Avv. Riccardo Imperiali IL NUOVO CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI Scuola di Formazione ed Aggiornamento del Personale dell’Amministrazione Giudiziaria Avv. Riccardo Imperiali
LA TUTELA DELLA PRIVACY: PRECEDENTI NORMATIVI
LEGGI COMUNITARIE Convenzione Europea sui diritti dell’uomo (art. 8); Linee guida OCSE del 1980; Convenzione di Strasburgo del 1981; La Direttiva 95/46/CE. 1. Convenzione Europea sui diritti dell’uomo – art. 8: Diritto al rispetto della vita privata e familiare – “Ogni persona ha diritto al rispetto della sua vita privata e familiare, del suo domicilio e della sua corrispondenza. Non può esservi ingerenza di una autorità pubblica nell'esercizio di tale diritto a meno che tale ingerenza sia prevista dalla legge e costituisca una misura che, in una società democratica, è necessaria per la sicurezza nazionale, per la pubblica sicurezza, per il benessere economico del paese, per la difesa dell'ordine e per la prevenzione dei reati, per la protezione della salute o della morale, o per la protezione dei diritti e delle libertà altrui”. 2. Linee Guida OCSE: “Linee Guida sulla tutela della vita privata e i flussi transfrontalieri di dati a carattere personale”, OCSE 23 settembre 1980; 3. Convenzione di Strasburgo del 1981: “Convenzione n. 108/81 adottata a Strasburgo il 28 gennaio 1981 sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale”; 4. Direttiva 95/46/CE del Parlamento e del Consiglio sulla Protezione dei Dati Personali.
DISCIPLINA NAZIONALE sulla tutela dei dati personali 1 legge organica (L. 675/1996) 1 delega e più rinnovi (L. 676/1996) 9 integrazioni o modificazioni, da ultimo, D.Lgs. 467/2001 1 D.P.R. sulla sicurezza 7 autorizzazioni generali 3 codici deontologici Legge 675/96: legge 31 dicembre 1996, n. 675 “Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali” (G.U. n. 5 dell’8 gennaio 1997); Legge 676/96: legge 31 dicembre 1996, n. 676 “Delega al Governo in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali” (G.U. n. 5 dell’8 gennaio 1997); D. lgs. 467/2001: decreto legislativo 28 dicembre 2001, n. 467 “Disposizioni correttive ed integrative della normativa in materia di protezione dei dati personali, a norma dell’art. 1 della l. 24 maggio 2001 n. 127” (G.U. n. 13 del 16 gennaio 2002); D.P.R. sulla sicurezza: D.P.R. 28 luglio 1999, n. 318 “Regolamento recante norme per l’individuazione delle misure di sicurezza per il trattamento dei dati personali, a norma dell’art. 15 comma 2 della legge 31 dicembre 1996, n. 675”; Autorizzazioni Generali (Ultimo rinnovo 28 giugno 2007): n. 1/2007 (Rapporti di lavoro) – 2/2007 (Esercenti professioni sanitarie) – 3/2007 (Associazioni e Fondazioni) – 4/2007 (Liberi Professionisti) – 5/2007 (Diverse categorie di titolari) – 6/2007 (Investigatori privati) – 7/2007 (dati a carattere giudiziario – privati e soggetti pubblici); Codici Deontologici: a) Trattamenti dei dati personali nell’esercizio dell’attività giornalistica (Provv. del Garante 29 luglio 1998, in G.U. 3 agosto 1998, n. 179) – b) Trattamenti dei dati personali per scopi storici (Provv. del Garante del 14 marzo 2001, in G.U. 5 aprile 2001, n. 80) – c) Trattamenti dei dati personali a scopi statistici e di ricerca scientifica effettuati nell’ambito del Sistema Statistico Nazionale (Provv. Garante n. 13 del 31 luglio 2002, in G.U. 1° ottobre 2002, n. 230).
Il D.Lgs. 196 del 30/06/2003 (Testo Unico) L’ATTUALE NORMATIVA In vigore da Gennaio 2004 Il D.Lgs. 196 del 30/06/2003 (Testo Unico) Futuri codici deontologici
IL D.LGS. 196/2003 “Chiunque ha diritto alla protezione dei dati personali che lo riguardano” (art.1 TU). Il nuovo Codice intende garantire che “il trattamento dei dati personali si svolga nel rispetto dei diritti, delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale ed al diritto alla protezione dei dati personali” (art.2 TU).
Entriamo nella Legge: I CONCETTI ESSENZIALI (1/4) Il Trattamento dei dati una o più tipologie di operazioni raccolta, elaborazione, custodia, trasmissione, ecc. su categorie di dati nominativi, indirizzari, anagrafiche, ecc. individuato secondo scopi perseguiti modalità seguite
I CONCETTI ESSENZIALI (2/4) Dato personale qualsiasi informazione linguaggio, suono o immagine su qualunque supporto carta, floppy, nastro, etere in grado di individuare direttamente o meno cifrature, codici, aggregazioni elementari incluse persone fisiche o enti
I CONCETTI ESSENZIALI (3/4) GLI INTERESSATI SONO… ... i soggetti cui si riferiscono i dati personali trattati
I CONCETTI ESSENZIALI (4/4) DATI SENSIBILI e GIUDIZIARI DATI COMUNI Definizione tassativa Razza ed etnia Fede religiosa Credo politico sindacale e filosofico Stato di salute Vita sessuale Casellario giudiziale Condizione di indagato Condizione di imputato Categoria residuale
I PRINCIPI DELL’ART.11 TU: le modalità di raccolta... Liceità e Trasparenza del trattamento: il Titolare deve far conoscere all’interessato l’intenzione di raccogliere e registrare i suoi dati Il trattamento secondo Correttezza: L’interessato non deve essere fuorviato da indicazioni parziali o incomprensibili
I PRINCIPI DELL’ART.11 T.U.: le modalità di conservazione... Il principio di Finalità : legittima manifesta determinata Il principio di Qualità dei dati: esattezza delle informazioni conservate monitoraggio e aggiornamento costante dei dati pertinenza e non eccedenza rispetto alle finalità temporaneità della conservazione
LA PRIVACY PER GLI ENTI PUBBLICI
I PRINCIPI DI LICEITÀ IN AMBITO PUBBLICO Il trattamento da parte della P.A. è lecito solo se necessario per il raggiungimento delle funzioni istituzionali dell’ente e nel rispetto di presupposti e limiti previsti dal T.U., nonché da leggi o regolamenti (art. 18 T.U.) Il trattamento da parte dei soggetti privati e dagli enti pubblici economici è lecito solo se l’interessato ha dato il suo consenso (art. 23 T.U.)
REGOLE E … Il corretto trattamento (art. 22 TU) dei dati sensibili implica: l’indicazione della norma di legge nell’informativa da rilasciare all’interessato; il rispetto del principio di essenzialità da valutare in relazione alla funzione istituzionale; la verifica periodica dell’esattezza e dell’aggiornamento dei dati (procedure); la cifratura e l’uso di codici identificativi; la conservazione separata dei dati inerenti lo stato di salute e la vita sessuale (dati ultrasensibili).
DIVIETI La P.A. non può (art. 22 TU): diffondere i dati sanitari; utilizzare i dati sanitari nell’ambito di test psicoattitudinali volti a definire il profilo o la personalità dell’interessato; effettuare operazioni di raffronto tra dati sensibili e giudiziari (salvo annotazione scritta dei motivi); non può adottare provvedimenti amministrativi basati su valutazioni o profili dell’interessato ottenuti in via esclusivamente automatizzata (art. 14 TU).
LA COMUNICAZIONE DEI DATI La comunicazione o diffusione a SOGGETTI PUBBLICI sono lecite solo se: - previste da legge, regolamento o comunque se necessarie per lo svolgimento di funzioni istituzionali, previa comunicazione al Garante. La comunicazione o diffusione a SOGGETTI PRIVATI sono lecite solo se: - previste da un’espressa norma di legge o da regolamento.
IL TRATTAMENTO DEI DATI COMUNI Le condizioni di liceità previste per il trattamento dei dati comuni da parte della P. A. sono costituite da: rispetto delle funzioni istituzionali; rispetto di presupposti e limiti previsti dal T.U., nonché da leggi o regolamenti.
IL TRATTAMENTO DEI DATI SENSIBILI E’ legittimo solo se: C’è una legge che individua la rilevante finalità di interesse pubblico, i tipi di dati e le operazioni eseguibili; Se una legge individua solo la rilevante finalità di interesse pubblico, i tipi di dati e le operazioni eseguibili devono essere identificati e resi pubblici dall’ente con REGOLAMENTO; In mancanza di una legge, la rilevante finalità può essere indicata dal Garante, e l’ente deve identificare e rendere pubblici dati ed operazioni con REGOLAMENTO.
IL REGOLAMENTO DEI DATI SENSIBILI
Dati sensibili giudiziari TRATTAMENTO DATI SENSIBILI E GIUDIZIARI DA ENTI PUBBLICI (ART. 20 E 21 T.U.) Rilevante interesse Dati sensibili giudiziari Previsione di legge Tipi di dati Solo se previsto da specifica disposizione di legge che dettagli anche i tipi di dati e di operazioni eseguibili. Detta soluzione consente di trattare legittimamente anche i dati giudiziari (art. 21 TU) Tipi di operazioni
Dati sensibili giudiziari TRATTAMENTO DATI SENSIBILI E GIUDIZIARI DA ENTI PUBBLICI (ART. 20 E 21 T.U.) Previsione di legge Rilevante interesse Dati sensibili giudiziari Tipi di dati Ente individua Con regolamento Tipi di operazioni Solo se previsto da specifica disposizione di legge con l’ente che dettagli i tipi di dati e di operazioni eseguibili Aggiornamento e integrazioni periodici
TRATTAMENTO DATI SENSIBILI DA ENTI PUBBLICI (ART. 20 T.U.) Previsione di legge Dati sensibili Garante individua Rilevante interesse Tipi di dati Ente individua Con regolamento Tipi di operazioni Solo se previsto dal Garante con l’ente che dettagli anche i tipi di dati e di operazioni eseguibili Aggiornamento e integrazioni periodici
ELEMENTI DEL REGOLAMENTO Il Regolamento deve indicare: la denominazione o il tipo di trattamento; la fonte normativa; le rilevanti finalità di interesse pubblico perseguite dal trattamento; i tipi di dati trattati; le operazioni eseguite; una sintetica descrizione del trattamento e del flusso informativo.
TERMINE PER L’ADOZIONE DEL REGOLAMENTO Termine ultimo per l’adozione del Regolamento – fissato al 30 settembre del 2004 dal Testo Unico – è stato eccezionalmente prorogato al 28 FEBBRAIO 2007 Il Garante entro 45 gg. Da ricevimento della richiesta si pronuncia in merito. Decorso il termine l’amministrazione può procedere indipendentemente dall’acquisizione del parere
GLI ADEMPIMENTI FORMALI
L’INFORMATIVA (art. 13 TU) 1) Finalità del trattamento; 2) Modalità del trattamento; 3) Conferimento dei dati - facoltativo o - obbligatorio; 4) Comunicazione dei dati; 5) Diffusione e trasferimento all’estero; 6) Diritti dell’interessato; 7) Indicazione del Titolare (e del Responsabile)
NOTIFICAZIONE AL GARANTE (artt. 37 ss TU) Trattamento Inizio Cessazione e Cessione Trasferimento Estero Nuovo sistema “in negativo” 3 eventi Servizi sanitari telematici Profili elettronici Dati sensibili per ricerca di personale per conto terzi Centrali rischi o antifrode Il Garante può specificare, estendere e circoscrivere queste casistiche 5 casi Dati biometrici Dati genetici
GLI ADEMPIMENTI ORGANIZZATIVI
IL TITOLARE (art. 28 TU) Il Titolare è colui che decide le modalità e le finalità del trattamento, compreso il profilo della sicurezza (art. 4 co. 1 lett. f) T.U.); In caso di trattamento in ambito pubblico, tale figura coincide con l’Ente stesso; E’ possibile delegare l’esercizio della titolarità ad una persona fisica.
IL RESPONSABILE (art. 29 TU) E’ nominato dal Titolare e deve coincidere con persone fisiche, persone giuridiche, pubbliche o private, e pubbliche amministrazioni; Deve essere scelto tra persone che per capacità, esperienza ed affidabilità, forniscono garanzia del rispetto della Legge compreso il profilo sulla sicurezza; Deve essere designato con uno specifico atto di nomina; Può essere nominato anche un soggetto esterno.
L’INCARICATO (art. 30 TU) Può essere solo una persona fisica ed è individuato dal Titolare oppure dal Responsabile, operando sotto la loro diretta responsabilità; E’ colui che materialmente compie operazioni sui dati. La designazione è effettuata per iscritto ed individua l’ambito di trattamento consentito.
LA VISIONE D’INSIEME CENTRO DI COMPETENZA TITOLARE RESPONSABILE INTERNO INTERNO GESTIONE ISTANZE INTERNO INCARICATO INCARICATO INCARICATO INCARICATO RESPONSABILE RESPONSABILE ESTERNO ESTERNO INCARICATO INCARICATO
DIRITTI DELL’INTERESSATO
ESERCIZIO DEI DIRITTI (1/2) Diritti che l’Interessato può esercitare: avere conferma dell’esistenza di dati personali che lo riguardano; ricevere la comunicazione in forma intelleggibile dei medesimi dati, della loro origine, della logica e delle finalità del trattamento … e degli altri elementi elencati per l’informativa; ottenere l’aggiornamento, la rettifica, l’integrazione se vi ha interesse; la cancellazione ed il blocco dei dati trattati in violazione di legge; opporsi al trattamento per motivi legittimi; avere l’attestazione che le variazioni richieste siano state trasmesse a coloro ai quali i dati erano stati comunicati.
ESERCIZIO DEI DIRITTI (2/2) L’esercizio del diritto: - in caso di accesso non è richiesta alcuna formalità - spetta al diretto interessato; oppure alla persona cui l’interessato abbia fornito delega con firma autenticata o procura per iscritto. L’identificazione: l’Interessato deve inviare copia di un documento d’identità La soddisfazione della richiesta: - la richiesta deve essere soddisfatta entro 15 gg o 30, nei casi di maggiore complessità e previo avviso all’interessato l’Incaricato informa – senza ritardo – l’organo preposto e collabora con esso nel processing dell’istanza
DIRITTO DI ACCESSO E PRIVACY
PRIVACY E TRASPARENZA DELLA P.A. PER LA NORMATIVA A TUTELA DEI DATI PERSONALI: L’interessato del trattamento ha diritto di ottenere le informazioni relative all’esistenza o meno di trattamenti rispetto ai propri dati personali (art. 7 T.U); PER ASSICURARE LA TRASPARENZA DELL’ATTIVITÀ AMMINISTRATIVA: Chiunque vi abbia interesse per la tutela di situazioni giuridicamente rilevanti ha diritto di accedere ai documenti amministrativi (art. 22 l. 241/90 – art. 15 l. 15/05).
PRIVACY E TRASPARENZA DELLA P.A. PER LA NORMATIVA A TUTELA DEI DATI PERSONALI (art. 8 T.U.) I dati sono estratti a cura del Responsabile o degli Incaricati e possono essere comunicati al richiedente anche oralmente, ovvero offerti in visione tramite strumenti elettronici. Solo in caso di estrazione difficoltosa, è possibile l’esibizione o la consegna in copia di atti e documenti contenenti i dati personali richiesti.
PRIVACY E TRASPARENZA DELLA P.A. PER ASSICURARE LA TRASPARENZA DELL’ATTIVITÀ AMMINISTRATIVA (Legge 15/2005 e 241/90): Il diritto di accesso nei confronti delle pubbliche amministrazioni si esercita mediante esame ed estrazione di copia dei documenti amministrativi. Il diritto di accesso può essere ESCLUSO per tutelare la riservatezza di terzi, garantendo però la visione degli atti relativi ai procedimenti amministrativi la cui conoscenza è necessaria per la difesa degli interessi giuridici. Il diritto di accesso può essere DIFFERITO sino a quando la conoscenza dei documenti può ostacolare lo svolgimento dell’azione amministrativa.
RISERVATEZZA E ACCESSO A CONFRONTO Il diritto di accesso resta regolamentato dalla Legge 15/2005 (l. 241/90) e relativi regolamenti, anche per i documenti contenenti dati sensibili e giudiziari. Le attività relative all’esercizio del diritto di accesso sono considerate di RILEVANTE INTERESSE PUBBLICO Ma occorre un REGOLAMENTO … i trattamenti sono ammessi nel rispetto delle condizioni previste dagli art. 20 e 21 T.U.
L’ACCESSO A DOCUMENTI CON DATI SENSIBILI Quando il trattamento riguarda dati idonei a rivelare lo stato di salute o la vita sessuale, la richiesta di accesso ai documenti amministrativi da parte di soggetti terzi è ammessa se si intende tutelare una situazione giuridicamente rilevante di rango almeno pari ai diritti dell’interessato.
L’ACCESSO A DOCUMENTI CON DATI SENSIBILI L’accesso è consentito se la situazione giuridicamente rilevante che si intende tutelare è di rango almeno pari ai diritti dell’interessato, ovvero consiste in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile (art. 60 TU); se sono rispettate le linee guida indicate dal Garante con il provvedimento del 9 luglio del 2003.
LE LINEE GUIDA DELL’AUTHORITY... Si riferiscono alle ipotesi di accesso ai soli dati ultrasensibili (salute e vita sessuale): l’ente che riceve la richiesta di accesso deve effettuare la valutazione del “pari rango” considerando il diritto sottostante che il richiedente intende far valere; di regola non sono considerati di pari rango i diritti di credito; occorre una verifica del rispetto del principio di pertinenza; può anche esserci il contraddittorio con l’interessato, il quale può opporsi al trattamento.
I TRATTAMENTI IN AMBITO GIUDIZIARIO
PROFILI GENERALI Gli uffici dell’Amministrazione della Giustizia sono Titolari dei trattamenti svolti nell’esercizio dei loro poteri. Un decreto del Ministero della Giustizia indica i trattamenti non occasionali ed automatizzati che riguardano le banche dati centralizzati o interconnesse (art. 46). Gli uffici giudiziari - Da un’interpretazione sistematica che combini il disposto di questa norma con l’ordinamento giudiziario (in particolare, d. lg. 51/1998 sull’istituzione del giudice unico di primo grado, l. 73/1999 con modifiche alle tabelle delle circoscrizioni giudiziarie, d. lg. 160/1999, con disposizioni sulle competenze territoriali degli uffici giudiziari, d. lg. 491/1999 sull’istituzione di nuovi Tribunali e revisione dei circondari di alcune importanti città, d. lg. 168/2003 con istituzione di sezioni specializzate in materia di proprietà industriale ed intellettuale) la titolarità dei trattamenti non sembra conferita alle singole unità operative dell’Ordine giudiziario: (ad esempio, V sezione penale del Tribunale di Milano, II sezione del Consiglio di Stato, etc.), quanto piuttosto agli uffici così come dislocati sul territorio (ad esempio, Tribunale di Latina, sede distaccata di Gaeta, TAR Lazio, etc.). Ciò determina una attribuzione di poteri e di obblighi che ricalca quella propria dell’organizzazione giudiziaria per quanto concerne la distribuzione delle controversie, la conservazione dei documenti, il riparto delle ferie etc. Vale a dire, l’attribuzione di titolarità si adegua alla effettiva potestà di governo e di controllo sui singoli trattamenti e sui dati personali, come richiesto dalla definizione di riferimento [art. 4.1, lett. f)]. Collegamenti telematici (Comma 2) - Gli uffici centrali di ciascun Ordine giudiziario sono dotati di banche dati. Inoltre, esistono banche dati condivise fra uffici giudiziari. La consultazione elettronica di queste banche dati da parte degli uffici giudiziari è corrente. Il compito di individuare in quali casi la consultazione non ha carattere occasionale e quindi soggiace alle regole del codice è demandato al Ministro della Giustizia che lo fa mediante un apposito decreto (destinato ad essere riportato nell’Allegato C del Codice). Il CSM e gli altri organi di autogoverno definiscono in autonomia tali casi di consultazione non occasionale: lo fanno mediante provvedimenti che sono adottati dal Ministro della Giustizia con decreto che confluisce nell’Allegato C.
TRATTAMENTI PER RAGIONI DI GIUSTIZIA I trattamenti svolti per ragioni di giustizia - decisione di controversie, attribuzione dei magistrati, ispezioni - sono esonerati da una parte delle norme del codice privacy. Non sussistono ragioni di giustizia per l’attività di amministrazione del personale e delle risorse (art. 47). Ragioni di giustizia” (comma 2) – Come anticipato in occasione del commento “Nozione di ambito giudiziario”, all’inizio di questo Titolo I, per l’applicazione della normativa speciale devono ricorrere “ragioni di giustizia”. Difatti, la speciale disciplina, come evidenziata sopra, prevede ampie aree di deroga alle regole generali le quali si giustificano solo nei limiti in cui l’arretramento degli spazi di tutela dei dati personali sia indispensabile per consentire l’ordinata gestione dell’azione di giustizia. D’altro canto, la locuzione “per ragioni di giustizia” – fatto salvo quanto determinato dalla norma – deve intendersi in senso ampio, comprensiva, oltre che dei trattamenti amministrativi strumentali alla funzione giurisdizionale, anche delle altre “attività comunque effettuate nell’ambito di uffici giudiziari, anche dalla magistratura amministrativa e contabile” (v. Provv. 30 marzo 2000 in Rel. 2000 p. 25, in )). Analogamente, rientra in questo ambito anche l’attività svolta dal collaboratore (nel caso di specie, un professionista sanitario) del consulente tecnico d’ufficio nominato dal giudice (Provv. 27 marzo 2002, in Bollettino, n. 26, p. 3); ma non anche quella del consulente tecnico di parte (v. Provv. 16 giugno 1999 in Bollettino n. 9, p. 63). Quindi, le “ragioni di giustizia” sussistono nell’attività di decisione di controversie o d’attuazione di procedimenti giudiziari, ma anche per decisioni di tipo amministrativo prese dal CSM o dal Ministro della Giustizia per inquadrare i magistrati e perciò capaci di incidere sulla sfera di poteri e di competenze del singolo magistrato. Lo stesso vale per le ispezioni, attività di tipo amministrativo ma che preclude a procedimenti disciplinari o giudiziari: ciò implica che le ispezioni disposte dal Ministero della Giustizia sono comunque sottoposte alla disciplina del Titolo I della Parte II e non a quella dell’art. 67 (rilevante interesse pubblico delle attività di ispezione amministrativa). Accertamento di reati e ragioni di giustizia – I trattamenti compiuti dalla polizia giudiziaria nella fase delle indagini preliminari di un procedimento penale, dietro impulso del p.m. e con la sorveglianza del g.i.p. sono da considerarsi trattamenti “per ragioni di giustizia” e possono essere ricondotti all’articolo 47. Fra questi, particolare spicco hanno le tecniche investigative di ascolto di conversazioni o colloqui, in modo particolare le intercettazioni.
DEROGHE Gli esoneri riguardano: Diritti dell’interessato Adempimenti: Perché prevale l’interesse pubblico Adempimenti: Gli uffici giudiziari sono esonerati da informativa, notificazione, richieste di autorizzazione, obblighi di comunicazione al Garante.
DISCIPLINA APPLICABILE (1/3) Principio di necessità: Sistemi operativi e programmi informatici specifici configurati in modo da ridurre al minimo l’uso di dati personali. Diritti privacy: L’interessato può sollecitare un accertamento del Garante sulla liceità dei trattamenti, presentando una segnalazione o un reclamo. Principi privacy: Pertinenza ed essenzialità delle informazioni raccolte. Principio di necessità – Sistemi operativi e programmi informatici specifici del settore giudiziario devono essere configurati in modo da ridurre al minimo l’uso di dati personali. Apparentemente residuale, la norma ha invece un impatto notevole in un settore che cerca di migliorare la propria funzionalità ed efficienza grazie ad una informatizzazione massiccia, come testimoniato dal d.P.R.123/2001, recante una disciplina sull'uso di strumenti informatici e telematici nel processo civile, nel processo amministrativo e nel processo dinanzi alle sezioni giurisdizionali della corte dei conti, soprattutto agli artt. 12 (fascicolo informatico), 13 (formazione del fascicolo informatico), 14 (produzione degli atti e dei documenti probatori su supporto informatico) e 18 (informatizzazione del processo amministrativo e contabile). Diritti privacy – L’articolo 8.2, lett. g) afferma che i diritti di cui all’articolo 7 non possono essere esercitati dall’interessato con richiesta al Titolare o al Responsabile quando il trattamento è svolto, per ragioni di giustizia, presso uffici giudiziari di ogni ordine e grado o presso il Consiglio Superiore della Magistratura o presso altri organi di autogoverno o il Ministero della giustizia. Controlli privacy sulle attività di giustizia – Come già stabilito nella precedente normativa, il codice sottrae il controllo sul trattamento al diretto interessato e lo rimette ad un intervento del Garante (nelle forma disciplinate dall’art. 160, al cui commento si rinvia). Per sollecitare un accertamento dell’Autorità sulla liceità dei trattamenti, l’interessato deve presentare una segnalazione o un reclamo. Nell’effettuare gli accertamenti nei riguardi di uffici giudiziari, il Garante adotta idonee modalità nel rispetto delle reciproche attribuzioni e della particolare collocazione istituzionale dell’organo procedente (art. 160.5). In seguito all’accertamento, l’interessato avrà diritto in ogni caso ad un riscontro circa il relativo esito, se ciò non pregiudica azioni od operazioni a tutela dell’ordine e della sicurezza pubblica o di prevenzione e repressione di reati (art. 160.2). Al riguardo, si veda il caso di “un interessato che, avendo assunto nell’ambito di una controversia civile la qualità di attore, ha contestato la decisione del giudice istruttore di acquisire, presso l’Ufficio del casellario giudiziale, il suo certificato penale e quello relativo ai suoi eventuali carichi pendenti, senza procedere ad una preliminare comparazione tra il rango costituzionale del suo diritto alla riservatezza “e quello del mero diritto patrimoniale” del convenuto” (Provv. 28 settembre 2001, in Bollettino n. 22, p. 7). In questa situazione, l’Autorità aveva ritenuto di non dovere intervenire valutando le operazioni di trattamento quali ipotesi di “legittima comunicazione ed utilizzazione di elementi di valutazione in ordine a vicende che afferiscono … al corretto svolgimento dell’attività giudiziaria ed alla liceità e correttezza del comportamento di magistrati”. Nel qual caso il Garante ha rilevato che la questione rientrava nelle aree speciali (allora regolate dall’art. 4 della legge 675/1996).
DISCIPLINA APPLICABILE (2/3) Sicurezza e responsabilità per danno: Applicazione delle misure di sicurezza minime ed adeguate obbligo di risarcimento in caso di violazione della sicurezza e sanzioni penali per l’omissione totale o parziale delle misure minime. Trasparenza dei dati di notificazione: Chiunque può richiedere al Titolare di conoscere il contenuto delle informazioni che avrebbero formato oggetto di notificazione, anche in assenza dell’obbligo di notifica al Garante.
DISCIPLINA APPLICABILE (3/3) Segnalazioni e reclami al Garante: L’interessato deve ricevere un riscontro in relazione all’esito degli accertamenti promossi. Tutela giudiziaria ordinaria e sanzioni: E’ possibile adire l’autorità giudiziaria ordinaria avvalendosi del regime speciale previsto all’art. 152 del Codice Privacy.
BANCHE DATI DI UFFICI GIUDIZIARI Gli uffici dell’Amministrazione della Giustizia, se la legge lo consente, possono accedere via Internet a banche dati di pubblici registri, avvalendosi di apposite convenzioni, purché nel rispetto del principio di necessità (art. 48) E’ il caso, ad esempio, della banca dati degli adottabili (L. 149/01) Considerazioni generali - Gli uffici giudiziari, oltre a consultare le banche dati degli uffici centrali del loro Ordine e banche dati condivise con altri uffici giudiziari, hanno frequente bisogno di acquisire dati, informazioni, atti o documenti da enti o uffici pubblici. Gli uffici giudiziari e il Ministro della Giustizia possono stipulare convenzioni per facilitare la consultazione via Internet di registri pubblici, schedari e banche dati da parte degli uffici giudiziari. Le convenzioni hanno il duplice scopo di creare canali di accesso privilegiato abbreviando i tempi e di garantire il rispetto delle norme in materia di modalità di trattamento (art.11) e di essenzialità dei dati nel trattamento svolto con mezzi informatici (art.3). Banca dati degli adottabili – La legge 149/2001, allo scopo di migliorare le procedure di adozione e di accelerarne i tempi, ha predisposto la banca dati degli adottabili, costituita presso il Dipartimento per la giustizia minorile. In questa banca confluiranno “dati personali e sanitari, informazioni su condizioni socio familiari, livelli di reddito e culturali relativi a minori adottabili, a coniugi e a persone singole che aspirano all’adozione sia nazionale, sia internazionale”. L’acquisizione dei dati avverrà in modo automatico “tramite i registri informatizzati degli uffici della giurisdizione minorile (tribunali, procure, giudici tutelari ecc.)”. “L’accesso alla banca dati sarà probabilmente riservato ai magistrati del settore minorile, al personale giudiziario autorizzato e, limitatamente ai loro dati personali, agli interessati”. In un parere fornito dal Garante al Ministero della Giustizia in merito allo schema di regolamento operativo, sono state avanzate numerose richieste al fine di rendere più tutelata tale importante banca di dati (v. Newsletter 21 – 27 luglio 2003, in ).
NOTIZIE O IMMAGINI RELATIVE A MINORI È vietato pubblicare o divulgare dati identificativi e immagini di un minore coinvolto in un procedimento giudiziario, civile o penale (art. 50). Tale divieto opera per il processo penale, nei procedimenti nel settore famiglia e delle successioni, nei procedimenti di volontaria giurisdizione del processo civile (adozione, riconoscimento paternità). I dati dei minori vanno sempre omessi in sentenza. Considerazioni generali - Con questa norma la tutela della privacy del minore è rafforzata, con l’allargamento del divieto di pubblicazione e divulgazione con qualsiasi mezzo di notizie o immagini del minore a tutti gli ambiti processuali. In precedenza, con una norma che vigeva dal 1988, tale divieto si applicava al solo processo penale. Esempi di estensione di tale applicazione riguardano i procedimenti di natura civile nel settore della famiglia e delle successioni, i procedimenti di volontaria giurisdizione del processo civile (basti pensare al procedimento di adozione e a quello di riconoscimento della paternità) e il processo amministrativo. Poiché il divieto è generale e tassativo, per i minori non c’è bisogno di nessuna formalità per l’omissione dei dati identificativi in caso di circolazione della sentenza (v. il commento all’art. 52). Immagini di minori – La materia relativa alla tutela dei minori coinvolti in procedimenti giudiziari è stata affrontata da più norme. Si tratta, specificamente, dell'art. 13 del codice di procedura penale per i minorenni (D.P.R. 448 del 1988, citato da questo stesso articolo) e dell'art. 734-bis del codice penale introdotto dalla legge 15 febbraio 1996 n. 66 sulla violenza sessuale, norme rafforzate dalla legge 3 agosto 1998 n. 269 sulla pedofilia. La questione della pubblicazione di immagini di minori è venuta in evidenza nel caso di una segnalazione all’Autorità presentata da un personaggio pubblico che si era rivolto al Garante dopo aver visto pubblicate su due settimanali le foto del figlio minore in primo piano, all'ingresso di un immobile sede di uno studio medico pediatrico. A seguito di tale vicenda si ebbe modo di ribadire che “anche quando si tratta di figli di personaggi noti, la notorietà di determinate persone o l'esercizio di funzioni pubbliche non può comportare un affievolimento della tutela riconosciuta a familiari e, in particolare, a minori” (v. C.S. del 5 giugno 2001 in Bollettino n. 21 p. 78). In senso analogo, v. Provv. 7 ottobre 1999 in Bollettino n. 10, p. 63; Com. 10 dicembre 1999 in Bollettino n. 10, p. 110. Relativamente alla vicenda della pubblicazione su una rivista di una foto con allusioni a vicende di violenza sessuale a minori (v. Provv. 15 novembre 2001 in Bollettino n. 23, p. 11;).
ACCESSIBILITA’ ATTI GIUDIZIARI L’Autorità giudiziaria mette a disposizione di chiunque vi abbia interesse i dati identificativi dei procedimenti giudiziari seguiti, inserendoli nel proprio sito Internet (art. 51). In tal modo è incoraggiato l’inserimento dei dati identificati delle controversie - parti, numero del procedimento, giudice - nei siti istituzionali delle Autorità giudiziarie. Accessibilità degli atti giudiziari (Comma 1) - Non vengono modificate le norme già esistenti sull’accessibilità degli atti giudiziari, mentre viene stimolato l’inserimento dei dati identificativi delle controversie (ad esempio, parti, numero del procedimento, giudice, etc.) nei siti internet delle Autorità giudiziarie. La norma deve essere letta in combinato disposto con l’art. 19 della legge 229/2003 recante la nuova disciplina in tema di qualità della regolazione, riassetto normativo e codificazione. Questa norma contiene un’analoga disposizione relativamente alla accessibilità delle questioni pendenti dinanzi al giudice amministrativo e contabile “osservando le cautele previste dalla normativa di tutela dei dati personali”. Le “cautele” cui si riferisce quest’ultima norma sembrano essere i limiti e le modalità indicati nel presente titolo, specialmente all’art.52. Per favorire un’efficace applicazione di tale disposizione, una norma di attuazione consente di adeguare i sistemi informativi entro un anno dall'entrata in vigore del codice (art. 181.5).
DIFFUSIONE SENTENZE IN INTERNET È favorita la diffusione dei provvedimenti e delle sentenze via Internet. Per la pubblicazione occorre tenere presente le regole in tema di omissione delle generalità, richiesta dall’interessato o applicata d’ufficio.
DATI IDENTIFICATIVI DEGLI INTERESSATI Su richiesta dell’interessato o per decisione del giudice, si può impedire la pubblicazione o la divulgazione dei dati identificativi dell’interessato riportati nella sentenza (art. 52). Ciò può essere ottenuto mediante deposito di una specifica richiesta nella cancelleria o nella segreteria dell’ufficio giudiziario che cura il procedimento. In ogni caso, va impedita l’identificazione di minori o delle parti nelle cause di famiglia o di stato delle persone. Considerazioni generali - La circolazione dei provvedimenti giudiziari a scopi di trasparenza, di divulgazione scientifica e di studio giuridico delle casistiche e dei precedenti viene bilanciata prevedendo la possibilità di pubblicare sul sito Internet o di fare circolare i provvedimenti senza i dati della persona o delle persone cui sono riferiti. È prevedibile che gli avvocati, specie nel campo penale, adotteranno la linea di suggerire ai propri assistiti di avvalersi di questa norma. Per gli studenti e per la dottrina, finirà la prassi di citare i “leading cases” mediante riferimento alla parte. In via generale, è riconosciuto a chi sia citato ed individuabile in un processo la facoltà di chiedere l’omissione dei propri dati personali e delle proprie generalità in caso di divulgazione del provvedimento. Ciò può essere ottenuto mediante deposito di una specifica richiesta nella cancelleria o nella segreteria dell’ufficio giudiziario che cura il procedimento, prima della formale conclusione del procedimento. Si noti che se la richiesta è effettuata dall’interessato, l’omissione riguarderà solo il richiedente ma non anche le altre persone coinvolte (controparte ed eventuali terzi nel processo civile; vittima, concorrenti o testimoni nel processo penale, etc.). Tuttavia, la previsione del secondo comma (omissione d’ufficio) consente all’ufficio giudiziario di riequilibrare una difformità decidendo un’omissione generalizzata. Soggetto legittimato alla richiesta (Comma 1) – La norma fa riferimento all’interessato e non alla parte processuale. Pertanto potrà richiedere l’omissione dei propri dati identificativi chiunque risulti identificabile – a qualsiasi titolo – in una sentenza o in altro provvedimento giurisdizionale. Contenuto della richiesta (Comma 1, ult. parte) – Oggetto della facoltà concessa all’interessato è l’omissione delle proprie “generalità e di altri dati identificativi” e non dei “dati personali” che lo riguardino. La distinzione è rilevante: infatti, non si chiede di effettuare un’opera di anonimizzazione del provvedimento, omettendo qualsiasi riferimento che, anche indirettamente, sia suscettibile di individuare l’interessato [si veda la definizione dell’art. 4.1, lett. i) ed il relativo commento]. Diversamente, invece, da quanto prescritto al successivo comma 5, per l’eventualità di dati riferibili a minori. Pertanto, sarà sufficiente che la “cancelleria o segreteria” omettano solo i “dati identificativi”, individuati dalla definizione di legge [v. art. 4.1, lett. c) e relativo commento].
NOTIFICHE DI ATTI E VENDITE GIUDIZIARIE Sia nel processo civile sia nel processo penale, la comunicazione di atti processuali deve avvenire nel pieno rispetto della riservatezza della persona coinvolta nel procedimento (art. 174). Tale norma modifica la disciplina prevista nel codice di procedura civile e penale.
NOTIFICHE IN MATERIA CIVILE Consegna in “mani proprie” del destinatario: principio prioritario. Consegna a terzi: la copia è consegnata in busta chiusa e sigillata; se ne da atto nella relazione in calce all’originale ed alla copia; non devono esservi segni da cui possa desumersi il contenuto dell’atto; chi la riceve deve sottoscrivere una ricevuta (non più l’originale). Affissione: l’avviso è affisso in busta chiusa e sigillata e se ne dà notizia al destinatario con raccomandata A/R.
ALTRI CASI DI APPLICAZIONE DELLA DISCIPLINA SULLE NOTIFICAZIONI Le descritte modalità di consegna dell’atto a terzi si applicano anche: Comunicazioni effettuate con biglietto di cancelleria; Intimazione a testi; Ingiunzioni e verbali relativi ad illeciti amministrativi e relative sanzioni pecuniarie; Verbali relativi a contravvenzioni al codice della strada; Atti del processo amministrativo; Atti provenienti da uffici fiscali.
PUBBLICITA’ DEGLI AVVISI ESECUTIVI In base alle modifiche apportate dal Codice Privacy, quando la legge dispone che di un atto esecutivo sia data pubblica notizia, è omessa l’indicazione del debitore. Nella vendita senza incanto, il cancelliere dà avviso dell’ordine di vendita con l’avvertimento che maggiori informazioni, anche relative alle generalità del debitore, possono essere fornite dalla cancelleria del Tribunale a chiunque vi abbia interesse.
NOTIFICHE IN MATERIA PENALE Sostanziale simmetria della disciplina prevista in ambito civile: Consegna “in mani proprie” o a terzi. Le stesse modalità in caso di consegna del decreto di perquisizione. Biglietti o avvisi non in busta chiusa: Se a persona diversa dal destinatario recano le informazioni strettamente necessarie. Prima notificazione all’imputato non detenuto: Consegna di copia alla persona, in mancanza la disciplina è meno rigorosa di quella prevista in ambito civile.
LE MISURE DI SICUREZZA
Una questione certamente attuale
DUE CASI ALLARMANTI! Video Castelli – Prendere da 00:47 a 01:05 Video Multe – Prendere da 00:12 a 01:17
PROFILI GENERALI DI SICUREZZA PROTEZIONE MINIMA ADEGUATA Elenco tassativo basato su natura dei dati e su 2 scenari: trattamenti con strumenti elettronici trattamenti senza strumenti elettronici Valutazione basata su: progresso tecnico natura dei dati caratteristiche del trattamento
MISURE DI SICUREZZA ADEGUATE Sono le Misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che garantiscono un IDONEO LIVELLO DI PROTEZIONE richiesto in relazione ai rischi. I dati personali devono essere custoditi e controllati ANCHE in relazione: alle conoscenze acquisite in base al progresso tecnico alla natura dei dati alle specifiche caratteristiche del trattamento
MISURE MINIME DI SICUREZZA Sono le Misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il LIVELLO MINIMO DI PROTEZIONE richiesto in relazione ai rischi: distruzione o perdita dei dati, anche accidentale accesso non autorizzato trattamento non consentito trattamento non conforme a finalità Ciascun Titolare è tenuto ad adottare le misure minime individuate nel Codice, secondo le modalità previste nel Disciplinare Tecnico.
MISURE MINIME DI SICUREZZA Regole generali Regole di dettaglio La descrizione delle modalità tecniche richieste per l’adozione delle misure minime è contenuta nel Disciplinare tecnico L’indicazione tassativa delle misure minime da adottare è contenuta negli artt.34 e 35 del Codice Il Disciplinare tecnico deve essere aggiornato periodicamente con Decreto del Ministro di Giustizia di concerto con il Ministro per le innovazioni tecnologiche IN RELAZIONE ALL’EVOLUZIONE TECNICA ED ALL’ESPERIENZA MATURATA NEL SETTORE
MISURE MINIME PER TRATTAMENTI CON STRUMENTI ELETTRONICI (art. 34 T.U) AUTENTICAZIONE INFORMATICA PROCEDURE DI GESTIONE DELLE CREDENZIALI DI AUTENTICAZIONE UTILIZZAZIONE DI UN SISTEMA DI AUTORIZZAZIONE AGGIORNAMENTO PERIODICO DELL’AMBITO DI TRATTAMENTO CONSENTITO AGLI INCARICATI
MISURE MINIME PER TRATTAMENTI CON STRUMENTI ELETTRONICI (art. 34 T.U) PROTEZIONE DEGLI STRUMENTI E DEI DATI RISPETTO A TRATTAMENTI ILLECITI, AD ACCESSI NON CONSENTITI, A DETERMINATI PROGRAMMI INFORMATICI ADOZIONE DI PROCEDURE PER LA CUSTODIA DI COPIE DI BACKUP, PER IL RIPRISTINO DEI DATI E DEI SISTEMI TENUTA ED AGGIORNAMENTO DEL DPS ADOZIONE DI TECNICHE DI CIFRATURA O CODICI IDENTIFICATIVI PER DATI SANITARI
ALTRE MISURE DI SICUREZZA (per trattamenti di dati sensibili e giudiziari) Devono essere previste istruzioni organizzative e tecniche per la custodia e l’utilizzo dei supporti rimovibili (es. cd rom, floppy) I supporti, se non utilizzati, vanno distrutti o resi inutilizzabili Possono essere riutilizzati se le informazioni contenute non sono intelligibili o tecnicamente ricostruibili In caso di dati o di strumenti elettronici danneggiati, il ripristino dell’accesso ai dati deve essere garantito in un tempo massimo di 7 giorni
(per trattamenti di dati sensibili e giudiziari) IN AGGIUNTA ALLE MISURE MINIME (per trattamenti di dati sensibili e giudiziari) Cifratura dei dati sensibili e giudiziari automatizzati o utilizzo di codici identificativi o soluzioni analoghe per non consentire la identificazione immediata Identiche soluzioni per i dati sulla salute e vita sessuale anche non automatizzati. Conservazione separata dei dati sulla salute e la vita sessuale dai restanti dati
DOCUMENTO PROGRAMMATICO SULLA SICUREZZA E’ un documento da redigere obbligatoriamente da parte di ciascun Titolare, in caso di Trattamenti su dati sensibili o giudiziari Effettuato mediante elaboratori elettronici Deve essere predisposto entro il 31 marzo di ogni anno ed allegato alla relazione di accompagnamento al bilancio di esercizio. Il DPS ha lo scopo di indicare le misure di sicurezza che il Titolare adotta a tutela del proprio patrimonio informativo.
SERVIZI DATI IN OUTSOURCING rapporti tra Titolare e Outsourcer Il Titolare che si avvale di un soggetto terzo per l’adozione delle misure minime di sicurezza deve ricevere dall’installatore una descrizione scritta dell’intervento effettuato L’installatore deve attestare la conformità di quanto installato alle disposizioni del Disciplinare tecnico.
MISURE MINIME PER TRATTAMENTI CON STRUMENTI NON ELETTRONICI (art. 35 T MISURE MINIME PER TRATTAMENTI CON STRUMENTI NON ELETTRONICI (art. 35 T.U.) PROCEDURE PER L’IDONEA CUSTODIA DI ATTI AGGIORNAMENTO PERIODICO DELL’AMBITO DI TRATTAMENTO CONSENTITO AGLI INCARICATI PROCEDURE PER LA CONSERVAZIONE DI ATTI IN ARCHIVI AD ACCESSO SELEZIONATO INDIVIDUAZIONE MODALITA’ DI ACCESSO PER L’IDENTIFICAZIONE DEGLI INCARICATI
I PROFILI SANZIONATORI
LE SANZIONI (1/2) SANZIONI PENALI da 3 mesi a 3 anni di reclusione a seconda del tipo di reato: Illecito trattamento dei dati comuni e dei dati sensibili (reato generico a dolo specifico) Inosservanza dei provvedimenti del Garante Mancata adozione delle misure minime di sicurezza Falsità nelle notificazioni o nelle dichiarazioni rese al Garante
LE SANZIONI (2/2) Omessa o incompleta notificazione SANZIONI AMMINISTRATIVE da € 500 a € 60.000 a seconda del tipo di illecito: Omessa o incompleta notificazione Omessa o inidonea informativa all’interessato Mancato rilascio di informazioni o esibizione della documentazione richiesta dal Garante RISARCIMENTO DEL DANNO Sia patrimoniale Sia non patrimoniale
Grazie per l’attenzione. Avv. Riccardo Imperiali