Garante per la protezione
    dei dati personali

Newsletter

PROTEZIONE DEI DATI PERSONALI E LEGGI REGIONALI

Il diritto alla tutela della privacy non è regolabile con norme regionali ed è di esclusiva competenza statale

Il diritto alla protezione dei dati personali è un diritto fondamentale garantito dalla Costituzione e di esclusiva competenza legislativa dello Stato. Non è, dunque, regolabile con norme regionali.

Il principio è stato ribadito dall’Autorità in un parere richiesto dalla Presidenza del Consiglio dei Ministri, Dipartimento per gli affari regionali, con il quale ha formulato una serie di rilievi riguardo alla legge regionale n.11/2004 dell’Emilia Romagna, recentemente approvata. La legge regionale prevede l’utilizzo integrato delle basi di dati esistenti attraverso la collaborazione con le altre pubbliche amministrazioni e la possibilità sia di accesso che di cessione dei dati a privati e ad enti pubblici economici.

I rilievi del Garante sono stati fatti propri dal Governo e il Consiglio dei ministri ha deciso di impugnare la legge davanti alla Corte Costituzionale.

Secondo il Garante, la legge regionale approvata solleva sia questioni di legittimità costituzionale, in merito ai profili attinenti alla potestà legislativa esclusiva dello Stato in materia di protezione dei dati, sia aspetti in contrasto con i principi fondamentali del Codice in materia di protezione di dati personali (decreto legislativo n.196/2003).

Sul primo punto il Garante ha rilevato che il diritto alla protezione dei dati personali è un diritto fondamentale garantito dall’art. 2 della Costituzione e, dunque, di esclusiva competenza legislativa dello Stato, che ha regolato la materia con la legge n.675/1996 e successivi decreti attuativi, oggi in buona parte confluiti nel Codice. Le norme statali sulla privacy rappresentano l’esclusiva fonte di disciplina sostanziale di diritti e garanzie e, conseguentemente dei flussi dei dati. In questo senso non risultava fondata la tesi, sostanzialmente formulata nella legge regionale, che il Codice conterrebbe solo "principi fondamentali o livelli di tutela" sui quali si potrebbe innestare una disciplina concorrente o integrativa regionale.

L’incompetenza regionale a regolamentare tale materia è peraltro desumibile - ha osservato il Garante - anche dalla consultazione obbligatoria del Garante da parte del Presidente del Consiglio e di ciascun Ministro in caso di predisposizione di norme regolamentari e atti amministrativi che incidono sulla protezione dei dati. Non a caso, tale consultazione non è richiesta, invece, per progetti di legge e regolamenti regionali in materia.

Il Garante ha messo in rilievo anche una serie di aspetti sostanziali relativi alla generalizzata interconnessione di archivi e ai flussi di dati.

In primo luogo, la legge regionale prevede, sulla base dell’interscambio di dati, la produzione di una condivisione indistinta delle informazioni pubbliche tra le varie amministrazioni, con un riferimento solo generico alle loro funzioni istituzionali. Il Codice della privacy prevede, invece, che i diversi soggetti pubblici possano trattare dati personali solo per lo svolgimento delle loro specifiche funzioni istituzionali. Inoltre essi devono rispettare il principio di necessità, riducendo cioè al minimo l’utilizzazione di dati personali ed identificativi quando le finalità perseguite possono essere altrimenti raggiunte. La possibilità, prevista con l’approvazione di un successivo regolamento, di rendere peraltro disponibile anche a terzi (privati ed enti pubblici economici) questo patrimonio informativo, non sembra coerente con la normativa vigente che stabilisce la predisposizione di specifiche garanzie legislative statali per tutelare i cittadini, riconoscendo ad essi, ad esempio, il diritto di opporsi a tale cessione. In altre parole, i cittadini devono essere adeguatamente, e previamente, informati sul cambio di finalità nell’uso dei dati da essi ceduti a seguito delle interconnessioni ed interscambi che la nuova banca dati produrrebbe.

L’Autorità ha, infine, evidenziato la necessità di adottare idonee misure di sicurezza per garantire l’adeguata protezione ai dati che da trattare.