Stampa documento Stampa Invia una e-mail al CNI bancadati@cni-online.it
Rif. DV08516
Documento 17/12/2003 CIRCOLARE - XVI SESSIONE
Fonte CNI
Tipo Documento CIRCOLARE
Numero 328
Data 17/12/2003
Riferimento Protocollo CNI n. 12779 del 17/12/2003
Note
Allegati

lg08394

Titolo DECRETO LEGISLATIVO 30 GIUGNO 2003 N. 196 - ' CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI ' - INDICAZIONI PER GLI ORDINI PROVINCIALI IN VISTA DELL'ENTRATA IN VIGORE IL 1 GENNAIO 2004
Testo
Con la presente si rende noto che sul s.o. alla G.U. n. 174 del 29/07/2003 è stato pubblicato il decreto legislativo 30 giugno 2003 n. 196, "Codice in materia di protezione dei dati personali", contenente una serie di disposizioni di interesse per le pubbliche amministrazioni in generale e per gli Ordini provinciali in particolare.


Il decreto legislativo in questione, all’art. 186, prevede che "le disposizioni di cui al presente codice entrano in vigore il 1 gennaio 2004", per cui si ritiene opportuno ed utile in questa sede operare un riepilogo ed una ricognizione delle previsioni più rilevanti e incidenti sull’attività quotidiana dei Consigli degli Ordini, in vista della sua prossima entrata in vigore.


Ovviamente la natura della presente nota comporterà uno sforzo di sintesi, pur nella inevitabile complessità e ampiezza della materia trattata.


Il Codice relativo alla protezione dei dati personali si compone di 186 articoli più allegati ed è composto di tre parti (Parte I: disposizioni generali; Parte II: disposizioni relative a specifici settori; Parte III: tutela dell’interessato e sanzioni), a loro volta suddivise in titoli e poi in capi.


Esso, da un lato, assolve ad esigenze di razionalizzazione e semplificazione, raccogliendo in unico corpus le precedenti separate normative in tema di privacy, dall’altro contiene alcune previsioni innovative, frutto dell’elaborazione giurisprudenziale o dell’attività del Garante della privacy, non espressamente normate in precedenza.


Dalla data di entrata in vigore del Codice, pertanto, saranno abrogate, tra l’altro, la legge 31/12/1996 n. 675 e il DPR 28/07/1999 n. 318, sulle misure minime di sicurezza.


Il Codice della privacy regolamenta quindi una vasta serie di settori coinvolgenti ambiti assai diversificati: si va dalla enunciazione dei diritti spettanti al singolo in relazione ai suoi dati personali all’informatica giuridica, dal trattamento dei dati in ambito sanitario alle comunicazioni elettroniche.




LE REGOLE PRINCIPALI PER I SOGGETTI PUBBLICI



Numerose sono le disposizioni riguardanti i soggetti pubblici (e quindi anche gli Ordini professionali).


In primo luogo è esplicitamente previsto che il trattamento dei dati personali da parte delle amministrazioni pubbliche " è consentito soltanto per lo svolgimento delle funzioni istituzionali" (art. 18, secondo comma, d. lgs. cit.), cui si accompagna il principio che per i soggetti pubblici la raccolta ed il trattamento dei dati diversi da quelli sensibili e giudiziari non necessita di una espressa autorizzazione legislativa o regolamentare (art. 19, primo comma).


Riguardo il diverso aspetto della comunicazione di tali dati a terzi da parte dell’ente pubblico che li possiede, la soluzione è diversa a seconda della natura dei destinatari: se la comunicazione è rivolta ad altri soggetti pubblici, essa è consentita quando è prevista da norme di legge o di regolamento o quando è comunque necessaria per lo svolgimento di funzioni istituzionali; se la comunicazione è rivolta a privati o ad enti pubblici economici è ammessa unicamente quando prevista da una norma di legge o di regolamento (art. 19, commi 2 e 3).


Per il trattamento dei dati sensibili e giudiziari si rinvia alla lettura degli artt. 20, 21 e 22 del decreto, rammentando che per dati sensibili - ai sensi dell’art. 4, primo comma, lettera d) - si intendono i dati personali idonei a rivelare l’origine razziale ed etnica, le opinioni politiche e religiose, l’adesione a sindacati e i dati personali idonei a rivelare lo stato di salute e la vita sessuale.


In via generale, inoltre, per i soggetti pubblici non vi è l’obbligo di richiedere il consenso dell’interessato per il trattamento dei dati personali.


Ciò non toglie che anche le pubbliche amministrazioni debbano rispettare le regole generali per il trattamento dei dati contenute agli artt. 11 e ss. del decreto e quindi, ad es., conservare i dati in maniera corretta, assicurandone l’aggiornamento e la non eccedenza rispetto agli scopi consentiti.


E’ da ricordare, inoltre, che chi cagiona danni ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell’art. 2050 del codice civile (art. 15).




GLI ADEMPIMENTI ORGANIZZATIVI E LE MISURE DI SICUREZZA



Gli artt. 28 e ss si occupano del titolare del trattamento, del responsabile del trattamento, delle misure di sicurezza e dell’obbligo di notificazione.


Ai fini della normativa, per "Titolare del trattamento" dei dati si intende l’entità amministrativa nel suo complesso o il soggetto che esercita un potere decisionale del tutto autonomo sul trattamento dei dati.


Dalla definizione legale deriva che per gli Ordini provinciali il titolare del trattamento è colui che ha la rappresentanza legale dell’ente e quindi il Presidente dell’Ordine.


L’ente pubblico ha poi la facoltà di designare o meno un ulteriore soggetto, denominato "Responsabile del trattamento" (art. 29).


Il Responsabile del trattamento (possono essere anche più di uno) è una persona che viene per iscritto incaricata, a causa delle sue capacità e mansioni, di occuparsi di tutte le attività e le misure organizzative previste per il trattamento dei dati personali all’interno dell’ente.


Gli "incaricati del trattamento" (art. 30) sono invece i dipendenti dell’ente che svolgono nel concreto le operazioni di trattamento, in osservanza delle direttive ricevute.


Per le misure di sicurezza che devono circondare l’utilizzo e la conservazione dei dati personali (artt. 31 e ss.) il decreto legislativo opera una distinzione a seconda che il trattamento avvenga con o senza l’ausilio di strumenti elettronici (artt. 34 e 35).


E’ bene qui sottolineare che il Codice della privacy impone l’osservanza e la messa in opera delle procedure e delle misure minime sulla sicurezza a chiunque realizzi un trattamento di dati personali con o senza strumenti elettronici (ad esempio con il protocollo informatico).


Ne deriva che anche gli Ordini provinciali sono tenuti per legge a rispettare ed assolvere - organizzandosi di conseguenza - le prescrizioni di cui agli articoli 34 e 35 e all’allegato B del decreto legislativo 196/2003 (che occorre quindi leggere con attenzione).


L’art. 180 prevede inoltre che le misure di sicurezza di cui agli artt. 33 - 35 e all’allegato B, che non erano presenti nel DPR 28/07/1999 n. 318, devono essere adottate entro il 30 giugno 2004.


Il terzo comma dello stesso articolo - venendo incontro alle comprensibili difficoltà sul punto - concede un termine ulteriore massimo di un anno dall’entrata in vigore del Codice per mettersi in regola, in caso di insufficienza degli strumenti elettronici a disposizione.


Sulla notificazione del trattamento e sugli obblighi di comunicazione - che di regola non riguardano gli Ordini, in quanto richiesti solo in casi particolari - si rinvia alla lettura degli articoli 37, 38 e 39 del Codice.




L’ACCESSO AI DOCUMENTI



L’art. 59 del Codice - occupandosi della problematica del rapporto tra richieste di accesso alla documentazione ed esigenze di riservatezza - dispone che le modalità, i limiti e la tutela giurisdizionale per l’esercizio del diritto di accesso ai documenti amministrativi contenenti dati personali restano regolati dalla legge 07/08/1990 n. 241, chiarendo quindi come pur dopo l’entrata in vigore della normativa sulla privacy tale assetto non è mutato.


Nel caso particolare in cui il trattamento concerne dati idonei a rivelare lo stato di salute o la vita sessuale è invece previsto che esso è consentito soltanto in tre ipotesi: a) se la situazione che si intende tutelare con la richiesta di accesso è di rango almeno pari ai diritti dell’interessato, b) se la situazione che si intende tutelare consiste in un diritto della personalità, c) se la situazione che si intende tutelare consiste in un diritto o in una libertà fondamentale e inviolabile (art. 60).




ALBI PROFESSIONALI E PROVVEDIMENTI DISCIPLINARI



Di rilevante interesse per gli Ordini provinciali sono le previsioni contenute nell’art. 61 del Codice.
Tale disposizione da un lato stabilisce che possono essere comunicati a soggetti pubblici o privati e diffusi via Internet da parte degli Ordini i dati personali degli iscritti, diversi da quelli sensibili e giudiziari, quando sono inseriti nell’albo professionale in forza della legge o di un regolamento.


Dall’altro lato, che da parte dei Consigli degli Ordini "può essere altresì menzionata l’esistenza di provvedimenti che dispongono la sospensione o che incidono sull’esercizio della professione".


E’ ora espressamente ribadito quindi che è possibile e legittimo, per gli Ordini, riportare sull’albo o sui propri notiziari l’esistenza di provvedimenti disciplinari di sospensione o che incidono sull’esercizio della professione, come già affermato in precedenza dal Garante per la protezione dei dati personali.


E’ poi previsto che, su richiesta dell’interessato, è possibile per l’Ordine o Collegio professionale menzionare ulteriori dati "pertinenti e non eccedenti" sull’esercizio della professione (comma 3 dell’art. 61).


L’Ordine provinciale, a richiesta dell’interessato, può inoltre fornire a terzi "notizie e informazioni relative, in particolare, a speciali qualificazioni professionali non menzionate nell’albo, ovvero alla disponibilità ad assumere incarichi o a ricevere materiale informativo a carattere scientifico inerente anche a convegni o seminari" (comma 4 dell’art. 61).


Riguardo il trattamento dei dati personali "effettuato per finalità previdenziali o per la gestione del rapporto di lavoro" da parte dell’Ordine - datore di lavoro rispetto ai propri dipendenti, viene in rilievo l’art. 112 del Codice, che inquadra tali trattamenti di dati tra quelli previsti e quindi consentiti per legge.


Della tutela dell’interessato, sia in sede amministrativa che giurisdizionale, in relazione al trattamento dei suoi dati personali, si occupano gli articoli da 141 a 152 del Codice.




CONTROLLI E SANZIONI



La parte finale del Codice riguarda l’attività svolta dal Garante della privacy al fine di verificare lo stato di attuazione degli obblighi di legge e le sanzioni previste per il caso di inosservanza e mancata applicazione dei principi e degli adempimenti stabiliti per il trattamento dei dati personali.


Così è previsto che per svolgere le proprie funzioni il Garante per la protezione dei dati personali possa "richiedere al titolare, al responsabile, all’interessato o anche a terzi di fornire informazioni o esibire documenti" (art. 157; per la violazione di tale prescrizione v. art. 164).


Inoltre, sempre al fine di controllare il rispetto della normativa sul trattamento dei dati personali, il Garante ha il potere di compiere accessi a banche dati od archivi e di disporre ispezioni e verifiche nei luoghi interessati (art. 158).


Delle sanzioni si occupa il titolo III della parte III, agli artt. 161 e seguenti.


E’ bene prendere visione con attenzione di queste disposizioni, in quanto riportano le pesanti conseguenze del mancato rispetto delle regole sulla privacy.


Riguardo l’attività degli Ordini, in particolare, si segnala l’art. 169 sulle misure minime di sicurezza, che al primo comma dispone che: "chiunque, essendovi tenuto, omette di adottare le misure minime previste dall’articolo 33, è punito con l’arresto sino a due anni o con l’ammenda da diecimila euro a cinquantamila euro".




CODICI DI DEONTOLOGIA



E’ infine da rilevare come la nuova disciplina preveda (artt. 12 e 106) l’adozione, sotto la supervisione del Garante della privacy, da parte delle categorie interessate, nell’osservanza del principio di rappresentatività, di appositi Codici di deontologia e di buona condotta per determinati settori, che andranno pubblicati sulla G.U. e che costituiranno metro di riferimento per stabilire la liceità e correttezza del trattamento dei dati personali effettuato da soggetti privati e pubblici.


Essendo rimessa al Garante la promozione della redazione dei codici (oltre che la verifica della loro conformità a leggi e regolamenti), sarà grazie all’opera di tale Autorità che si individueranno i settori in cui attivare tale peculiare regolamentazione.


In conclusione occorre ribadire come in questa sede si sia inteso sottolineare e mettere in risalto le disposizioni del Codice per la protezione dei dati personali di maggiore interesse e più frequente utilizzo da parte degli Ordini professionali, ma ciò non toglie che tutta la disciplina in esame - rinvenibile comunque sulla banca dati Internet del CNI - debba essere fatta oggetto di una attenta analisi e di uno studio approfondito da parte dei Consigli degli Ordini e del relativo personale, a causa delle ricadute e delle incombenze che essa determina sull’attività quotidiana degli Ordini provinciali.


Così sono comunque da tenere a mente, pur se di minore utilizzo da parte delle rappresentanze degli ingegneri, le norme in tema di "notificazione del trattamento" (artt. 37 e ss.), "obblighi di comunicazione" (art. 39) e "comunicazioni elettroniche" (artt. 121 e ss.).


Confidando di aver fatto cosa utile per agevolare l’attività degli enti in indirizzo e restando comunque a disposizione per ogni chiarimento necessario, si porgono cordiali saluti.




Riferimenti:

Il decreto legislativo 30/06/2003 n. 196 è in Banca Dati con il nome file LG08394

Stampa documento Stampa Invia una e-mail al CNI bancadati@cni-online.it