Diritti interna

Doveri interna

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

2. L'evoluzione della disciplina sulla riservatezza - Relazione 1997 - 30 aprile 1998

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
1343323
Data:
30/04/98
Tipologia:
Relazione annuale

Indice

Relazione annuale 1997

2. L´evoluzione della disciplina sulla riservatezza

 

2.1. Le semplificazioni apportate dal legislatore in un quadro di rafforzate garanzie


2.1.1 Gli obblighi di informativa
La legge n. 675/1996 ha previsto per coloro che intendono raccogliere ed utilizzare dati personali l´obbligo di fornire alcune informazioni all´interessato o, comunque, alle persone presso le quali i dati sono raccolti. L´informativa deve precedere la raccolta delle informazioni e, quando i dati sono raccolti presso terzi, deve essere fornita all´interessato al momento della registrazione dei dati o, qualora sia prevista la loro comunicazione, non oltre la prima operazione di comunicazione (art. 10).

L´informativa riguarda, in particolare, i seguenti aspetti:

a) le finalità e le modalità del trattamento dei dati;

b) l´obbligo o meno di fornire le informazioni richieste;

c) le conseguenze dell´eventuale rifiuto di fornire le informazioni;

d) i soggetti o le categorie di soggetti alle quali possono essere comunicati i dati e l´ambito di diffusione nazionale e internazionale dei dati;

e) i diritti riconosciuti alla persona alla quale i dati si riferiscono, ai sensi dell´art. 13 della legge;

f) il nominativo e le coordinate del titolare nonché, se designato, del responsabile.

L´obbligo dell´informativa, che trova riscontro in varie raccomandazioni del Consiglio d´Europa, ed è puntualmente disciplinato dalla direttiva n. 95/46/CE (artt. 10 e 11), rappresenta una delle principali novità introdotte dalla legge n. 675/1996, in quanto permette al soggetto che fornisce i dati di comprendere appieno le motivazioni della richiesta di informazioni, di scegliere se aderirvi o meno (e, ove necessario, di manifestare il proprio consenso "informato"), nonché di poter controllare meglio, successivamente, l´utilizzazione e la destinazione dei dati.

Il legislatore ha facilitato l´adempimento dell´obbligo, stabilendo che:

a) l´informativa possa non contenere, in tutto o in parte, gli elementi già conosciuti dall´interessato;

b) nell´informativa si possano non inserire gli elementi suscettibili di ostacolare lo svolgimento di funzioni pubbliche ispettive o di controllo (peraltro circoscritte a casi precisamente individuati);

c) le informazioni di cui all´art. 10 non debbano essere fornite quando i dati sono utilizzati in base ad un obbligo normativo;

d) nel caso di raccolta dei dati presso terzi, si possa richiedere al Garante di valutare i casi in cui l´adempimento sia, di fatto, impossibile o comporti un impiego di mezzi manifestamente sproporzionato rispetto al diritto dell´interessato di essere informato personalmente sull´esistenza di un trattamento di dati che lo riguardano.

Con il decreto legislativo n. 123 del 1997, il Governo, anche su sollecitazione del Garante, ha introdotto una modifica significativa all´art. 10 della legge n. 675/1996, prevedendo che l´informativa possa essere data anche oralmente, oltre che in forma scritta.

Questa modifica, che riguarda la raccolta di dati sia presso l´interessato sia presso terzi, ha reso più armoniche le disposizioni normative sull´informativa e il consenso (che può essere prestato anche oralmente, se i dati non hanno natura sensibile, ferma restando la necessità di documentarlo per iscritto anche a cura del soggetto che raccoglie i dati).

A parte l´evidente semplificazione, la novità permette in alcuni casi di tutelare meglio le stesse persone interessate, consentendo ad esse di ottenere una spiegazione orale immediata ed esauriente delle principali caratteristiche della raccolta, la quale può essere, a volte, più efficace rispetto ad una informativa scritta, riportata - magari - in un modello- tipo.

Il Garante ha chiarito poi che l´informativa non deve essere fornita caso per caso, in occasione di ogni singola operazione di utilizzazione dei dati. Inoltre, ha specificato che le due informative (quella fornita per i dati raccolti presso l´interessato e quella resa per i dati acquisiti da terzi), sono cumulabili e possono essere effettuate contestualmente, qualora il titolare del trattamento precisi chiaramente che l´informativa è in relazione ad entrambe le situazioni previste dall´art. 10 (il che può avvenire predisponendo, ad esempio, un modello cartaceo nel quale siano riportate distinte caselle corrispondenti alle due informative previste da tale disposizione, caselle che il titolare potrebbe barrare a seconda dei casi).

2.1.2. I termini per il rilascio delle autorizzazioni e per le notificazioni
L´entrata in vigore della legislazione sulla privacy ha implicato due importanti adempimenti, specie per le imprese e le pubbliche amministrazioni: la richiesta di autorizzazione al Garante per poter trattare alcuni dati personali e l´obbligo di notificare alcuni trattamenti alla medesima Autorità.

Il primo adempimento è connesso alla particolare tutela che la legge n. 675/1996 attribuisce ad alcune categorie di dati definiti "sensibili" (art. 22, comma 1) o attinenti a taluni provvedimenti giudiziari (art. 24).

Sono ritenuti "sensibili" i dati personali idonei a rivelare l´origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l´adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati idonei a rivelare lo stato di salute e la vita sessuale.

Nei riguardi dei trattamenti di questi dati, la legge prevede una disciplina differenziata a seconda che ad effettuarli siano soggetti pubblici o privati.

Il trattamento dei dati sensibili da parte dei soggetti pubblici, esclusi gli enti pubblici economici, deve essere autorizzato da un´espressa disposizione di legge che specifichi i dati che possono essere trattati, le operazioni eseguibili e le rilevanti finalità di interesse pubblico perseguite (art. 22, comma 3). Il legislatore si è mostrato consapevole della circostanza che l´ordinamento prevedeva poche disposizioni di questo tipo, ed ha perciò fissato il termine transitorio di un anno (cioé, finoal 7 maggio 1998), permettendo alle pubbliche amministrazioni di continuare a trattare i dati sensibili già elaborati anche in assenza di disposizioni di legge del genere poc´anzi indicato, sulla base di una semplice comunicazione al Garante.

Lo stesso trattamento può essere effettuato anche da privati o da enti pubblici economici, che sono tenuti a richiedere il consenso scritto dell´interessato e l´autorizzazione preventiva del Garante (art. 22, comma 1).

In termini generali, qualora vi sia una richiesta di autorizzazione, il Garante deve pronunciarsi entro trenta giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il provvedimento di autorizzazione, o successivamente, il Garante può prescrivere misure ed accorgimenti a garanzia dell´interessato, che il titolare del trattamento deve adottare (art. 22, comma 2).

Un´autorizzazione del Garante è altresì necessaria quando, in assenza di un´esplicita disposizione di legge che abbia caratteristiche analoghe a quelle sopra descritte per i dati sensibili, si intendano trattare dati personali idonei a rivelare determinati provvedimenti giudiziari (art. 24 legge n. 675/1996; art. 686, commi 1, lettere a) e d), 2 e 3, del codice di procedura penale). Anche in questo caso, una disposizione transitoria ha permesso di non pregiudicare la prosecuzione dei trattamenti che soggetti pubblici e privati effettuano, talvolta anche per il perseguimento di rilevanti finalità pubbliche.

Per il rilascio di tutte queste autorizzazioni la legge aveva fissato il termine di trenta giorni successivi all´entrata in vigore della legge n. 675/1996, che è apparso subito insufficiente e che per questo è stato prorogato al 30 novembre 1997 (art. 4, comma 1, d.lg. 9 maggio 1997, n. 123; art. 41, comma 7, l. n. 675). Con questo intervento correttivo, si è inoltre ribadito che il Garante può rilasciare tali autorizzazioni - anche d´ufficio - non solo in favore di singoli titolari, ma anche attraverso provvedimenti-tipo o di ordine generale nei confronti di intere categorie di titolari o di trattamenti.

L´Autorità ha utilizzato ampiamente tale facoltà ed ha emanato, come si vedrà, sei autorizzazioni generali, nel periodo compreso fra il 19 novembre e il 29 dicembre 1997.

Ciò ha permesso non solo di semplificare enormemente le procedure altrimenti insostenibili che si sarebbero attivate dinanzi al Garante, ma ha facilitato l´armonizzazione delle prescrizioni impartite con carattere di generalità a tutti coloro che rientrano in una determinata categoria (ad esempio, i liberi professionisti iscritti in albi o elenchi) o che elaborano certi dati (ad esempio, quelli di carattere medico).

Per quanto riguarda, invece, l´obbligo di notificazione, va ricordato che esso grava sul titolare che intenda effettuare o cessare un trattamento di dati personali oggetto di applicazione della legge (artt. 7 e 16). Analogamente, l´articolo 28 stabilisce che il trasferimento di dati personali fuori dal territorio nazionale, anche se temporaneo, debba essere notificato previamente al Garante, qualora sia diretto verso Paesi non appartenenti all´Unione europea ovvero, se si tratta di dati sensibili o attinenti a taluni provvedimenti giudiziari, anche quando sia diretto verso Paesi dell´Unione europea.

L´art. 41, comma 2, prevedeva che i trattamenti iniziati prima dell´8 maggio 1997 e fino al successivo 7 agosto avrebbero dovuto essere notificati entro sei mesi dalla pubblicazione nella Gazzetta Ufficiale del decreto del Presidente del Consiglio dei ministri relativo alla determinazione del contingente di personale posto alle dipendenze del Garante.

Il decreto legislativo 28 luglio 1997, n. 255, ha modificato tali termini, non tanto per esigenze di mera proroga, ma per permettere ai titolari dei trattamenti di valutare attentamente le numerose ipotesi di esonero e di semplificazione introdotte dal medesimo decreto.

In particolare, si è prevista la possibilità di dichiarare i trattamenti iniziati prima del 1 gennaio 1998 nel periodo intercorrente dal 1 gennaio al 31 marzo 1998, ferma restando la necessità di dichiarare preventivamente, a partire dal 1 gennaio 1998, le attività del tutto nuove di trattamento intraprese a decorrere da tale data.

Nella medesima ottica di gradualità già seguita dalla legge n. 675/1996, si è differito al periodo intercorrente tra il 1 aprile e il 30 giugno 1998 il termine per notificare i trattamenti:

a) non automatizzati di dati diversi da quelli sensibili;

b) effettuati per ragioni di giustizia presso gli uffici giudiziari, il C.S.M. e il Ministero di grazia e giustizia;

c) effettuati presso il servizio del casellario giudiziale o per il servizio carichi pendenti nella materia penale;

d) posti in essere da alcuni soggetti pubblici per finalità di difesa o di sicurezza dello Stato, ovvero di prevenzione, accertamento o repressione dei reati (art. 4, comma 1, lett. e)).

2.1.3. Esenzioni e semplificazioni delle notificazioni
Sono state sollevate alcune perplessità nei confronti della "notificazione", essendosi paventato da più parti che si volesse costituire una sorta di "Grande Fratello" informatico nel quale far confluire tutti i dati trattati nel Paese.

In realtà, questo obiettivo non è presente nelle norme e nello spirito della legislazione sulla privacy.

L´obiettivo della notificazione e della conseguente istituzione di un registro generale dei trattamenti - già esistente in tutti i Paesi europei - è quello di predisporre uno strumento semplice ed aggiornato, attraverso il quale il soggetto che abbia il sospetto di un trattamento illecito di dati che lo riguardano o intenda comunque effettuare una verifica, possa individuare con maggiore facilità i possibili titolari e responsabili nei confronti dei quali esercitare i propri diritti.

In altre parole, il registro non conterrà i nominativi dei soggetti ai quali si riferiscono i dati elaborati dai vari titolari, e recherà piuttosto una serie di indicazioni generali utili per comprendere le modalità complessive dei trattamenti e le relative finalità.

Inoltre, la consapevolezza di evitare inutili appesantimenti burocratici era ben presente nell´idea del legislatore, il quale, nell´approvare le leggi nn. 675 e 676, ha bilanciato l´esigenza di rendere pubblici e facilmente individuabili i trattamenti di dati personali con la necessità di non gravare gli operatori di inutili adempimenti.

Infatti, nei riguardi della notificazione, la legge n. 676 ha previsto la possibilità di introdurre forme semplificate e di esonero per le notificazioni sia del trattamento dei dati sia del loro trasferimento all´estero, laddove questi non presentino rischi di danno all´interessato (art. 1, comma 1, lett. f)).

Lo snellimento previsto da tale legge è in linea, peraltro, con l´articolo 18 della direttiva n. 95/46/CE, il quale stabilisce che gli Stati membri "... possono prevedere una semplificazione o l´esonero dall´obbligo di notificazione soltanto qualora si tratti di categorie di trattamento che non siano tali da recare pregiudizio ai diritti e alle libertà della persona interessata ... ".

Peraltro, quest´ultima disposizione prevede che per ogni trattamento sottoposto ad una notificazione semplificata o che benefici di un esonero, lo Stato membro debba precisare necessariamente ".. le finalità, i dati o le categorie di dati trattati, la categoria o le categorie di persone interessate, i destinatari o le categorie di destinatari cui sono comunicati i dati e il periodo di conservazione dei dati ".

Tali "condizioni", fissate su base comunitaria, hanno imposto una descrizione non sintetica di ciascuna situazione presa in considerazione. L´art. 1 del decreto legislativo n. 255/1997 ha perciò individuato analiticamente i casi di esonero e quelli nei quali è possibile effettuare la notificazione in forma semplificata.

In particolare, sono stati esonerati dalla notificazione alcuni trattamenti il cui "tasso di rischio" per la violazione della sfera di riservatezza del cittadino è sembrato minore (trattamenti di dati necessari per assolvere un compito previsto dalle leggi; trattamenti di dati contenuti o pro- venienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque; trattamenti effettuati esclusivamente per la gestione del protocollo; tenuta di rubriche telefoniche o analoghe; trattamenti collegati strettamente a specifiche prestazioni di liberi professionisti o all´attività di piccoli imprenditori; tenuta di albi o elenchi professionali; trattamenti effettuati esclusivamente per l´ordinaria gestione di biblioteche, musei e mostre, nonché per l´organizzazione di iniziative culturali o sportive o per la formazione di cataloghi e bibliografie; trattamenti effettuati da associazioni, fondazioni, comitati; trattamenti effettuati temporaneamente, per esclusive finalità di raccolta di adesioni a proposte di legge d´iniziativa popolare, a richieste di referendum, a petizioni o ad appelli; trattamenti finalizzati all´amministrazione dei condomini).

È stata inoltre riconosciuta ad alcune categorie la possibilità di notificare in forma semplificata, e precisamente: a) ai soggetti pubblici, relativamente al trattamento di dati sensibili o attinenti a determinati provvedimenti giudiziari, autorizzato da una norma di legge o da un provvedimento del Garante; b) ai giornalisti, ai pubblicisti e agli iscritti al registro dei praticanti, riguardo ai trattamenti relativi all´esercizio della loro professione e per l´esclusivo perseguimento delle relative finalità;c) ai soggetti pubblici e privati che trattano dati non sensibili o attinenti a taluni provvedimenti giudiziari, in via temporanea e senza l´ausilio di mezzi elettronici o automatizzati, per finalità strettamente collegate all´organizzazione interna della propria attività.

Il decreto legislativo n. 255 ha quindi previsto che la notificazione in forma semplificata debba contenere in ogni caso l´indicazione delle coordinate del titolare e del responsabile, l´ambito di comunicazione e di diffusione dei dati, la descrizione generale delle misure di sicurezza (che hanno un rilievo particolare secondo la nuova normativa), nonché la menzione della qualità e della legittimazione del soggetto che effettua la notificazione.

Relativamente ai restanti elementi che compongono la notificazione "ordinaria", si è stabilito che il Garante, in conformità al regolamento previsto dall´art. 33, comma 3, della legge 675/1996, debba individuare le notizie che possono essere omesse nella notificazione semplificata, il che è avvenuto attraverso la predisposizione di un modello semplificato.

Il Garante, nelle more dell´entrata in vigore del regolamento in corso di pubblicazione, ha così avvertito la necessità di predisporre un modello che agevolasse e rendesse più omogenee le notificazioni, ed ha contestualmente individuato, quale elemento informativo da indicare comunque, anche per la forma semplificata (oltre a quelli appena citati) i luoghi ove sono custoditi i dati.

È appena il caso di precisare che le semplificazioni e gli esoneri introdotti, conformemente a quanto previsto dalla legge-delega, attengono unicamente al profilo della notificazione e non incidono sugli altri obblighi previsti dalla legge n. 675/1996, quali ad esempio quelli relativi all´attuazione delle misure di sicurezza, all´acquisizione del consenso e all´esercizio dei diritti.

Anche per quanto riguarda le modalità concrete per la notificazione, il Garante si è ispirato da subito alle indicazioni previste dal regolamento in itinere, che denotano, in particolare, una preferenza per l´impiego di tecniche informatiche per la redazione della dichiarazione.

2.1.4. Estensione della disciplina applicabile ai giornalisti
Il legislatore delegato ha attuato tempestivamente il principio di delega che prevedeva eventuali norme corettive e l´estensione delle deroghe per i giornalisti contenute nella legge n. 675/1996, ed ha applicato le deroghe stesse, come si vedrà, ai soggetti iscritti nell´elenco dei pubblicisti o nel registro dei praticanti giornalisti (artt. 26 e 33, legge n. 69/1963), nonché a coloro che trattano dati ai fini della pubblicazione occasionale di articoli, saggi ed altre manifestazioni del pensiero (art. 25, comma 4-bis, legge n. 675/1996).

Si è così attuata la garanzia della libertà di informazione e dell´espressione letteraria ed artistica, prevista dallo stesso art. 9 della direttiva europea, in termini che comprendono anche la notificazione, ma che vanno oltre questo adempimento, in quanto espandono in favore dei predetti soggetti anche le altre disposizioni della legge che bilanciano i diritti della personalità con il fondamentale diritto di informare e di manifestare liberamente il proprio pensiero.

 

22. Le iniziative in corso


22.1. L´individuazione delle misure minime di sicurezza
Le disposizioni che in varia forma regolano la raccolta, l´elaborazione e la divulgazione delle informazioni personali risulterebbero inefficaci qualora non fossero assistite da un´idonea politica della sicurezza che porti a custodire i dati e a gestire i sistemi riducendo al minimo il rischio della perdita anche accidentale delle informazioni o di un accesso non corretto o non consentito.

La legge n. 675/1996 è stata approvata nella consapevolezza dei costi che ciò può comportare, ma ha segnato un´inversione di tendenza nella materia, orientando i titolari delle banche dati, specie automatizzate, verso la convinzione che le spese sostenute rappresentano non tanto un´inutile dispendio di danaro, quanto un prezioso investimento che riduce i danni che possono derivare dalla vulnerabilità dei sistemi o dalla dispersione di dati spesso sensibili.

La sicurezza dei dati e dei sistemi non è più un argomento di mero interesse militare e finisce per interessare anche i soggetti che dispongono di una base limitata di dati.

Il legislatore ha avvertito l´esigenza di una certa gradualità, ed ha perciò previsto alcune disposizioni transitorie che hanno effetti anche sul piano dell´eventuale responsabilità per danno (art. 41, comma 3).

La legge ha poi preso atto della necessità di delimitare per quanto possibile la responsabilità penale, in termini di extrema ratio, ed ha pertanto stabilito che la sanzione penale ora prevista dall´art. 36 della legge non riguarda le condotte lesive del generale obbligo di sicurezza posto dall´art. 15, comma 1, della legge (rilevanti sul piano della responsabilità civile e, se del caso, contabile o disciplinare), ma attiene alla sola inosservanza di alcune circoscritte prescrizioni contenute nel regola- mento di prossima emanazione (il quale deve individuare, tra le più ampie regole di sicurezza fissate dal citato comma 1, alcune prescrizioni ´minimÈ ritenute talmente essenziali da comportare, in ottemperanza dell´obbligo sanzionatorio nascente dalla direttiva europea e dalla Convenzione di Strasburgo, la previsione di una sanzione penale).

Più precisamente, la legge n. 675/1996 ha previsto l´individuazione mediante regolamento del Governo di alcune "misure minime di sicurezza da adottare in via preventiva" per la sicurezza dei dati e dei sistemi (art. 15, comma 2), richiamate armonicamente nella stessa legge n. 249/1997 istitutiva dell´Autorità per le garanzie nelle comunicazioni (art. 1).

Tale indicazione si inquadra nell´ambito delle norme sulla sicurezza contenute, oltre che nella Convenzione di Strasburgo e nella direttiva europea, nella raccomandazione N. R (87) 15 del 17 settembre 1987 del Consiglio d´Europa e nella Convenzione di applicazione dell´Accordo di Schengen.

Il Ministero di grazia e giustizia ha diramato il 17 marzo 1998 lo schema di regolamento predisposto dalla ´Commissione Fanelli´, sottoponendolo al parere dell´Autorità per l´informatica nella pubblica amministrazione e del Garante, il quale si è espresso favorevolmente formulando alcuni suggerimenti.

La materia è apparsa complessa e delicata, in quanto la molteplicità dei sistemi informativi, le differenti configurazioni e le applicazioni informatiche presenti sui diversi sistemi (unitamente alla vastità dei campi di applicazione indagati), hanno richiesto un provvedimento che chiarisse anzitutto i termini del linguaggio (misure minime di sicurezza, strumenti utilizzati, amministratore di sistema, ecc.) e desse indicazioni chiare sulle linee di principio cui deve ispirarsi la sicurezza informatica, senza addentrarsi in elencazioni puntuali di tecniche o di adempimenti che, oltre a richiedere una certa autonomia d´azione, non possono essere ingabbiate in soluzioni che privilegerebbero determinati fornitori o produttori o che diverrebbero rapidamente obsolete in ragione del progresso tecnologico.

Le disposizioni transitorie che graduano il rispetto delle future disposizioni regolamentari (art. 41, commi 3 e 4) contribuiranno a favorire un´applicazione consapevole di prescrizioni che peraltro risultano già osservate di fatto presso strutture pubbliche e private attente alla tematica della sicurezza.

22.2. Attività parlamentari
Il Garante ha seguito i lavori parlamentari relativi ad alcuni provvedimenti, formulando suggerimenti che hanno sottolineato l´opportunità di apportare integrazioni e modifiche a disegni e a progetti di legge in itinere, in considerazione dei riflessi che le relative scelte comportavano sui diritti della personalità e, in particolare, sulle garanzie previste dalla legge n. 675/1996.

In particolare:

a) il Garante ha fornito alcuni spunti di riflessione nel corso dell´iter di approvazione della legge n. 249/1997 istitutiva dell´Autorità per le garanzie nelle comunicazioni, ed ha constatato con soddisfazione la successiva approvazione di alcuni emendamenti che armonizzano la normativa sulle telecomunicazioni con quella relativa ai dati personali, anche per ciò che attiene al coordinamento tra l´operato delle due autorità indipendenti e al ruolo dei pareri e delle proposte che il Consiglio nazionale degli utenti delle telecomunicazioni può ora sottoporre al Garante, qualora attengano alla tutela dei diritti indicati nell´art. 1 della legge n. 675/1996;

b) un´ulteriore significativa cooperazione con le commissioni parlamentari ha riguardato la ratifica della Convenzione istitutiva dell´Ufficio europeo di polizia (Europol), di recente varata definitivamente dal Parlamento, e che conferma la scelta già operata dalla legge n. 675/1996 di individuare nel Garante l´autorità nazionale di garanzia rispetto ai trattamenti di dati personali, analogamente a quanto previsto dalla Convenzione di applicazione dell´Accordo di Schengen;

c) il Garante è stato inoltre richiesto di esprimere il proprio punto di vista in occasione della conversione del decreto-legge 17 febbraio 1998, n. 23, recante disposizioni in materia di sperimentazioni cliniche in campo oncologico. Al riguardo, nel richiamare il quadro introdotto dalla legge n. 675/1996, il Garante ha rappresentato la necessità di tutelare meglio la riservatezza dei pazienti interessati alle terapie, omettendo l´annotazione del relativo nominativo sulle ricette mediche e ogni altra indicazione che potesse rendere conoscibile la patologia. Il Garante ha formulato altre osservazioni in modo da valorizzare il principio del ´consenso informato´ e da rendere più chiaro al paziente l´uso dei dati personali da parte delle autorità sanitarie pubbliche. Il Parlamento ha recepito, nella sostanza, le descritte indicazioni, accogliendo con la legge di conversione due proposte emendative tendenti, l´una, a far omettere, nella compilazione delle ricette, le generalità del paziente, sostituendole con riferimenti numerici collegati a dati d´archivio; l´altra, ad assicurare all´interessato un ´consenso informato´ sulla circostanza che i dati personali possono essere utilizzati presso gli organismi sanitari pubblici a fini di verifiche amministrative e per scopi epidemiologici o di ricerca;

d) il Garante ha inoltre constatato con soddisfazione che il Parlamento ha ritenuto opportuno far acquisire il suo parere in ordine agli schemi dei decreti legislativi previsti dalla legge n. 449/1997 di accompagnamento alla legge finanziaria, relativamente alla fissazione dei criteri di valutazione della situazione economica dei cittadini che richiedono determinate prestazioni sociali (c.d. ´riccometro´), nonché per ciò che riguarda il sistema della partecipazione alla spesa sanitaria e delle relative esenzioni. Il 26 marzo 1998, il Garante ha formulato un parere articolato, invitando il Governo a perfezionare lo schema preliminare sul ´riccometro´ esaminato dal Consiglio dei ministri il 4 marzo scorso, in sostanziale sintonia con alcune osservazioni formulate in Parlamento. In particolare, il Garante ha richiamato l´attenzione sulla necessità di individuare meglio: 1) le prestazioni sociali agevolate oggetto di disciplina; 2) le modalità di acquisizione delle informazioni da parte degli enti erogatori e per lo svolgimento dei controlli successivi; 3) la natura giuridica, regolamentare o meno, di alcuni provvedimenti attuativi; 4) una forma di incisivo coordinamento dell´operato delle amministrazioni e degli enti impegnati nell´attuazione del decreto legislativo, anche per consentire al Garante di formulare una compiuta valutazione dei provvedimenti attuativi in sede di espressione dei pareri che l´art. 31, comma 2, della legge n. 675/1996 prevede riguardo ai provvedimenti che interessano la tematica dei dati personali; 5) maggiori garanzie per il trattamento dei dati sensibili, quali quelli relativi ai portatori di handicap; 6) l´ambito dei controlli, che non è apparso possibile autorizzare genericamente in deroga alle norme vigenti, come pure ipotizzato, considerata anche la non praticabilità del consenso dell´interessato (che lo schema di decreto aveva previsto anche in riferimento all´operato di organi pubblici, nonostante la diversa impostazione seguita, in termini più generali, dalla legge n. 675/1996). Il Garante è inoltre in procinto di esprimersi sul parere che il Governo ha richiesto in materia di spesa sanitaria;

e) nell´ambito dei prossimi impegni, il Garante continuerà a seguire i lavori parlamentari relativi al disegno di legge comunitaria 1995/1997, nonché quelli relativi alla legge comunitaria per il 1998, con particolare riferimento, quanto a quest´ultima, all´eventuale necessità di completare il recepimento delle direttive comunitarie nn. 95/46/CE e 97/66/CE (concernente specificamente il settore delle telecomunicazioni) per le parti eventualmente non considerate in sede di attuazione della legge-delega n. 676/1996;

f) sempre nell´intento di contribuire alla coerenza degli strumenti normativi collegati alla cooperazione europea in materia di giustizia e affari interni il Garante seguirà ulteriormente i lavori relativi al disegno di legge di ratifica della Convenzione sull´uso dell´informatica nel settore doganale (SID), già approvato dalla Camera in prima lettura;

g) sono inoltre all´attenzione del Garante altri provvedimenti attinenti all´obiezione di coscienza, alla tematica delle intercettazioni telefoniche e della tutela dei consumatori, come pure il disegno di legge (A.S. n. 3095), che reca modifiche alle leggi n. 59 e 127/1997 (c.d. ´leggi Bassanini´) nonché disposizioni sul lavoro a distanza e sui documenti di riconoscimento su supporto magnetico.

 

23. Le semplificazioni apportate dal Garante


23.1. La predisposizione dei modelli per le notificazioni e le richieste di autorizzazione
Come si è detto, nelle more dell´entrata in vigore del regolamento sull´organizzazione dell´Ufficio, e nell´ottica di semplificare al massimo l´adempimento della notificazione, il Garante ha ritenuto opportuno predisporre un apposito modello che è stato realizzato su supporto cartaceo e su supporto informatico.

Il modello, predisposto interamente dall´Ufficio, è stato sottoposto previamente al giudizio e ai suggerimenti del pubblico mediante la sua diffusione su organi di stampa specializzati.

Questa scelta, che intendeva rappresentare un ulteriore passo verso una collaborazione più proficua tra pubblica amministrazione e cittadini, ha stimolato vari apprezzamenti per l´impostazione seguita. Sono pervenuti diversi suggerimenti, dei quali si è tenuto conto prima di avviare la prima stampa del modello cartaceo, che l´Istituto Poligrafico e Zecca dello Stato ha curato per n. 500.000 esemplari.

Dal punto di vista grafico, il modello è stato realizzato in due distinti fascicoli, contenenti l´uno le istruzioni per la compilazione e, l´altro, i riquadri da compilare e da inviare al Garante.

È stato compiuto ogni sforzo per contenere il numero delle pagine allo stretto indispensabile (comprensive di vari spazi per consigli, istruzioni, grafici ed altre precisazioni) e per agevolarne la redazione (la quasi totalità delle informazioni richieste può essere inserita barrando alcune caselle o inserendo codici numerici di riferimento).

Il modello è utilizzabile per notificare, a seconda dei casi: a) l´esistenza di trattamenti da dichiarare in forma ordinaria o semplificata; b) la loro cessazione; c) il trasferimento dei dati all´estero; d) le eventuali modifiche da apportare a precedenti notificazioni, che non sono soggette a variazioni temporali.

Il modello si articola in riquadri che corrispondono agli elementi necessari richiesti dalla legge. Il primo fa riferimento all´indicazione del titolare; il secondo ai luoghi ove sono custoditi i dati; il terzo all´ambito di comunicazione e di diffusione dei dati; il quarto alla descrizione generale delle misure adottate per la sicurezza dei dati; il quinto è da compilare nel caso in cui si intenda notificare la cessazione di un trattamento; il sesto, invece, si riferisce ai dati relativi ai responsabili, se designati.

È stato inserito, poi, un apposito riquadro da compilare facoltativamente, relativo a notizie volte a facilitare i rapporti con il Garante. Tra queste, alcune sono di mero carattere strumentale (numeri di telefono o di telefax e indirizzi di posta elettronica relativi a titolari, contitolari ed eventuali responsabili del trattamento). Altre, invece, tendono ad evitare o a semplificare nuove notificazioni in relazione alle informazioni aggiuntive che dovranno essere inserite nella notificazione entro il 1998 per effetto del pieno recepimento della direttiva comunitaria n. 95/46/CE (si tratta, in particolare, delle indicazioni relative alle categorie di servizi, di organismi e di persone fisiche e giuridiche preposte ai trattamenti oggetto di notifica, nonché all´eventuale designazione del titolare quale rappresentante in Italia da parte di altro titolare, stabilito fuori dall´Unione europea, che si avvalga per il trattamento di strumenti situati nel territorio italiano).

La prima parte del modello si conclude con la sottoscrizione da parte delle persone fisiche che notificano in forma semplificata o che dichiarano la cessazione del trattamento.

I riquadri successivi, quindi, devono essere compilati solo dai soggetti tenuti a notificare in forma ordinaria o a dichiarare il trasferimento dei dati all´estero; tali riquadri si riferiscono alle finalità e modalità del trattamento, alla natura dei dati oggetto del trattamento, alle categorie di interessati cui si riferiscono i dati, alla banca o banche dati cui è collegato il trattamento (quest´ultima informazione deve essere fornita anche nelle notificazioni semplificate relative ai giornalisti, pubblicisti e praticanti). Un apposito riquadro riguarda infine il trasferimento di dati all´estero, mentre l´ultimo raccoglie le sottoscrizioni di chi effettua la notificazione in forma ordinaria.

La predisposizione del modello ha permesso anche al Garante di fornire qualche chiarimento riguardo alle figure del titolare e del responsabile, alla nozione di banca dati, a quelle di contitolarità di trattamento e di trattamenti con "finalità correlate", che sono state oggetto nei primi mesi di applicazione della legge di diversi dubbi interpretativi da parte del pubblico.

Per la realizzazione del modello in versione informatica si è fatto ricorso alla collaborazione di una società esterna, incaricata in conformità alle norme di contabilità e di spesa.

Per raggiungere l´obiettivo della massima diffusione del modello nei suoi due supporti, è stata stipulata una convenzione ´principalÈ con l´Ente poste italiane, che li ha distribuiti attraverso la propria rete di uffici presenti sull´intero territorio nazionale.

L´Ufficio ha poi sottoscritto numerose convenzioni dello stesso tipo con vari soggetti (in particolare con associazioni, anche di categoria, editori, liberi professionisti e Internet provider), che sono stati autorizzati a duplicare e a rendere disponibili i modelli sui siti Web, ovvero a distribuirli gratuitamente o dietro corrispettivo di modica entità (£ 6.000 max).

Per quanto riguarda le autorizzazioni al trattamento dei dati sensibili, si è già osservato che il Garante, attraverso le autorizzazioni generali, ha cercato di disciplinare la maggior parte dei trattamenti di questo tipo, individuando precise regole a garanzia degli interessati.

Le prescrizioni sono state delineate previa consultazione di diverse parti interessate, ed è stato fissato il termine di scadenza delle autorizzazioni generali al 30 settembre 1998, in considerazione del fatto che entro il 23 luglio 1998 dovranno essere previste alcune norme integrative in attuazione della legge-delega n. 676.

Di conseguenza, si sono sollevati i soggetti privati, le autorità pubbliche sanitarie e gli enti pubblici economici dall´onere di richiedere di volta in volta un´apposita autorizzazione al Garante, fatte salve le ipotesi in cui la specificità del caso o di alcuni trattamenti giustifichi la puntuale e diversa considerazione da parte del Garante di talune circostanze del tutto particolari o di situazioni eccezionali rappresentate dal richiedente.

Più precisamente, non devono richiedere l´autorizzazione:

a) gli esercenti le professioni sanitarie e gli organismi sanitari pubblici che trattano dati personali idonei a rivelare lo stato di salute dell´interessato, limitatamente ai dati e alle operazioni indispensabili per il perseguimento di finalità di tutela dell´incolumità fisica e della salute dell´interessato medesimo; l´autorizzazione è però necessaria se tali finalità riguardano un terzo o la collettività e l´interessato non abbia fornito il proprio consenso (art. 23);

b) i soggetti pubblici diversi dagli enti pubblici economici, i quali possono trattare dati sensibili o relativi ai provvedimenti indicati in talune disposizioni dell´articolo 686 del codice di procedura penale, qualora ciò sia previsto da un´espressa disposizione di legge nella quale siano specificati i dati che possono essere trattati, le operazioni eseguibili e le rilevanti finalità di interesse pubblico perseguite (artt. 22, comma 3, 24 e 41, comma 5).

Non sono altresì tenuti a richiedere l´autorizzazione i giornalisti, i pubblicisti, i praticanti iscritti nell´apposito registro e i soggetti che effettuano trattamenti temporanei finalizzati esclusivamente alla pubblicazione occasionale di articoli, saggi ed altre manifestazioni del pensiero, in conformità a quanto previsto dall´articolo 25 della legge n. 675/1996.

Fuori da questi casi, qualunque soggetto privato o ente pubblico economico che intenda trattare dati sensibili o relativi ai provvedimenti giudiziari cui fa riferimento l´art. 24 della legge n. 675/1996, è tenuto a richiedere un´apposita autorizzazione al Garante. Per facilitare tale adempimento, l´Ufficio ha predisposto anche in questo caso, sulla falsariga di quanto avvenuto per la notificazione, un modello semplificato contenente i dati ritenuti necessari per valutare il trattamento oggetto della richiesta di autorizzazione.

In particolare, il modello richiede di precisare a quale tipo di dati sensibili e a quali categorie di interessati il trattamento si riferisce; per quali finalità e con quali modalità questo viene effettuato, in quali luoghi e con quali misure di sicurezza sono custoditi i dati oggetto del trattamento. Si chiede poi di conoscere se i dati sono comunicati o diffusi o in connessione con altri trattamenti o banche dati in Italia o in altri Paesi, quali sono le categorie di titolari verso i quali avviene tale flusso e, infine, l´indicazione degli eventuali responsabili del trattamento.

23.2. Le autorizzazioni 
Le autorizzazioni del Garante in materia di trattamento dei dati sensibili rappresentano uno dei punti-cardine del sistema delineato dalla legge n. 675/1996, essendo rivolte a tutelare il ´nucleo centralÈ della riservatezza e dell´identità personale.

La prima radice di una protezione rafforzata si rinviene nell´art. 6 della Convenzione di Strasburgo del 28 gennaio 1981 (ratificata con legge 21 febbraio 1989 n. 98), che prospetta l´esigenza (nell´ambito del diritto interno degli Stati aderenti) di adeguate garanzie concernenti l´elaborazione di categorie speciali di dati, senza però indicarle nel dettaglio.

Successivamente, l´art. 8 della direttiva n. 95/46/CE ha fissato in linea generale il principio del divieto del trattamento di categorie particolari di dati, enumerando, tuttavia, sei ipotesi di eccezioni e di deroghe, le quali sono condizionate ad un presupposto fondamentale quale la previsione di opportune garanzie da parte degli Stati membri.

In realtà, le norme di fonte comunitaria recepiscono ed ampliano orientamenti che già precedentemente erano affiorati, pur se in forme embrionali, in alcune legislazioni contenenti disposizioni particolari sui dati sensibili. Norme antesignane si ritrovano, ad esempio, nell´art. 4 della legge svedese del 1973, nell´art. 3 della legge norvegese del 1978 e nell´art. 31 della legge francese del 1978.

Il nocciolo duro della riservatezza e dell´identità personale, che troviamo racchiuso nell´art. 22 della legge n. 675/1996, si presenta come uno dei capisaldi della sistematica dei dati personali, quale si è venuta enucleando nel suo complesso itinerario di sviluppo.

Già da tempo era communis opinio che i dati concernenti le opinioni e gli orientamenti politici, religiosi, e precipuamente quelli c.d. "super-sensibili" inerenti allo stato di salute e alla vita sessuale, dovessero essere posti al riparo della conoscenza altrui. In un sistema moderno di idonei mezzi di salvaguardia, la riservatezza e l´identità personale si configurano come una situazione giuridica a struttura concentrica, nel cuore della quale emergono con particolare risalto i dati sensibili, mentre nei cerchi più distanti si collocano quelli ordinari (o non sensibili).

Non avendo le normative di fonte comunitaria tipizzato nel dettaglio tutte le garanzie specifiche cui devono attenersi i diritti interni in materia di dati sensibili, le legislazioni di tipo europeo possono distinguersi a seconda che la liceita©del trattamento dipenda precipuamente dal consenso dell´interessato o dall´autorizzazione di un organo di garanzia o da una formula che abbini entrambi questi presupposti (ci si basa, ovviamente, su una visione comparatistica di ordine generale che non può tener conto, ovviamente, delle norme che saranno previste negli altri Paesi in attuazione della direttiva). La prima forma si riscontra, ad esempio, nella legge francese del 1978.

La legge spagnola adopera una formula binaria, secondo cui la liceità del trattamento dei dati individuanti l´ideologia e la religione è condizionata al consenso scritto dell´interessato, mentre la raccolta, il trattamento e la cessione dei dati che fanno riferimento all´origine razziale, alla salute e alla vita sessuale possono aver luogo solo quando lo disponga una legge per ragioni di interesse generale o quando l´interessato vi acconsenta espressamente.

La legge italiana introduce una tutela rafforzata, fondata sulla duplicità dei momenti legittimanti: l´autorizzazione e il consenso.

È da ricordare che, secondo il memorandum allegato alla Convenzione del Consiglio d´Europa n. 108 del gennaio 1981 ("Rapport explicatif concernant la Convention pour la protection des personnes à l´egard du traitement automatisé des données à caractére personnel "), "le garanzie appropriate" di cui all´art. 6 della Convenzione possono essere previste, se del caso, con strumenti diversi da un atto di rango legislativo, purché risultino specifiche ed idonee ad assicurare un elevato livello di protezione.

La scelta del nostro legislatore è rivolta a tale obiettivo, tenendo conto degli ulteriori presupposti fissati dalla direttiva e aggiungendo al consenso dell´interessato l´autorizzazione del Garante.

Notevole è il significato di questa opzione legislativa, in quanto l´art. 22, comma 1, rende non interamente disponibile il trattamento curato da privati ed enti pubblici economici.

L´introduzione dell´autorizzazione consegue all´affievolimento del "mito del consenso", in base alla considerazione che la manifestazione di volontà non è sempre frutto di libera autodeterminazione, e può apparire obbligata per effetto di un rapporto nel quale l´interessato sia in una posizione di debolezza e di svantaggio. Di qui un intreccio di garanzie che non si limitano all´autorizzazione e che si esprimono in misure ed accorgimenti che il Garante può prescrivere anche dopo il rilascio dell´autorizzazione.

L´atto amministrativo di autorizzazione è inserito in una sequenza procedimentale che trae inizio dalla richiesta del titolare interessato e che si conclude con la decisione adottata dal Garante nel termine di trenta giorni (decorsi i quali la mancata pronuncia equivale a rigetto).
Sostanzialmente, la norma originaria disegnava l´autorizzazione come atto inerente principalmente a fattispecie singole, portate di volta in volta a cognizione dell´organo di garanzia.

La formula della decisione resa caso per caso, episodicamente, è apparsa subito inadeguata, sicché attraverso l´attuazione della delega legislativa contenuta nella legge n. 676/1996, (d.lg. 9 maggio 1997, n. 123) è stata introdotta la modifica del comma 7 dell´art. 41 della legge n. 675/1996, in modo da precisare che le autorizzazioni del Garante possono essere rilasciate anche per determinate categorie di titolari o di trattamenti.

Ciò ha segnato un momento altamente innovativo nelle modalità di esercizio dei poteri del Garante, e ha configurato un modello istituzionale ispirato a criteri progrediti e avanzati di disciplina e di gestione degli interessi in gioco e delle molteplici posizioni soggettive presenti nel multiforme settore dei dati personali.

I tratti distintivi della nuova disciplina sono i seguenti:

a) le autorizzazioni per categorie o "collettive" permettono all´organo di garanzia di svolgere la propria azione di tutela con organicità, procedendo attraverso ampie aggregazioni di attività omogenee e rivolgendosi non più in maniera frammentaria e parcellizzata a singoli soggetti, ma ad intere categorie. La generalità dell´approccio valorizza lo strumento autorizzativo, che da provvedimento di disciplina di specifiche situazioni diviene una fonte di regolamentazione più ampia di interessi di rango quasi-normativo;

b) tale metodo conferisce alla formula autorizzatoria la possibilità di individuazione di momenti unitari, che rendono agevole e snella la salvaguardia di principi inderogabili connessi ai dati sensibili;

c) l´autorizzazione collettiva non soltanto si ispira ai principi di snellimento dell´azione amministrativa, ma comporta una notevole semplificazione degli adempimenti spettanti ai soggetti preposti al trattamento e incide positivamente sui loro profili economici, implicando un risparmio nei costi di gestione. Sicché il provvedimento collettivo ben può ricomprendersi in quella formula che la dottrina tedesca definisce come "norme di alleggerimento".

Molti sono i pregi inerenti a tale modus procedendi; e poiché oggi trova credito la formula definitoria del giusrealismo, va inoltre osservato come in una visuale di concretezza della vasta realtà economico-sociale sottostante al trattamento dei dati, e particolarmente a quelli sensibili, il metodo delle autorizzazioni di ampia portata sia rispondente alle esigenze del settore e dotato di efficacia operativa. Altrimenti, il governo degli interessi in gioco diverrebbe difficoltoso, con forte rischio di appesantimento e di inefficienza.

Il ritmo evolutivo del diritto alla riservatezza e all´identità personale sta rivelando un´espansione crescente. L´applicazione di tale diritto nel suo ciclo storico ha lambito dapprima pochi settori, ma ha pervaso poi una molteplicità sempre più fitta di comparti e di ambiti produttivi, professionali, economico-sociali o culturali. Il mercato dei dati conosce spazi sempre più vasti, essendo i confini superati in modo agevole da sofisticate tecniche telematiche ed informatiche.

Tenendo presenti questi criteri, il Garante ritiene che le autorizzazioni collettive rappresentino una prima risposta soddisfacente, realizzando una metodologia moderna ed efficiente.

Le sei autorizzazioni emanate nel 1997 presentano alcuni elementi caratterizzanti che le accomunano in un modello giuridico sostanzialmente omogeneo. Più precisamente:

a) le autorizzazioni sono provvisorie, con validità fino al 30 settembre 1998, poiché sono in fase di predisposizione i citati decreti legislativi per il completamento della disciplina sulla protezione dei dati personali, che dovranno prevedere norme integrative in tema di dati sensibili, anche in attuazione delle raccomandazioni del Consiglio d´Europa;

b) ciascuna autorizzazione consta dei seguenti elementi strutturali: ambito di applicazione; interessati ai quali i dati si riferiscono; finalità del trattamento; categorie di dati; modalità di trattamento; conservazione, comunicazione e diffusione dei dati;

c) un elemento fortemente innovativo risiede nel fatto che l´autorizzazione è rilasciata anche senza richiesta di parte, in correlazione con i caratteri della categorialità e della collettività , i quali rendono superfluo l´atto di impulso del singolo.

Tutte le autorizzazioni sono rivolte a settori di grande ampiezza, quali quelli in cui operano datori di lavoro, medici, organismi sanitari pubblici, organismi di tipo associativo e fondazioni, liberi professionisti, imprese e società concernenti attività bancarie o assicurative, organismi di gestione di fondi o di strutture turistiche e del trasporto, investigatori privati. Va anzi rilevato che mentre alcune autorizzazioni sono monosettoriali, altre sono plurisettoriali fino a coinvolgere vere e proprie costellazioni di comparti aventi tra loro connessioni ed interrelazioni come pure rapporti di integrazione o di complementarietà;

d) un profilo comune alle sei autorizzazioni rilasciate è ´inserimento di un "considerando" concernente la necessità di garantire (anche nell´attuale fase transitoria) il rispetto dei principi relativi ai diritti e alle libertà fondamentali nonché alla dignità delle persone, ´specie per quanto riguarda la riservatezza e l´identità personalÈ. Nella prima fase di applicazione della legge n. 675/1996, l´attenzione del pubblico si era concentrata prevalentemente sull´aspetto della tutela della riservatezza, prestando minore considerazione ad altri aspetti inscindibilmente connessi: eppure l´art. 1 della legge medesima fa riferimento ad un binomio, riservatezza e identità personale. Le autorizzazioni collettive mostrano di tener conto di tale esigenza di completezza della tutela, e di tener presenti entrambi gli aspetti;

e) infine, un tratto caratterizzante delle autorizzazioni è costituito dal rilievo che viene dato, fra i soggetti destinatari, all´impresa.

Com´è noto, nella direttiva europea del 1995 si fa menzione più volte dell´attività economica in generale e, specificamente, dell´impresa.

La direttiva evidenzia il progressivo aumento dello scambio di dati tra imprese stabilite negli Stati membri e sottolinea che il divario di tutela dei diritti e delle libertà personali, garantiti negli Stati membri relativamente al trattamento dei dati personali, potrebbe costituire un ostacolo all´esercizio di una serie di attività economiche su scala comunitaria, falsando la concorrenza. Enuncia poi che gli Stati membri possono precisare le condizioni alle quali i dati personali possono essere utilizzati e comunicati a terzi nell´ambito di attività lecite di gestione corrente delle imprese o di altri organismi.

Nel contesto della legge n. 675/1996, la figura dell´impresa assume un ruolo importante dal lato passivo, essendo i dati che si riferiscono all´impresa stessa tutelati nella loro qualità e genuinità. Sul piano opposto (con riferimento, cioé, ai dati che l´impresa raccoglie) vi sono alcuni spunti interessanti. Tuttavia nelle autorizzazioni del Garante l´impresa assume un rilievo più nitido e viene indicata esplicitamente (assieme ad altri soggetti) fra i destinatari dei provvedimenti stessi.

In particolare, fra i tanti soggetti destinatari dell´autorizzazione n. 5/97, si distinguono le imprese autorizzate all´esercizio dell´attività bancaria o assicurativa e quelle che svolgono attività strettamente connesse e strumentali, nonché le imprese finalizzate a compimenti di sondaggi di opinione, di ricerche di mercato o campionarie. Anche l´autorizzazione n. 1/1997 ricomprende, fra i vari soggetti, le imprese che sono parte di un rapporto di lavoro o che utilizzano prestazioni lavorative anche atipiche e parziali.

In conclusione, può dirsi che le formule autorizzatorie a carattere collettivo esprimono un duplice valore: quello di salvaguardare i diritti fondamentali della persona e quello di considerare gli interessi socialmente rilevanti di strutture portanti della società produttiva e del suo tessuto organizzativo.

Per quanto riguarda l´esame in dettaglio delle autorizzazioni rilasciate, il Garante, come si è detto, alla data del 31 dicembre 1997, ne ha emanate sei: si tratta della n. 1/97 relativa ai rapporti di lavoro (pubblicata sulla Gazzetta Ufficiale della Repubblica italiana n. 272 del 2 novembre 1997), della n. 2/97 attinente ai dati sulla salute e sulla vita sessuale, della n. 3/97 relativa ad associazioni e fondazioni (entrambe pubblicate sulla Gazzetta Ufficiale n. 279 del 29 novembre 1997), della n. 4/97 applicabile ai liberi professionisti (in Gazzetta Ufficiale n. 281 del 2 dicembre 1997), della n. 5/97 concernente diverse categorie di titolari di trattamento - settore bancario, assicurativo, turistico, del trasporto, dei sondaggi, ricerche ed elaborazione dati, della selezione del personale e della mediazione a fini matrimoniali (in Gazzetta Ufficiale n. 294 del 18 dicembre 1997) e la n. 6/97 riguardante gli investigatori privati (in Gazzetta Ufficiale n. 1 del 2 gennaio 1998).

La prima autorizza al trattamento dei dati sensibili di cui all´art. 22 della legge: a) le persone fisiche e giuridiche, le imprese, gli enti, le associazioni e gli organismi che sono parte di un rapporto di lavoro o che utilizzano prestazioni lavorative anche atipiche o temporanee, o che comunque conferiscono un incarico professionale; b) gli organismi paritetici e quelli che gestiscono osservatori in materia di lavoro; c) i medici competenti in materia di igiene e di sicurezza del lavoro.

I dati sensibili che possono essere trattati sono quelli attinenti a: a) lavoratori dipendenti, associati e ai relativi familiari; b) consulenti, liberi professionisti, agenti, rappresentanti e mandatari; c) lavoratori autonomi; d) candidati all´instaurazione dei rapporti di lavoro di cui alle lettere precedenti; e) persone fisiche che ricoprono cariche sociali.

Il trattamento dei dati sensibili deve essere necessario: a) per adempiere o per esigere l´adempimento o per eseguire specifici compiti previsti da leggi, regolamenti o da contratti collettivi anche aziendali, ovvero dalla normativa comunitaria in materia di previdenza e assistenza; b) ai fini della contabilità o della corresponsione di stipendi ed altri emolumenti; c) per il perseguimento delle finalità di salvaguardia della vita o dell´incolumità fisica dell´interessato o di un terzo; d) per far valere o difendere un diritto in sede giudiziaria.

I dati oggetto del trattamento, così come la loro conservazione e le logiche di trattamento, non possono eccedere gli obblighi o le finalità sopradescritti.

La diffusione dei dati idonei a rivelare lo stato di salute è consentita solo se ciò è necessario per finalità di prevenzione, accertamento o repressione dei reati, con l´osservanza delle norme che regolano la materia. I dati idonei a rivelare la vita sessuale non possono essere diffusi.
Gli altri dati sensibili possono essere comunicati e, ove necessario diffusi, nei limiti strettamente pertinenti agli obblighi, ai compiti e alle finalità sopra ricordati.

Restano fermi gli obblighi previsti da norme di legge o di regolamento ovvero dalla normativa comunitaria, che stabiliscono divieti o limiti in materia di trattamento dei dati personali, con particolare riferimento all´art. 8 della legge n. 300/1970 (divieto per il datore di lavoro di effettuare indagini sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione della sua attitudine professionale), all´art. 6 della legge n. 135/1990 (divieto per il datore di lavoro di effettuare indagini sul lavoratore tese ad accertare l´esistenza di uno stato di sieropositività), alle norme in materia di pari opportunità o volte a prevenire discriminazioni.

Il provvedimento n. 2/97, invece, autorizza al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale: a) gli esercenti le professioni sanitarie, qualora tale trattamento sia indispensabile per tutelare l´incolumità di un terzo o della collettività e l´interessato non abbia prestato il proprio consenso per iscritto; b) gli organismi e le case di cura private, nonché ogni altro soggetto privato, purché gli interessati abbiano prestato il consenso; c) gli organismi sanitari pubblici, compresi i soggetti pubblici che agiscano nella qualità di autorità sanitarie, qualora ricorrano alcune particolari condizioni.

L´autorizzazione, in particolare, viene rilasciata: a) ai medici-chirurghi, agli odontoiatri e agli altri esercenti le professioni sanitarie iscritti in albi o in elenchi; b) al personale sanitario infermieristico, tecnico e della riabilitazione che eserciti l´attività in regime di libera professione; c) alle istituzioni e agli organismi sanitari privati, anche quando non operino in rapporto con il Servizio sanitario nazionale, ad alcune particolari condizioni; d) alle persone fisiche o giuridiche, agli enti, alle associazioni e agli altri organismi privati per scopi di ricerca scientifica, anche statistica, finalizzata alla tutela della salute dell´interessato, di terzi o della collettività; e) alle organizzazioni di volontariato o assistenziali, limitatamente ai dati e alle operazioni indispensabili per perseguire scopi previsti nelle rispettive norme statutarie; f) alle comunità di recupero e di accoglienza, alle case di cura e di riposo; g) agli enti, alle associazioni e alle organizzazioni religiose riconosciute, ivi comprese le confessioni religiose e le comunità religiose, relativamente ai dati e alle operazioni indispensabili per perseguire scopi previsti nelle rispettive norme statutarie, se esistenti; h) alle persone fisiche o giuridiche, alle imprese, agli enti, alle associazioni e agli altri organismi, limitatamente ai dati e alle operazioni indispensabili per adempiere agli obblighi anche precontrattuali derivanti da un rapporto di fornitura all´interessato di beni, di prestazioni o di servizi; i) ai gestori di impianti e strutture sportive, limitatamente ai dati e alle operazioni indispensabili per accertare l´idoneità fisica alla partecipazione ad attività sportive o agonistiche; l) ai fini dello svolgimento delle investigazioni di cui all´art. 38 delle norme di attuazione del codice di procedura penale; m) per far valere o difendere un diritto in sede giudiziaria, sempreché tale diritto sia di rango pari a quello dell´interessato.

Il trattamento può avere per oggetto i dati strettamente pertinenti agli obblighi, ai compiti o alle finalità sopra menzionate, e può comprendere le informazioni relative a stati di salute pregressi.

Particolare attenzione è stata riservata, attraverso stringenti limitazioni, alle informazioni relative ai nascituri nonché ai dati genetici, anticipando le più articolate regole che dovranno essere dettate anche in attuazione della Raccomandazione N. R (97) 5 del Consiglio d´Europa.

Per le modalità di trattamento, la conservazione dei dati e la loro comunicazione vengono impiegate previsioni e formule analoghe a quelle utilizzate per l´autorizzazione n. 1/97; unica eccezione di rilievo è l´introduzione della possibilità di diffondere i dati idonei a rivelare la vita sessuale, nel caso in cui tale diffusione riguardi dati resi manifestamente pubblici dall´interessato e per i quali il medesimo non abbia manifestato successivamente la sua opposizione per motivi legittimi.

Anche in questo caso, restano fermi gli obblighi previsti da norme di legge o di regolamento, ovvero dalla normativa comunitaria, che stabiliscono divieti o limiti in materia di trattamento dei dati personali, con particolare riferimento all´art. 5, comma 2, della citata legge n. 135/1990 (obbligo di effettuare la rilevazione statistica dell´infezione da HIV con modalità che non consentano l´identificazione della persona), all´art. 11 della legge n. 194/1978 (obbligo per l´ente ospedaliero nel quale si sia effettuata un´interruzione di gravidanza di inviare al medico provinciale una dichiarazione che non faccia menzione dell´identità della donna), all´art. 734-bis del codice penale (divieto di divulgazione non consensuale delle generalità o dell´immagine della persona offesa da atti di violenza sessuale). Restano altresì fermi gli obblighi di legge che vietano la rivelazione senza giusta causa e l´impiego a proprio o altrui profitto delle notizie coperte dal segreto professionale, nonché gli obblighi deontologici previsti, in particolare, dal codice di deontologia medica.

Con il provvedimento n. 3/97 è stato poi autorizzato il trattamento di dati sensibili da parte di organismi di tipo associativo e fondazioni, con particolare riferimento a: a) associazioni anche non riconosciute, ivi comprese le confessioni religiose e le comunità religiose, i partiti e i movimenti politici, le associazioni e le organizzazioni sindacali, i patronati, le associazioni di categoria, le organizzazioni assistenziali o di volontariato, nonché le federazioni e confederazioni nelle quali tali soggetti sono riuniti; b) le fondazioni, i comitati ed ogni altro ente, consorzio od organismo senza scopo di lucro, dotati o meno di personalità giuridica, ivi comprese le organizzazioni non lucrative di utilità sociale (Onlus); c) le cooperative sociali e le società di mutuo soccorso.

L´autorizzazione è rilasciata per il perseguimento di scopi determinati e legittimi individuati dall´atto costitutivo, dallo statuto o dal contratto collettivo, ove esistenti, nonché per far valere o difendere un diritto in sede giudiziaria di rango pari a quello dell´interessato.

Qualora tali soggetti, per perseguire le predette finalità, si avvalgano di persone giuridiche o di altri organismi con scopo di lucro (es. società editoriali o centri di assistenza fiscale), l´autorizzazione opera anche nei confronti di questi ultimi.

Il trattamento può riguardare i dati sensibili attinenti: a) agli associati, ai soci e, se necessario, ai relativi familiari e conviventi; b) agli aderenti, ai sostenitori o sottoscrittori, nonché ai soggetti che presentano richiesta di ammissione o di adesioni o che hanno contatti regolari con l´associazione, la fondazione o l´organismo; c) ai soggetti che ricoprono cariche sociali o onorifiche; d) ai beneficiari, agli assistiti e ai fruitori delle attività dei servizi prestati dall´associazione.

L´autorizzazione riguarda i dati sensibili, ad eccezione di quelli idonei a rivelare lo stato di salute e la vita sessuale ai quali si riferisce l´autorizzazione n. 2/97.

Per quanto concerne le modalità del trattamento e la conservazione dei dati, si fa sostanzialmente riferimento a quanto già previsto per le precedenti autorizzazioni.

I dati sensibili trattati possono essere comunicati e ove necessario diffusi, solo se strettamente pertinenti alle finalità, agli scopi e agli obblighi sopra individuati.

Restano anche in questi casi fermi gli obblighi previsti da norme di legge o di regolamento, ovvero dalla normativa comunitaria, che stabiliscono divieti o limiti in materia di trattamento dei dati personali, nonché le norme volte a prevenire discriminazioni, con particolare riferimento a quelle contenute nel decreto-legge n. 122/1993, convertito, con modificazioni, dalla legge n. 205/1993, in materia di discriminazioni per motivi razziali, etnici, nazionali o religiosi e di delitti di genocidio.

Con il provvedimento n. 4/97 è stato poi autorizzato il trattamento dei dati sensibili da parte dei liberi professionisti tenuti ad iscriversi in albi o elenchi per l´esercizio di un´attività professionale in forma individuale o associata.

Il trattamento può riguardare i dati sensibili relativi ai clienti. I dati sensibili relativi ai terzi possono essere trattati ove ciò sia strettamente indispensabile per l´esecuzione di specifiche prestazioni professionali richieste dai clienti per scopi determinati e legittimi.

Il trattamento può essere effettuato ai soli fini dell´espletamento di un incarico che rientri tra quelli che il libero professionista può eseguire in base al proprio ordinamento professionale e in particolare: a) per curare gli adempimenti in materia di lavoro, di previdenza ed assistenza sociale e fiscale nell´interesse di altri soggetti che sono parte di un rapporto di lavoro dipendente o autonomo, ai sensi della legge n. 12/1979 che disciplina la professione di consulente del lavoro; b) per far valere o difendere un diritto in sede giudiziaria, anche da parte di terzi; c) ai fini dello svolgimento da parte del difensore nel procedimento penale delle investigazioni di cui all´art. 38 delle norme di attuazione del codice di procedura penale, anche a mezzo di sostituti e di consulenti tecnici.

Le informative da inviare agli interessati devono permettere loro di comprendere agevolmente se il titolare del trattamento è un singolo professionista, ovvero se ricorre un´ipotesi di contitolarità tra più liberi professionisti.

Anche in questo caso, per quanto riguarda le modalità di conservazione, comunicazione e diffusione dei dati vengono mantenuti gli accorgimenti già indicati con le altre autorizzazioni generali.

L´autorizzazione n. 5/97 ha riguardato invece il trattamento dei dati sensibili, fatta eccezione per quelli idonei a rivelare la vita sessuale, effettuato da categorie operanti in diversi settori.

In particolare, nell´ambito delle attività bancarie, assicurative, di gestione di fondi e del settore turistico o del trasporto, sono state considerate le seguenti realtà: a) imprese autorizzate all´esercizio dell´attività bancaria o assicurativa ed organismi che le riuniscono; b) società ed altri organismi che gestiscono fondi pensione o di assistenza, ovvero fondi o casse di previdenza; c) società ed altri organismi che gestiscono fondi comuni di investimento o di valori mobiliari; d) società ed altri organismi che emettono carte di credito o altri mezzi di pagamento, o che ne gestiscono le relative operazioni; e) imprese che svolgono autonome attività strettamente connesse e strumentali a quelle indicate nelle precedenti lettere.

Nei loro confronti, l´autorizzazione è rilasciata per adempiere agli obblighi anche precontrattuali assunti nei rispettivi settori di attività, nonché per adempiere o esigere l´adempimento ad obblighi previsti dalla legge, dai regolamenti, dalla normativa comunitaria o dai contratti collettivi, ovvero prescritti da autorità di vigilanza o di controllo.

Il trattamento può riguardare i dati sensibili attinenti ai soggetti ai quali sono forniti i beni, le prestazioni o i servizi in misura strettamente pertinente a quanto specificamente richiesto dall´interessato.

Entro tali limiti di pertinenza, i dati possono essere comunicati a soggetti pubblici o privati, nonché, ove necessario, ai familiari dell´interessato. I titolari del trattamento devono conservare un elenco dei destinatari delle comunicazioni effettuate recante un´annotazione delle specifiche categorie di dati comunicati. Non è possibile diffondere i dati sensibili trattati.

Nel settore dei sondaggi e delle ricerche, con il medesimo provvedimento n. 5/97 sono state autorizzate le imprese, le società, gli istituti e gli altri organismi o soggetti privati che effettuano tali trattamenti ai soli fini del compimento di sondaggi di opinione, di ricerche di mercato o di altre ricerche campionarie. Questi devono essere effettuati per scopi puntualmente determinati e legittimi, noti all´interessato.

I dati personali di natura sensibile possono essere trattati solo se il trattamento di dati anonimi non permette di raggiungere i suoi scopi.

Il trattamento successivo alla raccolta non deve permettere di identificare gli interessati, neanche indirettamente mediante un riferimento a qualsiasi altra informazione. I dati personali, individuali o aggregati, devono essere distrutti o resi anonimi subito dopo la raccolta, salvo un brevissimo periodo entro il quale possono essere utilizzati per verificare la veridicità o l´esattezza dei campioni.

In linea di principio, i dati sensibili autorizzati da questo provvedimento non possono essere comunicati o diffusi. È  possibile comunicare o diffondere i campioni del sondaggio o della ricerca in forma individuale  aggregata, sempreche¨ non possano essere associati, anche a seguito di trattamento, ad interessati identificati o identificabili.

Nel campo dell´attività di elaborazione di dati, sono stati autorizzati gli istituti, le imprese, le società e gli altri organismi o soggetti privati, titolari autonomi di un´attività svolta nell´interesse di altri soggetti, e che presuppone l´elaborazione di dati ed altre operazioni di trattamento eseguite in materia di lavoro ovvero a fini contabili, retributivi, previdenziali, assistenziali e fiscali.

Per tali trattamenti è stato fatto esplicito riferimento alle precedenti autorizzazioni n. 1/97 e n. 4/97 in materia di rapporti di lavoro e liberi professionisti.

Nel settore dell´attività di selezione del personale, l´autorizzazione è stata rilasciata alle imprese, alle società, agli istituti e agli altri organismi o soggetti privati, titolari autonomi di un´attività svolta nell´interesse di terzi ai soli fini dalla ricerca o della selezione di personale.

Il trattamento può riguardare i dati idonei a rivelare lo stato di salute dei candidati all´instaurazione di un rapporto di lavoro o di collaborazione, solo se la loro raccolta è giustificata da scopi determinati e legittimi ed è strettamente indispensabile per instaurare tale rapporto. Sono esclusi dall´autorizzazione, oltre i trattamenti dei dati idonei a rivelare i dati sensibili diversi da quelli inerenti allo stato di salute, quelli relativi  fatti non rilevanti ai fini della valutazione dell´attitudine professionale del lavoratore e quelli effettuati in violazione delle norme in materia di pari opportunità o volte a prevenire discriminazioni.

I dati possono essere comunicati nei limiti strettamente pertinenti al perseguimento delle finalità sopra ricordate a soggetti pubblici o privati che siano specificamente menzionati nella dichiarazione di consenso dell´interessato. I dati non possono essere diffusi.

Sempre con il medesimo provvedimento, sono stati autorizzati al trattamento di dati sensibili le imprese, le società, gli istituti e gli altri organismi o soggetti privati che esercitano anche attraverso agenzie autorizzate, un´attività di mediazione a fini matrimoniali o di instaurazione di un rapporto di convivenza.

Il trattamento è autorizzato ai soli fini dell´esecuzione dei singoli incarichi conferiti, e può riguardare i dati sensibili attinenti alle persone direttamente interessate al matrimonio o alla convivenza. Tali dati devono essere forniti personalmente dai medesimi interessati e possono essere comunicati nei limiti strettamente pertinenti all´esecuzione degli specifici incarichi ricevuti. I titolari devono conservare un elenco dei destinatari delle comunicazioni effettuate recante un´annotazione delle specifiche categorie di dati comunicati. L´eventuale diffusione, anche per via telematica, di taluni dati sensibili deve essere oggetto di apposita richiesta di autorizzazione al Garante.

Il provvedimento n. 5/97 detta, poi, norme comuni a tutti i trattamenti autorizzati, per quanto riguarda le modalità di trattamento e la conservazione dei dati, sostanzialmente conformi a quelle delle precedenti autorizzazioni.

L´ultimo provvedimento adottato, il n. 6/97, si applica al trattamento di alcuni dati sensibili da parte degli investigatori privati effettuato unicamente: a) per permettere a chi conferisce uno specifico incarico di far valere o difendere in sede giudiziaria un proprio diritto di rango pari a quello del soggetto al quale si riferiscono i dati, ovvero un diritto della personalità o un altro diritto fondamentale; b) su incarico di un difensore nell´ambito del procedimento penale, per ricercare ed individuare elementi a favore del relativo assistito da utilizzare ai soli fini dell´esercizio del diritto alla prova.

Il trattamento può riguardare i dati idonei a rivelare lo stato di salute e la vita sessuale, qualora ciò sia strettamente indispensabile per eseguire specifici incarichi conferiti per scopi determinati e legittimi nell´ambito delle finalità sopra menzionate.

Gli investigatori non possono intraprendere di propria iniziativa investigazioni, ricerche o altre forme di raccolta di tali dati se non sulla base di un apposito incarico conferito per iscritto, anche da un difensore, per far valere o difendere in sede giudiziaria un diritto di rango pari a quello del soggetto al quale si riferiscono i dati.

Il trattamento dei dati, oltre ad una serie di precise indicazioni contenute nell´autorizzazione, deve rispettare le prescrizioni di un apposito codice di deontologia e di buona condotta che il Garante è in procinto di promuovere ai sensi degli artt. 22, comma 4 e 31, comma 1, lett. h) della legge n. 675/1996.

I dati in questione possono essere conservati per un periodo non superiore a quello strettamente necessario per eseguire l´incarico ricevuto. Conclusa l´attività investigativa, il trattamento deve cessare in ogni sua forma, fatta eccezione per l´immediata comunicazione al difensore o al soggetto che ha conferito l´incarico.