Diritti interna

Doveri interna

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

3.1 Competenze e attività - Relazione 1998 - 12 aprile 1999

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
1341505
Data:
12/04/99
Tipologia:
Relazione annuale

Indice

Relazione annuale 1998

3. Il Garante per la protezione dei dati personali

3.1 Competenze e attività

3.1.1 Ricorsi
Come è noto, la l. n. 675/1996 ha apprestato una serie di meccanismi di tutela onde assicurare a tutti gli interessati la possibilità di far valere le situazioni soggettive da essa tutelate specificamente. Fra questi il procedimento più innovativo e rilevante è senza dubbio rappresentato al ricorso dal Garante previsto dall´art. 29 della legge.

Tale disposizione afferma che "i diritti di cui all´art. 1, comma 1, possono essere fatti valere dinanzi all´autorità giudiziaria o con ricorso al Garante. Il ricorso al Garante non può essere proposto qualora, per il medesimo oggetto e tra le stesse parti, sia stata già adita l´autorità giudiziaria". Si tratta di un particolare genere di ricorso amministrativo che si pone in rapporto di alternatività con l´utilizzo dei comuni meccanismi di tipo giurisdizionale.

Nell´anno 1998 sono pervenuti al Garante un centinaio di ricorsi, che sono stati esaminati dall´Autorità. Al riguardo si deve rammentare che l´art. 33, comma 3, della legge affida all´apposito regolamento di organizzazione e funzionamento del Garante la previsione delle norme "concernenti il procedimento dinanzi al Garante di cui all´art. 29, commi da 1 a 5, secondo modalità tali da assicurare, nella speditezza del procedimento medesimo, il pieno rispetto del contraddittorio fra le parti interessate".

Poiché il citato regolamento è entrato in vigore solo il 16 febbraio 1999, il Garante ha dovuto individuare le modalità attraverso le quali rendere possibile, sul piano sostanziale, la tutela delle posizioni giuridiche cui è riferita la norma dell´art. 29.Al riguardo, l´Autorità ha operato tenendo presenti le coordinate di riferimento già individuate nelle prime decisioni assunte nel corso del 1997. iù specificamente, la prassi procedurale adottata ha seguito la linea già definita nel provvedimento del 16 ottobre 1997.

Poiché le regole del contraddittorio dovevano essere fissate nel citato regolamento, sarebbe risultato arbitrario che il Garante le avesse dettate autonomamente affrontando sul piano della mera prassi una delicata tematica attinente alle concrete modalità di esercizio dei diritti di difesa. Al tempo stesso, si doveva evitare un lungo stallo che avrebbe portato a non prendere in considerazione per diverso tempo istanze degli interessati che ipotizzavano violazioni di legge.

Alla luce di questa considerazione preliminare, nella fase transitoria che si è purtroppo prolungata per tutto il corso dell´anno, allo scopo di assicurare comunque la tutela di posizioni giuridiche soggettive delicate, si è valorizzato l´aspetto sostanziale degli atti presentati quali "ricorsi ex art. 29" e li si è qualificati e trattati come "reclami" ai sensi dell´art. 31 della legge. I reclami, infatti, possono essere esaminati anche senza contraddittorio e al di fuori dell´articolata procedura prevista dalla legge.

Ciò ha permesso di valorizzare la sostanza delle doglianze e di accertare i casi di trattamento non conformi alla l. n. 675/1996, senza sminuire le garanzie per gli interessati.

Peraltro, in sede di esame preliminare di tali istanze, si è comunque verificata la loro rispondenza ai previsti requisiti prescritti dall´art. 29. Nei casi di mancata rispondenza dei ricorsi ai cennati requisiti, il Garante ne ha dichiarato l´inammissibilità o, a seconda dei casi, la manifesta infondatezza, dal momento che l´accertamento di tali situazioni non richiede la necessaria instaurazione del contraddittorio.

L´esame delle decisioni adottate nell´anno 1998, porta a riscontrare, appunto, numerose declaratorie di inammissibilità. Nel primo periodo di applicazione della legge, infatti, sono pervenute numerose istanze, formulate ai sensi dell´art. 29, ma in realtà non corrispondenti ai parametri previsti dall´articolo medesimo. Spesso i ricorrenti non hanno, come richiede la norma, esercitato previamente i diritti di cui all´art. 13 della l. n. 675/1996, ma hanno adito immediatamente il Garante. In altre fattispecie non è stata data invece dimostrazione dell´eventualità che "il decorso del termine tra la richiesta al titolare o al responsabile del trattamento e la presentazione del ricorso (5 giorni previsti dall´art. 29, comma 1) avrebbe esposto taluno a pregiudizio imminente e irreparabile". Solo tale eventualità, se dimostrata, può giustificare l´immediata presentazione di un ricorso al Garante non preceduto dall´interpello del titolare o del responsabile.

Altre declaratorie di inamissibilità hanno riguardato invece l´impropria attivazione del meccanismo di tutela dell´art. 13 e del conseguente ricorso previsto dall´art. 29 in relazione ad ambiti che sono espressamente esclusi dall´applicazione dei suddetti articoli. Si ricordano, al riguardo, numerose richieste di accesso diretto presentate erroneamente nei confronti di soggetti pubblici operanti "per finalità di difesa o di sicurezza dello Stato o di prevenzione, accertamento o repressione dei reati" o "per ragioni di giustizia, nell´ambito di uffici giudiziari, del Consiglio superiore della magistratura e del Ministero di grazia e giustizia" (art. 4, comma 1, l. n. 675/1996).

Altri casi hanno riguardato le ipotesi dell´art. 14 della legge, che non prevede, parimenti, l´accesso diretto dell´interessato nei confronti di trattamenti effettuati da determinati soggetti pubblici o in alcuni settori particolari (ad esempio: normativa antiriciclaggio, disciplina antiracket, trattamenti effettuati da commissioni parlamentari d´inchiesta, da soggetti operanti per finalità di tutela della politica monetaria e valutaria e del sistema dei pagamenti, nonché trattamenti riferiti all´indagine difensiva e all´esercizio di un diritto in sede giudiziaria).

Si è comunque precisato più volte che l´accertata inammissibilità del ricorso non pregiudica il diritto del ricorrente di rivolgersi al giudice ordinario per far accertare eventuali reati o per chiedere il risarcimento dei danni, anche morali, istanze in merito alle quali la l. n. 675/1996 non ha attribuito competenze al Garante.

Data la particolare novità dei meccanismi di tutela in questione era per molti aspetti fisiologico che la prima fase di applicazione della legge evidenziasse alcune incertezze o l´erronea utilizzazione degli strumenti di tutela.

Queste incertezze hanno però riguardato più gli aspetti formali (ad esempio, il mancato previo interpello del titolare) che quelli sostanziali di prospettazione di situazioni di illiceità o non correttezza. Ciò ha permesso al Garante di considerare comunque le violazioni prospettate anche nei casi di illiceità o di manifesta infondatezza, accertate le quali l´Autorità ha proceduto autonomamente, con separato provvedimento, a segnalare o a vietare determinate operazioni. Mentre appare ancora prematura una articolata analisi dell´utilizzo e dell´efficacia di questo nuovo strumento, l´esperienza del primo periodo applicativo segnala però alcuni temi preferenziali rispetto ai quali il contenzioso in materia di protezione dei dati personali si concentra.

Ad esempio, i casi più ricorrenti e significativi hanno riguardato il trattamento dei dati sensibili (specie in ambito sanitario) nonché l´uso dello strumento dell´art. 29 per contestare la correttezza di trattamenti svolti in ambito giornalistico. A questo proposito vanno segnalate alcune decisioni significative che, grazie alla tempestività dell´intervento, hanno contribuito a evitare l´ulteriore divulgazione di dati aventi particolare sensibilità.

In un primo caso si è vietato a una Commissione medica competente per gli accertamenti sanitari ex d.m. 8 maggio 1987, n. 187 (ad accertare, cioè, lo stato di inabilità a svolgere attività lavorative da parte di un pubblico dipendente), operante presso un ospedale militare, di comunicare a soggetti diversi dal ricorrente i dati relativi all´accertamento dell´AIDS e all´infezione da HIV. Nella circostanza, si è richiamato il puntuale disposto della l. 5 giugno 1990, n. 135 in materia di AIDS che impone un rigoroso obbligo di rispetto dell´anonimato quando siano in causa dati riguardanti, appunto, persone affette da AIDS. Tale legge è pienamente in vigore - come ricordato anche dall´art. 43, comma 2 della l. n. 675/1996 - e si pone in posizione di specialità rispetto ai più generali obblighi imposti, specie nella fase di transizione prevista dall´art. 41, comma 5 della legge, alle pubbliche amministrazioni nel trattamento dei dati sensibili (v. anche § 2.6.1).La questione esaminata è servita anche per richiamare l´attenzione dei Ministri competenti sulla necessità di adeguare il disposto del cit. d.m. del 1987 alle esigenze di tutela previste dalle ll. n. 135/1990 e n. 675/1996.

In un altro caso è stato invece ritenuto fondato il rilievo di una persona che lamentava la divulgazione su una rivista medica di radiografie a lei riferite, accompagnate dal suo nome di battesimo, dalla sua età e da indicazioni di carattere diagnostico. Il Garante ha affermato che tali elementi comportavano un trattamento di dati personali sensibili integrando il requisito dell´identificabilità del dato di cui all´art. 1, comma 2, lettera c) della legge. Ciò in ragione delle speciali circostanze legate al particolare nome di battesimo dell´interessato (nome straniero di non frequente utilizzazione), associato all´età della persona, nonché alla messa in circolazione di tali dati in un ambito territoriale ristretto (v. anche § 2.6.1).

Per quanto concerne l´ambito giornalistico, è risultata particolarmente significativa la decisione che ha portato all´accoglimento di un ricorso (qualificato, si è già detto, come reclamo) avente a oggetto la pubblicazione da parte di alcuni organi di stampa di articoli concernenti un fatto di cronaca e il connesso procedimento penale, che avevano visto protagonista un minore. La pubblicazione dei dati personali del minore coinvolto nell´incidente non è risultato essenziale ai fini dell´esercizio del diritto di cronaca. Più specificamente si è messo in luce come il chiaro dettato normativo dell´art. 13, comma 1 del d.P.R. n. 448/1988 vieti la pubblicazione e la divulgazione di notizie idonee a consentire l´identificazione del minorenne comunque coinvolto in un procedimento penale.

Si tratta di princìpi enunciati anche nella "Carta di Treviso" sottoscritta il 4/5 ottobre 1990 e che hanno trovato significativa conferma nel Codice deontologico dei giornalisti (pubblicato nella G.U. del 3 giugno 1998) entrato in vigore in data successiva alla presentazione del ricorso in questione.

Gli altri casi affrontati in sede di esame dei ricorsi sono illustrati nei paragrafi relativi alle singole tematiche.

La pubblicazione sulla "Gazzetta Ufficiale" (avvenuta il 1‚ febbraio 1999) del d.P.R. 31 marzo 1998, n. 501, recante il regolamento sull´organizzazione e il funzionamento dell´Ufficio del Garante, e la sua entrata in vigore il 16 febbraio successivo, ha apportato significative innovazioni alla procedura seguita per l´esame dei ricorsi. Sono infatti entrate in vigore le norme, previste dall´art. 33, comma 3, della l. n. 675, che fissano con precisione le modalità di presentazione, il contenuto e il procedimento per tali ricorsi (artt. 18, 19 e 20, d.P.R. n. 501 cit.).

Inoltre, con deliberazione in data 18 febbraio 1999, il Garante ha fissato l´ammontare dei diritti di segreteria per la presentazione dei ricorsi (determinati in " 50mila). L´ammontare contenuto di tali diritti vuole favorire l´accesso a questo particolare meccanismo di tutela, cui fa riscontro, altresì, la possibilità di prescindere da tale versamento qualora l´interessato si trovi nelle condizioni previste per l´ammissione al patrocinio a spese dello Stato, ai sensi del´art. 3 della l. 30 luglio 1990, n. 217.

La normativa regolamentare ha demandato al Garante la determinazione dei casi in cui è possibile la regolarizzazione del ricorso. Questa Autorità ha provveduto in proposito con deliberazione in data 1‚ marzo 1999 (pubblicato in G.U. del 19 marzo 1999, n. 65) esplicitando una serie numerosa di ipotesi nelle quali la mancanza, nell´atto di ricorso, di alcuni elementi (incompletezza dei dati identificativi del ricorrente, del titolare o del responsabile o dell´eventuale procuratore speciale; indicazione dei motivi in maniera imprecisa o incompleta; assenza della prova del versamento dei diritti di segreteria, ecc.) può però portare alla successiva regolarizzazione dei ricorsi stessi. Il Garante si è inoltre riservata la possibilità di delineare ulteriori ipotesi di regolarizzazione anche alla luce dell´esperienza del primo periodo di applicazione delle nuove norme procedurali sui ricorsi.

 

312 Segnalazioni e reclami
Nell´anno 1998 sono pervenute al Garante numerose segnalazioni e reclami, presentati ai sensi dell´art. 31, comma 1, lett. d) della legge. Tali atti possono essere presentati senza bisogno di alcuna formalità e costituiscono una modalità molto agevole per permettere a tutti i cittadini di segnalare, appunto, violazioni della legge o comunque interessare il Garante rispetto a rilevanti problematiche che l´applicazione quotidiana delle norme pone in luce.

La trattazione di tali atti non è procedimentalizzata. Peraltro questa Autorità istruisce normalmente tali segnalazioni acquisendo in via preliminare ulteriori elementi di informazione e valutazione da parte dei titolari o dei responsabili del trattamento coinvolti nelle questioni di volta in volta esaminate. Il vaglio più completo della questione può portare poi anche all´adozione di provvedimenti di divieto, totale o parziale, del trattamento dei dati o di blocco degli stessi (art. 31, comma 1, lett. l), l. n. 675/1996).

In questi casi il Garante ha tratto lo spunto per fornire indicazioni concrete in ordine al trattamento dei dati nelle materie oggetto di segnalazione, dando spesso risalto di provvedimento di carattere generale ai casi che coinvolgevano un numero particolarmente ampio di interessati.

I procedimenti adottati dal Garante su tali segnalazioni sono illustrati nei vari capitoli della presente Relazione.

 

313 Attività consultive

313.1 La consultazione da parte del Parlamento
La legge non prevede specifiche consultazioni formali del Garante da parte del Parlamento. Ciononostante nel 1998 si sono registrate varie occasioni nelle quali al Garante è stato richiesto di formulare osservazioni e precisazioni, specie per interpello da parte dei Presidenti delle commissioni parlamentari o in occasione di audizioni anche informali di rappresentanti dell´Autorità. Di queste occasioni si dà brevemente conto qui di seguito:

  • Comitato parlamentare di controllo sull´attuazione e il funzionamento della convenzione di applicazione dell´accordo di Schengen: Audizione del Prof. S Rodotà, presidente del Garante per la protezione dei dati personali, tenutasi il 12 marzo 1998.
  • Commissione parlamentare di vigilanza sull´anagrafe tributaria: Indagine conoscitiva sui rapporti fra Ministero delle finanze e società concessionaria dei servizi informatici (SOGEI). Audizione del Prof. S. Rodotà, presidente del Garante per la protezione dei dati personali, tenutasi il 24 giugno 1998.
  • Commissione finanze della Camera: Indagine conoscitiva sullo statuto dei diritti del contribuente (AC 4818). Audizione del Prof. S. Rodotà, presidente del Garante per la protezione dei dati personali, tenutasi l´8 luglio 1998. 
  • Commissione giustizia del Senato: Esame dello schema di decreto legislativo recante "Disciplina transitoria in materia di trattamento dei dati particolari da parte di soggetti pubblici". Audizione informale del Prof. U. De Siervo, componente del Garante per la protezione dei dati personali e del dr. G. Buttarelli, segretario generale, tenutasi il 4 novembre 1998.
  • Comitato ristretto istituito nell´ambito della Commissione affari esteri e comunitari della Camera: Esame del disegno di legge di ratifica del Protocollo sulle immunità e i privilegi del personale di Europol (AC 4954). Audizione informale del Prof. S. Rodotà, presidente del Garante per la protezione dei dati personali, tenutasi il 27 gennaio 1999.
  • Commissione parlamentare di inchiesta sul fenomeno della mafia e delle altre associazioni criminali similari: Audizione informale del Prof. S. Rodotà, presidente del Garante per la protezione dei dati personali, tenutasi il 24 febbraio 1999.

 

3132 La consultazione da parte del Governo
In più occasioni, nel corso del 1998, il Garante ha poi esercitato la funzione consultiva prevista dall´art. 31, della l. n. 675/1996.

Il legislatore, prevedendo in particolare la consultazione del Garante da parte del Presidente del Consiglio dei ministri e di ciascun Ministro all´atto della predisposizione delle norme regolamentari e degli atti amministrativi suscettibili di incidere sulle materie disciplinate dalla legge (art. 31, comma 2), ha attribuito all´Autorità il compito di valutare preventivamente se nelle norme da emanare si ravvisino profili di contrasto o di disarmonia con i princìpi in materia di riservatezza.

La disciplina della consultazione obbligatoria, che attua il principio comunitario affermato nell´art. 28 della direttiva n. 95/46 CE, assume un´importanza fondamentale perché vi sia un´applicazione corretta e uniforme della legge nelle materie e nei settori che in numero sempre maggiore vengono peraltro disciplinati con fonti di normazione secondaria e con atti amministrativi.

Del resto, lo stesso legislatore ha mostrato di tenere ben conto della circostanza che la l. n. 675/1996 recava un complesso di princìpi innovativi che sarebbero andati a innestarsi su un preesistente ordinamento poco attento alle tematiche della riservatezza. E proprio per questo ha provveduto a predisporre appositi meccanismi per favorire un rapido adeguamento del sistema. Ne sono un esempio, sul piano normativo primario, l´affidamento al Governo della potestà legislativa delegata al fine di introdurre disposizioni integrative e correttive (l. 31 dicembre 1996, n. 676, artt. 1 e 2); a livello normativo secondario, la previsione di uno specifico ruolo attivo del Garante nei confronti del Governo (l. 31 dicembre 1996, n. 675, art. 31). La ratio che presiede all´attribuzione al Garante del compito di segnalare al Governo l´opportunità di provvedimenti normativi richiesti dall´evoluzione del settore (l. n. 675/1996, art. 31, comma 1, lett. m)) è, poi, con ogni probabilità e a maggior ragione, la stessa che porta a disporre la consultazione del Garante da parte del Governo in ordine alla predisposizione di provvedimenti futuri (art. 31, comma 2).

Il parere dell´Autorità è stato richiesto, in particolare, sui seguenti provvedimenti:

  • schema di regolamento per l´attuazione degli artt. 1, 2 e 3 della l. 15 maggio 1997, n. 127 (a cura della Presidenza del Consiglio dei ministri Dipartimento per gli affari giuridici e legislativi);
  • schema di regolamento concernente le modalità di attuazione, accesso e adeguamento delle banche dati degli uffici del Dipartimento del territorio del Ministero delle finanze da parte dei comuni e degli esercenti la professione notarile (Ministero delle finanze);
  • schema di regolamento recante la disciplina delle modalità di costruzione e tenuta del ruolo unico della dirigenza delle amministrazioni statali, anche a ordinamento autonomo, e della banca dati informatica della dirigenza, nonché delle modalità di elezione del componente del Comitato di Garanti (Presidenza del Consiglio dei ministri - Dipartimento per la funzione pubblica);
  • schema di convenzione previsto dall´art. 17, comma 10, della l. 27 dicembre 1997, n. 449 per la riscossione delle tasse automobilistiche (Ministero delle finanze);
  • schema di convenzione tra le Poste italiane Spa e il Ministero delle finanze per l´acquisizione dei dati relativi ai versamenti in conto corrente per le tasse sulle concessioni governative (Ministero delle finanze);
  • schemi di convenzioni e di d.P.C.M. previsti dall´art. 17, commi 10, 11 e 12, della l. 27 dicembre 1997, n. 449 per la riscossione delle tasse automobilistiche (Ministero delle finanze);
  • schema di decreto ministeriale recante il regolamento di individuazione delle malattie croniche e invalidanti ai sensi dell´art. 5 del d.lg. 29 aprile 1998, n. 124 (Ministero della sanità);
  • schema di regolamento concernente il servizio di posta elettronica ibrida (Ministero delle comunicazioni); 
  • schema di regolamento per l´attuazione del testo unico delle disposizioni concernenti la disciplina dell´immigrazione e norme sulla condizione dello straniero (Ministero dell´interno);
  • schema di regolamento per l´autorizzazione alla installazione e all´esercizio di impianti per la rilevazione degli accessi di veicoli ai centri storici e alle zone a traffico limitato ai sensi dell´art. 133-bis della l. 15 maggio 1997, n. 127 (Presidenza del Consiglio dei ministri);
  • schema di regolamento recante caratteristiche e modalità per il rilascio della carta d´identità elettronica e del documento di identità elettronico, a norma dell´art. 2, comma 10, della l. 15 maggio 1997, n. 127, come modificato dall´art. 2, comma 4 della l. 16 giugno 1998, n. 191 (Presidenza del Consiglio dei ministri).
  • schema di decreto del Presidente della Repubblica recante regolamento istitutivo della carta dell´agricoltore e del pescatore e dell´anagrafe delle aziende agricole in attuazione dell´art. 14, comma 3, del decreto legislativo 30 aprile 1998, n. 173. (Ministero per le politiche agricole).

Il Garante ha constatato, per altro verso, di non essere stato consultato anche in quest´ultimo anno (per il 1997 cfr. la Relazione per l´anno 1997, pag. 57) su diversi atti normativi e amministrativi che pure interessavano da vicino la protezione dei dati personali e che contengono anche norme espresse in materia. In alcuni casi si è giunti addirittura a dare per avvenuta una consultazione del Garante che però è mancata, o a prevedere il coinvolgimento o un ruolo per il Garante senza che l´Autorità fosse stata minimamente interpellata.

In più occasioni l´Autorità ha pertanto richiamato l´attenzione sul fatto che la mancata consultazione determina un vizio della procedura di adozione dei provvedimenti, che oltre a inficiare la validità dei provvedimenti adottati ha concretizzato, per la sua intensità, un fenomeno da segnalare doverosamente nella presente Relazione, nonché al Governo, ai Ministri interessati e alle autorità comunitarie. Queste osservazioni, unite all´auspicio che il Governo e i singoli ministeri osservino l´obbligo di consultazione in modo regolare e tempestivo, sono contenute già nella lettera del 27 gennaio 1998 indirizzata al Presidente del Consiglio dei ministri (cfr. Bollettino, n. 3, pag. 34).

Il rispetto dell´obbligo di preventiva consultazione è auspicato dal Garante non in termini di pura rivendicazione di competenze, ma su un piano di costruttiva cooperazione istituzionale, per accelerare il processo di adeguamento della normativa che influisce sulla protezione dei dati e per rendere meno gravosa la stessa attività delle amministrazioni interessate che potrebbero altrimenti trovarsi a dover successivamente modificare quanto eventualmente già disposto in contrasto con la normativa vigente in materia di privacy.

Il Garante non è stato consultato (in alcuni casi nonostante la menzione contenuta in epigrafe nel testo pubblicato in "Gazzetta Ufficiale"), nei seguenti casi:

  • decreto del Direttore generale del Dipartimento delle entrate del Ministero delle finanze 18 marzo 1998, in materia di interscambio dei dati relativi all´ICI;
  • decreto del Ministro dell´università e della ricerca scientifica e tecnologica 23 aprile 1998, relativo alle modalità di preiscrizione all´università;
  • decreto del Ministro del lavoro e della previdenza sociale 8 maggio 1998, in materia di esercizio dell´attività di mediazione;
  • decreto del Ministro dell´industria, del commercio e dell´artigianato 27 maggio 1998, in materia di certificati del registro delle imprese recanti la dicitura antimafia rilasciati dalle camere di commercio; 
  • decreto del Ministro dell´ambiente 4 agosto 1998, n. 372, recante il regolamento sulla riorganizzazione del catasto dei rifiuti; 
  • decreto del Ministero delle finanze 7 settembre 1998, n. 503, recante il regolamento in materia di fermo amministrativo di veicoli a motore e autoscafi, ai sensi dell´art. 91-bis del d.P.R. 29 settembre 1972, n. 602, introdotto con l´art. 5, comma 4, del d.l. 31 dicembre 1996, n. 669, convertito, con modificazioni, dalla l. 28 febbraio 1997, n. 30;
  • d.P.R. 20 ottobre 1998, n. 428, regolamento recante norme per la gestione del protocollo informatico;
  • d.P.R. 8 marzo 1999, n. 70, regolamento recante disciplina del telelavoro nelle pubbliche amministrazioni, a norma dell´art. 4, comma 3, della legge 16 giugno 1998, n. 191.

Il Garante, inoltre, è stato consultato tardivamente, ossia dopo la pubblicazione dell´atto sulla "Gazzetta Ufficiale", nei seguenti casi:

  • regolamento in materia di contratti di locazione e di acquisto delle apparecchiature informatiche e sulle licenze d´uso dei programmi per elaboratore (in G.U. n. 302, 30 dicembre 1997);
  • decreto del Direttore generale del Dipartimento delle entrate del Ministero delle finanze del 22 dicembre 1998 "Approvazione dei modelli di dichiarazione IVA concernenti l´anno 1998 con le relative istruzioni" (in Suppl. ord. alla G.U. 21 dicembre 1998, n. 297);
  • decreto del Direttore generale del Dipartimento delle entrate del Ministero delle finanze del 22 dicembre 1998 "Integrazione dei dati da indicare, per il periodo d´imposta 1998, nella certificazione unica dei redditi di lavoro dipendente e assimilati" (in G.U. 30 dicembre 1998, n. 303).

Il Garante, confermando la piena disponibilità a fornire il proprio apporto al Governo e ai singoli ministri anche al di fuori dei casi di consultazione obbligatoria, ha formulato inoltre pareri su alcuni provvedimenti, e ha risposto a quesiti formulati dai diversi dicasteri. In particolare i seguenti atti:

  • parere al Ministero dell´interno sulla disciplina relativa alla piena conoscibilità e pubblicità prevista per le liste elettorali (in Bollettino, n. 4, pag. 13);
  • schema di decreto legislativo concernente la fissazione di criteri unificati di valutazione della situazione economica dei soggetti che richiedono prestazioni sociali agevolate nei confronti delle amministrazioni pubbliche Presidenza del Consiglio dei ministri, Dipartimento per gli affari giuridici e legislativi (in Bollettino, n. 4, pag. 35);
  • schema di decreto legislativo concernente il riordino della partecipazione alla spesa sanitaria e delle relative esenzioni - Presidenza del Consiglio dei ministri, Dipartimento per gli affari giuridici e legislativi (in Bollettino, n. 4, pag. 39);
  • risposta a un quesito formulato dal Dipartimento per la funzione pubblica in ordine alla possibilità di rendere pubblici gli elenchi nominativi dei dipendenti pubblici contenuti nell´anagrafe di cui all´art. 24, l. n. 412/1991 (in Bollettino, n. 4, pag. 44);
  • atti collegati alla decisione su ricorso adottata rispetto alla tematica della busta contenente il modello "Unico 98", predisposto dal Ministero delle finanze per la presentazione della dichiarazione dei redditi (in Bollettino, n. 5, pag. 42);
  • schema di convenzione con i concessionari del servizio di deposito, inventario e alienazione dei beni mobili iscritti in pubblici registri e sottoposti a confisca amministrativa Ministero delle finanze, su invito del Consiglio di Stato, nel parere n. 1298/87 del 21 ottobre 1997 Sez. III - (in Bollettino, n. 5, pag. 22);
  • parere rilasciato al Ministero dell´interno relativo all´utilizzazione da parte di comuni e di corpi di polizia municipale di laboratori fotografici per lo sviluppo di fotografie da apparecchiature del tipo "autovelox";
  • nota al Ministero di grazia e giustizia in materia di notificazione degli atti giudiziari;
  • risposta a un quesito formulato dal Ministero del lavoro e della previdenza sociale, in merito alla comunicazione e diffusione delle liste di mobilità; - risposta a un quesito formulato dal Ministero del lavoro relativo alla "scheda di segnalazione sociale";
  • parere al Ministero di grazia e giustizia ai sensi dell´art. 15, comma 2, della l. n. 675/1996 sullo schema di regolamento recante norme in materia di misure di sicurezza minime;
  • parere alla Presidenza del Consiglio dei ministri, Dipartimento per gli affari giuridici e legislativi, concernente la possibilità che l´Autorità garante della concorrenza e del mercato inserisca nei suoi provvedimenti definitivi la denominazione dell´associazione dei consumatori che ha segnalato gli atti di pubblicità ingannevole;
  • parere al Ministero dell´interno concernente la richiesta di dati anagrafici da parte delle aziende sanitarie locali.

Nei pareri resi l´Autorità ha cercato di bilanciare le proprie funzioni di tutela e di garanzia con le esigenze di funzionalità perseguite dalle diverse normative di settore; in alcuni casi ciò ha comportato il suggerimento di modifiche al testo predisposto, mentre in altri casi ha prodotto direttive e indicazioni da elaborare per giungere a una armonizzazione delle nuove norme con i princìpi in materia di riservatezza.

 

314 Autorizzazioni al trattamento dei dati sensibili
Le autorizzazioni, le decisioni sui ricorsi e i pareri sugli atti del Governo nelle materie incidenti sulla tutela delle persone e sulla riservatezza dei dati personali rappresentano gli atti attraverso i quali il Garante esercita le funzioni di maggior rilievo attribuitegli dalla l. n. 31 dicembre 1996, n. 675.

L´attività autorizzatoria, in particolare, ha per oggetto il trattamento dei dati sensibili da parte dei soggetti privati e degli enti pubblici economici (art. 22), il trattamento dei dati sulla salute da parte degli esercenti le professioni sanitarie e gli organismi sanitari pubblici (art. 23) e il trattamento di alcuni dati di carattere giudiziario (art. 24).

Sotto il profilo strutturale, il provvedimento autorizzatorio si compone di due elementi:

  • il giudizio di conformità fra il trattamento dei dati oggetto di esame e le disposizioni contenute nella specifica normativa che disciplina l´attività o il comportamento del titolare (per esempio la legislazione lavoristica per il datore di lavoro), come pure nella normativa in materia di protezione di dati personali;
  • la prescrizione, a carico del titolare del trattamento, relativa all´adozione di misure e accorgimenti a garanzia dell´interessato.

L´autorizzazione deve essere adottata, a istanza di parte o d´ufficio, in una fase temporale antecedente l´inizio del trattamento.

La presentazione della richiesta di autorizzazione segna l´inizio del procedimento, ossia il momento in cui nasce a carico dell´Autorità l´obbligo di provvedere nel termine di trenta giorni, trascorsi inutilmente i quali la mancata pronuncia equivale a rigetto.

  

314.1 Le autorizzazioni generali
Il Garante ha, altresì, la facoltà di esercitare d´ufficio la funzione autorizzatoria rispetto a categorie di titolari o di trattamenti attraverso le cd. autorizzazioni generali (art. 41, comma 7 come integrato dal d.lg. 9 maggio 1997, n. 123).

La formula autorizzatoria di carattere generale è stata utilizzata sin dal primo anno di applicazione della legge, in quanto ritenuta tecnica di amministrazione attiva più idonea rispetto al provvedimento individuale per contemperare gli interessi meritevoli di tutela di gruppi sociali ed economici omogenei e il diritto alla riservatezza. Il Garante ha infatti adottato il 30 settembre u. s. sei nuove autorizzazioni generali al trattamento dei dati sensibili (v. Allegati, cap. 5.6):

  • la n. 1/1998 relativa alla gestione dei rapporti di lavoro;
  • la n. 2/1998 relativa ai dati sanitari e a quelli sulla vita sessuale;
  • la n. 3/1998 relativa agli organismi di tipo associativo e alle fondazioni;
  • la n. 4/1998 relativa ai liberi professionisti;
  • la n. 5/1998 relativa a diverse categorie di titolari (settore bancario, creditizio, assicurativo, turistico, del trasporto, dei sondaggi e delle ricerche, della elaborazione dati, della selezione del personale e della mediazione a fini matrimoniali);
  • la n. 6/1998 relativa agli investigatori privati.

Le nuove autorizzazioni, pubblicate sulla "Gazzetta Ufficiale" n. 229 del 1‚ ottobre 1998, non contengono mutamenti di carattere sostanziale rispetto alle precedenti, ma solo integrazioni o specificazioni sulla base dell´esperienza interpretativa e applicativa dei provvedimenti generali dell´anno precedente.

Anche in sede di rinnovo delle autorizzazioni generali, come in numerose altre occasioni, il Garante ha previamente sentito alcune parti interessate che ne hanno fatto richiesta e ha esaminato le istanze tempestivamente pervenute.

Alcune delle integrazioni apportate nelle nuove autorizzazioni sono infatti il risultato di valutazioni congiunte su questioni risultate poco chiare o profili non considerati nelle autorizzazioni dello scorso anno. A titolo meramente esemplificativo si riportano di seguito alcune delle citate modifiche.

In accoglimento di un´osservazione di Confindustria è stato ad esempio ampliato l´ambito di applicazione dell´autorizzazione relativa ai datori di lavoro ai trattamenti finalizzati all´adempimento di obblighi derivanti da contratti di assicurazione (cfr. il capo 3, lett. c)dell´autorizzazione n. 1/1998).

Su richiesta dell´Ordine degli psicologi, l´autorizzazione relativa al trattamento dei dati sulla salute è stata estesa agli psicologi in considerazione del fatto che la psicoanalisi presenta maggiori affinità con l´attività medica piuttosto che con quella, assai più eterogenea, dei liberi professionisti iscritti in albi o elenchi professionali (cfr. il capo 1, lett. a) dell´autorizzazione n. 2/1999).

È stato, inoltre, specificato che le imprese bancarie, creditizie o assicurative sono autorizzate al trattamento dei dati sensibili anche se in stato di liquidazione coatta amministrativa e ciò allo scopo di chiarire che l´attività svolta dal commissario liquidatore rientra nell´ambito di applicazione dell´autorizzazione (cfr. il capo I, punto 1), lett. a) dell´autorizzazione n. 5/1998).

Gli intenti perseguiti dal Garante attraverso lo strumento delle autorizzazioni generali sono stati, oltre quello già ricordato di uniformare a settori omogenei di attività le prescrizioni contenute nei provvedimenti autorizzatori, lo snellimento dell´azione amministrativa dell´ufficio del Garante e la semplificazione degli adempimenti a carico del titolare.

Tali preoccupazioni hanno indotto il Garante a disporre espressamente nelle sei autorizzazioni generali che i titolari dei trattamenti destinatari delle autorizzazioni generali non sono tenuti a presentare una specifica richiesta di autorizzazione se il trattamento effettuato è conforme alle prescrizioni ivi contenute, e a ricordare altresì che i soggetti pubblici possono continuare a trattare i dati sensibili sulla base di una disposizione transitoria e previa comunicazione al Garante (art. 41, comma 5).

I suindicati obiettivi sono stati, tuttavia, realizzati solo parzialmente. Nel 1998 sono infatti pervenute all´ufficio del Garante centinaia di richieste di autorizzazioni non dovute e relative sia a titolari o a trattamenti già considerati con le autorizzazioni generali, sia a enti pubblici. Tale situazione, per certi aspetti inaspettata perlomeno sotto il profilo della dimensione numerica, ha reso necessario un ulteriore impegno dell´Autorità nell´attività di divulgazione dei contenuti e delle corrette modalità di applicazione della normativa in materia di protezione dei dati personali.

L´Ufficio ha infatti provveduto a fornire specifiche informazioni a ciascuno dei richiedenti e ad allegare alle note di risposta la documentazione utile alla comprensione dei casi concreti.

Si aggiunge, inoltre, che le autorizzazioni generali conservano il carattere della provvisorietà temporale (hanno efficacia dal 1‚ ottobre 1998 al 30 settembre 1999), soprattutto in considerazione del fatto che la normativa in materia di protezione di dati personali dovrebbe essere integrata da alcuni decreti legislativi entro il 31 luglio 1999, anche in attuazione delle raccomandazioni adottate in materia dal Consiglio d´Europa (cfr. art. 1 della l. 6 ottobre 1998, n. 344 sul differimento del termine per l´esercizio della delega prevista dalla l. n. 676/1996).

Per completezza è doveroso ricordare che nel periodo in cui furono adottate le autorizzazioni generali (settembre u.s.) la l. n. 344/1998 non era stata ancora approvata, essendo in corso d´esame in Parlamento il corrispondente disegno di legge governativo, poi divenuto legge il 6 ottobre u.s. Questa circostanza ha indotto il Garante a considerare la fase normativa attuale tuttora transitoria e a non adottare disposizioni autorizzatorie dettagliate, in modo da evitare che i titolari possano essere obbligati a modificare la propria attività in un breve periodo di tempo.

Per quanto attiene ai dati di carattere giudiziario si aggiunge, infine, che il Garante si è riservato di adottare un´autorizzazione generale sul trattamento di dati idonei a rivelare l´adozione di alcuni provvedimenti giudiziari a carico dell´interessato in previsione dell´emanazione di nuove disposizioni di legge in tale settore (art. 24, l. n. 675/1996; art. 686, commi 1, lett. a) e d), 2 e 3, c.p.p.).

Nelle more, una disposizione transitoria ha permesso ai soggetti pubblici e privati di proseguire il trattamento dei dati di cui all´art. 24 fino all´8 maggio 1999 previa comunicazione al Garante stesso (art. 41, comma 5 così come modificato dall´art. 1 del d.lg. n. 389/1998).

  

3142 Le autorizzazioni ad hoc
Il Garante, nell´emanare le sei autorizzazioni generali citate, si è riservato di autorizzare trattamenti diversi da quelli già considerati soltanto in presenza di circostanze eccezionali. Nel 1998 ha accolto tre specifiche richieste di autorizzazione al trattamento dei dati sensibili.

Nel mese di gennaio l´Autorità ha autorizzato una società cooperativa di assicurazione a trattare i dati idonei a rivelare la convinzione religiosa dei soci limitatamente alle operazioni strettamente pertinenti all´applicazione di una disposizione statutaria della stessa società cooperativa che presuppone l´ammissione dei soli soci professanti la religione cattolica. Tale autorizzazione, rinnovata nel successivo mese di ottobre, è stata emanata alle medesime condizioni previste dall´autorizzazione generale relativa alle compagnie di assicurazione.

Il Garante ha poi autorizzato un istituto scolastico, in particolare una società a responsabilità limitata, a trattare i dati idonei a rilevare le convinzioni religiose degli studenti limitatamente ai dati e alle operazioni indispensabili all´applicazione della disposizione normativa che riconosce agli studenti di scegliere se avvalersi o no dell´insegnamento della religione cattolica (cfr. art. 310, d.lg. 16 aprile 1994, n. 297).Tale specifica disposizione autorizzatoria è stata in seguito recepita nel testo dell´autorizzazione generale n. 5/1998.

In sede di rinnovo delle autorizzazioni generali, l´ambito di applicazione del provvedimento relativo alle associazioni e fondazioni è stato esteso agli istituti scolastici, inclusi quelli di tipo non associativo, relativamente al trattamento dei dati idonei a rivelare le convinzioni religiose e per le operazioni strettamente necessarie all´applicazione della disposizione sulla libertà di scelta dell´insegnamento religioso (cfr. l´art. 310 cit. e il punto 1 dell´autorizzazione n. 3/1998).

Il Garante ha, infine, autorizzato una società per azioni a trattare i dati idonei a rivelare l´adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale dei propri clienti in modo strettamente funzionale all´adempimento degli obblighi contrattuali o precontrattuali derivanti da un rapporto di cui siano parte le predette associazioni od organizzazioni.

Anche in questo caso l´Autorità ha ritenuto meritevole di considerazione generale l´esigenza di garantire la gestione dei rapporti contrattuali tra gli operatori economici e le associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, e ha integrato in tal senso il testo dell´autorizzazione n. 3/1998 (cfr. il capo 1).

 

315 Rapporti con l´Ufficio del Garante
Seguendo uno stile adottato fin dal suo insediamento, l´Ufficio del Garante ha improntato, anche nell´anno 1998, la sua attività di relazione con il pubblico a criteri ispirati alla più ampia apertura e disponibilità. In questo quadro ha assunto un ruolo centrale il servizio di vero e proprio "sportello telefonico", che ha assorbito rilevanti risorse umane e temporali dell´Ufficio. È stata questa, peraltro, una modalità essenziale per cogliere dalla viva voce dei cittadini, degli operatori economici, dei funzionari delle pubbliche amministrazioni, il grado di conoscenza e attuazione della legge, i tempi, le modalità e le conseguenti difficoltà incontrate nel dare riscontro agli adempimenti normativi, nonché per raccogliere suggerimenti, segnalazioni e reclami.

In particolare, nei primi mesi dell´anno trascorso e soprattutto nel trimestre gennaio-marzo - in coincidenza con la scadenza dell´obbligo di notificazione del trattamento dei dati personali prevista dall´art. 41, comma 2 della l. n. 675/1996 - sono pervenute centinaia di chiamate telefoniche (si può stimare una media di 200 telefonate al giorno) e di richieste di informazioni inoltrate via fax, relative appunto alle modalità di adempimento degli obblighi citati.

Indubbiamente la novità e la particolarità della legge sulla protezione dei dati ha inciso su questa forte domanda di informazioni. Le chiamate erano volte ad avere conferma sui soggetti tenuti all´obbligo della notifica, anche in relazione ai numerosi casi di esonero previsti dall´art. 7, comma 5-ter della legge, a ottenere chiarimenti sulla apposita modulistica predisposta dal Garante, e sul rapporto fra il nuovo obbligo di notifica e la precedente denuncia di detenzione di archivi magnetici (introdotta dalla l. 1 aprile 1981, n. 121 e abrogata ora dall´art. 43, comma 1, della l. n. 675/1996).

In questa fase di consultazione intensa e quasi martellante dell´ufficio, le telefonate sono servite anche per mettere meglio a fuoco le problematiche e i dubbi più rilevanti e per orientare un´azione di più capillare informazione che ha fatto poi leva essenzialmente su comunicati stampa esplicativi, interventi a seminari e convegni organizzati particolarmente da associazioni professionali e di categoria, provvedimenti interpretativi assunti dall´organo collegiale e mirati a superare i dubbi più comuni. In questa fase si è cercato altresì di prendere contatto con coloro che avevano interessato l´Autorità a mezzo fax, fornendo, per quanto possibile, rapide indicazioni telefoniche e inviando, se necessario, documentazione di supporto.

Passato il periodo caratterizzato dalla "emergenza notificazioni", il flusso di richieste telefoniche è proseguito nei mesi successivi (con una media di 50 telefonate al giorno), nella fascia oraria dal lunedì al venerdì, dalle ore 10 alle 13, durante la quale i funzionari dell´ufficio (una decina al giorno) forniscono appunto consulenza telefonica. Come detto, tali telefonate sono un ottimo "termometro" sullo stato di "percezione" oltre che di attuazione della legge.

Da questa attività per certi aspetti ordinaria sono emerse alcune constatazioni e conferme che non appare banale riepilogare:

a) La materia della privacy intesa in senso lato interessa moltissimo la pubblica opinione, suscita emozioni e reazioni. Vi è però una diffusa difficoltà a cogliere la specificità della l. n. 675/1996 e a individuare con precisione i compiti e il ruolo del Garante. Anche il pubblico mediamente avvertito non coglie spesso lo specifico di una legge che mira alla protezione dei dati personali, mentre molte richieste di chiarimento prospettano generici problemi di salvaguardia della riservatezza della vita privata.

b) Per la natura stessa del suo oggetto (i dati personali) la l. n. 675/1996 ha un campo di applicazione e una forza di penetrazione assai ampi. Ciò spiega le difficoltà applicative incontrate dai soggetti, pubblici e privati, più diversi e giustifica, almeno in parte, la mole di richieste rivolte al Garante, visto come unico organo "specializzato" e titolato a fornire chiarimenti. L´esperienza ha messo, peraltro, in luce l´esistenza di "frontiere avanzate" dove il contatto fra i cittadini e la l. n. 675/1996 è particolarmente frequente e delicato. Non a caso centinaia di telefonate sono pervenute dagli enti locali, specialmente dai comuni, con particolare riguardo ai dati personali trattati negli archivi anagrafici e di stato civile, nell´archivio elettorale, nel settore dei servizi sociali globalmente intesi. Numerose sollecitazioni sono pervenute altresì dai soggetti, pubblici e privati, operanti nel campo sanitario (ASL in primo luogo) interessati, ovviamente, alle problematiche inerenti i dati sensibili.

c) Molte richieste sono state, invece, formulate da cittadini e da studi legali in ordine all´esatta configurazione dei meccanismi di tutela previsti dalla legge (ricorsi ex art. 29, segnalazioni e reclami ex art. 31). Le richieste telefoniche al riguardo miravano a conoscere, da una parte, la possibilità di valersi di tali strumenti, anche in assenza del regolamento di organizzazione e funzionamento del Garante di cui all´art. 33, comma 3 della legge, nonché tempi e modalità di trattazione dei medesimi procedimenti; dall´altra, a verificare la possibilità di ricondurre determinate fattispecie concrete ai citati strumenti di tutela.

L´esperienza di questi dodici mesi segnala indubbiamente l´utilità e la necessità di proseguire nell´impegno di disponibilità nei confronti delle molteplici richieste di informazione che quotidianamente pervengono, orientando i cittadini e gli operatori anche attraverso l´utilizzo di strumenti già disponibili (Bollettino, comunicati stampa, newsletter) o che sono in procinto di essere attivati (sito Web).

 

316 Registro generale dei trattamenti

316.1 Il quadro normativo
Per la tenuta del registro generale dei trattamenti la legge dispone l´impiego di sistemi automatizzati a elaborazione informatica e l´utilizzo di strumenti telematici (art. 31, comma 3), prevedendo inoltre opportune intese con le province e altre pubbliche amministrazioni per assicurarne la consultazione tramite strumenti informatici costituiti da almeno un terminale dislocato su base provinciale, preferibilmente nell´ufficio per le relazioni con il pubblico.

Per le notificazioni la legge ha previsto una procedura basata essenzialmente sull´invio a mezzo di lettera raccomandata o con altro mezzo idoneo a certificarne la ricezione, specificandone i contenuti essenziali (art. 7).

Il successivo d.lg. 28 luglio 1997, n. 255 ha modificato in parte l´art. 7 introducendo per alcune categorie un regime di notificazione semplificata -ad esempio per i soggetti pubblici e privati che effettuino trattamenti temporaneamente e senza l´ausilio di mezzi elettronici e automatizzati- esonerandoli dal menzionare alcuni dati previsti per la generalità dei notificanti. Inoltre ha escluso numerosi soggetti dalla presentazione della notificazione, obbligandoli comunque a fornire le notizie sul trattamento dei dati a chiunque ne faccia richiesta.

Per quanto riguarda il termine per la presentazione della notifica per i trattamenti iniziati prima del 1° gennaio 1998, l´art. 2 ha individuato due date:

  •  31 marzo 1998, per i
    • trattamenti svolti anche in parte con l´ausilio dei mezzi elettronici o comunque automatizzati;
    • trattamenti non automatizzati di dati sensibili o attinenti a determinati provvedimenti giudiziari;
  • 30 giugno 1998, per i
    • trattamenti non automatizzati di dati diversi da quelli sensibili;
    • trattamenti effettuati per ragioni di giustizia, per il servizio del casellario giudiziale, per il servizio carichi pendenti, o da soggetti pubblici per finalità di difesa o sicurezza dello Stato o per finalità di prevenzione, accertamento o repressione dei reati.

Per tutti i trattamenti iniziati dal 1° gennaio 1998 è prevista la notificazione prima dell´inizio del trattamento. Ugualmente deve essere notificate al Garante la modifica degli elementi contenuti nella prima notificazione o la cessazione del trattamento dei dati. Sanzioni penali sono comminate in caso di omessa o infedele notificazione (art. 34, l. n. 675/1996).

Recentemente, poi, è entrato in vigore il d.P.R. 31 marzo 1998, n. 501 che agli artt. 12 e 13 ha introdotto norme integrative sulle procedure relative alle notificazioni, alla tenuta e consultazione del registro. In particolare, per quest´ultimo aspetto, l´art. 13 stabilisce che il registro è accessibile gratuitamente a chiunque senza particolari formalità presso l´Ufficio del Garante o mediante terminale.

 

3162 L´organizzazione
Al fine di agevolare il compito di effettuare la notifica, il Garante ha predisposto modelli cartacei e supporti informatici, completi di varie spiegazioni, distribuiti gratuitamente in tutti gli uffici postali del territorio, in base ad apposita convenzione stipulata con l´Ente poste. A corredo sono state predisposte buste personalizzate complete di indirizzo, bollettini per il versamento dei diritti di segreteria (£15mila per notifica inviata su dischetto magnetico, £25mila per notifica inviata su modello cartaceo) e speciali buste imbottite per l´invio dei dischetti magnetici.

Complessivamente sono stati predisposti e consegnati tempestivamente agli Uffici postali per la distribuzione n. 1.020.000 modelli con allegate istruzioni e n. 350mila dischetti. Per agevolare ulteriormente la diffusione del modello, taluni organismi, associazioni ed editori sono stati autorizzati a riprodurlo sulla base di apposita convenzione stipulata con l´Ufficio, e il suo facsimile è stato pubblicato anche su alcuni giornali. In aggiunta, diversi comunicati stampa e le risposte fornite oralmente e via fax ai numerosi quesiti posti, hanno anch´essi agevolato il compito degli utenti nella compilazione del modello. Le notifiche pervenute sono state circa 250mila, in massima parte per posta o consegnate a mano e nella quasi totalità in occorrenza della prima scadenza del 31 marzo.

Le operazioni di preparazione delle notifiche per la successiva immissione dei dati nel sistema informativo si sono rivelate assai impegnative. Notevoli sono stati i problemi per fronteggiare una tale massa di documentazione, sia per le preliminari operazioni materiali da compiere (distacco e timbratura delle ricevute di ritorno, suddivisione tra modelli cartacei e dischi, apertura e verifica del contenuto dei plichi, protocollazione, separazione delle notifiche anomale, inscatolamento e trasporto in una sede idonea a contenerle), sia per la mancanza di spazi adeguati al loro trattamento (il Garante si è successivamente avvalso di un locale di ampie dimensioni messo a disposizione gratuitamente dal Dipartimento della protezione civile presso il Centro polifunzionale in Castelnuovo di Porto, che presenta tra l´altro adeguati livelli di sicurezza).

In tale luogo sono state effettuate in massima parte le operazioni propedeutiche alla verifica del contenuto dei plichi pervenuti e alle statistiche preliminari sul numero e la distribuzione tra dischetti e modelli cartacei, allo scopo di impostare un´adeguata organizzazione del lavoro.

Al fine di procedere celermente, in attesa della realizzazione del sistema informatizzato del Garante e di una dotazione organica di personale, è stato stipulato, a seguito di licitazione privata, un contratto con una società per la fornitura di due servizi complementari, diretto l´uno alla lavorazione preparatoria delle notifiche pervenute, l´altro alla loro memorizzazione. Adeguate misure sono state adottate per assicurare la sicurezza e la segretezza delle operazioni svolte.

Numerose sono state le notifiche - sia su dischetto sia su modello cartaceo - che per vari motivi non sono risultate complete o regolari (v. Tabella 2).

 

3163 Prospettive
Nello scorso mese di febbraio si sono concluse le operazioni connesse alla verifica delle notifiche ed entro luglio sarà possibile attivare il registro dei trattamenti, con una prima fase sperimentale.

Verrà subito dopo verificata attentamente la possibilità dell´integrazione del registro dei trattamenti con la rete Internet per consentirne una consultazione agevole e funzionale, adottando le necessarie precauzioni affinché non sia pregiudicata la sicurezza e la riservatezza dei dati personali (ad esempio, mediante consultazioni di singoli nominativi di titolari di trattamento).

Con il completamento della disciplina sulla firma elettronica (in base al d.P.R. 10 novembre 1997, n. 513 e ai regolamenti previsti dall´art. 15, comma 2, della l. 15 marzo 1997, n. 59), sarà possibile poi varare un progetto che consentirà ai notificanti di effettuare o modificare la notificazione anche per via telematica (art. 12, comma 2, d.P.R. n. 501/1998).

L´esperienza acquisita servirà inoltre a elaborare un´interfaccia del dischetto contenente il software per la notificazione ancor più user friendly, per indurre i notificanti a privilegiare la modalità informatica rispetto al modello cartaceo.

Il registro dei trattamenti, una volta completato, sarà collegato a un servizio per la risoluzione di quesiti e permetterà di interloquire con il Garante anche al di là della mera acquisizione delle notizie sulla movimentazione del registro stesso, sulla distribuzione degli archivi, sull´ambito di comunicazione e diffusione dei dati, la natura dei dati oggetto del trattamento, le banche dati cui si riferisce il trattamento, i trasferimenti di dati all´estero, ecc.

I dati che seguono si riferiscono alle notifiche già memorizzate e, seppure riferiti a dati non ancora definitivi, offrono indicatori utili sul contenuto del registro e per l´organizzazione del lavoro.

Tabella 1 - Dati riepilogativi sulle notifiche
 

 Numero

 %

 Notificazioni pervenute al 19/1/99

 250.000 circa

 

 di cui su modello cartaceo

 195.000

 88

 di cui da dischetto

 55.000

  22
 Notificazioni elaborate

 117.000 circa 

 

 di cui da modello cartaceo

 65.000

 55

 di cui da dischetto

 52.000

  45

Delle notificazioni pervenute, 1.260 recano modifiche alla prima notificazione e 140 comunicano la cessazione del trattamento. Esse verranno memorizzate solo quando verrà completata l´elaborazione di tutte le prime notificazioni pervenute.

Inoltre, delle 250.000 notifiche pervenute può stimarsi che circa il 2% presentino irregolarità di vario genere. Per gran parte di esse è già stato rivolto ai notificanti l´invito a provvedere alla regolarizzazione.

La tabella seguente illustra i vari tipi di irregolarità riscontrate. La somma delle percentuali, al riguardo, è maggiore di 100 in quanto è possibile che in una notificazione siano presenti più irregolarità.

Tabella 2 - Tipologia delle irregolarità presenti nelle notificazioni pervenute

 

  %

 Dischetto illegibile (deteriorato, privo del file di dati, file diverso da quello richiesto)

 43

 Mancato versamento dei diritti di segreteria

 31

 Dischetti non accompagnati dalla relativa stampa

 30

 Mancata compilazione di tutti i riquadri del modello

 16

 Modello non conforme a quello prescritto

 7

 Mancata sottoscrizione del notificante

 2

 Altro

  2

Va evidenziato infine che è in fase di valutazione anche la possibilità di permettere una consultazione più ampia del registro attraverso la diffusione di CD-ROM come avviene in Spagna. Il registro è pubblico ma i dati in esso contenuti, secondo quanto previsto espressamente dal d.P.R. n. 501/1998, potranno essere utilizzati solo per finalità di applicazione della normativa in materia di protezione dei dati (art 13 d.P.R. n. 501/1998).

Va precisato da ultimo che i modelli di notificazione già predisposti dal Garante nel 1997, una volta entrato in vigore il d.P.R. n. 501/1998, sono stati oggetto di un provvedimento del Garante che in data 18 febbraio 1999, una volta entrato in vigore il d.P.R. n. 501/1998, ha confermato i modelli stessi e l´ammontare dei relativi diritti di segreteria.

 

317 Attività ispettiva
La prima fase di applicazione della disciplina sulla protezione dei dati personali è stata caratterizzata dal maggior rilievo possibile dato all´informazione e alla comunicazione, nell´intento di favorire una piena conoscenza e visibilità di quei princìpi e valori che con la l. n. 675/1996 si è inteso tutelare, come pure al progressivo adeguamento alla legge stessa da parte dei soggetti chiamati ad applicarla. La linea seguita è stata quella della massima disponibilità e cooperazione nel fornire chiarimenti a dubbi di applicazione della normativa, nell´intento di far sì che la l. n. 675/1996 si ponesse più come un punto di partenza di un dibattito più ampio sulla protezione dei dati personali e il loro utilizzo, piuttosto che come una fredda elencazione di una serie di nuovi diritti, doveri e adempimenti.

Lo testimoniano la frequenza con cui negli ultimi mesi la l. n. 675/1996 e, ancor più spesso, un generico "diritto alla privacy" sono stati chiamati in causa. I quesiti posti telefonicamente e via fax ai funzionari, i comunicati stampa del Garante, gli articoli di stampa apparsi sull´argomento, e perfino le più fantasiose interpretazioni della l. n. 675/1996 o gli attacchi di cui è stata talvolta oggetto, sono serviti a dare contorni più definiti alla disciplina sulla protezione dei dati personali, all´esercizio dei diritti che ne derivano e, soprattutto, agli obblighi di legge e di correttezza.

I diritti contemplati e tutelati dalla l. n. 675/1996 - anche con previsioni di tipo sanzionatorio, amministrativo e penale - richiedono ora la creazione di una struttura dei controlli e la loro attivazione. Al di là delle scelte condivise di dare tempo alla l. n. 675/1996 per essere assimilata, compresa e completata, l´incompletezza derivata dalla mancanza di norme regolamentari ha fatto sì che, in assenza di una minuta disciplina riguardante le modalità di accesso e verifica, il settore dei controlli in loco non potesse decollare. Deve tenersi conto, poi, che il 1998 ha rappresentato un anno transitorio per l´ultimazione delle procedure previste per la notificazione del trattamento dati da parte dei soggetti interessati e per la creazione del registro generale dei trattamenti.

Il "Regolamento recante norme per l´organizzazione e il funzionamento dell´Ufficio del Garante", d.P.R. n. 501 del 31 marzo 1998, entrato in vigore solo il 16 febbraio 1999, all´art. 15 regola nel dettaglio le modalità di accesso e verifica, disciplinando così le modalità di svolgimento degli accertamenti previsti all´art. 32 della l. n. 675/1996. Il Garante, potendo disporre accessi alle banche dati, verifiche e ispezioni nei luoghi ove si svolge il trattamento dati, con la disciplina prevista all´art. 15 del Regolamento potrà rendere effettivi i controlli in loco e, in breve, possibili le prime rilevazioni. Le segnalazioni e gli esposti inviati al Garante in questi mesi, considerate le caratteristiche delle notificazioni pervenute, forniscono un quadro già abbastanza definito di quali saranno i settori maggiormente interessati dagli accertamenti e dalle ispezioni da parte dell´Ufficio del Garante.

In primo luogo dobbiamo considerare che alcune significative banche dati, sia per il loro volume, sia, soprattutto, per il tipo di informazioni contenute, appartengono alla pubblica amministrazione nel suo complesso. Basti pensare ai dati trattati nel settore sanitario, della giustizia, in quello fiscale, dalle amministrazioni locali o raccolti dalle forze di polizia, solo per citarne alcuni. La pubblica amministrazione, in questo primo periodo di attività del Garante, considerando le attività svolte, la qualità dei dati raccolti e il numero di banche dati detenute, è stata oggetto di numerose segnalazioni in misura non inferiore a quella del settore privato.

Per quanto riguarda le imprese private, è stata l´attività bancaria, creditizia e assicurativa, con le attività connesse relative alla rilevazione dei rischi e al recupero dei crediti, ad attrarre il maggior numero di segnalazioni ed esposti. Seguono il settore della pubblicità diretta, i servizi telefonici, le attività di ricerca e selezione del personale, l´investigazione privata e la gestione di sondaggi e ricerche di mercato.

L´attività di accertamento e rilevazione dell´Ufficio del Garante si avvarrà- ma non necessariamente - delle segnalazioni e degli esposti di coloro che riterranno violati i loro diritti rispetto alla l. n. 675/1996. Una efficiente struttura dei controlli dovrà prevedere acquisizioni di notizie, ai sensi dell´art. 32 della legge - strumento largamente usato sin dalla prima fase della sua applicazione - e ispezioni settoriali, periodiche e d´ufficio, a banche dati pubbliche e private.

Le verifiche potranno comportare anche l´esame dei supporti informatici contenenti i dati personali, di sistemi di trasmissione e accesso ai dati, l´acquisizione di documentazione e informazioni pertinenti.

L´esercizio delle funzioni di controllo assegnate al Garante, gli accertamenti effettuati sulle banche dati, accanto alle violazioni amministrative e penali contemplate dalla l. n. 675/1996 (che se accertate daranno vita a procedimenti sanzionatori specifici), potranno anche, in positivo, comportare la segnalazione ai relativi titolari o responsabili delle modifiche più opportune per uniformare i trattamenti alle disposizioni vigenti. Nei casi più gravi, parallelamente all´avvio di procedimenti per violazione delle norme sulla protezione dei dati personali, si potrà avere anche l´applicazione di misure cautelari quali il blocco o il divieto, totali o parziali del trattamento dei dati.

Alla luce di tutto ciò risulta chiaro come l´attività di accertamento e ispezione sia un elemento fondamentale nel regime di garanzie previsto dalla l. n. 675/1996 a tutela dei diritti dei cittadini. La verifica sul posto della conformità dei trattamenti a quanto stabilito dalla legge, i poteri in ordine alla segnalazione delle modifiche da apportare, l´eventuale intervento sui trattamenti stessi, su impulso del Garante, trovano come preciso e giustificato contrappeso l´obbligo della segretezza, da parte del personale incaricato dall´ufficio del Garante, rispetto alle informazioni di cui esso potrà venire a conoscenza durante i rilievi e nell´esercizio delle proprie funzioni.

Al fine di rimuovere un ostacolo all´effettuazione degli accertamenti di cui all´art. 32 della l. n. 675/1996, nel corso dei quali possono emergere anche violazioni diverse da quelle amministrative, si è stabilito all´interno del decreto legislativo n. 51/1999 di conferire al personale addetto agli accertamenti, in numero non superiore a cinque unità, la qualifica di ufficiale o agente di polizia giudiziaria, limitatamente al servizio cui sono destinati e secondo le rispettive attribuzioni.

Tale previsione, e la necessità di una integrazione normativa, risultavano evidenti. Il fatto che, ad esempio, dagli accertamenti effettuati in loco con l´assenso del titolare o del responsabile o con l´autorizzazione del presidente del tribunale fossero rilevabili violazioni penali avrebbe imposto la necessità di interrompere gli accertamenti svolti fino a quel momento per richiedere la collaborazione di altri organi dello Stato, non per scelta operativa, ma come condizione necessaria per l´ultimazione e la legalità degli accertamenti in base al codice di procedura penale e alle relative norme di attuazione. Si è rimosso per questa via un non trascurabile impedimento, ferma restando la collaborazione e l´ausilio degli altri organi dello Stato in tutti quei casi in cui le situazioni ambientali e le caratteristiche specifiche degli accertamenti ne consiglino la richiesta e l´intervento.