g-docweb-display Portlet

Relazione 2007 - Parte I - Stato di attuazione del Codice in materia di protezione dei dati personali - Par. 2 - Quadro normativo in materia di pr...

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 1546659] 

Relazione 2007 

Relazione 2007 - 16 luglio 2008
Parte I - Stato di attuazione del codice in materia di protezione dei dati personali

  
 

Indice generale 

Paragrafo precedente

Paragrafo successivo

2. Quadro normativo in materia di protezione dei dati personali
2.1. Il percorso di "stabilizzazione" delle garanzie previste nel Codice
Le Relazioni del Garante degli scorsi anni hanno evidenziato il percorso normativo attraverso il quale sono state introdotte nel nostro ordinamento importanti garanzie per i diritti fondamentali della persona rispetto al trattamento dei dati personali che hanno trovato, poi, nel Codice in materia di protezione di dati personali (decreto legislativo 30 giugno 2003, n. 196), il loro pieno consolidamento, in particolare con il riconoscimento del diritto alla protezione dei dati personali.

Nelle Relazioni del 2004 e del 2005 si erano, tuttavia, evidenziati alcuni circoscritti interventi modificativi del Codice, in materia di conservazione dei dati di traffico telefonico e telematico e in ambito sanitario, sui quali l´Autorità aveva richiamato l´attenzione per evitare segnali in parziale controtendenza rispetto a quel percorso di "stabilizzazione" delle regole per la protezione dei dati.Mentre nel 2006 il Codice non aveva subito modifiche significative (salva la reiterazione di proroghe già disposte negli anni precedenti per adottare le misure minime di sicurezza e i regolamenti sul trattamento dei dati sensibili e giudiziari delle pubbliche amministrazioni), sul finire della XV legislatura si è registrato un nuovo intervento integrativo del Codice con riferimento ai dati di traffico telematico, ad opera della legge 18 marzo 2008, n. 48, di ratifica ed esecuzione della Convenzione del Consiglio d´Europa sulla criminalità informatica.La predetta Convenzione, come si dirà più diffusamente in altra parte della Relazione (par. 2.2.), prevede che ciascuno Stato membro introduca misure sostanziali e procedurali in ambito penale per il contrasto dei crimini informatici e per la raccolta di prove elettroniche utili nelle indagini concernenti qualunque reato, anche non informatico.In tale quadro, la Convenzione reca alcune disposizioni che consentono, anche per finalità di collaborazione internazionale, la conservazione temporanea (per un periodo di tempo non superiore a novanta giorni, ma prorogabile) di specifici dati informatici, inclusi i dati sul traffico, già in possesso dei fornitori di servizi di comunicazione elettronica o comunque sotto il loro controllo (cd. "congelamento"), quando la disponibilità dei medesimi dati da parte delle competenti autorità sia necessaria e vi sia motivo di ritenere che i dati stessi, anche in ragione della loro particolare vulnerabilità, possano essere cancellati o modificati (artt. 16 e 17 Conv.).In Europa, la conservazione dei dati di traffico per finalità di giustizia e, in particolare, per il perseguimento e la repressione di reati gravi, è oggetto della direttiva 2006/24/Ce, in fase di recepimento nei vari Paesi. Inoltre, l´istituto del "congelamento" dei dati trova, di regola, la sua naturale esplicazione in ordinamenti nei quali la conservazione sistematica dei dati di traffico non è consentita o è prevista per periodi di tempo assai ristretti.La predetta legge n. 48/2008 (art. 10), integrando l´articolo 132 del Codice (nuovi commi 4-ter, 4-quater e 4-quinquies), ha previsto che specifici organi di polizia possano ordinare ai fornitori di servizi di comunicazione elettronica di conservare e proteggere, per un periodo non superiore a novanta giorni (prorogabile non oltre i sei mesi) dati relativi al traffico telematico, esclusi comunque i contenuti delle comunicazioni, ai fini dello svolgimento di investigazioni preventive o per finalità di accertamento e repressione di specifici reati. I provvedimenti degli organi di polizia sono poi comunicati al pubblico ministero per la convalida. Tali disposizioni -oltre a presentare possibili profili meritevoli di approfondimento con riferimento all´art. 15 Cost., in base al quale la libertà di ogni forma di comunicazione può essere limitata solo per atto motivato dell´autorità giudiziaria- dovranno essere comunque applicate alla stregua dei princìpi di finalità e di proporzionalità, in una prospettiva di selettività dei provvedimenti e tenendo conto delle garanzie previste dalla predetta direttiva europea sulla conservazione dei dati di traffico.Ulteriori modifiche del menzionato art. 132 sono state da ultimo previste dal richiamato decreto legislativo di recepimento della cd. "Direttiva Frattini".

2.2. Novità normative con riflessi in materia di protezione dei dati personali 

Nel corso del 2007 sono stati approvati alcuni provvedimenti normativi che hanno riguardato il trattamento dei dati personali e l´attività del Garante.

 


Criminalità informatica

Vanno ricordati, in particolare: 

- la menzionata legge 18 marzo 2008, n. 48, recante ratifica ed esecuzione della Convenzione del Consiglio d´Europa sulla criminalità informatica. Come ricordato (v. par. 2.1.) la Convenzione, aperta alla firma a Budapest il 23 novembre 2001 ed entrata in vigore il 1° luglio 2004, reca misure da adottare a livello nazionale in tema di diritto penale sostanziale e processuale, nonché disposizioni in materia di cooperazione internazionale. In particolare, essa prevede alcune fattispecie di reato che le parti devono introdurre come, ad esempio: l´accesso illegale a un sistema informatico; le intercettazioni illegali di dati informatici; l´attentato all´integrità di dati o di sistemi informatici; la cancellazione, l´alterazione e la soppressione dei dati informatici; l´abuso di dispositivi, compresi i programmi informatici, specialmente concepiti per permettere la commissione dei delitti sopraccitati, nonché di parole chiave o di codici di accesso o di sistemi analoghi che consentano di accedere a un sistema informatico; le falsificazioni informatiche e la frode informatica. La Convenzione prevede, inoltre, misure procedurali che riguardano il perseguimento dei predetti reati, fra le quali: la comunicazione rapida dei dati conservati, compresi quelli relativi al traffico; l´ordine di esibizione; la perquisizione e il sequestro dei dati informatici; la raccolta dei dati di traffico in tempo reale; l´intercettazione del contenuto dei dati; essa prevede infine talune misure giurisdizionali. La Convenzione di Budapest non regola, comunque, solo i cd. "reati informatici", ma riguarda, in termini più generali, anche le procedure e le modalità di applicazione di vari atti di indagine penale (ispezioni, perquisizioni, sequestri anche di corrispondenza, custodia, accertamenti urgenti, ecc.) per reati non informatici, ovvero "di tipo tradizionale" per i quali ricorra un´esigenza probatoria che presuppone la ricerca di mezzi di prova su o mediante strumenti elettronici (cfr. artt. 14 e 19 Conv.).
La Convenzione prevede inoltre varie forme di collaborazione e di mutua assistenza fra gli Stati firmatari, anche a fini di estradizione, non solo relativamente a reati "collegati a sistemi e dati informatici", ma anche "per raccogliere le prove in forma elettronica" di qualsiasi tipo di reato, informatico e non. Ciò può avvenire in casi numericamente elevati, venendo in considerazione reati puniti con pena non inferiore nel massimo a un anno (artt. 23 e 24 Conv.). In tale ampia prospettiva, le attività di indagine penale svolte nei vari Paesi, anche quando derivano da richieste di cooperazione internazionale disciplinate dalla Convenzione, potranno quindi comportare la raccolta e lo scambio di una notevole quantità di dati personali, riguardanti il traffico telefonico o telematico, anche non connessi direttamente a forme di criminalità informatica o che comunque possono riguardare attività del tutto lecite. L´impatto delle misure è quindi particolarmente significativo sui diritti e sulle libertà degli interessati. Va tenuto conto che, in proposito, si sono avuti, di recente, alcuni esempi significativi di perquisizioni presso redazioni giornalistiche e giornalisti disposte dalla autorità giudiziaria.
Nel corso dei lavori preparatori della Convenzione, il Gruppo dei Garanti europei (in particolare con il Parere n. 4/2001, adottato il 22 marzo 2001) ha evidenziato diversi profili critici riguardanti la rispondenza del progetto di convenzione ai princìpi in materia di protezione dei dati personali sanciti nella Convenzione del Consiglio d´Europa n. 108 del 1981 e negli altri strumenti normativi successivamente intervenuti in materia. Il testo definitivo della Convenzione ha recepito solo in parte le obiezioni e i suggerimenti avanzati dai Garanti europei nell´ottica di una maggiore attenzione alle esigenze di protezione dei dati personali. Un punto importante che è stato accolto, in parte, riguarda l´invito dei Garanti a specificare maggiormente i criteri che possono giustificare l´adozione delle misure previste dalla Convenzione, in termini di necessità, adeguatezza e proporzionalità, come richiesto dai menzionati strumenti normativi di protezione dei dati.
In questo senso, l´articolo 15 della Convenzione obbliga gli Stati firmatari ad assoggettare l´applicazione delle misure di assistenza alle norme di diritto interno. Tali misure devono prevedere condizioni idonee a garantire una tutela adeguata dei diritti fondamentali della persona (in particolare, di quelli previsti dalla Convenzione per la salvaguardia dei diritti dell´uomo e delle libertà fondamentali, il cui articolo 8 sancisce, com´è noto, il diritto alla riservatezza); devono altresì assicurare specificamente il rispetto del "principio di proporzionalità".
L´applicazione del principio di proporzionalità è, quindi, prevista dalla Convenzione in termini di obbligatorietà, ai fini della corretta attuazione della Convenzione stessa. La legge n. 48/2008 non ha previsto, in tal senso, un´unica norma a carattere generale da integrare, poi, nella legislazione processuale penale. Risulta, quindi, necessario che tale principio sia adeguatamente sviluppato nella legislazione mediante l´inserimento, in ciascuna delle pertinenti disposizioni di legge che disciplinano l´attività di indagine e istruttoria nell´ambito del processo penale, di un´apposita previsione in base alla quale gli atti di indagine e processuali dovranno essere adottati dall´autorità giudiziaria o di polizia in chiave di proporzionalità e di selettività, in Relazione, cioè, a dati e informazioni pertinenti e non eccedenti rispetto all´indagine in corso e con modalità parimenti proporzionate. Tali "clausole di proporzionalità" devono risultare operanti anche per altri atti di indagine previsti dalla Convenzione e già disciplinati dalla legislazione nazionale, come, ad esempio, le intercettazioni di comunicazioni e di conversazioni e in particolare di quelle "di nuova generazione", come quelle vocali effettuate in rete (Voip, ecc.). Qualora non si ottenga dal legislatore la menzione espressa del principio di proporzionalità nelle norme di legge sugli atti di indagine, è, comunque, più che opportuna un´azione di continua sensibilizzazione delle competenti autorità investigative affinché il principio di proporzionalità menzionato nella Convenzione sia rispettato in concreto negli atti di indagine. Analoga esigenza di applicazione in chiave di proporzionalità si pone, poi, per le disposizioni della legge di ratifica che hanno introdotto il cd. "congelamento" temporaneo e urgente dei dati di traffico telematico (cfr. par. 2.1.).

- la legge 25 febbraio 2008, n. 34, recante disposizioni per l´adempimento di obblighi derivanti dall´appartenenza dell´Italia alle Comunità europee. Tra le direttive cui il Governo è delegato a dare attuazione figura la direttiva 2006/86/Ce del 24 ottobre 2006, relativa alla conservazione, alla distribuzione e alla rintracciabilità dei tessuti e delle cellule umani. La legge attribuisce, inoltre, delega al Governo per l´adozione di decreti legislativi di attuazione di alcune decisioni quadro adottate nell´ambito della cooperazione di polizia e giudiziaria in materia penale (art. 28);

 


Legge comunitaria 2007
 

- la legge 18 marzo 2008, n. 53, di ratifica ed esecuzione di accordi di cooperazione relativi rispettivamente, a un sistema globale di navigazione satellitare civile (Gnss) tra la Comunità europea e i suoi Stati membri e Israele e, in pari data, la legge n. 54, di ratifica ed esecuzione di: 1) Accordo di cooperazione relativo ad un sistema globale di navigazione satellitare civile (Gnss)-Galileo tra la Comunità europea ed i suoi Stati membri e la Repubblica popolare cinese, fatto a Pechino il 30 ottobre 2003; 2) Accordo concernente la promozione, la fornitura e l´uso dei sistemi di navigazione satellitare Galileo e Gps e applicazioni correlate tra gli Stati uniti d´America, da un lato, e la Comunità europea e i suoi Stati membri, dall´altro. In merito a tali atti il 28 novembre 2007 si è tenuta presso la Commissione politiche dell´Unione europea della Camera un´audizione del Garante, nel corso della quale sono state esaminate le implicazioni che il sistema satellitare Galileo presenta in Relazione alla tutela dei dati personali (v. par. 1.2.1.);

 


Sistema satellitare Galileo
 

- il decreto legge 31 dicembre 2007, n. 248, convertito dalla legge 28 febbraio 2008, n. 31, recante proroga di termini previsti da disposizioni legislative e disposizioni urgenti in materia finanziaria (cd. decreto "milleproroghe"). L´articolo 34, in materia di contrasto del terrorismo internazionale, proroga il termine di conservazione dei dati di traffico telefonico e telematico per i fornitori di reti pubbliche di comunicazioni o di servizi di comunicazione elettronica, già fissato al 31 dicembre 2007 (art. 6, comma 1, d.l. 27 luglio 2005, n. 144, conv. dalla l. 31 luglio 2005, n. 155).
Per armonizzare i periodi di conservazione dei dati di traffico con le prescrizioni contenute nella pertinente direttiva europea in materia (direttiva 2006/24/Ce cd. "Frattini") il termine è prorogato alla data di entrata in vigore del decreto legislativo di attuazione della predetta direttiva -che dovrà individuare, appunto, specifici termini di conservazione dei dati- e comunque non oltre il 31 dicembre 2008;

 


Conservazione dei dati di traffico
 

- il decreto legge 31 dicembre 2007, n. 248, convertito dalla legge 28 febbraio 2008, n. 31, recante proroga di termini previsti da disposizioni legislative e disposizioni urgenti in materia finanziaria (cd. decreto "milleproroghe"). L´articolo 34, in materia di contrasto del terrorismo internazionale, proroga il termine di conservazione dei dati di traffico telefonico e telematico per i fornitori di reti pubbliche di comunicazioni o di servizi di comunicazione elettronica, già fissato al 31 dicembre 2007 (art. 6, comma 1, d.l. 27 luglio 2005, n. 144, conv. dalla l. 31 luglio 2005, n. 155).
Per armonizzare i periodi di conservazione dei dati di traffico con le prescrizioni contenute nella pertinente direttiva europea in materia (direttiva 2006/24/Ce cd. "Frattini") il termine è prorogato alla data di entrata in vigore del decreto legislativo di attuazione della predetta direttiva -che dovrà individuare, appunto, specifici termini di conservazione dei dati- e comunque non oltre il 31 dicembre 2008;

 


Durata in carica
dei membri delle autorità indipenenti
 

- la legge 24 dicembre 2007, n. 244, che reca alcune disposizioni di interesse per gli aspetti concernenti la protezione dei dati personali, tra le quali si segnalano quelle relative a: 1) l´individuazione, con decreto interministeriale, degli Stati o territori che consentono un adeguato scambio di informazioni (white list), nell´ambito delle disposizioni relative ai redditi prodotti all´estero e ai rapporti internazionali, recate dal testo unico delle imposte sui redditi di cui al d.P.R. n. 917/1986 (art. 1, comma 83); 2) la comunicazione mensile, in via telematica, dei dati retributivi, prevista al fine di semplificare la dichiarazione annuale presentata dai sostituti d´imposta tenuti al rilascio della certificazione unica, rimettendo a un decreto interministeriale la definizione delle modalità attuative e di condivisione dei dati tra Inps, Inpdap e l´Agenzia delle entrate (art. 1, commi 121 e 122); 3) l´introduzione della fatturazione elettronica per l´emissione, la trasmissione, la conservazione e l´archiviazione delle fatture emesse nei rapporti con le amministrazioni dello Stato e con gli enti pubblici nazionali, con l´osservanza del Codice dell´amministrazione digitale e attraverso il sistema di interscambio istituito e gestito dal Ministero dell´economia e delle finanze (art. 1, commi 209-213); 4) la comunicazione all´anagrafe tributaria di dati e notizie su contratti di somministrazione di servizi di telefonia, fissa, mobile e satellitare (cd. "catasto telefonico") raccolti dai relativi fornitori, a fini di contrasto all´evasione fiscale (art. 1, comma 222), in merito alla quale il Garante ha segnalato alla competente commissione parlamentare la criticità di una raccolta generalizzata di nuovi dati relativi a tutte le utenze telefoniche, anche mobili, e la necessità del ricorso a modalità proporzionate e selettive, che evitino l´afflusso indiscriminato di diversi milioni di dati relativi a cittadini non interessati a tali verifiche fiscali; 5) l´individuazione con decreto del Ministro dell´economia e delle finanze dei casi e delle modalità con cui, previa autorizzazione del direttore dell´Agenzia delle entrate e ai soli fini della riscossione delle entrate degli enti locali, i soggetti tenuti all´accertamento e alla riscossione dei tributi e di tutte le entrate possono accedere a dati e informazioni disponibili presso il sistema informativo dell´Agenzia delle entrate e prendere visione di atti riguardanti i beni dei debitori e dei coobbligati (art. 1, comma 225); 6) in Relazione al sistema informativo della fiscalità, l´individuazione in capo al Ministero dell´economia e delle finanze della contitolarità delle banche di dati che lo compongono, ritenuta funzionale al sistema integrato delle banche dati in materia tributaria e finanziaria di cui all´art. 1, comma 57, della legge finanziaria 2007 (art. 1, comma 274); 7) la dichiarazione sostitutiva unica, con le informazioni necessarie per la determinazione dell´indicatore della situazione economica equivalente (I.s.e.e.) dei soggetti che richiedono prestazioni sociali agevolate, che il richiedente la prestazione può presentare anche direttamente all´Agenzia delle entrate in via telematica, ove intenda far rilevare i mutamenti delle condizioni familiari ed economiche del proprio nucleo familiare; si prevede inoltre che tramite convenzione tra la predetta Agenzia e l´Inps siano definite le modalità per lo scambio delle informazioni necessarie all´attuazione della disposizione, nel rispetto delle garanzie previste dal Codice (art. 1, comma 344); 8) la realizzazione di un "sistema unico nazionale" -articolato su base distrettuale di corte d´appello- delle intercettazioni telefoniche, ambientali e altre forme di comunicazione informatica o telematica disposte o autorizzate dall´autorità giudiziaria, il cui avvio è demandato al Ministero della giustizia (art. 2, comma 82); 9) l´istituzione, presso il Ministero dello sviluppo economico, del Garante per la sorveglianza dei prezzi, con il compito di sovrintendere alla tenuta ed elaborazione delle informazioni richieste agli "uffici prezzi" delle camere di commercio e ad altri organi (Istat, uffici del Ministero delle politiche agricole, alimentari e forestali, Dipartimento per la programmazione e il coordinamento della politica economica della Presidenza del Consiglio dei ministri) e di renderle note –anche in via telematica– avvalendosi del portale delle imprese gestito dalla rete informatica delle camere di commercio; si segnala, in proposito, la particolare criticità della disposizione in base alla quale le informazioni riferite ai prezzi al consumo, anche nominative, sono in ogni caso sottratte all´applicazione della disciplina in materia di protezione dei dati personali, sulla quale l´Autorità nel corso dei lavori per l´approvazione della legge ha richiamato vivamente l´attenzione del competente ministero per le gravi implicazioni che possono derivarne sui diritti delle persone (art. 2, comma 199); 10) la definizione, con regolamento dell´Autorità per le garanzie nelle comunicazioni e nel rispetto dei princìpi di riservatezza previsti dal Codice, delle modalità di comunicazione dell´adempimento degli obblighi relativi alla promozione della distribuzione e della produzione di opere europee (art. 2, comma 301); 11) l´introduzione dell´azione collettiva risarcitoria, quale nuovo strumento generale di tutela dei diritti dei consumatori e degli utenti (cd. "class action"), attraverso la modifica del codice del consumo (art. 140 bis). Si prevede, in particolare, che il giudice chiamato a pronunciarsi sull´ammissibilità della domanda possa differire la pronuncia quando sul medesimo oggetto è in corso un´istruttoria davanti a un´autorità indipendente (art. 2, commi 445-449); 12) l´identificazione da parte del Cnipa di soluzioni tecniche e funzionali atte a garantire la salvaguardia dei dati e delle applicazioni informatiche e la continuità operativa dei servizi informatici e telematici, al fine di salvaguardare e di garantire l´integrità del patrimonio informativo gestito dalle amministrazioni pubbliche, anche ai sensi del Codice dell´amministrazione digitale e del Codice in materia di protezione dei dati personali (art. 2, comma 582); 13) con riguardo alle misure che le pubbliche amministrazioni devono individuare per il contenimento delle spese di funzionamento, l´individuazione –nel rispetto della normativa sulla tutela della riservatezza– di forme di verifica del corretto utilizzo delle utenze relative alle apparecchiature di telefonia mobile (art. 2, comma 595); 14) la pubblicazione degli atti comportanti spese a fini retributivi da parte di pubbliche amministrazioni statali, agenzie, società non quotate a totale o prevalente partecipazione pubblica e altri enti pubblici, sul relativo sito web, con l´indicazione nominativa dei destinatari e dell´ammontare del compenso (art. 3, comma 44);

 


Legge finanziaria 2008
 

- il decreto legge 1° ottobre 2007, n. 159, convertito dalla legge 29 novembre 2007, n. 222, recante interventi urgenti in materia economico-finanziaria, che tocca anche aspetti concernenti la protezione dei dati personali, fra i quali si ricordano in particolare: 1) il cd. "blocco dei pagamenti pubblici" di importo superiore a 10.000 euro nei confronti di cittadini che a loro volta sono debitori verso la pubblica amministrazione, per i quali si prevede la possibilità che l´importo di riferimento sia modificato con mero decreto ministeriale (art. 19); 2) l´istituzione dell´Osservatorio nazionale e degli osservatori regionali sulle politiche abitative, al fine di assicurare la formazione e la condivisione delle banche dati necessarie per la programmazione degli interventi di edilizia residenziale con finalità sociali, nonché allo scopo di monitorare il fenomeno dell´occupazione abusiva degli alloggi. Si prevede, inoltre, che i soggetti gestori del patrimonio immobiliare debbano assicurare, attraverso un sistema di banche dati consultabile via Internet, tutte le informazioni necessarie al pubblico, permettendo al contempo un delicato controllo incrociato dei dati nell´ambito del sistema integrato gestito dall´amministrazione finanziaria competente (art. 21); 3) la realizzazione, da parte del Ministero della giustizia, della "banca dati" delle misure cautelari prevista dalle norme di attuazione del codice di procedura penale, al fine di potenziare gli strumenti di conoscenza dei precedenti giudiziari individuali, nonché il rafforzamento della struttura informatica del Registro generale del casellario giudiziale e la sua integrazione su base nazionale con i carichi pendenti (art. 38); 4) il sistema integrato dell´anagrafe tributaria (art. 1, commi 56 e 57, legge finanziaria 2007), che viene finalizzato non solo alla condivisione e alla gestione integrata delle informazioni, ma anche al "costante scambio" delle informazioni medesime, e la cui effettiva realizzazione viene assicurata anche attraverso l´attività di indirizzo del Ministero dell´economia nei confronti di tutte le strutture dell´amministrazione finanziaria, ritenuta necessaria a garantire la razionalizzazione ed omogenee modalità di gestione del sistema informativo della fiscalità (art. 39, comma 4);

 


Collegato alla legge finanziaria 2008
 

- la legge 3 agosto 2007, n. 124, di riforma del sistema di informazione per la sicurezza della Repubblica e della disciplina del segreto di Stato.

 
Riforma dei
servizi di
informazione
e di sicurezza

Nel periodo d´interesse, il Governo ha inoltre adottato alcuni decreti legislativi di interesse per l´Autorità, fra i quali, in particolare:

- il decreto legislativo 20 dicembre 2007, n. 261, recante la revisione del decreto legislativo 19 agosto 2005, n. 191, di attuazione della direttiva 2002/98/Ce, che stabilisce norme di qualità e di sicurezza per la raccolta, il controllo, la lavorazione, la conservazione e la distribuzione del sangue umano e dei suoi componenti. In particolare, si prevede che tutti i dati raccolti, comprese le informazioni di carattere genetico, cui hanno accesso terzi, siano resi anonimi in modo tale che il donatore non sia più identificabile, e che si adottino misure di protezione dei dati tali da scongiurare divulgazioni indebite di tali informazioni, garantendo al tempo stesso la tracciabilità delle donazioni (art. 22);

 


Raccolta di sangue
e servizi trasfusionali

- il decreto legislativo 9 novembre 2007, n. 207, di attuazione della direttiva 2005/61/Ce che applica la direttiva 2002/98/Ce per quanto riguarda le prescrizioni in tema di rintracciabilità del sangue e degli emocomponenti destinati a trasfusioni e la notifica di effetti indesiderati ed incidenti gravi; tutte attività che devono esplicarsi nel rispetto della "normativa vigente", tra cui, segnatamente, quella in materia di protezione dei dati personali (artt. 2, 3 e 4);

- il decreto legislativo 9 novembre 2007, n. 208, di attuazione della direttiva 2005/62/Ce che applica la direttiva 2002/98/Ce per quanto riguarda le norme e le specifiche comunitarie relative ad un sistema di qualità per i servizi trasfusionali, che prevede, tra l´altro, a garanzia della riservatezza dei donatori di sangue, la disponibilità di un´area riservata e separata, destinata al colloquio con il candidato donatore e al ristoro/riposo post donazione; nonché la conservazione della documentazione relativa alle registrazioni di ciascuna attività svolta dai servizi trasfusionali e dalle unità di raccolta, effettuata secondo procedure che garantiscano la protezione dei dati e la tutela della riservatezza "sulla scorta delle regolazioni e normative vigenti" (allegato I, punti 3.2, 5 e 6.1);

- il decreto legislativo 21 novembre 2007, n. 231, di recepimento della direttiva 2005/60/Ce e della direttiva 2006/70/Ce concernente la prevenzione dell´utilizzo del sistema finanziario a scopo di riciclaggio dei proventi di attività criminose e di finanziamento del terrorismo. Il decreto, previsto dalla legge comunitaria 2005 (l. n. 29/2006), ha inteso coordinare le disposizioni in materia di rango primario e secondario succedutesi nel tempo, e che hanno esteso le misure antiriciclaggio, originariamente introdotte nel settore del credito e dell´intermediazione finanziaria, a diverse professioni (notai, altri liberi professionisti legali, ragionieri, commercialisti, consulenti tributari e del lavoro e agenti immobiliari) e ad attività d´impresa ritenute particolarmente suscettibili di utilizzazione a fini di riciclaggio (agenzie di recupero crediti, custodia e trasporto di valori, commercio di cose antiche o di preziosi, case d´asta o case da gioco). Il decreto ha confermato e, in parte, ampliato tale intervento estensivo, sulla base di quanto previsto dalla citata direttiva europea. Come rilevato dal Garante nel parere reso sullo schema (v. par. 1.2.3.2.), la particolare ampiezza del novero dei soggetti tenuti agli obblighi di identificazione della clientela, di registrazione delle operazioni e (in alcuni casi) di segnalazione di quelle sospette impone da tempo una riflessione di fondo sul crescente impatto che la normativa antiriciclaggio assume sempre più in settori via nuovi, nonché sulle connesse implicazioni che ne derivano per i diritti delle persone e sul piano della protezione dei dati personali. La direttiva 2005/60/Ce prevede infatti anche un incremento dei controlli sui soggetti che effettuano operazioni "sospette", stabilendo che debba essere identificato anche il "titolare effettivo" dell´operazione stessa (vale a dire la persona che esercita un controllo sul cliente o per conto della quale l´attività o l´operazione vengono effettuate); prevede, altresì, verifiche sulla clientela calibrate rispetto al "rischio" di riciclaggio associato al cliente (cd. "approccio basato sul rischio"). La medesima direttiva europea menziona, al contempo, la necessità di rispettare i diritti fondamentali delle persone e i princìpi riconosciuti, in particolare, dalla Carta dei diritti fondamentali dell´Unione europea, il cui articolo 8 garantisce ad ogni individuo il diritto alla protezione dei dati personali che lo riguardano. In tale quadro, il descritto e rilevante ampliamento, soggettivo e oggettivo, della normativa a livello europeo e, conseguentemente, di quella nazionale di attuazione, ne rende necessaria un´applicazion¬ rigorosa in chiave di effettiva necessità, proporzionalità e selettività degli interventi di monitoraggio e di prevenzione (artt. 2 e 11 del Codice), anche in considerazione degli enormi flussi informativi previsti dal decreto legislativo. Al riguardo si segnala, in particolare, che l´art. 36, comma 6, del decreto prevede che i dati e le informazioni raccolti per finalità antiriciclaggio, debitamente registrate, siano poi "utilizzabili ai fini fiscali secondo le disposizioni vigenti"; nel parere espresso il Garante ha richiesto che tale utilizzabilità vi sia solo in caso di accertato riciclaggio, per assicurare il rispetto dei princìpi di finalità e proporzionalità nel trattamento dei dati (art. 11 del Codice);

 


Contrasto
del riciclaggio

- il decreto legislativo 6 novembre 2007, n. 191, che attua la direttiva 2004/23/Ce sulla definizione di norme di qualità e di sicurezza per la donazione, l´approvvigionamento, il controllo, la lavorazione, la conservazione, lo stoccaggio e la distribuzione di tessuti e cellule umani; si prevede, in particolare, che tutti i dati, comprese le informazioni genetiche, ai quali hanno accesso terzi, siano resi anonimi in modo tale che né il donatore, né il ricevente siano identificabili (art. 14); tra le informazioni da fornire ai donatori o ai soggetti legittimati a esprimere il consenso alla donazione figurano quelle relative alla protezione dei dati e alla riservatezza medica (art. 15 e allegato 1);

 
Tessuti
e cellule umane

- il decreto legislativo 6 novembre 2007, n. 198, di attuazione della direttiva 2005/14/Ce sull´assicurazione della responsabilità civile risultante dalla circolazione di autoveicoli, che –modificando il codice delle assicurazioni private (art. 142 bis)– prevede a favore del danneggiato il diritto di ottenere dal Centro di informazione italiano, istituito presso l´Isvap, i dati riguardanti la copertura assicurativa del veicolo che ha causato il sinistro, il numero di polizza e la data di scadenza della stessa (art. 1, comma 5);

 
Dati
rigurdanti
la copertura
assicurativa
dei veicoli

- il decreto legislativo 6 novembre 2007, n. 200, di attuazione della direttiva 2005/28/Ce, recante princìpi e linee-guida dettagliate per la buona pratica clinica relativa ai medicinali in fase di sperimentazione a uso umano, nonché requisiti per l´autorizzazione alla fabbricazione o importazione di tali medicinali; tra i princìpi di buona pratica clinica si prevede la garanzia della riservatezza dei documenti che potrebbero identificare i soggetti in sperimentazione (art. 3, comma 11) e si dedica un´apposita previsione alla riservatezza dei dati e dei rapporti d´ispezione (art. 30, commi 1 e 2);

 
Sperimentazione
di farmaci

- il decreto legislativo 23 ottobre 2007, n. 221, recante disposizioni correttive ed integrative del Codice del consumo (d.lg. 6 settembre 2005, n. 206) che traspone in tale codice la disciplina relativa alla commercializzazione a distanza di servizi finanziari ai consumatori, già contenuta nel decreto legislativo n. 190 del 2005; si registra, in particolare, che il nuovo articolo 67-sexiesdecies del predetto Codice reca la disciplina delle comunicazioni non richieste in caso di utilizzo di tecniche di comunicazione a distanza;

 
Commercio a distanza
di servizi finanziari

- il decreto legislativo 2 agosto 2007, n. 146, recante attuazione della direttiva 2005/29/Ce relativa alle pratiche commerciali sleali fra imprese e consumatori. Per quanto di specifico interesse in materia di protezione dei dati personali, il decreto modifica il Codice del consumo (art. 26, comma 1, lett. c) d.lg. n. 206/2005) inserendo fra le pratiche commerciali definite "aggressive" anche le ripetute e non richieste sollecitazioni commerciali per telefono, via fax, per posta elettronica o mediante altro mezzo di comunicazione a distanza, fuori dalle circostanze in cui esse risultino giustificate ai fini dell´esecuzione di un´obbligazione contrattuale e fatta salva la disciplina in materia prevista dal medesimo Codice del consumo (art. 58) e dal Codice in materia di protezione dei dati personali (art. 130);

 
Pratiche commerciali sleali

- il decreto legislativo 2 agosto 2007, n. 144, con il quale è stata recepita la direttiva 2004/82/Ce concernente l´obbligo dei vettori aerei di comunicare i dati relativi alle persone trasportate, sul cui schema il Garante ha espresso parere (v. par. 1.2.3.2.).

 
Comunicazioni
dei vettori aerei

2.2.1. I regolamenti sui procedimenti presso il Garante

Il 14 dicembre 2007 sono stati adottati due regolamenti del Garante, entrambi pubblicati in G.U. n. 7 del 9 gennaio 2008.

 


Regolamento sulle procedure

Il primo (Regolamento n. 1/2007 [doc. web n. 1477480]) disciplina le procedure con le quali il Garante svolge i compiti previsti per legge ai fini del rispetto della normativa sulla protezione dei dati personali (art. 154 del Codice).

Dopo l´entrata in vigore del Codice e sulla base dell´esperienza acquisita, è emersa infatti l´esigenza di consolidare alcune concrete modalità attuative delle disposizioni relative allo svolgimento dei compiti dell´Autorità, e, in particolare, alle procedure di tutela degli interessati, avviate d´ufficio o su loro istanza, tenendo conto anche delle risorse del Garante e delle entrate disponibili in base al bilancio di previsione.

l regolamento evidenzia che l´Autorità continuerà ad ispirare la propria azione a princìpi di trasparenza, ragionevolezza, proporzionalità e non discriminazione, realizzando l´interesse pubblico connesso a ciascuna attività secondo criteri di buona amministrazione, economicità e adeguatezza e valorizzando l´utilizzo di tecniche informatiche e della telematica. A tal fine, si terrà conto in particolare di alcuni fattori, quali la natura e della gravità degli illeciti da accertare in rapporto ai loro effetti e all´entità del danno che può derivarne per uno o più interessati, come pure la probabilità di comprovare la sussistenza degli illeciti segnalati (art. 3).

Sulla base di questi criteri (v. anche art. 2, comma 1, lett. a) e c), del regolamento n. 1/2000) il Garante determina e aggiorna con cadenza almeno semestrale la programmazione dei lavori del collegio, le linee di priorità nell´esame di reclami e segnalazioni da parte dell´ufficio e la programmazione delle attività ispettive (art. 4), in modo da trovare il miglior equilibrio tra le risorse disponibili e le questioni da trattare.

Nel quadro di priorità così determinato, il regolamento disciplina lo svolgimento delle procedure anche in applicazione dei princìpi contenuti nella legge n. 241 del 1990 ed evidenzia, tra l´altro, i diversi casi in cui, al termine dell´istruttoria preliminare, non si ravvisano gli estremi per un provvedimento di divieto o blocco del trattamento ai sensi dell´art. 143 del Codice; tra questi casi, vi rientrano, le condotte ormai prive di effetti, anche per il tempo trascorso, quelle per le quali il titolare ha nella sostanza posto rimedio a quanto lamentato dagli interessati, oppure può essere sufficiente richiamare un provvedimento generale del Garante (art. 11).

Nel contempo, si è ravvisata la necessità di verificare la perdurante attualità e la persistenza dei presupposti per adottare provvedimenti in ordine a fatti oggetto di segnalazioni e reclami pervenuti all´Autorità prima dell´insediamento dell´attuale collegio; si è perciò previsto che, salvi alcuni casi, siano improcedibili segnalazioni e reclami anteriori al 30 aprile 2005 per i quali non sia stata presentata nei termini indicati dal regolamento una motivata richiesta di trattazione (art. 21).

L´esplicita indicazione dei criteri di priorità e di trattazione è apparsa, oltre che rispettosa di esigenze normative, utile per orientare in concreto gli interessati, in modo che le segnalazioni e i reclami consentano di intervenire sui casi di rilievo e, insieme, di fornire gli elementi di valutazione necessari all´Autorità per il migliore svolgimento delle sue funzioni.

Il secondo regolamento (n. 2/2007 [doc. web n. 1477624]) individua i termini per lo svolgimento dei procedimenti e le unità organizzative responsabili ai sensi degli artt. 2 e 4 della l. n. 241/1990 e successive modificazioni. Anche questo regolamento riguarda sia i procedimenti avviati d´ufficio, sia quelli avviati su istanza di parte. Al testo sono allegate al testo due tabelle, la tab. A, che contiene una ricognizione dei termini già stabiliti per legge, la tab. B, invece, con cui sono determinati i termini non previsti direttamente dalla legge. Quest´ultima tabella che è stata oggetto di un comunicato di rettifica pubblicato nella Gazzetta Ufficiale 7 giugno 2008, n. 132, è divisa in due parti, relative la prima a procedimenti disciplinati dal Codice, e, la seconda, a procedimenti inerenti al personale dell´Ufficio. I termini stabiliti dalla legge si riferiscono alla data di adozione del provvedimento finale da parte del Collegio del Garante. Quelli determinati dal regolamento, invece si riferiscono alla data in cui l´unità organizzativa competente conclude l´esame dell´affare; in questi casi bisogna aggiungere il termine per l´adozione del provvedimento finale, non superiore a sessanta giorni, decorrenti dalla data di ricezione degli atti da parte del collegio (v. art. 15 del regolamento del Garante n. 1/2000 [doc. web n. 1098801]).

 


Regolamento
sulla durata
dei procedimenti
e sulle unità organizzative competenti

2.3. Il monitoraggio delle leggi regionali
Nel corso del 2007 è proseguita l´attività di monitoraggio degli atti delle regioni e degli enti locali.

L´attività in parola, svolta con finalità anzitutto conoscitive, ha avuto per oggetto la conformità degli atti normativi, anche in itinere, alla disciplina nazionale in materia di protezione dei dati personali, alla luce della nota sentenza n. 271/2005 della Corte costituzionale, che riconduce la protezione dei dati alla materia dell´ordinamento civile e, quindi, alla esclusiva competenza statale.

Va premesso che il quadro giurisprudenziale di riferimento non ha presentato variazioni rispetto all´anno precedente e che oggetto di analisi e di verifica sono risultati principalmente i settori attinenti alle politiche sociali e familiari nonché i procedimenti elettorali e quelli amministrativi.

Con specifico riferimento alle richieste di parere pervenute dalla Presidenza del Consiglio dei ministri relative a leggi già approvate è stato nella gran parte dei casi riscontrato, come già lo scorso anno, un sostanziale corretto svolgimento della potestà legislativa regionale.

Tra i parametri costituzionali venuti in considerazione, si segnala quello dell´art. 48 della Costituzione sulla segretezza del voto, che acquista particolare rilievo nelle ipotesi in cui venga disciplinato il cd. "voto elettronico".

A fronte di innovative modalità di votazione che in via sperimentale cominciano ad essere disciplinate si è infatti ritenuto doveroso verificare se la segretezza e, quindi, la protezione delle opinioni politiche del votante prevista dalla Costituzione, sia assicurata in termini adeguati.

In sede di approfondimento da parte dell´Autorità, è emerso tra l´altro che il problema si può porre in particolare per i voti "nulli", che sono comunque espressione della non comprimibile libertà di scelta dell´elettore e che potrebbero anche indirettamente risultare riconoscibili nel caso in cui, ad esempio, la procedura per esprimerli risultasse, per ragioni tecniche, più lunga di quella necessaria per esprimere un voto valido, e quindi richiedesse una maggiore permanenza dell´elettore in cabina.

A fronte di alcuni testi normativi suscettibili di applicazione non pienamente conforme alla normativa nazionale, ma che di per sé non apparivano in violazione dell´esclusiva competenza legislativa statale, l´Autorità ha indicato la necessità di utilizzare lo strumento regolamentare previsto dagli artt. 19 e 20 del Codice per assicurare la piena conformità della disciplina regionale –relativa alla comunicazione di dati comuni a soggetti privati ovvero alla loro diffusione, nonché al trattamento dei dati sensibili– ai limiti posti dal Codice.

Con riferimento all´esame dei testi legislativi e regolamentari in itinere effettuato nel corso dell´anno, si sono registrati poi profili e problematiche di interesse similari a quelli riguardanti gli atti legislativi già pubblicati sulla Gazzetta Ufficiale.

L´attività di monitoraggio, seppure a campione e limitatamente a quanto pubblicato sui siti istituzionali, ha riguardato anche taluni provvedimenti amministrativi delle regioni e degli enti locali tra i quali vanno menzionate alcune deliberazioni comunali istitutive di registri di unioni di fatto, la deliberazione di una giunta regionale in materia di registri pubblici delle assistenti familiari e un regolamento regionale in materia di sistema informativo geografico regionale.

Al riguardo si è evidenziato che lo svolgimento da parte di enti locali di compiti conoscitivi informativi e statistici risponde all´esigenza di assicurare la circolazione delle informazioni tra amministrazioni locali, regionali e statali, ma va seguito con attenzione in particolare per quanto attiene al grado di pervasività dei sistemi in concreto posti in essere.

Per quanto attiene alle convivenze di fatto, si è confermato che risultano rispettose delle esigenze di protezione dei dati personali quelle deliberazioni che ricollegano effetti al dato obiettivamente riscontrabile della comune residenza dei soggetti interessati, evitando, in linea con il principio di essenzialità nel trattamento dei dati, di attribuire rilievo a profili più direttamente attinenti alla sfera affettiva o sessuale, e senza interferire con la disciplina in materia di registri anagrafici e di stato civile.