CARABINIERI

Pubblica amministrazione

5. Profili generali

Il 2002 è stato caratterizzato, ancora una volta, dalla mancata o incompleta attuazione, da parte di diverse amministrazioni pubbliche, delle disposizioni di cui al d.lg. 135/1999, che disciplinano il trattamento dei dati sensibili.
In particolare, non risulta ancora attuata presso vari soggetti pubblici la previsione che impone alle amministrazioni pubbliche di identificare e rendere pubblici, secondo i rispettivi ordinamenti, i tipi di dati e di operazioni eseguibili, in relazione alle rilevanti finalità di interesse pubblico dei trattamenti di competenza individuati legislativamente o con provvedimento del Garante.
Il quadro di diffusa disapplicazione di quanto previsto dal citato decreto legislativo è risultato, anche da uno specifico ciclo di ispezioni a campione disposto dal Garante nel corso dell'anno passato.
Tale verifica, unitamente alla valutazione del contenuto dei numerosi quesiti pervenuti, conferma la percezione che in diversi uffici pubblici non sia ancora maturato il richiesto grado di sensibilità sulle regole introdotte dalla legge n. 675/1996 e sugli effetti che le stesse comportano sul modo di amministrare.
Anche dai numerosi quesiti pervenuti da amministrazioni locali e centrali emerge la conferma che il livello di idonea applicazione della legge n. 675/1996 negli uffici pubblici non è ancora soddisfacente.
Sebbene siano trascorsi sei anni dall'entrata in vigore di tale legge, permangono ingiustificate incertezze e lacune, solo in parte derivanti dai tempi obiettivamente necessari per far maturare un ottimale approccio culturale ai principi di garanzia fissati dalla legge, e in larga parte determinati, invece, dalla tendenza ad esaurire l'impegno nell'attuazione - spesso tardiva, inesatta o incompleta - della legge n. 675/1996 assolvendo in modo riduttivo i soli adempimenti di ordine formale.
A tutt'oggi manca inoltre, come si è evidenziato anche nelle precedenti relazioni, una visione di insieme delle problematiche connesse alla protezione dei dati personali. Continua ad essere spesso privilegiato un approccio meramente formale che rende di fatto fini a se stessi e inutilmente burocratici gli adempimenti posti a tutela dei diritti delle persone e della sicurezza delle informazioni, senza alcun concreto beneficio per i diritti della personalità degli interessati.
È sicuramente necessario, quindi, un miglioramento dei rapporti fra amministrazione e cittadino sul piano della tutela dei diritti della personalità.
La consapevolezza di tale stato di cose ha tra l'altro indotto l'Autorità ad intensificare la collaborazione già avviata con gli enti rappresentativi delle autonomie locali e con le regioni. A queste si sono affiancati, su loro specifica iniziativa, contatti e collaborazioni con alcune amministrazioni centrali, le quali hanno al momento portato a pochi risultati concreti.
Tali questioni sono state peraltro sollevate anche in ambito parlamentare dall'interrogazione a risposta scritta presentata dall'On. Del Mastro Delle Vedove, con la quale sono stati richiesti al Governo chiarimenti sulle eventuali iniziative assunte in merito.

6. Informazioni sensibili e altri dati particolari

Come si è accennato nel paragrafo precedente, l'Autorità ha continuato a focalizzare l'attenzione in particolare sull'adeguamento degli ordinamenti da parte dei soggetti pubblici alle disposizioni del d.lg. n. 135/1999 per trattare lecitamente dati sensibili e informazioni di tipo giudiziario.
Come è noto, l'art. 5 di tale decreto, modificando l'art. 22, comma 3, della legge n. 675/1996 ha stabilito che laddove la legge o, in via transitoria, il Garante, abbiano individuato le rilevanti finalità d'interesse pubblico perseguite con un determinato trattamento, i soggetti pubblici possono utilizzare i dati dopo aver previamente individuato e reso noti, "secondo i rispettivi ordinamenti", i tipi di dati e di operazioni eseguibili.
Anche nel corso dell'anno 2002, gli atti adottati in tal senso dalle amministrazioni sono risultati, purtroppo, in numero esiguo e non privi di vizi di fondo legati ad una ricognizione solo formale dell'esistente, tanto da giustificare nuovamente la considerazione, già espressa lo scorso anno, che varie disposizioni del d.lg. n. 135/99 siano rimaste sostanzialmente inapplicate e che alcuni trattamenti effettuati in ambito pubblico proseguano nell'inosservanza delle garanzie per il cittadino.
Oltre a ciò, l'adozione, da parte di alcuni enti, degli atti diretti a rendere noti i tipi di dati e di operazioni effettuabili non è avvenuta consultando preventivamente il Garante, come dovuto per legge, il che ha determinato ulteriori ripercussioni sulla loro validità.
Terminata la peraltro assai lunga fase di primo "avvio" dell'adeguamento degli ordinamenti ai sensi dell'art. 5, comma 4, del d.lg. n. 135/1999, tale stato di cose, verificato anche a seguito di una serie di ispezioni effettuate presso alcune amministrazioni estratte a campione, resta di gravità tale da esporre il nostro Paese anche a rischi di gravi violazioni della disciplina comunitaria.
Ciò ha indotto il Garante a segnalare nuovamente al Governo, in data 17 gennaio 2002, ai sensi dell'art. 31, comma 1, lett. m ), della legge n. 675/1996, la necessità di adottare ogni opportuna iniziativa affinché il trattamento dei dati sensibili e giudiziari da parte dei diversi soggetti pubblici si conformi al più presto alle disposizioni vigenti. Con la medesima segnalazione, sono state peraltro enucleate in chiave alcune linee - guida alle quali le pubbliche amministrazioni devono uniformarsi nella predisposizione degli atti (in Bollettino n. 24, p. 40).
Con tale provvedimento il Garante, nel ribadire l'obbligo di procedere alla rilevazione in questione attraverso atti di natura regolamentare anziché attraverso altri atti amministrativi, ha ricordato che le norme generali introdotte dal d.lg. n. 135/1999 non devono essere riprodotte nei singoli atti, apparendo pacifico che al trattamento dei dati in questione si applichino comunque le medesime disposizioni generali fissate nel decreto in tema, in particolare, di essenzialità, pertinenza, modalità di conservazione dei dati, ecc. (artt. 1 - 5). Piuttosto, si è osservato, risulta necessario collegare alle rilevanti finalità perseguite dal trattamento già individuate dal decreto o dal Garante, i tipi di dati sensibili trattati e i tipi di operazioni su di essi eseguite. Ciò che occorre, in altre parole, è che la pubblica amministrazione chiarisca ai cittadini, in un quadro di piena trasparenza, quali categorie di informazioni vengono utilizzate in relazione alle singole finalità e renda note le sostanziali forme della loro utilizzazione, evitando peraltro la pedissequa, quanto inutile, menzione di tutte le operazioni che compongono l'ampia definizione legislativa di "trattamento" (art. 1, l. n. 675/1996).
Relativamente alla forma che tali provvedimenti promossi dalle amministrazioni pubbliche devono assumere, il Garante ha ribadito, come si è detto, quanto affermato in altre circostanze e cioè che il delicato profilo in questione, che incide in modo significativo sui diritti della personalità, deve essere esaminato attraverso atti di natura regolamentare anziché mediante atti amministrativi interni. Ciò anche perché la forma regolamentare, in ragione del particolare e più adeguato procedimento di formazione (interno ed esterno ai soggetti pubblici) assicura all'atto - regolamento una maggiore "autorevolezza" e stabilità.
Il Garante, fermo restando il diritto dei cittadini di far valere i propri diritti nelle competenti sedi, anche in relazione agli eventuali danni subiti, si è quindi nuovamente riservato, in presenza di accertate violazioni della disciplina in materia, di adottare specifici provvedimenti di blocco o divieto del trattamento.
Dalle verifiche ispettive svolte dall'Autorità sono inoltre risultate ulteriori violazioni di legge, quali la mancata designazione dei soggetti incaricati del trattamento, ovvero un'adozione di misure minime di sicurezza non sempre rispondente al dettato normativo.
Proprio in ragione delle difficoltà appena ricordate, e consapevole del particolare impegno che tale disciplina integrativa di dati sensibili può comportare, l'Autorità ha intrapreso anche sotto questo profilo forme di collaborazione con gli organismi rappresentativi degli enti locali, cui si accennerà nel paragrafo dedicato a questo tema (par. 12).
In materia sanitaria l'individuazione dei tipi di dati e di operazioni presenta profili specifici; l'art. 2, comma 1, d.lg. n. 282/1999, aveva infatti affidato tale compito ad un decreto del Ministro della sanità (da adottarsi sentiti la Conferenza permanente per i rapporti tra lo Stato, le regioni e le province autonome di Trento e Bolzano ed il Garante), che avrebbe dovuto permettere una disciplina più uniforme del settore anche per quanto riguarda l'individuazione delle modalità semplificate per le informative di cui all'art. 10 della l. n. 675/1999 e per la prestazione del consenso nei confronti degli organismi sanitari pubblici, convenzionati o accreditati dal Servizio sanitario nazionale.
Un apposito gruppo di lavoro, cui ha partecipato anche questa Autorità, ha svolto un intenso lavoro terminando, sostanzialmente, l'opera intrapresa. La disciplina integrativa in questa materia è assai attesa.
Oltre a privare i cittadini di importanti garanzie a tutela dei propri diritti fondamentali, il mancato completamento della disciplina costringe vari organismi sanitari a sollecitare più volte il consenso a milioni di cittadini, o ad ometterne la richiesta agli interessati, sebbene tale adempimento potrebbe essere estremamente semplificato proprio con le procedure che il medesimo decreto dovrebbe introdurre.
Fra i pochi tentativi di dare esecuzione alle disposizioni introdotte dal d.lg. n. 135/1999, deve segnalarsi l'adozione del decreto del Ministero della difesa del 10 ottobre 2002, che presenta però un'individuazione non ancora idonea di dati e di operazioni, effettuata peraltro utilizzando una fonte non regolamentare e senza consultare preventivamente il Garante. Opportuni contatti sono stati intrapresi con i relativi uffici per adeguare il decreto.
Con riferimento alla materia dei dati sanitari va anche segnalato il rinnovo da parte del Garante dell'autorizzazione generale n. 2/2002 relativa al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale (che trova parziale applicazione anche in ambito pubblico), con poche modifiche sostanziali rispetto a quella adottata in precedenza .
Per quanto concerne, invece, i dati a carattere giudiziario, il loro trattamento resta al momento regolato principalmente dall'art. 24 della l. n. 675/1996, il quale non prevede una disciplina differenziata fra soggetti pubblici e privati e stabilisce che il trattamento medesimo possa aver luogo solo se autorizzato da un'espressa norma di legge o da un provvedimento del Garante dal quale risultino le rilevanti finalità d'interesse pubblico perseguite dal trattamento, i tipi di dati trattati e le precise operazioni autorizzate.
L'art. 5 del d.lg. n. 135/1999 (come modificato dall'art. 15 del d.lg. n. 281/1999) ha previsto, anche per tali dati, la possibilità per le amministrazioni pubbliche di specificare i tipi di informazioni utilizzabili e di operazioni eseguibili in relazione alle finalità di rilevante interesse pubblico ivi indicate. Tali rilevazioni hanno però incontrato problemi analoghi a quelli appena ricordati a proposito dei dati sensibili. Anche in questo caso necessita, pertanto, una rapida emanazione di idonei regolamenti attuativi da parte di tutte le amministrazioni interessate.
Il Garante ha peraltro autorizzato detti trattamenti, come già in passato con l'autorizzazione n. 7 (rinnovata con scadenza al 30 giugno 2003) rilasciata a favore di soggetti privati e anche pubblici, in relazione ad alcune ulteriori rilevanti finalità di interesse pubblico.
Con riferimento alla pratica applicazione dei principi in materia di trattamenti di dati sensibili in ambito pubblico, merita di essere da ultimo citata la richiesta presentata al Garante da parte di una comunità montana volta ad ottenere una "autorizzazione" al trattamento di dati sensibili in occasione della realizzazione di un censimento della popolazione finalizzato alla redazione di un piano di protezione civile.
In tale occasione, l'Ufficio ha avuto modo di precisare (risposta a quesito del 20 gennaio 2003) che le informazioni attinenti a persone non autosufficienti rilevabili in tale occasione, in quanto di carattere sensibile, possono essere già trattate in quanto collegate alle rilevanti finalità di interesse pubblico in materia di "protezione civile", alle quali può appunto ricondursi il trattamento in questione e che sono individuate sia dal d.lg. n. 135/1999, sia dal Provvedimento n. 1/P/2000 del Garante (in G.U. 2 febbraio 2000, n. 26). L'Ufficio ha peraltro richiamato l'ente al rispetto del principio di pertinenza ex art. 9, legge n. 675/1996, in virtù del quale negli atti delle pubbliche amministrazioni devono essere riportati solo i dati indispensabili al raggiungimento delle finalità istituzionali.

7. Trasparenza dell'attività amministrativa

Come già evidenziato nelle precedenti relazioni, la tutela della riservatezza dei dati personali va armonizzata con le esigenze di trasparenza dell'azione amministrativa, di cui ha tenuto conto all'art. 43, comma 2, legge n. 675/1999.
Nel rinviare al successivo paragrafo una sintetica disamina di alcuni provvedimenti sul diritto d'accesso, si intende qui dar conto succintamente di alcuni chiarimenti dell'Autorità che, nel decorso anno, hanno contribuito, in diversi casi, ad offrire una chiave di lettura nel delicato bilanciamento fra esigenze di trasparenza e tutela della riservatezza.
Uno degli elementi che merita evidenziare in questa sede - e che viene a volte sottovalutato è l'incidenza che un diverso diritto di accesso, quello introdotto dall'art. 13 della legge n. 675, ha avuto in termini di maggiore trasparenza dell'attività della p. a..