Rapporto Stato-Regioni e normativa sulla Privacy
di Alberto Mascia (avvocato del Foro di Benevento - Studio Legale Mascia)
Nota a sentenza della Corte Costituzionale 7 luglio 2005, n. 271
Una recentissima statuizione della Corte Costituzionale è intervenuta sulla delicata questione della protezione dei dati personali, sul rispetto, quindi, che ad essi dovrebbe riconoscersi, vista l’ imperante lacuna di cultura nella difesa dei propri dati e dei diritti ad essi correlati, e considerato come gli stessi siano in balia di vicende sconcertanti ed indicative di un trend alquanto deficitario sotto il profilo del rispetto delle regole.
L’oggetto della decisione della Consulta è stato offerto da una legge della Regione Emilia-Romagna, segnatamente quella del 24 maggio 2004, n. 11 (Sviluppo regionale della società dell’ informazione), in relazione ai cui artt. 12, 13 e 14, è stata sollevata questione di legittimità costituzionale da parte della Presidenza del Consiglio dei Ministri, per il tramite dell’ Avvocatura dello Stato, affermando un suo contrasto in particolare con l’ art. 117 (sulla potestà legislativa), comma 2, lett. l), m) e r), e comma 6 (potestà regolamentare), nonché con la normativa nazionale (Codice sulla privacy) in materia di protezione dei dati personali.
Punto di partenza del ragionamento prospettato dalla Consulta, è stato l’ art. 12 della predetta legge, il quale, riportando le parole che essa Corte ha utilizzato nell’ esposizione dei fatti, «prevede che, ferma restando l’applicazione delle norme a tutela della privacy, «l’insieme delle informazioni acquisite o prodotte nell’esercizio di pubbliche funzioni» costituisce patrimonio comune per le attività istituzionali delle pubbliche amministrazioni e degli enti, o associazioni o soggetti privati che operano in ambito regionale per finalità di interesse pubblico, disponendo inoltre che questo patrimonio sia aperto al libero utilizzo di soggetti terzi, con forme e modalità di carattere tecnico disciplinate dalla Giunta regionale. La disposizione in esame prevede, inoltre, che con regolamento regionale sia disciplinata la cessione a privati ed enti pubblici economici dei dati costitutivi del patrimonio informativo pubblico, stabilendo altresì un obbligo sia delle pubbliche amministrazioni e degli enti pubblici, sia delle associazioni e dei soggetti privati che operano in ambito regionale per finalità di interesse pubblico, di «fornire la disponibilità dei dati contenuti nei propri sistemi informativi nei limiti previsti dal decreto legislativo n. 196 del 2003»».
Orbene, le considerazioni sollevate dall’ Avvocatura dello Stato, hanno evidenziato una serie di zone d’ombra che, in quanto tali, dovevano essere assoggettate al giudizio della Corte (puntualmente adita), e che possono essere suddivise nei seguenti passaggi.
In primo luogo, proprio con riferimento al citato art. 12, si è operato un suo collegamento con la normativa nazionale - prevista dal Codice sulla protezione dei dati personali (D.lgs n. 196/2003) -, in quanto vi era, a parere dell’Avvocatura, un richiamo (eccessivamente) generico alle disposizioni che in detto Codice sono contenute, nonché ai profili di tutela da esso stabiliti. A tal proposito, ci si è richiamati allo sviluppo della normativa in materia che, partendo dal contesto internazionale (sono state ricordate la Convenzione di Strasburgo n. 108 del 1981 (1) e la famosissima Direttiva n. 95/46/CE (2), dovrebbe essere uniforme sul territorio nazionale. Con ciò si è voluto sottolineare come, in materia di dati personali, vi sarebbe una competenza legislativa esclusiva statale, ex art. 117, comma 2, lett. l), m) e r) Cost. (3).
I parametri normativi di riferimento per fondare una violazione del Codice privacy, sarebbero forniti, a parere del ricorrente, dagli artt. 11 e 19.
L’ art. 11, dedicato alle Modalità del trattamento e requisiti dei dati, sancisce che i dati siano trattati "in modo lecito e secondo correttezza", che vengano "raccolti e registrati per scopi determinati, espliciti" e che siano "pertinenti e non eccedenti rispetto alle finalità per i quali sono raccolti o successivamente trattati’, precisandosi, altresì, che gli stessi siano ‘conservati per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti".
La successiva disposizione di cui all'art. 19, dall’ altro lato, dedicato ai Principi applicabili al trattamento di dati diversi da quelli sensibili e giudiziari, prevede al comma 3 che ‘la comunicazione da parte di un soggetto pubblico a privati o a enti pubblici economici e la diffusione da parte di un soggetto pubblico sono ammesse unicamente quanto sono previste da una norma di legge o di regolamento’. Con tali espressioni, secondo l’ Avvocatura, ci si doveva riferire a fonti di livello statale.
Un’ altra censura che è stata sollevata, ha riguardato il comma 6 dell’ art. 117 Cost., avente ad oggetto la potestà regolamentare che spetta allo Stato nelle materie di propria competenza legislativa esclusiva.
Stante il rilievo in virtù del quale la materia della protezione dei dati personali rientrerebbe nella competenza (legislativa) appunto esclusiva dello Stato, l’emanazione di un regolamento regionale, come previsto dal citato art. 12, sarebbe incostituzionale per contrasto con il suddetto comma 6.
Per quanto concerne, poi, l’ulteriore questione di legittimità costituzionale, sollevata in relazione agli artt. 13 (sul Sistema informativo regionale – S.I.R.) e 14 (sulla realizzazione di progetti, da parte della Regione, volti «all’accrescimento e alla valorizzazione del patrimonio pubblico di conoscenze»)(4) della richiamata Legge della Regione Emilia-Romagna, si è evidenziato, da parte del ricorrente, un contrasto con il citato comma 6, lett. r) dell’ art. 117 Cost., che prevede (“riserva”) in capo allo Stato la competenza in materia di coordinamento informativo dei dati dell’ amministrazione statale, regionale e locale.
Al riguardo, è stata evidenziata la differenza che vi sarebbe tra la normativa statale, con le sue condizioni e limiti, per quanto riguarda il sistema informativo e qualsiasi altro “sistema” che inciderebbe sul trattamento dei dati, il quale verrebbe a svolgersi con forme e modalità differenti, e pertanto insuscettibili di interscambio, al di fuori delle suddette condizioni e limiti. Pertanto, si è evidenziato che l’ interscambio di diversi sistemi informativi - previsto dalla legge regionale de qua - avverrebbe fuori dalle regole previste dal Codice privacy. È stato esaminato, inoltre, il particolare aspetto della collaborazione delle aziende sanitarie per le operazioni di immissione e trattamento dei dati in ambito regionale e locale, oltre a quelle sui flussi informativi, l’estrazione automatica da archivi e via dicendo, sottolineandosi come esse fossero previste in termini eccessivamente generici ed in modo indiscriminato.
La preoccupazione principale, manifestata dall’Avvocatura, ha riguardato l’assenza di una ‘particolare considerazione’ per il concetto di dati sensibili (5), evidenziandosi così una palese violazione degli artt. 20, 21 e 22 Codice privacy (6) «che ne consentono il trattamento solo se autorizzato da espressa disposizione di legge statale nella quale siano precisati i tipi di dati trattabili, le operazioni eseguibili e le specifiche finalità di rilevante interesse pubblico perseguite (….) e, per i soggetti pubblici, lo limitano ai dati indispensabili per svolgere le attività istituzionali».
In sede processuale, la Regione ha cercato di argomentare la propria ‘risposta’ partendo dalle contestazioni sollevate in relazione all’ art. 12 che vorrebbe - secondo quanto ritenuto dalla stessa - soltanto “agevolare la costituzione di un patrimonio informativo pubblico, rimuovendo gli ostacoli tecnici e giuridici alla condivisione delle informazioni fra pubbliche amministrazioni e fra i soggetti che ne abbiano diritto”, precisandosi, poi, che tutto ciò avveniva nel rispetto dei limiti derivanti dalla normativa sul trattamento dei dati personali. La Regione ha, altresì, specificato che l’interconnessione tra le banche dati non avrebbe comportato un’automatica condivisione di tutte le informazioni e una loro visibilità da parte di chiunque.
La Regione ha, inoltre, ritenuto che non vi sarebbe una violazione delle norme del Codice privacy, e dei suoi principi, perché il contestato art. 12 prevederebbe, al suo interno, il rispetto della normativa statale in modo espresso.
Sul versante, infine, della censura sollevata in relazione agli artt. 13 e 14, e sul mancato e lamentato riferimento alla categoria dei dati sensibili, la Regione ha evidenziato come tale mancanza si spiegherebbe con il fatto che le norme volevano solo definire cosa fosse il Sistema informativo regionale, senza che la condivisione dei flussi informativi volesse comportare l’ automatica condivisione delle informazioni detenute.
Sulla base di tale “quadro di riferimento”, la Corte Costituzionale è stata impegnata ad interpretare gli svariati riferimenti normativi richiamati in corso di causa, a precisare le proprie argomentazioni, e a studiare una linea che la potesse condurre ad una decisione il più possibile aderente alla realtà e ai principi in materia di trattamento dei dati personali.
Orbene, la Consulta ha preliminarmente ripercorso l’ evoluzione della normativa in materia di dati personali, giungendo ad affermare che essa rappresenterebbe una “disciplina che…..si caratterizza essenzialmente per il riconoscimento di una serie di diritti alle persone fisiche e giuridiche relativamente ai propri dati, diritti di cui sono regolate analiticamente caratteristiche, limiti, modalità di esercizio, garanzie, forme di tutela in sede amministrativa e giurisdizionale”.
Con riferimento al trattamento dei dati personali da parte di soggetti pubblici, la Corte ha richiamato l’art. 18, comma 3, Codice privacy, che prevede l’ osservanza di determinati presupposti e limiti (stabiliti dallo stesso), anche in relazione ai differenti tipi di dati, e a quanto previsto dalla legge e dai regolamenti.
Sulla base di tale primo tassello, quindi, si è dovuta rilevare, a giudizio della Corte, la presenza di un “corpo normativo riferibile, all’ interno delle materie legislative di cui all’ art. 117 Cost., alla categoria dell’ “ordinamento civile”, di cui alla lettera l) del secondo comma”, ricomprendendo, nella stessa disposizione, anche quelle tutele giurisdizionali delle situazioni soggettive del settore.
Si è ritenuto, invece, improprio il richiamo alla lettera m) del suddetto comma 2 dell’ art. 117 Cost., poiché “la legislazione sui dati personali non concerne prestazioni, bensì la stessa disciplina di una serie di diritti personali attribuiti ad ogni singolo interessato, consistenti nel potere di controllare le informazioni che lo riguardano e le modalità con cui viene effettuato il loro trattamento”.
Proseguendo nell’ esame della fattispecie posta alla sua attenzione, la Corte ha sottolineato che anche nell’ambito di una competenza legislativa esclusiva statale, sarebbe previsto un ruolo per i soggetti pubblici chiamati a trattare i dati, anche se soltanto di tipo integrativo, volto ad assicurare che i principi di tutela sanciti dalla legge fossero «garantiti nei diversi contesti legislativi ed istituzionali» (a tal proposito si sono richiamate le disposizioni degli artt. 19 e 20, comma 2). Pertanto, i giudici hanno affermato che «in questi ambiti possono quindi essere adottati anche leggi o regolamenti regionali, ma solo in quanto e nella misura in cui ciò sia appunto previsto dalla legislazione statale».
Ciò premesso, si è, però, rammentato che non volevasi negare al legislatore regionale, nelle materie attribuite sul versante legislativo alle Regioni, una competenza circa la disciplina di procedure o strutture organizzative che prevedessero il trattamento dei dati personali. Al contrario, le Regioni non soltanto sarebbero tenute a prevedere “l’ utilizzazione di molteplici categorie di dati personali da parte di soggetti pubblici e privati”, ma avrebbero la possibilità di agire per l’ organizzazione e disciplina, sempre a livello regionale, di “una rete informatica sulle realtà regionali, entro cui far confluire i diversi dati conoscitivi (personali e non personali) che sono nella disponibilità delle istituzioni regionali e locali o di altri soggetti interessati”.
Un siffatto riconoscimento, dovrebbe però comportare, dall’altro lato, un rispetto “degli eventuali livelli di riservatezza o di segreto, assoluti o relativi, che siano prescritti dalla legge statale in relazione ad alcune delle informazioni, nonché con i consensi necessari da parte delle diverse realtà istituzionali o sociali coinvolte”.
Va, altresì, rilevato come la Corte abbia ritenuto non preclusiva la titolarità esclusiva del legislatore statale, nella materia di cui all’ art. 117, comma 2, lett. r), segnatamente in tema di “coordinamento informativo statistico e informatico dei dati dall’ amministrazione statale, regionale e locale”, perché si tratterebbe di un potere di coordinamento, in mancanza del cui esercizio non si precluderebbero «autonome iniziative delle Regioni aventi ad oggetto la naturale ed efficace organizzazione delle basi di dati che sono nella loro disponibilità ad anche il loro coordinamento paritario con le analoghe strutture degli altri enti pubblici o privati operanti sul territorio».
Pertanto, per i motivi innanzi esposti, si è arrivata alla declaratoria di illegittimità costituzionale dell’ art. 12 Legge Regione Emilia-Romagna, che nel concreto comporterebbe differenti violazioni alla normativa statale sulla protezione dei dati personali, poichè pur richiamando la ‘formula’ del rispetto ‘delle norme a tutela della privacy e delle forme di segreto’, darebbe vita a un richiamo solo ‘letterale’ e non sostanziale.
La Corte, a tal proposito, ha precisato che il primo comma di questa disposizione, provvede a disciplinare, mediante regolamento regionale, la “cessione dei dati costitutivi del patrimonio informativo pubblico a privati ed enti pubblici economici”. L’ utilizzo di una espressione così generica, e cioè tale da non consentire un’ esatta individuazione dei dati personali, ma anzi da poter essere ricollegata a qualsiasi tipologia, non è stata di buon occhio.
Un altro appunto che la Corte ha voluto sollevare, è quello relativo alla ‘cessione’ che di per sé non viene definita, né compresa nel quadro normativo offerto dal Codice privacy, e, anche volendola riferire al concetto di ‘comunicazione’ di dati da parte di un soggetto pubblico a soggetti privati o enti pubblici economici, la «disposizione contrasterebbe comunque con la normativa statale, poiché l’art. 19, comma 3, del d.lgs. n. 196 del 2003 disciplina la sola comunicazione dei dati personali diversi da quelli sensibili e giudiziari, mentre gli artt. 20, 21 e 22 del medesimo testo normativo disciplinano in termini molto restrittivi il trattamento dei dati sensibili e di quelli giudiziari».
Una seconda considerazione ha riguardato il 2° comma dell’ art. 12, che richiama – ancora - il rispetto della disciplina vigente in materia di protezione dei dati personali, prevedendo, però, che vi sia soltanto il limite di cui all’ art. 18 (principi applicabili a tutti i trattamenti effettuati da soggetti pubblici) del Codice privacy, in caso di Regioni o enti regionali che volessero rendere disponibili i «dati contenuti nei propri sistemi informativi», senza considerare che vi sarebbero diversi altri limiti previsti in materia di trattamento dei dati personali effettuato da soggetti pubblici (vedasi al riguardo l’ intero Capo II, Titolo III).
Una terza valutazione fatta dalla Corte, ha preso come riferimento l’ obbligo – sempre sancito dal richiamato 2° comma – per «le associazioni e i soggetti privati che operano in ambito regionale per finalità di interesse pubblico» di fornire «la disponibilità dei dati contenuti nei propri sistemi informativi», prevedendo un confine entro cui muoversi e cioè «nei limiti previsti dal decreto legislativo n. 196 del 2003».
Orbene, la Consulta ha evidenziato come un siffatto obbligo non fosse sancito nel Codice privacy, ragion per cui assumerebbe rilevanza preminente la volontà dell’ interessato sul trattamento dei suoi dati personali, nonché la determinatezza degli scopi in base ai quali i dati verrebbero raccolti e utilizzati. La previsione di una informativa all’ interessato e di uno specifico consenso – ove sia richiesto dalla legge -, entrambi requisiti previsti dal citato art. 12, comma 2, non potrebbero rilevare nella fattispecie de qua, perché siffatti istituti, la Corte lo ha sottolineato, «sono configurati dalla legislazione statale come preliminari, e comunque sempre obbligatori al trattamento da parte dei privati o di enti pubblici economici (cfr. art. 13 e 23 del d.lgs. n. 196 del 2003)».
Sul differente ambito degli artt. 13 e 14 della legge regionale in esame, la Corte ha ritenuto che non avrebbe rilevanza l’ affermazione, da parte dell’ Avvocatura, circa la competenza legislativa esclusiva statale in materia di “coordinamento informativo statistico e informatico dei dati dell’ amministrazione statale, regionale e locale”, evidenziando, invece, il mancato riferimento, nell’ art. 13, di una pur minima indicazione espressa al «doveroso rispetto della normativa a tutela dei dati personali».
Il significato di tale mancanza è stato ribadito, allorchè si è esplicitato che l’ art. 13 «configura un vero e proprio sistema informativo regionale, nel quale confluiscono molteplici dati anche personali, sia ordinari che sensibili, provenienti da diverse pubbliche amministrazioni», i quali dati potrebbero essere oggetto di utilizzo soltanto con il rispetto di tutte quelle garanzie e limiti previsti dalla normativa nazionale.
Il mancato richiamo di tali elementi – come secondo la Corte è avvenuto nella fattispecie de qua -, porterebbe ad utilizzare i dati personali nell’ ambito del Sistema informativo regionale (S.I.R.) e determinerebbe l’ illegittimità costituzionale della norma, nella parte in cui non effettua un richiamo espresso al rispetto della disciplina statale in materia di protection data.
Una tale declaratoria parziale di illegittimità, a parere della Corte, non si rifletterebbe sul successivo art. 14, che sarebbe meramente attuativo dell’ art. 13, provvedendo a definire semplicemente alcune modalità di funzionamento del predetto S.I.R..
Note
(1) Conv. Strasburgo 28 gennaio 1981, n. 108, ratificata con Legge 21 febbraio 1989, n. 98 (Ratifica ed esecuzione della Convenzione n. 108 sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale adottata a Strasburgo il 28 gennaio 1981).
(2) Direttiva n. 95/46/CE del 24 ottobre 1995 (Direttiva del Parlamento europeo e del Consiglio relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati).
(3) Il riferimento riportato nel testo all’ art. 117, comma 2, Cost., si riferisce alle materie di competenza legislativa esclusiva spettante allo Stato, tra cui appunto ‘ordinamento civile’ ex lett. l), ‘determinazione dei livelli essenziali delle prestazioni concernenti i diritti civili e sociali che devono essere garantiti su tutto il territorio nazionale’ ex lett. m), e infine ‘coordinamento informatico statistico e informatico dei dati dell’ amministrazione statale, regionale e locale’ di cui alla lett.. r).
(4) Con riferimento specifico all’ art. 14, riguardante la realizzazione di supporti e procedure informatiche, si è sottolineato come esso richiami l’ accordo stipulato – il 22 febbraio 2001, con durata triennale – tra il Ministero della sanità, le Regioni e le Province autonome, al fine di sviluppare il nuovo sistema informativo sanitario nazionale, e si è osservato che i requisiti indicati all’ art. 3 del predetto accordo, non potrebbero che essere quelli previsti dallo Stato (ex legge cost. 2001 n. 3) e che sempre lo Stato dovrebbe definire il quadro normativo cui si riferisce l’ art. 4 dell’ accordo stesso.
(6) Per dati sensibili, ai sensi dell’ art. 4, comma 1, lett. d), si intendono ‘i dati personali idonei a rilevare l’ origine razziale ed etnica, le convinzioni religiose, filosofiche o di latro genere, le opinioni politiche, l’ adesione a partiti politici, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati idonei a rilevare lo stato di salute e la vita sessuale’.
(7) Le richiamate disposizioni sono l’ art. 20 (Principi applicabili al trattamento di dati sensibili), art. 21 (Principi applicabili al trattamento di dati giudiziari) e l’ art. 22 (Principi applicabili al trattamento di dati sensibili e giudiziari), per il cui esame più approfondito, si rinvia alla lettura dell’ intero contenuto.
Inserito il 12/07/2005 | E-Privacy