g-docweb-display Portlet

3.6. Codici di deontologia - Relazione 1999 - 3 maggio 2000

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

Indice

3. Il Garante - Relazione 1999 - 3 maggio 2000

3.6. Codici di deontologia
Per evidenziare l´attività svolta dal Garante in questo ambito, conviene anzitutto ricordare che l´art. 31 della legge n. 675/1996 prevede, fra gli altri compiti ad esso attribuiti, quello di "promuovere, nell´ambito delle categorie interessate e nell´osservanza del principio di rappresentatività, la sottoscrizione di codici di deontologia e di buona condotta per determinati settori, verificarne la conformità alle leggi e ai regolamenti anche attraverso l´esame di osservazioni di soggetti interessati e contribuire a garantirne la diffusione e il rispetto". Tale articolo ha recepito pienamente l´art. 27, par. 1, della direttiva 95/46/CE, secondo il quale "gli Stati membri e la Commissione incoraggiano l´elaborazione di codici di condotta destinati a contribuire, in funzione delle specificità settoriali, alla corretta applicazione delle disposizioni nazionali di attuazione della presente direttiva, adottate dagli Stati membri".

L´importanza attribuita ai codici di deontologia e di buona condotta sembra doversi ricondurre alla necessità di prevedere strumenti normativi fondati anche su una base autodisciplinare. Si è infatti ritenuto che la tutela dei dati personali potesse ricevere un forte impulso da un complesso di norme applicabili all´insieme dei titolari del trattamento, il cui contenuto fosse determinato dagli stessi operatori di un dato settore o da coloro che esercitano una determinata professione. I codici rappresentano, in qualche modo, una nuova area della strumentazione normativa ed un´innovazione significativa nel sistema delle fonti. La flessibilità che li caratterizza conferisce loro il grande vantaggio di poter essere facilmente modificati: ogni eventuale cambiamento o integrazione non richiede infatti un complesso procedimento normativo di riforma.

Il Gruppo di lavoro per la tutela delle persone fisiche con riguardo al trattamento dei dati personali, di cui all´art. 29 della direttiva, ha elaborato un documento (DG XV D/5020/97) concernente l´autodisciplina settoriale, con particolare riguardo all´incidenza di questa sul livello di tutela dei dati in un determinato Paese. In tale documento viene ribadito che, nella valutazione del contenuto dei codici, bisogna anzitutto accertare che siano compresi i necessari "principi sostanziali" in materia di tutela della riservatezza rispetto al trattamento dei dati personali: quello della qualità e della proporzionalità dei dati, il principio della trasparenza, il principio della sicurezza, i diritti di accesso, rettifica e opposizione, nonché l´esigenza di una tutela rafforzata per i dati sensibili.

Oltre a quanto appena detto, il contenuto dei codici dovrebbe specificare e adattare, nel particolare settore della categoria interessata, la normativa contenuta nella legislazione generale, sforzandosi di mantenere la massima semplicità espositiva. In particolare, il codice dovrebbe occuparsi degli ambiti settoriali la cui specificità non può essere coperta dalla norma statuale.

Al momento della redazione dei codici, inoltre, si dovrebbe tenere conto dell´omogeneità e della compattezza del soggetto che si pone come rappresentativo degli interessi del settore nella stesura del codice. In tal senso, assume quindi particolare rilievo il problema della rappresentatività di coloro. Laddove esista un ordine o un collegio professionale, tali organismi dovrebbero svolgere un ruolo decisivo nell´adozione del codice, pur restando al Garante il potere di verificarne la conformità alle leggi e ai regolamenti e di contribuire a garantirne la diffusione e il rispetto. Quando, invece, non esistono ordini o collegi professionali, il codice deve essere elaborato pur sempre nell´ambito della categoria maggiormente rappresentativa del settore, ferma restando la possibilità della coesistenza di più codici nel caso in cui non sia possibile raggiungere una posizione unitaria dei diversi interlocutori.

Correlato a quest´ultimo aspetto è quello del generale livello di osservanza dei codici, a sua volta legato al potere dell´associazione od organizzazione di sanzionare gli aderenti che non li rispettano, tenendo anche presente che in alcuni casi, oltre alla rilevanza sul piano interno e quindi di tipo disciplinare, esiste anche una rilevanza esterna che attiene alla liceità del trattamento dei dati. Insieme al potere sanzionatorio, deve però configurarsi anche una forma di sostegno e di assistenza alle persone interessate dal trattamento dei dati da parte dell´organismo rappresentativo del settore, supportata dall´esistenza di mezzi di riparazione adeguati.

La legge n. 675/1996, e in particolare l´art. 31, comma 1, lett. h), pur non delineando organicamente l´iter del procedimento per l´adozione dei codici, prevede che il Garante debba promuoverne la sottoscrizione, nel rispetto del principio di rappresentatività delle categorie interessate, e che debba verificarne la conformità alle leggi e ai regolamenti nonché contribuire a garantirne il rispetto e la diffusione. Tale disposizione generale, di riferimento per tutti i tipi di codici, viene specificata più dettagliatamente per alcune materie in cui la disciplina per la protezione dei dati prevede l´obbligatorietà dei codici deontologici e di buona condotta. E´, questo, per esempio, il caso del codice relativo ai dati personali utilizzati per i trattamenti ai fini dello svolgimento delle investigazioni difensive o per far valere o difendere in sede giudiziaria un diritto di rango pari a quello dell´interessato.

L´art. 22, comma 4, infatti, prevede che il Garante prescriva le misure e gli accorgimenti a garanzia dell´interessato (che il titolare del trattamento è tenuto ad adottare) e promuova la sottoscrizione di un apposito codice di deontologia e di buona condotta secondo le modalità di cui all´art. 31, comma 1, lettera h).

Merita, invece, un discorso a parte il codice deontologico dei giornalisti, su cui ci si è già ampiamente soffermati nella Relazione per l´anno 1998(cfr. § 2.3.2, pag. 38 ss.). Esso è configurato in modo particolare dall´art. 25 della legge n. 675/1996 come modificata nel 1998, prevedendosi, fra l´altro, che debba essere adottato dal Consiglio nazionale dell´ordine dei giornalisti entro sei mesi dall´invito in tal senso formulato dal Garante. Durante la sua elaborazione, il Garante può anche indicare "misure ed accorgimenti a garanzia degli interessati, che il consiglio è tenuto a recepire".

In caso di inerzia del Consiglio, il codice è invece adottato in via sostitutiva dal Garante, mentre nell´ipotesi di violazione delle prescrizioni contenute nel codice di deontologia, l´Autorità può vietare il trattamento ai sensi dell´articolo 31, comma 1, lettera l). Si è infine previsto che tale codice deve essere rispettato da chiunque tratti dati personali nei mezzi di informazione, stabilendosi altresì che il Garante ne curi la pubblicazione sulla Gazzetta Ufficiale (per il testo in vigore cfr. il provvedimento 29 luglio 1998, in Gazzetta Ufficiale n. 179 del 3 agosto 1998).

Di recente, infine, il d.lg. 11 maggio 1999, n. 135, quale modificato dal decreto legislativo 30 luglio 1999, n. 282, nonché il d.lg. 30 luglio 1999, n. 281 hanno previsto un ulteriore sviluppo dei codici: si tratta dei codici deontologici e di buona condotta relativi ai dati personali utilizzati per finalità storiche, statistiche, di ricerca scientifica, nonché di quelli utilizzati dagli operatori sanitari.

Una delle caratteristiche più rilevanti di questi ultimi codici attiene al fatto che, qualora si contravvenga alle loro disposizioni, il trattamento diviene illecito perché contrario alla legge n. 675/1996. Il rispetto delle disposizioni contenute nei codici, infatti, costituisce una condizione essenziale per la liceità e la correttezza del trattamento dei dati (art. 6, comma 2, d.lg. n. 281/1999).

L´inottemperanza rileva poi sia sul piano disciplinare, sia ai fini della valutazione della colpa in caso di danno (art. 18 legge n. 675/1996). Le disposizioni deontologiche diventano quindi "obbligatorie", con una vera e propria funzione integrativa della legislazione.

Per quanto riguarda in particolare i trattamenti a scopi storici effettuati da archivisti e utenti, il codice di deontologia e di buona condotta deve individuare le regole di correttezza e di non discriminazione nei confronti degli utenti, anche rispetto alla comunicazione e alla diffusione dei dati, nonché le particolari cautele per la raccolta, la consultazione e la diffusione di documenti concernenti i dati idonei a rivelare lo stato di salute, la vita sessuale o rapporti riservati di tipo familiare, identificando anche i casi in cui l´interessato o chi vi abbia interesse è informato dall´utente della prevista diffusione di dati. Esso deve altresì individuare le modalità di applicazione agli archivi privati della disciplina dettata in materia di trattamento dei dati a scopi storici, anche in riferimento all´uniformità dei criteri da seguire per la consultazione e alle cautele da osservare nella comunicazione e nella diffusione (art. 7, comma 5, d.lg. n. 281/1999).

Con riguardo ai trattamenti per scopi statistici e di ricerca scientifica, il d.lg. n. 281/1999 specifica invece il contenuto dei relativi codici, soffermandosi in particolare sulla necessità di individuare i presupposti e i procedimenti diretti al fine di documentare e verificare che i trattamenti siano svolti per idonei ed effettivi scopi statistici e di ricerca scientifica.

Per quanto non previsto dalla legge, i codici devono indicare gli ulteriori presupposti del trattamento e le connesse garanzie, anche in riferimento alla durata della conservazione dei dati, alle informazioni da rendere agli interessati relativamente ai dati raccolti anche presso terzi, alla comunicazione ed alla diffusione, ai criteri selettivi da osservare per il trattamento di dati identificativi, alle specifiche misure di sicurezza, nonché alle modalità per la modifica dei dati a seguito dell´esercizio dei diritti dell´interessato.

I codici devono altresì individuare l´insieme dei mezzi che possono essere ragionevolmente utilizzati dal titolare del trattamento o da altri per identificare l´interessato, anche in base alle conoscenze acquisite grazie al progresso tecnico; le garanzie da osservare nei casi in cui può prescindersi dal consenso dell´interessato; le modalità semplificate per la prestazione del consenso relativamente ai dati sensibili; le regole di correttezza da osservare nella raccolta dei dati; le istruzioni da impartire al personale incaricato; le misure da adottare per favorire il rispetto dei principi di pertinenza e non eccedenza dei dati e delle misure di sicurezza di cui all´art. 15 della legge n. 675/1996, nonché, infine, l´impegno al rispetto di regole di condotta degli incaricati del trattamento che, in base alla legge, non siano tenuti al segreto d´ufficio o professionale, tali da assicurare analoghi livelli di sicurezza e di riservatezza.

I codici deontologici relativi al trattamento di dati personali idonei a rivelare lo stato di salute, effettuato da organismi sanitari ed esercenti le professioni sanitarie, sono previsti dall´art. 17 del d.lg. n. 135/1999, come modificato dall´art. 3 del d.lg. n. 282/1999. Per quanto non previsto dal decreto di cui all´art. 23, comma 1-bis, della legge n. 675/1996, i codici, adottati dalle federazioni nazionali degli ordini e dei collegi delle professioni sanitarie, devono prevedere l´impegno al rispetto di regole di condotta analoghe al segreto professionale da parte degli incaricati del trattamento che non sono tenuti in base alla legge al segreto professionale; devono inoltre prevedere modalità per rendere noti all´interessato i dati personali idonei a rivelare lo stato di salute, nonché le modalità semplificate per l´informativa e per la prestazione del consenso; devono, infine, identificare i casi di urgenza nei quali l´informativa e il consenso possono intervenire successivamente alla richiesta della prestazione.

Il Garante, con un provvedimento del 10 febbraio 2000 pubblicato nella Gazzetta Ufficiale n. 46 del 25 febbraio 2000, ha dato avvio alla procedura per la sottoscrizione dei codici nei settori sopra evidenziati, aggiungendo anche il trattamento di dati personali effettuato da istituzioni bancarie e finanziarie in ragione dei diversi profili applicativi emersi e del loro rilievo rispetto alla generalità dei cittadini.