g-docweb-display Portlet

2 - Quadro normativo in materia di protezione dei dati personali

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 1636313] 

Relazione 2008 

Relazione 2008 - 2 luglio 2009
Parte I - Stato di attuazione del codice in materia di protezione dei dati personali

  
 

Indice generale

Paragrafo precedente

 Paragrafo successivo

2. Quadro normativo in materia di protezione dei dati personali  [ Relazione 2008 - Parte I - par. 4 (p. 30 - 44).pdfRelazione 2008 - Parte I - par. 4 (p. 30 - 44).pdf 70 Kb.]

2.1. Le garanzie previste nel codice e alcuni recenti interventi modificativi
Le Relazioni del Garante degli scorsi anni hanno ampiamente evidenziato come il Codice abbia consolidato il quadro delle garanzie per i diritti fondamentali della persona rispetto al trattamento dei dati personali.

Mentre nel 2006 e nel 2007 il Codice non aveva subito modifiche significative (salva la reiterazione di proroghe già disposte negli anni precedenti per adottare le misure minime di sicurezza e i regolamenti sul trattamento dei dati sensibili e giudiziari delle pubbliche amministrazioni), sul finire della XV legislatura e in questo primo scorcio della XVI si sono registrati ulteriori interventi modificativi del Codice in alcuni settori, dei quali si fornisce di seguito una sintesi.

Gli interventi hanno riguardato nuovamente la materia del trattamento dei dati di traffico al fine di dare piena attuazione alla normativa comunitaria, misure di semplificazione di taluni adempimenti previsti dalla legge e una razionalizzazione dell´apparato sanzionatorio; da ultimo, un´ulteriore modifica del Codice ha trovato spazio in un più generale intervento del Governo in materia di trasparenza dell´attività della pubblica amministrazione.

211 Le modifiche in materia di trattamento di dati di traffico
Le modifiche in materia di trattamento di dati di traffico (v. al riguardo anche par. 14.1) sono state apportate all´articolo 132 del Codice dal decreto legislativo 30 maggio 2008, n. 109, nonché, prima ancora, dalla legge 18 marzo 2008, n. 48, con la quale è stata data esecuzione alla Convenzione del Consiglio d´Europa sulla criminalità informatica, stipulata a Budapest il 23 novembre 2001.

Con il citato decreto legislativo n. 109/2008 il Governo ha dato piena attuazione alla direttiva 2006/24/Ce (cd. "Frattini") riguardante la conservazione dei dati di traffico telefonico e telematico, la quale contiene specifiche indicazioni sia sui tempi di conservazione dei dati di traffico (da un minimo di sei mesi a un massimo di due anni), sia sulla uniforme individuazione delle categorie di dati da conservare, in relazione ad alcuni specifici servizi offerti dai fornitori (telefonia di rete fissa e telefonia mobile, accesso a Internet, posta elettronica in Internet e telefonia via Internet).

 


I nuovi termini
di conservazione
dei dati di traffico
e gli adempimenti
a carico dei
fornitori di servizi
di comunicazione

L´articolo 132 del Codice, già più volte modificato, aveva individuato differenti tempi di conservazione dei dati di traffico telefonico e telematico per finalità di accertamento e repressione dei reati, in base alla gravità del reato e alle specifiche finalità d´indagine, prevedendo per i fornitori di servizi di comunicazione elettronica l´obbligo di conservare i dati di traffico telefonico per due periodi di ventiquattro mesi ciascuno e quelli di traffico telematico, esclusi i contenuti, per due periodi di sei mesi ciascuno.

Il decreto legislativo – sul cui schema l´Autorità  ha reso un parere (v. supra) – ha individuato termini di conservazione di tali dati più proporzionati e rispondenti alla normativa comunitaria, individuando un periodo unico di conservazione per ciascuna categoria di dati, senza ulteriori distinzioni in base al tipo di reato, pari a ventiquattro mesi per i dati di traffico telefonico e a dodici mesi per i dati di traffico telematico (art. 132, comma 1, del Codice). Lo stesso decreto ha, inoltre, stabilito in trenta giorni il periodo di conservazione dei dati relativi alle "chiamate senza risposta" (art. 132, comma 1-bis, del Codice).

Tale assetto normativo, previsto "a regime", non ha trovato ancora piena esplicazione, anche perchè ha continuato ad avere efficacia la generale previsione di conservazione dei dati di traffico contenuta nell´articolo 6 del d.l. n. 144/2005, convertito in l. n. 155/2005, in materia di lotta al terrorismo internazionale, cd. "Pisanu". Tale disposizione, a seguito di una recente, ulteriore proroga (d.l. 2 ottobre 2008, n. 151, convertito in l. n. 186/2008), ha previsto per i fornitori l´obbligo di conservare indistintamente i dati di traffico telefonico e telematico fino al 31 marzo 2009.

Il d.lg. n. 109/2008, con autonome disposizioni, ha inoltre individuato le categorie di dati di traffico telefonico e telematico oggetto di specifica conservazione e disciplinato, anche con norme transitorie, l´obbligo per i fornitori di servizi di comunicazione elettronica di conservare i dati relativi alle chiamate senza risposta e al cd. "indirizzo Ip" univocamente assegnato, indispensabile per individuare i soggetti che accedono a Internet.

Il già  citato decreto-legge n. 151/2008 ha prorogato, sempre al 31 marzo 2009, anche il termine previsto a carico dei fornitori per portare ad esecuzione tali adempimenti. Per quanto concerne i dati di traffico telefonici relativi alle chiamate senza risposta il termine è stato ulteriormente prorogato al 31 dicembre 2009 nel caso di chiamate originate da rete mobile e al 31 dicembre 2010 nel caso di chiamate originate da rete fissa (art. 12-ter d.l. 23 febbraio 2009, n. 11, convertito, con modificazioni, in l. 23 aprile 2009, n. 38).

Al riguardo, è importante ricordare che, nel corso dei lavori di conversione del d.l. n. 151/2008, il Governo ha accettato un ordine del giorno della Camera con il quale si è impegnato a favorire ogni iniziativa diretta ad assicurare l´univocità  degli indirizzi IP, sollecitando i fornitori di servizi di comunicazione elettronica che offrono servizi di accesso ad Internet (Internet access provider) ad adoperarsi al più presto per garantire detta prestazione nell´interesse della giustizia (o.d.g. 9/1857/7). Tale ordine del giorno è il frutto anche della collaborazione prestata dall´Autorità  ad un apposito tavolo di lavoro organizzato presso il Ministero dell´interno.

Infine, il d.lg. n. 109/2008, in attuazione di specifiche previsioni della direttiva, ha:

- completato il quadro delle garanzie per il trattamento dei dati di traffico in relazione al previsto provvedimento del Garante in materia di conservazione di tali dati, in particolare per quanto riguarda "la qualità , sicurezza e protezione dei dati in rete" (art. 132, comma 5, del Codice);

- precisato che il Garante esercita il controllo sul rispetto della disciplina in materia di protezione dei dati personali anche "con riferimento alla conservazione dei dati di traffico" (art. 154, comma 1, lett. a), del Codice);

- introdotto specifiche fattispecie sanzionatorie in materia di conservazione di dati di traffico (art. 162-bis del Codice; art. 5, comma 2, d.lg. n. 109/2008).

Nella Relazione 2007 (p. 21 e ss.), si è riferito dell´attuazione nel nostro ordinamento (legge 18 marzo 2008, n. 48) della Convenzione del Consiglio d´Europa in materia di criminalità  informatica. Si sono evidenziati, al riguardo, i profili problematici riguardanti le disposizioni che consentono in determinate circostanze la conservazione temporanea, ma prorogabile, di specifici dati informatici, già  in possesso dei fornitori di servizi di comunicazione elettronica o comunque sotto il loro controllo (cd. "congelamento") (artt. 16 e 17 Conv.). In particolare, la legge attribuisce a specifici organi di polizia il potere di ordinare ai fornitori di servizi di comunicazione elettronica di conservare e proteggere, per un periodo non superiore a novanta giorni (prorogabile non oltre i sei mesi), dati relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni, ai fini dello svolgimento di investigazioni preventive o per finalità  di accertamento e repressione di specifici reati. I provvedimenti degli organi di polizia sono poi comunicati al pubblico ministero per la convalida.

 


Il cd "congelamento"
dei dati di traffico
telematico
 
Si conferma in proposito che tali disposizioni – considerando anche che la libertà  di ogni forma di comunicazione può essere limitata solo per atto motivato dell´autorità  giudiziaria (art. 15 Cost.) – dovranno essere applicate alla stregua dei princpi di finalità  e di proporzionalità, in una prospettiva di selettività dei provvedimenti e tenendo conto delle garanzie previste dalla predetta direttiva europea sulla conservazione dei dati di traffico.
 
212 La semplificazione di taluni adempimenti per alcune realtà  professionali e produttive e il trasferimento di dati all´estero
Il secondo "blocco" di modifiche normative concerne significative semplificazioni a taluni adempimenti in materia di protezione dei dati personali, compatibili con le direttive comunitarie, volti a ridurre l´onere che grava su talune attività  professionali e produttive, specie se riferite a realtà di piccole dimensioni (liberi professionisti, artigiani, piccole e medie imprese).
 
Le modifiche al Codice sono state apportate dall´articolo 29 (Trattamento dei dati personali) del d.l. 25 giugno 2008, n. 112, convertito, con modificazioni, in l. 6 agosto 2008, n. 133, recante misure urgenti per lo sviluppo economico, la semplificazione e la competitività , nell´ambito di una più generale iniziativa di semplificazione adottata dal Governo e, in particolare, dal Ministro per la semplificazione normativa.
 
In tale quadro, il Garante – al termine di un´approfondita riflessione svolta a margine degli interventi di semplificazione deliberati rispetto ai trattamenti di dati svolti per finalità amministrative e contabili (Provv. 19 giugno 2008 [doc. web n. 1526724]) – ha rappresentato al Ministro l´opportunità di adeguare la disciplina delle misure minime di sicurezza e del documento programmatico alle caratteristiche che le attività  di corrente gestione amministrativa e contabile presentano, specie presso piccole realtà professionali e produttive (Nota 19 giugno 2008).
 
L´iniziale proposta e quelle successive del Garante (Nota 3 luglio 2008), frutto di collaborazione fra i rispettivi uffici, sono state, poi, tenute nella dovuta considerazione dal Governo nella definitiva stesura dell´articolo 29 i cui contenuti si possono così sintetizzare:
- È stato semplificato l´onere della redazione del documento programmatico sulla sicurezza e di altri adempimenti concernenti le misure minime di sicurezza. In particolare, è stato soppresso l´obbligo di tenere un documento programmatico sulla sicurezza in tutti i casi in cui siano trattati solo dati personali non sensibili e i cui unici eventuali dati sensibili (al cui trattamento corrisponde l´obbligo di redigere il documento programmatico sulla sicurezza) siano costituiti dallo stato di salute o dalla malattia dei dipendenti senza indicazione della diagnosi, nonchè dall´adesione a organizzazioni a carattere sindacale. In queste ipotesi, i soggetti interessati sono ora tenuti a rendere un´autocertificazione dalla quale emerga che sono trattati solo tali dati sensibili e che il relativo trattamento è eseguito nel rispetto delle altre misure di sicurezza prescritte (artt. 31-35 e disciplinare tecnico di cui all´ Allegato B. del Codice). È previsto, infine, che in relazione a tali trattamenti, nonché a trattamenti effettuati per correnti finalità  amministrative e contabili il Garante, sentito il Ministro per la semplificazione normativa, individui modalità semplificate di applicazione del predetto disciplinare in relazione a tutte le misure minime previste (art. 34, comma 1-bis, del Codice). Tali modalità sono state individuate dal Garante con provvedimento del 27 novembre 2008 [doc. web n.  1571218] (sul quale si veda amplius al par. 10);
 
- si è ulteriormente semplificata la notifica al Garante dei trattamenti di dati personali (nei casi in cui tale adempimento è già previsto dalla legge, come, ad esempio, per i trattamenti concernenti dati genetici o idonei a rivelare lo stato di salute), individuando le sole informazioni che, conformemente alla direttiva comunitaria, devono essere contenute nella notifica e prevedendo che il Garante, entro due mesi dall´entrata in vigore della legge di conversione del decreto-legge, adegui il modello che i soggetti interessati sono tenuti ad utilizzare per tale adempimento (art. 38 del Codice). Il Garante ha provveduto ad individuare tali ulteriori semplificazioni con il provvedimento del 22 ottobre 2008 [doc. web n. 1571196] (sul quale si veda amplius al par. 10);
 
- È stato ampliato l´ambito del trasferimento lecito di dati verso Paesi non appartenenti all´Unione europea (art. 44 del Codice), con riferimento a ulteriori garanzie per i diritti dell´interessato individuate dal Garante (cd. "regole vincolanti di gruppo" nell´ambito di società  appartenenti ad un medesimo gruppo).
213 Le modifiche in materia di sanzioni
Il decreto-legge 30 dicembre 2008, n. 207, (cd. "milleproroghe"), convertito in legge 27 febbraio 2009, n. 41, ha apportato significative modifiche all´apparato sanzionatorio del Codice. Le modifiche si sono concentrate, in massima parte, sulle sanzioni amministrative, mentre è rimasto sostanzialmente inalterato l´impianto sanzionatorio penale.
 
L´intervento normativo è il frutto di un´iniziativa dell´Autorità che ha segnalato informalmente al Governo la necessità  di tali modifiche, in particolare per fronteggiare in maniera efficace i gravi fatti criminosi di acquisizione e diffusione illecite di dati personali provenienti, per lo più, da banche dati di grandi dimensioni e di particolare rilevanza.
 
In linea generale, le modifiche hanno comportato: un aumento delle pene pecuniarie previste per ciascuna violazione; la previsione di nuove ipotesi sanzionatorie; la creazione di meccanismi per consentire una maggiore modulabilità della sanzione in rapporto al caso concreto in ragione della minore o maggiore gravità , della circostanza che le violazioni siano state commesse in relazione a banche di dati di particolare rilevanza o dimensioni, del coinvolgimento di un maggior numero di interessati e delle condizioni economiche del contravventore.
 
Fra le nuove fattispecie sanzionatorie amministrative sono state previste, all´art. 162, comma 2-bis, le ipotesi di trattamento illecito e di omissioni nell´adozione delle misure minime di sicurezza (già  sanzionate penalmente dagli articoli 167 e 169 del Codice, articoli tuttora vigenti).
 
La sanzione amministrativa (da ventimila euro a centoventimila euro) potrà  essere contestata in tutti i casi di violazione delle disposizioni richiamate dall´art. 167, nonché nei casi di violazione delle misure minime di sicurezza previste dal Codice e, per quanto riguarda queste ultime, senza la possibilità di avvalersi dell´estinzione del procedimento sanzionatorio con il pagamento in misura ridotta.
 
È stata inoltre introdotta all´art. 162, comma 2-ter, una specifica sanzione amministrativa (da trentamila euro a centottantamila euro) nei casi di inottemperanza ai provvedimenti del Garante che prescrivono, anche d´ufficio, ai titolari del trattamento le misure necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti o che prevedono il blocco o il divieto del trattamento.
 
La norma rafforza la cogenza delle determinazioni dell´Autorità , fino ad oggi garantita, limitatamente alla violazione dei provvedimenti di blocco e di divieto del trattamento nonché di quelli relativi alla decisione dei ricorsi, dalla sanzione penale prevista dall´art. 170 del Codice.
 
Per quanto riguarda i meccanismi introdotti al fine di modulare le sanzioni amministrative, va evidenziato, in primo luogo, che l´art. 164-bis, comma 1, prevede la possibilità di contestare le sanzioni accertate applicando una riduzione a due quinti dei limiti minimo e massimo previsto per ciascuna violazione, nei casi di minore gravità della violazione stessa o in relazione alla natura economica e sociale dell´attività  svolta dal contravventore.
 
Di contro, i commi 2 e 3 del medesimo articolo prevedono delle particolari "aggravanti" che determinano un sensibile aumento delle sanzioni:
- in caso di più violazioni di un´unica o di più disposizioni commesse, anche in tempi diversi, in relazione a banche di dati di particolare rilevanza o dimensioni (sanzione da cinquantamila euro a trecentomila euro senza la possibilità  di avvalersi dell´estinzione del procedimento sanzionatorio con il pagamento in misura ridotta);
 
- in altri casi di maggiore gravità e, in particolare, di maggiore rilevanza del pregiudizio per uno o più interessati, ovvero quando la violazione coinvolge numerosi interessati, con aumento dei limiti minimo e massimo delle sanzioni previste per ciascuna violazione in misura pari al doppio.
Tutte le sanzioni possono essere, inoltre, ai sensi dell´art. 164-bis, comma 4, aumentate fino al quadruplo quando possono risultare inefficaci in ragione delle condizioni economiche del contravventore.
 
214 La trasparenza nella pubblica amministrazione
La legge 4 marzo 2009, n. 15 recante delega al Governo per l´ottimizzazione della produttività  del lavoro pubblico, nel quadro di un più ampio intervento in materia di trasparenza dell´attività delle pubbliche amministrazioni e in virtù dell´approvazione di un emendamento d´iniziativa parlamentare, ha introdotto una modifica all´art. 1, comma 1, del Codice, tesa a sancire la conoscibilità  delle notizie inerenti lo svolgimento delle prestazioni lavorative in ambito pubblico e la relativa valutazione. La norma prevede, infatti, che "le notizie concernenti lo svolgimento delle prestazioni di chiunque sia addetto ad una funzione pubblica e la relativa valutazione non sono oggetto di protezione della riservatezza personale".
 
Al riguardo, si sottolinea come il Garante abbia informalmente segnalato al Governo l´opportunità  di assicurare la corretta collocazione sistematica della norma – di cui si è rilevata la dubbia legittimità  costituzionale e comunitaria, in quanto sottrae talune categorie di informazioni e i relativi soggetti interessati alle garanzie in materia di protezione dei dati personali – nel capo del Codice riguardante i trattamenti effettuati dai soggetti pubblici e di apportarvi alcuni correttivi, demandando, tra l´altro, a un successivo decreto l´individuazione delle notizie relative alle prestazioni lavorative oggetto della disposizione.
 
Tale richiesta è stata recepita dal Governo e trasfusa in un emendamento, presentato dal Relatore, al disegno di legge collegato alla manovra finanziaria sulla disciplina del rapporto di lavoro (AS 1167), teso a sopprimere la modifica apportata all´articolo 1, comma 1, del Codice, e a demandare a un regolamento, emanato previa acquisizione del parere del Garante, l´individuazione delle notizie concernenti lo svolgimento delle prestazioni di chiunque sia addetto ad una funzione pubblica di cui è ammessa la comunicazione.
 
Sul punto va peraltro rilevato come, in sede di votazione del disegno di legge-delega in terza lettura al Senato, è stato approvato un ordine del giorno con cui si è impegnato il Governo ad applicare, in sede di esercizio della delega legislativa, il principio della trasparenza totale "in modo tale che sia consentita e resa effettiva l´accessibilità  diretta, anche mediante i siti Internet delle pubbliche amministrazioni, secondo i criteri e le modalità  individuate dal Garante per la protezione dei dati personali, a norma dell´articolo 20, comma 3, del decreto legislativo 30 giugno 2003 n. 196, delle informazioni relative a retribuzioni individuali, provvedimenti disciplinari, dati aggregati per ufficio relativi ai tassi di assenze dal lavoro per qualsiasi motivo, dati e parametri posti alla base delle valutazioni, contenuto delle valutazioni stesse, formulato in modo tale da garantire la confrontabilità  tra strutture omologhe".
 
22 Novità normative con riflessi in materia di protezione dei dati personali
Nei primi mesi della XVI legislatura sono stati approvati alcuni provvedimenti normativi che hanno riguardato il trattamento dei dati personali e l´attività del Garante.
Vanno ricordati, in particolare:
 

- il decreto-legge 23 febbraio 2009, n. 11, convertito in legge n. 23 aprile 2009, n. 28, recante misure urgenti in materia di sicurezza pubblica e di contrasto alla violenza sessuale, in base al quale i comuni possono utilizzare sistemi di videosorveglianza in luoghi pubblici o aperti al pubblico "per la tutela della sicurezza urbana" e possono conservare i dati e le immagini raccolti al massimo per sette giorni, fatte salve speciali esigenze di conservazione (art. 6, commi 7 e 8). Inoltre, l´articolo 12-ter del decreto-legge, inserito dalla legge di conversione, ha ulteriormente differito (sino al 31 dicembre 2009 nel caso di chiamate originate da rete mobile e sino al 31 dicembre 2010 nel caso di chiamate originate da rete fissa) il termine a partire dal quale i gestori telefonici devono rendere disponibili, alla polizia e all´autorità giudiziaria, i dati di traffico telefonico relativi alle chiamate senza risposta. Tale disposizione deriva dall´approvazione, in prima lettura, alla Camera dei deputati, di un emendamento d´iniziativa parlamentare;

 


Videosorveglianza
e chiamate
senza risposta

- il già citato decreto-legge 30 dicembre 2008, n. 207, convertito in legge 27 febbraio 2009, n. 14, che contiene un´importante disposizione in materia di attività  promozionali effettuate mediante l´utilizzo di elenchi telefonici. Il comma 1-bis dell´articolo 44 del provvedimento d´urgenza, introdotto dalla legge di conversione, prevede che i dati personali presenti nelle banche dati costituite sulla base di elenchi telefonici pubblici formati prima del 1° agosto 2005 siano lecitamente utilizzabili per fini promozionali sino al 31 dicembre 2009, anche in deroga agli articoli 13 e 23 del Codice, dai soli titolari del trattamento che hanno provveduto a costituire dette banche dati prima del 1° agosto 2005.

 


Attività  promozionali
mediante l´utilizzo
di elenchi telefonici
Durante i lavori parlamentari di conversione del decreto-legge, il Garante ha manifestato la propria contrarietà a tale disposizione – frutto di un emendamento parlamentare – segnalando al Parlamento e al Governo la delicatezza della questione e l´impatto della proposta emendativa su una vasta platea di cittadini (Note del 2 febbraio 2009).
 
L´attuale disciplina in materia di elenchi telefonici (Direttiva 2002/58/Ce; art. 129 del Codice) stabilisce che i dati personali degli abbonati inseriti negli elenchi telefonici possono essere utilizzati per finalità di ricerca dell´abbonato per comunicazioni interpersonali.
 
Per contemperare le esigenze di riservatezza dei cittadini con la possibilità  per gli operatori economici di svolgere attività  di carattere promozionale, il Garante è intervenuto con diversi provvedimenti chiarendo, fra l´altro, che possono essere utilizzati per finalità  di marketing anche i dati personali presenti in banche dati costituite utilizzando dati estratti da elenchi formati secondo la previgente disciplina, purché il titolare del trattamento dimostri di aver fornito, a suo tempo, l´informativa agli interessati (art. 13 del Codice).
 
La norma approvata opera, invece, in sostanza, una "sanatoria" per tutte le banche dati costituite illecitamente sulla base di "vecchi" elenchi telefonici, in violazione di norme che già  dal 1997 prevedevano specifici obblighi per tutti i titolari in materia di informativa e consenso al trattamento dei dati (cfr. artt. 10 e 11 legge 31 dicembre 1996, n. 675, ed ora artt. 13 e 23 del Codice).
 
Nell´occasione l´Autorità ha richiamato l´attenzione del Parlamento e del Governo sul fatto che la nuova disposizione normativa è destinata ad acuire il noto fenomeno delle chiamate indesiderate, continuamente al centro di numerose segnalazioni al Garante, rendendo vani i provvedimenti di carattere inibitorio e sanzionatorio adottati in materia dall´Autorità.
 

- il decreto-legge 29 novembre 2008, n 185, convertito in legge 28 gennaio 2009, n. 2 che contiene le seguenti disposizioni di interesse: 1) riduzione dei costi amministrativi a carico delle imprese: l´articolo 16, nella parte in cui prevede la pubblicazione in elenchi riservati, di dati identificativi ed indirizzi di posta elettronica certificata dei professionisti iscritti ad ordini o collegi professionali. Tali elenchi sono consultabili per via telematica esclusivamente dalla pubblica amministrazione. L´articolo prevede altresìche per i singoli indirizzi di posta elettronica la consultazione è ammessa liberamente e senza oneri, mentre l´estrazione di elenchi dei medesimi indirizzi è cnsentita esclusivamente alle pubbliche amministrazioni per le comunicazioni relative ad adempimenti amministrativi di loro competenza; 2) misure di semplificazione per le famiglie e per le imprese: l´articolo 16-bis, ai sensi del quale, per favorire la massima diffusione delle tecnologie telematiche, ai cittadini che ne fanno richiesta èattribuita una casella di posta elettronica certificata (pec). Per i medesimi fini, ogni pubblica amministrazione utilizza unicamente la posta elettronica certificata con effetto equivalente, ove necessario, alla notificazione per mezzo posta, per le comunicazioni e le notificazioni aventi come destinatari dipendenti della stessa o di altra pubblica amministrazione; 3) riscossione: l´articolo 32 prevede che, allo scadere dei 60 giorni dalla notifica della cartella esattoriale, gli agenti della riscossione possano accedere ai dati relativi ai rapporti finanziari del contribuente, compresi quelli che fanno riferimento a depositi bancari o postali (art. 35, comma 25, del d.l. 4 luglio 2006, n. 223; art. 7, comma 6, del d.P.R. 29 novembre 1973, n. 605).

 


Indirizzi
di posta elettronica

- il già citato decreto-legge 25 giugno 2008, n. 112, che contiene anche le seguenti ulteriori disposizioni di interesse: 1) durata e rinnovo della carta d´identità: l´articolo 31 che prolunga da cinque a dieci anni il periodo di validità della carta d´identità fissato dall´articolo 3 del testo unico delle leggi di pubblica sicurezza, di cui al r.d. 18 giugno 1931, n. 773 – e prevede che a partire dal 1° gennaio 2010 essa dovrà essere munita anche delle impronte digitali dell´interessato; 2) accesso agli elenchi dei contribuenti: l´articolo 42 che al fine di attuare il principio di trasparenza nei rapporti fiscali modifica il d.P.R. n. 600 del 1973, prevedendo che gli elenchi dei contribuenti siano depositati per un anno sia presso l´ufficio delle imposte, sia presso i comuni interessati e che, in tale periodo, ne sia consentita l´estrazione di copia in conformità alla disciplina sul diritto di accesso. Viene previsto, inoltre, che fuori dei casi disciplinati la diffusione degli elenchi, al di là delle ipotesi in cui costituisca reato, èpunita con una sanzione amministrativa; 3) carta acquisti: l´articolo 81, comma 32, che prevede il rilascio di una "carta acquisti" alle persone che versano in condizione di maggior disagio economico da disciplinare con apposito decreto (sul cui schema il Garante ha poi reso parere - v. supra); 4) efficienza dell´amministrazione finanziaria: l´articolo 83 in base al quale: a) per garantire maggiore efficacia ai controlli fiscali, l´Inps e l´Agenzia delle entrate predispongono piani di controllo anche sulla base dello scambio di dati e informazioni anche in via telematica (comma 1); b) si incrementa lo strumento di accertamento che si fonda sul cd. "redditometro" (comma 8); c) si prevede l´accesso dei comuni e delle società di riscossione ai dati disponibili presso il sistema informativo dell´Agenzia delle entrate, ivi compresi quelli di cui alla cd. "anagrafe dei conti correnti", fino ad ora non attuata in assenza del decreto ministeriale previsto dall´art. 1, comma 225, della legge n. 244/2007 (comma 28-sexies);

 


Impronte digitali:
dati
dei contribuenti

- il decreto-legge 23 maggio 2008, n. 92, convertito in legge 24 luglio 2008, n. 125, recante misure urgenti in materia di sicurezza pubblica, con specifico riferimento ai seguenti articoli: 1) l´articolo 6 che ha apportato diverse modifiche sostanziali all´articolo 54 del testo unico degli enti locali – che disciplina le attribuzioni del sindaco nelle funzioni di competenza statale – al fine di potenziare il ruolo dell´amministrazione locale. In particolare, il novellato comma 4 dell´art. 54 amplia il potere del sindaco di emanare ordinanze contingibili e urgenti, prevedendo, quale situazione legittimante il provvedimento extra ordinem, anche il grave pericolo per la "sicurezza urbana" (che si affianca così al grave pericolo per l´incolumità  dei cittadini, già previsto). Tali provvedimenti d´urgenza vanno comunicati al prefetto in quanto la situazione che li legittima attiene alla sicurezza, tematica che vede comunque un ruolo centrale e "strategico" dell´autorità  locale di Governo, cui competono in via generale gli interventi attuativi dell´ordinanza sindacale; 2) l´articolo 8 che amplia le possibilità  di accesso della polizia municipale ai dati presenti nel Ced interforze del Ministero dell´interno-Dipartimento della pubblica sicurezza. Prima dell´entrata in vigore del provvedimento in esame, gli agenti di polizia municipale – se addetti ai servizi di polizia stradale e in possesso della qualifica di agente di pubblica sicurezza – potevano accedere, presso il Ced, allo schedario dei veicoli rubati. Ora, a seguito delle modifiche introdotte, essi possono accedere anche allo schedario dei documenti d´identità  rubati o smarriti, nonché alle informazioni concernenti i permessi di soggiorno. Ciò, in relazione alle aggiornate competenze del sindaco in tale materia (cfr. art. 6 cit.). Inoltre, la norma in esame permette al personale della polizia municipale, previa apposita abilitazione, di inserire nella banca dati i predetti dati relativi ai veicoli e ai documenti autonomamente acquisiti; 3) attribuzioni del personale del Corpo delle capitanerie di porto: a seguito delle integrazioni apportate in sede di conversione, l´articolo 8-bis estende l´accesso al Ced e la relativa immissione di alcuni dati anche al personale del Corpo delle capitanerie di porto, nei limiti delle funzioni esercitate. Appositi decreti dovranno stabilire le modalità  dei collegamenti fra le predette forze dell´ordine e il Ced ai fini dell´accesso ai dati e, per quanto riguarda il personale del Corpo delle capitanerie di porto, anche le tipologie di dati consultabili. In entrambi i casi il Garante dovrà esprimere il parere di competenza sugli schemi di decreto;

 


Attribuzioni
del sindaco
e della polizia
municipale

- la già citata legge 18 marzo 2008, n. 48 (v. supra) recante ratifica ed esecuzione della Convenzione del Consiglio d´Europa sulla criminalità informatica, della quale si è riferito nella Relazione 2007 (p. 21 e ss.);

 
Criminalità informatica

- il decreto-legge 31 dicembre 2007, n. 248, convertito in legge 28 febbraio 2008, n. 31 (cd. "decreto milleproroghe" per il 2008), all´art. 47-quater, equipara la durata in carica del presidente e dei membri del Garante – unitamente a quelli della Consob e dell´Autorità  per la vigilanza sui contratti pubblici – a quella del presidente e dei membri dell´Autorità garante della concorrenza e del mercato e dell´Autorità per le garanzie nelle comunicazioni (sette anni, non prorogabili), nelle more dell´approvazione della legge di riordino delle autorità  indipendenti.

 


Durata
in carica
dei membri
delle
 autorità
indipendenti

Infine, il Governo ha adottato alcuni decreti legislativi di interesse in materia di protezione dei dati personali, sui cui schemi l´Autorità  ha, peraltro, reso parere (v. supra) fra i quali, in particolare: 1) (movimenti transfrontalieri di denaro) il decreto legislativo 19 novembre 2008, n. 195, recante modifiche alla normativa in materia valutaria in attuazione del regolamento (Ce) n. 1889/2005, volto a contrastare l´introduzione di proventi di attività  illecite nel sistema economico e finanziario e ad istituire un adeguato sistema di sorveglianza sui movimenti transfrontalieri di denaro contante; 2) ricongiungimenti familiari e prelievo del Dna: il decreto legislativo 3 ottobre 2008, n. 160, recante attuazione della direttiva 2003/86/Ce, in materia di ricongiungimenti familiari, di particolare delicatezza in quanto prevede il trattamento di dati genetici. In base al decreto, infatti, le rappresentanze diplomatiche o i consolati possono rilasciare certificazioni "sulla base del Dna" quando lo status di figlio o di coniuge, ai fini del ricongiungimento, non possa essere documentato in modo certo mediante certificati o attestazioni rilasciati da competenti autorità straniere, a causa della mancanza di un´autorità riconosciuta o quando sussistano fondati dubbi sull´autenticità della documentazione prodotta; 3) sicurezza nei luoghi di lavoro: il decreto legislativo 9 aprile 2008, n. 81, volto a dare attuazione alla legge 3 agosto 2007, n. 123, in materia di salute e sicurezza nei luoghi di lavoro, che riguarda trattamenti di dati personali concernenti informazioni idonee a rivelare lo stato di salute del lavoratori, in particolare dipendenti da infortuni sul lavoro o da malattie professionali, effettuati anche nell´ambito del Sistema informativo nazionale per la prevenzione nei luoghi di lavoro; 4) il decreto legislativo 30 maggio 2008, n. 109, di attuazione della direttiva 2006/24/Ce riguardante la conservazione di dati di traffico trattati nell´ambito della fornitura di servizi di comunicazione elettronica, ampiamente illustrato in altra parte della Relazione (v. par. 14).