di scambio dei dati personali avvengano tra soggetti pubblici o tra questi e privati o enti
pubblici economici. Infatti se la comunicazione dei dati è rivolta ad altri soggetti
pubblici, può anche prescindere da un’espressa previsione legislativa o regolamentare,
ma solo nel caso in cui:
- sia comunque necessaria per la soddisfazione di un interesse collettivo di «utilità
sociale» delle informazioni per numerose finalità che vanno dalla necessità di
conoscenza di dati statistici, storici, di difesa nazionale e cosi via fino alla tutela
degli investimenti e del risparmio;
- sia preceduta da un’apposita comunicazione al Garante che potrà vietare il flusso
dei dati entro 45 giorni dal ricevimento della comunicazione, o disporne
l’interruzione anche oltre tale termine.
Nel caso di comunicazione di dati personali a privati o enti pubblici economici, ove non
disciplinata ed ammessa da una legge o da un regolamento, soddisfa solo un interesse
unica modalità, la distribuzione di tali elenchi ai soli uffici territorialmente competenti dell'Agenzia e la
loro trasmissione, anche mediante supporti magnetici ovvero sistemi telematici, ai soli comuni interessati,
in entrambi i casi in relazione ai soli contribuenti dell'ambito territoriale interessato. Ciò, come sopra
osservato, ai fini del loro deposito per la durata di un anno e della loro consultazione senza che sia
prevista la facoltà di estrarne copia da parte di chiunque (art. 69, commi 4 ss., D.P.R. n. 600/1973 cit.; v.
anche art. 66 bis D.P.R. 26 ottobre 1972, n. 633); la predetta messa in circolazione in Internet dei dati,
oltre a essere di per sé illegittima perché carente di una base giuridica e disposta senza metterne a
conoscenza il Garante, ha comportato anche una modalità di diffusione sproporzionata in rapporto alle
finalità per le quali l'attuale disciplina prevede una relativa trasparenza. Infatti i dati sono stati resi
consultabili non presso ciascun ambito territoriale interessato, ma liberamente su tutto il territorio
nazionale e all'estero.
3
Decreto Legislativo 196/2003, art. 19 (Principi applicabili al trattamento di dati diversi da quelli
sensibili e giudiziari), commi 2° e 3°: “2. La comunicazione da parte di un soggetto pubblico ad altri
soggetti pubblici è ammessa quando è prevista da una norma di legge o di regolamento. In mancanza di
tale norma la comunicazione è ammessa quando è comunque necessaria per lo svolgimento di funzioni
istituzionali e può essere iniziata se è decorso il termine di cui all'articolo 39, comma 2, e non è stata
adottata la diversa determinazione ivi indicata.” “ 3. La comunicazione da parte di un soggetto pubblico
a privati o a enti pubblici economici e la diffusione da parte di un soggetto pubblico sono ammesse
unicamente quando sono previste da una norma di legge o di regolamento.”
2
del singolo e per finalità proprie, egoistiche ed economiche per realizzare le quali non
può aggirarsi l’ostacolo dell’acquisizione del consenso del trattamento, utilizzando il
bacino del soggetto pubblico che, invece, pur nei limiti suesposti, può effettuare un
trattamento «coattivo».
Al trattamento dei dati c.d. “sensibili
4
” effettuato da soggetti pubblici il legislatore
riserva una serie di prescrizioni cautelari rispetto a quanto previsto per il trattamento dei
dati comuni, come, a titolo meramente esemplificativo, il ricorso a tecniche di cifratura
per i dati tenuti con l’ausilio di strumenti elettronici.
Queste informazioni particolari da sempre sono la base per le gravi discriminazioni che
la lunga storia del genere umano deve purtroppo annoverare: convinzioni religiose, idee
politiche, origini razziali o etniche, particolari condizioni di salute o abitudini sessuali,
sono sempre state utilizzate per identificare il “diverso” e, nella migliore delle ipotesi,
per allontanarlo dalla società cosiddetta “normale
5
” Occorre dunque seguire il rigore
posto dall’art. 20
6
del Codice che disciplina i «principi applicabili al trattamento dei
4
L’art. 4, comma 1°, lett. d) definisce dati sensibili come: “i dati personali idonei a rivelare l'origine
razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a
partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale,
nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”.
5
R. Acciai, opera citata.
6
L’art. 20 del Codice sancisce: “1. Il trattamento dei dati sensibili da parte di soggetti pubblici è
consentito solo se autorizzato da espressa disposizione di legge nella quale sono specificati i tipi dì dati
che possono essere trattati e di operazioni eseguibili e le finalità di rilevante interesse pubblico
perseguite. 2. Nei casi in cui una disposizione di legge specifica la finalità di rilevante interesse
pubblico, ma non i tipi di dati sensibili e di operazioni eseguibili, il trattamento è consentito solo in
riferimento ai tipi di dati e di operazioni identificati e resi pubblici a cura dei soggetti che ne effettuano il
trattamento, in relazione alle specifiche finalità perseguite nei singoli casi e nel rispetto dei principi di
cui all'articolo 22, con atto di natura regolamentare adottato in conformità al parere espresso dal
Garante ai sensi dell'articolo 154, comma 1, lettera g), anche su schemi tipo. 3. Se il trattamento non è
previsto espressamente da una disposizione di legge i soggetti pubblici possono richiedere al Garante
l'individuazione delle attività, tra quelle demandate ai medesimi soggetti dalla legge, che perseguono
finalità di rilevante interesse pubblico e per le quali è conseguentemente autorizzato, ai sensi dell'articolo
3
dati sensibili», restringendo ulteriormente la potestà di trattamento della pubblica
amministrazione relativamente alla categoria dei dati sensibili e giudiziari. Il soggetto
pubblico vi si deve attenere scrupolosamente, non è consentita alcuna interpretazione
induttiva ed estensiva. La norma in commento si segnala per una forte esigenza
protezionistica di interessi privatistico-individuali che potremmo definire a «tutela
preventiva rafforzata» perché vincola ad un trattamento che, anche in caso di rilevante
interesse pubblico, necessita di un’espressa previsione normativa che non sia, però «
generale» ma «dettagliata» ed «esplicativa» quanto alle operazioni ed alla tipologia di
dati da trattare
7
. Il Codice della Privacy distingue tra tre ipotesi:
1. Il caso in cui i soggetti pubblici possono trattare i dati sensibili solo se il
trattamento risulta autorizzato da una espressa previsione normativa nella quale
siano specificati:
9 le tipologie di dati oggetto del trattamento;
9 i tipi di operazioni eseguibili su tali dati;
9 le finalità di rilevante interesse pubblico perseguite dai trattamenti
8
.
2. Quando la norma regolatrice si limita a specificare la finalità di rilevante
interesse pubblico, ma non indica i tipi di dati sensibili che possono essere
trattati ed i tipi di operazioni eseguibili, il trattamento è consentito solo se i
titolari hanno provveduto ad individuare e rendere pubblici i tipi di dati e le
26, comma 2, il trattamento dei dati sensibili. Il trattamento è consentito solo se il soggetto pubblico
provvede altresì a identificare e rendere pubblici i tipi di dati e di operazioni nei modi di cui al comma 2.
4. L'identificazione dei tipi di dati e di operazioni di cui ai commi 2 e 3 è aggiornata e integrata
periodicamente.”
7
P. Stanzione, S. Sica, “La nuova disciplina sulla Privacy”, Zanichelli, Torino 2005.
8
Per esempio si ricorda che l’art. 62 del Codice considera di rilevante interesse pubblico, ai sensi degli
artt. 20 e 21, le finalità relative alla tenuta degli atti e dei registri dello stato civile, delle anagrafi della
popolazione residente in Italia e dei cittadini italiani residenti all'estero, e delle liste elettorali, nonché al
rilascio di documenti di riconoscimento o al cambiamento delle generalità.
4
operazioni oggetto del trattamento. La suddetta individuazione deve essere
effettuata attraverso un atto di natura regolamentare, da adottare entro il 31
dicembre 2005 e da sottoporre periodicamente ad aggiornamento ed
integrazione. Una innovazione del Codice consiste nel fatto che tale
regolamento, d’ora in poi, dovrà conformarsi al parere espresso, anche sulla base
di schemi tipici, dal Garante, pena l’illiceità del trattamento eventualmente posto
in essere. Poiché il regolamento suddetto può essere emanato solo in conformità
al parere del Garante, ne deriva che, a differenza di quanto generalmente
previsto per gli altri atti consultivi di competenza dell’Autorità, il suddetto
parere è da ritenersi obbligatorio e vincolante. Occorre, inoltre, tener presente
che le tipologie di operazioni non individuate e rese pubbliche secondo le citate
modalità non possono essere utilizzate. In definita, alla presenza di questa
situazione, il soggetto pubblico interessato, per proseguire nel trattamento dei
dati sensibili, deve sopperire alla lacuna delle leggi attraverso l’approvazione
interna e l’adozione di un atto regolamentare, che corrisponde e soddisfa
condizioni prestabilite.
3. Una terza ipotesi estrema si verifica quando la legge di settore non solo non
specifica i dati sensibili trattabili e le operazioni eseguibili ma neppure prevede
in modo esplicito il trattamento dei dati sensibili: in tal caso i soggetti pubblici
possono chiedere al Garante di individuare, tra le varie attività ad essi
demandate dalla legge, quelle che perseguono “finalità di rilevante interesse
pubblico” e per le quali il trattamento è di conseguenza autorizzato. Il Garante
deve comunicare la propria decisione entro 45 giorni dal ricevimento
dell’istanza di autorizzazione; decorso tale periodo, il silenzio vale come rigetto.
5
Anche in questo caso il soggetto pubblico deve identificare e rendere pubblici i
tipi di dati e le operazioni oggetto del trattamento.
L’art. 20, infine, si chiude con un implicito richiamo all’art. 11 del Codice ed in
particolare alla lettera c) per la quale i dati personali debbano essere «esatti» e se
necessario «aggiornati», è un’ennesima espressione di quella «tutela procedimentale»
che consente al soggetto pubblico di esprimere in ogni «fase» e «grado» del trattamento,
un controllo diretto sulla regolarità del medesimo nonché sulla «esattezza» e «attualità»
delle informazioni che lo riguardano.
Per quanto concerne il trattamento dei c.d. “dati giudiziari
9
da parte dei soggetti
pubblici è riscontrabile, rispetto alle ipotesi previste dal Codice relativamente al
trattamento dei dati sensibili, qualche differenza
10
. Si rileva innanzitutto che le rilevanti
finalità di interesse pubblico, il tipo di dati e di operazione possono essere individuati
non solo dalla legge, ma anche da un Provvedimento del Garante. Con riferimento a tale
categoria di dati, infatti, l’Autorità non si limita a supplire ad un’eventuale carenza
legislativa enucleando le attività dell’ente pubblico che perseguono le finalità di
rilevante interesse pubblico, ma è chiamata anche a specificare i tipi di dati giudiziari
9
Sono definiti dati giudiziari dall’art. 4, comma 1°, lett e) del Codice: “i dati personali idonei a rivelare
provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del d.P.R. 14 novembre 2002,
n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato
e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del
codice di procedura penale”
10
La fonte normativa regolatrice è l’art. 21 (Principi applicabili al trattamento di dati giudiziari): “1. Il
trattamento di dati giudiziari da parte di soggetti pubblici è consentito solo se autorizzato da espressa
disposizione di legge o Provvedimento del Garante che specifichino le finalità di rilevante interesse
pubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili. 2. Le disposizioni di cui
all'articolo 20, commi 2 e 4, si applicano anche al trattamento dei dati giudiziari”. I dati giudiziari sono
accostati a quelli sensibili per le stesse ragioni riguardanti l’estrema delicatezza di contenuto di questo
tipo di informazioni che giustifica un elevato grado di vincoli e condizioni posti a tutela della riservatezza
dell’individuo. L’idea che traspare dalla norma, è quella che i dati giudiziari sono una vera e propria
species del genus «dati sensibili».
6
che possono essere trattati e di operazioni che su di essi possono essere eseguite.
Qualora, invece, una disposizione di legge specifichi le finalità di rilevante interesse
pubblico, ma non i tipi di dati e di operazioni eseguibili, trova applicazione l’art. 20,
commi 2° e 4°; pertanto, i soggetti pubblici devono provvedere all’individuazione
suddetta con atto di natura regolamentare, curandone periodicamente l’aggiornamento e
l’integrazione. Il Codice rafforza ulteriormente le garanzie per i cittadini attraverso l’art.
22
11
denominato “Principi applicabili al trattamento di dati sensibili e giudiziari”.
11
L’articolo 22 così dispone: “1. I soggetti pubblici conformano il trattamento dei dati sensibili e
giudiziari secondo modalità volte a prevenire violazioni dei diritti, delle libertà fondamentali e della
dignità dell'interessato. 2. Nel fornire l'informativa di cui all'articolo 13 i soggetti pubblici fanno
espresso riferimento alla normativa che prevede gli obblighi o i compiti in base alla quale è effettuato il
trattamento dei dati sensibili e giudiziari. 3. I soggetti pubblici possono trattare solo i dati sensibili e
giudiziari indispensabili per svolgere attività istituzionali che non possono essere adempiute, caso per
caso, mediante il trattamento di dati anonimi o di dati personali di natura diversa. 4. I dati sensibili e
giudiziari sono raccolti, di regola, presso l'interessato. 5. In applicazione dell'articolo 11, comma 1,
lettere c), d) ed e), i soggetti pubblici verificano periodicamente l'esattezza e l'aggiornamento dei dati
sensibili e giudiziari, nonché la loro pertinenza, completezza, non eccedenza e indispensabilità rispetto
alle finalità perseguite nei singoli casi, anche con riferimento ai dati che l'interessato fornisce di propria
iniziativa. Al fine di assicurare che i dati sensibili e giudiziari siano indispensabili rispetto agli obblighi e
ai compiti loro attribuiti, i soggetti pubblici valutano specificamente il rapporto tra i dati e gli
adempimenti. I dati che, anche a seguito delle verifiche, risultano eccedenti o non pertinenti o non
indispensabili non possono essere utilizzati, salvo che per l'eventuale conservazione, a norma di legge,
dell'atto o del documento che li contiene. Specifica attenzione è prestata per la verifica
dell'indispensabilità dei dati sensibili e giudiziari riferiti a soggetti diversi da quelli cui si riferiscono
direttamente le prestazioni o gli adempimenti. 6. I dati sensibili e giudiziari contenuti in elenchi, registri
o banche di dati, tenuti con l'ausilio di strumenti elettronici, sono trattati con tecniche di cifratura o
mediante l'utilizzazione di codici identificativi o di altre soluzioni che, considerato il numero e la natura
dei dati trattati, li rendono temporaneamente inintelligibili anche a chi è autorizzato ad accedervi e
permettono di identificare gli interessati solo in caso di necessità. 7. I dati idonei a rivelare lo stato di
salute e la vita sessuale sono conservati separatamente da altri dati personali trattati per finalità che non
richiedono il loro utilizzo. I medesimi dati sono trattati con le modalità di cui al comma 6 anche quando
sono tenuti in elenchi, registri o banche di dati senza l'ausilio di strumenti elettronici. 8. I dati idonei a
rivelare lo stato di salute non possono essere diffusi. 9. Rispetto ai dati sensibili e giudiziari
indispensabili ai sensi del comma 3, i soggetti pubblici sono autorizzati ad effettuare unicamente le
operazioni di trattamento indispensabili per il perseguimento delle finalità per le quali il trattamento è
consentito, anche quando i dati sono raccolti nello svolgimento di compiti di vigilanza, di controllo o
ispettivi. 10. I dati sensibili e giudiziari non possono essere trattati nell'ambito di test psicoattitudinali
7
Innanzitutto al comma 1° del dispositivo in parola si esplicita un dovere di cautela
preventiva obbligando i soggetti pubblici al trattamento dei dati sensibili e giudiziari
con «modalità volte a prevenire violazioni dei diritti, delle libertà fondamentali e delle
dignità dell’interessato». E’ una previsione molto significativa perché «sacrifica»
esigenza di tipo pubblicistico dinanzi a valori centrali dell’ordinamento, come la libertà
e la dignità dell’interessato. Inoltre il comma 5° dello stesso art. 22 richiamando
espressamente altri articoli del Codice, garantisce il rispetto dei principi di liceità,
correttezza e necessità del trattamento, obbligando il soggetto pubblico ad una verifica
periodica dei requisiti per l’utilizzo dei dati; più chiaramente, la pubblica
amministrazione deve valutare con cadenza periodica i dati sensibili e giudiziari. Di
particolare importanza è il comma 6° il quale favorisce il concretizzarsi di una
protezione aggiuntiva che si sostanzia nell’obbligo a carico dei soggetti pubblici di
trattare i dati sensibili e giudiziari contenuti in elenchi, registri o banche dati elettronici,
con tecniche di cifratura o l’utilizzazione di codice di accesso che rendono il dato
temporaneamente inintelligibile anche al soggetto autorizzato ad accedervi, di modo che
la cognizione e la conoscenza di quei dati siano permessi soltanto se necessario.
volti a definire il profilo o la personalità dell'interessato. Le operazioni di raffronto tra dati sensibili e
giudiziari, nonché i trattamenti di dati sensibili e giudiziari ai sensi dell'articolo 14, sono effettuati solo
previa annotazione scritta dei motivi. 11. In ogni caso, le operazioni e i trattamenti di cui al comma 10,
se effettuati utilizzando banche di dati di diversi titolari, nonché la diffusione dei dati sensibili e
giudiziari, sono ammessi solo se previsti da espressa disposizione di legge. 12. Le disposizioni di cui al
presente articolo recano principi applicabili, in conformità ai rispettivi ordinamenti, ai trattamenti
disciplinati dalla Presidenza della Repubblica, dalla Camera dei deputati, dal Senato della Repubblica e
dalla Corte costituzionale.”
8
Ricevi informazioni sui nostri servizi, sulle offerte e non perdere news e consigli su università e lavoro.
