Garante per la protezione
    dei dati personali


I comuni, come gli altri soggetti pubblici non economici, possono trattare i dati personali senza richiedere il consenso degli interessati, verificando, tuttavia che i singoli trattamenti e le categorie di dati siano riconducibili alle proprie finalità istituzionali (art. 27 comma 1 della legge n. 675/1996). Il consenso degli interessati non deve essere richiesto neanche per la comunicazione e la diffusione dei dati, qualora queste siano previste espressamente da una norma di legge o di regolamento, in via residuale, quando siano necessarie per lo svolgimento di funzioni istituzionali.

Roma, lì 13 marzo 1998                

Comune di S. Michele Mondovì (CN)                

Associazione dei Piccoli Comuni                
della Provincia di Cuneo                
c/o                
Municipio di Marsaglia                
12060 Marsaglia(CN)                

OGGETTO: quesiti in ordine alla legge n. 675/1996.

Codesto Comune ha posto alcuni quesiti in ordine alla legge 675/1996 e alle funzioni degli enti locali territoriali, che sono stati fatti propri dall'Associazione dei piccoli comuni della Provincia di Cuneo.

Le richieste di chiarimento riguardano la necessità o meno per i comuni di acquisire il consenso degli interessati, di chiedere 1'autorizzazione del Garante e di notificare i trattamenti di dati personali relativi, ad esempio, alle concessioni edilizie, agli elenchi di iscritti nei ruoli tributi, agli utenti dei servizi comunali e agli stranieri.

Al riguardo, si osserva che la disciplina di riferimento per il trattamento dei dati personali da parte dei soggetti pubblici è contenuta nell'art. 27 della legge n. 675/1996, il quale consente a tali soggetti di compiere le operazioni di trattamento solo per lo svolgimento delle funzioni istituzionali, nei limiti stabiliti dalla legge e dai regolamenti (27, comma 1).

A differenza dei privati e degli enti pubblici economici (ai quali si applica invece l'art. 11 della predetta legge), i comuni, come gli altri soggetti pubblici (pubbliche amministrazioni, enti pubblici non economici, università, ecc.), non devono quindi richiedere il consenso degli interessati per poter trattare dati personali, ma devono verificare soltanto che i singoli trattamenti e categorie di dati siano riconducibili nella sfera delle proprie finalità istituzionali e siano posti in essere rispettando gli eventuali limiti previsti dalle normative di riferimento o da disposizioni speciali.

La legge n. 675/1996 prevede inoltre una disciplina particolare per le specifiche operazioni di comunicazione e di diffusione dei dati personali da parte dei soggetti pubblici, che esclude anche in questo caso la necessità di raccogliere il consenso degli interessati.

In base a questa disciplina, i comuni devono verificare che la comunicazione dei dati sia prevista espressamente da una norma di legge o di regolamento. Tuttavia, la divulgazione dei dati ad altri soggetti pubblici è ammessa, in via residuale, anche in assenza di una puntuale disposizione normativa, quando sia necessaria per lo svolgimento delle funzioni istituzionali delle amministrazioni interessate (in quest'ultimo caso, occorre però inviare una tantum un'apposita comunicazione al Garante: art. 27, comma 2).

Resta invece fermo per i comuni l'obbligo di fornire le informazioni previste dall'art.10 della citata legge ai soggetti ai quali i dati si riferiscono. Tali informazioni devono essere rese agli interessati in via preventiva se i dati sono forniti direttamente da loro. Qualora i dati non siano raccolti dalla persona alla quale si riferiscono, ma presso terzi, le predette informazioni possono essere fornite all'interessato al momento della registrazione o, se prevista, della prima comunicazione dei dati (art.10 commi 1 e 3). Tuttavia, in quest'ultimo caso, le informazioni non sono necessarie se il trattamento dei dati acquisiti presso terzi è effettuato in base ad un obbligo previsto da disposizioni normative (art.10, comma 4).

L'informativa di cui al citato art. 10 può essere fornita oralmente o per iscritto, e può non contenere gli elementi già conosciuti dalla persona che fornisce i dati. A questo proposito, questa Autorità suggerisce ai comuni di adottare modalità semplificate di informazione dei cittadini, specie quando il trattamento dei dati sia effettuato in base ad obblighi di legge o di regolamento (predisponendo, ad esempio, modelli esplicativi in forma sintetica, da consegnare direttamente agli interessati ed eventualmente anche da affiggere negli uffici comunali).

Occorre inoltre evidenziare che alcune fra le ipotesi segnalate da codesto comune possono riguardare dati aventi natura sensibile, ai sensi dell'art. 22 legge n. 675/1996 (si pensi, ad esempio, agli elenchi di cittadini stranieri o a quelli contenenti notizie sullo stato di salute delle persone assistite dall'amministrazione comunale).

Anche per il trattamento di questi dati, la legge n. 675/1996 ha previsto un regime diversificato rispetto ai soggetti privati, in base al quale le pubbliche amministrazioni (e quindi i comuni) non devono richiedere né il consenso scritto degli interessati né l'autorizzazione preventiva del Garante.

Ai sensi dell'art. 22, comma 3, della medesima legge, il trattamento dei dati sensibili da parte di soggetti pubblici è consentito, però, solo se è autorizzato da un'espressa disposizione di legge, nella quale siano specificati i dati che possono essere trattati, le operazioni eseguibili e le rilevanti finalità di interesse pubblico perseguite.

Poiché molti trattamenti di dati sensibili già in essere presso le amministrazioni pubbliche non sono effettuati sulla base di norme puntuali e pienamente rispondenti ai requisiti previsti dal citato art. 22, comma 3, il legislatore ha dettato una disciplina transitoria per permettere all'ordinamento giuridico di adeguarsi ai principi sulla protezione dei dati personali, anche attraverso la decretazione delegata di cui alla legge n. 676/1996.

Ai sensi dell'art. 41, comma 5, della legge n. 675/1996, i soggetti pubblici, previa comunicazione al Garante, possono quindi continuare a trattare i dati sensibili anche in assenza di una espressa disposizione di legge, fino al 7 maggio 1998, data entro la quale dovranno essere emanate le predette norme integrative in materia di dati sensibili.

Per quanto concerne, infine, l'obbligo della notificazione di cui all'art.7 della legge n. 675/1996, si fa presente che una larga parte dei trattamenti effettuati dai comuni rientra nei casi di esonero previsti dal medesimo art. 7, comma 5-ter. Si allega, ad ogni buon fine, una copia, su supporto informatico, del modello predisposto dal Garante (che è altresì disponibile presso tutti gli uffici postali), il quale indica anche i casi nei quali si può omettere la notificazione o effettuarla in forma semplificata.

IL PRESIDENTE