Il capo II della prima parte d. lgs.
196/2003 (t.u. in materia di privacy)
conteneva regole ulteriori rispetto a quelle generalmente previste per il trattamento dei dati personali ed espressamente previste per i soggetti pubblici.Va osservato che, ai sensi dell’art. 27, comma 1, lett. a), n. 2), D.Lgs. 10 agosto 2018, n. 101, l’intero Titolo III del predetto D.Lgs. è stato abrogato, onde tutte le norme ad esso relative più non rinvengono applicazione. La materia è attualmente disciplinata dal GDPR, alle cui norme si fa pertanto rinvio, con specifico riferimento ai capi III e IV (relativi ai diritti dell'interessato ed alle figure del titolare e del responsabile del trattamento)
Tornando alla disciplina previgente, l'
art.18 del t.u., dopo avere escluso dal novero dei soggetti pubblici soltanto gli enti pubblici economici, poneva il principio secondo il quale
qualunque trattamento di dati personali da parte di soggetti pubblici era consentito soltanto per lo svolgimento delle funzioni istituzionali. Nel trattare i dati il soggetto pubblico doveva osservare i presupposti e i limiti stabiliti dal t.u., anche in relazione alla diversa natura dei dati, nonchè dalla legge e dai regolamenti.
Salvo quanto previsto all'
art.81 del t.u. per gli esercenti le professioni sanitarie e gli organismi sanitari pubblici,
i soggetti pubblici non avrebbero dovuto richiedere il consenso dell'interessato.
In tema di comunicazione e diffusione dei dati, si faceva riferimento alle disposizioni di cui all'
art.25 t.u..
L'art.
19 t.u. prevedeva che
il trattamento da parte di un soggetto pubblico riguardante dati diversi da quelli sensibili e giudiziari era consentito, fermo restando quanto previsto dal II comma dell'
art.18 t.u. ,
anche in mancanza di una norma di legge o di regolamento che lo prevedesse espressamente.
La comunicazione da parte di un soggetto pubblico ad altri soggetti pubblici era, al contrario, ammessa in genere quando fosse prevista da una norma di legge o di regolamento. In mancanza di tale norma la comunicazione era ammessa quando fosse comunque necessaria per lo svolgimento di funzioni istituzionali e poteva essere iniziata se fosse decorso il termine di cui al II comma dell'art.
39 t.u. e non fosse stata adottata la diversa determinazione ivi indicata. In tale ipotesi occorreva comunque ritenere che l'interessato dovesse comunque essere informato, allo scopo di poter esercitare il proprio diritto di accesso e di rettifica (Corte di Giustizia Europea, Sez. III, sent. n.
C201/14 dell’1 ottobre 2015).
La comunicazione da parte di un soggetto pubblico a privati o a enti pubblici economici e la diffusione da parte di un soggetto pubblico erano ammesse unicamente quando fossero previste da una norma di legge o di regolamento. Anche in tali casi avrebbero dovuto essere adottate regole volte a proteggere la riservatezza dei soggetti implicati. Si pensi alla notificazione dei verbali di violazione delle norme in tema di codice della strada (ed alla documentazione fotografica intesa a comprovare le dette violazioni). Al riguardo era stato deciso che l'eventuale condotta illecita produttiva di danno degli addetti alla comunicazione ed alla notificazione fosse riferibile al Comune (Cass. Civ., Sez.I,
5023/13).
L'art.
20 t.u. enucleava
i principi applicabili al trattamento dei dati sensibili. Quando esso veniva effettuato da soggetti pubblici,
era consentito solo se autorizzato da espressa disposizione di legge nella quale sono specificati i tipi di dati che avrebbero potuto essere trattati, le operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite.
Nei casi in cui una disposizione di legge specificasse la finalità di rilevante interesse pubblico, ma non i tipi di dati sensibili e di operazioni eseguibili, il trattamento sarebbe stato consentito solo in riferimento ai tipi di dati e di operazioni identificati e resi pubblici a cura dei soggetti che ne avessero effettuato il trattamento, in relazione alle specifiche finalità perseguite nei singoli casi e nel rispetto dei principi di cui all'art.
22 t.u. , con atto di natura regolamentare adottato in conformità al parere espresso dal Garante ai sensi del I comma dell'art.
154 t.u. lettera g) , anche su schemi tipo.
Se il trattamento non fosse stato previsto espressamente da una disposizione di legge, i soggetti pubblici avrebbero potuto richiedere al Garante l'individuazione delle attività, tra quelle demandate ai medesimi soggetti dalla legge, che perseguivano finalità di rilevante interesse pubblico e per le quali era conseguentemente autorizzato, ai sensi del II comma dell'art.
26 t.u., il trattamento dei dati sensibili. Il trattamento era consentito solo se il soggetto pubblico avesse provveduto altresì a identificare e rendere pubblici i tipi di dati e di operazioni nei modi di cui al comma II.
L'identificazione dei tipi di dati e di operazioni di cui ai commi II e III che precedono era aggiornata e integrata periodicamente. Nella prassi sorgevano comunque dubbi ed incertezze: si consideri il problema della menzione, apposta al bonifico effettuato in favore di un soggetto danneggiato da emotrasfusione, della disposizione di legge evocativa di tale stato di salute (cfr. Cass. Civ., Sez. I,
3455/2017 che aveva rimesso il nodo alle SSUU).
L'art.
21 t.u. enucleava
i principi applicabili al trattamento dei dati giudiziari. Quando esso fosse statoeffettuato da soggetti pubblici,
era consentito solo se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifiassero le finalità di rilevante interesse pubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili.
Le disposizioni di cui ai commi II e IV dell'art.
20 t.u. si applicavano anche al trattamento dei dati giudiziari.
L'art.
22 t.u. faceva riferimento
ai principi applicabili al trattamento sia dei dati sensibili, sia di quelli giudiziari. A tal fine i soggetti pubblici conformavano il trattamento dei dati sensibili e giudiziari secondo modalità volte a prevenire violazioni dei diritti, delle libertà fondamentali e della dignità dell'interessato.
Nel fornire l'informativa di cui all'art.
13 t.u., soggetti pubblici facevano espresso riferimento alla normativa che prevede gli obblighi o i compiti in base alla quale era effettuato il trattamento dei dati sensibili e giudiziari.
I soggetti pubblici potevano trattare solo i dati sensibili e giudiziari indispensabili per svolgere attività istituzionali che non avrebbero potuto essere adempiute, caso per caso, mediante il trattamento di dati anonimi o di dati personali di natura diversa.
I dati sensibili e giudiziari erano raccolti, di regola, presso l'interessato.
In applicazione dell'art. 11, comma
1, lettere c), d) ed e) del t.u. , i soggetti pubblici dovevano verificare periodicamente l'esattezza e l'aggiornamento dei dati sensibili e giudiziari, nonchè la loro pertinenza, completezza, non eccedenza e indispensabilità rispetto alle finalità perseguite nei singoli casi, anche con riferimento ai dati che l'interessato avrebbe fornito di propria iniziativa. Al fine di assicurare che i dati sensibili e giudiziari fossero indispensabili rispetto agli obblighi e ai compiti loro attribuiti, i soggetti pubblici dovevano valutare specificamente il rapporto tra i dati e gli adempimenti.
I dati che, anche a seguito delle verifiche, fossero risultati eccedenti o non pertinenti o non indispensabili non avrebbero potuto essere utilizzati, salvo che per l'eventuale conservazione, a norma di legge, dell'atto o del documento che li contiene. Specifica attenzione era prestata per la verifica dell'indispensabilità dei dati sensibili e giudiziari riferiti a soggetti diversi da quelli cui si riferissero direttamente le prestazioni o gli adempimenti.
I dati sensibili e giudiziari contenuti in elenchi, registri o banche di dati, tenuti con l'ausilio di strumenti elettronici, erano trattati con tecniche di cifratura o mediante l'utilizzazione di codici identificativi o di altre soluzioni che, considerato il numero e la natura dei dati trattati, li rendessero temporaneamente inintelligibili anche a chi era autorizzato ad accedervi e dovevano permettere di identificare gli interessati solo in caso di necessità.
I dati idonei a rivelare lo stato di salute e la vita sessuale erano conservati separatamente da altri dati personali trattati per finalità che non richiedessero il loro utilizzo. I medesimi dati dovevano essere trattati con le modalità di cui al comma VI della
norma in esame anche quando fossero tenuti in elenchi, registri o banche di dati senza l'ausilio di strumenti elettronici.
I dati idonei a rivelare lo stato di salute non potevano essere diffusi. Pertanto costituiva specifica violazione della detta regola l'indicazione, effettuata in un bonifico bancario eseguito in favore di soggetto danneggiato per emostrafusione di plasma infetto, dell'indennizzo di cui alla legge 210/1992 (Cass. Civ., Sez.I,
10947/2014).
Rispetto ai dati sensibili e giudiziari indispensabili ai sensi del comma III dell'
art.22 t.u. in considerazione, i soggetti pubblici erano autorizzati ad effettuare unicamente le operazioni di trattamento indispensabili per il perseguimento delle finalità per le quali il trattamento era consentito, anche quando i dati fossero raccolti nello svolgimento di compiti di vigilanza, di controllo o ispettivi.
I dati sensibili e giudiziari non potevano essere trattati nell'ambito di test psicoattitudinali volti a definire il profilo o la personalità dell'interessato. Le operazioni di raffronto tra dati sensibili e giudiziari, nonchè i trattamenti di dati sensibili e giudiziari ai sensi dell'art.
14 t.u. , erano effettuati solo previa annotazione scritta dei motivi.
In ogni caso, le operazioni e i trattamenti di cui al comma X dell'
art.22 t.u., se effettuati utilizzando banche di dati di diversi titolari, nonchè la diffusione dei dati sensibili e giudiziari, erano ammessi solo se previsti da espressa disposizione di legge. Le disposizioni di cui alla norma in parola recavano principi applicabili, in conformità ai rispettivi ordinamenti, ai trattamenti disciplinati dalla Presidenza della Repubblica, dalla Camera dei deputati, dal Senato della Repubblica e dalla Corte costituzionale (XII comma
art.22 t.u.).
In applicazione di queste regole era stato reputato contrario a legge il trattamento del dato sensibile concernente la condizione di disabilità del figlio di un pubblico dipendente (che aveva allegato tale condizione a supporto della richiesta di un punteggio aggiuntivo nell'ambito di un concorso pubblico) consistente nella pubblicazione in albo di siffatta situazione (Cass. Civ., Sez. I
19365/11).