Garante per la protezione
    dei dati personali


L'istituzione di una banca dati regionale per il perseguimento di diverse finalità istituzionali, deve tener conto delle disposizioni e dei principi di cui alla legge n. 675/1996.

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, con la partecipazione del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice-presidente, del prof. Ugo De Siervo e dell'ing. Claudio Manganelli, componenti e del dott. Giovanni Buttarelli, segretario generale;

Visto il proprio provvedimento del 26 maggio 2000, riguardante l'istituzione presso la Regione Friuli-Venezia Giulia di una banca dati avente diverse finalità istituzionali;

Considerato che con tale provvedimento il Garante ha invitato la Regione, ai sensi degli articoli 32, comma 1 e 39, comma 1, della legge n. 675/1996 a far pervenire al Garante, entro e non oltre il 30 giugno 2000, ogni informazione utile circa le iniziative intraprese per adempiere a quanto in esso indicato;

Vista la nota della Regione Friuli-Venezia Giulia del 28 giugno 2000;

Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000 adottato con deliberazione n. 15 del 28 giugno 2000 e pubblicato sulla Gazzetta Ufficiale della Repubblica italiana n. 162 del 13 luglio 2000;

Relatore il prof. Ugo De Siervo;

OSSERVA:

La Regione Friuli-Venezia Giulia ha fornito un riscontro alle osservazioni formulate dal Garante con il provvedimento del 26 maggio 2000, esprimendo alcune considerazioni sulle disposizioni contenute nella legge regionale 8 maggio 2000, n. 11, istitutiva di una banca dati avente diverse finalità, nonché in ordine alle misure di attuazione che la Regione si appresta ad adottare.

La Regione ha dichiarato che presterà particolare attenzione alle problematiche segnalate dal Garante ed ha manifestato la volontà di attuare la predetta normativa in un quadro di pieno rispetto dei principi in materia di riservatezza e di trattamento dei dati personali.

Pur dandosi atto di tale disponibilità, l'esame degli elementi forniti dalla Regione rende necessario ribadire alcune osservazioni già contenute nel citato provvedimento di questa Autorità.

Seguendo l'ordine dei punti indicati nella nota della Regione, va osservato, in particolare, quanto segue.

A) punti 1 e 2 della nota.

Restano ferme le perplessità circa l'imperfetta riformulazione dell'art. 7, comma 2, della legge n. 47/1996 nella parte in cui ha previsto il "diretto prelevamento dei dati dagli archivi informatici comunali da parte dell'Amministrazione regionale", benché la Regione abbia precisato che con tale disposizione non intendeva realizzare un'ingerenza nella gestione degli archivi anagrafici comunali, ma solamente una "mera modalità di assolvimento dell'obbligo posto ai Comuni…..di trasmissione e aggiornamento dei dati anagrafici".

È pertanto necessario che la Regione, che ha già manifestato una disponibilità in tal senso, preveda un correttivo alla norma, in sede attuativa, regolando nella deliberazione della Giunta il ricorso a tecniche informatiche e telematiche che agevolino i flussi di dati, ma in piena conformità ai limiti e alle modalità consentite dal regolamento anagrafico (ad esempio, prevedendo meccanismi agili di richiesta di dati agli ufficiali d'anagrafe).

Per quanto riguarda poi le finalità della banca dati, si prende atto dell'impegno della Regione ad utilizzare i dati anagrafici indicati nell'allegato b), punto 2) della legge regionale solo per finalità di riduzione di prezzi per l'acquisto di benzina, anziché per le altre finalità istituzionali indicate nel comma 1 del citato art. 7. Si prega tuttavia di menzionare, anche in questo caso, tale modalità di attuazione nella prevista deliberazione di Giunta.

B) punto 3 della nota.

Per quanto riguarda l'istituenda Carta del cittadino per la fruizione di servizi in vari settori, il Garante, nel richiamare ulteriormente l'attenzione sulla necessità che il progetto tenga conto delle disposizioni vigenti in materia di documenti di identità elettronici, precisa che, salvo quanto previsto dalla normativa in tema di carta d'identità elettronica per i dati di carattere sanitario, i soggetti pubblici, ove operino nei limiti previsti dalle finalità istituzionali (art. 27 legge n. 675), non devono richiedere "autorizzazioni" al cittadino per il trattamento dei suoi dati personali, dovendo, piuttosto, informarli ai sensi dell'art. 10 della legge n. 675/1996.

Qualora invece la Regione intenda acquisire una "autorizzazione" o "delega" da parte dell'interessato a trattare dati per altre finalità, non istituzionali, connesse ad esempio al c.d. borsellino elettronico, l'ipotesi andrebbe semmai opportunamente disciplinata nei regolamenti ipotizzati da codesto Ente, anche per quanto riguarda la conseguente integrazione da apportare, in proposito, alla predetta informativa.

C) punto 4 della nota.

Per quanto riguarda, infine, le osservazioni svolte circa il previsto accesso, costante e indiscriminato, di privati a tutte le informazioni non sensibili contenute nella banca dati (art. 7, comma 3-septies, l. n. 47, introdotto dalla legge n. 11/2000), il Garante, nel richiamare quanto appena osservato al punto precedente, precisa nuovamente che tale accesso è precluso in radice e non può essere disposto dall'ente pubblico chiedendo il consenso degli interessati alla comunicazione dei propri dati personali. Si rimarca, inoltre, l'esigenza che la Giunta, in sede di attuazione della legge, fissi modalità di applicazione della norma in modo da rispettare pienamente le disposizioni del regolamento anagrafico che prevedono la comunicazione (anziché la diffusione) dei dati anagrafici solo ad amministrazioni pubbliche per fini di pubblica utilità e non anche a privati (art. 34, d.P.R. n. 223/1989).

TUTTO CIÒ PREMESSO, IL GARANTE:

a) segnala alla Regione Friuli-Venezia Giulia, ai sensi dell'art. 31, comma 1, lett. c) della legge n. 675/1996, la necessità di conformare i trattamenti di dati personali cui si riferisce il presente provvedimento ai principi sopra enunciati, nonché a quelli già contenuti nel provvedimento del 26 maggio 2000;

b) invita la Regione Friuli-Venezia Giulia a sottoporre preventivamente al parere di questa Autorità gli schemi dei regolamenti e degli atti amministrativi concernenti i trattamenti di dati personali cui si riferisce il presente provvedimento, da adottare in attuazione delle disposizioni della legge regionale 8 maggio 2000, n. 11;

c) dispone che copia del presente provvedimento sia inviata al Ministro dell'interno, al Ministro per i rapporti con il Parlamento, al Ministro per la funzione pubblica, al Ministro per gli affari regionali e al Commissario per la regione Friuli - Venezia Giulia.

Roma, lì 5 dicembre 2000            

IL PRESIDENTE
(Rodotà)
IL RELATORE
(De Siervo)
IL SEGRETARIO GENERALE
(Buttarelli)