SOMMARIO: 1. IL QUADRO GENERALE DELLA NORMATIVA IN MATERIA DI TRATTAMENTO DEI DATI SENSIBILI E GIUDIZIARI DA PARTE DELLA PUBBLICA AMMINISTRAZIONE ; 2. IL TRATTAMENTO DEI DATI SENSIBILI E GIUDIZIARI IN AMBITO DISCIPLINARE.
1. IL QUADRO GENERALE DELLA NORMATIVA IN MATERIA DI TRATTAMENTO DEI DATI SENSIBILI E GIUDIZIARI DA PARTE DELLA PUBBLICA AMMINISTRAZIONE.
Com’è noto, i dati sensibili, ai sensi dell’art.4 del d. l.vo 196/2003, recante il Codice in materia di protezione dei dati personali, sono i “dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale”. Questi ultimi vengono definiti, per la loro particolare disciplina, dati “supersensibili” o “sensibilissimi” ( 1).
La disciplina fondamentale per il trattamento dei dati sensibili nella pubblica amministrazione è contenuta nell’art. 20 del d. l.vo 196/2003, che prevede il necessario presupposto di una disposizione di legge che specifichi i tipi di dati che possono essere trattati e di operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite.
Ai sensi del citato art. 20, c. 2, nel caso in cui la disposizione di legge specifichi la finalità di rilevante interesse pubblico, ma non i tipi di dati sensibili e di operazioni eseguibili, il trattamento è consentito solo per i tipi di dati e di operazioni identificati e resi pubblici a cura dei soggetti pubblici che effettuano il trattamento, in relazione alle specifiche finalità perseguite nei singoli casi e nel rispetto dei principi di cui al successivo art. 22, con atto di natura regolamentare adottato in conformità al parere espresso dal Garante per la protezione dei dati personali.
L’ art. 20, c. 3, del d. l.vo 196/2003 prevede anche, per i soggetti pubblici, la possibilità di richiedere al Garante l’individuazione delle attività che perseguono finalità di rilevante interesse pubblico, tra quelle demandate ai medesimi soggetti dalla legge, se il trattamento non è espressamente previsto da una disposizione di legge.
Il disposto dell’art. 20 rende evidente il formalismo che contraddistingue il trattamento dei dati sensibili, che è possibile solo qualora concorrano le tre condizioni sopra indicate, che consistono in apposite previsioni di legge, o di regolamento, sia per la specificazione delle finalità di rilevante interesse pubblico, che per i tipi di dati trattati e di operazioni eseguibili.
Si può osservare, altresì, che la previsione della richiesta al Garante dell’individuazione delle attività aventi finalità di rilevante interesse pubblico, in alternativa alla disposizione di legge, appare abbastanza singolare e giustificabile solo con la peculiare posizione di neutralità e indipendenza assegnata dall’ordinamento a tale authority.
Nell’attuale assetto della normativa sulla riservatezza dei dati, si rileva che le finalità di interesse pubblico sono state perlopiù definite, per i vari settori dell’amministrazione pubblica, dallo stesso Codice sulla protezione dei dati personali. Ciò è avvenuto per l’accesso ai documenti amministrativi (art. 59), per la tenuta degli atti e dei registri dello stato civile, delle anagrafi e delle liste elettorali (art. 62), per l’applicazione della disciplina in materia di cittadinanza, di immigrazione, di asilo, di condizione dello straniero e del profugo e sullo stato di rifugiato (art. 64) e per altre attività previste dal capo IV del titolo IV del testo normativo in questione. Altre norme specifiche stabiliscono le finalità di rilevante interesse pubblico per quanto riguarda i compiti del Servizio Sanitario nazionale (art. 85), l’istruzione (art. 95), il trattamento per scopi storici, statistici o scientifici (art. 98) e per il lavoro e la previdenza sociale (art.112).
La seconda componente del sistema normativo sul trattamento dei dati sensibili per i soggetti pubblici, eventuale ma nei fatti molto utilizzata, è il regolamento ex art. 20, c. 2, del Codice, la cui formulazione deve ispirarsi alle linee-guida stabilite dal provvedimento del Garante per la protezione dei dati personali del 30 giugno 2005 (2), che, oltre a illustrare profili procedurali, ha indicato il contenuto dell’atto regolamentare in questione e ha previsto le modalità con cui deve essere pubblicizzato.
Tale provvedimento ha specificato e ribaditoche l’adozione dei regolamenti “non è un mero adempimento formale, oppure una semplice ricognizione di prassi esistenti, poiché da tali regolamenti discenderanno effetti sostanziali per i cittadini interessati”e che “le amministrazioni non possono avvalersi, nel caso di specie, di meri atti che, anche se denominati regolamenti, non hanno, anche per la loro eventuale rilevanza solo interna, la necessaria natura di fonte normativa suscettibile di incidere su diritti e libertà fondamentali di terzi”.
Il regolamento in questione va, quindi, inserito nello schema di cui all’art. 17, comma 1, lett. b, l. 400/1988 e, in particolare, nella categoria dei regolamenti attuativi ed integrativi, caratterizzati da forza innovativa (3), proprio in virtù delle considerazioni riportate nel citato provvedimento del Garante.
Nella stessa sede, il Garante ha anche messo a disposizione dei soggetti pubblici uno schema tipo da utilizzare per la redazione del regolamento che, si rammenta, deve essere adottato in conformità al parere espresso dallo stesso Garante, ai sensi dell’art. 154, c. 1, lettera g.
Va, altresì, ricordato che il trattamento dei dati sensibili deve essere ispirato ai principi di cui all’art. 22 del Codice, tra cui spicca quello di indispensabilità.
Ai sensi, inoltre, dell’art. 21 del d. l.vo 196/2003, i principi che regolano il trattamento dei dati giudiziari sono analoghi a quelli inerenti ai dati sensibili.
2. IL TRATTAMENTO DEI DATI SENSIBILI E GIUDIZIARI IN AMBITO DISCIPLINARE.
L’art. 112, comma II, lett. g) del Codice riveste un particolare rilievo per la materia disciplinare in ambito pubblico, in quanto ricomprende, tra i trattamenti di rilevante interesse pubblico, quelli effettuati al fine di “svolgere attività diretta all’accertamento della responsabilità civile, disciplinare e contabile…..”.
Tale particolare qualificazione è, tuttavia, di per sè sola, insufficiente a legittimare il trattamento dei dati personali sensibili a fini disciplinari, in mancanza dei regolamenti ex art. 20, c. 2.
Molte amministrazioni, così come esplicitato anche dal Garante nel summenzionato provvedimento del 30 giugno 2005, fino a poco tempo addietro non avevano ottemperato all’obbligo di adottare i regolamenti in questione.
D’altro canto, anche la previgente legge 675/1996 riportava, all’art. 22, un’analoga disciplina, prevedendo l’indicazione in una norma di legge delle finalità di interesse pubblico e dei tipi di dati e di operazioni strettamente pertinenti e necessari in relazione alle finalità perseguite nei singoli casi, ovvero, per questi ultimi, l’identificazione e la pubblicizzazione secondo i rispettivi ordinamenti, con espressione più generica rispetto alla normativa vigente, che richiede espressamente un atto regolamentare.
In questo contesto si è inserita la sentenza della Cassazione, I sezione civile, 8 luglio 2005, nr. 14390, che ha affrontato la tematica delle conseguenze della mancata adozione degli atti ex art. 22, c. 3 bis, l. 675/1996, ora trasfuso nell’art. 20, c. 2, del d. l.vo 196/2003 e che, pertanto, può fornire utili indicazioni anche in sede d’interpretazione di quest’ultima disposizione.
La fattispecie esaminata nella pronuncia riguarda, appunto, un trattamento di dati sensibili in ambito disciplinare effettuato in presenza dell’avvenuto riconoscimento per legge della sola finalità di interesse pubblico del medesimo trattamento, ai sensi dell’art. 9, c. 2, lett. g) del d. l.vo 135/1999, ma senza che sussistesse l’identificazione, per legge o con atto dell’amministrazione competente, dei tipi di dati trattabili e di operazioni eseguibili.
I giudici della Cassazione hanno ritenuto, nella circostanza, che i dati “supersensibili” ricevono, in ragione dei valori costituzionali posti a loro presidio (artt. 2 e 3 Cost.), una protezione rafforzata, che si estrinseca, tra l’altro, nel “rispetto di un modulo procedimentale, corrispondente a quello stabilito dalla legge del 1996, così come integrato nel 1999”.
Si può, a tal proposito, osservare che la previsione del citato procedimento bilancia l’esenzione dei soggetti pubblici dall’obbligo di consenso scritto, o di autorizzazione del Garante, per il trattamento dei dati, così come previsto dall’art. 18, c. 4, del Codice. Si aggiunge, per inciso, che tale disposizione vincola l’amministrazione a non effettuare trattamenti per finalità diverse da quelle rientranti nelle proprie funzioni istituzionali, neanche con il consenso dell’interessato (4).
Di estremo interesse è l’osservazione contenuta nella sentenza suddetta, secondo la quale “non è dunque la pubblicità in se del dato che ne consente il trattamento, ricavandosi da esso ulteriore valore informativo, ma la sussistenza dei presupposti previsti dalla legge”. L’osservanza del procedimento di trattamento dei dati e dei presupposti di legittimazione non è, quindi, surrogabile con l’oggettiva pubblicità del dato.
La Cassazione ha quindi accolto il ricorso avverso la sentenza del Tribunale di Roma oggetto dell’impugnazione e ha rinviato la causa del giudice del merito, per la valutazione della legittimità del trattamento dei dati in questione.
L’interpretazione della I sezione civile della Corte di Cassazione è sicuramente fedele al dettato legislativo e al particolare rilievo attribuito dalla 675/1996 e, ora, dal Codice, agli atti identificativi dei tipi di dati trattabili e delle operazioni eseguibili, intesi quali presupposti di legittimità dei trattamenti; né, d’altro canto, si può sottovalutare la circostanza che, ora, il d. l.vo 196/2003 richiede una disposizione “espressa” di legge (e quindi anche di regolamento) che contempli i vari profili contenutistici sopra menzionati.
La pronuncia sembra tuttavia porsi in controtendenza con i nuovi orientamenti legislativi relativi al procedimento amministrativo, che mirano ad escludere la dichiarazione giurisdizionale di illegittimità del provvedimento amministrativo per violazioni di carattere esclusivamente formale, così come si desume dall’art. 21 octies, c. 2, l. 241/1990, introdotto dalla l. 15/2005. Le argomentazioni riportate nella sentenza 14390/2005 hanno tracciato per i giudici di merito, infatti, un percorso che conduce all’invalidazione del provvedimento de quo, emesso perdipiù nell’ambito di un’attività definita per legge di “rilevante interesse pubblico”,proprio a causa di una violazione di legge riguardante un profilo prettamente formale della fattispecie.
Nella circostanza è stata, infatti, condivisa la tesi dell’illegittimità del trattamento, pur esistendo un regolamento di disciplina (il D.P.R. 25 ottobre 1981, nr. 737) che, anche non contenendo disposizioni volte a identificare i tipi di dati trattabili e di operazioni eseguibili, legittimava e circoscriveva, nella fattispecie, la potestà disciplinare dell’amministrazione, prevedendo anche minuziose formalità procedurali per l’adozione di decisioni disciplinari.
Tale normativa secondaria già garantiva interessi di rilievo costituzionale di rango non inferiore rispetto a quelli tutelati dalla normativa sulla riservatezza, come lo status del lavoratore interessato o lo stesso diritto al lavoro, nei procedimenti riguardanti misure espulsive, oltre al buon andamento della pubblica amministrazione.
Si osserva, inoltre, che l’art. 15 D.P.R. 3/1957 e altre similari disposizioni, tuttora vigenti, prevedevano la regola del segreto d’ufficio, che vincolava pure gli organi, gli uffici e i collegi preposti ad attività disciplinari.
Anche in assenza di specifici atti dell’amministrazione in materia di trattamento dei dati, già esisteva, dunque, all’epoca dei fatti in questione, un complesso normativo che assicurava la sostanziale osservanza delle finalità della normativa sulla riservatezza dei dati, che è quella di evitare lesioni alla dignità personale mediante indebita utilizzazione o diffusione dei dati personali.
E’ opportuno inoltre osservare che, rispetto all’orientamento giurisprudenziale che considerava immediatamente applicabile la disciplina di cui all’art. 22 della legge 675/1996, con conseguente insufficienza della mera indicazione della finalità di interesse pubblico di una determinata attività di un soggetto pubblico non accompagnata dall’adozione di un regolamento che specificasse anche i tipi di trattamenti eseguibili e di operazioni eseguibili, si riscontrava anche un diverso orientamento del Garante per la protezione dei dati personali.
L’ Autorità indipendente, pur non affrontando specificamente la tematica qui approfondita, si era infatti espressa in senso favorevole alla complessiva legittimità del trattamento dei dati operato dall’amministrazione, nella fattispecie esaminata dalla citata sentenza 14390/2005.
Si rammenta, inoltre, che l’art. 5, c. 4, del d. l.vo 135/1999, prevedeva un termine iniziale ma non anche un termine finale per l’adeguamento degli ordinamenti dei soggetti pubblici alle previsioni di cui all’ art. 22, c. 3 bis, della l. 675/1996, introdotto dallo stesso d. l.vo 135/1999, riguardanti l’emanazione degli atti di competenza delle singole amministrazioni in materia di dati trattabili e di operazioni eseguibili. Ciò induce a riternere che l’illegittimità di eventuali trattamenti dei dati, effettuati all’epoca dalle amministrazioni senza identificazione dei dati trattabili e delle operazioni eseguibili, appare perlomeno dubbia.
Analoghe considerazioni possono ora farsi per l’art. 20 del Codice, estremamente simile, sul punto, all’art. 22 l. 675/1996, anche se attualmente l’art. 181 del Codice prevede un termine finale per l’adozione degli atti di competenza dei soggetti pubblici.
Infatti il Garante, nel summenzionato provvedimento del 30 giugno 2005, dopo aver espresso viva preoccupazione per la decorrenza del termine di legge per l’adozione dei regolamenti, allora previsto, dall’art. 181 del Codice, per il 31 dicembre 2005 e successivamente più volte prorogato, ha affermato che “ se non interverranno per tale data i necessari atti di natura regolamentare il trattamento dei dati sensibili e giudiziari dovrà essere infatti interrotto a decorrere dal 1° gennaio prossimo. La prosecuzione del trattamento di dati sensibili e giudiziari dopo tale data concretizzerebbe un illecito, con conseguenti responsabilità di diverso ordine, anche contabile ed erariale; potrebbe inoltre comportare l’inutilizzabilità dei dati trattati indebitamente, nonché il possibile intervento di provvedimenti anche giudiziari di blocco o di divieto del trattamento (art. 154 del Codice; art. 3 d.l. 24 giugno 2004, nr. 158, come modificato dalla l. 27 luglio 2004, nr. 188; art. 11, commi, lett. a) e 2 del Codice)”. Evidentemente, l’illiceità del trattamento viene ricollegata, dal Garante, alla scadenza del termine de quo senza l’adozione del regolamento e non, immediatamente, all’esistenza della norma di legge che prevede l’atto regolamentare.
Attualmente si ravvisa, comunque, un fattivo impegno delle amministrazioni per l’adeguamento all’art. 20 d. l.vo 196/2003.
Si porta ad esempio il regolamento adottato dal Ministero dell’Interno con decreto nr. 244 del 21 giugno 2006 (5). Di particolare rilievo, in materia disciplinare, appare la scheda nr. 1, allegata a detto regolamento, che prevede, tra i trattamenti di dati sensibili e giudiziari eseguibili dall’Amministrazione dell’Interno, l’emissione di atti e decreti ministeriali ai fini economici dell’adozione di provvedimenti disciplinari, la sospensione del rapporto di lavoro e la destituzione. Nella parte della scheda riservata alla descrizione del trattamento del flusso informativo, si precisa, tuttavia, che gli eventuali provvedimenti di sospensione o destituzione vengono assunti sulla scorta dei dati emersi dal casellario giudiziale.
Inoltre, nella scheda nr. 8, è previsto il trattamento delle ricostruzioni economiche a seguito di riammissioni in servizio, di revoche, sospensioni relative al personale appartenente ai ruoli ordinario e tecnico della Polizia di Stato.
Negli scorsi giorni, è stato anche pubblicato il Decreto del Ministero della pubblica istruzione 7 dicembre 2006, nr. 305, riportante il regolamento di cui all’art. 20 del d. l.vo 196/2003, relativo a detta amministrazione (6).
Purtuttavia, poiché, evidentemente, non tutte le amministrazioni hanno adempiuto all’obbligo di adottare il regolamento ex art. 20, c. 2, del Codice sulla protezione dei dati personali, il termine finale per tale adempimento, previsto dall’art. 181 del medesimo Codice, è stato prorogato dal 31 dicembre 2006 al 28 febbraio 2007, con il decreto legge 28 dicembre 2006, nr. 300.
Si aggiunge, infine, che, ai sensi dell’ art. 33 del d. l.vo 196/2003, sono previste delle misure minime di sicurezza che devono essere adottate dai titolari del trattamento dei dati, individuate dai successivi articoli 34-36 e specificate dall’allegato B al codice, recante il disciplinare tecnico in materia di misure minime di sicurezza; tra dette misure spicca il ben noto documento programmatico sulla sicurezza, ex art. 34, lett. g.
Le misure minime di sicurezza rientrano tra i presupposti di legittimità del trattamento dei dati sensibili e giudiziari, anche in campo disciplinare, così come si desume dagli artt. 34 e 35 succitati; la loro violazione può determinare, pertanto, responsabilità di vario genere, tra cui quella penale ex art. 169 del Codice.
Può essere considerata misura di sicurezza anche quella prevista dall’art. 22, c. 7, del Codice, in forza del quale i dati “supersensibili”, cioè quelli idonei a rivelare lo stato di salute e la vita sessuale, sono conservati separatamente da altri dati personali trattati per finalità che non richiedono il loro utilizzo.
Dott. Vito Montaruli
1 Caringella, Corso di diritto amministrativo, Milano, 2005, pag. 2109 ;
2 www.garanteprivacy.it, documento web nr. 1144445
3 Caringella, Corso di diritto amministrativo, Milano, 2005, pag. 167;
4 Elli-Zallone, Il nuovo codice della privacy (commento al d. lgs. 30 giugno 2003, nr. 196), Torino, 2004, pagg. 55-56; Atelli, Trattamenti istituzionali senza necessità di assenso, in Guida al diritto, Il Codice della privacy, dossier mensile nr. 8 del 2003, pag. 121;
5 Supplemento ordinario alla Gazzetta ufficiale, serie generale, nr. 184 del 9.8.2006;
6 Gazzetta ufficiale, serie generale, nr. 11 del 15.1.2007.
Scrivi un commento
Accedi per poter inserire un commento