Il legislatore ha posto le basi, cosi', per colmare il sensibili ritardo, oggetto di diffusi commenti critici in campo internazionale e comunitario, con il quale l'Italia si sta dotando di una legislazione "generale" sull'utilizzazione delle informazioni di carattere personale.
La convenzione, entrata in vigore l'1.10.1985, e' stata ratificata da tutti i paesi dell'Unione, esclusa la Grecia dove l'iter parlamentare, peraltro, e' in via di definizione. Il medesimo accordo e' stato ratificato da tempo anche dai quattro paesi che faranno parte dell'Unione a partire dal 1 gennaio 1995 (Austria, Finlandia, Norvegia e Svezia).
L'entrata in vigore della Convenzione e' fissata, ai sensi del relativo articolo 22, par.3., al primo giorno del mese successivo allo scadere del termine di tre mesi dalla data del deposito dello strumento di ratifica.
Allo stato, l'Italia non puo' depositare tale strumento in quanto, ai sensi dell'art. 4. Conv., le parti contraenti sono tenute ad adottare previamente, nel diritto interno, le misure necessarie per dare effetto ai principi fondamentali per la protezione dei dati annunciati nella Convenzione, al piu' tardi al momento dell'entrata in vigore di questa nei loro confronti.
L'assenza in Italia di una legislazione generale in materia condiziona una serie ulteriore di delicati ed indifferibili impegni su scala internazionale e comunitaria, risultando di ostacolo insuperabile, in primo luogo, alla ratifica dell'Accordo di Shengen del 14 giugno 1985 sulla soppressione graduale dei controlli alle frontiere dei paesi aderenti, ratifica che pure e' stata autorizzata dalla legge 30 settembre 1993, n.388.Tale Accordo dovrebbe essere dichiarato operativo il prossimo 22 dicembre, e vi e' il concreto rischio, da scongiurare, che l'Italia non possa farvi parte a tutti gli effetti sin da tale data.
Ma vi e' di piu'. L'attuazione di un numero cospicuo di altri strumenti di origine pattizia, essenziali per l'amministrazione dello Stato, e' legata anch'essa alla previa esistenza di una disciplina normativa interna sull'uso delle informazioni personali scambiata in virtu' dei medesimi strumenti: si pensi, ad esempio, allo scambio di dati nel quadro del Sistema Informativo Doganale, al Sistema d'Informazione Europeo, alla protezione dei dati inerenti le frodi ai danni delle Comunita' europee, ai flussi transfrontalieri di dati in applicazione della Convenzione di Dublino del 15 giugno 1990 sul diritto di asilo, ratificata in virtu' della legge 23 dicembre 1992, n.523, ecc.
Si puo' dire anzi che nel quadro della cooperazione internazionale e dei lavori preparatori di vari strumenti pattizi si va diffondendo il ricorso a clausole che vincolano puntualmente gli stati aderenti a disciplinare normativamente, al proprio interno, l'uso delle informazioni delle quali e' previsto il flusso oltre frontiera.
Va sottolineato, inoltre, che l'Italia non ha adempiuto integralmente all'obbligazione positiva " di proteggere la vita privata della persona, che grava sugli Stati in virtu' dell'art. 8 della Convenzione europea per la salvaguardia dei diritti dell'uomo e delle liberta' fondamentali.
La ratifica della Convenzione 108 di Strasburgo e' stata oggetto anche di reiterati solleciti da parte dei competenti organi comunitari, in relazione all'Atto unico di integrazione europea. E pacifico, infatti, che la mancanza di una legislazione interna in materia influisce negativamente sullo stesso Mercato Interno, ostacolando il libero (ma garantito in termini di "protezione delle persone") flusso di informazioni all'interno della Comunita', creando disparita' di trattamento tra persone fisiche e fra operatori economici, determinando, inoltre, distorsioni imprevedibili anche in termini di concorrenza, in una societa' che avverte invero il bisogno crescente di disporre in tempo reali di informazioni corrette ed utilizzabili, in quanto acquisite ed impiegate nell'osservanza di regole precise.
L'importanza di una legislazione uniforme in materia e' comprovata dalle risultanze del vertice europeo di Edimburgo nonche', da ultimo, da quello di Corfu' del 24/25 giugno 1994, che ha impresso un impulso forte ad alcune iniziative normative comunitarie in materia di tecnologie dell'informazione, ivi compresa la proposta modificata di direttiva quadro sulla tutela dei dati personali SYN 287. Tale direttiva armonizzera' le legislazioni vigenti nei vari Stati membri poiche' la piena realizzazione del Mercato Interno esige, quale condizione per il libero flusso delle informazioni all'interno della Comunita', un grado di protezione dei dati equivalente, che rafforzi ad un livello piu' elevato le garanzie gia' offerte dalla Convenzione europea per la salvaguardia dei diritti dell'uomo e delle liberta' fondamentali, e consenta agli Stati di superare le differenziazioni createsi in applicazione di alcune opzioni consentite dalla citata Convenzione di Strasburgo.
La tutela dei diritti fondamentali dell'individuo alla riservatezza e all'identita' personale, riaffermati da recenti pronunce della Corte costituzionale, non consente, in uno con gli impegni internazionali ai quali si e' accennato, di attendere l'entrata in vigore della sia pur imminente direttiva sulla tutela dei dati personali. Va tenuto conto, al riguardo, della stessa necessita' di prevedere una vacatio legis superiore a quella ordinaria, per dare la possibilita' a tutti gli operatori pubblici e privati di apprendere appieno le nuove regole di gestione delle banche dati. Non va sottaciuto, poi, che l'emanazione della stessa normativa di attuazione, specie regolamentare, che e' essenziale alla piena funzionalita' della legge e del relativo sistema di tutela amministrativo e giurisdizionale, richiedera' dei tempi tecnici che rendono ancor piu' urgente il varo di una legge.
L'odierna iniziativa tiene conto dell'assetto costituzionale dei diritti e delle liberta' coinvolte nonche' del bilanciamento fattone nelle leggi degli altri Paesi; inoltre, come imposto da un principio di diritto comunitario, si ispira alle linee di fondo della proposta di direttiva comunitaria.
In altre parole, la nuova legge non puo' limitarsi ad una elencazione scarna e meccanica dei principi fondamentali contenuti nel capitolo II della Convenzione di Strasburgo. A parte il fatto che e' la stessa Convenzione ad imporre che i medesimi principi siano sviluppati e resi effettivi da un corpo organico di norme, non puo' non operarsi una considerazione globale ed equilibrata delle problematiche che investono la materia, come pure del trend in atto negli atri paesi su scala comunitaria ed internazionale.
Si propone, quindi, un quadro normativo basato su una visione piu' organica rispetto a quella sottesa ad altre iniziative legislative del passato.
Gli oneri che si prefigurano a carico di operatori pubblici ed economici sono delineati in termini di corretto equilibrio fra gli interessi coinvolti, nel bilanciare i quali si e' tenuto conto anche del dibattito aperto da anni in sede internazionale e delle legislazioni dei paesi di area europea.
In termini piu' generali, il presente disegno non intende ostacolare la circolazione dei dati personali, ne' delimitare in un ambito ristretto la formazione,, l'utilizzazione e l'interconnessione delle banche di dati.
Questo genere di finalita' e' stato alla base, piuttosto, di alcune legislazione di "prima generazione", che hanno introdotto una disciplina di carattere burocratico-autorizzatorio, giustificabile in ragione del numero ristretto di banche di dati e della concentrazione della loro disponibilita' in pochi soggetti.
L'incremento sensibile del flusso di circolazione delle informazioni pone il legislatore, ora, di fronte ad esigenze profondamente mutate; amministrazioni pubbliche, organizzazioni private e singoli individui avvertono il bisogno crescente di disporre in tempi reali di una gamma vasta di informazioni da utilizzare a fini decisionali e di programmazione, ed un arretramento rispetto alla "societa' della conoscenza" non e' ipotizzabile.
D'altro canto, il livello elevato di circolazione dei dati, anche transfrontaliero, esige un rafforzamento delle misure di salvaguardia dei diritti fondamentali dalle persone, che sono esposte a pregiudizi reali dalle varie utilizzazioni delle informazioni personali, specie quando si operano determinate elaborazioni, o si intrecciano dati disseminati in piu' archivi ovvero si sfruttano notizie inesatte.
Il bilanciamento degli interessi in gioco trova nella carta costituzionale linee direttive precise, ben evidenziata dalla dottrina, nell'ambito delle norme che interessano l'iniziativa economica da un lato e i diritti fondamentali delle persone dall'altro.
Con la nuova legge si riconosce espressamente, e s delimita, la liceita' della raccolta dei dati personali, sottraendo questa attivita' al quadro di incertezza sinora registratomi, Si individuano, allo stesso tempo, alcuni presupposti sostanziali che hanno per scopo quello di instaurare una prassi di correttezza e di trasparenza, nei termini imposti dalla Convenzione 108.
La protezione riconosciuta alle persone e' connessa alla loro riservatezza ed identita' personale. Si forniscono agli interessanti alcuni strumenti specifici di tutela del loro diritto ad una corretta rappresentazione del proprio modo d'essere e della propria immagine, diritto che puo' essere leso da informazioni inesatte, incompleta, o non aggiornata, come pure dalle decisioni che possono essere adottate su tali basi della pubblica amministrazione o nell'ambito di rapporti privati.
Il presente disegno non investa problematiche diverse da quelle della protezione dei dati e non condizione, dunque, le scelte da operarsi su questioni connesse quale quelle, ad esempio, dell'informatizzazione della pubblica amministrazione.
Rispetto al d.d.l. n. 1670/S dell'XI legislatura, approvato con larghi consensi dalla Camera dei deputati il 17 novembre 1993, si e' provveduto a introdurre diverse modifiche volte e tener conto delle riserve e della preoccupazioni maturate soprattutto nel settore privato riguardo agli adempimenti organizzative che il provvedimento presuppone.
Mantenendo intatti i principi di tutela che tale disegno aveva riaffermato nel rispetto della Costituzione, si e' reso il presente d.d.l. meno oneroso dal lato applicativo, soprattutto sotto il profilo
burocratico e per quanto riguarda le condizioni che legittimano l'elaborazione dei dati.
Oltre ad un'ampia serie di precisazioni formali, sono state introdotto le seguenti, principali, novita': gli archivi cartacei (che devono essere disciplinati in quanto la tutela dei diritti della persona non ammette eccezioni in ragione della natura del supporto sul quale figurano i dati) sono stati esclusi dall'obbligo di notificazione al Garante, e l'applicazione della legge nei loro confronti e' stata differita al 1 luglio 1995, seguendo un'ottica di gradualita' di cui beneficiera' le stessa attivita' del Garante; si e' ristretta ampiamente la sfera delle disposizioni applicabili alle informazioni riguardanti le persone giuridiche pubbliche e private e gli enti, in termini compatibili, pero', con la citata giurisprudenza che riconosce anche alle persone giuridiche il diritto all'identita' personale; anche per questo genere di informazioni, poi, si e' escluso l'obbligo di notificazione; si e' snellita sensibilmente la procedura di notificazione; nell'ambito dei presupposti che legittimano l raccolta e l'elaborazione dei dati, sono state inserite altre condizioni equipollenti e sono stati resi meno rigorosi taluni presupposti utilizzabili dai privati e dalla pubblica amministrazione; e' stato in parte rimodulato il sistema sanzionatorio, sia sotto il profilo edittale che dal lato dell'elemento soggettivo; si e' prevista espressamente l'impugnabilita' di alcuni provvedimenti del Garante; sono stati allungati alcuni termini della disciplina transitoria; si e' inserita una clausola formale di salvezza del segreto del giornalista; e' stato dato uno spazio piu' ampio alla disciplina dei c.d. codici deontologici; si e' consentita la nomina di un responsabile persona giuridica o ente (non solo, dunque, di una persona fisica); si e' introdotta una disciplina transitoria piu' favorevole per il trattamento di dati "sensibili" da parte della pubblica amministrazione; si e' consentito alle imprese assicuratrici di trattare dati di carattere sanitario sulla base di un'autorizzazione specifica el Garante; si e' reintrodotto nel d.d.l. l'articolo gia' licenziato per l'aula dalla Commissione giustizia della Camera, che contenente una previsione di delega al Governo per una disciplina integrativa indispensabile ed equilibrata.
Il disegno consta di 36 articoli.
L'articolo 1 reca una serie di definizioni indispensabili per una corretta applicazione della legge. Si chiarisce, cosi', la sfera operativa di varie disposizioni, tenendo conto delle problematiche emerse in relazione ad altre leggi, specie di area europea, che impiegano concetti analoghi.
Come previsto dalla proposta di direttiva, ed in sintonia con le leggi di altri Paesi, la legge dovra' avere come oggetto il "trattamento" dei dati e non i dati in se' e per se', ovvero la "banca dati". Per quanto riguarda i dati automatizzati, quindi, non ha importanza se sussista o meno, in concreto, una banca dati. LA definizione di quest'ultima, tuttavia, e' stata mantenuta allo scopo di chiarire che, per i dati cartacei, la nuova legge non si applichera' alle informazioni "disperse" (ad esempio, su singoli fogli non assemblati tra loro), ne' a semplici agende o rubriche telefoniche, venendo in considerazione i soli dati registrati in veri e propri archivi, individuabili attraverso la definizione di "banca di dati".
Anche le altre definizioni traggono origine dal dibattito approfondito sviluppatori in piu' sedi internazionali, e sono adeguatamente soppesate nei minimi dettagli.
Le informazioni che hanno per oggetto le persone giuridiche, gli enti ed altri organismi, menzionati nelle definizioni di "dato personale" e di interessato", saranno protette nella misura adeguata.
La "riservatezza" di tali entita' - tutelata espressamente in un numero considerevole di disposizioni di legge e di regolamenti, non puo' essere garantita in termini del tutto identici a quelli osservati per le persone fisiche, dovendosi tener conto di altri concomitanti interessi meritevoli anch'essi di protezione (si pensi, ad esempio, all'utilizzazione indebita che una societa' commerciale potrebbe fare del diritto di accesso, chiedendo di conoscere le informazioni che la riguardano in possesso di un'impresa in concorrenza).
La facolta' prevista dall'art. 3, par.2, lett. b) Conv. dev'essere oggetto, pero' di esercizio sia pure parziale, dovendosi tener conto della necessita' di tutela il diritto all'identita' personale che, come s'e' detto, spetta per giurisprudenza pacifica anche alle persone giuridiche. Va tenuto conto, poi, che le associazioni che non hanno uno scopo di profitto e le fondazioni meritano anch'esse una specifica protezione, specie quando sono composte da un numero ristretto di aderenti ovvero operano nel quadro di interventi di tipo social e assistenziale.
L'articolo 2 determina il campo di applicazione della legge alla quale sono soggetti (Art.3, par.1, Conv) sia il settore pubblico sia quello privato, con alcune esclusioni: il comma 1 individua, anzitutto, i trattamenti per scopi puramente personali i quali, in termini conformi alla proposta di direttiva, saranno esclusi dal campo applicativo sia della legge che della Convenzione di Strasburgo. nei modi previsti dall'art.3, par. 2 lett. a), Conv. Il medesimo comma 1 non entra nel merito del genere di "scopo personale", che potra' anche essere legato allo svolgimento di un'attivita' professionale sempreche' di dati non siano diffusi a terzi, fatta salva la possibilita' di comunicazioni episodiche e non sistematiche. Questo tipo di trattamenti dovra' essere protetto anch'esso, tuttavia, da misure idonee di sicurezza.
L'art. 2, comma 1, non ripropone il discusso principio della c.d. "liberta' informatica" del quale si e' prospettata, con varie formule la positivizzazione. A prescindere dal dibattito dottrinale sulla proprieta' o meno di una simile nozione (e circa i soggetti che in versanti "contrapposti" possono invocarne la titolarita', si e' presto atto delle critiche e delle perplessita' che in sede internazionale sono emerse in termini di conformita' alla Convenzione. Il diritto ad informarsi e ad essere informati e' stato cristallizzato, quindi, in una norma - piu' corretta - sul campo di applicazione della legge. Dal lato "contrario", per quanto riguarda il diritto ad essere tutelati nei confronti del trattamento dei dati, si potra' fare riferimento alle norme che sanciscono i diritti dell'interessato e la loro azionabilita' (es., artt. 11 e 22)
Di un secondo gruppo di trattamenti, appartenenti ad interessi vitali della collettivita', viene proposta l'esclusione dal campo di applicazione della sola legge interna (Art.2, comma 2), ferma restando l'applicazione della Convenzione 108. Si tratta di trattamenti individuati mediante un riferimento normativo specifico o ratione materia, in stretta aderenza all'art. 9, par.2, lett. a) Conv., per il quale, ferma restando l'applicabilita' della Convenzione (ad esempio, in relazione al principio di sicurezza di cui all'art. 7 Conv, che non e' derogabile), gli stati membri possono introdurre alcune circoscritte eccezioni e specifiche disposizioni della medesima Convenzione, in particolare per cio' che concerne il diritto di accesso dell'interessato (che puo' essere escluso o assoggettato a regole piu' specifiche) e gli strumenti di tutela, quando vi e' necessita' di proteggere interessi tassativamente enumerati.
La disciplina di questo secondo gruppo di trattamenti restera' demandata, in una prima fase, alle specifiche leggi istitutive o comunque "di supporto", le quali dovranno conformarsi o adeguarsi ai principi fondamentali della Convenzione e alle raccomandazioni gia' adottate dal Consiglio d'Europa, nei termini previsti dai decreti delegati da emanarsi in virtu' dell'art. 35 del presente d.d.l.
In armonia con le scelte maturate in ambito comunitario, l'art. 2 , comma 3 delimita il campo applicativo della legge in rapporto ai dati cartacei, nei termini sopra esposti. Sara' onere del soggetto che raccoglie i dati effettuare una prognosi circa la possibilita' che le informazioni siano suscettibili, da un punto di vista obiettivo, di essere inserite in una banca dati, disapplicando la legge quando tale possibilita' di utilizzazione va esclusa in radice.
L'art. 3 individua alcuni presupposti sostanziali per la raccolta e per altre operazioni di trattamento, presupposti che per il settore pubblico sono individuati nella strumentalita' delle medesime operazioni al perseguimento dei compiti e delle funzioni istituzionali di ciascuna amministrazione.
Per il settore privato, la norma individua invece alcune situazioni equipollenti al consenso (non necessariamente scritto) dell'interessato.
L'art.4 sancisce il principio di qualita' dei dati personali in armonia con l'art. 5 Conv., individuando specifici e dettagliati criteri.
Fin dalla prima rilevazione del fenomeno informatico e' apparso evidente i di dati c.d. "sensibili", che riguardano piu' da vicino la personalita' etico sociale dell'individuo e le sue caratteristiche psico-sanitarie, possono recare un pregiudizio maggiore alla persona, specie se trattati logicamente o intrecciati con altre informazioni sensibili.
Per queste categorie di dati, tutte le legislazioni di are che si occupano della materia e la stessa legge n.121/1981 (art.7), contengono, al pari dell'art. 6 Conv., regole particolari: l'interessato e' protetto con maggiori garanzie che l'art. 5 del d.d.l. individua, in primis, nel consenso scritto, salvo che per essi tassativamente individuati dalla legge e rispondenti ad indubbie finalita' di interesse pubblico.
L'art. 6 estende la portata applicativa dell'art.9, comma quarto, della citata legge n.121/1981 (articolo di cui e' prevista la necessaria abrogazione: art 33) anche al settore amministrativo ivi comprese, pertanto, le decisioni di ordine disciplinare, escludendo che i provvedimenti giudiziari ed amministrativi possano essere basati esclusivamente su un trattamento automatizzato di dati avente per scopo la definizione del profilo o della personalita' dell'interessato.
Per quanto riguarda il settore privato, tale principio e' affermato dal comma 2 in termini opportunamente differenziati.
L'art. 7 attua il principio della sicurezza dei dati, che non e' derogabile ex art. 9 Conv., in termini conformi alle legislazioni che si sono occupate del settore, sancendo un criterio generale del quale i commi 2 e 3 prevedono una traduzione in concreto, anche per esigenze di tassativita' della fattispecie sanzionatoria, secondo un'ottica di gradualita' compatibile con gli impegni comunitari e con la necessita' di n pronto deposito dello strumento di ratifica della Convenzione.
Il comma 4 disciplina gli obblighi del titolare del trattamento in caso di cessazione di tale attivita'. Il comma 5, poi, in sintonia con l'indirizzo comunitario, esplicita in riferimento alle banche di dati il principio che l'art. 2040 c.c. sancisce in tema di responsabilita'.
l'art. 8 contiene una previsione indispensabile per il nuovo quadro di trasparenza e che si rivela funzionale all'esercizio dei diritti dell'interessato e dei poteri attribuiti al Garante.
Si tratta, come appare evidente, di un mero obbligo di partecipazione al Garante dell'operativita' di un trattamento o di un insieme di trattamenti, configurato in termini il piu' possibile snelli, compatibilmente con le esigenze conoscitive che sono alla base della trasparenza.
Si e' evitato, conseguentemente, il ricorso ad un regime generalizzato di tipo autorizzatorio, ed il conseguente ingolfamento dell'Ufficio del Garante in pratiche di ordine burocratico.
Il contenuto conoscitivo della notificazione e' identificato per categorie generali di informazioni, in modo tale da circoscrivere al minimo un'eventuale nuova notificazione.
Di vitale importanza e' la norma (art. 9) che onera il titolare del trattamento, all'atto della nomina di un responsabile, ad effettuare scelte idonee e consapevoli e a sorvegliare sull'andamento delle operazioni di trattamento della nomina del responsabile, va dato atto nella notificazione a norma dell'art.8.
L'art. 10 individua un contenuto minimo di informazioni da fornire al momento della raccolta all'interessato o alla persona presso la quale vengono raccolti dei dati inerenti il medesimo interessato, il che ha rilevanza ai fini della correttezza della raccolta (artt. 4, co.1 lett. a), e 24) e per mettere in grado l'interessato di esprimere consapevolmente il consenso, allorche' richiesto.
Le posizioni soggettive individuate dall'art.11 sono prefigurate in termini di veri e propri diritti, in attuazione dell'art. 8 della Convenzione.
Sulla base delle notificazioni effettuate, sara' istituito presso il Garante un registro generale al quale l'interessato avra' accesso gratuito.
Avvalendosi, ove necessario, del contenuto conoscitivo di tale registro, l'interessato potra' richiedere al responsabile del trattamento di adempiere ad una o piu' delle richieste indicate nell'art. 11. comma 1, lettera b), in taluni casi ad intervalli di tempo ragionevole e con un eventuale contributo spese.
L'art.11 si collega, in caso di contenzioso, al sistema di tutela delineato dall'art.22.
Di particolare rilievo (in ossequio a quanto esplicitato nel memorandum esplicativo della Convenzione ed in aderenza a scelte effettuate in altri ordinamenti) risulta la tutela dei dati relativi alle persone decedute, dati dai quali, in ipotesi, puo' derivare un pregiudizio anche terzi.
I limiti imposti dall'art.12 all'esercizio di alcuni diritti dell'interessato si giustificano in ragione della previsione di cui all'art.9, par-3..conv., nonche' delle caratteristiche dei dati presi in considerazione e delle finalita' della relativa utilizzazione, ferma restando la possibilita' per l'interessato di investire il Garante per un controllo "discreto" da effettuarsi ai sensi del comma 2 del medesimo articolo.
Opportunamente, poi, il comma 3 dell'art.12 impone alcune cautele per la comunicazione all'interessato dei dati di carattere sanitario.
Gli artt.13 ss. del disegno dettano regole specifiche in materia di comunicazione e di diffusione dei dati, che integrano o modificano le disposizioni generali contenuti in altri articoli del D.D.L. che disciplinano il trattamento con riferimento ad un arco piu' ampio di operazioni. Al pari dell'art.3, comma 2, l'art.13 individua alcune situazioni equipollenti al consenso dell'interessato.
I divieti di cui all'articolo 14 sono legati all'importanza della completezza del contenuto informativo della notificazione (in ragione dell'attivita' di controllo e dei diritti dell'interessato), all'effettivita' dei provvedimenti adottati in sede di tutela amministrativa e giurisdizionale o per la tutela di interessi rilevanti della collettivita', nonche' all'osservanza del principio di cui all'art. 4, comma 1, lett. e).
L'art.15 disciplina, in sintonia con l'art. 3, la comunicazione e diffusione dei dati ad opera della pubblica amministrazione. Tenuto conto della mole dei dati da questa custoditi, si e' sancita una regola che finalizza l'utilizzazione dei dati al principio di competenza, nell'osservanza di norme specifiche che possono prevedere anche, fermo restando il diritto di accesso ai documenti amministrativi, la comunicazione e la diffusione dei dati in favore di soggetti privati.
L'art.15 si propone di favorire nell'ambito della p.a.un interscambio proficuo di dati personali allorche' cio' sia necessario allo svolgimento dei compiti istituzionali di ciascuna amministrazione.
Sussistono, peraltro, esigenze di trasparenza e di chiarezza che vanno attuate anche nei confronti dell'interessato, il quale, sebbene il trattamento non presupponga il suo consenso -art.3,co 1-, deve poter conoscere attraverso regole espresse e precostituite l'ambito generale del flusso di circolazione delle informazioni che lo riguardano, al fine di esercitare i propri diritti. Pertanto, si fissa un criterio in base al quale la comunicazione e la diffusione devono essere previste in linea di massima da una disposizione di legge o di regolamento, fatta salva la possibilita'' di disporre comunque una comunicazione o diffusione all'interno della p.a. allorche', anche in assenza di tale disposizione, le predette operazioni risultino comunque necessarie allo svolgimento dei compiti istituzionali di ciascuna amministrazione.
L'art 15 non si occupa delle modalita' attraverso cui puo' avvenire la comunicazione o diffusione, che potranno essere operate anche sulla base di apposite convenzioni.
La comunicazione dei dati sanitari e' subordinata, in sintonia con l'art.5, al consenso scritto dell'interessato, con alcune rilevanti eccezioni fondate sulla preminenza del diritto alla salute: dal consenso si puo' prescindere ove sussistano esigenze di cura dell'interessato o di terzi, oppure laddove la comunicazione e la diffusione siano effettuate in forma anonima per scopi di ricerca scientifica o di statistica (art.17) oppure (in sintonia con l'art.9 Conv) per gli scopi di cui all'art.17, comma 1 , lett.b) (deroghe valide, queste ultime, anche per altri tipi di dati).
Esigenze di prevenzione e di cura sia di singoli che della collettivita' rendono necessario derogare al principio del consenso per assicurare una limitata e garantita circolazione dei dati sanitari tra strutture specifiche, laddove la disponibilita' dei dati personali risulti utile ad esempio, per lo studio dell'evoluzione di fenomeni patologici e dell'efficacia di attivita' curative.
In tali casi, la valutazione della preminenza dell'interesse alla conoscenza non puo' essere affidata alle stesse strutture che detengono i dati, ma deve essere attribuita all'organo di controllo, che operera' con l'ausilio del parere del Consiglio superiore di Sanita', dal quale potra' prescindere nei casi di particolare urgenza.
La diffusione con strumenti informativi di dati sanitari personali non e' ammessa.
Il trasferimento anche temporaneo di dati oltre frontiera e' oggetto di disciplina al di la' del fatto che esso sia realizzato mediante comunicazione o diffusione, tenuto conto dei rischi e delle implicazioni che possono derivare, in termini di utilizzabilita' dei dati e di legislazione applicabile, della dislocazione dall'estero degli stessi.
In sintonia con il sistema della notificazione prescelto in linea generale (art.8), con gli sviluppi in itinere circa il libero flusso di informazioni tra i paesi comunitari o aderenti alla Convenzione, nonche' con l'art.12. Conv. , anche in questo caso non si e' previsto un regime autorizzatorio, e si e' circoscritto l'obbligo del soggetto che intende trasferire i dati a quello di una specifica notificazione, modellata su quella "generale", notificazione che sara' inserita per esigenze organizzative in un'apposita sezione del registro di cui all'art.20.
Si tratta anche in questo caso di un obbligo che puo' esaurirsi in una sola notificaizone, purche' completa e aggiornata.
La convenzione, nel sancire entro certi limiti la liberta' di trasmissione di dati oltre frontiera, subordina quest'ultima, per determinate categorie di dati o di trattamenti oggetto di regolamentazione specifica, la subordinazione di questa all'accertamento dell'equivalenza della tutela assicurata nel paese straniero, e prevede un'ipotesi peculiare in riferimento al caso dei dati destinati ad un ulteriore trasferimento in altro paese straniero non aderente alla Convenzione. Al riguardo, il d.d.l. prevede alcune regole elastiche ma allo stesso tempo efficaci.
Per quanto riguarda l'"equivalenza", oggetto di approfondimento in sede internazionale, la difformita' tra i vari ordinamenti non rende agevole l'identificazione analitica dei singoli casi di "equivalenza"; si demanda al Garante, quindi (il quale potra' acquisire e approfondire in sede internazionale un'ampia documentazione intorno alle legislazioni estere, curandone ex art. 20, comma 1, lettera i), la piu' ampia conoscibilita'), l'individuazione in concreto del "grado" di protezione, con conseguente possibilita' di esercizio del potere di divieto ove si accerti l'insussistenza nel paese straniero di una tutela corrispondente con la normativa italiana.
Essendo il trattamento correlato ad un insieme sistematico di informazioni che possono essere ripartite in piu' "archivi" collegati, che a loro volta sono dislocabili anche in piu' stati, si pone il problema dell'individuazione della legge applicabile.
Poiche' quest'ultima puo' risultare di grado non omogeneo nei paesi interessati, potrebbero verificarsi abusi ed aggiramenti della disciplina legislativa (ad es. , adducendo la "dislocazione" di un dato oltre frontiera, si potrebbe sottrarre all'applicabilita' della legge italiana i dati il cui trattamento, ivi compresa la comunicazione, si effettuato pressoche' totalmente in Italia anche in questo caso, un ruolo necessario di tipo ricognitivo puo' essere svolto dall'autorita' di controllo.
La tutela dei diritti e delle facolta' disciplinati negli articoli gia' illustrati trova un fulcro importante nell'istituzione del Garante per la protezione dei dati, la cui istituzione e' stata "preannunciata" dagli artt. 9 ss. della legge di rettifica dell'Accordo di Schengen 30 settembre 1993, n.388.
La Convenzione non fa espresso riferimento ad una autorita' di controllo. La proposta di direttiva, invece, obbliga gli Stati membri ad istituire un'autorita' indipendente che vigili sulla protezione dei dati personali.
In quasi tutti i Paesi nei quali e' in vigore una legislazione in materia, esiste un'autorita' di controllo, con poterei e funzioni riconducibili ad un nucleo omogeneo: la scelta di affidare ad un'autorita' indipendente il compito di vigilare sull'attuazione della legge e' in linea, quindi, con le esperienze di tale Paesi.
L'art. 19 individua i requisiti soggettivi dei componenti l'organo del Garante, ed il procedimento per la relativa nomina.
Per tali aspetti si e' ritenuto opportuno di non individuare nuove procedure e di assumere a modello i procedimenti gia' previsti per l'istituzione degli altri due organismi di garanzia gia' presenti nel nostro ordinamento ed in qualche modo comparabili (Garante per la radiodiffusione e l'editoria; Autorita' garante per las concorrenza e il mercato).
L'art. 19 mira ad assicurare i caratteri di indipendenza e di imparzialita' dell'organo.
Anche per la struttura del relativo Ufficio nonche' per il reperimento del personale e dei mezzi idonei a farlo funzionare, ci si e' ispirati ai modelli gia' collaudati per la citata autorita'.
L'art.21 fissa il numero dei dipendenti, istituisce un fondo per le spese rinvia ad un futuro regolamento la formulazione delle norme concernenti, in particolare, l'organizzazione ed il funzionamento dell'Ufficio.
I compiti del Garante, invece, sono indicati specificamente nell'art. 20.
Viene in rilievo, in primo luogo, la tenuta del registro generale delle informazioni risultanti dalle notificazione, che sara' consultabile da chiunque. L'interessato potra' conoscere, cosi', le categorie di informazioni inserite nelle vari banche dati, e potra' verificare successivamente, presso il responsabile di ciascun trattamento, esercitando il diritto d'accesso, l'esistenza di dati che lo riguardano.
Il Garante avra', poi, compiti di controllo e di vigilanza (Art. 20, comma 1, lett. b), c), ed f), per l'assolvimento dai quali sara' dotato di poteri piu' efficaci della semplice richiesta di informazioni, inclusivi del potere di ispezione e di accesso alla banca dati.
Il Garante potra' adottare anche i provvedimenti specificamente indicati nelle disposizioni della legge (v., ad es., gli artt.14, comma 3, 15, comma 1, 16, comma 2, 18, comma 2, e 22) e dovra' denunciare penalmente i fatti di cui verra' a conoscenza nello svolgimento dei propri compiti.
Inoltre, vi e' l'espressa designazione del Garante quale autorita' competente alla cura dei rapporti di cooperazione internazionale (Artt.13 CONV.108).
Il Garante avra' anche compiti piu' generali quali quelli (art.20, comma 1, lette. h),i),m) ed n)) di stimolare la formazione di codici deontologici settoriali, per favorire una maggiore osservanza della legge; di promuovere una cultura piu' adeguata in materia, agevolando la conoscenza delle norme che la regolano ivi inclusi i criteri di sicurezza; di svolgere una funzione consultiva e propulsiva nei confronti del governo, segnalando l'opportunita' di nuove misure legislative e regolamentari necessarie in una materia soggetta a rapide trasformazioni;: di predisporre annualmente una relazione sull'attivita' svolta e sullo stato di applicazione della legge.
L'art.20, comma 1,. lett. d) attribuisce al Garante un compito di vigilanza il cui esercizio puo' essere sollecitato da segnalazioni o reclami di soggetti interessati o di associazioni rappresentative; riconosce, inoltre una funzione piu' specifica di garanzia dei diritti degli interessati, in sede di esame dei ricorsi presentati ex art. 22, norma alla quale la disposizione si ricollega direttamente per cio' che riguarda il piano di tutela.
A questo proposito, si sono operate delle scelte innovative rispetto alle forme tradizionali di tutela. Il Garante, avvalendosi della posizione di indipendenza nonche' dei poteri riconosciuti dall'art. 22, deve costituire il baricentro di una protezione efficace dei diritti degli interessati; strumentali a questa collocazione sono i requisiti richiesti per la nomina del Presidente e degli altri componenti tale autorita'.
Di qui la costruzione di uno speciale procedimento di decisione su vari e propri ricorsi degli interessati, assistito da una successiva ed eventuale tutela di ordine giurisdizionale, procedimento che dovrebbe assorbire, sotto il profilo quantitativo, la quota maggiore del contenzioso in materia. Si evita, cosi', di appesantire ulteriormente il gia' gravoso carico di lavoro degli uffici giudiziari. Peraltro, l'art. 22, comma 1, non impedisce all'interessato di rivolgersi in primis all'autorita' giudiziaria ordinaria.
In questa prospettiva i poteri processuali del Garante sono stati rafforzati rispetto alle procedure dei comuni ricorsi amministrativi, e si e' conferito all'organo il potere di adottare provvedimenti cautelari, munendo la decisione del carattere dell'esecutivita' e introducendo una specifica sanzione penale per il caso della sua inosservanza.
Il procedimento dinanzi al Garante e' stato connotato dei caratteri il piu' possibile vicini a quelli della giurisdizione, quali il contraddittorio e l'istruzione probatoria, demandando ad un successivo regolamento la fissazione di precise regole procedurale (art. 21, comma 3).
Ferma restante la centralita' della tutela del Garante, si e' ritenuto di sottoporre i ricorsi ad un "filtro", sia pur minimo, al fine di evitare l concentrazione di un numero eccessivo di controversie in capo al nuovo organo.
Si e' previsto, percio', che il ricorso potra' essere proposto (di regola) solo dopo che siano trascorsi tre giorni dalla presentazione di una richiesta al responsabile del trattamento, favorendosi, cosi', la risoluzione consensuale dei potenziali conflitti.
Al contempo, venendo in rilievo alcuni diritti fondamentali delle persone la cui tutela riveste quasi sempre un carattere di urgenza, e non potendo i filtri processuali produrre l'effetto di un ostacolo all'accesso alla giuridizione, si e' stabilito che il ricorso non esaminato del Garante entro il termine di venti giorni s'intende rigettato. Per la fase giurisdizionale si e' scelto il procedimento camerale disciplinato dagli artt. 737 e segg. c.p.c. alla stregua dell'analoga soluzione gia' adottata dall'art. 10 della legge 1 aprile 1981, n. 121, riguardante la tutela dei privati rispetto ai dati registrati nel Centro elaborazione dati della Polizia di Stato.
Tale scelta appare coerente anche con il sistema complessivo di tutela configurato dall'art. 22;: dal momento che la fase dinanzi al Garante ha i caratteri del rito camerale, senza che con cio' risultino limitate le garanzie delle parti anche sotto il profilo della impugnativa.
Nell'art. 22, comma 7, figura un riferimento esplicito all'art. 4 della l.20 marzo 1865, n. 2248, all. E), le cui disposizioni potranno essere derogate per dare esecuzioni alle pronunce del tribunale recenti un ordine nei confronti del responsabile di un trattamento operato presso la pubblica amministrazione.
Di particolare significato risultano la scelta di affidare ad una sola autorita' giudiziaria, quella ordinaria, le controversie connesse all'applicazione della nuova legge (art.22, comma 8), nonche' la scelta di consentire, in deroga alle comuni regole, il risarcimento del danno non patrimoniale in riferimento a violazioni della riservatezza e dell'identita' personale che pur rivestendo particolare gravita' (si pensi al danno da informazione inesatta) non sono sanzionate dal punto di vista penale. Quest'ultimo scelta si collega a quella operata dall'art.12 della citata legge 388-1993.
La previsione di sanzioni "adeguata" e' richiesta esplicitamente dall'art. 10 della Convenzione di Strasburgo. La stessa proposta di direttiva ribadisce l'obbligo degli Stati membri di prevedere sanzioni "dissuasive" ;anche per questo aspetto, poi, si e' tenuto conto dell'esperienza degli altri paesi di area europea, che sono orientati pressoche' tutti verso una tutela penale dei beni giuridici protetti, ritenuti di livello primario.
Tale orientamento e' conforme, inoltre, a quello ricavabile dal sistema penale vigente dal quale , pur in mancanza di specifiche previsioni in materia di dati personali, emerge una chiara indicazione v., ad es., gli artt. 615-bis-620 c.p.) per ritenere la vita privata un bene essenziale per il quale e' necessaria una tutela rafforzata che non puo' esaurirsi in mere sanzioni di carattere pecuniario, che sono oltretutto inadatte nel settore della pubblica amministrazione oltreche' inefficaci per le imprese di grandi dimensioni. La stessa recente legge sulla criminalita' informatica (l. 23 dicembre 1993, n.547) conferma la validita' dell'approccio seguito.
Si e' evitato , peraltro, di fare uso di fattispecie contravvenzionali, e si e' concentrata l'attenzione su delitti di natura dolosa, e in alcuni casi, sul dolo specifico. Il sistema sanzionatorio gia' previsto dal d.d.l. n. 1670-S e' stato quindi rimodulato. Si e' proceduto all'individuazione e alla tipizzazione delle condotte ritenute meritevoli di sanzione, graduando la pena in ragione della gravita' del fatto, determinata in base al livello della messa in pericolo del bene tutelato.
L'art. 23 introduce il reato di omessa o infedele notificazione, poiche' la notificazione rappresenta il presupposto necessario per l'esercizio dei poteri del Garante e per lo sviluppo dei diritti degli interessati.
Nell'art.24 si sanziona l'illiceita' del trattamento in ragione della violazione di specifici obblighi e divieti previsti nelle disposizioni di legge richiamate. E prevista una pena piu' grave per i casi in cui la condotta illecita provochi un nocumento.
L'art. 25 sanziona la mancata adozione delle misure tecniche fissate con decreto presidenziale, volte a garantire la sicurezza dei dati anche rispetto a possibili alterazioni o sottrazioni da parte di terzi. Limitatamente a questo reato e' prevista anche un'ipotesi colposa, punita con una pena meno elevata.
Gli artt. 26 e 28, comma 1, rafforzano la posizione del Garante sia nella veste di autorita' chiamata a decidere su di un reclamo e ad adottare le conseguenti misure (art.22 comi 4 e 5), sia nei suoi compiti di controllo e di raccolta di informazioni (articoli 20, comma 2 e 22, comma 4). Per quest'ultima ipotesi si e' ritenuto, alla stregua di fattispecie analoghe previste a tutela dell'attivita' del Garante per la radiodiffusione e l'editoria e dell'Autorita' garante per la concorrenza e il mercato, di introdurre una sanzione amministrativa.
L'art.27 stabilisce la pena accessoria della pubblicazione della sentenza nei casi di condanna per uno dei delitti previsti dalla nuova legge, pena che segue il regime comune di sospendibilita' ai sensi dell'art.166, comma primo, c.p.
Nel capo VIII sono inserite alcune disposizioni finali e transitorie.
Con l'art.29 si stabilisce che la legge in questione vincola anche il legislatore regionale, il quale , nel disciplinare le materie previste dall'art 117 Cost., nelle quali possono ricorrere disposizioni connesse, in vario modo, alla protezione dei dati (ad esempio, in materia di ordinamento degli uffici regionali), dovra' attenersi ai principi fondamentali contenuti nella nuova legge i quali non potranno essere derogati in alcun modo, essendo oltretutto dettati in attuazione di obblighi internazionali e comunitari.
Con tale affermazione, senza entrare nel marito della questione del rango particolare delle norme attuative di una convenzione internazionale, si e' inteso sottolineare il valore dei principi che assumono le nuove disposizioni, rispetto alla legislazione regionale e alla stessa, vigente, legislazione statale.
Al fine di consentire al Garante una conoscenza completa e tempestiva di tutti i provvedimenti giurisdizionale in materia di protezione di dati, l'art.30 impone alle cancellerie presso i diversi organi giudiziari di trasmettere al Garante copia dei provvedimenti adottati dall'autorita' giudiziaria concernenti l'applicazione della legge.
L'art. 31 fissa alcune disposizioni transitorie per regolare la prima fase di applicazione della legge. In particolare, va segnalata la disposizione che prevede la non applicabilita' del principio del consenso dell'interessato per i dati personali raccoli o altrimenti trattati prima dell'entrata in vigore della legge. Resa peraltro fermo che gli interessati potranno far valere, ciononostante, i loro diritti.
Si fissano, poi, dei termini per le notifiche delle banche di dati gia' esistenti e per l'adozione delle misure di protezione. Si differisce temporaneamente, infine, l'applicazione della legge ai dati cartacei di natura non sensibile.
Il comma 7 dell'art. 31, in stretta relazione con l'art. 32, commi 2 e 3 nonche' con l'art. 34, comma 2, risolve la sentita esigenza di un raccordo tra le attivita' del nuovo Garante e dell'Autorita' per l'informatica nella pubblica amministrazione, che potranno meglio cooperare rispetto a varie problematiche, specie riguardo alla sicurezza e alle interconnessioni dei sistemi, grazie a dei nessi funzionali ed organizzativi che rispettano la specificita' delle attribuzioni dei due organi permettendo loro di incrementare l'efficacia del relativo operato.
L'art. 32 reca alcune modifiche alla legge n. 121/1981, onde armonizzarla pienamente alla Convenzione 108/1981.
L'art. 33, comma 1, abroga, tra l'altro, il quarto comma dell'art.8 della l. 1 aprile 1981 n. 121, che prevede la notificazione al Ministero dell'interno; si prevede, quindi, il trasferimento di tutto il materiale informativo raccolto in base a tale disposizione presso l'ufficio del Garante.
Si fissa, poi, un criterio di abrogazione implicita di tutte le disposizioni di legge o di regolamento incompatibili con la nuova legge sulla protezione dei dati (salvo alcune deroghe esplicite), ribadendo l'orientamento circa la particolare collaborazione nel sistema delle fonti di tale legge in quanto attuativa di una convenzione internazionale e conseguentemente circa il carattere di principi generali che rivestono le norme del presente disegno.
Come puo' evincersi facilmente osservando le norme in vigore in altri Paesi, la materia della protezione dei dati e la stessa attuazione della Convenzione 108/1981 non si esauriscono nella disciplina sopra illustrata, ma presuppongono una compiuta opera di normazione che non puo' non tener conto delle Raccomandazioni del Consiglio d' Europa che l'Italia ha contribuito a far approvare.
L'art. 34 reintroduce nel testo, quindi la norma che la Commissione giustizia della Camera aveva stralciato al fine di far marciare in sede legislativa il d.d.l. che poi ha assunto il n. 1670/S. La medesima norma, inclusa per tale esigenza nella proposta di legge n. 2815/C dell'XI legislatura (alla cui diffusa motivazione si rinvia per esigenze di sintesi), era stata licenziata di seguito per l'Aula. Ora, viene ripresa ed arricchita in rapporto anche alle nuove indicazioni comunitarie, le quali impongono una riflessione tecnica che sara' sottoposta (art. 34, comma 2 ) al parere delle competenti Commissioni parlamentari.
L'art. 35 assicura la copertura finanziaria del provvedimento legislativo, meglio evidenziata nell'allegata relazione tecnica. L'art. 36 prevede, da ultimo, una vacatio legis di centoventi giorni, per i motivi esposti in premessa.