Il decreto legislativo n.135/99 si inserisce nel quadro generale di applicazione della legge 675/96 "Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali", integrandone il contenuto per quanto concerne il trattamento dei dati sensibili da parte di soggetti pubblici.
Al Capo 5 della 675/96 "Trattamenti soggetti a regime speciale", l'articolo 27 dispone che il trattamento di dati personali da parte di soggetti pubblici, esclusi gli enti pubblici economici (che rientrano nella generale disciplina della 675), è consentito solo:
- per lo svolgimento delle funzioni istituzionali;
- nei limiti stabiliti dalla legge e dai regolamenti.
I limiti predisposti sono, dunque, ben precisi ed ulteriori articoli della legge (artt.11,12,14) ribadiscono che il soggetto pubblico deve essere espressamente autorizzato al trattamento.

Gli stessi obblighi sono rintracciabili anche nello schema strutturale del decreto legislativo in oggetto che:
- al Capo 1, fissa i principi generali in materia di trattamento di dati sensibili o attinenti a provvedimenti giudiziari, indicati negli articoli 22, comma 1, e 24 della Legge, effettuato da soggetti pubblici;
- al Capo 2, individua "alcune" (quindi l'elenco non è tassativo) " rilevanti finalità di interesse pubblico, per il cui perseguimento è consentito il trattamento";

Il soggetto pubblico è, quindi, autorizzato:
- ex articolo 3, ad effettuare il trattamento dei soli "dati essenziali" che devono essere pertinenti, non eccedenti e necessari in relazione alle attività istituzionali svolte e rispetto alle finalità di interesse pubblico che lo stesso persegue; il soggetto pubblico è, inoltre, tenuto a controllare, verificare ed aggiornare tali dati.
Nella interpretazione del concetto di " dati essenziali", il legislatore ha indicato delle aggettivazioni qualificanti al di fuori delle quali il trattamento non è consentito. A tal fine i soggetti pubblici sono tenuti a valutare specificamente il rapporto tra dati e adempimenti; in ultima analisi, quindi, la definizione concreta del concetto è lasciata al titolare del trattamento.
- ex articolo 4 a svolgere solo le "operazioni di trattamento strettamente necessarie al perseguimento delle finalità per cui il trattamento è consentito".
Il soggetto pubblico che non rispetti gli obblighi di legge suindicati è da considerarsi non autorizzato al trattamento e, quindi, violerebbe l'espresso disposto dell'articolo 27 della 675/96; in tal caso è compito del Garante in quanto autorità di vigilanza controllare che i trattamenti siano effettuati nel rispetto della legge.

Purtroppo, da tale logica ed ineluttabile interpretazione della norma di legge, discende come conseguenza che, per quanto concerne la tutela giurisdizionale, sono da ritenersi applicabili le disposizioni della 675, per cui l'interessato per la tutela dei propri diritti potrà far ricorso, alternativamente, al Garante o all'autorità giudiziaria competente in relazione al settore cui la controversia si riferisce, in particolare per i casi di giurisdizione esclusiva del TAR.
Sicuramente su questo aspetto occorrerà attendere le prime decisioni delle corti di merito e della Cassazione, posto che si pone con maggior forza il problema delle legittimità del Garante come "giudice speciale".
Infatti occorre ricordare che allo stesso Garante risultano affidati compiti giurisdizionali ex articolo 29 legge 675/96; il ricorso al Garante è espressamente considerato come alternativo al ricorso all'Autorità Giudiziaria (ordinaria). Soltanto alla seconda è possibile richiedere il risarcimento del danno.
Tale disciplina, inserita in quella dettata dalla legge n.1034/1971 e del d.l. n.80/1998 (la prima istitutiva dei TAR e la seconda che ha operato una attribuzione di competenze ai TAR nella materia dei c.d. "pubblici servizi"), porta l'interprete a porsi quesiti di non facile soluzione.

In breve, e con riserva di approfondire l'argomento in seguito, delle due l'una:
- Dal tenore letterale della 675/96 si dovrebbe pensare che esista la giurisdizione esclusiva del Garante per i casi di violazione della 675 (almeno per quanto concerne i casi in cui non si voglia richiedere il risarcimento del danno); ma se ciò fosse vero, con particolare riferimento ai soggetti pubblici, rimarrebbe aperto il problema della sospensione degli atti amministrativi e quello, sicuramente più grave, della incostituzionalità del Garante stesso, in quanto giudice speciale istituito con legge ordinaria.
- Se invece si accede all'interpretazione probabilmente più corretta da un punto di vista sistematico, e quindi si opta per la giurisdizione esclusiva del Tar per questioni di legittimità, e di giurisdizione esclusiva del Tar con cognizione piena nei casi previsti dagli articolo 34, 35 e 36 d.l. n.80/1998, si va contro il disposto letterale della 675 nonché contro la struttura stessa della Legge istitutiva dell'Autorità; occorre infatti ricordare che il Garante dei Dati Personali, come altre Autorità consimili, è stato istituito al fine di concentrare in un unico soggetto le competenze che riguardino determinati settori della vita del Paese.

Non vi è dubbio che occorrerebbe un bel regolamento preventivo di giurisdizione innanzi alla Cassazione per dirimere la questione (anche se sorgono seri dubbi sulla possibilità di sollevare tale eccezione nei procedimenti di fronte al Garante; si vedano, in particolare, gli artt. 5,18, 19 e 20 del Decreto del Presidente della Repubblica 31 marzo 1998, n. 501. (Regolamento recante norme per l'organizzazione ed il funzionamento dell'Ufficio del Garante per la protezione dei dati personali, a norma dell'articolo 33, comma 3, della legge 31 dicembre 1996, n. 675)

In ogni caso mal si concilia il disposto del terzo comma dell'articolo 27 L.675/96 - sotto riportato - con il generale funzionamento dei soggetti pubblici.
"In tale ultimo caso deve esserne data previa comunicazione nei modi di cui all'articolo 7, commi 2 e 3 al garante che vieta, con procedimento motivato, la comunicazione o la diffusione se risultano violate le disposizioni della presente legge".
In ogni caso si applicherebbe il disposto del secondo comma dell'articolo 34 L.675/96, in relazione alla possibile violazione dell'articolo 22; naturalmente non è semplice immaginare una ipotesi pratica di un soggetto pubblico che ".. al fine di trarne per sé o per altri profitto o di recare ad altri un danno, comunica o diffonde dati personali in violazione di quanto disposto dagli articoli 21, 22, 23 e 24, .è punito con la reclusione da tre mesi a due anni."

Il soggetto pubblico risponde ex articolo 2050 per eventuali danni derivanti dal trattamento illecito dei dati sensibili? Con ogni probabilità sì, non essendo di fatto innovato nulla in relazione alla specifica applicazione dell'articolo 2050 c.c. alla PA; sia la dottrina sia la giurisprudenza più recente sono ormai concordi nel ritenere applicabile tale disciplina anche alla PA.

L'articolo 5, che modifica ed integra il contenuto dell' articolo 22 della 675/96, dispone espressamente, al comma 2, che nella legge di autorizzazione al trattamento debbano essere specificati:
- i tipi di dati che possono essere trattati;
- le operazioni eseguibili;
- le rilevanti finalità di interesse pubblico perseguite dal soggetto pubblico.
Quindi si pone come una sorta di "legge quadro" dell'ambito del trattamento dei dati da parte dei soggetti pubblici, ponendo dei limiti che "dovrebbero" essere rispettati dalle leggi eseguenti; peccato però che tale impostazione vada a cozzare contro lo schema costituzionale delle fonti del diritto che, pur ammettendo sicuramente una gerarchia delle fonti, sicuramente non ammettono una gerarchia tra fonti dello stesso "livello", come, per esempio, due leggi ordinarie.
Anche qui nascono non facili problemi di coordinamento ed integrazione della 675 (e delle leggi ad essa collegate) con il complesso delle norme esistenti.

La legge in esame prevede anche una sorta di "scappatoia" per i trattamenti di dati non inseriti nella legge, che pertanto, alla luce delle sopra esposte considerazioni, si devono considerare a tutti gli effetti illeciti in quanto "non autorizzati".
In mancanza di espressa disposizione di legge e nelle more della stessa, quando si è al di fuori dei casi previsti dai decreti legislativi emanati in attuazione della legge 676/96, è prevista la possibilità di richiedere al Garante l'individuazione delle attività tra quelle demandate istituzionalmente al soggetto pubblico che perseguono rilevanti finalità di interesse pubblico per le quali quindi è conseguentemente autorizzato ai sensi dell'articolo 22, comma 2 della 675/96 il trattamento dei dati sensibili.
In questo caso dunque il Garante è espressamente richiamato a colmare eventuali lacune legislative nella disciplina del settore (sic!); anche se al Garante, come del resto alle altre c.d. "autorità indipendenti" è stato attribuito un potere regolamentare, tale potere deve essere esplicato sempre e comunque all'interno delle linee guida poste da leggi di "livello superiore" e, conseguentemente, ben difficilmente un regolamento potrà sostituirsi al norme primarie.

In questo caso può essere illuminante, quanto scritto da Francesca Romana Fuxa Sadurny in http://www.diritto.it/amministrativo/articoli/autorit.htm:

".I regolamenti che essi possono adottare sono atti di settore che rinvengono la loro legittimità di fonti del diritto proprio nella legge istitutiva della Autorities.
Si pone allora il quesito della loro posizione giuridica nell'ambito della gerarchia delle fonti: questi regolamenti sembrano richiamare quelli che emanano gli enti dotati di autonomia e di personalità giuridica statali e territoriali in materie non disciplinate dalla legge proprio in considerazione della settorialità e specificità degli interessi che vengono a curare si pensi per esempio ai regolamenti che disciplinano i mercati e le fiere comunali oppure ai regolamenti che disciplinano il settore della polizia cimiteriale ecc.
Si tratterebbe, insomma, di regolamenti indipendenti.
Il vero problema che si pone, a prescindere dalla loro qualificazione giuridica, è quello di verificare il rapporto di questi regolamenti con quelli governativi alla luce della legge 400/1988 che, come sappiamo, fissa una gerarchia dei regolamenti.
A rigore stando alla legge citata i regolamenti delle Autorities dovrebbero essere subordinati ai regolamenti ministeriali in quanto non ricompresi tra i regolamenti governativi: non potrebbero, cioè, derogare ai primi.
Questa affermazione non sembra, però, cogliere nel segno perché le autorità amministrative indipendenti, in quanto sottratte all'organizzazione della compagine pubblica, non possono avere la stessa veste né la stessa funzione degli enti e dei Ministeri pubblici.
Gli enti pubblici diversi dallo Stato, inteso come soggetto e non come apparato, rientrano nell'organizzazione statale in quanto svolgono una funzione strumentale e ausiliaria dello stesso: tali funzioni e tali caratteristiche, invece, esulano per le autorità indipendenti.
Sulla base di questa considerazione, allora, sembra più opportuno dire che i regolamenti delle Autorities sono sottratti alla legge 400/88 e non sono subordinati ai regolamenti ministeriali.
La puntualizzazione è importante perché non viene, qui, in considerazione un rapporto di gerarchia quanto un principio di ripartizione di competenze: avendo le Autorities una competenza esclusiva a disciplinare certi settori dell'economia i regolamenti da loro adottati costituiscono fonti del diritto, in quanto innovano e presentano il carattere di generalità ed astrattezza, e non sono subordinati ad altre fonti secondarie; anzi secondo alcuni avrebbero, addirittura, natura di fonti subprimarie come i regolamenti indipendenti degli enti territoriali locali. .."

E' appena il caso di notare come tutto il ragionamento sopra esposto possa anche essere condivisibile se applicato ai "regolamenti" emanati dalle Autorità Indipendenti (e, quindi, anche da parte del Garante) ma non possa essere certamente applicato alle semplici "decisioni" o "provvedimenti" presi direttamente dal Garante nell'esercizio della propria attività istituzionale.
Infine, il comma 3 dell'articolo 5 richiama la possibilità di individuare direttamente i dati oggetto di trattamento da parte del soggetto pubblico quando manchi espressa disposizione di legge per cui il titolare del trattamento dovrà identificare e rendere pubblici i tipi di dati e le operazioni eseguite, aggiornandole ovviamente periodicamente.

Volendo trarre delle prime conclusioni, e con riserva di approfondire la questione in seguito, si può tranquillamente affermare che, pur essendo stata emanata con notevole ritardo rispetto ai tempi previsti, la legge in esame non fa che aggiungere dubbi interpretativi alla generale impalcatura della 675/96, laddove, al contrario, sarebbe stata auspicabile una azione chiarificatrice da parte del legislatore nella materia in esame.