Indice

Relazione 2000

I - Stato di attuazione della legge n. 675/1996

Forze di polizia, uffici giudiziari e servizi di informazione e di sicurezza

15. PROFILI GENERALI
Come è noto, la legge n. 675/1996 prevede, all´art. 4, alcuni trattamenti svolti in ambito pubblico che sono ancora parzialmente sottratti alla disciplina in materia di protezione dei dati personali (ci si riferisce, in particolare, ai trattamenti effettuati per ragioni di giustizia, per finalità di prevenzione e repressione dei reati, a quelli relativi a dati memorizzati o destinati a confluire nel Centro elaborazione dati del Dipartimento della pubblica sicurezza, nonché ai trattamenti effettuati dai servizi di informazione e di sicurezza).

A tali trattamenti, tuttavia, si applicano alcune disposizioni della legge n. 675, in particolare quelle attinenti ai requisiti di liceità e alla sicurezza dei trattamenti di dati personali, nonché quelle che prevedono l´esercizio da parte del Garante di verifiche e controlli (art. 4, comma 2, l. n. 675/1996). Gli uffici giudiziari o di polizia hanno, in particolare, il dovere di rispettare il principio di "proporzionalità" nel trattamento dei dati (in base al quale, fra l´altro, si possono trattare solo i dati "pertinenti …e non eccedenti" rispetto alle finalità istituzionali, secondo quanto previsto dall´art. 9 l. n. 675/1996) e l´obbligo di adottare le cautele necessarie a garantire la sicurezza dei dati trattati (art. 15, commi 1 e 2, l. n. 675/1996 e d.P.R. n. 318/1999 sulle misure minime di sicurezza).

Sulla portata e sui limiti dell´attuale applicabilità di tali disposizioni ai trattamenti dell´art. 4 si è rivolta l´attenzione del Garante, in attesa che sia completato il quadro normativo. La recente legge 24 marzo 2001, n. 127, infatti, al fine di ultimare il processo di piena attuazione dei principi previsti dalla legge n. 675 nell´ambito di specifici settori, già avviato con le leggi-delega n. 676/1996 e n. 344/1998, ha previsto un ulteriore differimento del termine per l´esercizio della delega al 31 dicembre 2001.

16. PROTEZIONE DEI DATI E ATTIVITÀ GIUDIZIARIA
I principi descritti si applicano ai trattamenti di dati personali svolti "per ragioni di giustizia", sebbene la normativa processuale antecedente alla legge n. 675/1996 non sia stata ancora modificata alla luce delle nuove garanzie in materia di trattamento dei dati personali.

Come già riportato nella relazione per l´anno 1999, il Garante si è espresso in tal senso in particolare nel provvedimento del 29 febbraio 2000 rispetto ai trattamenti effettuati nell´ambito di un giudizio instaurato da persone che avevano contratto particolari sindromi a causa della somministrazione di emoderivati infetti.

Data la delicatezza della materia, il legale delle parti aveva richiesto che fossero adottate nel processo misure idonee a tutelare la riservatezza dell´identità dei ricorrenti e, in proposito, l´Autorità ha sottolineato che i principi previsti dalla legge n. 675, benché non ancora compiutamente articolati nelle norme processuali civili e penali, dovrebbero comunque concretizzarsi in misure anche di carattere organizzativo, pur nei limiti delle prerogative dell´autorità giudiziaria. La non integrale adozione in giudizio di efficaci cautele può condizionare, infatti, il diritto del cittadino alla propria difesa o addirittura comportare la rinuncia della parte lesa a chiedere il risarcimento dei danni per timore dell´ampia conoscibilità delle patologie sofferte.

L´Autorità ha comunque segnalato al Governo e al Parlamento l´opportunità che siano introdotte disposizioni processuali volte a contemperare meglio le esigenze processuali con quella di garantire la riservatezza dei soggetti coinvolti in vicende giudiziarie riguardanti aspetti particolarmente delicati della persona.

Sull´argomento il Garante, nel luglio 2000, ha anche avuto un proficuo incontro con l´Associazione nazionale magistrati, nel corso del quale quest´ultima ha sottolineato l´esigenza di integrare, anche sul piano normativo, la disciplina processuale e deontologica al fine di assicurare il pieno rispetto dei diritti della personalità e in particolare della riservatezza. Il Garante e l´Associazione hanno poi concordato sulla necessità di operare un attento bilanciamento, anche sul piano delle prassi applicative, tra la tutela della riservatezza e la specificità della funzione giudiziaria che è preposta alla tutela di interessi anch´essi costituzionalmente garantiti.

Il Garante non ha rinvenuto, invece, elementi per intervenire in ordine alle disposizioni che un tribunale aveva impartito in tema di accesso degli operatori giudiziari e, in particolare, degli avvocati, alle notizie sullo stato dei procedimenti civili e penali inserite nel sistema informativo del medesimo ufficio giudiziario; ciò anche in considerazione delle precedenti prese di posizione con le quali l´Autorità ha richiamato l´attenzione sul rapporto fra le norme processuali sulla richiesta di atti e di notizie e le disposizioni della legge n. 675.

Sotto il profilo dei controlli sui trattamenti svolti "per ragioni di giustizia", il Garante, anche nel decorso anno, ha precisato che è consentito inviare all´Autorità una segnalazione o un reclamo (art. 31, l. n. 675/1996) per sollecitare il controllo sulla liceità dei trattamenti, ma non è possibile esercitare i diritti nelle forme previste dagli articoli 13 e 29 della legge n. 675 rivolgendosi direttamente all´ufficio giudiziario o presentando un formale ricorso all´Autorità stessa.

Con provvedimento del 14 febbraio 2001, il Garante ha ritenuto tuttavia che i diritti di cui all´articolo 13 si possono esercitare rispetto ai dati contenuti in una nota-circolare del Consiglio superiore della magistratura quale quella esaminata, con la quale si informavano gli uffici giudiziari dell´avvenuta nomina dei referenti per la formazione decentrata. La decisione era ovviamente basata sul presupposto che i trattamenti di dati non erano effettuati per "ragioni di giustizia". Con il relativo ricorso al Garante, il magistrato interessato aveva chiesto il blocco del trattamento dei dati personali e la rettifica delle informazioni diffuse sul proprio conto con la circolare, ritenendo che si trattasse di dati incompleti e non pertinenti e comunque implicanti discredito alla propria persona. Nel merito, l´Autorità ha poi respinto la richiesta di blocco anche in quanto il provvedimento inibitorio non sarebbe comunque risultato necessario alla luce dell´iniziativa assunta dal CSM di sostituire la circolare "impugnata". Ha inoltre respinto anche la richiesta di rettifica in quanto, per le modalità con cui era stata formulata, avrebbe determinato la diffusione di ulteriori dati anch´essi non pertinenti rispetto alla finalità da perseguire; ciò sul presupposto che l´applicazione di un principio previsto dalla legge n. 675 non può comportare un´ulteriore inosservanza degli altri principi di protezione dei dati.

Anche sotto il profilo dei controlli, con l´attuazione della legge-delega n. 127/2001, si avrà la possibilità di sperimentare nuovi strumenti di garanzia per gli interessati volti, ad esempio, a consentire loro un esercizio più immediato dei diritti previsti dall´articolo 13 della legge n. 675, tenendo comunque conto della specificità dei trattamenti svolti per "ragioni di giustizia".

Sono da ricordare inoltre, nell´ambito delle diverse iniziative dell´Autorità garante sul tema dei trattamenti di dati personali a fini di giustizia:

• le indicazioni espresse dall´Autorità stessa sullo schema di regolamento recante disposizioni per l´uso di strumenti informatici e telematici nel processo civile (regolamento poi approvato con decreto del Ministro della giustizia 13 febbraio 2001, n. 123);
• il parere reso sullo schema di decreto ministeriale riguardante le regole procedurali relative alla tenuta dei registri informatizzati dell´Amministrazione della giustizia (decreto del Ministro della giustizia 27 marzo 2000, n. 264);
• il provvedimento del 17 febbraio 2000, con il quale il Garante ha riconosciuto la liceità del trattamento di dati personali relativi a minori da parte di un Ufficio per la mediazione penale costituito su iniziativa di alcuni soggetti pubblici, in quanto la normativa di settore consente agli uffici giudiziari di avvalersi della collaborazione di esperti per accertare la personalità di minori e di promuoverne la conciliazione con le persone offese dal reato;
• il provvedimento del 30 marzo 2000 con cui l´Autorità, in risposta ad un quesito posto da un ufficio giudiziario, ha chiarito (in senso diverso da quanto pure ritenuto dall´Ufficio legislativo del Ministero della giustizia) che l´articolo 4 della legge n. 675 si riferisce inequivocamente a tutte le attività comunque effettuate nell´ambito di uffici giudiziari, anche dalla magistratura amministrativa e contabile, ribadendo la diretta applicabilità delle disposizioni della legge n. 675 richiamate nel comma 2 dell´art. 4 a tutti i trattamenti svolti per "ragioni di giustizia" e non solo a quelli amministrativi strumentali alla funzione giurisdizionale, fermi restando, in ogni caso, gli opportuni adattamenti resi indispensabili dalla specificità degli interessi perseguiti previsti dalla più volte ricordata legge delega;
• la nota del 9 novembre 2000 con la quale il Garante ha richiamato l´attenzione del Ministro della giustizia sulla pubblicazione, sul sito Internet di un tribunale, di un avviso relativo all´udienza preliminare di un complesso procedimento penale connesso all´utilizzazione di emoderivati infetti. Nell´occasione l´Autorità ha ribadito che, pur nella consapevolezza che la validità dei relativi atti deve essere verificata nella competente sede giudiziaria, l´applicazione – seppure parziale – della legge n. 675/1996 ai trattamenti di dati per ragioni di giustizia impone agli uffici giudiziari di adottare modalità applicative delle norme processuali più consone alle libertà fondamentali e alla dignità degli interessati.

17. LE MODALITÀ DI NOTIFICAZIONE DI ATTI
La tematica delle cautele da osservare a garanzia della riservatezza delle persone interessate da notifiche di atti giudiziari è, com´è noto, fra quelle cui il Garante ha dedicato maggiore attenzione, sin dal provvedimento del 22 ottobre 1998 (v. Relazione per l´anno 1998, p. 23), considerato il generale interesse dei cittadini manifestato. Il Garante era già tornato sull´argomento nel corso del 1999 chiarendo, con una nota del 26 ottobre 1999, che le cautele richieste nelle notifiche a garanzia della riservatezza della persona interessata, e in particolare nei confronti del terzo cui venga notificato l´atto (ad es. busta chiusa), sono da ritenersi applicabili anche al processo contabile ed amministrativo (v. Relazione per l´anno 1999, p. 62). La questione è stata portata anche all´attenzione del Ministero della giustizia.

Alcune indicazioni dell´Autorità sono state sostanzialmente recepite in un disegno di legge presentato nella decorsa legislatura il quale, tuttavia, è stato approvato solo da un ramo del Parlamento (XIII^ legislatura, AC 6735). Tale iniziativa, che si auspica venga riproposta, opportunamente aggiornata, nel corso della nuova legislatura, prevede alcune soluzioni rispetto alle notificazioni degli atti del processo (si era prevista infatti la modifica di alcune disposizioni dei codici di rito e della normativa sulle notifiche a mezzo posta) e nell´ambito di procedimenti amministrativi, dove il problema è altrettanto sentito (ad es. notifica di sanzioni a carattere amministrativo, cartelle esattoriali, ecc.).

18. ATTIVITÀ DI POLIZIA
Per quanto riguarda i trattamenti svolti per finalità di polizia, hanno assunto un particolare rilievo gli accertamenti svolti dal Garante a seguito di alcune segnalazioni di militari e di cittadini in ordine a taluni trattamenti di dati personali effettuati dall´Arma dei Carabinieri riguardanti, in particolare, le c.d. "pratiche permanenti".

Dagli accertamenti effettuati non sono emersi trattamenti sostanzialmente difformi dalla normativa vigente. Sono stati però evidenziati alcuni problemi che derivano da un quadro normativo non ancora pienamente armonizzato ai principi introdotti dalla legge sulla riservatezza dei dati. In tal senso, il Garante ha segnalato al Governo la necessità di un sollecito intervento normativo, anche in via regolamentare, sia per quanto riguarda i trattamenti a fini amministrativi, sia per quelli attinenti alle attività di polizia.

In particolare, dalle notizie fornite dall´Arma in un quadro di collaborazione, è emerso che alcune prassi da lungo tempo adottate hanno portato alla conservazione di un numero elevato di pratiche e di informazioni ormai in contrasto con i sopravvenuti principi in materia di protezione dei dati. L´Autorità ha pertanto indicato – accanto alle auspicate soluzioni normative – la necessità di interventi anche sul piano organizzativo, volti, fra l´altro, ad individuare termini più adeguati di conservazione dei dati, nonché livelli diversificati di consultazione dei documenti, a consentire verifiche periodiche della pertinenza delle informazioni e ad assicurare idonee cautele rispetto ai dati più risalenti nel tempo, specie se di natura sensibile. L´Arma ha già fornito alcuni primi utili riscontri con due note pervenute nel marzo di quest´anno.

Analogamente a quanto appena descritto in ordine alle "pratiche permanenti" dell´Arma, il Garante non ha rinvenuto elementi di illiceità nei trattamenti di dati effettuati dall´Ufficio per la garanzia penitenziaria del Dipartimento dell´amministrazione penitenziaria del Ministero della giustizia, in ordine ai quali un sindacato di categoria aveva segnalato presunte "schedature" del personale con l´asserita creazione di fascicoli riportanti informazioni di carattere privato (Provv. del 30 ottobre 2000).

Un´altra problematica della quale il Garante è tornato ad occuparsi è quella delle richieste di informazioni formulate nell´ambito di attività di indagine di polizia giudiziaria o avanzate da pubbliche autorità per altre finalità istituzionali.

Il Garante aveva già chiarito alcuni importanti aspetti applicativi della disciplina in materia allorché, nel 1999, aveva fornito una prima risposta ad una compagnia aerea circa i limiti di acquisibilità da parte delle forze di polizia di dati relativi ai passeggeri dei voli (v. Relazione per l´anno 1999, p. 63).

Più di recente, l´Autorità ha nuovamente distinto due categorie di richieste: a) quelle riconducibili ad un´attività di polizia giudiziaria, cui si applica l´art. 4 della legge n. 675, alle quali deve darsi corso in base al codice di procedura penale non ostandovi l´applicabilità della stessa legge n. 675, salva l´applicabilità, in ogni caso, del principio di pertinenza (per cui le richieste devono, nei limiti del possibile, essere circostanziate sotto il profilo oggettivo e temporale); b) quelle avanzate da forze di polizia o da altre pubbliche autorità non riconducibili all´esercizio di poteri di polizia giudiziaria (o, comunque, alle altre funzioni indicate nell´art. 4), cui si applica l´intera disciplina della legge n. 675 e, in particolare, quella prevista per i flussi informativi fra soggetti pubblici e privati (artt. 27 e 20, l. n. 675).

La questione verrà nuovamente approfondita a breve con particolare riguardo alla richiesta di acquisire sistematicamente dati sui passeggeri di voli aerei.

Per quanto attiene al profilo dei controlli sui trattamenti effettuati dal Centro elaborazione dati del Dipartimento della pubblica sicurezza o su trattamenti comunque riconducibili ad attività di polizia considerate nell´art. 4 della legge, il Garante, in relazione ad un ricorso avverso il trattamento dei dati personali utilizzati per un avviso orale del questore, ha ribadito che per i trattamenti effettuati dal predetto C.e.d. o riconducibili a "finalità … di prevenzione, accertamento e repressione dei reati" (art. 4, comma 1, lett. e)) l´interessato può esercitare i suoi diritti di verifica e di rettifica direttamente nei confronti del Dipartimento della pubblica sicurezza, Ufficio per il coordinamento e la pianificazione delle forze di polizia, ovvero sollecitare l´instaurazione da parte del Garante di un autonomo procedimento di verifica su quanto segnalato dall´interessato in ordine ai dati che lo riguardano (art. 31, comma 1, lett. d) e p) e art. 32), ma non può presentare ricorso al Garante ai sensi dell´art. 29 della legge n. 675 e 18 e ss. del d.P.R. n. 501/1998.

Resta ferma l´esigenza che anche attraverso i decreti delegati previsti dalla citata legge-delega, siano introdotte modifiche alle attuali procedure tali da rendere più snelle, ma anche più efficaci le verifiche.

19. SISTEMA DI INFORMAZIONE SCHENGEN
Nel corso dell´anno il Garante, quale Autorità di controllo sulla sezione nazionale del Sistema informativo Schengen (N.SIS), ha ricevuto numerose richieste di verifica dell´eventuale registrazione, nei predetti archivi, di dati personali dei richiedenti e della liceità dei relativi trattamenti in base ai principi contenuti nella Convenzione di applicazione dell´Accordo di Schengen e nella legge n. 675 (art. 11, l. 30 settembre 1993, n. 388).

La gran parte delle richieste sono state presentate dagli interessati direttamente al Garante, mentre in alcuni casi esse sono pervenute dalle omologhe Autorità di controllo degli altri Paesi alle quali i richiedenti si sono rivolti in base alla procedura di consultazione fra Autorità di controllo prevista dall´art. 114, comma 2, della Convenzione.

Si tratta, in molti casi, di istanze relative al diniego del rilascio di visti; altre richieste sono finalizzate a conoscere l´esistenza e le cause di provvedimenti amministrativi sfavorevoli in materia di ingresso e soggiorno nel nostro Paese ovvero si riferiscono a casi di usurpazione d´identità o di omonimia.

Anche nel decorso anno si è riscontrato un notevole incremento del numero delle richieste pervenute al Garante rispetto all´anno precedente (n. 59 nel periodo 1999-10 aprile 2000), anche a seguito della proficua azione del nostro Paese nell´ambito della campagna informativa sui diritti del cittadino nei confronti del Sistema d´informazione Schengen, a suo tempo deliberata dall´Autorità comune di controllo in tutti i Paesi aderenti all´Accordo.

L´Autorità garante e l´ufficio SIRENE del Dipartimento della pubblica sicurezza, all´esito di proficui incontri su taluni aspetti applicativi della materia, hanno convenuto circa la necessità che sia assicurata una maggiore speditezza alle procedure per il riscontro agli interessati delle verifiche effettuate, in particolare nei casi in cui l´Ufficio del Garante fornisce tale riscontro sulla base degli elementi forniti dal Dipartimento.

Nel quadro delle verifiche effettuate con la piena collaborazione del Dipartimento non sono emerse specifiche violazioni nelle modalità del trattamento dei dati. Il Garante ovviamente proseguirà nell´esercizio delle proprie funzioni di controllo approfondendo, anche sulla base degli orientamenti dell´Autorità comune di controllo Schengen, la piena corrispondenza alla Convenzione di applicazione dell´Accordo di Schengen delle varie modalità di raccolta e trattamento di specifiche categorie di dati.

20. SERVIZI DI INFORMAZIONE E DI SICUREZZA
Il Garante ha svolto anche nel corso del 2000 l´attività di verifica su specifici trattamenti di dati personali effettuati presso gli organismi competenti in materia di informazioni e di sicurezza (SISMI, SISDE e CESIS), effettuando accertamenti rispetto alle segnalazioni dei soggetti interessati, in conformità alla legge n. 675/1996. I controlli sono stati effettuati con le modalità già osservate nel corso dei precedenti anni, anche nei casi più recenti con la piena collaborazione dei predetti organismi.

Al termine di tali accertamenti, che sono stati concentrati nel terzo gruppo di verifiche effettuate dal Garante a decorrere dalla sua istituzione (per un totale di circa trenta persone fisiche e giuridiche che hanno chiesto accertamenti), l´Autorità, nel riscontrare la sostanziale liceità e correttezza del trattamento dei dati personali, ha rivolto alle autorità di Governo, nel maggio del 2000, alcune valutazioni d´insieme sull´applicazione della normativa in materia di protezione dei dati personali. In particolare è stata richiamata l´attenzione sull´opportunità di impartire nuove istruzioni agli uffici periferici per evitare l´acquisizione di informazioni non pertinenti rispetto alle finalità di tutela della sicurezza e difesa dello Stato.

È stata inoltre rilevata l´esigenza di una maggiore attenzione al profilo della conservazione nel tempo dei dati raccolti, raccomandando una maggiore selezione delle informazioni disponibili anche sulla base di tecniche informatiche e un accesso o una conservazione diversificata del materiale riguardante vicende remote.

Un´indicazione ha riguardato il potenziamento delle tecniche di classificazione di fascicoli, che pure sono risultati conservati in modo ordinato e ricostruibile.

Agli interessati che hanno chiesto accertamenti è stato fornito un riscontro nel rispetto di quanto previsto dall´art. 32, comma 6, della legge n. 675/1996.

Infine, anche per quanto attiene ai controlli esercitabili sui trattamenti svolti dagli organismi di sicurezza ovvero su dati coperti da segreto di Stato, il Garante, con un provvedimento del 28 febbraio 2000, ha precisato che è possibile inviare all´Autorità una segnalazione o un reclamo per sollecitarne il controllo sulla legittimità dei trattamenti, ma non è consentito esercitare i diritti previsti dall´articolo 13 della legge n. 675 rivolgendosi direttamente ai predetti organismi ed eventualmente con ricorso al Garante in base all´articolo 29 della stessa legge n. 675.