Sul piano della legislazione europea, il primo atto ufficiale in materia di tutela della privacy e protezione degli individui rispetto al trattamento dei dati di carattere personale, è la Convenzione di Strasburgo n° 108 fra gli Stati membri del Consiglio d’Europa, stipulata il 28 Febbraio 1981. Il nostro Legislatore ha ratificato e reso pienamente e interamente esecutivo tale atto con legge 21 Febbraio 1989 n° 198. La Convenzione riconosceva e garantiva nell’ambito dei Paesi contraenti il rispetto dei diritti e delle libertà fondamentali di ogni persona fisica e particolarmente il diritto alla vita privata nei confronti dell’elaborazione automatica dei dati di carattere personale. La Convenzione voleva porre nel giusto equilibrio la libertà di circolazione di dati con la tutela della riservatezza della persona.
Molte altre furono le leggi che seguirono quella di ratifica della Convenzione:
· La legge 2 Gennaio 1995 n° 17 con la quale si ratificò l’adesione al protocollo n° 10 della Convenzione di Strasburgo del 25 Marzo 1992.
· La legge 675/1996 c.d. legge sulla privacy, che ha permesso al nostro Stato di conformarsi alla Direttiva 24 Ottobre 1995 n° 95/46/CE del Parlamento Europeo e del Consiglio, la quale impegnava gli Stati dell’UE per la tutela dei diritti e delle libertà fondamentali delle persone fisiche.
· La legge sulla privacy ha subito a sua volta delle innovazioni con il Decreto Legislativo 255/97, con il Decreto Legislativo 171/98 in materia di telecomunicazioni e attività di giornalismo, e con il Decreto Legislativo 135/99.
· La Direttiva del Parlamento Europeo e del Consiglio n° 96/9/CE in materia di tutela giuridica delle banche dati, è stata attuata nel nostro Stato con il Decreto Legislativo 169/1999.
· Decreto legislativo n° 196/2003, T.U. in materia di privacy, che ha razionalizzato, coordinato e raccolto tutte le norme in materia di tutela della privacy.
Dopo questa breve elencazione dei passaggi legislativi fondamentali sul piano nazionale e sopranazionale, in materia di privacy, andrebbero analizzati più dettagliatamente i profili che attengono all’applicazione di queste norme agli Enti locali e, più in generale, ai soggetti pubblici.
Cominciamo con il dire che, in materia di trattamento dei dati personali, l’art. 18 1° comma del Decreto legislativo 196/2003 stigmatizza la differenza, in questo ambito, fra le norme previste per i soggetti pubblici e quelle previste per gli enti pubblici economici; questi ultimi infatti sono equiparati, ai fini dell’applicazione delle norme sul trattamento dei dati, ai soggetti privati.
Una prima importantissima differenza riguarda proprio il consenso al trattamento dei
dati da parte dell’interessato, che per l’ente pubblico non esiste, sempre e solo però, nell’ambito e nei limiti delle funzioni istituzionali che le leggi e i regolamenti attribuiscono all’ente stesso. Infatti l’art. 23 del Decreto legislativo 196/2003 prevede in generale che il trattamento di dati personali da parte di privati o enti pubblici economici, è ammesso solo con il consenso espresso dell’interessato. Il consenso può essere totale o parziale. L’interessato deve quindi ricevere tutte le informazioni relative al trattamento al momento della raccolta dei dati. Il consenso è validamente prestato solo se libero, in forma scritta e se l’interessato ha ricevuto tutte le informazioni previste dall’art. 13 del T.U. in materia di privacy. Altro istituto fondamentale è rappresentato dalla comunicazione al Garante, a norma dell’art. 37 ss., il quale vieta con provvedimento motivato, la comunicazione o la diffusione di dati se risultano violate le disposizioni della legge.
Passando all’analisi delle finalità di rilevante interesse pubblico in base alle quali si svolge il trattamento di dati nei settori qui considerati, devono essere identificati i tipi di dati sensibili o di carattere giudiziario cui si fa riferimento. Per identificazione non ci si riferisce alla sola identificazione del procedimento che riguarda tali atti, ma alla effettiva individuazione dei dati trattati e delle operazioni effettivamente eseguite sugli stessi. In mancanza di espressa disposizione di legge e fuori dai casi previsti dai decreti di modifica e integrazione della legge n° 675/1996, i soggetti pubblici possono chiedere al Garante l’individuazione delle attività tra quelle demandate ai medesimi soggetti dalla legge, con rilevanti finalità di interesse pubblico, e per le quali di conseguenza è autorizzato il trattamento. Ci sono dei casi in cui è specificata la finalità di rilevante interesse pubblico, ma non sono specificati i tipi di dati e le operazioni eseguibili; in tali situazioni il soggetto pubblico identifica e rende pubblici secondo le norme relative, i tipi di dati e le operazioni pertinenti e necessarie, relative agli stessi. L’aggiornamento corrispondente a tale identificazione deve essere periodico.
La disciplina generale sul trattamento dei dati personali da parte di enti pubblici è derogata relativamente ad alcuni trattamenti:
a) Quelli effettuati dal Comitato esecutivo per i servizi di informazione e di sicurezza (CEDIS), dal SISMI e dal SISDE.
b) Quelli effettuati dal casellario giudiziario e dal servizio di carichi penali pendenti.
c) Quelli effettuati dalla Procura Nazionale Antimafia (PNA).
d) Quelli effettuati dagli uffici giudiziari del CSM e del Ministero di Grazia e Giustizia e da altri soggetti pubblici per la difesa e sicurezza della Stato, e per la prevenzione, accertamento e repressione dei reati.
Norma fondamentale in questo settore è il Decreto legislativo 11 Maggio 1999 n° 135 che attua le disposizioni di carattere generale previste dall’art. 27 Legge n° 675/1996 circa il trattamento di dati da parte di soggetti pubblici. Il Decreto n° 135/1999 riformula, ed è questo il suo aspetto più rilevante, l’art. 22 della Legge n° 675/1996. Norme queste ultime raccolte ed integrate nel T.U. in materia di privacy del 2003.
La Presidenza del Consiglio dei Ministri ha divulgato in data 19 Aprile 2000 una circolare con la quale si precisava il significato del termine “dati sensibili”. In riferimento ai soggetti pubblici, dati sensibili sono quelli che attengono all’origine razziale, alle convinzioni religiose o filosofiche, alle opinioni politiche o all’adesione a partiti o sindacati, all’adesione ad associazioni religiose, alle abitudini sessuali. Non fanno parte di questa elencazione dati relativi a status professionali o sociali, a requisiti culturali, alle condizioni economiche e a requisiti morali o alle doti. Il soggetto pubblico che tratta dati sensibili ha l’obbligo di specificare quale tipo di dato sensibile sia trattato, e le finalità del trattamento stesso. In questo senso viene in aiuto il Decreto legislativo n° 196/2003 che, agli artt. 20-21 e 22, definisce i principi generali in base ai quali i soggetti pubblici sono autorizzati a trattare dati sensibili o relativi a provvedimenti giudiziari particolari. Il decreto inoltre individua alcune finalità di interesse pubblico, le operazioni eseguibili e i dati trattabili. Il decreto non si applica però agli enti pubblici economici e ai dati trattabili dalla Presidenza della Repubblica, dalla Camera dei deputati, dal Senato della Repubblica e dalla Corte Costituzionale secondo i propri ordinamenti.
Ulteriore specificità nel modello di trattamento è riservata ai dati in ambito sanitario in base al combinato disposto dall’art. 1 lett. b) n° 1 Legge n° 676/1996 e dall’art. 1 comma 2 Legge 8 Aprile 1998 n° 94; normativa coordinata ed integrata nella Parte II Titolo V del Decreto legislativo n° 196/2003.
Il fine della disciplina sulla privacy è, in generale, quello di regolamentare il trattamento dei dati nel rispetto dei diritti, delle libertà fondamentali e della dignità dell’interessato.
Considerazione fondamentale a questo punto è quella che ritiene l’uso dei dati da parte di enti pubblici sempre come l’estrema ratio, in compenso alla differente e meno restrittiva disciplina prevista appunto per gli enti pubblici rispetto ad una disciplina generale più articolata.
Oltre alle norme relative alla raccolta e al trattamento di dati, gli enti pubblici devono anche provvedere ad un “corretto” mantenimento dei dati stessi, verificandone periodicamente l’esattezza, la pertinenza, la completezza, la non eccedenza, la necessità rispetto alle finalità perseguite e curandone anche l’aggiornamento.
Nel caso in cui venissero rilevati dati eccedenti o non pertinenti o non necessari, l’ente pubblico non potrà usarli salvo che ai fini della conservazione, a norma di legge, dell’atto che li contiene. In questo senso il Decreto legislativo 11 Maggio 1999 n° 135 prevede due espresse situazioni:
1) I dati contenuti in elenchi, registri o banche dati, tenuti con l’ausilio di mezzi elettronici, sono trattati con tecniche di cifratura o con codici identificativi o altri sistemi che permettono di individuare gli interessi solo in casi di necessità.
2) I dati sullo stato di salute o sulla vita sessuale sono tenuti separatamente da ogni altro dato trattato per finalità che non ne richiedono l’utilizzo.
Il Decreto legislativo n° 196/2003 dall’art. 64 ss. prevede l’individuazione, anche a completamento del disposto del Decreto legislativo 135/1999, delle rilevanti finalità di interesse pubblico. L’elencazione che viene fatta è abbastanza esaustiva perché indica i casi in cui i soggetti pubblici possano trattare dati sensibili.
In dettaglio questi dati riguardano:
a. Stato civile, anagrafe e liste elettorali: in particolare dati relativi alla popolazione residente in Italia, ai cittadini italiani residenti all’estero e alle liste elettorali.
b. Cittadinanza, immigrazione e condizione dello straniero. I dati appena menzionati sono trattati in relazione al rilascio di visti, permessi, attestazioni, autorizzazioni e documenti anche sanitari, al riconoscimento del diritto di asilo o dello stato di rifugiato, e comunque per l’applicazione di leggi in materia di politiche migratorie. Inoltre riguardano gli obblighi dei datori di lavoro e dei lavoratori, i ricongiungimenti, l’applicazione delle norme vigenti in materia di istruzione e alloggio, la partecipazione alla vita pubblica e all’integrazione sociale (art. 64).
c. Esercizio dei diritti politici e pubblicità dell’attività di determinati organi. Qui si fa chiaramente riferimento allo svolgimento di consultazioni elettorali e alla seguente verifica di regolarità, all’accertamento delle cause di ineleggibilità, incompatibilità o decadenza, di rimozione o sospensione da cariche pubbliche, di sospensione o scioglimento degli organi. Ancora, segnalazioni, petizioni, appelli e proposte di legge di iniziativa popolare, l’attività delle commissioni d’inchiesta, la designazione di rappresentanti in enti ed uffici. In relazione al trattamento di dati per tali attività sono consentiti l’uso di verbali e resoconti delle assemblee rappresentative e di altri organi collegiali, l’uso di dati per l’espletamento di funzioni di controllo e di indirizzo politico (art. 65).
d. Rapporti di lavoro e previdenza sociale. La normativa riguarda il collocamento obbligatorio, il rispetto delle pari opportunità, l’accertamento di specifici requisiti per l’accesso a determinati impieghi, l’igiene o la sicurezza sul lavoro, la materia sindacale, obblighi connessi allo stato giuridico ed economico dei dipendenti, nonché alle cause di servizio e agli obblighi retributivi, fiscali e contabili, la materia della previdenza, l’anagrafe dei dipendenti pubblici (art. 111 ss.). C’è da precisare che nel caso di presenza nei luoghi di lavoro di impianti audiovisivi o altre apparecchiature simili per esigenze organizzative, produttive o di sicurezza, i dati relativi a tali dispositivi possono essere usati solo per tali finalità. Per quanto concerne le regole e le garanzie per l’installazione di impianti di videosorveglianza non ci sono ancora specifiche disposizioni di legge, ma nel provvedimento del Garante del 22 Novembre 2000 sono richiamati i principi fondamentali ai quali chiunque voglia svolgere attività di videosorveglianza deve al momento attenersi (art. 121 ss.).
e. Materia tributaria e doganale (art. 66).
f. Attività di controllo e ispettiva sull’attività amministrativa pubblica (art. 67).
g. Attività sanzionatorie e di tutela (art. 71).
h. Istruzione.
i. Benefici economici e abilitazioni. Il trattamento con diffusione dei dati in questo caso è permesso solo se necessario per la trasparenza delle attività qui elencate, e sempre in conformità con la legge (art. 68).
j. Interruzione volontaria della gravidanza.
k. Volontariato ed obiezione di coscienza (art. 78)
l. Tossicodipendenze.
m. Portatori di handicap.
n. Rapporti con enti di culto (art. 72).
o. Contrassegni sui veicoli e accessi a centri storici (art. 74).
p. Statistica: si considerano di rilevante interesse pubblico i trattamenti di dati a fini storici, di studio, di ricerca e di documentazione, concernenti la conservazione, l’ordinamento e la comunicazione dei documenti conservati negli archivi storici degli enti pubblici e integrazioni (art. 104 ss.).
q. Ricerca storica ed archivi: si considerano di rilevante interesse pubblico i trattamenti svolti da Soggetti pubblici che fanno parte del sistema statistico nazionale ai sensi del Decreto legislativo 6 Settembre 1989 n° 322 (art. 101 ss.).
r. Altre finalità in ambito amministrativo e sociale (art. 73).
Si rileva, infine, che il Garante per la tutela della Privacy ha disposto, con riferimento agli Enti locali, che possano essere resi pubblici in base alla legge i livelli stipendiali e le situazioni patrimoniali di parlamentari, consiglieri regionali, magistrati e dirigenti ai vertici amministrativi; è lecita anche la pubblicità dei nomi di contribuenti che hanno dichiarato redditi superiori ad una certa soglia.