A
AAA)))) Per quanto attiene ai trattamenti dei dati sensibili effettuati dai soggetti pubblici, la cui nozione è considerata più ampia di quella tradizionale di enti pubblici, nel senso che potrebbero rientrare nel loro novero anche le figure soggettivamente non pubbliche che svolgano attività amministrativa o si trovino comunque sotto la direzione e il controllo dell’Autorità pubblica217, le disposizioni di cui agli artt. 20 e 22 del Codice della
privacy, riprendendo quanto già previsto dall’art. 22, commi 3° e 3-bis della Legge sulla privacy n. 675/1996, introducono le opportune modifiche in termini di razionalizzazione ed armonizzazione.
L’art. 20, prima di tutto, ha enunciato i tre elementi essenziali che legittimano il trattamento dei dati sensibili da parte dei soggetti pubblici, cioè le finalità di rilevante interesse pubblico, i tipi di dati trattati ed i tipi di operazioni eseguibili.
Dunque, la fattispecie ordinaria resta quella dell’espressa disposizione di legge «nella quale sono specificati i tipi di dati che possono essere trattati e di operazioni eseguibili e le finalità di
196 aggiornato con le più recenti modifiche legislative, Milano, 2004, 239. Quanto
all’orientamento giurisprudenziale in senso positivo, v., tra l’altro, Corte cost. 7 luglio 2005, n. 271.
217Si vedano gli spunti interpretativi di BRAVOF.-MONDUCCIJ.,Le condizioni di liceità del
trattamento dei dati personali, in MONDUCCIJ.-SARTORG., a cura di,Il codice in materia di protezione dei dati personali: commentario sistematico al D.Lgs. 30 giugno 2003, n. 196,
Padova, 2004, 109; TROIANOP.,Commento all’art. 27 della legge 31 dicembre 1996, n. 675,
inNuove leggi civili comm., n. 2-3, 1999, 631; CUFFARO V.-D’ORAZIOR.-RICCIUTOV., a cura di,Il codice, cit., 168 s.
rilevante interesse pubblico perseguite» (comma 1°)218.
Se la disposizione di legge specifica solo la finalità di rilevante interesse pubblico, ma non i tipi di dati trattati e di operazioni eseguibili, il soggetto pubblico è tenuto a provvedere a identificare e rendere pubblici – in considerazione delle specifiche finalità perseguite e dei principi di cui all’art. 22 – i tipi di dati e di operazioni su di essi eseguibili tramite un atto regolamentare in conformità al parere reso dal Garante sui relativi schemi (comma 2°).
Nel caso in cui il trattamento dei dati sensibili non sia nemmeno previsto espressamente da una disposizione di legge, il soggetto pubblico può richiedere – secondo la procedura e le modalità per le autorizzazioni ai soggetti privati di cui all’art. 26, comma 2°– l’intervento del Garante riguardo all’individuazione delle attività che perseguono finalità di rilevante interesse pubblico e alla conseguente autorizzazione. Inoltre, lo stesso soggetto pubblico deve identificare e rendere pubblici i tipi di dati e di operazioni mediante l’atto regolamentare in conformità del parere del Garante (comma 3°).
Il comma 4° dello stesso art. 20 ha altresì previsto che l’identificazione dei tipi di dati e di operazioni – nelle suddette ipotesi seconda e terza – deve essere aggiornata ed integrata periodicamente. Tale clausola integrativa, tuttora, possiede il merito di rendere operativo al riguardo il principio di necessità proclamato dal Codice medesimo, dal momento che appare ben possibile, tra l’altro, che un domani il progresso tecnologico porti alla non necessità del trattamento o di talune operazioni.
Sulla scia delle disposizioni del D. Lgs. n. 135/1999, l’art. 22
218Tuttavia, la dottrina italiana dominante ha escluso la rigida necessità di una «esplicita affermazione della sussistenza di un rilevante interesse pubblico allo svolgimento di una determinata attività», ritenendo che qualora il legislatore riconosca al soggetto pubblico la facoltà di realizzare certi trattamenti, esso ha già valutato, pur implicitamente, la presenza del «rilevante interesse pubblico»: v. FONTEE.,Regole ulteriori per i soggetti pubblici – principi applicabili al trattamento dei dati sensibili, in CIRILLOG.P., a cura di,Il Codice, cit., 111.
del Codice della privacy ha enunciato ulteriormente ben dodici regole comportamentali valide sia per i dati sensibili che per quelli giudiziari.
Innanzitutto, il comma 1° ha stabilito il dovere di diligenza da parte dei soggetti pubblici rispetto ad abusi eventuali sull’interessato, sottolineando che il trattamento deve svolgersi secondo modalità volte a prevenire il rischio di violazioni dei diritti fondamentali della persona.
Quanto all’adempimento dell’informativa, i soggetti pubblici devono indicare la normativa che è a fondamento del trattamento e da cui provengono gli obblighi o i compiti (comma 2°).
Il comma 3° ha evidenziato l’«indispensabilità» quale criterio valutativo, in conformità anche al principio di proporzionalità, per il trattamento dei dati sensibili nei confronti delle attività istituzionali che non possono essere effettuate per mezzo di dati non sensibili (come i dati anonimi o comunque di natura diversa).
Quanto alla modalità di raccolta dei dati sensibili, il comma 4° dello stesso articolo ha confermato che essi devono essere assunti, di regola, presso l’interessato.
Il comma 5°, in sintonia col principio di indispensabilità già indicato dal comma 3°, ribadisce che i soggetti pubblici devono verificare l’esattezza e l’aggiornamento dei dati, nonché la loro pertinenza, completezza, non eccedenza ed indispensabilità rispetto alle finalità perseguite nei singoli casi, anche relativamente ai dati forniti spontaneamente dall’interessato. Gli stessi soggetti devono, inoltre, valutare il rapporto tra i dati e gli adempimenti cosicché i dati eccedenti o non pertinenti, o comunque non indispensabili, non possano più essere utilizzati se non per l’eventuale conservazione, a norma di legge, dell’atto o del documento che li contiene.
Qualora i dati sensibili siano collocati in elenchi, registri o banche dati, con l’ausilio di strumenti elettronici, le informazioni medesime – ai sensi del comma 6°– devono venir trattate con
tecniche di cifratura o mediante l’utilizzazione di codici identificativi o di altre soluzioni idonee – in considerazione del numero e della natura dei dati – a renderle temporaneamente inintelligibili.
Segnatamente, rispetto ai dati idonei a rivelare lo stato di salute e la vita sessuale, il comma 7° richiede maggiori cautele: essi devono essere conservati separatamente da altri dati personali che siano trattati per finalità che non richiedono il loro utilizzo e devono venir trattati con le modalità di cui al comma 6° anche se senza l’ausilio di strumenti elettronici. Oltre a questo, il comma 8° sancisce espressamente che i dati idonei a rivelare lo stato di salute non possono essere diffusi.
Il comma 9°, ancora una volta, strettamente collegato al principio di indispensabilità, stabilisce che i dati sensibili possono essere utilizzati solo per le operazioni di trattamento “indispensabili” per il perseguimento delle finalità per le quali il trattamento è autorizzato e ciò vale anche per i dati raccolti nello svolgimento di compiti di vigilanza, di controllo o ispettivi.
Ai sensi della combinazione dei commi 10° e 11°, i dati sensibili non possono essere impiegati per test pisco-attitudinali volti a definire il profilo o la personalità dell’interessato. Le operazioni di raffronto fra i dati sensibili, o i trattamenti automatizzati dei medesimi, possono essere effettuate solo previa annotazione scritta dei motivi. Qualora le operazioni suddette siano realizzate tramite banche dati di diversi titolari o ricorra l’ipotesi di diffusione, debbono avere come giustificazione un’espressa disposizione di legge.
Infine, il comma 12° stabilisce che le disposizioni precedenti dell’art. 22 valgono – in conformità ai rispettivi ordinamenti – anche per i soggetti pubblici di valenza costituzionale (la Presidenza della Repubblica, la Camera dei Deputati, ecc.).
B) B)