato, consultabili, in via telematica, da notai, autorità giudiziaria, dirigenti sanitari e medici responsabili del trattamento di soggetti ove ricorrano le condizioni di incapacità previste dal disegno di legge. Il contenuto del testamento di vita e le convenzioni oggetto del mandato non verrebbero considerati, ai fini dell´applicazione della norma, dati sensibili. Anche per questi aspetti, le disposizioni richiedono un diverso e adeguato coordinamento con la normativa in materia di protezione dei dati personali;

 
 Accesso ai dati sanitari da parte dell´interessato

 f) il disegno di legge comunitaria 2004 (AS 2742-B), il cui art. 8 conferisce delega al Governo per il recepimento della direttiva 2003/6/CE del Parlamento europeo e del Consiglio del 28 gennaio 2003, relativa all´abuso di informazioni privilegiate e alla manipolazione del mercato (cd. abusi di mercato). La disposizione, originariamente all´esame delle Commissioni VI e X della Camera nell´ambito del testo di riforma della normativa in materia di tutela del risparmio, attribuisce alla Consob poteri di informazione e di indagine in relazione ai quali l´Autorità ha suggerito alla Commissione per le politiche dell´Unione europea della Camera alcune proposte emendative volte ad armonizzarne il testo con le disposizioni del Codice, in particolare per quanto riguarda l´applicazione delle garanzie in materia di comunicazione o diffusione dei dati e di acquisizione di dati di traffico;

 
Cd. "abusi di mercato"

 g) il disegno  di  legge  di  riforma  della  legge 7 agosto 1990, n. 241 (AS 1281-B) in relazione al quale l´Autorità ha segnalato alla Commissione affari costituzionali del Senato la necessità di alcune modifiche in vista di un opportuno coordinamento con le norme del Codice che disciplinano l´accesso ai dati personali, anche per quanto riguarda la prevista "collaborazione" fra il Garante e la Commissione per l´accesso ai documenti amministrativi, istituita presso la Presidenza del Consiglio, in procedimenti nei quali rilevino allo stesso tempo questioni concernenti l´accesso ai documenti e a dati personali. Solo due delle proposte suggerite dall´Autorità sono state, poi, approvate dal Senato;

 
Disciplina dell´accesso ai documenti amministrativi

 h) il progetto di riforma della normativa in materia di fallimento (r.d. 16 marzo 1942, n. 267), predisposto da un comitato ristretto istituito nell´ambito della Commissione giustizia del Senato, che presenta alcuni aspetti di interesse in materia di protezione dei dati personali, sui quali la predetta Commissione ha richiesto, informalmente, un contributo all´Autorità per un più ampio approfondimento della materia;

 
Fallimento

 i) nell´ambito dei lavori in Commissione giustizia del Senato per la modifica del codice di procedura civile (AS 2430, approvato dalla Camera), cui si è già fatto cenno nella Relazione 2003, l´Autorità ha segnalato l´opportunità di armonizzare alcune disposizioni del testo con le modifiche apportate dal Codice in materia di notifica di atti giudiziari e di pubblicazione degli avvisi di esecuzione immobiliare (art. 490 c.p.c., modificato dall´art. 174, comma 9, del Codice);

 
Modifiche al codice di procedura civile