DIRITTO DI ACCESSO E PRIVACY
DIRITTO D’ACCESSO – l. 241/90: Art. 22 legge 241/90 (riscritto dalla l. 15/2005): l’accesso ai documenti amministrativi costituisce principio generale dell’attività amministrativa al fine di favorire la partecipazione e di assicurarne l’imparzialità e la trasparenza, ed attiene ai livelli essenziali delle prestazioni concernenti i diritti civili e sociali che devono essere garantiti su tutto il territorio nazionale ex art. 117 Cost. Trasparenza (art. 1 L.241/90) = potere dei cittadini di esercitare un controllo democratico sull’operato della P.A. per verificarne la conformità agli interessi sociali e ai precetti costituzionali. C.d.S. n. 569 del 2003: l’accesso agli atti deve essere consentito solo a coloro ai quali gli atti si riferiscono direttamente o indirettamente per la tutela di una posizione giuridicamente rilevante (diritto soggettivo ovvero interesse legittimo).
CARATTERISTICHE Spetta a tutti i soggetti privati, compresi quelli portatori di interessi pubblici o diffusi, che abbiano un interesse diretto, concreto ed attuale, collegato al documento al quale è chiesto l’accesso: possono prender visione ed estrarre copia (art. 22) Oggetto del diritto: è considerato documento amministrativo ogni rappresentazione grafica, fotocinematografica, elettromagnetica o di qualsiasi altra specie del contenuto di atti, anche interni, relativi a uno specifico procedimento. Obbligati a consentire l’accesso (art. 23 l. 241/90): tutte le pubbliche amministrazioni (anche i gestori di pubblici servizi); le autorità indipendenti; l’amministrazione comunitaria e le imprese di assicurazione. Il diritto d’accesso si configura come un diritto soggettivo perfetto, la cui cognizione in sede contenziosa è devoluta alla giurisdizione esclusiva del Giudice Amministrativo (TAR).
ACCESSO negato… Accesso non ammesso per (art. 24 l. 241/90): documenti coperti da segreto di Stato o da divieto di divulgazione espressamente previsti dalla legge; procedimenti tributari; attività relativa ad atti normativi, amministrativi generali, di pianificazione e programmazione; documenti riguardanti la sicurezza e la difesa nazionale. Il diritto d’accesso deve essere conciliato con quello alla riservatezza: generalmente, si ammette l’accesso, ma con modalità e accorgimenti tecnici tali da non ledere l’esigenza di riservatezza. L’art. 25, c. 4, della legge n. 241/1990 ha previsto per l’ interessato al quale sia stato negato l’accesso, la possibilità di esercitare nel termine di 30 giorni, il ricorso al Difensore civico (alternativo al TAR), quando trattasi di atti delle amministrazioni comunali, provinciali e regionali (ovvero alla Commissione per l’accesso ai documenti amministrativi nel caso di atti delle amministrazioni centrali e periferiche dello Stato). L’articolo 328 c.p. punisce il pubblico ufficiale o l’incaricato di pubblico servizio che entro 30 giorni dalla richiesta di chi vi abbia interesse non compia l’atto del suo ufficio, e non risponda per esporre le ragioni del ritardo.
Accesso & Privacy Con l’emanazione del codice delle privacy, D.lgs. 196/2003, si è avuta una rilettura dell’art. 24 della legge 241/90, poiché i dati sensibili, suscettibili di trattamento solo con il consenso dell’interessato e con l’autorizzazione del Garante, sono sottratti all’accesso (a meno che non ci sia una legge che specifichi i dati da trattare, le operazioni che si possono eseguire e le rilevanti finalità di interesse pubblico da perseguire). In sostanza, il bilanciamento tra i valori costituzionali viene risolto con la sistematica prevalenza del diritto alla riservatezza sul diritto di accesso. La decisione n. 1882 del 2001 C.d.S. ha puntualizzato: - l’art. 16 D.lgs. 135/1999, che semplifica la prima legge sulla privacy, trova applicazione anche alla materia dell’accesso (= il trattamento dei dati relativi allo stato di salute è consentito solo se il diritto da tutelare è di rango almeno pari a quello dell’interessato); - la norma suddetta impone una valutazione comparativa del diritto alla privacy e del diritto da difendere in giudizio tenendo conto delle circostanze di fatto del caso concreto (art. 60 Codice privacy).
Il codice della privacy Il codice è stato emanato con D.lgs. 30 giugno 2003, n. 196. Disciplina, in particolare, la protezione di diritti riconosciuti come inviolabili e fondamentali della persona dall’articolo 2 Cost, quali: il diritto alla riservatezza, vale a dire il diritto che ognuno può esercitare per mantenere libera da ingerenze esterne la propria vita privata; il diritto all’identità personale, quale diritto che ogni individuo può esercitare per utilizzare in esclusiva il proprio nome e altri elementi identificativi della propria persona. Interessante leggere l’inizio della normativa 675/1996: “La presente legge garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti, delle libertà fondamentali, nonché della dignità delle persone fisiche, con particolare riferimento alla riservatezza e all'identità personale; garantisce altresì i diritti delle persone giuridiche e di ogni altro ente o associazione”.
Oggetto della tutela Oggetto di tutela della disciplina normativa è il TRATTAMENTO DEI DATI PERSONALI, quindi non il dato in se stesso, ma l’utilizzo di esso da chiunque effettuato. La tutela della riservatezza avviene attraverso un severo controllo delle operazioni compiute con dati appartenenti a terzi. Trattamento: “qualunque operazione o complesso di operazioni, effettuate con o senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca dati.” Soggettivamente il codice è diviso in due parti: - il TITOLARE DEL TRATTAMENTO (e il Responsabile), sul quale incombono tutti gli obblighi di legge, e - l’INTERESSATO (persona a cui si riferiscono i dati), al quale sono riservati solo diritti.
(art.4) Dato personale – dato sensibile DATO PERSONALE = Qualunque informazione relativa a persona fisica o giuridica, identificati o identificabili, anche indirettamente mediante riferimento a qualsiasi altra informazione (es. C.Fisc.). Qualora un’informazione non sia riconducibile ad un soggetto giuridico, tale informazione costituisce un dato anonimo e come tale non soggetto alla normativa. DATO SENSIBILE = dati personali idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni, od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale. Si tratta di dati che attengono alla sfera più intima del soggetto cui appartengono e che informano in merito agli aspetti della sua personalità.
Titolare (art. 4) E’ il soggetto che adotta qualsiasi decisione in ordine al trattamento dei dati, a cui sono demandate le facoltà tipiche della figura imprenditoriale in ordine alla normale gestione aziendale. Esiste a prescindere dalla legge sulla privacy ed opera in base alle regole del codice civile. E’ colui che decide in ordine all’opportunità di effettuare un trattamento di dati o un nuovo trattamento rispetto a quelli già in atto: scopi e obiettivi strettamente connessi alla gestione dell’attività svolta. Compiti: notificare al Garante l’inizio e lo svolgimento di qualsiasi trattamento; scegliere le modalità di raccolta dati; verificare se è stato richiesto e concesso il consenso dell’interessato; accertare che l’interessato sia stato debitamente informato; richiedere l’autorizzazione per il trattamento dei dati sensibili; adottare le idonee misure di sicurezza; vigilare sulla corretta applicazione della legge; verificare le operazioni in caso di cessazione del trattamento; nominare il Responsabile:
Responsabile (art. 4) E’ la persona fisica o giuridica preposta dal titolare al trattamento dei dati personali. E’ una figura che trova origine e definizione nella normativa privacy: esiste solo se ed in quanto esiste la normativa sulla privacy. Il Responsabile deve essere nominato per iscritto; deve ottenere istruzioni; deve essere controllato dal titolare; deve essere indicato nell’informativa. Ai sensi dell’articolo 29, la scelta del responsabile deve avvenire tra soggetti che per “esperienza, capacità, affidabilità, forniscono idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza”. Si occupa di tutte le fasi del trattamento (es. la PAT ha nominato Informatica Trentina). Sono detti, invece, INCARICATI i soggetti, nominati dal titolare o dal responsabile, che nella pratica raccolgono i dati, li elaborano, attraverso procedure informatiche o manuali, li archiviano, li comunicano o li diffondono. Ai sensi dell’art. 30 la designazione avviene per iscritto e deve indicare precisamente le operazioni consentite.
INTERESSATO Interessato è la persona fisica, persona giuridica, ente o associazione cui si riferiscono i dati personali. L’interessato deve essere unicamente individuato. L’art. 1 del codice privacy afferma che: “Chiunque ha diritto alla protezione dei dati personali che lo riguardano” Ai sensi dell’art. 7, comma 1, l’interessato ha diritto di ottenere la conferma dell’esistenza o meno di dati personali che lo riguardano, anche se non ancora registrati e la loro comunicazione in forma intelligibile. L’interessato ha diritto di sapere: la provenienza dei dati; le finalità e le modalità del trattamento; la logica applicata in caso di trattamento informatico; chi sono il Titolare e il Responsabile; l’ambito di comunicazione dei dati e i soggetti che potranno prendere conoscenza dei medesimi (per eventualmente opporsi). Tutte queste informazioni devono essere riportate nell’ informativa resa all’atto della raccolta dati.
Informativa Deve essere preventiva: le informazioni di cui all’art. 13 del Codice devono essere consegnate al soggetto interessato al momento della prima raccolta di dati. L’informativa preventiva è funzionale all’ottenimento, quando richiesto, del consenso informato dell’interessato allo svolgimento del trattamento. Quanto più l’informativa è completa, tanto meno l’interessato potrà eccepire l’esistenza di operazioni non consentite. Contenuto minimo: finalità e modalità del trattamento cui sono destinati i dati; è necessario indicare le operazioni fondamentali svolte; natura obbligatoria o facoltativa del conferimento dei dati (se la conoscenza di informazioni è richiesta direttamente dalla legge); conseguenze di un eventuale rifiuto a rispondere (mancata esecuzione del trattamento o impossibilità di proseguire il rapporto); soggetti e categorie di soggetti ai quali i dati possono essere comunicati o che possono venire a conoscenza in qualità di incaricati o responsabili; i diritti di cui all’art. 7 (elencati per intero); estremi indicativi del titolare e del responsabile.
Consenso Il trattamento dei dati è ammesso solo con il consenso espresso dell’interessato; può riguardare l’intero trattamento o singole operazioni. Il consenso è valido se espresso liberamente in riferimento ad un trattamento specifico e chiaramente individuato; valido se documentato in forma scritta, specie quando il trattamento riguarda dati sensibili. Il consenso non è richiesto quando il trattamento: è necessario per adempiere ad un obbligo previsto dalla legge; è necessario per eseguire obblighi derivanti da un contratto del quale è parte l’interessato, o per adempiere a specifiche richieste dell’interessato; riguarda dati provenienti da pubblici registri, elenchi, atti e documenti conoscibili da chiunque; riguarda dati relativi a svolgimento di attività economiche; è necessario per salvare la vita o per l’incolumità fisica dell’interessato o di un terzo; è necessario per lo svolgimento di investigazioni difensive; è necessario per perseguire interesse del titolare in casi indicati dal Gar.; è effettuato da associazioni, enti od organismi senza scopi di lucro con riferimento a soggetti che hanno contatti regolari e in funzione di scopi legittimi.
Trattamento dei dati Il TRATTAMENTO DI DATI deve essere improntato secondo i principi di cui all’art. 11 del Codice: devono essere trattati in modo lecito e secondo correttezza. Gli scopi per cui viene svolto un trattamento di dati sono preventivamente stabiliti dal titolare e il trattamento medesimo deve considerarsi legittimo solo se effettuato per il raggiungimento di tali scopi. I dati devono essere esatti e, se necessario, aggiornati. L’interessato può ottenere: aggiornamento, rettifica, integrazione. Devono, inoltre, essere pertinenti, completi, e non eccedenti rispetto alle finalità per le quali sono raccolti. I dati devono essere trattenuti solo per il tempo necessario al raggiungimento degli scopi per i quali sono stati raccolti, poi devono essere cancellati/distrutti ex art. 16 del codice. Responsabilità civile: “Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’art. 2050 c.c.”. (attività pericolosa > inversione onere della prova)
Notifica al GARANTE E’ il primo adempimento concreto del titolare per un corretto trattamento: è la comunicazione al Garante dell’esistenza di un particolare trattamento di dati; dell’esistenza di un titolare; degli scopi; del luogo in cui si svolge; delle modalità; degli incaricati e dei sistemi di sicurezza adottati. Il Garante vigila affinché non siano effettuati trattamenti illegittimi Ai sensi dell’art. 37: il titolare notifica (telematicamente) il trattamento al Garante solo se il trattamento riguarda particolari tipologie di atti specificamente indicati (es: dati genetici e dati idonei a rivelare lo stato di salute e la vita sessuale trattati per diverse finalità dai servizi sanitari per via telematica relativi a banche dati; dati volti a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo; dati idonei a rivelare la vita sessuale o la sfera psichica trattati da associazioni ed enti senza scopi di lucro; dati registrati relativi alla situazione patrimoniale e alla solvibilità delle persone. L’obbligo di notifica è giustificato dalla “presunta” pericolosità del trattamento, intesa nel senso di “possibilità di recare pregiudizio a terzi”: il legislatore ha previsto un elenco iniziale con la possibilità per il Garante di individuare altri trattamenti.
Misure di sicurezza Nel codice il Titolare rimane l’unico soggetto cui la normativa fa riferimento per l’applicazione delle norme in tema di sicurezza (art. 31). L’adozione delle misure di sicurezza è necessaria per evitare rischi di distruzione e perdita dati, ecc. Il Titolare deve fare tutto il possibile per impedire che i dati trattati siano persi, danneggiati o distrutti; impedire che soggetti estranei al trattamento accedano alle banche dati o effettuino operazioni non ammesse; impedire che gli incaricati effettuino operazioni di trattamento non preventivate. Il Titolare è tenuto ad adottare le misure di sicurezza in relazione alle conoscenze acquisite, in base al progresso tecnico, in base alla natura dei dati, in base alle specifiche caratteristiche del trattamento. Qualora il trattamento contenga dati sensibili o giudiziari il titolare deve redigere il Documento programmatico sulla sicurezza, da aggiornare ogni anno entro il 31 marzo. La mancata adozione è punita penalmente. Responsabilità civile: “Chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’art. 2050 c.c.”. (attività pericolosa > inversione onere della prova)
Autorizzazione Ai sensi dell’art. 26, comma 1, i dati sensibili possono essere trattati solo con il consenso scritto e previa autorizzazione del Garante. Essa può essere rilasciata dall’Autorità solo a seguito di specifica richiesta inoltrata dal titolare del trattamento che contempla i dati sensibili. Per tale richiesta vale il principio del silenzio-rigetto: se il Garante non si pronuncia nel termine di 45 giorni dalla presentazione, il titolare deve ritenersi non autorizzato a trattare dati sensibili e quindi deve interrompere le operazioni già iniziate con tali dati. Per “rilevanti attività di interesse pubblico” il Garante ha ritenuto opportuno autorizzare in via preventiva un numero assai vasto di trattamenti. La prima autorizzazione generale, è l’autorizzazione n. 2 con la quale il Garante ha inteso autorizzare al trattamento di dati inerenti la salute e la vita sessuale per finalità di tutela della salute o dell’incolumità di un singolo o della comunità, i seguenti soggetti: esercenti le professioni sanitarie, case di cura private e case di riposo; organismi sanitari pubblici a determinate condizioni; medici, farmacisti, odontoiatri, psicologi e altri esercenti le professioni sanitarie; personale infermieristico...
CHIUSO