I - Stato di attuazione del Codice in materia di protezione dei dati...
I - Stato di attuazione del Codice in materia di protezione dei dati personali - Relazione 2004 - 9 febbraio 2005
I - Stato di attuazione del Codice in materia di protezione dei dati personali - Relazione 2004 - 9 febbraio 2005
1 Il quadro normativo
1.1. L´entrata in vigore del Codice
L´entrata in vigore del "Codice in materia di protezione dei dati personali" (decreto legislativo 30 giugno 2003, n. 196, di seguito, semplicemente, "Codice"), avvenuta il 1° gennaio 2004, ha rappresentato una tappa fondamentale per la tutela dei diritti della persona e ha concluso il processo di recepimento delle direttive europee in materia (95/46/CE e 2002/58/CE). È stato così completato il complesso percorso di razionalizzazione della disciplina inizialmente introdotta con la legge 31 dicembre 1996, n. 675, riunendo in un unico testo una regolamentazione che si era, nel tempo, stratificata a seguito di numerosi interventi modificativi e integrativi.
In un quadro complessivo di rafforzate garanzie il riconoscimento del diritto alla protezione dei dati personali (art. 1 del Codice), in armonia con quanto ora previsto nel Trattato che ha adottato la Costituzione europea-la nuova disciplina ha provveduto a semplificare alcuni adempimenti e ad attribuire un ruolo significativo, anche in una prospettiva di deflazione legislativa, ai codici di deontologia e di buona condotta, soggetti alla preventiva verifica da parte del Garante.
1.2. Le modifiche (già) apportate
Devono comunque rilevarsi alcuni segnali che sembrano muoversi in controtendenza rispetto al progetto di "stabilizzare" le regole di protezione dei dati personali.
Già nel primo anno di vigenza del Codice, infatti, sono stati introdotti alcuni, seppur circoscritti, interventi modificativi in settori di rilievo, e segnatamente in relazione al regime dei dati relativi al traffico telefonico, nel contesto sanitario e con riferimento alle ripetute proroghe dei termini per adottare le misure minime di sicurezza e i regolamenti sul trattamento dei dati sensibili da parte dei soggetti pubblici.
Importanza particolare assumono le modifiche legislative apportate all´art. 132 del Codice (prima della sua entrata in vigore) con riguardo alla materia, di rilevanza costituzionale, della conservazione dei dati relativi al traffico telefonico per finalità di accertamento e di repressione dei reati (decreto-legge 24 dicembre 2003, n. 354, come modificato dalla legge di conversione 26 febbraio 2004, n. 45). Questa tematica si è riproposta anche nel contesto delle misure adottate per contrastare la diffusione telematica abusiva di materiale audiovisivo, nell´ambito del dibattito parlamentare relativo alla materia regolata nel decreto-legge 22 marzo 2004, n. 72 (convertito con legge 21 maggio 2004, n. 128). |
La conservazione dei dati di traffico |
Il profilo della conservazione dei dati di traffico telefonico e telematico è nuovamente riemerso, con tutte le criticità che lo caratterizzano, nel corso delle audizioni effettuate in sede d´esame del disegno di legge del Governo recante disposizioni in materia di lotta contro lo sfruttamento sessuale dei bambini e la pedopornografia anche a mezzo Internet (AC 4599) (in merito si rinvia al par. 15.2).
Alcune modifiche al Codice -a brevissima distanza di tempo dalla sua entrata in vigore- hanno riguardato altresì i trattamenti di dati personali effettuati in ambito sanitario. In merito a tali interventi il Garante aveva peraltro manifestato i propri dubbi al Senato, trattandosi di modifiche in alcuni casi non necessarie (ad esempio, in quanto volte ad esonerare i medici di base dall´adozione di misure alle quali essi non erano comunque tenuti) e in altri non opportune (in quanto suscettibili di incrinare gravemente l´armonia del quadro normativo). |
Il trattamento di dati idonei a rivelare lo stato di salute in ambito sanitario |
Con tali innovazioni è stata esclusa l´applicabilità ai medici di base dell´obbligo di notificare al Garante alcuni trattamenti effettuati a fini sanitari (art. 37, comma1-bis, del Codice) e di alcune disposizioni del Codice (v. ora l´art. 83, comma 2-bis ) a garanzia dell´"anonimato" del paziente in sala d´attesa (già, peraltro, limitato sin dall´origine alle sole "strutture" sanitarie). Inoltre, si è subordinata l´omissione delle generalità del paziente in alcune ricette mediche ad un´esplicita richiesta dell´interessato (art. 89, comma 2-bis).
È stato poi soppresso l´art. 181, comma 1, lett. e), del Codice, che prevedeva il termine del 30 settembre 2004 per adottare modalità semplificate per l´acquisizione del consenso e il rilascio dell´informativa previste dall´art. 76, comma 2; con il risultato, quindi, di cancellare inopportunamente il termine transitorio che era stato previsto a favore dei soggetti contemplati nella disposizione (decreto-legge 29 marzo 2004, n. 81, convertito con modificazioni con legge 26 maggio 2004, n. 138; pochi mesi prima, un analogo provvedimento d´urgenza non era stato approvato alla Camera: decreto-legge 21 gennaio 2004, n. 10).
Nel corso dei lavori di conversione del decreto-legge è stato anche presentato, e poi ritirato, un emendamento parlamentare che prevedeva una sorta di "consenso presunto" del paziente al trattamento dei propri dati personali. L´Autorità ha evidenziato al Governo e al Parlamento il contrasto di tale disposizione con i principi normativi, anche comunitari, in materia di consenso -che deve essere comunque "esplicito", oltre che inequivoco-, soprattutto in relazione ai dati sensibili. Tuttavia, a conclusione dei lavori, il Governo ha accettato come raccomandazione una proposta di ordine del giorno in base alla quale dovrebbero essere adottate, in via transitoria, misure che consentano ai pazienti già in carico ai medici di base di esprimere il consenso mediante una procedura di silenzio-assenso.
Nel pur breve lasso di tempo dall´entrata in vigore del Codice, ricorrendo alla decretazione d´urgenza, si sono differiti i termini per l´adempimento di taluni obblighi posti a garanzia dell´interessato, relativamente all´applicazione delle "nuove" misure minime di sicurezza (per l´introduzione delle quali il Codice aveva fissato il termine del 30 giugno 2004 all´art. 180, comma 1) e all´adozione dei regolamenti in materia di dati sensibili da parte dei soggetti pubblici (su entrambi gli argomenti si vedano pure, rispettivamente, i par. 16.1 e 2.2 ). |
Proroga dei termini |
Con specifico riguardo alle misure minime di sicurezza, malgrado la scadenza originariamente fissata potesse ritenersi congrua rispetto alle esigenze prospettate (tanto più che era previsto il più ampio termine del 1° gennaio 2005 per i soggetti che alla data di entrata in vigore del Codice non disponessero di strumenti elettronici tali da consentire l´immediata applicazione delle misure di sicurezza), essa ha subito, in appena un anno, un duplice rinvio: inizialmente al 31 dicembre 2004 e, quindi, al 30 giugno 2005. Analogamente, è stato prorogato anche il termine per l´adozione delle misure di sicurezza da parte dei soggetti che alla data di entrata in vigore del Codice disponevano di strumenti elettronici "obsoleti": prima al 31 marzo 2005 e, da ultimo, al 30 settembre 2005 (art. 3, decreto-legge 24 giugno 2004, n. 158, convertito, con modificazioni, con legge 27 luglio 2004, n. 188; decreto-legge 9 novembre 2004, n. 266, convertito, con modificazioni, con legge 27 dicembre 2004 n. 306). |
Adozione delle misure minime di sicurezza |
Il citato decreto-legge n. 158/2004 ha prorogato anche il termine previsto dal Codice per approvare i regolamenti delle pubbliche amministrazioni in materia di dati sensibili e giudiziari, originariamente fissato al 30 settembre 2004 (art. 181, comma 1, lett. a). Si tratta dell´ennesimo rinvio dell´attuazione di una disciplina (che riguarda un settore assai delicato), prevista ora dagli artt. 20 e 21 del Codice, ma introdotta già con il d.lg. n. 135/1999 e rimasta largamente inattuata, come più volte rilevato dal Garante che ha peraltro richiamato sul punto l´attenzione del Governo (v., fra l´altro, Provv. 17 gennaio 2002). |
Adozione dei regolamenti sul trattamento dei dati sensibili e giudiziari |
1.3. Legge finanziaria 2005 e altre novità normative con riflessi in materia di protezione dei dati personali
Nel corso dell´anno sono stati approvati altri provvedimenti normativi che riguardano la materia del trattamento dei dati personali e l´attività del Garante.
Si fa riferimento, in particolare, alla legge finanziaria per il 2005 (legge 30 dicembre 2004, n. 312, alla G.U. 31 dicembre 2004, n. 306, S.O. n. 193), che prevede la trasmissione per via telematica del certificato di diagnosi sull´inizio e sulla durata presunta della malattia da parte del medico curante all´Inps (art. 1, comma 149) ovvero dei cedolini per il pagamento delle competenze stipendiali del personale della pubblica amministrazione (art. 1, comma 197); presenta poi profili di sovrapposizione con alcune norme del Codice la disciplina, dettata a fini di contrasto di fenomeni di elusione fiscale, che mira a circoscrivere la riutilizzazione commerciale dei documenti e dei dati acquisiti dagli archivi catastali o da pubblici registri immobiliari (art. 1, commi 367-373). La predetta legge, infine, modificando l´articolo 50 del decreto-legge 30 settembre 2003, n. 269, convertito dalla legge 24 novembre 2003, n. 326, prevede che la tessera sanitaria sia consegnata a tutti gli assistiti entro il 31 dicembre 2005.
La medesima legge finanziaria ha poi ridotto considerevolmente le risorse finanziarie a disposizione del Garante, comportando gravi difficoltà per il funzionamento dell´Ufficio, come ampiamente segnalato dal Garante al Governo e al Parlamento durante i lavori di approvazione del disegno di legge.
Di particolare interesse, inoltre, è una recente ordinanza del Presidente del Consiglio dei ministri, approvata previo parere del Garante, finalizzata alla localizzazione dei cittadini italiani presenti nelle aree colpite dai recenti eventi calamitosi che hanno investito il sud-est asiatico (ordinanza n. 3390 del 29 dicembre 2004, in G.U. 4 gennaio 2005, n. 2). Con tale provvedimento, i gestori di sistemi di telefonia sono stati autorizzati a fornire al Ministero degli affari esteri dati e informazioni utili per rintracciare i titolari di utenze di telefonia mobile presenti nei luoghi del disastro.
In materia di Carta nazionale dei servizi si registra, infine, l´adozione del d.m. 6 dicembre 2004 (adottato dal Ministro dell´interno, di concerto con i Ministri dell´innovazione e le tecnologie, nonchè dell´economia e delle finanze), recante regole tecniche e di sicurezza relative alle tecnologie e ai materiali utilizzati per la produzione della "Carta" medesima. Il decreto individua altresì i dati personali registrati nella memoria riscrivibile del microcircuito, le misure di sicurezza, i servizi e le infrastrutture delle pubbliche amministrazioni coinvolte nel circuito di emissione.
1.4. Il monitoraggio delle leggi regionali
Nel corso dell´anno si è proceduto, con riferimento alle disposizioni più rilevanti in materia di protezione dei dati personali, a monitorare le leggi regionali pubblicate sulla Gazzetta Ufficiale.
I testi sui quali è stata effettuata un´analisi più approfondita riguardano disposizioni relative ai settori più vari, in ragione del carattere ampio e trasversale della disciplina di protezione dei dati personali.
Tra le questioni più rilevanti esaminate vi è quella dei limiti della potestà legislativa nelle materie riservate alle regioni rispetto a quella esclusiva dello Stato in tema di protezione dei dati personali alla luce dell´art. 117 Cost. (così come novellato dalla legge costituzionale 18 ottobre 2001, n. 3). Trattasi, com´è noto, di un tema al centro del vivace dibattito al quale l´Autorità è stata chiamata a prendere parte in passato (per i profili di propria competenza), anche con l´audizione del Presidente del Garante alla Commissione affari costituzionali della Camera dei deputati, avvenuta il 30 ottobre 2001 (Indagine conoscitiva sugli effetti nell´ordinamento delle revisioni del titolo V della parte II della Costituzione).
Sotto tale profilo è stata in particolare registrata la crescente adozione di provvedimenti legislativi che, pur attenendo direttamente a materie di competenza regionale, contengono disposizioni anche in materia di protezione dei dati personali; si tratta, tuttavia, di discipline a volte ripetitive rispetto alla legislazione nazionale e quindi inidonee ad incidere sul livello di protezione dei diritti della persona garantito dalla legislazione comunitaria e da quella statale (salvo riproporne caratteri e problematiche).
A titolo esemplificativo, si menziona la normativa in materia di prestazioni sociali agevolate che, com´è noto, prevede il ricorso all´indicatore della situazione economica equivalente ai fini della redazione della graduatoria dei beneficiari (cfr. d.lg. 31 marzo 1998, n. 109 successivamente integrato dal d.lg. 3 maggio 2000, n. 130 e dai regolamenti applicativi). A questo proposito, è stato rilevato che la genericità e la frammentarietà della legislazione nazionale in materia di prestazioni sociali agevolate, a suo tempo evidenziate dall´Autorità (cfr. Pareri 27 marzo 1998, 26 maggio 1999 e 5 aprile 2000), si riflettono sulle legislazioni regionali in merito all´esatta individuazione delle medesime, degli enti erogatori e dei soggetti, anche privati, legittimati al trattamento dei dati, delle condizioni e dei limiti delle interconnessioni con gli archivi pubblici e privati.
Nell´evidenziare la sostanziale conformità a volte anche letterale tra le disposizioni regionali e quelle statali, è emersa anche, con riferimento alla normativa sugli enti locali -che riconosce ai consiglieri comunali e provinciali il diritto di ottenere dalle amministrazioni di appartenenza notizie ed informazioni connesse all´espletamento del proprio mandato (art. 43, comma 2, d.lg. 18 agosto 2000, n. 267)- la dibattuta questione dei limiti del predetto diritto di accesso; mentre alcune pronunce giurisprudenziali (per esempio Cons. Stato, 4 maggio 2004, n. 2716) lo configurano in modo piuttosto ampio (ritenendo ad esempio che la motivazione relativa alla richiesta di accesso avanzata "per l´espletamento del mandato" basti a giustificarla, senza che occorra alcuna ulteriore precisazione circa le specifiche ragioni della richiesta), altre significative prese di posizione evidenziano, al contrario, una delimitazione dell´accesso ai soli dati personali comunque pertinenti e non eccedenti rispetto alle finalità perseguite nel caso specifico dal richiedente.
Anche con riferimento alla legislazione regionale, in più casi è emersa la mancata, o inadeguata specificazione dei dati sensibili oggetto di trattamento, che necessitano pertanto di un´ulteriore individuazione con atto regolamentare ai sensi dell´art. 20, comma 2, del Codice, nei pur più ampi termini temporali accordati dal menzionato decreto-legge n. 158/2004.
È allo studio dell´Autorità la questione se ipotesi di accordi tra Stato e regioni nonchè, più specificamente, forme di intesa su materie che presentino riflessi rilevanti sulla riservatezza delle persone siano soggette al preventivo parere del Garante (cfr. art. 154, comma 4, del Codice).
1.5. Lavori parlamentari
Oltre ai provvedimenti normativi approvati, menzionati nel paragrafo precedente, vanno segnalati alcuni lavori parlamentari in corso, anch´essi di interesse per la materia della protezione dei dati personali. In proposito vanno ricordati, in particolare:
|
Costituzione |
|
Sfruttamento sessuale dei bambini e pedopornografia in Internet |
|
Siti aventi natura editoriale e testate editoriali |
|
Dna dell´imputato o dell´indagato |
|
Accesso ai dati sanitari da parte dell´interessato |
|
Cd. "abusi di mercato" |
|
Disciplina dell´accesso ai documenti amministrativi |
|
Fallimento |
|
Modifiche al codice di procedura civile |