g-docweb-display Portlet

2. Quadro normativo in materia di protezione dei dati personali.Relazione 2006 - Parte I - Stato di attuazione del Codice in materia di protez...

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 1420970]

Indice generale

Paragrafo precedente

Paragrafo successivo

 

 

Relazione 2006 - Parte I - Stato di attuazione del Codice in materia di protezione dei dati personali - 12 luglio 2007


2. Quadro normativo in materia di protezione dei dati personali

2.1. Il Codice e il consolidamento delle garanzie  

Le precedenti Relazioni hanno evidenziato il percorso normativo attraverso il quale, negli ultimi anni, sono state introdotte nell´ordinamento importanti garanzie per i diritti fondamentali della persona rispetto al trattamento dei dati, che sono state poi armonizzate nel Codice del 2003 (d.lg. 30 giugno 2003, n. 196) con un solenne riconoscimento del diritto alla protezione dei dati personali.

Nelle Relazioni per gli anni 2004 e 2005 sono stati altresì sottolineati alcuni circoscritti interventi modificativi del Codice sui quali l´Autorità aveva richiamato l´attenzione, trattandosi di misure in controtendenza rispetto al percorso di “stabilizzazione” delle regole in materia di protezione dei dati nel Codice (d.l. 24 dicembre 2003, n. 354, convertito dalla l. 26 febbraio 2004, n. 45 e d.l. 27 luglio 2005, n. 144, convertito dalla l. 31 luglio 2005, n. 155, in materia di conservazione dei dati di traffico telefonico e telematico; d. l. 29 marzo 2004, n. 81, convertito dalla l. 26 maggio 2004, n. 138, in ambito sanitario).

Nel 2006 non si sono registrate ulteriori modifiche del Codice fatta eccezione per la reiterazione di proroghe disposte nel 2004 e nel 2005 ai fini dell´adozione delle misure minime di sicurezza e dei regolamenti sul trattamento dei dati sensibili e giudiziari nelle pubbliche amministrazioni.

La proroga per adottare le misure minime di sicurezza (art. 180, comma 1, del Codice) è stata disposta sino al 31 marzo 2006, mentre il successivo 30 giugno è decorso il termine per adottare le medesime misure da parte dei soggetti che, alla data di entrata in vigore del Codice, disponevano di strumenti elettronici “obsoleti” (art. 180, comma 3, del Codice; d.l. 30 dicembre 2005, n. 273, convertito dalla l. 23 febbraio 2006, n. 51); la proroga relativa all´adozione di regolamenti sui dati sensibili e giudiziari è, invece, scaduta più recentemente, il 28 febbraio 2007 (d.l. n. 273/2005 cit., convertito dalla l. 23 febbraio 2006, n. 51, che ha prorogato l´obbligo al 15 maggio 2006; d.l. 12 maggio 2006, n. 173, convertito dalla l. 12 luglio 2006, n. 228, che ha prorogato il termine al 31 dicembre 2006; d.l. 28 dicembre 2006, n. 300, convertito dalla l. 26 febbraio 2007, n. 17).

2.2. Altre novità normative con riflessi in materia di protezione di dati personali  

Anche fuori del sistema del Codice sono stati approvati alcuni provvedimenti normativi che hanno riguardato il trattamento dei dati personali e l´attività del Garante.

In particolare vanno ricordati:

  • la l. 27 dicembre 2006, n. 296 ha introdotto, in particolare, disposizioni concernenti: la deduzione della spesa sanitaria relativa all´acquisto di medicinali, in base alle quali la fattura o lo scontrino fiscale attestante la spesa devono riportare anche la specificazione della natura, qualità e quantità dei farmaci acquistati (art. 1, commi 28 e 29); l´istituzione di un sistema integrato delle banche dati in ambito tributario e finanziario (art. 1, commi 56 e 57); la trasmissione all´anagrafe tributaria degli elenchi dei soggetti ai quali sono state rimborsate spese sanitarie (art. 1, comma 64); l´esercizio delle funzioni catastali attribuite agli enti locali (art. 1, commi 195 e 196); la riutilizzazione commerciale di dati ipotecari e catastali (art. 1, commi 385 e 386); alcune modifiche all´art. 50 del d.l. 30 settembre 2003, n. 269 convertito, con modificazioni, dalla l. 24 novembre 2003, n. 326 in materia di trasmissione telematica dei dati contenuti nelle ricette mediche (art. 1, comma 810);

Legge finanziaria 2007

  • il d.l. 27 dicembre 2006, n. 297, convertito dalla l. 23 febbraio 2007, n. 15, recante disposizioni per il recepimento delle direttive n. 2006/48/Ce e n. 2006/49/Ce relative all´accesso all´attività degli enti creditizi e all´adeguatezza patrimoniale dei medesimi enti (concernenti l´accordo cd. “Basilea 2”).
    Nel corso dei lavori per la conversione del decreto il relatore ha presentato un emendamento, poi approvato, che, integrando l´articolo 53 del testo unico delle norme in materia bancaria e creditizia (d.lg. n. 385/1993), attribuisce a società ed enti esterni che rilasciano una valutazione del rischio creditizio la possibilità di conservare, per esclusive finalità di adeguatezza patrimoniale, “i dati personali detenuti legittimamente per un periodo di tempo storico di osservazione che sia congruo rispetto a quanto richiesto dalle disposizioni ” emanate dalla Banca d´Italia. La norma non individua i criteri cui ancorare il giudizio di congruità, né identifica espressamente chi sia tenuto ad esprimerlo (sebbene sia pacifico che si tratti della Banca stessa, nell´ambito dell´attività volta a dettare il quadro normativo di dettaglio). La disposizione, anche a seguito di specifiche osservazioni svolte dall´Autorità, prevede la conservazione dei dati in modo da assicurare la non identificabilità dei soggetti cui si riferiscono e dispone che le modalità di attuazione e i relativi criteri siano individuati “su conforme parere del Garante” .
    Con nota indirizzata al Governatore della Banca d´Italia, il Garante ha rappresentato la propria disponibilità ad avviare speditamente la prevista attività consultiva nel quadro della collaborazione istituzionale;

Attuazione delle direttive in materia di attività creditizia relative all´accordo cd. " Basilea 2"

  • il d.l. 3 ottobre 2006, n. 262, convertito dalla l. 24 novembre 2006, n. 286, recante “Disposizioni urgenti in materia tributaria e f inanziaria” (cd. “collegato” alla legge finanziaria). Nel corso dei lavori il Governo ha presentato un emendamento, poi approvato, riguardante l´acquisizione di informazioni sulla situazione del debitore a fini di riscossione del credito dell´erario, in base al quale i servizi di riscossione possono non rendere all´interessato l´informativa di cui all´articolo 13 del Codice quando le informazioni sul suo conto siano acquisite presso terzi (“dichiarazione stragiudiziale del terzo”). In proposito, l´Autorità ha segnalato ai competenti uffici della Presidenza del Consiglio dei ministri l´opportunità di modificare tale emendamento per coordinarne il contenuto con la normativa comunitaria, che non consente la diretta esclusione dell´obbligo di informativa all´interessato.La richiesta dell´Autorità, tuttavia, non ha trovato riscontro nel testo approvato in Parlamento;

Dichiarazioni stragiudiziali
e informativa all´interessato

  • il d.l. 4 luglio 2006, n. 223, convertito dalla l. 4 agosto 2006, n. 248, recante “Disposizioni urgenti per il rilancio economico e sociale, per il contenimento e la razionalizzazione della spesa pubblica, nonché interventi in materia di entrate e di contrasto all´evasione fiscale” (cd. “decreto Visco-Bersani”).Durante la discussione del disegno di legge di conversione del provvedimento il Garante ha partecipato, l´11 luglio 2006, alla menzionata audizione presso gli Uffici di presidenza delle Commissioni bilancio e finanze riunite del Senato, nell´ambito della quale ha formulato osservazioni sui principali profili critici di alcune disposizioni, riportate in un documento poi consegnato alle Commissioni stesse (v.anche par.1.2.1);

Contrasto
dell´evasione fiscale

  • il d.l. 22 settembre 2006, n. 259, convertito dalla l. 20 novembre 2006, n. 281, recante “Disposizioni urgenti per il riordino della normativa in tema di intercettazioni telefoniche”.Il decreto ha disciplinato la distruzione di materiale relativo ad intercettazioni illegali e ad attività di “dossieraggio”, non utilizzabile processualmente, prevedendo che sino alla decisione assunta dal giudice per le indagini preliminari circa la sua eventuale distruzione, il pubblico ministero ne debba disporre l´immediata segretazione e la custodia in un luogo protetto, al fine di evitarne l´acquisizione da parte di persone non autorizzate. Il decreto-legge fa espressamente salva l´attività anche sanzionatoria del Garante che accerti o inibisca l´illecita diffusione di dati o di documenti anche a seguito dell´esercizio di diritti da parte dell´interessato (art. 4, comma 3, d.l. n. 259/2006);

Intercettazioni illegali
e attivitàdi
"dossieraggio"

  • la l. 6 febbraio 2006, n. 38 recante “Disposizioni in materia di lotta contro lo  sfruttamento sessuale dei bambini e la pedopornografia anche a mezzo Internet”. La legge amplia la nozione di pornografia infantile ed estende la protezione accordata al minore sino al compimento del diciottesimo anno di età; prevede poi iniziative finalizzate ad impedire la diffusione e la commercializzazione di prodotti pedopornografici via Internet, tra le quali assume rilievo l´introduzione di un sistema di controllo e disattivazione di mezzi informatizzati di pagamento e carte di credito. È stato costituito presso il Ministero dell´interno il Centro nazionale per il contrasto della pedopornografia sulla rete Internet, con il compito di raccogliere dagli operatori di polizia segnalazioni di siti che diffondono materiale concernente lo sfruttamento sessuale dei minori, di tenere un registro di tali siti, dei loro gestori e dei soggetti beneficiari dei relativi pagamenti, e di raccogliere segnalazioni di fornitori di comunicazioni elettroniche relative a contratti con imprese o soggetti che diffondono o commerciano il predetto materiale;

Contrastodella
pedo-pornografia
anchea mezzo Internet

  • la l. 2 febbraio 2006, n. 31 recante “Disciplina del riscontro diagnostico sulle vittime della sindrome della morte improvvisa del lattante (Sids) e di morte inaspettata del feto”  che, all´articolo 3, prevede l´istituzione di una banca dati nazionale destinata a raccogliere i risultati delle indagini mediche effettuate sui lattanti deceduti improvvisamente senza causa apparente entro un anno di vita e sulle situazioni ambientali e familiari in cui si è verificato il decesso;

Banca dati
dei lattanti deceduti

  • la l. 25 gennaio 2006, n. 29 recante disposizioni per l´attuazione della normativa comunitaria in materia di prevenzione dell´uso del sistema finanziario a scopo di riciclaggio dei proventi da attività illecite. In particolare, l´art. 21 modifica il d.lg. n. 56/2004 di attuazione della direttiva n. 2001/97/Ce, estendendo l´ambito di applicazione degli obblighi di identificazione e di conservazione delle informazioni “a ogni altro soggetto che rende i servizi forniti da revisori contabili, periti ed altri consulenti che svolgono attività in materia di amministrazione, contabilità e tributi”; l´art. 22 conferisce delega al Governo per il recepimento della direttiva n. 2005/60/Ce (cd. “Terza direttiva”), estendendo ulteriormente l´ambito dei soggetti interessati. La legge comunitaria prevede inoltre l´attuazione della direttiva n. 2004/82/Ce concernente l´obbligo dei vettori aerei di comunicare ai competenti uffici di frontiera i dati relativi alle persone trasportate, in attuazione della quale è in corso di perfezionamento il relativo decreto legislativo;

Legge comunitaria 2005

  • il d.l. 10 gennaio 2006, n. 4, convertito dalla l. 9 marzo 2006, n. 80, recante “Misure urgenti in materia di organizzazione e funzionamento della pubblica amministrazione”, il quale prevede che le pubbliche amministrazioni debbano comunicare al Dipartimento della funzione pubblica l´elenco delle persone disabili in organico e delle assunzioni effettuate (art. 7) e che il medesimo Dipartimento istituisca una banca dati informatica, ad adesione volontaria, per l´incontro tra domanda e offerta di lavoro, al fine di agevolare la mobilità (art. 9);

Funzionamento
della pubblica amministra-
zione

  • il d.l. 30 dicembre 2005, n. 273, convertito, con modificazioni, dalla l. 23 febbraio 2006, n. 51 e di cui si è già dato conto nella Relazione 2005, il cui art. 19-bis modifica l´art. 58, comma 2, del “Codice del consumo” (d.lg. 6 settembre 2005, n. 206), prevedendo che le disposizioni che individuano i limiti di utilizzo di tecniche di comunicazione per la conclusione di contratti a distanza si applichino anche in deroga alle norme previste dal Codice.

Tecniche di comunicazione a distanza

2.3. Il monitoraggio delle leggi regionali  

L´attività di monitoraggio degli atti delle regioni e degli enti locali, svolta con finalità anzitutto conoscitive, ha avuto ad oggetto la conformità degli atti normativi e regolamentari (valutata quest´anno anche in itinere) rispetto alla normativa generale sulla protezione dei dati che è oggetto di esclusiva potestà legislativa dello Stato, conformemente a quanto statuito dalla Corte costituzionale con la decisione n. 271/2005 la quale, in assenza di modifiche rilevanti nel quadro normativo, ha fornito alcuni criteri fondamentali per il monitoraggio stesso.

In particolare, in base a tale decisione, nel quadro di questa esclusiva competenza statale va riconosciuto un ruolo normativo meramente integrativo ai soggetti pubblici chiamati a trattare i dati personali per garantire effettività nei diversi contesti normativi ed istituzionali ai principi posti dalla legge a tutela dei dati personali; in tali ambiti, possono quindi essere adottati anche leggi o regolamenti regionali, ma nella sola misura in cui ciò sia consentito in base alla legislazione statale.

Per quanto riguarda le leggi regionali già approvate, il monitoraggio è stato soprattutto strumentale alle richieste di parere della Presidenza del Consiglio dei ministri ai fini dell´eventuale loro impugnazione ai sensi dell´art. 127 della Costituzione.

Nell´insieme, i profili tematici e problematici risultanti dall´esame dei testi normativi non sono risultati dissimili da quelli rilevati negli anni precedenti. In vari casi si è constatato il corretto svolgimento di potestà legislative regionali in materie in qualche misura collegate alla protezione dei dati. In altri, si è invece evidenziata la necessità di utilizzare poi lo strumento regolamentare previsto dall´art. 20 del Codice al fine di poter assicurare la piena conformità della disciplina regionale relativa ai dati sensibili ai limiti posti dalla normativa nazionale, a fronte di previsioni che non escludevano, invece, interpretazioni con questa contrastanti (ad es., in tema di sistemi informativi regionali).

In alcuni casi si sono anche segnalate, ai fini delle determinazioni di competenza del Governo, specifiche esigenze di interpretazione e di applicazione dei testi in itinere in conformità ai principi in materia di protezione dei dati personali di volta in volta rilevanti, o sono stati evidenziati profili di criticità non sempre risolvibili attraverso l´interpretazione letterale dei medesimi testi, con particolare riferimento a previsioni relative a dati sanitari in cui, a fronte di un generico richiamo al Codice, il trattamento di dati nominativi risultava non in linea in particolare con il principio di proporzionalità.

Con specifico riguardo a proposte e disegni di legge regionale si è preferito seguire l´iter procedimentale anche attraverso il confronto con analoghi testi di regioni diverse. Si è così evidenziata la tendenza ad una certa omogeneità di soluzioni, nonché, in qualche caso, la non piena rispondenza di alcune disposizioni ai limiti posti al legislatore regionale.

Più in particolare, nelle formulazioni dei testi e nei relativi dibattiti è emerso un approfondimento non sempre idoneo della normativa sulla protezione dei dati personali.

Le soluzioni ipotizzate (talora oggetto di dibattito sociale e politico particolarmente acceso, ad es.con riferimento alla disciplina regionale dei diritti dei conviventi o a trattamenti a livello locale per finalità di ordine pubblico) possono in alcuni casi suscitare dubbi sotto il profilo della legittimità costituzionale che una considerazione più adeguata della protezione dei dati personali come elemento indispensabile della vita sociale avrebbe consentito di prevenire.