a cura degli specialisti di GBsoftware
Commento In considerazione del fatto che, sia l’articolo 20, che l’articolo 21 dettano le condizioni che rendono lecito il trattamento da parte dei soggetti pubblici dei dati sensibili e giudiziari, pare opportuno procedere ad una disamina congiunta che ne evidenzi le peculiarità comuni. In entrambe le tipologie di dati, affinchè si possa procedere al trattamento, è necessario che vengano in rilievo finalità di rilevante interesse pubblico. Alla luce di quanto disposto dagli articoli, quindi, non è sufficiente che il trattamento dei dati rientri genericamente nella sfera dell’attività istituzionale del soggetto, ma, è necessario, che oltre a questo requisito, il trattamento risponda ad esigenze di rilevante interesse pubblico. Detto ciò, la situazione ideale pare essere quella consistente nell’esistenza di una espressadisposizione di legge che autorizzi il trattamento, specificando, oltre alle finalità di rilevante interesse pubblico perseguite, in relazione alle quali è necessario procedere al trattamento dei dati, quali siano i tipi di dati che possono essere trattati e le operazioni di trattamento eseguibili. Nel caso in cui manchi una espressa disposizione di legge, è prevista per il soggetto pubblico la possibilità di interpellare il Garante, per essere autorizzato a trattare comunque i dati, attenendosi, però, a precise prescrizioni: a) per i dati giudiziari: il Garante può autorizzare con apposito provvedimento il trattamento, specificando le finalità di rilevante interesse pubblico che consentono di procedere allo stesso, i tipi di dati che è possibile trattare e le operazioni eseguibili (articolo 21 comma 1); b) per i dati sensibili: il soggetto pubblico può richiedere al Garante di individuare, nell’ambito delle complessive attività istituzionaliche al soggetto pubblico stesso sono state demandate dalla legge, quali siano quelle per le quali si ravvisa il perseguimento di finalità di rilevante interesse pubblico, per le quali il soggetto pubblico può conseguentemente essere autorizzato a trattare i dati sensibili. Si applicano i seguenti adempimenti procedurali: 1) il Garante comunica la decisione adottata, sulla richiesta di autorizzazione, entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a rigetto, con le modalità previste dall’articolo 26 comma 2. Trovano inoltre applicazione le autorizzazioni generali, con riferimento alla 1/2002 (trattamenti finalizzati alla gestione del rapporto di lavoro) e 2/2002 (trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale); 2) affinché il trattamento sia consentito, il soggetto pubblico deve inoltre provvedere ad identificare e rendere pubblici i tipi di dati sensibili, che intende trattare, e le operazioni che intende effettuare, con atto di natura regolamentare,adottato richiedendo il parere del Garante. Tale identificazione, dei tipi di dati e delle operazioni di trattamento, deve essere aggiornata ed integrata periodicamente. Frequentemente accade che in determinate situazioni si riscontri l’esistenza di una disposizione di legge che autorizza il trattamento di dati sensibili o giudiziari da parte dei soggetti pubblici, dove vengono altresì specificate le finalità di rilevante interesse pubblico che autorizzano il trattamento, omettendo, però, le indicazioni circa i tipi di dati che possono essere trattati e/o le operazioni di trattamento che sono eseguibili. L’omissione di tali punti risponde ad esigenze di efficienza e di snellezza, infatti, la legge si limita a definire il quadro generale che autorizza il trattamento, delegando al soggetto pubblico l’onere di stabilire quali dati trattare ed in che modo, in funzione delle concrete esigenze che man mano si presentano. In tali circostanze il soggetto pubblico deve identificare e rendere pubblici, con atto di natura regolamentare,adottato richiedendo il parere del Garante, quali tipi di dati possono essere trattati e le operazioni di trattamento che intende eseguire. Tale identificazione dei tipi di dati e delle operazioni di trattamento deve essere aggiornata ed integrata periodicamente. In relazione all’argomento il Garante ha pronunciato il provvedimento generale “Regolamenti sul trattamento dei dati sensibili da parte della Pubblica Amministrazione”, pubblicato in data 17 gennaio 2002, nel quale ribadisce che, in mancanza di tali atti di natura regolamentare, i soggetti pubblici operano sprovvisti di un indefettibile presupposto di liceità, trattando dati sensibili e giudiziari relativi ad innumerevoli cittadini senza alcune necessarie garanzie, privando quindi gli interessati della possibilità di conoscere le utilizzazioni effettive dei dati che li riguardano. Il Garante suggerisce uno schema, per la redazione del quale precisa che i dati personali vanno indicati per categorie, senza entrare in ulteriori specifici dettagli, tenendo conto che le tipologie di dati non individuate e rese pubbliche non possono essere poi utilizzate. Per quanto concerne la parte del regolamento, che attiene alle operazioni di trattamento, il Garante suggerisce di procedere ad una suddivisione, come segue:
- indicando un primo gruppo di operazioni standard, che può essere comune a più tipologie di dati, ma che deve comunque rispondere al principio di stretta necessità (raccolta, conservazione, cancellazione ecc.)
- ponendo poi in maggiore evidenza le operazioni che possono spiegare effetti più significativi per l'interessato (es. elaborazione, selezione, raffronto)
aggiungendo una descrizione sintetica dei flussi di dati (specificando ad es. dove sono raccolti di regola i dati, le eventuali interconnessioni o consultazioni da parte di altre amministrazioni, i trattamenti che presentano rischi specifici, ecc.). |