Garante per la protezione dei dati personali - Relazione 2017

Il Garante e le pubbliche amministrazioni

Anche nel 2017 sono pervenute richieste di parere su schemi di regolamento per il trattamento di dati sensibili o giudiziari effettuati dalle amministrazioni pubbliche.

Al riguardo il Garante si è espresso favorevolmente sulla modifica del regolamento per i trattamenti al riguardo effettuati dalla Commissione nazionale per le societa' e la borsa (Consob) resasi necessaria a seguito del mutato quadro normativo di riferimento, in particolare con l’istituzione dell’Arbitro per le controversie finanziarie (Acf) e a seguito dell’attuazione dell’art. 2, commi 5-bis e 5-ter, d.lgs. 8 ottobre 2007, n. 179, concernente i criteri di svolgimento delle procedure di risoluzione extra-giudiziale delle controversie presso l’Arbitro nonchè di composizione del relativo organo decidente. In particolare, oltre ad una revisione del precedente regolamento, anche grazie all’interlocuzione con l’Ufficio sono state individuate le tipologie di dati sensibili e giudiziari trattati e le operazioni eseguibili nell’ambito dei nuovi trattamenti introdotti dalla novella normativa (parere 16 marzo 2017, n. 137, doc. web n. 6341897).

Parere favorevole è stato reso anche sullo schema di regolamento per il trattamento dei dati sensibili e giudiziari effettuato dall’Autorita' garante per l’infanzia e l’adolescenza volto ad individuare i tipi di dati sensibili e le operazioni eseguibili per lo svolgimento dei compiti di verifica del rispetto e della corretta attuazione della normativa a tutela dell’infanzia e dell’adolescenza. L’Autorita' garante per l’infanzia può, infatti, a seguito di proprie istruttorie, venire a conoscenza della violazione o del rischio di violazione dei diritti delle persone di minore eta', ivi comprese quelle riferibili ai mezzi di informazione, con conseguenti operazioni di trattamento, con eventuale segnalazione agli organismi cui sono attribuiti i poteri di controllo e sanzionatori. Nell’ambito dell’istruttoria particolare attenzione è stata posta sulla verifica dei presupposti normativi e delle garanzie da assicurare in relazione al trattamento di dati sensibili e giudiziari riferibili a soggetti minori e ai loro familiari, avuto riguardo anche alle competenze attribuite ai garanti regionali (parere 22 giugno 2017, n. 285, doc. web n. 6630330).

Infine, è stato dato parere favorevole sulla modifica del regolamento concernente il trattamento dei dati sensibili e giudiziari effettuati presso l’Istituto nazionale per l’analisi delle politiche pubbliche (Inapp), dovuta, in particolare, alla necessita' di inserire una nuova scheda che descrive dettagliatamente il trattamento di dati personali per scopi statistici. L’Inapp, infatti, fa parte del Sistema statistico nazionale per lo svolgimento dell’indagine sociale europea (ESS) - anno 2017, non inserita nel Programma statistico nazionale 2017-2019, ma solo nel relativo aggiornamento 2018-2019. Specifiche garanzie sono state individuate, d’intesa con l’Ufficio, con riferimento ai tipi di dati sensibili trattati (dati idonei a rivelare l’origine etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonchè dati personali idonei a rivelare lo stato di salute) e le operazioni eseguibili. In particolare, si evidenzia che, per la conduzione dell’ESS, riferita a tutti gli individui di eta' superiore ai 14 anni residenti in Italia, è prevista la raccolta dei dati presso gli interessati su base volontaria, con l’adozione di idonee cautele in caso di soggetti rispondenti minorenni. In ogni caso, i dati sono resi anonimi al termine del trattamento statistico (parere 26 luglio 2017, n. 341, doc. web n. 6819856).

Chiarimenti sono stati forniti al Dipartimento per gli affari regionali della Presidenza del Consiglio dei ministri in merito al trattamento di dati personali effettuato in materia di previdenza e assicurazioni sociali ai sensi dell’art. 9, d.P.R. 6 gennaio 1978, n. 58 (Norme di attuazione dello Statuto speciale della Regione Trentino-Alto Adige in materia di previdenza e assicurazioni sociali). In particolare, il Dipartimento aveva chiesto se le organizzazioni sindacali, in base alla normativa di attuazione vigente, potessero raccogliere le dichiarazioni di appartenenza al gruppo linguistico dei propri iscritti e trasmetterle al Consiglio provinciale di Bolzano nell’ambito del procedimento di competenza relativo all’accertamento della maggiore rappresentativita' della confederazione sindacale alla quale aderiscono le associazioni sindacali costituite tra lavoratori dipendenti appartenenti alle minoranze linguistiche tedesca e ladina. In relazione a tale problematica l’Autorita' ha osservato che il d.P.R. 26 luglio 1976, n. 752 (Norme di attuazione dello Statuto speciale della Regione Trentino-Alto Adige in materia di proporzione negli uffici statali siti nella provincia di Bolzano e di conoscenza delle due lingue nel pubblico impiego), oggetto di importanti modifiche dovute anche al mutato quadro normativo europeo e nazionale in materia di protezione dei dati personali, delinea uno specifico apparato di garanzie per il trattamento dei dati relativi all’appartenenza/aggregazione ai tre gruppi linguistici (italiano, tedesco e ladino) in Provincia di Bolzano, prevedendone l’uso in casi tassativamente individuati e disciplinando rigorosamente le modalita' di raccolta e di successivo trattamento delle dichiarazioni individuali nominative di appartenenza ai gruppi linguistici. In particolare, l’art. 20-ter, comma 3, dispone che il dichiarante produca la suddetta certificazione, in un plico chiuso, quando dichiara il possesso dei requisiti per accedere ai benefici previsti, il quale viene aperto solo nel momento dell’accertamento del possesso dei requisiti richiesti, facendo divieto di richiedere di produrre la certificazione in questione in casi e per finalita' diverse da quelli tassativamente previsti per legge.

Più in generale, con riferimento al trattamento dei dati sensibili, quali quelli relativi all’appartenenza/aggregazione ai menzionati gruppi linguistici in Provincia di Bolzano, è stato evidenziato che il trattamento di tale tipologia di informazioni da parte di soggetti pubblici è consentito dal Codice solo se autorizzato da espressa disposizione di legge che specifichi la tipologia dei dati e le finalita' perseguite. Nei casi in cui una disposizione di legge specifichi la finalita' di rilevante interesse pubblico, ma non i tipi di dati sensibili e di operazioni eseguibili, il trattamento è consentito solo in riferimento ai tipi di dati e di operazioni identificati e resi pubblici a cura dei soggetti che ne effettuano il trattamento, in relazione alle specifiche finalita' perseguite nei singoli casi, con atto di natura regolamentare adottato in conformita' al parere espresso dal Garante. Inoltre, il trattamento dei dati sensibili deve avvenire nel rispetto dei principi di cui all’art. 22 del Codice, ai sensi del quale, in particolare, ii soggetti pubblici conformano il trattamento dei dati sensibili e giudiziari secondo modalita' volte a prevenire violazioni dei diritti, delle liberta' fondamentali e della dignita' dell’interessato e possono trattare solo i dati sensibili e giudiziari indispensabili per svolgere attivita' istituzionali che non possono essere adempiute, caso per caso, mediante il trattamento dei dati anonimi o di dati personali di natura diversa, anche quando i dati sono raccolti nello svolgimento di compiti di vigilanza, di controllo o ispettivi. Specifica attenzione è prestata inoltre alla verifica dell’indispensabilita' dei dati sensibili e giudiziari riferiti a soggetti diversi da quelli cui si riferiscono direttamente le prestazioni o gli adempimenti.

Con riferimento alla questione sottoposta all’Autorita', è stato pertanto rappresentato che, alla luce del quadro normativo vigente – che richiede, in primis, l’individuazione puntuale in via legislativa dei trattamenti di dati relativi all’appartenenza/ aggregazione ai tre gruppi linguistici –, non è stata rinvenuta, allo stato, una base giuridica idonea a legittimare l’ipotizzato trattamento di dati personali da parte delle organizzazioni sindacali e del Consiglio provinciale.

Per quanto concerne, invece, un possibile intervento del legislatore sull’istituto del sindacato maggiormente rappresentativo di cui all’art. 9, d.P.R. n. 58/1978 (come auspicato dal Trga di Bolzano), si è sottolineata la necessita' che tale eventuale modifica avvenga nel rispetto dello specifico quadro di garanzie delineato dalla novellata disciplina di cui al citato d.P.R. n. 752/1976 e dalla normativa in materia di protezione dei dati personali.

Sul punto è stato evidenziato che anche il nuovo RGPD richiede l’adozione di idonee cautele per il trattamento di tale particolare categoria di dati personali, suscettibile di creare rischi significativi per i diritti e le liberta' fondamentali. Più specificamente, il trattamento di tali dati deve essere necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve risultare proporzionato alla finalita' perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato (art. 9, par. 2, lett. g ), e considerando 51 e 52) (nota 14 dicembre 2017).