|
Privacy
ed Enti Locali: la disciplina per il trattamento dei
dati personali
a
cura di Giovanni Iannelli
PREMESSA
I principi generali sul trattamento dei dati personali
posti dalla legge sulla privacy sono destinati ad influenzare,
inevitabilmente, il complesso dell'attività amministrativa
rivolta alla gestione delle informazioni.
Infatti, la P.A. forma le sue decisioni raccogliendo
informazioni rilevanti ed organizzandole sino a pervenire
alle determinazioni finali, che poi vengono comunicate
o diffuse al pubblico, nonché conservate, spesso unitamente
al materiale propedeutico, per il loro eventuale riutilizzo
ai fini amministrativi, ovvero per ragioni di certezza
ed in seguito, eventualmente, di interesse storico.
( AA.VV. La tutela della privacy nella p.a. di Enzo
Barilà e Carla Caputo, pag.201).
E', quindi, necessario per tutti gli enti adeguarsi
alla normativa vigente in tema di tutela della privacy,
tra questi interessate sono le amministrazioni locali,
date le loro funzioni istituzionali ed il continuo interagire
con il cittadino.
Nel settore esistono diversi punti di crisi e di difficile
attuazione della legge stessa, cosicché mentre molti
comuni, nel dubbio, hanno richiesto frequentemente pareri
al Garante, molte amministrazioni hanno evitato di affrontare
il problema, così come si può rilevare da una prima
analisi, che evidenzia come attualmente solo pochi Enti
Locali abbiano iniziato questo processo di adeguamento
alla legge 675/96.
Il lavoro che segue terrà conto degli orientamenti che
allo stato attuale è possibile desumere dall'esame dei
regolamenti comunali di città campione come Napoli,
Bologna, Firenze, Bari, Palermo almeno per i Comuni
superiori a 300.000 abitanti, Modena, Argenta (BO),
Venezia, per i comuni inferiori a 300.000 abitanti,
Mercato San Severino (SA), Casciano di Val di Pesa (FI),
Desenzano sul Garda, Poggiomarino (NA), Mondera (PI),
Vietri sul Mare (SA), per i comuni inferiori a 100.000
abitanti.
LA DISCIPLINA DELLA 675/99 RISPETTO ALLA P.A.
La legge disciplina la materia del trattamento dei dati
personali in maniera difforme per la P.A. rispetto ai
privati ed agli enti pubblici economici.
· La P.A. può effettuare il trattamento dei dati personali
solo per lo svolgimento di funzioni istituzionali, nei
limiti stabiliti dalla legge e dai regolamenti (art.27
comma I L.675/96).
La Legge pone di conseguenza un limite di strumentalità
del trattamento, ragion per cui la mancanza dei fini
istituzionali preclude ogni possibilità alla P.A. di
procedere al trattamento dei dati personali, integrandosi
in tal caso l'illecito penale previsto dall'art.35 L.675/99.
· La P.A. è tenuta così come i privati alla disciplina
dettata dalla Legge in merito alle modalità di raccolta
e ai requisiti dei dati di cui viene in possesso (art.9
L.675/96), per cui i dati devono essere trattati in
modo lecito e secondo correttezza, raccolti e registrati
per scopi determinati espliciti e legittimi, esatti
e aggiornati, pertinenti e non eccedenti le finalità
della raccolta.
· A differenza dei privati la P.A. non è tenuta a richiedere
il consenso degli interessati nella raccolta dei dati
da essa effettuata (art.11 L.675/96).
· Vige, invece, per la P.A. il medesimo obbligo, che
incombe sui privati e sugli enti pubblici economici,
ad informare in via preventiva i soggetti interessati
(art.10 L.675/96), così come pure incombe sulla P.A.
l'obbligo di custodire e controllare i dati mediante
adeguate misure di sicurezza e di adottare, in tal senso,
le misure minime di sicurezza previste a norma del II
comma dell'art.15 L.675/99 dal D.P.R. 318/99.
· Anche per quanto riguarda la comunicazione e la diffusione
dei dati il regime previsto è diverso a seconda che
il titolare del trattamento sia una P.A. o un privato
(art.27 L.675/96).
La comunicazione al Garante prevista dalla Legge è richiesta
solo se la comunicazione o la diffusione dei dati ad
altri soggetti pubblici non sia prevista da norme di
legge e regolamentari, mentre quando tali operazioni
siano effettuate verso soggetti privati o enti pubblici
economici le stesse sono ammissibili solo ed esclusivamente
se previste da norme di legge o regolamentari.
LA REGOLAMENTAZIONE DEL TRATTAMENTO DEI DATI SENSIBILI.
La disciplina del trattamento dei dati sensibili prevista
dalla 675/96, prevede che le operazioni di trattamento
di dati sensibili da parte della P.A. siano unicamente
quelle strettamente necessarie per il perseguimento
di rilevanti finalità di interesse pubblico (art.22
comma III L.675/96), attività istituzionali che non
possono essere adempiute mediante il trattamento di
dati anonimi o di dati di natura diversa (art.3 comma
I D.lgs.133/99).
Il D.lgs. 133/99 oltre a riforme in alcuni punti la
675/96, ha individuato alcune rilevanti finalità di
interesse pubblico che possono consentire il trattamento
dei dati personali elecandole espressamente.
Allorquando tali operazioni si rendano necessarie, le
stesse sono possibili solo nel caso in cui siano specificatamente
previste da norme di legge ovvero quando, non essendovi
una previsione legislativa in tal senso, vengano autorizzate
espressamente dal Garante.
Il problema che sorge in ambedue i casi è quello di
prevedere quali debbano essere i dati trattati, in che
forma debbano essere raccolti, quali siano le operazioni
eseguibili, quali debbano essere le forme di pubblicità
e di trasparenza che garantiscano ai cittadini di effettuare
un controllo sui trattamenti effettuati e di conseguenza
di esercitare i diritti loro spettanti in base alla
legge, nonché di stabilire le modalità per l'aggiornamento
periodico dei dati.
Tutte le sopra descritte operazioni potrebbero essere
già disciplinate nella previsione legislativa che consente
all'Ente la raccolta e il trattamento, ma nel caso in
cui così non fosse e nel caso di trattamento autorizzato
dal Garante sarà necessario per l'Ente emanare un apposito
regolamento.
In detti casi, quindi, per essere in regola con la legge
sulla privacy, il Garante sottolinea che spetta all'amministrazione
pubblica, titolare di una banca dati che raccoglie dati
di natura sensibile, dotarsi di un regolamento che disciplini
i tipi di dati e le operazioni eseguibili.
Tali atti regolamentari avendo valenza esterna, in quanto
afferiscono a diritti fondamentali dei cittadini, dovranno
essere emanati ai sensi dell'art.42 comma 2 lettera
a) mediante atti dei consigli comunali o provinciali.
Per maggiore chiarezza, facendo un passo indietro nell'esposizione,
bisogna affermare che tali regolamenti devono intendersi
necessari anche nel caso in cui il trattamento non coinvolga
dati sensibili, allorquando la legge in base alla quale
il trattamento può essere effettuato non definisca dettagliatamente
i criteri e le modalità in base alle quali lo stesso
debba essere effettuato (art.27 L.675/96).
IL PROBLEMA DELL'INDIVIDUAZIOINE DEL TITOLARE, DEL
RESPONSABILE E DELL'INCARICATO.
Nella legge sulla privacy, il titolare del trattamento
dei dati personali e l'interessato costituiscono le
figure fondamentali intorno alle quali è stato costruito
il sistema di obblighi, diritti e responsabilità, diretto
ad assicurare il raggiungimento degli scopi normativi.
Mentre il responsabile del trattamento può anche non
essere designato (art.8 legge 675/96) identificandosi
in tal caso con il titolare, ovvero è una figura non
indispensabile, il titolare è il necessario punto di
riferimento delle principali disposizione della legge.
Secondo la definizione legislativa titolare del trattamento
dei dati personali è la persona fisica, la persona giuridica,
la P.A. e qualsiasi altro ente, associazione od organismo
cui competono la decisioni in ordine alle finalità ed
alle modalità del trattamento di dati personali, ivi
compreso il profilo della sicurezza (art. 1 comma II
lett. d) L.675/99).
Il garante è immediatamente intervenuto, precisando
che il riferimento alla persona fisica che compare nella
definizione normativa del titolare "non riguarda coloro
che amministrano o rappresentano la p.a. o l'ente, ma
concerne gli individui che effettuano il trattamento
di dati a titolo personale (ad esempio, il libero professionista,
il piccolo imprenditore), e che assumono individualmente
la piena responsabilità di un attività che va distinta
nettamente, anche sul piano giuridico, da quella che
singole persone fisiche possono coordinare nell'ambito
dell'interesse di una persona giuridica, di un impresa
o di un ente nel quale ricoprono incarichi di rilievo.(V.
il parere reso al Ministero delle finanze in data 9/12/97
in ball., n.2 p.40)
In altri termini secondo il Garante, "qualora il trattamento
sia effettuato nell'ambito di una persona giuridica,
di una p.a. o di un altro organismo, il titolare è l'entità
nel suo complesso ( ad esempio la società, il ministero,
l'ente pubblico l'associazione) anziché talune delle
persone fisiche che operano nella relativa struttura
e che concorrono in concreto ad esprimere la volontà,
o che sono legittimati a manifestarla all'esterno..".
L'indirizzo del garante, anticipato di gran lunga dalla
dottrina, è condivisibile per cui il titolare sarà destinatario
delle decisioni del Garante, e può agire in giudizio
per opporsi ad esse (art. 26 comma VI L. 675/96).
In definitiva le pubbliche amministrazioni, operanti
come autonomi centri di imputazione, sono da identificarsi
come titolari, per i trattamenti dei dati personali
Necessariamente il tutto dovrà coordinarsi con l'ormai
consolidato orientamento legislativo in tema di separazione
tra politica e amministrazione, per cui dopo le numerose
modifiche legislative al corpo normativo degli enti
locali, per i "Dirigenti della Stato"( artt.16 e 17
D.lgs. n.29/93 come sostituito dal D.lgs n. 80/98),
vige ormai anche negli enti locali la competenza dirigenziale
per tutti gli atti che impegnano l'amministrazione verso
l'esterno (art.51 comma III L. 142/90 come modificato
ex art.6 comma II L. 127/97 integrato dall'art. 2 L.
n.191/98).
Da ciò discende che per quanto concerne gli Enti Locali
possiamo affermare che il Titolare dei dati è l'amministrazione
locale nel suo complesso che si identifica nella persona
del suo rappresentante pro tempore, cioè il Sindaco
oppure una persona sua delegata, il Responsabile può
essere individuato nel dirigente del settore dell'amministrazione
che effettua il trattamento, il quale a sua volta nell'ambito
della sua struttura di settore individuerà l'Incaricato
del trattamento.
Tra i diversi regolamenti comunali esaminati quello
di Napoli sembra essere molto indicativo; in esso è
individuato come titolare delle banche dati, l'ente
stesso, nella persona del Sindaco o di un suo delegato
(art. 7 reg. sulla tutela della riservatezza dei dati
personali contenuti in archivi e banche dati comunali
approvato il 2001).
La norma citata continua affermando al comma 2 che "al
Sindaco competono le decisioni in ordine alle modalità
del trattamento dei dati personali, ivi compreso il
profilo della sicurezza" il successivo comma 3 "i Dirigenti
delle singole strutture in cui si articola l'organizzazione
comunale sono preposti al trattamento dei dati contenuti
nelle banche dati esistenti nelle articolazioni organizzative
di loro competenza e ne sono responsabili.
Sembra quindi che l'orientamento dell'amministrazione
partenopea è a favore di una responsabilizzazione dei
singoli dirigenti preposti nei diversi settori amministrativi,
identificandoli nel responsabile del trattamento.
Al Sindaco competono solo apprezzamenti circa le modalità
del trattamento ivi compreso quello della sicurezza.
Infatti il successivo art.13 del regolamento rubricato
"misure di sicurezza" demanda al Sindaco con apposito
atto la competenza nell'individuazione di soggetti in
grado di garantire lo sviluppo delle misure minime di
sicurezza previste dall'art. 15 della legge 675/96 e
del regolamento di cui al D.P.R. 28 luglio 1988 n. 318.
Quanto all'incaricato del trattamento dei dati il comma
3 dell'art.7 reg. com. Napoli, individua nel dirigente,
nella struttura di sua appartenenza, la persona competente
a nominare l'incaricato del trattamento.
Allo stesso incaricato si estendono i requisiti di cui
all'art.8 della legge 675/96 comma 4.
|
|