Diritti interna

Doveri interna

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

2.1 Pubbliche amministrazioni - Relazione 1998 - 12 aprile 1999

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
1337597
Data:
12/04/99
Tipologia:
Relazione annuale

Indice

Relazione annuale 1998

2. Temi di maggior rilievo nell´attività del Garante

2.1 Pubbliche amministrazioni

2.1.1 Profili generali
La l. n. 675/1996, come è noto, regola anche i trattamenti di dati personali effettuati dalle amministrazioni pubbliche, prevedendo nei loro confronti una disciplina parzialmente diversa da quella applicabile ai privati e agli enti pubblici economici.

Il Garante, nel corso del 1998, è stato chiamato più volte a chiarire come opera tale disciplina e a precisare che i soggetti pubblici non devono richiedere il consenso agli interessati, dovendo piuttosto verificare che i trattamenti effettuati rispettino i presupposti e i limiti previsti.

La disciplina in esame mantiene, peraltro, la distinzione fra i trattamenti di dati cd. "particolari" (quelli previsti dagli artt. 22 e 24 della legge) e i trattamenti relativi ad altri dati. Infatti, come è noto:

a) i soggetti pubblici possono trattare dati personali "comuni" soltanto per lo svolgimento delle funzioni istituzionali e nei limiti stabiliti dalle leggi e dai regolamenti vigenti nei settori di riferimento (art. 27, comma 1).

Nell´ambito delle varie operazioni di trattamento la fase che merita più attenzione è spesso rappresentata dalla eventuale comunicazione o diffusione dei dati trattati; la legge ha perciò stabilito che debbano essere rispettati alcuni specifici presupposti, che sono diversificati a seconda che la divulgazione di dati avvenga verso un altro soggetto pubblico o nei confronti di soggetti privati.

Nel primo caso è necessario che la comunicazione o la diffusione siano previste da una norma di legge o di regolamento oppure, in via strettamente residuale, che esse siano necessarie per lo svolgimento delle funzioni istituzionali; in quest´ultima ipotesi occorre darne preventiva comunicazione al Garante, che può eventualmente vietarle (art. 27, comma 2).

A questo proposito si deve rilevare che sono pervenute a questa Autorità numerose comunicazioni ai sensi dell´art. 27, comma 2, alcune delle quali, tuttavia, si sono rivelate scarsamente utili perché segnalavano flussi di dati tra Pa già disciplinati da norme di legge o di regolamento. Viceversa, in riferimento ai casi in cui tali flussi non sono ancora espressamente regolamentati, non si è avuta notizia di una diffusa attivazione da parte delle Pa per l´adozione di normative specifiche che tengano conto dei princìpi stabiliti dalla l. n. 675/1996 in materia di comunicazione di dati personali tra soggetti pubblici.

Si deve tuttavia riconoscere che in alcuni casi l´impulso di questa Autorità ha trovato un riscontro effettivo: si veda ad esempio l´art. 21 della l. 24 giugno 1997, n. 196 ("Norme in materia di promozione dell´occupazione") che, alla luce dei suggerimenti forniti dal Garante nel giugno 1997 (v. Relazione per l´anno 1997, pag. 83), ha integrato la normativa in materia di liste di mobilità dei lavoratori prevedendo espressamente l´obbligo per le imprese, oltre che per l´INPS, di comunicare i nominativi dei lavoratori alla Commissione regionale per l´impiego.

Ancora, il Ministero dell´università e della ricerca scientifica, tenendo conto delle indicazioni di questa Autorità, ha provveduto a modificare il testo del d.m. 23 aprile 1998 in materia di trattamento dei dati relativi alle preiscrizioni universitarie.

Se invece la comunicazione o la diffusione di dati personali avviene da un soggetto pubblico verso un soggetto privato o verso un ente pubblico economico, non è possibile - neanche in via residuale - operare in base a un mero riferimento alle finalità istituzionali, in quanto occorre comunque una specifica norma di legge o di regolamento che preveda la divulgazione.

Si rileva al riguardo che la mancanza di siffatte disposizioni legislative o regolamentari ha costretto alcune amministrazioni a interrompere diversi flussi di comunicazioni di dati verso soggetti privati o enti pubblici economici.

Si ricorda in particolare il parere espresso dal Garante il 19 dicembre 1998 in ordine alla possibilità , per un istituto tecnico industriale statale, di trasmettere a una società privata l´elenco degli studenti diplomati negli ultimi due anni, completo delle informazioni relative a data di nascita, indirizzo, recapito telefonico, voto conseguito e anno di diploma.

In tale provvedimento il Garante, dopo aver osservato che dall´esame delle disposizioni vigenti in materia di istruzione secondaria superiore (in particolare, d.lg. 16 aprile 1994, n. 297; l. 10 dicembre 1997, n. 425 e d.P.R. 23 luglio 1998, n. 323) non emergono norme che consentono di trasmettere a privati elenchi o altre raccolte di dati relativi ai diplomati, ha invitato il competente Ministero a promuovere l´adozione di un´apposita disposizione, anche regolamentare, che disciplini i presupposti, le finalità e le garanzie dell´eventuale rilascio nei confronti di aziende e di altri soggetti di elenchi di diplomati, anche per scopi diversi da quelli di assunzione, ma egualmente meritevoli di considerazione;

b) quando i dati sono invece di carattere "particolare" la disciplina richiede maggiori garanzie. I soggetti pubblici, per poter effettuare una o più operazioni di trattamento - comprese la comunicazione e la diffusione - sui dati "sensibili" (che l´art. 22, comma 1 individua tra quelli idonei a rivelare l´origine razziale ed etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l´adesione a partiti politici, sindacati, associazioni, lo stato di salute e le abitudini sessuali), hanno infatti bisogno di essere "autorizzati" da una espressa e dettagliata disposizione di legge che preveda quali dati possono essere trattati, le operazioni che possono essere eseguite su di essi e le rilevanti finalità di interesse pubblico perseguite (art. 22, comma 3).

Lo stesso requisito è richiesto affinché i predetti soggetti possano trattare i dati idonei a rivelare l´esistenza di alcuni provvedimenti giudiziari, indicati all´art. 24 della legge. In tale caso, tuttavia, in assenza di una specifica norma di legge, l´autorizzazione può essere fornita con provvedimento del Garante.

Il quadro normativo si sarebbe dovuto completare rapidamente. L´art. 41, comma 5 della l. n. 675/1996 aveva previsto originariamente che i trattamenti dei dati "particolari" da parte dei soggetti pubblici, iniziati prima dell´entrata in vigore della legge, potessero essere proseguiti - anche in assenza delle espresse disposizioni di legge sopra indicate - fino all´8 maggio 1998. È stata invece disposta una proroga di tale termine dapprima fino all´8 novembre 1998 (d.lg. n. 135/1998) e, da ultimo, fino all´8 maggio 1999 (d.lg. n. 389/1998).

Resta comunque fermo il profilo relativo al consenso. L´Autorità ha infatti precisato più volte che il consenso, se per i soggetti pubblici - come si è
detto - non è necessario, tanto meno può essere richiesto agli interessati per legittimare un trattamento che non rispetti i requisiti previsti dagli artt. 22, 24 o 27 (ad esempio, attraverso il consenso dell´interessato non è possibile comunicare dati personali a soggetti privati se ciò non è previsto da una norma di legge o di regolamento).

L´unica eccezione a tale meccanismo è quella prevista in materia di dati sanitari (art. 23). Infatti, come si vedrà (§ 2.6.1), gli organismi sanitari pubblici possono trattare i dati idonei a rivelare le condizioni di salute dell´interessato facendo riferimento a una specifica norma di legge che li autorizzi secondo quanto previsto dall´art. 22, comma 3, oppure (utilizzando l´altra soluzione prevista dall´art. 23, comma 1) avvalendosi del consenso dell´interessato o dell´autorizzazione del Garante, a seconda delle finalità perseguite.


La particolare normativa stabilita per i soggetti pubblici, specie in riferimento alla comunicazione e alla diffusione dei dati, ha creato qualche problema di corretta interpretazione da parte dei medesimi soggetti, testimoniata dai diversi quesiti pervenuti in materia.

È il caso, ad esempio, delle richieste di parere sulla liceità della comunicazione di dati dai soggetti pubblici ai privati in relazione alle normative riguardanti l´ordinamento dello stato civile e gli atti anagrafici, nonché la tenuta delle liste elettorali, temi sui quali il Garante si era espresso già nel 1997.

La pronuncia dell´anno precedente, che dichiarava illegittima la prassi di fornire dati ed elenchi delle nascite e dei decessi a terzi al di fuori delle modalità previste dalla normativa in materia di stato civile e di anagrafe, è stata integrata nel 1998 da una nuova decisione riguardante gli elenchi dei nubendi che un Comune era stato richiesto di comunicare sistematicamente agli organi di stampa locali.

Anche in questo caso l´Autorità ha ritenuto che la normativa vigente, che pure permette la diffusione delle singole notizie acquisite caso per caso dall´ufficiale di stato civile, non si presti a una interpretazione estensiva che faccia ritenere lecita la prassi di richiedere al predetto ufficiale di redigere quotidianamente interi elenchi da pubblicare con assiduità.

Analogamente, il Garante ha sottolineato più volte l´impossibilità di procedere alla sistematica divulgazione dei dati anagrafici fuori del caso previsto dal d.P.R. n. 223/1989 (art. 34, comma 1), e cioè nei confronti di altre amministrazioni pubbliche che ne facciano motivata richiesta "per esclusivo uso di pubblica utilità".

Diverso è invece il caso delle liste elettorali, che l´art. 51 del d.P.R. n. 223/1967 assoggetta alla massima divulgazione ("chiunque può copiare, stampare o mettere in vendita le liste elettorali del Comune") in una forma tale da non consentire,come ha precisato l´Autorità nel parere reso al Ministero dell´interno il 20 aprile 1998, agli uffici comunali di sindacare le motivazioni alla base delle richieste di accesso.

Peraltro, su questi temi, in tal senso disciplinati dalla normativa vigente, potrebbe essere opportuna una nuova e più coordinata disciplina.

Una parte rilevante dell´attività del Garante nei riguardi del settore pubblico è stata rivolta poi alla soddisfazione di numerose richieste di chiarimenti sui vari adempimenti cui sono soggette le pubbliche amministrazioni. L´Autorità ha precisato ad esempio che i soggetti pubblici, pur non dovendo richiedere il consenso, devono fornire comunque agli interessati l´informativa prevista dall´art. 10 della legge. Tale informativa, è stato peraltro evidenziato, può essere resa adottando modalità semplificate di informazione dei cittadini (ad esempio mediante modelli esplicativi da esporre o affiggere negli uffici in modo tale, però, da porli in chiara evidenza per il cittadino), specie quando il trattamento dei dati venga effettuato in base a obblighi di legge o di regolamento.

Numerosissimi sono stati poi i quesiti sulle modalità di notificazione dei trattamenti, soprattutto nei primi mesi del 1998, in corrispondenza con i termini del 31 marzo (per i trattamenti svolti anche in parte con l´ausilio di mezzi automatizzati e per i trattamenti di dati sensibili) e del 30 giugno (per i trattamenti non automatizzati). Le pubbliche amministrazioni, infatti, sono state incluse dal d.lg. n. 255/1998 (che ha introdotto nell´art. 7 della l. n. 675/1996 il nuovo comma 5-bis), tra i soggetti che possono effettuare la notificazione in forma semplificata, oltre che esserne del tutto esonerati in determinate ipotesi (comma 5-ter).

Ancora, si è reso necessario specificare ulteriormente, rispetto a quanto già precisato nel 1997, la relazione fra titolare e responsabile del trattamento in ambito pubblico, soprattutto in riferimento ai rapporti sempre più fitti fra pubbliche amministrazioni e soggetti privati incaricati di compiere, per le prime, determinate operazioni.

Gli sforzi di semplificare gli adempimenti a carico delle Pa hanno trovato certamente un riscontro nell´atteggiamento di tendenziale attivazione da parte delle amministrazioni stesse per il rispetto della legge. Non possono tuttavia non essere evidenziati alcuni ritardi, ad esempio per quanto riguarda un opportuno monitoraggio dei trattamenti in corso o l´individuazione degli "incaricati" del trattamento.

Già nei primi mesi di applicazione della legge, il Garante si era poi espresso positivamente circa la liceità della scelta da parte di un´amministrazione pubblica di continuare ad avvalersi dei servizi di un soggetto privato nominandolo "responsabile del trattamento" ai sensi dell´art. 8 della l. n. 675/1996.

La validità di tale genere di scelta è stata confermata con una articolata pronuncia del 29 luglio 1998 in materia di accertamenti per il pagamento della tassa sullo smaltimento dei rifiuti solidi urbani. Diversi cittadini e consiglieri comunali si erano infatti rivolti al Garante per ottenere un parere circa la correttezza della prassi adottata dalle amministrazioni comunali di rivolgersi a ditte private per effettuare le misurazioni presso abitazioni private ai fini dell´accertamento della predetta tassa.
L´Autorità, verificata l´esistenza di norme idonee a legittimare in generale tali incarichi (artt. 71 e 73 del d.lg. 15 novembre 1993, n. 507), ha precisato che la concreta responsabilità del trattamento può essere attribuita alla struttura esterna cui è affidata l´attività in convenzione, oppure a un dipendente di quest´ultima, come pure a un ufficio o a un dipendente dell´amministrazione stessa.

Specifiche richieste sono pervenute poi in ordine al concreto esercizio del diritto di accesso ai documenti amministrativi e sulla comunicazione di dati personali ai consiglieri comunali (v. § 213).

Un altro tema importante sul quale il Garante si è espresso è quello relativo ad alcuni test attitudinali cui un´amministrazione comunale ha sottoposto i propri dipendenti. Interessata dalle locali organizzazioni sindacali, l´Autorità ha rilevato che il modello consegnato ai dipendenti non rispettava alcuni requisiti fondamentali - tra cui l´obbligo di fornire l´informativa - e che alcune risposte ai test consentivano di acquisire informazioni relative alle opinioni politico-sindacali dei lavoratori interessati.

Poiché l´art. 8 dello Statuto dei lavoratori (l. n. 300/1970) reca un esplicito divieto in tal senso, il Garante ha dapprima chiesto elementi di valutazione al Comune, invitandolo a sospendere ogni forma di utilizzazione e ulteriore raccolta dei dati connessi ai test, e successivamente ha imposto, per la prima volta nei confronti di una pubblica amministrazione, il blocco del trattamento dei dati raccolti fino a quel momento.

Sempre nel settore degli enti locali il Garante è intervenuto poi nei confronti dell´ordinanza di un sindaco, adottata in termini analoghi da altre amministrazioni, intesa a fronteggiare il fenomeno della prostituzione attraverso il divieto ai conducenti di autoveicoli di arrestare il proprio mezzo in prossimità di soggetti che si prostituiscono, e di porre in essere altri comportamenti ritenuti di intralcio e di pericolo al traffico stradale.

Tale ordinanza prevedeva anche che, "a tutela della salute pubblica, e in particolare di quella di parenti e affini", si dovesse comunicare al domicilio del trasgressore l´identità di chi avesse violato l´ordinanza, anche nel caso di oblazione.

Il Garante ha eccepito l´illegittimità di questa prescrizione, ritenendo non legittimo che essa fosse disposta con una ordinanza sindacale del genere in esame e giudicando, altresì, privo di corretto fondamento giuridico l´ordine di comunicare la violazione dell´ordinanza al domicilio del contravventore, laddove l´infrazione fosse stata notificata immediatamente sul posto (art. 108, r.d. n. 383/1934).

L´Autorità, poiché l´ordinanza in questione si poneva in contrasto con la legge, anche per ciò che riguardava la sfera di competenza dell´autorità comunale, ha attivato i propri poteri previsti dall´art. 31, comma 1, lett. c) della l. n. 675/1996 e ha invitato l´Amministrazione comunale ad adottare senza ritardo le misure per conformarsi alla segnalazione inviata, appunto, dal Garante.

  

212 Trasparenza dell´attività amministrativa
Lo stretto collegamento fra i temi della trasparenza amministrativa e del diritto di accesso ai documenti amministrativi ne consiglia, in questa sede, una trattazione ravvicinata.

Pur nella consapevolezza che il modo più corretto di illustrare l´attività svolta dal Garante in tale materia sia quello di affidarsi a una rassegna dei provvedimenti emanati, sembra opportuno sintetizzare talune premesse generali circa il complesso rapporto tra la pubblicità dell´azione amministrativa e la privacy del singolo (o dell´organismo), di volta in volta interessato dall´agire dei pubblici poteri.

Sin dai primi provvedimenti, il Garante ha ricordato che l´art. 43 della l. n. 675/1996 non ha abrogato le precedenti disposizioni che hanno attuato un processo di "apertura" dell´azione amministrativa verso l´esterno. Ci si riferisce, in particolare, all´art. 24, comma 2, lett. d), della l. 7 agosto 1990, n. 241 e all´art. 8, lett. d), del d.P.R. 27 giugno 1992, n. 352, che hanno operato un certo capovolgimento nel rapporto tra segretezza e pubblicità dell´azione amministrativa, nonché all´art. 7 della l. 8 giugno 1990, n. 142, in materia di accesso agli atti dell´amministrazione comunale e provinciale.

Il Garante ha però constatato la tendenza di alcune strutture burocratiche a un sostanziale ritorno verso una "chiusura" della macchina amministrativa, laddove, richiamandosi in maniera inappropriata o pretestuosa la l. n. 675/1996, si sarebbero di fatto mortificate le potenzialità innovative contenute nella normativa sulla trasparenza dell´azione amministrativa.

Più volte, infatti, dinanzi a un assetto normativo che riconosce nella riservatezza un limite all´accesso e al tempo stesso, però, garantisce agli interessati "la visione degli atti relativi ai procedimenti amministrativi la cui conoscenza sia necessaria per curare o difendere i loro interessi  giuridici" (art. 24 cit.), il Garante ha richiamato l´attenzione circa la necessità che le singole amministrazioni, sulla base dei criteri stabiliti con i regolamenti adottati ai sensi dell´art. 24, comma 4, della l. n. 241/1990, verifichino di volta in volta la sussistenza delle condizioni per l´esercizio del diritto di accesso e per il corrispondente eventuale sacrificio del diritto alla riservatezza.

Alla luce delle considerazioni qui riassunte, risulta evidente come la mancata abrogazione, da parte della legge in materia di protezione dei dati personali, delle norme tese ad assicurare la trasparenza amministrativa - e in particolare di quelle relative al diritto di accesso ai documenti amministrativi, anche se contenenti dati personali - ha finito con il trasformare il Garante della privacy anche in un "Garante della trasparenza", come è stato sottolineato da taluni commentatori.

In altri termini l´Autorità, peraltro in armonia con la giurisprudenza amministrativa (si veda per tutte la decisione dell´Adunanza plenaria del Consiglio di Stato n. 5 del 4 febbraio 1997, in cui è constatata la prevalenza del diritto di accesso sulla riservatezza, laddove questo sia necessario per difendere l´interesse giuridico del richiedente), ha inteso far rispettare la volontà del legislatore del 1996 di non compiere alcun passo indietro lungo il cammino della trasformazione della macchina amministrativa in una "casa di vetro".

Dalle pronunce di seguito citate si ricava, infatti, come il Garante non abbia favorito l´irrigidimento del sistema attraverso una affermazione sistematica della prevalenza del diritto alla riservatezza sul diritto all´informazione. Vi è stata piuttosto un´attenzione costante alle caratteristiche del caso concreto e una opportuna cautela nell´affermazione di princìpi e regole generali in ordine al contrasto tra riservatezza e accesso ai dati detenuti dalla Pa, qualora questo sia necessario per la cura e la difesa di interessi giuridici alla luce del più volte ricordato art. 24 della l. n. 241/1990. Lo stesso art. 27 della l. n. 675/1996, che consente alla Pa di comunicare e di diffondere dati personali (in particolare quando la comunicazione avvenga verso soggetti privati) solamente se vi è una espressa disposizione di legge o di regolamento che lo consenta, ha costretto il Garante sia a indagare, di volta in volta, la specifica normativa primaria e secondaria di riferimento, sia a osservare trasversalmente uno spettro larghissimo dell´ordinamento.

Già nella Relazione per l´anno 1997 si è dato conto, oltre che dei princìpi affermati dalla giurisprudenza amministrativa in materia e del corrispondente orientamento del Garante, del primo provvedimento reso sul tema nell´anno 1998, su richiesta della Presidenza del Consiglio dei ministri, in ordine alla pubblicità della situazione patrimoniale relativa ai titolari di talune cariche elettive e direttive (parere dell´8 gennaio 1998).

Similare è la pronuncia emessa dal Garante in pari data relativamente alla conformità ai princìpi della l. n. 675/1996 della norma statutaria di un Comune che prevede la pubblicità delle dichiarazioni dei redditi dei consiglieri comunali. L´Autorità si è infatti espressa nel senso di ritenere lecito il regime di pubblicità suddetto, atteso che:

  • l´art. 27, comma 3, della l. n. 675/1996 consente ai soggetti pubblici di comunicare e diffondere dati personali a privati o a enti pubblici economici se ciò è previsto espressamente da una norma di legge o di regolamento;
  • la normativa statutaria ha, nella gerarchia delle fonti, un rango pari a quello riconosciuto alla normativa regolamentare.

In altra occasione (provvedimento del 30 marzo 1998) il Garante ha poi ravvisato la compatibilità con la l. n. 675/1996 dell´art. 1, comma 8 della l.r. Sicilia 11 maggio 1993, n. 15, che obbliga la regione e gli enti pubblici regionali a comunicare alla presidenza della regione gli incarichi e i compensi corrisposti a ciascun componente privato o pubblico di commissioni, comitati e consigli.

In data 23 gennaio 1998, in risposta alla Corte dei Conti che chiedeva se fossero conformi con i princìpi della l. n. 675/1996 le rilevazioni che l´Istat deve svolgere nell´ambito del Programma statistico nazionale per il triennio 1998-2000, il Garante ha osservato che poiché l´Istat aveva avviato indagini sulle condizioni di salute e sul ricorso ai servizi sanitari fin dal 1980, il caso poteva rientrare nel regime transitorio per il trattamento dei dati sensibili di cui all´art. 41, comma 5, della l. n. 675/1996,secondo il quale i trattamenti già iniziati possono essere proseguiti sino al 7 maggio 1998 (termine ora prorogato all´8 maggio 1999 con il d.lg. 6 novembre 1998, n. 389), previa comunicazione al Garante.

Si è inoltre rivolto al Garante il Dipartimento della protezione civile, per conoscere se la SISAM (società privata affidataria della gestione dei velivoli Canadair utilizzati nella lotta agli incendi boschivi) dovesse chiedere il consenso degli interessati per ottemperare alla richiesta proveniente dal medesimo Dipartimento di avere accesso ai nominativi dei piloti impiegati negli anni 1996-97 e all´attività di volo effettuata da ciascuno di essi; ciò in quanto il Dipartimento intendeva esercitare il suo potere ispettivo e di vigilanza sulla predetta società.

Nel caso in esame veniva in considerazione un´ipotesi di comunicazione di dati personali a una pubblica amministrazione da parte di privati e non viceversa, come nelle ipotesi precedenti. In questa occasione il Garante ha ritenuto non necessario il consenso del personale di volo, applicandosi al caso di specie la disposizione dell´art. 20, comma 1, lett. c) della l. n. 675/1996, che esclude il consenso dell´interessato quando il trattamento è effettuato in adempimento di un obbligo previsto da una norma di legge o di regolamento. Tale obbligo è stato infatti rinvenuto nell´art. 6, comma 3, della l. 24 febbraio 1992 n. 225, istitutiva del Servizio nazionale di protezione civile, nonché nel regolamento approvato con d.P.R. 30 gennaio 1993, n. 51, disciplinante le ispezioni al servizio stesso.

Particolare attenzione da parte dell´opinione pubblica si è avuta poi in ordine alla questione sollevata dal Ministero per le politiche agricole, relativa alla possibilità di pubblicare la relazione conclusiva predisposta dalla commissione ministeriale per l´esame dei contratti di circolazione delle quote latte, in cui erano indicate le imprese nei cui confronti sono state rilevate anomalie, nonché i nominativi degli agenti che hanno effettuato gli accertamenti.

La risposta è stata di segno negativo per quanto concerne l´autonoma divulgazione dei dati a terzi da parte del Ministero, mentre è stata ritenuta legittima la comunicazione della relazione al Parlamento, nonché alla Corte dei Conti e alla Procura della Repubblica di Roma per l´eventuale accertamento della sussistenza di una rilevanza di responsabilità amministrativa o penale.

In pari data, il Garante ha peraltro inviato una nota al Presidente del Senato in risposta a una richiesta di parere circa l´utizzabilità, da parte dei componenti della Commissione IX, dei dati inviati dall´AIMA e di quelli contenuti nella relazione della Commissione governativa di indagine sulle quote latte. Nella circostanza, il Garante ha sottolineato che "il flusso di informazioni nei confronti degli organi parlamentari, anche quando riguarda dati personali, è strumentale al libero esercizio della funzioni dei singoli componenti della Camera e del Senato, garantite - come ben noto - da puntuali norme costituzionali (artt. 67 e 68, comma 1, della Costituzione)" e che "riguardo ai dati dei quali è prevista la trasmissione al Parlamento una limitazione all´accesso e alla duplicazione da parte dei parlamentari è ammissibile solo in presenza di precise previsioni legislative a tutela dei segreti. Analoga considerazione è stata formulata per quanto concerne l´eventuale diffusione dei dati anche individuali, che poteva derivare dalla stessa pubblicazione dei resoconti delle sedute o di altri atti parlamentari".

Il Garante ha quindi osservato che spetta semmai "al legislatore valutare attentamente, alla luce dei concorrenti princìpi costituzionali garantiti dalla l. n. 675/1996, quando sia necessario adottare particolari accorgimenti e misure volte a garantire comunque il diritto alla riservatezza degli individui anche rispetto alle prerogative e alle libertà dei componenti del Parlamento".

Il parere dell´Autorità è stato richiesto poi da un Comune relativamente alla possibilità di consegnare a un´impresa commerciale l´elenco di coloro che, a una determinata data, avevano avanzato istanza per il rilascio di concessione edilizia. Il Garante si è espresso in senso negativo, in quanto la normativa urbanistica non prevede tale specifica modalità di comunicazione che comporta un facere per l´amministrazione. Nel caso di specie, infatti, l´impresa commerciale chiedeva non tanto di accedere a determinati documenti (come previsto dall´art. 7 della l. 8 giugno 1990, n. 142), quanto piuttosto di ottenere dal Comune l´apposita redazione di uno specifico elenco corredato di particolari indicazioni, volto a documentare atti o documenti distintamente detenuti dall´amministrazione.

Un altro Comune ha chiesto quindi di conoscere se fosse compatibile con la normativa in materia di protezione dei dati personali la legge regionale 4 gennaio 1993, n. 1, del Trentino-Alto Adige, nella parte in cui prevede (artt. 51 e 54) la necessaria pubblicità delle deliberazioni comunali mediante affissione nell´albo pretorio.

Il Garante, dopo aver ricordato che tali norme sono compatibili con l´art. 47 della l. n. 142/1990 che regola la pubblicazione di tutte le deliberazioni comunali e provinciali mediante affissione all´albo pretorio nella sede dell´ente (e che la l. n. 675/1996 non ha abrogato il regime di pubblicità suddetta), ha richiamato l´attenzione sulla necessità che i soggetti privati e gli enti pubblici economici che trattano dati personali rispettino le norme che regolano la conoscibilità e la pubblicità di atti e documenti pubblici (artt. 20, comma 1, lett. b), 28, comma 4, lett. g) e 43, comma 2 della l. n. 675/1996).

Si è segnalata inoltre l´opportunità che le amministrazioni interessate, qualora le deliberazioni da pubblicare contengano dati "sensibili", selezionino accuratamente - alla luce dei princìpi di pertinenza e non eccedenza sanciti dall´art. 9 della l. n. 675/1996 - i dati personali la cui inclusione nelle deliberazioni da pubblicare sia realmente necessaria per le finalità proprie di ciascun provvedimento. Si è fatto presente poi che resta fermo, in ogni caso, il divieto di diffondere i dati idonei a rivelare lo stato di salute (art. 23, comma 4 della l. n. 675/1996) nonché , per altro verso, il diritto dei soggetti eventualmente qualificati di accedere ai dati medesimi.

Il Garante, rispondendo poi a un quesito posto dal Dipartimento della funzione pubblica, si è espresso in ordine alla possibilità di diffondere i dati contenuti nella cd. anagrafe dei dipendenti pubblici. Analogamente a quanto già ritenuto nella nota del 23 ottobre 1997 indirizzata al medesimo Dipartimento, la risposta è stata negativa, non essendovi una norma espressa che preveda la diffusione di tali dati. È sembrata tuttavia corretta la prassi adottata dallo stesso Dipartimento di diffondere dati riepilogativi su apposite tabelle statistiche evitando, così, la pubblicizzazione di informazioni di carattere personale.

Di particolare rilievo sono, infine, alcuni provvedimenti sui rapporti tra la l. n. 675/1996 e le normative riguardanti l´ordinamento dello stato civile, gli atti anagrafici e la tenuta delle liste elettorali.

In via generale, il Garante ha segnalato a vari Comuni che la normativa sugli atti anagrafici prevede la possibilità per l´ufficiale dell´anagrafe di rilasciare, anche periodicamente, elenchi di iscritti nell´anagrafe della popolazione residente alle amministrazioni pubbliche che ne facciano richiesta, "per esclusivo uso di pubblica utilità" (art. 34, comma 1, d.P.R. 30 maggio 1989, n. 223). Non è prevista, invece, la possibilità di rilasciare tali elenchi ad altri soggetti come privati o associazioni, ai quali i dati anagrafici possono essere comunicati in forma anonima e aggregata, qualora ne sia fatta richiesta per fini statistici e di ricerca e il Comune disponga di idonee apparecchiature (art. 34, comma 2, d.P.R. n. 223/1989).

In particolare, va segnalato invece il parere reso il 20 aprile 1998 in materia di pubblicità delle liste elettorali, al quale si è fatto già cenno (v. § 2.1.1). In esso il Garante diversamente opinando rispetto a quanto ipotizzato dal Ministero dell´interno ha ritenuto che l´art. 51 del d.P.R. n. 223/1967, nella parte in cui stabilisce che "chiunque può copiare, stampare o mettere in vendita le liste elettorali del Comune", non permette "di operare una distinzione tra le finalità per le quali i dati acquisiti attraverso l´accesso alle liste elettorali potrebbero essere successivamente utilizzati", e che "appare difficile sostenere che le finalità di carattere commerciale o pubblicitario eventualmente perseguite dal soggetto che copia la lista non possano essere ricomprese in una norma che consente al privato di vendere le liste stesse e di portare a conoscenza di terzi i dati in esse contenuti". Sicché , allo stato della legislazione vigente, raccogliere e diffondere i dati elettorali non lede di per sé la sfera privata dei cittadini. Tuttavia, chi effettui un tale trattamento dovrà inviare necessariamente ai singoli cittadini interessati l´informativa ex art. 10 della l. n. 675/1996, ponendoli nella condizione di esercitare i diritti stabiliti dall´art. 13 della medesima legge.

Nello stesso parere il Garante ha, infine, rilevato la necessità che i decreti delegati previsti dalla l. n. 676/1996 diano attuazione alla Raccomandazione del Consiglio d´Europa n. R. (91) 10 del 9 settembre 1991, secondo cui la "messa in relazione" dei dati personali provenienti da archivi pubblici accessibili a terzi con altre informazioni raccolte e utilizzate da terzi può essere prevista solo in presenza di "garanzie appropriate".
Va, infine, segnalato il provvedimento sollecitato dal Comune di Trieste, con cui si è constatata l´illegittimità della prassi in uso presso gli uffici dello stato civile di inviare giornalmente ai quotidiani locali gli elenchi riportanti i nomi e i cognomi dei nati e dei deceduti nonché le richieste di pubblicazioni di matrimonio. Conformemente a quanto affermato nel precedente parere del 22 luglio 1997, il Garante ha ribadito che non vi è alcuna norma di carattere generale o speciale che consenta all´amministrazione di redigere appositi elenchi da mettere a disposizione di eventuali interessati e che tale forma di comunicazione è pertanto in contrasto con l´art. 27, comma 3, della l. n. 675/1996 (su una fattispecie analoga, si veda anche la recente pronuncia del Consiglio di Stato: Sez. V, 23 gennaio 1998, n. 99; v. anche § 2.1.1). Né vale a sanare l´illegittimità il consenso degli interessati, che è irrilevante nei trattamenti operati dai soggetti pubblici.

Merita da ultimo di essere ricordato il parere del 31 dicembre 1998 relativo alla possibilità, per una azienda sanitaria che intenda effettuare uno screening dei tumori, di ottenere dai Comuni gli elenchi anagrafici della popolazione residente e gli eventuali aggiornamenti. Al riguardo il Garante ha constatato la conformità di tali comunicazioni ai princìpi della l. n. 675/1996 (in particolare dell´art. 27, commi 1 e 2), se si considera che la normativa sugli atti anagrafici consente all´ufficiale dell´anagrafe di rilasciare anche periodicamente gli elenchi suddetti alle amministrazioni pubbliche che ne facciano motivata richiesta "per esclusivo uso di pubblica utilità"  (art. 34, comma 1, d.P.R. n. 223/1989).

 

213 Diritto di accesso ai documenti amministrativi
Si riferirà ora dei principali provvedimenti emessi dal Garante in materia di accesso ai documenti amministrativi.

In linea generale l´orientamento del Garante è stato quello di ritenere che la l. n. 675/1996 non abbia introdotto un regime di assoluta riservatezza dei dati e che si debba verificare caso per caso l´esistenza di altri diritti o interessi di pari o superiore tutela. Tra tali diritti, si è detto, rientra sicuramente l´accesso ai documenti amministrativi, che è tuttavia riconosciuto solo a chi sia titolare di un interesse personale e concreto in relazione alla tutela di situazioni giuridicamente rilevanti (art. 22, l. n. 241/1990; art. 2, d.P.R. n. 352/1992).

L´aspetto che merita maggiormente di essere sottolineato è che la sussistenza di tale diritto nei casi concreti deve essere ravvisata dalla stessa amministrazione nei cui confronti l´interessato eserciti il diritto di accesso, anziché , a posteriori, dal Garante. L´Autorità può semmai intervenire, in via preventiva o successiva, per fornire chiarimenti o quando il dato sia stato (o stia per essere) comunicato o diffuso oltre l´ambito consentito dall´esercizio del diritto di accesso. Sicché il sistema ha finito con il confermare gli ambiti delle rispettive competenze: quella delle singole amministrazioni da un lato e quella del Garante dall´altro.

Tale ripartizione emerge implicitamente da un provvedimento del 23 gennaio 1998, in riferimento a un caso nel quale un membro della Camera dei deputati aveva chiesto chiarimenti circa il rifiuto frapposto dal Dipartimento dello spettacolo a una sua richiesta di accesso ai documenti relativi a determinate erogazioni di contributi e ai relativi verbali. Al riguardo il Garante, constatato che il Dipartimento aveva negato l´esistenza di un interesse giuridicamente rilevante all´accesso (e che un decreto ministeriale precludeva la divulgazione dei verbali delle commissioni in favore di soggetti "diversi da quelli direttamente contemplati nella deliberazione"), ha osservato che:

  • il limite alla conoscibilità di quei documenti deriva non tanto dalla l. n. 675/1996 quanto dalla specifica disciplina sull´accesso ai documenti amministrativi  e dalla conoscibilità dei verbali delle commissioni prevista dal citato ministeriale;
  • compete al Dipartimento dello spettacolo valutare se le esigenze di studio delle problematiche dello spettacolo da parte di un parlamentare possano essere considerate alla stregua di un "interesse giuridicamente rilevante" e che tale valutazione è eventualmente sindacabile in sede giurisdizionale;
  • l´art. 8 del d.lg. 8 gennaio 1998, n. 3, riguardante il riordino degli organi collegiali operanti presso il Dipartimento dello spettacolo, prevedendo la costituzione di nuove commissioni nel settore, ha aperto la possibilità di eventuali modifiche anche nella disciplina dell´attività svolta in materia dal Dipartimento;
  • ciascun parlamentare ha comunque la possibilità di esercitare in altro modo le proprie prerogative presentando, in particolare, ulteriori interrogazioni e interpellanze a cui il Governo dovrebbe fornire sollecita risposta.

Numerose sono state poi le richieste di chiarimenti da parte di amministrazioni (e singoli consiglieri) comunali e provinciali circa l´esistenza e i limiti del diritto dei consiglieri comunali e provinciali di ottenere dagli uffici dell´ente informazioni utili per l´espletamento del proprio mandato.

Con un parere del 20 maggio 1998 il Garante, dopo aver ribadito che l´art. 31, comma 5 della l. n. 142/1990 riconosce ai consiglieri il diritto a ottenere "notizie e informazioni utili all´espletamento del proprio mandato", ha osservato che:

  • il consigliere comunale e provinciale, se invoca il cit. art. 31, non deve dimostrare l´esistenza di un interesse giuridicamente rilevante, essendo sufficiente che rappresenti l´utilità delle notizie e delle informazioni richieste rispetto al mandato; l´amministrazione, dal canto suo, deve rispettare il principio di pertinenza di cui all´art. 9, comma 1, lett. d), della l. n. 675/1996 rispetto alle notizie e alle informazioni fornite;
  • in presenza della dichiarazione da parte del consigliere di avvalersi della facoltà di cui all´art. 31 della l. n. 142/1990, sarebbe arbitraria, da parte dell´amministrazione, una distinzione basata sulla natura dei dati richiesti;
  • l´art. 31, tuttavia, deve essere coordinato con altre norme vigenti che tutelano il segreto delle indagini penali o la segretezza della corrispondenza;
  • il diritto di accesso deve essere parimenti coordinato con la speciale disciplina relativa agli atti anagrafici, allo stato civile e alle liste elettorali.

Va segnalato anche il provvedimento del 29 maggio 1998, in riferimento a un quesito con cui l´Azienda Municipale Ambiente (AMA) di Roma aveva chiesto di verificare la possibilità di comunicare i nominativi dei dipendenti preposti alle proprie sedi territoriali a un consigliere del Comune che ne aveva fatto richiesta. La risposta è stata positiva, in quanto l´art. 31 della l. n. 142/1990 prevede espressamente che il consigliere comunale ha il diritto di acquisire notizie utili al proprio mandato, anche se relative a enti strumentali del Comune per la gestione di servizi pubblici, quale l´AMA. Considerato quindi che la giurisprudenza della Cassazione ha riconosciuto che le aziende speciali hanno natura di enti pubblici economici (e ricordato che la normativa in materia di protezione dei dati personali assoggetta questi ultimi al regime "ordinario" previsto per i soggetti privati), il Garante ha ritenuto che l´AMA potesse effettuare la suddetta comunicazione in virtù dell´art. 20, comma 1, lettera c) della l. n. 675/1996, la quale esime gli enti pubblici economici dal richiedere il consenso dell´interessato nel caso in cui, come quello di specie, il trattamento doveva essere effettuato in adempimento di un obbligo previsto dalla legge, da un regolamento o dalla normativa comunitaria.

Di contenuto praticamente identico al parere reso all´AMA è poi quello del 10 giugno 1998, in cui l´Azienda servizi pubblici del Comune di Brandolo di Chioggia ha posto analogo quesito. In materia di appalti il Garante ha formulato quindi diversi pareri per il cui contenuto si rinvia al § 2110.

Si segnala inoltre il provvedimento del 3 settembre 1998 con cui il Garante, a fronte di una richiesta della Camera di commercio di Treviso di chiarire se fosse necessario il consenso per comunicare dati relativi a procedure di gara per appalti d´opera o di fornitura, ha ribadito come la "riservatezza" delle società partecipanti a una gara sia stata presa già in considerazione da leggi anteriori alla l. n. 675/1996 (art. 14, comma 3, d.lg. n. 358/1992 e 14, comma 3, d.lg. n. 157/1995), nelle parti in cui prevedono che si possano chiedere informazioni non eccedenti l´oggetto dell´appalto e che vadano però tenuti in considerazione "gli interessi legittimi del concorrente relativi alla protezione di interessi tecnici e commerciali". Sicché, nel caso di specie, l´accesso è stato ritenuto possibile.

Va, infine, segnalato il caso del Comune di Marradi che aveva fornito alla cooperativa che gestisce una comunità terapeutica l´elenco dei sottoscrittori di una petizione tesa a migliorare i rapporti tra i cittadini e gli ospiti della comunità medesima.

In tale parere il Garante, dopo avere ribadito che la normativa sulla trasparenza e la partecipazione del cittadino al procedimento amministrativo non è stata abrogata e che l´amministrazione è legittimata essa stessa a stabilire se il diritto di accesso debba trovare o no soddisfazione dei singoli casi, ha segnalato l´incertezza interpretativa che si riscontra anche nella giurisprudenza amministrativa sul rapporto tra l´art. 7 della l. n. 142/1990 e l´art. 22 della l. n. 241/1990 (ci si chiede infatti se la prima norma abbia una portata più ampia rispetto alla seconda, rendendo superflua la dimostrazione da parte del richiedente di un interesse giuridicamente rilevante per l´accesso).

Il Garante ha precisato, altresì, come le norme sull´accesso ai documenti amministrativi non rechino parametri dettagliati per tutelare in concreto il diritto alla riservatezza. Dopo aver evidenziato come il grado di tutela della riservatezza sia comunque aumentato dopo la l. n. 675/1996, specie in materia di dati sensibili, ha però ipotizzato ulteriori interventi normativi per offire alle amministrazioni destinatarie delle richieste di accesso, elementi di valutazione più concreti, elementi che potrebbero ridurre sia le incertezze constatate, sia alcune difformità che si registrano oggi rispetto alle decisioni assunte sul diritto di accesso. E ha concluso nel senso che istanze, petizioni e proposte debbano essere ritenute di per sé pubbliche, unitamente ai dati relativi ai promotori e sottoscrittori.

 

214 Dati sensibili utilizzati dalla pubblica amministrazione
Nel corso dell´anno di attività, la risoluzione delle problematiche riguardanti il trattamento dei dati sensibili da parte delle pubbliche amministrazioni è stata fortemente caratterizzata dalle proroghe del regime transitorio previsto dall´art. 41, comma 5 della l. 31 dicembre 1996, n. 675.
Come è noto, in armonia con la direttiva comunitaria, la l. n. 675/1996 stabilisce un particolare regime per i trattamenti che coinvolgono dati idonei a rivelare l´origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l´adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché lo stato di salute e la vita sessuale, imponendo per tali dati, definiti appunto "sensibili", una maggiore trasparenza sulle modalità di trattamento.

Per i trattamenti effettuati da soggetti pubblici, tale garanzia sarà integrata, a regime, dall´integrale attuazione del principio di riserva di legge sancito dall´art. 22, comma 3 della l. n. 675/1996.

La norma, rafforzando il principio di finalità stabilito per i soggetti pubblici in merito al trattamento dei dati personali "comuni" (art. 27, comma 1), circoscrive la tipologia dei trattamenti possibili in materia di dati sensibili, nonché la fonte del relativo potere, individuandola esclusivamente in una apposita disposizione di legge nella quale siano indicati "i dati che possono essere trattati, le operazioni eseguibili e le rilevanti finalità di interesse pubblico perseguite".

Il regime transitorio è previsto dall´art. 41, comma 5 al fine di permettere alle amministrazioni, in tutti i casi in cui non si riscontri una norma di legge che presenti i requisiti suddetti, di proseguire i trattamenti di dati "sensibili" in corso fino all´8 maggio 1999, previa comunicazione a questa Autorità, nelle more dell´approvazione di specifiche leggi.

Si segnala tuttavia che l´attività normativa in materia si è rivelata particolarmente complessa e che ciò ha spiegato una certa influenza sugli slittamenti che sono stati disposti rispetto al termine inizialmente previsto. La prima scadenza è stata prorogata una prima volta all´8 novembre 1998 (dall´art. 1 del d.lg n. 135/98) e poi all´8 maggio 1999 (dall´art. 1 del d.lg 6 novembre 1998, n. 389), sicché, come si è detto, il regime transitorio ha finito per costituire nel corso dell´anno il principale quadro normativo di riferimento per il trattamento dei dati sensibili.

Lo schema del decreto legislativo per il trattamento dei dati sensibili da parte dei soggetti pubblici, approvato dal Consiglio dei ministri il 22 luglio 1998 ma non emanato, è stato superato di fatto dal d.lg. 6 novembre 1998, n. 389, che ha differito nuovamente all´8 maggio 1999 il termine finale del regime transitorio più volte citato.

Nelle more, quindi, dell´emanazione dei provvedimenti legislativi riguardanti specificatamente la disciplina dei dati sensibili da parte dei soggetti pubblici, questa Autorità si è impegnata per una maggiore diffusione della conoscenza - e applicazione - delle disposizioni della legge in merito a tali ambiti di trattamenti, curando anche la pubblicazione di provvedimenti di carattere generale che riassumessero i numerosi quesiti e istanze che sono stati formulati in materia.

A tale proposito si richiama in primo luogo il provvedimento del 13 febbraio 1998, con il quale il Garante è tornato sulle problematiche relative al settore della sanità già affrontate nella nota del 30 giugno 1997, e in particolare sulla illustrazione delle diverse modalità del trattamento che devono essere osservate da medici, farmacisti, esercenti le professioni sanitarie e organismi sanitari pubblici. Con questo provvedimento sono stati forniti chiarimenti in ordine ai contenuti delle certificazioni mediche e ad alcune modalità semplificate per l´applicazione della l. n. 675/1996,evidenziando talune misure temporanee di carattere organizzativo che le amministrazioni del settore della sanità sono tenute a osservare al fine di tutelare l´anonimato dei pazienti nelle procedure amministrative connesse ai trattamenti sanitari.

In altre occasioni, sempre con provvedimenti di carattere generale o suscettibili di risolvere delicate questioni di principio, l´Autorità è intervenuta per chiarire la portata delle altre disposizioni della l. n. 675/1996 in materia di dati sensibili.

Rilevante, a questo proposito, è il parere del 29 maggio 1998 reso alle Ferrovie dello Stato Spa in ordine alla definizione del regime applicabile alle società nate dalla privatizzazione di enti pubblici. In questa occasione il Garante ha chiarito che, data la natura privata delle Ferrovie dello Stato Spa (società per azioni derivante dalla trasformazione dell´Ente Ferrovie dello Stato), la normativa di riferimento per il trattamento dei dati relativi allo stato di salute dei dipendenti deve rinvenirsi nell´art. 22, comma 1 della l. n. 675/1996.

Si segnala inoltre il parere del 5 agosto 1998 con il quale sono stati forniti alcuni chiarimenti al Ministero dell´università e della ricerca scientifica e tecnologica che chiedeva di conoscere se i dati relativi alle preiscrizioni alle università , effettuate ai sensi dell´art. 3 del d.m. 21 luglio 1997, n. 245, abbiano o no natura sensibile. Al riguardo il Garante ha osservato che alcuni dati contenuti nel modulo informatico previsto dal d.m. 23 aprile 1998 - quali ad esempio quelli relativi agli ausili personalizzati - rivestono senz´altro natura sensibile e che, in quanto tali, possono essere trattati dalle università e dalle scuole pubbliche fino alla scadenza del termine transitorio dell´8 maggio 1999.

Si è inoltre rilevato che la trasmissione di elenchi di studenti da parte del MURST verso altri soggetti (scuole, università , regioni), è attualmente regolata dal solo d.m. 23 aprile 1998 anziché da una norma di rango legislativo o regolamentare.

Si è suggerito pertanto di integrare il citato d.m. 21 luglio 1997, n. 245, al fine di regolare il flusso di dati verso altri soggetti pubblici e privati ai sensi dell´art. 27, commi 2 e 3 della l. n. 675/1996.

Talora il Garante ha avuto modo di pronunciarsi su richiesta del Governo, nell´ambito delle proprie attribuzioni consultive. Particolarmente rilevante è stata l´attività svolta in occasione della conversione del cd. "decreto-legge Di Bella" (d.l. 17 febbraio 1998, n. 23).

L´art. 5 di tale d.l., come modificato dalla legge di conversione 8 aprile 1998, n. 94, stabilisce che le prescrizioni mediche devono contenere non l´indicazione delle generalità del paziente, ma "un riferimento numerico o alfanumerico di collegamento a dati d´archivio in proprio possesso che consenta, in caso di richiesta da parte dell´autorità sanitaria, di risalire all´identità del paziente trattato". L´art. 5-bis del medesimo d.l., inserito dalla citata legge, disciplina inoltre il profilo del consenso del paziente al trattamento sanitario e demanda al Ministero della sanità e alle aziende sanitarie locali l´individuazione delle procedure dirette ad assicurare che le ricette siano esaminate dal solo personale competente incaricato di svolgere verifiche amministrative e a scopi epidemiologici e di ricerca.

Tali disposizioni sono state emanate recependo alcune delle osservazioni formulate da questa Autorità alla presidenza della Commissione igiene e sanità del Senato, nelle quali si poneva particolare attenzione alla necessità di un alto livello di definizione della norma che avrebbe disciplinato i limiti di utilizzazione dei dati sanitari, con l´indicazione appunto delle amministrazioni alle quali i dati saranno trasmessi e delle finalità della trasmissione.

In altra materia concernente la delega conferita al Governo dall´art. 59, commi 50 e 51, della l. 27 dicembre 1997, n. 449, di accompagnamento alla legge finanziaria, il problema dei dati sensibili è emerso nel senso della necessità, evidenziata dal Garante in sede di parere, di assicurare la idonea tutela di tali informazioni in ambiti in cui il diritto alla privacy si trova di fronte all´interesse dello Stato alla regolarità ed efficienza dei pubblici servizi e delle pubbliche entrate a essi connesse.

La citata legge, come è noto, ha delegato il Governo (art. 59, comma 51) a individuare criteri unificati per la valutazione della situazione economica di cittadini che intendano usufruire di prestazioni sociali agevolate in ambito pubblico (cd. "riccometro"), nonché a definire le procedure per l´acquisizione delle informazioni (v. § 218)

Una ulteriore delega (art. 59, comma 50) riguardava le disposizioni per il riordino della partecipazione alla spesa sanitaria e delle relative esenzioni (cd. "sanitometro", v. § 218).

A tale riguardo, con le note rese alla Presidenza del Consiglio dei ministri, rispettivamente il 26 marzo 1998 e il 20 aprile 1998, il Garante ha formulato osservazioni in merito alle disposizioni dello schema dei decreti legislativi relativi al "riccometro" e al "sanitometro". Le note hanno precisato le modifiche che avrebbero dovuto essere apportate ai decreti al fine di renderli in linea con le disposizioni della l. n. 675/1996, e hanno ribadito la necessità di rispettare il criterio generale previsto dall´art. 22, comma 3 della legge, che individua la garanzia del trattamento dei dati sensibili non già nel consenso dell´interessato, bensìin una norma di rango primario indicativa delle finalità perseguite e delle operazioni effettuabili.
Tali modifiche sono state recepite solo in parte (v. § 218).

  

215 Documenti elettronici e carte magnetiche
Il progresso tecnologico registrato negli ultimi anni nel campo delle comunicazioni informatiche e telematiche ha comportato la messa a punto, anche nella pubblica amministrazione, di vari progetti per l´introduzione di documenti elettronici e carte magnetiche destinati a sostituire gli attuali modelli cartacei utilizzati per identificare le persone o a condensare in un unico supporto alcune informazioni di più frequente utilizzazione e che possono rivelarsi utili per semplificare il rapporto tra il cittadino e la pubblica amministrazione.

La creazione di tali documenti richiede, però, alcune garanzie non solo di sicurezza e di integrità dei dati, ma, soprattutto, di corretta utilizzazione delle informazioni personali, prestando particolare attenzione ai dati sanitari e ai soggetti legittimati ad accedervi.

Assumono particolare interesse, in tale ambito, la carta d´identità e gli altri documenti di riconoscimento "elettronici" (cioè rilasciati con strumenti informatici) previsti dalla l. 16 giugno 1998, n. 191 (cd. "Bassanini-ter").

L´individuazione delle caratteristiche e delle modalità di rilascio di tali documenti è demandata a un regolamento governativo sul cui schema il Garante ha recentemente espresso le proprie valutazioni, ai sensi dell´art. 31, comma 2, della l. n. 675/1996 (v. § 3.1.3).

Con tale parere il Garante, nell´esprimere ampia considerazione per le finalità di semplificazione dell´attività amministrativa perseguite dal provvedimento, ha ritenuto, in uno spirito di collaborazione, di formulare alcune considerazioni volte ad assicurare una piena armonia del testo con i princìpi in materia di tutela dei dati personali.

In particolare, il Garante ha rappresentato l´esigenza di una maggiore chiarezza del testo in ordine all´eventuale introduzione di un "codice individuale" che potrebbe rappresentare un nuovo strumento di identificazione delle persone utilizzabile in termini universali, anche per fini diversi da quello fiscale. Il Garante ha evidenziato che lo schema meritava alcune precisazioni al riguardo, tenuto conto che l´eventuale introduzione di un nuovo codice di identificazione personale:

  • risulterebbe in contrasto con la citata l. n. 191/1998 che fa espresso riferimento al solo codice fiscale;
  • richiederebbe una norma primaria recante precise garanzie in ordine ai presupposti e alle condizioni per la sua utilizzazione, in conformità al diritto comunitario (art. 8, par. 7, della direttiva 46/95/CE) e all´espresso criterio di delega contenuto nella l. n. 676/1996 (art. 1, comma 1, lett. d)).

Inoltre, poiché fra i dati da inserire nella carta d´identità elettronica la l. n. 191 prevede anche taluni "dati sanitari" del cittadino, il Garante ha sottolineato il rischio di una proliferazione o sovrapposizione di documenti elettronici contenenti dati inerenti alla salute e più precisamente di una sovrapposizione con la disciplina della tessera sanitaria prevista dalla l. n. 449/1997 la cui adozione in via sperimentale è stata recentemente finanziata dal d.l. 28 dicembre 1998, n. 450, convertito dalla l. 26 febbraio 1999, n. 39 (v. § 2.6.4).

Questa esigenza di armonizzazione e di garanzie per il cittadino ricorre, ovviamente, anche per altri documenti elettronici di cui è ipotizzata l´introduzione (ad esempio, per il libretto di lavoro).

  

216 Rete unitaria della pubblica amministrazione
Il Garante ha continuato a seguire attentamente i progressi che si registrano nella realizzazione della Rete unitaria della pubblica amministrazione, la quale, nell´ambito di un complesso processo di trasformazione dell´apparato statale, dovrebbe condurre nel breve termine a una più ampia automazione dei servizi e alla progressiva informatizzazione degli uffici.

Già nella precedente Relazione per l´anno 1997 il Garante aveva sottolineato l´esigenza che la gestione informatica dei flussi documentali, che consentirà l´interscambio dei dati tra numerose amministrazioni e verso i cittadini, potrà svilupparsi efficacemente solo se, al contempo, verrà tracciato un preciso  quadro di garanzie per ciò che riguarda il rispetto di alcune garanzie che riguardano, in primo luogo, la compatibilità tra le finalità perseguite dalle varie amministrazioni interessate e la pertinenza e non eccedenza dei dati raccolti.

Nel corso del 1998 il Garante ha richiamato l´attenzione su questi temi in occasione dei numerosi provvedimenti adottati in tema di comunicazione di dati tra pubbliche amministrazioni. Ha sviluppato poi precise riflessioni espresse nei primi mesi del 1999, anche in assenza della prescritta richiesta, nei pareri, a proposito degli schemi di regolamento sul documento d´identità elettronico, sull´accesso ai centri storici e alle zone a traffico limitato, nonché sull´interscambio di dati fra anagrafi.

Non è stato invece possibile, a causa della mancata consultazione del Garante, formulare osservazioni e proposte in altre occasioni, in particolare per ciò che riguarda lo schema di d.P.R. sulla gestione del protocollo informatico da parte delle amministrazioni pubbliche (d.P.R. 20 ottobre 1998, n. 428, che pure menziona erroneamente il Garante tra le autorità consultate), e lo schema di d.P.R. sul telelavoro nelle pubbliche amministrazioni (d.P.R. 8 marzo 1999, n. 70).

Per quanto riguarda, invece, il citato argomento dell´interscambio anagrafico, il Garante ha affrontato i delicati problemi scaturiti dall´emanazione della circolare 1° dicembre 1998, n. MIACEL n. 20 del Ministero dell´interno con la quale, nell´ambito dell´attivazione del sistema di accesso e interscambio anagrafico, è stata portata a conoscenza, mediante pubblicazione nella "Gazzetta Ufficiale", la convenzione stipulata fra la stessa amministrazione dell´interno e l´ANCI.

In una nota del 4 marzo 1999 diretta al Ministro dell´interno, il Garante ha comunicato di aver appreso solo dalla "Gazzetta Ufficiale" che l´Amministrazione dell´interno ha aderito a un articolato progetto per l´attivazione di un complesso sistema di interconnessione telematica che coinvolgerebbe, in primo luogo, le anagrafi comunali, nonché le banche dati di alcuni enti pubblici.

Il Garante ha manifestato sorpresa nell´apprendere che una iniziativa così importante e significativa, e che incide profondamente sul sistema di comunicazione ad altri enti pubblici dei dati personali contenuti nelle anagrafi comunali, sia stata adottata senza coinvolgere l´Autorità stessa, cui la l. n. 675/1996 assegna una sicura competenza in materia; ha pertanto manifestato il proprio disappunto per la mancata consultazione disciplinata dall´art. 31, comma 2, della cit. l. n. 675/1996.

Il Garante ha constatato poi che la convenzione tra il Ministero dell´interno e l´ANCI contiene in più parti alcuni riferimenti al Garante senza che l´Autorità stessa sia stata in alcun modo coinvolta nei lavori preparatori, né tantomeno indicata tra i destinatari per conoscenza della circolare medesima.

In particolare, si è rilevato addirittura che questa Autorità è stata espressamente coinvolta in più punti della convenzione per fornire "indicazioni" ai fini della vigilanza sull´adeguamento tecnologico e procedurale del servizio di interconnessione o per la partecipazione in un gruppo stabile per il coordinamento, il controllo e la valutazione della fase di avvio (art. 4 e allegato della convenzione stipulata con l´ANCI il 9 luglio 1998, allegata alla circolare 1° dicembre 1998, n. MIACEL 20).

Nel merito del provvedimento, al di là dei vari aspetti certamente positivi che l´iniziativa assume in vista della semplificazione burocratica e della riduzione dei costi dei servizi pubblici, l´Autorità ha rilevato che l´ipotizzato processo di interconnessione delle anagrafi comunali determina un impatto significativo nel sistema di circolazione dei dati in atto nell´ambito della pubblica amministrazione, che doveva essere valutato meglio alla luce dei princìpi sanciti in materia di protezione dei dati personali, specie nella parte in cui si prevede la possibilità di interscambio tra comuni e tra questi e le altre pubbliche amministrazioni.

In particolare, si è osservato, la trasformazione del codice fiscale in un codice individuale richiede una particolare base normativa che era stata già evidenziata nel parere del Garante reso sullo schema di d.P.R. in materia di documento d´identità elettronico.

Analoga osservazione è stata fatta a proposito della sostanziale introduzione di una "anagrafe delle anagrafi", il cui impatto è di tutta evidenza meritevole di seri approfondimenti per ciò che riguarda la tutela dei dati personali.

Come si è già ricordato, infatti, la disciplina delle modalità di utilizzo delle banche dati pubbliche da parte delle varie amministrazioni deve essere contenuta in norme di legge o di regolamento, in conformità alle condizioni previste dall´art. 27 della l. n. 675/1996, al fine di realizzare un flusso di dati trasparente e ispirato a criteri omogenei che garantiscano la protezione dei dati nel rispetto dei princìpi di pertinenza, completezza e non eccedenza sanciti dall´art. 9, lett. d) della medesima l. n. 675/1996.

Questa Autorità ha auspicato, in conclusione, una approfondita riflessione sull´argomento, restando a disposizione per ogni opportuno contributo in relazione ai successivi provvedimenti che il Ministero intenderà adottare al riguardo, volti a disciplinare il trattamento dei dati personali nell´ambito della pubblica amministrazione, nel rispetto della normativa in tema di accesso e di tutela della riservatezza, con predisposizione, anche in sede tecnica, di apposite misure e procedure per la salvaguardia dei dati protetti.

 

217 Notificazione di atti giudiziari e amministrativi
In oltre 70 segnalazioni alcuni interessati (persone fisiche e giuridiche) hanno lamentato che vari atti provenienti da (o diretti a) uffici giudiziari e da altri organi competenti, specie in materia fiscale o di circolazione stradale, sono notificati a terzi (quali portieri o vicini di casa) o pubblicati, anche per estratto, a mezzo stampa.

È stata pertanto affrontata la questione del rapporto tra le esigenze di pubblicità o di certezza della conoscenza degli atti e il diritto degli interessati di non subire una ingiustificata divulgazione dei propri dati personali.

Al riguardo il Garante ha rilevato che la l. n. 675/1996 non ha abrogato né le disposizioni in materia di notificazioni di atti contenute nel codice di procedura civile (o da questo mutuate) che consentono di rilasciare una copia leggibile di atti o un loro estratto a terzi, né le norme relative alla formazione e comunicazione degli atti del processo penale.

Le notificazioni di tali atti a persone diverse dagli interessati sono state quindi ritenute legittime, in termini generali, perché conformi alle norme applicabili.

L´Autorità, come aveva fatto in precedenza con il Ministero di grazia e giustizia, ha invitato le competenti amministrazioni - anche con riferimento all´art. 1, comma 1, lett. i) della l. n. 676/1996, che prevede l´emanazione di norme delegate in materia - a proporre modifiche della vigente normativa, e ha altresìindicato alcune cautele idonee a ridurre i problemi evidenziati nelle more delle predette modifiche. Ciò in applicazione dei vincolanti princìpi di correttezza del trattamento e di pertinenza dei dati trattati, sanciti dall´art. 9 della l. n. 675/1996, anche in riferimento alla Convenzione n. 108/1981 del Consiglio d´Europa.

In particolare è stata anzitutto rappresentata l´opportunità che il giudice civile eserciti con maggiore frequenza il potere di prescrivere, anche d´ufficio, forme particolari di notificazione "quando lo consigliano circostanze particolari" (art. 151, c.p.c.).

In secondo luogo, considerato che la busta chiusa che contiene l´atto da notificare per posta reca un numero limitato di dati (art. 3, l. n. 890/1982), è stato raccomandato un ricorso più ampio al servizio postale, salvi i divieti espressi di legge o i casi in cui la notificazione debba essere eseguita personalmente (art. 149, c.p.c. art. 1, l. 20 novembre 1982, n. 890).

In terzo luogo si è auspicato che l´ufficiale giudiziario, benché le attuali norme del codice non lo impongano, consegni in busta chiusa la copia dell´atto qualora la consegna avvenga a persona diversa da quella indicata nell´atto stesso.

L´applicabilità delle disposizioni del codice di procedura civile è stata rilevata anche:

  • per gli atti del processo amministrativo notificati ai sensi degli artt. 3 e segg. del regolamento di procedura del Consiglio di Stato (r.d. 17 agosto 1907, n. 642);
  • per gli atti provenienti da uffici fiscali (art. 60 del d.P.R. n. 600/1973) e per i verbali relativi a contravvenzioni al codice stradale (art. 201 del d.lg. n. 285/1992);
  •  per le ingiunzioni e i verbali relativi ad altri illeciti amministrativi e alle relative sanzioni pecuniarie (art. 14 della l. n. 689/1981).

Per le contravvenzioni per eccesso di velocità si è poi osservato che le norme prevedono la notificazione del verbale di violazione (art. 201, d.lg. n. 285/1992 e art. 384, d.P.R. n. 495/1992), ma non anche della fotografia, che può essere semmai richiesta dal destinatario del verbale.

È stato chiarito anche che rientra non nella competenza del Garante, ma in quella di autorità giudiziarie e amministrative, esaminare i vizi e le irregolarità della notificazione asseriti dall´interessato, nei limiti consentiti dalla rilevanza giuridica della relazione di notificazione (v. art. 148, c.p.c. e artt. 2699 e 2700 c.c.).

Si è chiarito ancora che il notificatario può indicare agli uffici tributari chi sia il vero debitore del tributo, sia perché il trattamento di dati per scopi personali non è soggetto alla l. n. 675/1996 benché si proceda a una comunicazione episodica di dati (art. 3), sia perché la comunicazione dei dati è ammessa per tutelare i propri diritti in sede giudiziaria (art. 20, comma 1, lett. g)).

Per quanto riguarda poi gli atti conclusivi del procedimento penale - in particolare l´avviso all´imputato contumace del deposito in cancelleria della sentenza, nonché il decreto penale emesso ex artt. 459 ss., c.p.p. - si è rilevato che questi, essendo atti pubblici, possono essere rilasciati a persone estranee e, quando la legge lo preveda, pubblicati sui giornali.

Quanto alle notificazioni dirette alla persona offesa dal reato, si è osservato che il codice non prevede che esse siano effettuate in plico chiuso (art. 154, comma 1).

Per l´invio da parte del giudice per le indagini preliminari a un minorenne dell´avviso di convocazione notificato aperto e leggibile al portiere dello stabile dell´interessato, si è rilevata invece l´applicabilità delle comuni forme di notificazione. Ciò sebbene l´art. 13, comma 1, del d.P.R. n. 448/1988 vieti la pubblicazione e la divulgazione, con qualsiasi mezzo, di notizie o immagini idonee a consentire l´identificazione del minorenne comunque coinvolto nel procedimento, e benché l´art. 16 della Convenzione ONU di New York del 20 novembre 1989 sui diritti del fanciullo, ratificata con l. n. 176/1991, sancisca il diritto del minore alla protezione "contro interferenze arbitrarie o illegali nella sua vita privata, nella sua famiglia, nel suo domicilio o nella sua corrispondenza".

Si è segnalata anche qui l´esigenza che gli atti notificati a persone diverse dai destinatari in essi indicati siano chiusi in busta.

Rispetto ai certificati elettorali, consegnati spesso dagli incaricati a vicini di casa, non si è ravvisata lesione alla riservatezza degli interessati, in quanto essi recano dati accessibili a chiunque ai sensi dell´art. 51 del d.P.R. n. 223/1967.

Per le sentenze emesse in materia di rettificazione di attribuzione di sesso si è ritenuta applicabile, in mancanza di diversa disposizione, la regola generale sulla pubblicità delle sentenze (art. 133, c.p.c.). Questo benché le conseguenti attestazioni di stato civile riferite alla persona, della quale sia stata giudizialmente rettificata l´attribuzione di sesso, debbano essere rilasciate con la sola indicazione del nuovo sesso e nome (art. 5, l. 14 aprile 1982, n. 164).

Circa l´invio al luogo di lavoro dell´interessato di un atto giudiziario a lui diretto, si è osservato che le norme del codice di procedura civile consentono la notificazione nel luogo in cui il destinatario "ha l´ufficio o esercita l´industria o il commercio" (artt. 138 e 139 c.p.c.).

Il Garante ha suggerito agli interessati di rivolgere direttamente al titolare del trattamento la richiesta di conoscere come l´organo notificante abbia ottenuto l´indirizzo del luogo di lavoro, specificando che nei confronti dell´ufficiale giudiziario il diritto di conoscere l´origine dei dati può essere esercitato, semmai, per il tramite di un eventuale accertamento del Garante (art. 32, comma 6). Nei confronti di altri soggetti, invece, si è ricordato che il Garante può essere adito qualora il diritto di accesso sia da essi illegittimamente negato (v. artt. 14, comma 1, lett. e) e 12, lett. h) della l. n. 675/1996) o non trovi adeguata soddisfazione.

Circa la trattazione pubblica delle cause civili riguardanti il diritto di famiglia e lo stato delle persone, si è poi osservato che la regola generale della pubblicità, a pena di nullità, delle udienze di discussione (art. 128, c.p.c), assicura la trasparenza dell´amministrazione della giustizia e si collega all´art. 101 della Costituzione; che la scelta tra l´udienza pubblica e la camera di consiglio è operata direttamente dal codice in relazione al tipo di controversia, e che lo stesso art. 128, c.p.c. prevede la possibilità per il giudice di disporre, per determinate ragioni, che l´udienza si svolga a porte chiuse.

Si è anche rilevato che in alcuni casi la conoscenza del contenuto degli atti da parte di terzi può risultare lesiva della dignità dell´interessato, che potrebbe essere indotto a modificare per ciò stesso la propria strategia difensiva, o a soprassedere all´esercizio dei propri diritti. Le auspicate modifiche normative saranno quindi utili anche per prevenire censure che potrebbero essere eventualmente mosse in sede giurisdizionale in riferimento agli artt. 24 e 3 della Costituzione.

In questo contesto l´emanazione della l. 28 settembre 1998, n. 337, che ha delegato il Governo a emanare, entro sei mesi dalla sua entrata in vigore, disposizioni (eventualmente da rivedere o correggere entro due anni dalla loro entrata in vigore) in materia di notificazione di cartelle esattoriali che tengano conto della normativa sulla tutela dei dati personali, non sembra precludere l´emanazione di disposizioni ai sensi del cit. art. 1, comma 1, lett. i) della l. n. 676/1996, e conferma anzi la necessità e l´urgenza di interventi legislativi in materia.


218 "Riccometro" e "sanitometro"
La l. n. 449/1997, provvedimento legislativo "collegato" alla legge finanziaria per l´anno 1998, ha delegato il Governo a emanare appositi decreti legislativi al fine di:

a) definire criteri unificati per la valutazione della situazione economica dei cittadini che intendano beneficiare di prestazioni sociali agevolate in ambito pubblico, e di individuare le modalità per l´acquisizione delle informazioni necessarie per essere ammessi a tali prestazioni, nonché le relative forme di controllo (cd. "riccometro": art. 59, comma 51);

b) riordinare il sistema di partecipazione al costo delle prestazioni sanitarie e del regime delle esenzioni (cd. "sanitometro": art. 59, comma 50).

In attuazione di tale delega, la Presidenza del Consiglio dei ministri, oltre a sentire le competenti commissioni parlamentari, ha trasmesso gli schemi di decreti legislativi al Garante per acquisirne il parere.

Senza entrare nel merito delle scelte di politica economica e sociale, il Garante ha ritenuto che entrambi i decreti dovessero essere ampiamente perfezionati in modo da renderli conformi ai princìpi sanciti dalla l. n. 675/1996 e ai criteri di delega indicati dal Parlamento che rilevano nella materia dei dati personali.

Le osservazioni dell´Autorità, benché formulate in distinti momenti, hanno riguardato aspetti in larga parte comuni ai due schemi di decreto.

Il Garante, in via generale, ha lamentato la genericità della regolamentazione di cornice fornita dagli articolati rispetto ai trattamenti di dati personali connessi all´introduzione dei nuovi strumenti. La disciplina di tali trattamenti viene infatti demandata a successive fonti, alcune di carattere sicuramente regolamentare, altre non precisamente definite.

È stata fatta presente la necessità di superare la frammentazione di compiti e attribuzioni tra i vari enti interessati attraverso una regolamentazione comune e un´incisiva attività di coordinamento, nonché di garantire direttamente, con norme di rango primario, i diritti fondamentali degli interessati, soprattutto rispetto ai prospettati flussi di dati personali fra i soggetti erogatori delle prestazioni e altri soggetti pubblici.

Con particolare riferimento al trattamento di dati sensibili (specie sanitari) o comunque "delicati" (es. situazioni di convivenza), è stata rappresentata la necessità di eliminare la norma che prefigurava un consenso scritto dell´interessato, e di inserire nel testo legislativo una disposizione che indicasse invece le finalità perseguite, i dati utilizzabili e le operazioni eseguibili (v. anche § 214).

Riguardo alle modalità dei trattamenti effettuati dalle amministrazioni interessate (comuni, enti erogatori e centri di assistenza fiscale per il "riccometro", e aa.ss.ll. per il "sanitometro"), il Garante ha poi considerato necessario che fossero chiariti alcuni passaggi-chiave. Tali passaggi riguardano, in particolare:

  • l´acquisizione delle dichiarazioni sostitutive e le informazioni in esse contenute per il rilascio dell´attestazione provvisoria valevole per l´ammissione alle agevolazioni;
  • la registrazione dei dati in appositi archivi elettronici e la comunicazione ad altri soggetti;
  • l´abilitazione a gestire le informazioni rilevate (anche con riferimento alle misure organizzative e tecniche per la protezione e la sicurezza dei dati).

L´Autorità ha suggerito di adottare specifici accorgimenti anche riguardo alla certificazione rilasciata al richiedente (nella quale sembrerebbe riportato l´intero contenuto della dichiarazione), per mascherare o rendere anonime alcune informazioni personali dell´interessato.
Hanno destato, infine, dubbi le disposizioni sui controlli diretti ad accertare la veridicità delle informazioni fornite da coloro che richiedono le esenzioni o le agevolazioni. Tali controlli, secondo lo schema originario del provvedimento relativo al "riccometro", avrebbero potuto essere effettuati anche in deroga alle leggi vigenti.

Per la natura dei diritti coinvolti è emersa invece, ad avviso del Garante, la necessità di definire nel decreto legislativo quantomeno l´ambito e le modalità dei trattamenti correlati a queste procedure di controllo, nonché l´eventuale istituzione del servizio comune, e di individuare poi i requisiti minimi, in tema di informazioni personali, rispetto alle convenzioni da stipulare con il Ministero delle finanze.

Con particolare riferimento allo schema di decreto sul "sanitometro", è stata segnalata infine la totale carenza dello schema per ciò che riguarda le garanzie connesse all´introduzione della carta sanitaria, le quali devono essere previste anche nei confronti dell´eventuale prima fase di sperimentazione (v. anche § 2.6.4).

Anche per i tempi ristretti di approvazione, il Governo ha recepito, nei decreti legislativi nn. 109/1998 ("riccometro") e 124/1998 ("sanitometro"), solo alcune delle indicazioni fornite dal Garante, sottolineando comunque, in linea generale, il carattere sperimentale della disciplina dettata dai decreti stessi.

In entrambi i decreti legislativi è stata però eliminata la norma relativa al consenso degli interessati, anche se non è stata introdotta, come richiesto, una disposizione per precisare le finalità perseguite dal trattamento dei dati personali e le operazioni eseguibili.

Con specifico riferimento al decreto sul "riccometro", è stata poi individuata una specifica disposizione con la quale è stato precisato, in conformità a quanto indicato nella legge delega, che la Guardia di finanza potrà effettuare il controllo sostanziale della posizione reddituale e patrimoniale dei nuclei familiari dei soggetti beneficiari delle prestazioni agevolate secondo criteri selettivi stabiliti dalla direttiva annuale impartita dal Ministero delle finanze per le attività di accertamento (art. 4, comma 8, d.lg. 109/1998). Inoltre, sono state delineate specificamente alcune prestazioni escluse dal campo di applicazione dello stesso.

A seguito delle osservazioni del Garante sulla genericità delle norme in materia di trattamento dei dati, nel decreto legislativo sul "sanitometro" è stato introdotto un inciso in base al quale i regolamenti governativi da emanarsi ai sensi dell´art. 17, comma 2, della l. n. 400/1988 "dovranno determinare i criteri per lo svolgimento dei controlli sulle esenzioni riconosciute e per il trattamento dei dati personali con particolare riferimento alle modalità di utilizzazione dei dati, ai soggetti che possono accedervi e al tempo di conservazione dei dati stessi, nel rispetto delle disposizioni" sul trattamento dei dati (art. 6, comma 1, d.lg. n. 124/1998).

Questa previsione ha generato però qualche equivoco tanto che l´Autorità si è dovuta pronunciare successivamente, manifestando ampie perplessità, sullo stesso schema di decreto ministeriale recante il regolamento di individuazione delle malattie croniche e invalidanti da emanarsi secondo l´art. 5, comma 1, del d.lg. n. 124/1998.

In primo luogo, infatti, si è richiamata l´attenzione sulla necessità che le norme in materia di protezione dei dati personali vengano emanate, conformemente alla delega legislativa contenuta nell´art. 6 del citato d.lg. n. 124/1998, tramite regolamenti governativi di delegificazione (art. 17, comma 2, l. n. 400/1988) anziché attraverso regolamenti ministeriali (art. 17, comma 3, l. n. 400/1988).

È stato rilevato poi che la semplice sostituzione delle patologie invalidanti con codici di riferimento non presenta alcuna garanzia per l´anonimato degli interessati, data la facile associabilità delle une agli altri da parte dei numerosi soggetti che potrebbero accedere alla tabella di corrispondenza fra i codici e le patologie (e considerata la semplicità dei codici medesimi, facilmente memorizzabili da chiunque).

In sostanza, le integrazioni apportate nei due decreti legislativi hanno sanato solo in parte le perplessità sollevate dal Garante in materia di tutela dei dati personali.

Si segnala pertanto l´esigenza che il Governo predisponga, quanto prima, appositi emendamenti integrativi e aggiuntivi ai decreti già emanati. Tali disposizioni potrebbero essere adottate, in particolare, con uno dei decreti legislativi appositamente previsti dall´art. 6 del d.lg. n. 109/1998 (richiamato anche dall´art. 6, comma 3 del d.lg. n. 124/1998), il quale stabilisce che le informazioni personali acquisite possano essere utilizzate nel rispetto dei princìpi previsti dalla l. n. 675/1996 e delle disposizioni "che saranno dettate ai sensi del comma 1, anche al fine di assicurare la perdurante efficacia del sistema dei controlli".

  

219 Dichiarazioni dei redditi
Il tradizionale sistema di presentazione delle dichiarazioni dei redditi è stato innovato in occasione delle scadenze previste per il 1998.

L´art. 7 del d. lg. 9 luglio 1997, n. 241 ha modificato l´art. 12 del d.P.R. n. 600/1973, stabilendo che le dichiarazioni dei redditi non vadano più presentate o inviate direttamente all´Amministrazione finanziaria, ma siano inoltrate a essa, per via telematica, da banche o uffici postali convenzionati, ovvero tramite centri di assistenza fiscale, associazioni di categoria e professionisti (commercialisti, periti commerciali, consulenti del lavoro).

Il nuovo sistema cosìdelineato, volto a velocizzare l´acquisizione dei dati da parte dell´Amministrazione finanziaria, ha creato però qualche problema in relazione alla legislazione sulla protezione dei dati personali. Nella maggior parte dei modelli, infatti, sono inseriti i riquadri per l´effettuazione delle scelte relative alla devoluzione dell´8 e del 4 per mille del gettito Irpef. Tali scelte evidenziano un dato sensibile, in quanto sono rispettivamente idonee a rivelare le convinzioni religiose o filosofiche degli interessati ovvero le loro idee politiche.

Per poter trattare tali dati, i soggetti intermediari hanno bisogno del consenso dell´interessato (che non è invece necessario per trattare i dati diversi da quelli sensibili, in quanto, essendo il loro conferimento obbligatorio per legge, si applica l´art. 12, comma 1, lett. a) della l. n. 675/1996). Malgrado alcuni approfondimenti in atto, i modelli inizialmente predisposti, però , non avevano tenuto conto di tale necessità.

Nell´imminenza della presentazione delle dichiarazioni dei redditi, il Governo ha quindi emanato il d.lg. n. 135/1998, il quale, all´art. 2, ha introdotto una nuova modifica al già citato d.P.R. n. 600/1973, aggiungendovi l´articolo 12-bis.

Tale norma ha stabilito che con i decreti ministeriali di attuazione del nuovo sistema di presentazione delle dichiarazioni si sarebbero dovute prevedere anche le modalità per inserire nei modelli l´informativa all´interessato e l´espressione del consenso al trattamento dei dati sensibili. La stessa norma ha però previsto che in via transitoria, e limitatamente alle dichiarazioni presentate nel 1998, tale informativa doveva intendersi resa attraverso i modelli di dichiarazione e il consenso validamente espresso con la sottoscrizione delle dichiarazioni.

Questa soluzione normativa è stata oggetto di varie critiche anche in sede parlamentare. In particolare, esaminando un successivo schema di d. lg. sui dati sensibili nella Pa, poi approvato con il d. lg. n. 389/1998, la II commissione giustizia del Senato ha segnalato la necessità di evitare disposizioni di tal genere che rischiano di vanificare lo spirito e la lettera della legislazione sulla protezione dei dati personali.

Su un altro piano, la distribuzione dei modelli delle dichiarazioni dei redditi, e in particolare di quelli relativi a "Unico ´98", ha sollevato diverse perplessità da parte dell´opinione pubblica con specifico riferimento al tipo di busta ideata per contenerli.

Quest´ultima, infatti, per consentire all´impiegato dell´ufficio postale o della banca di apporre direttamente sulla dichiarazione il timbro di ricezione, presentava un´ampia "finestra" dalla quale, secondo le segnalazioni di molti interessati, era possibile osservare alcuni dati inseriti nella dichiarazione e anche estrarre l´intero modello.

Alcune segnalazioni sono pervenute anche all´Ufficio del Garante e sono state esaminate nella riunione del 26 maggio 1998. Dalle verifiche effettuate si è constatata la possibilità, per chi riceveva la dichiarazione, di osservare i dati contenuti nel frontespizio e, in qualche misura, anche di estrarre il modulo.

Il riconoscimento della fondatezza dei reclami avrebbe reso necessaria, a rigore, secondo quanto affermato dalla stessa Autorità, l´immediata sostituzione della busta con un modello più idoneo; tuttavia ciò avrebbe reso inevitabile un sensibile differimento legislativo dei termini di presentazione della dichiarazione (sarebbe stato necessario, infatti modificare il decreto di approvazione del modello della busta e provvedere alla sua ristampa e distribuzione).

Il Garante ha quindi ritenuto che si potesse trovare una diversa soluzione che, senza arrecare gravi danni all´erario, garantisse comunque precise ed elevate misure di sicurezza e riservatezza dei dati dei contribuenti.

Tale soluzione è stata individuata negli schemi di convenzione fra Ministero delle finanze, banche ed Ente Poste, che erano in quel momento in corso di predisposizione. L´Autorità ha infatti precisato che tali schemi avrebbero dovuto prendere in attenta considerazione le finalità del trattamento effettuato dagli intermediari, imponendo un´attenta selezione del numero di persone aventi accesso ai dati relativi alle dichiarazioni e prevedendo la necessaria designazione degli addetti alla ricezione delle dichiarazioni quali "incaricati" del trattamento ai sensi degli artt. 8 e 19 della l. n. 675/1996.

Il Garante ha quindi verificato l´inserimento di tali prescrizioni, sia in sede di esame degli schemi convenzionali che gli sono stati sottoposti sia, soprattutto, al momento di rendere il proprio parere ai sensi dell´art. 31, comma 2 della l. n. 675/1996 sullo schema di decreto ministeriale di approvazione delle modalità tecniche di trasmissione telematica delle dichiarazioni.

In tale occasione l´Autorità ha suggerito precisi correttivi, registrando con soddisfazione il loro quasi integrale recepimento nel testo definitivo (decreto del Direttore generale del Dipartimento delle entrate del 31 luglio 1998).

In particolare, sono stati inseriti puntuali obblighi per gli intermediari in ordine all´individuazione dei soggetti destinati a trattare i dati personali contenuti nelle dichiarazioni dei redditi e alle misure da adottarsi per la loro ricezione e conservazione, garantendo all´Amministrazione finanziaria, anche con controlli a campione, il diritto di verificare il rispetto delle disposizioni in materia di protezione dei dati personali. La violazione di tali disposizioni è stata espressamente contemplata quale possibile caso di revoca dell´abilitazione del servizio.

La complessa vicenda connessa al trattamento dei dati relativi alle dichiarazioni si è cosìevoluta in modo positivo, prendendo spunto da una questione più specifica (la "finestra" sulla busta) e approdando poi a un sistema articolato di garanzie e di misure di sicurezza che ha certamente incrementato il grado di tutela degli interessati.

Nel secondo semestre del 1998 sono iniziati poi alcuni contatti informali fra l´Amministrazione finanziaria e l´Ufficio del Garante ai fini della predisposizione dei modelli di informativa da inserire nelle dichiarazioni dei redditi per l´anno 1999 e dell´individuazione delle modalità di prestazione del consenso al trattamento dei dati sensibili in esse contenuti, secondo quanto previsto dal ricordato art. 12-bis del d.P.R. n. 600/1973.

Per alcuni modelli di dichiarazione, il Ministero delle finanze ha quindi formalizzato la richiesta di parere a questa Autorità (con ritardo, però , rispetto alla già avvenuta pubblicazione di alcuni di essi) il 30 dicembre 1998 (v. § 3.1.3).

L´informativa da rendere agli interessati è stata inserita nelle istruzioni per la compilazione dei modelli ed è stato precisato che la firma apposta in uno dei riquadri relativi alla scelta del 4 e dell´8 per mille ha valore anche come prestazione del consenso al trattamento. Tale soluzione ha permesso di evitare una serie di problemi connessi all´eventualità che, anche solo per distrazione, alla firma apposta in calce alla scelta effettuata non seguisse la firma per il consenso o viceversa. L´avvertenza è stata riprodotta più volte a maggior garanzia del contribuente.

Per le dichiarazioni da presentarsi a banche e uffici postali è stata confermata, da parte dell´Amministrazione finanziaria, la scelta di utilizzare buste con finestra, le cui dimensioni sarebbero state tuttavia ridotte al minimo indispensabile in modo da rendere impossibile l´estrazione delle dichiarazioni senza creare evidenti lacerazioni degli involucri. È stato eliminato poi dal primo foglio della dichiarazione ogni dato personale diverso da quelli anagrafici visibili dalla finestra, e lo spazio restante è stato riempito dall´informativa sulla protezione dei dati personali.

Il Garante ha preso atto dei modelli di informativa predisposti e di quanto dichiarato dal Ministero delle finanze riguardo alle informazioni ivi inserite circa il flusso dei dati, alle modalità e alle logiche utilizzate. Analogamente, non avendo ricevuto alcun esemplare da verificare, l´Autorità ha preso atto dell´assicurazione che le dimensioni ridotte della busta siano tali da impedirne l´estrazione del contenuto.

Successivamente sono stati sottoposti al Garante, per il prescritto parere, gli schemi relativi ad altri modelli di dichiarazioni.

 

2110 Appalti
Tra le materie che a seguito dell´entrata in vigore della l. n. 675/1996 sono state oggetto di numerosi quesiti al Garante rientra anche quella degli appalti pubblici.

Alcune amministrazioni hanno chiesto di conoscere se per verificare la capacità tecnica e/o finanziaria dei concorrenti sia lecito chiedere informazioni relative non solo a tali soggetti, ma anche a terzi che in precedenti circostanze siano stati destinatari di simili forniture o servizi prestati dal medesimo partecipante alla gara.

Quesiti analoghi sono stati posti, inoltre, da alcune imprese in ordine alla necessità di acquisire il consenso dei clienti ai quali si riferiscono le informazioni da fornire alle amministrazioni appaltanti.

A tale proposito il Garante ha osservato che non si rinvengono ostacoli di principio al trattamento di tali dati. Anche in questa fattispecie, infatti, è applicabile il principio secondo cui i soggetti pubblici - a differenza dei privati e degli enti pubblici economici - non devono richiedere il consenso degli interessati per poter trattare dati riferiti a persone fisiche o giuridiche, ma devono piuttosto verificare che i singoli trattamenti siano riconducibili alle proprie finalità istituzionali e siano posti in essere rispettando le specifiche limitazioni eventualmente previste dalle norme speciali di riferimento (art. 27, comma 1, l. n. 675/1996).

La normativa vigente in materia di appalti pubblici di beni e servizi prevede che le amministrazioni possano richiedere ai concorrenti di dimostrare le proprie capacità tecniche fornendo l´elenco dei principali servizi o forniture prestati negli ultimi tre anni, con l´indicazione degli importi, delle date e dei destinatari (art. 14, d.lg n. 157/1995 e art. 14, d.lg. 358/1992).

Il Garante ha evidenziato che le imprese partecipanti, laddove (come avviene nella prevalenza dei casi) si tratti di dati relativi allo svolgimento di attività economiche, possono comunicare alle amministrazioni i dati relativi ai terzi già destinatari di simili forniture, senza che sia necessario richiedere il consenso degli interessati (artt. 12, comma 1, lett. f) e 20, comma 1, lett. e) della l. n. 675/1996). Resta però ferma l´esigenza del rispetto della vigente normativa in materia di segreto aziendale e industriale.

Resta parimenti ferma la necessità di modellare comunque le informative che le imprese forniscono ai rispettivi clienti ai sensi dell´art. 10 della l. n. 675/1996, tenendo conto, appunto, dell´eventualità che alcuni dati siano forniti, a richiesta, ad amministrazioni appaltanti.

Il Garante ha sottolineato, inoltre, la necessità che le amministrazioni rispettino le vigenti disposizioni a tutela della riservatezza o degli altri diritti delle società partecipanti alle gare, disposizioni previste nell´ordinamento anche al di fuori della l. n. 675/1996 ovvero nell´ambito della disciplina sugli appalti. Tali disposizioni prescrivono, tra l´altro, di chiedere le sole informazioni non eccedenti l´oggetto, tenendo in debito conto "gli interessi legittimi del concorrente relativi alla protezione di interessi tecnici e commerciali" (art. 14, comma 3, d.lg. 157/1995, e in termini quasi identici, art. 14, comma 3, d.lg. 358/1992).

Da ultimo è da segnalare che alcuni quesiti pervenuti in materia di appalti pubblici sono comunque ricollegabili all´accesso agli atti della pubblica amministrazione, per cui valgono le considerazioni formulate già al riguardo. (v. § 213.).