Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

 

 Tutela dei dati personali - Legge 675/96

La legge 675/96 esplode come una bomba a grappolo
di Manlio Cammarata - 13.05.99

E' in arrivo un altro pezzo della normativa sulla tutela dei dati personali. Il Governo ha predisposto un decreto legislativo sul trattamento dei dati "particolari" da parte degli enti pubblici e lo ha inviato alle Camere, per il parere prescritto dall'articolo 1 della legge 344/98.
Le Camere hanno espresso giudizi fortemente critici su alcuni aspetti del provvedimento, come si può leggere nei resoconti delle sedute della Commissione giustizia del Senato alle pagine www.senato.it/notes/ODG_PUBL/2b9ee.htm e www.senato.it/notes/ODG_PUBL/2ba8a.htm, (non sono ancora disponibili i testi della Camera, ma anche i Deputati non sono stati teneri). Di conseguenza il testo definitivo subirà alcune modifiche rispetto a quello che pubblichiamo oggi. Ma l'impianto generale resterà sostanzialmente inalterato e non è quindi prematuro formulare qualche osservazione su un articolato che suscita non poche perplessità.

Per mettere a fuoco i diversi problemi facciamo un passo indietro. La materia è il trattamento dei dati sensibili e dei dati relativi ai provvedimenti di cui all'articolo 686 del codice di procedura penale (cioè alle iscrizioni nel casellario giudiziale), previsti rispettivamente dall'articolo 22 e dall'articolo 24 della legge 675/96.
Il comma 3 dell'articolo 22 stabilisce per gli enti pubblici un'eccezione alla disciplina generale delle autorizzazioni da parte del Garante:
Il trattamento dei dati indicati al comma 1 da parte di soggetti pubblici, esclusi gli enti pubblici economici, è consentito solo se autorizzato da espressa disposizione di legge nella quale siano specificati i dati che possono essere trattati, le operazioni eseguibili e le rilevanti finalità di interesse pubblico perseguite.

Dunque c'è un'esplicita e dettagliata riserva di legge e, in attesa della legge, le disposizioni transitorie dell'articolo 41 stabiliscono, al quinto comma:
Nei ventiquattro mesi successivi alla data di entrata in vigore della presente legge, i trattamenti dei dati di cui all'articolo 22, comma 3, ad opera di soggetti pubblici, esclusi gli enti pubblici economici, e all'articolo 24, possono essere proseguiti anche in assenza delle disposizioni di legge ivi indicate, previa comunicazione al Garante.
Il termine è scaduto qualche giorno fa, ma il problema non è questo. Il problema è nella sostanza delle disposizioni, nel quadro sistematico che ne deriva e nei loro effetti sul funzionamento delle pubbliche amministrazioni coinvolte.

Vale la pena di ricordare che nell'estate dell'anno scorso il Governo approvò un testo che, oltre al trattamento dei dati sensibili da parte degli enti pubblici, conteneva disposizioni anche per altre materie previste dalla legge-delega 676/96. Il provvedimento suscitò forti polemiche, al punto che sparì prima di essere pubblicato sulla Gazzetta ufficiale. Il confronto con il vecchio provvedimento rende l'idea di quante discussioni siano state necessarie per giungere al nuovo: da tredici articoli si è passati a ventidue e le dimensioni del testo sono quasi raddoppiate a forza di cavilli, distinzioni e precisazioni. Che tuttavia non hanno migliorato la situazione generale, anzi, hanno reso le norme criptiche e confuse nel puro stile originario della legge del '96.

Tanto per incominciare, ci sono alcune modifiche all'articolo 22 della legge (elencate nell'articolo 5 del nuovo decreto): l'ennesima patch, che mette in risalto ancora una volta l'inadeguatezza del testo iniziale e introduce una contraddizione interna in forte odore di anticostituzionalità. Infatti al dettato originale del terzo comma dell'articolo 22 si aggiunge:
In mancanza di disposizione di legge, e fuori dai casi previsti dai decreti legislativi di modificazione ed integrazione della presente legge, emanati in attuazione della legge 31 dicembre 1996, n.676, il trattamento dei dati è consentito previa autorizzazione del Garante, che individui le rilevanti finalità di interesse pubblico che legittimano il trattamento stesso. In quest'ultimo caso il Garante si pronuncia, ai sensi del comma 2, su richiesta del soggetto pubblico....

In sostanza, dopo aver sancito la riserva di legge (cioè che il trattamento è consentito solo sulla base di presupposti che possono essere indicati solo da una legge - o da un atto avente forza di legge) la stessa legge assegna al Garante il compito di individuare, per alcuni casi, gli stessi presupposti, con un provvedimento di natura amministrativa, cioè in violazione della stessa riserva di legge!
A parte la contraddizione, questa parte dell'articolo 5 di per sé potrebbe essere viziata da incostituzionalità, perché la legge-delega pone un limite preciso: le disposizioni delegate devono essere emanate "nel rispetto dei principi e della impostazione sistematica della legislazione in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali", come recita la legge-delega. E non c'è dubbio che la riserva di legge è un "principio" che non può essere ignorato. Si potrebbe dunque trattare di un eccesso di delega.

Ma, ancora, non siamo alla sostanza dei problemi, che è in altri articoli del testo che stiamo esaminando. Recita, per esempio, il terzo comma dell'articolo 4:
In ogni caso, la diffusione dei dati, nonché le operazioni e i trattamenti di cui al comma 2, se effettuati
tramite l'interconnessione di banche dati di diversi titolari, sono ammessi solo se previsti da espressa
disposizione di legge.
Interconnessione di banche dati? Il legislatore evidentemente ignora che le banche dati non si possono "interconnettere". L'interconnessione riguarda solo le reti. Le banche dati possono, in certi casi, essere consultate da titolari diversi, e si possono quindi compiere raffronti o integrazioni tra dati che appartengono a diverse banche, anche senza l'interconnessione delle reti. In termini tecnici si tratta di "interscambio di dati". Forse è questo che intendeva il legislatore, ma una simile imprecisione di linguaggio è intollerabile nell'epoca in cui viviamo, perché questi concetti sono ormai alla base di tutta la legislazione che coinvolge, direttamente o indirettamente, le tecnologie dell'informazione. Fra l'altro la "interconnessione dei dati" è un vizio originario della legge, perché è elencata nell'articolo 1 della 675/96 tra le operazioni che costituiscono "trattamento".

Non basta. L'articolo 3 detta le norme generali per i trattamenti:
...
3. Ai sensi dell'articolo 9, comma 1, lett. c), d) ed e) della legge, i soggetti pubblici verificano periodicamente l'esattezza e l'aggiornamento dei dati, nonché la loro pertinenza, completezza, non eccedenza e necessità rispetto alle finalità perseguite nei singoli casi, anche con riferimento ai dati che l'interessato fornisce di propria iniziativa. Al fine di assicurare che i dati siano strettamente pertinenti e non eccedenti rispetto agli obblighi e ai compiti loro attribuiti, i soggetti pubblici valutano specificamente il rapporto tra i dati e gli adempimenti. I dati che, anche a seguito delle verifiche, risultano eccedenti o non pertinenti o non necessari non possono essere utilizzati, salvo che per l'eventuale conservazione, a norma di legge, dell'atto o del documento che li contiene. Specifica attenzione è prestata per la verifica dell'essenzialità dei dati riferiti a soggetti diversi da quelli cui si riferiscono direttamente le prestazioni o gli adempimenti.
4. I dati contenuti in elenchi, registri o banche di dati, tenuti con l'ausilio di mezzi elettronici o comunque automatizzati, sono trattati con tecniche di cifratura o mediante l'utilizzazione di codici identificativi o di altri sistemi che, considerato il numero e la natura dei dati trattati, permettono di identificare gli interessati solo in caso di necessità.
5. I dati idonei a rivelare lo stato di salute e la vita sessuale sono conservati separatamente da ogni altro dato personale trattato per finalità che non richiedano il loro utilizzo. Al trattamento di tali dati si procede con le modalità di cui al comma 4 anche quando detti dati non sono contenuti in elenchi, registri o banche dati o non sono tenuti con l'ausilio di mezzi elettronici o comunque automatizzati.
...
7. Con i decreti di cui all'articolo 15, commi 2 e 3, della legge, sono individuate le misure minime per garantire la sicurezza dei trattamenti effettuati con tecniche di cifratura o mediante codici identificativi, anche al fine di assicurare il trattamento disgiunto dei predetti dati dagli altri personali che permettono di identificare direttamente gli interessati.
...

E così, o queste disposizioni sono destinate a restare inapplicate, oppure si blocca tutto, perché la pubblica amministrazione non è preparata a trattamenti cifrati, alla separazione dei dati contenuti nella stessa banca e via discorrendo. Per di più i decreti "di cui all'articolo 15" della legge, i famosi regolamenti sulla sicurezza non sembrano nemmeno all'orizzonte, sicché le amministrazione non possono nemmeno metter subito mano all'adeguamento degli archivi, perché misure di questo tipo riguardano la struttura stessa delle banche dati. Senza contare che le prescrizioni del terzo comma obbligano a rivedere tutte le procedure in funzione dei controlli periodici.
Si aggiunga che, non essendo attualmente in atto la separazione dei dati sensibili da quelli ordinari, il divieto di "interconnessione delle banche dati" per i "dati particolari" renderebbe impossibile l'interscambio di tutti i dati, cioè bloccherebbe sul nascere l'intera rete unitaria della pubblica amministrazione, pensata in primis per l'interscambio di dati tra gli uffici!

Si potrebbe andare avanti per pagine e pagine, ma è opportuno rimandare le ulteriori osservazioni alla pubblicazione del testo definitivo. Vale però la pena di considerare il quinto comma dell'articolo 5 (quello che modifica l'articolo 22 della legge):
I provvedimenti di cui all'articolo 22, comma 3 bis della legge, introdotto dal comma 2 del presente articolo, costituiscono attuazione dei principi di cui agli articoli da 1 a 4 del presente decreto.
E' molto singolare: un decreto stabilisce che una legge precedente applica i principi di un decreto successivo. Un guazzabuglio del quale non si comprende il significato.

Così aumenta il guazzabuglio di tutta la normativa sulla protezione dei dati personali, che parte da una legge tanto inapplicabile da essere continuamente modificata, fin dal primo giorno della sua entrata in vigore. Con la conseguenza di una proliferazione di provvedimenti che, a scorrere l'elenco contenuto nella legge-delega, è solo all'inizio (questo dovrebbe essere già il decimo, se non ho contato male). Da una parte la legge esplode come una "bomba a grappolo", generando altre piccole leggi che rischiano di restare inesplose sul terreno, dall'altra implode in se stessa automodificandosi e crescendo all'infinito.

Il Garante ha detto che alla fine ci vorrà un "testo unico". Mai come in questo caso ci vorrebbe un "ipertesto", ma il Garante non sa che cosa sia. Infatti ha pubblicato un CD-ROM con tutto lo scibile su due anni di applicazione della legge, ma nel formato meno utilizzabile e per di più non di pubblico dominio (quindi spendendo ingiustificatamente una sia pur piccola somma di denaro pubblico), senza collegamenti ipertestuali e senza nemmeno un indice interattivo. Di fatto ha elegantemente riprodotto in bit i documenti cartacei, come aveva fatto con il modello digitale della notificazione, invece di realizzare una procedura informatica.

E poi qualcuno scrive a InterLex per chiedere come mai il Garante, dopo due anni di attività, non ha ancora un sito sull'internet.