30pixwid.gif (821 byte)


Roma, 11 gennaio 2001
CIRCOLARE N. 3/2001

PRIVACY

Enti pubblici economici
Enti pubblici non economici

OGGETTO
Rapporti tra la legislazione in materia di trattamento di dati personali e la legislazione in materia di autocertificazioni.

 

 

La Legge 31/12/1996 n. 675 concerne la tutela delle persone fisiche e di altri soggetti rispetto al trattamento dei dati personali.

Il trattamento dei dati personali è qualunque operazione o complesso di operazioni svolte con o senza l’ausilio di mezzi elettronici, o comunque automatizzati, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distribuzione di dati.

I dati personali sono tutte le informazioni relative a persone fisiche e giuridiche, oppure ad enti ed associazioni identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale.

La Legge 675/96 introduce anche la categoria dei dati sensibili, sottoponendo gli stessi ad un particolare regime di tutela.

I dati sensibili sono inerenti ai principi fondamentali della personalità umana e riguardano: dati personali idonei a rilevare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni ed organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.

Gli Istituti Autonomi per le Case Popolari, comunque denominati, operano il trattamento di dati personali e conseguentemente la Legge 675/96 trova applicazione nelle suddette attività.

 

Dati che possono essere autocertificati

L'esigenza di una più incisiva semplificazione e riduzione degli oneri, ai quali i cittadini sono soggetti per la documentazione dei presupposti oggettivi e soggettivi, richiesti dalla Pubblica Amministrazione per l’emanazione a loro favore di provvedimenti amministrativi ha determinato l’emanazione di norme concernenti la possibilità, in capo al cittadino istante, di presentare dichiarazioni sostitutive di certificazioni e di notorietà.

I certificati rilevanti per gli Enti Associati, che possono essere sostituiti da una dichiarazione in carta semplice e senza necessità dell'autocertificazione della firma, sono:

  • data e luogo di nascita
  • residenza
  • cittadinanza
  • stato di celibe, coniugato o vedovo
  • stato di famiglia
  • esistenza in vita
  • nascita del figlio
  • decesso del coniuge, dell'ascendente o discendente
  • posizione agli effetti degli obblighi militari
  • iscrizione in albi o elenchi tenuti dalla pubblica amministrazione
  • titolo di studio o qualifica professionale posseduta
  • esami sostenuti
  • titolo di specializzazione, di abilitazione, di formazione, di aggiornamento e di qualificazione tecnica
  • situazione reddituale o economica, anche ai fini della concessione di benefici e vantaggi di qualsiasi tipo previsti da leggi speciali
  • assolvimento di specifici obblighi contributivi con l’indicazione dell'ammontare corrisposto
  • possesso e numero del codice fiscale, della partita IVA e di qualsiasi dato presente nell'archivio dell'anagrafe tributaria
  • stato di disoccupazione
  • qualità di pensionato e categoria di pensione
  • qualità di studente o di casalinga
  • qualità di legale rappresentante di persone fisiche o giuridiche, di tutore, di curatore e simili
  • iscrizione presso associazioni o formazioni sociali di qualsiasi tipo
  • non aver riportato condanne penali
  • qualità di vivenza a carico
  • tutti i dati a diretta conoscenza dell'interessato contenuti nei registri dello stato civile.

Fatte salve le eccezioni previste per legge, tutti gli stati, fatti e qualità personali, non compresi nel precedente elenco, sono comprovati dall'interessato, a titolo definitivo, mediante la dichiarazione sostitutiva di atto di notorietà.

La mancata accettazione dell'autocertificazione costituisce violazione dei doveri d'ufficio.

Non sono sostituibili con l’autocertificazione i certificati medici, sanitari.

La dichiarazione sostitutiva dell'atto di notorietà che il dichiarante rende nel proprio interesse, può riguardare anche stati, fatti e qualità personali relativi ad altri soggetti di cui egli abbia diretta conoscenza.

Tale dichiarazione può riguardare anche la conoscenza del fatto che la copia di una pubblicazione è conforme all'originale.

Sono sempre acquisiti d'ufficio dall'amministrazione procedente i certificati relativi a stati, fatti o qualità personali risultanti da albi o da pubblici registri tenuti o conservati da una pubblica amministrazione, su semplice indicazione da parte dell'interessato della specifica amministrazione che conserva l’albo o il registro.

Non è più necessaria la presenza di testimoni nel caso in cui le dichiarazioni sostitutive siano rese da chi non sa o non può firmare.

L'autocertificazione è consentita anche ai cittadini comunitari, relativamente ai cittadini extracomunitari è ammessa solo nei confronti di coloro che sono residenti in Italia e le dichiarazioni sono limitate ai casi in cui si tratti di comprovare stati, fatti e qualità personali certificabili o attestabili da soggetti pubblici o privati italiani.

La novità legislativa è stata accolta favorevolmente dai cittadini. Tuttavia, si è constatato che frequentemente dette autocertificazioni contengono elementi non rispondenti alla realtà.

La Pubblica Amministrazione, destinataria della dichiarazione presentata dal cittadino, assume tutto il peso dell'insussistenza o della non persistenza della veridicità dei dati. Essendo la Pubblica Amministrazione, tenuta, vista l’obbligatorietà delle norme, ad adottare il provvedimento sulla base delle dichiarazioni dell'interessato, risulta di tutta evidenza la necessità del controllo d'ufficio della sua veridicità. Infatti, pur riconoscendosi l’alto valore della legge, l’alea della Pubblica Amministrazione si è rilevata non un'ipotesi ristretta, ma una risultanza anche, e per certi aspetti, pericolosa.

Gli Istituti Autonomi per le Case Popolari, in quest'ultimo anno, anche a seguito delle autodichiarazioni, hanno rilevato una contrazione rilevante delle entrate.

Il DPR 403/98 nelle disposizioni finali previste nel capo IV, ha indicato l’obbligo dei controlli delle Pubbliche Amministrazioni procedenti che possono essere effettuati sulla veridicità delle dichiarazioni sostitutive.

Sulle dichiarazioni sostitutive di certificazioni la norma prevede che l’Amministrazione debba richiedere direttamente all'Amministrazione competente, per il rilascio della relativa certificazione, conferma scritta di quanto dichiarato con le risultanze da essa custodite.

Gli Istituti, destinatari della normativa si scontrano con difficoltà, anche per le ripercussioni di cui alla Legge 675/96 in tema di privacy. Deve infatti essere rammentato che le persone fisiche o giuridiche, pubbliche o private, custodi di banche dati, possono diffondere i dati richiesti, solo nel rispetto della succitata Legge 675/96.

Quindi per:

  • i soggetti pubblici, esclusi gli enti pubblici economici, nel caso di previsione di legge, di regolamenti o per finalità istituzionali;
  • privati ed enti pubblici economici, nel caso di consenso espresso dall'interessato, nel caso di dati provenienti da pubblici registri, oppure in adempimento di legge, di regolamento o di normativa comunitaria.

In sintesi si evidenziano i seguenti casi, che devono essere risolti:

  1. verifica in tema di stato di occupazione immobili di ERPS - Accertamento della possibilità di richiedere ad ENEL, o altri enti erogatori, di fornire dati concernenti il consumo rilevato dai contatori, al fine di rilevare elementi utili a evidenziare alloggi non occupati con continuità dagli assegnatari, per l’eventuale avvio del procedimento di decadenza dall'assegnazione imposto dalla Legge, tenuto conto dell'urgenza di assegnare unità abitative agli aventi diritto,in una situazione caratterizzata da grave emergenza;
  2. richiesta accertamenti reddituali ed immobiliari agli organi competenti dello Stato - La richiesta è presentata ai sensi art. 23 della Legge 513/77, art. 5 del DPR 1035/72 e art. 11 della Legge 403/98;
  3. richiesta accertamenti socioeconomici reddituali ed immobiliari a Comuni - Mediamente si riscontra risposta ma sulla base di metodologie personali non standardizzate, effettuate con accertamenti;
  4. richieste ad INAIL ed INPS di verifica dell'effettiva condizione di disoccupazione sulla base di eventuali posizioni contributive per attività lavorativa in essere;
  5. accesso diretto all'Anagrafe Tributaria - Di fatto non utile, stante il mancato aggiornamento della stessa;
  6. richiesta ad ANCI e Ministero dell’Interno per ottenere l’accesso al "Sistema di accesso ed interscambio anagrafico" (SAIA).

 

Prospettive

Nell'immediato si auspica la tempestiva mappatura degli archivi dei dati autocertificabili, al fine di garantire un pronto ed univoco riferimento rispetto ai dati autocertificati.

AGGIORNAMENTO DELLA LEGLSLAZIONE IN MATERIA DI TRATTAMENTO DI DATI PERSONALI

Si elencano le leggi, i decreti legislativi, i regolamenti ed i provvedimenti autorizzativi del Garante, collegati alla Legge 675/96:

Legge 31 dicembre 1996, n. 676 - Prima delega di 18 mesi al Governo per disporre le norme integrative.

Dlgs 9 maggio 1997, n. 123 - Piccoli cambiamenti alla "675"; semplificazione della denominazione del Garante e inclusione dei giornalisti pubblicisti.

Dlgs 28 luglio 1997, n. 255 - Semplificazioni e oneri per alcune categorie professionali, e in particolare editori e giornalisti.

Dlgs 8 maggio 1998, n. 135 - Disposizioni sul trattamento dati delle dichiarazioni dei redditi e dell'Iva da parte dell'amministrazione fiscale.

Dlgs 13 maggio 1998, n. 171 - Tutela dei dati personali nell'ambito delle Tlc e degli elenchi abbonati. Meno vincoli per i giornalisti, che però adottano un Codice deontologico.

Legge 6 ottobre 1998, n. 344 - Proroga della delega al 31 luglio 1999.

Dlgs 5 giugno 1998, n. 204 - Consente alla Pa, comprese le università, la diffusione di dati ai privati su laureati, tecnici eccetera.

Dlgs 6 novembre 1998, n. 389 - Più tempo ai soggetti pubblici per proseguire il trattamento dei dati personali non espressamente previsto dalle leggi anteriori alla "675".

Dlgs 26 febbraio 1999, n. 51 - Istituisce il ruolo organico del personale dell'ufficio del Garante.

Dlgs 11 maggio 1999, n. 135 - Trattamento dei dati sensibili da parte dei soggetti pubblici.

Dlgs 6 maggio 1999, n. 169 - Attuazione della direttiva 96/9/CE relativa alla tutela giuridica delle banche dati.

Dlgs 30 luglio 1999, n. 281 - Disposizioni in materia di trattamento dei dati personali per finalità storiche, statistiche e di ricerca scientifica.

Dlgs 30 luglio 1999, n. 282 - Disposizioni per garantire la riservatezza dei dati personali in ambito sanitario.

Legge 3 novembre 2000, n. 325 - Disposizioni inerenti all'adozione delle misure minime di sicurezza nel trattamento dei dati personali previste dall'articolo 15 della legge 31 dicembre 1996 n. 675.

 

REGOLAMENTI

Dpr 31 marzo 1998, n. 501 - Regolamenta l’attività dell'ufficio del Garante, stabilisce l’ammontare forfettario dei diritti da versare per i ricorsi.

Dpr 28 luglio 1999, n. 318 - Regolamento recante norme per l’individuazione delle misure minime di sicurezza per il trattamento dei dati personali a norma dell'art. 15, comma 2, della Legge 31 dicembre 1996, n. 675.

 

AUTORIZZAZIONI GENERALI 1997-2000 PER TIPOLOGIA DI TRATTAMENTO DATI SENSIBILI O DI OPERATORE

N. 1 del 19 novembre 1997, rinnovata il 30 settembre 1998, il 29 settembre 1999 ed il 20 settembre 2000 - Rapporti di lavoro.

N. 2 del 27 novembre 1997, rinnovata il 30 settembre 1998, il 29 settembre 1999 ed il 20 settembre 2000 - Idonei a rivelare lo stato di salute e la vita sessuale.

N. 3 del 28 novembre 1997, rinnovata il 30 settembre 1998, il 29 settembre 1999 ed il 20 settembre 2000 - Organismi associativi e fondazioni.

N. 4 del 29 novembre 1997, rinnovata il 30 settembre 1998, il 29 settembre 1999 ed il 20 settembre 2000 - Liberi professionisti.

N. 5 del 29 dicembre 1997, rinnovata il 30 settembre 1998, il 29 settembre 1999 ed il 20 settembre 2000 - Categorie diverse di titolari.

N. 6 del 29 dicembre 1997, rinnovata il 30 settembre 1998, il 29 settembre 1999 ed il 20 settembre 2000 - Investigatori privati. .

N. 1 del 10 maggio 1999; integrata il 3 giugno 199l; rinnovata il 20 settembre 2000 - Dati giudiziari.

Circa i provvedimenti sopra elencati, si ritiene opportuno evidenziare in modo particolare il Decreto Legislativo 11 maggio 1999, n. 135, sul trattamento dei dati sensibili da parte dei soggetti pubblici. L'art. 5 di detto decreto legislativo ha apportato modificazioni alla Legge 31 dicembre 1996, n. 675. La Pubblica Amministrazione, esclusi gli enti pubblici economici, può utilizzare i dati sensibili, ma solo se il trattamento è autorizzato da espressa disposizione di legge, nella quale siano specificati i dati che possono essere trattati, le operazioni eseguibili e le rilevanti finalità di interesse pubblico perseguite.

In mancanza di espressa disposizione di legge, il Garante su richiesta dei soggetti pubblici, nelle more della specificazione legislativa, individua, tra le attività demandate ai medesimi soggetti pubblici, quelle per le quali è conseguentemente autorizzato, ai sensi del comma 2 dell'art. 22 Legge 675/96, il trattamento dei dati sensibili. Nei casi in cui sono rilevate le finalità di interesse pubblico, ma non sono specificati i tipi di dati e le operazioni eseguibili, i soggetti pubblici devono, in materia di dati sensibili, identificare e rendere pubblici, secondo i rispettivi ordinamenti, i tipi di dati e di operazioni necessarie e pertinenti in relazione alle finalità perseguite nei singoli casi, con l’aggiornamento periodico di tale identificazione. Si tratta quasi di un'autoregolamentazione dell'ente pubblico stesso. I soggetti pubblici dovevano avviare l’ adeguamento dei propri ordinamenti secondo le succitate prescrizioni entro il 31 dicembre 1999. Con circolare Dagl 1 /643 Pres. 2000 del 19 aprile 2000 della Presidenza del Consiglio dei Ministri si è inteso sollecitare le pubbliche amministrazioni e rispettare gli adempimenti di legge, al fine di avere una mappa dei dati sensibili custoditi e dei trattamenti eseguiti, che confermino l'utilizzazione delle informazioni nell'ambito degli interessi pubblici perseguiti.

Il Garante con provvedimento 30 dicembre - 13 gennaio 2000, sull'individuazione di attività che perseguono rilevanti finalità di interesse pubblico, ha indicato anche le attività finalizzate all'assegnazione di alloggi di edilizia residenziale pubblica.

Sorprende tale indicazione in quanto le attività procedurali di assegnazione degli alloggi di edilizia pubblica sono stabilite dalla legge e le finalità di interesse pubblico sono attuate, secondo l’affermazione della Corte Costituzionale, con l’obbligo sociale di porre a disposizione delle categorie dei cittadini meno abbienti e più bisognosi appartamenti di edilizia pubblica. Pertanto le attività, concernenti le assegnazioni degli alloggi pubblici, di rilevante interesse pubblico per loro natura, o per individuazione del Garante, avendo una previsione di legge che prevede i tipi di informazioni personali che possono essere trattati, le operazioni eseguibili, sembrano essere esonerati dagli adempimenti regolamentari sopra trattati.

Conseguentemente tali considerazioni, rilevano per tutte le attività indicate e previste dalla legge in tema di rapporto tra Ente ed utente dopo l’assegnazione (ad es. cambi, volture, ospitalità, fondo sociale, ecc.).

Lo stesso dicasi per il trattamento dei dati sensibili riferentesi allo stato di salute dei dipendenti, utilizzati solamente secondo le prescrizioni di legge e di contratto, ed oggetto dell'autorizzazione del Garante per i soggetti privati e per gli enti pubblici economici.

Non sembra al momento rientrare nell'argomento in questione la riscossione da parte degli Istituti enti non economici delle quote associative dei sindacati degli assegnatari e dei lavoratori dipendenti, in quanto nella fattispecie il titolare del trattamento, che tratta i dati, è l’organizzazione sindacale che, su delega dell' iscritto interessato, trasmette gli stessi all' Ente ai soli fini della riscossione.

Inoltre l’organizzazione sindacale, non essendo soggetto pubblico, non è destinatario della norma, né la sua attività ha finalità di rilevante interesse pubblico.

Un altro provvedimento legislativo da evidenziare, tra quelli sopra elencati, è il DPR 28/7/1999 n. 318, che reca norme per l, individuazione delle misure minime di sicurezza per il trattamento dei dati personali a norma dell'art. 15, 2° comma della Legge 675/96.

Considerato che gli Istituti raccolgono e gestiscono dati personali, anche sensibili, relativi agli assegnatari, al personale, a terzi, a persone fisiche e giuridiche, dovevano essere necessariamente formalizzate ai sensi del DPR 318/ 1999 con apposito regolamento le misure minime di sicurezza già operative. Alla scadenza del 29/3/2000 tutti gli archivi, cartacei ed informatici dovevano dotarsi delle misure minime di sicurezza. Si richiama in proposito la circolare n. 63/1999 del 22/3/2000 della Federcasa Aniacap con allegata la copia del provvedimento del Garante per la protezione dei dati personali sull'argomento.

Si sottolinea che le misure minime necessarie alla sicurezza dei dati concernono il trattamento dei dati personali effettuato con strumenti elettronici o comunque autorizzati, il trattamento dei dati effettuato mediante elaboratori accessibili in rete, il trattamento dei dati personali effettuato per fini esclusivamente personali, il trattamento dei dati personali con strumenti diversi da quelli elettronici o comunque automatizzati.

Con legge 3/11/2000, n. 325, si è disposto che le misure minime di sicurezza di cui al D.P.R. 28 luglio 1999, n. 318 possono essere adottate entro il 31 dicembre 2000 da parte dei soggetti, i quali per particolari esigenze tecniche e organizzative intendono avvalersi di un termine più ampio di quello previsto dall'art. 41, comma 3, della Legge 675/1996. Tuttavia occorre sottolineare la necessità di documentare per iscritto le suddette esigenze.

Il documento deve essere redatto entro un mese dalla data di entrata in vigore della legge (pubblicata sulla G. U. n. 262 del 9/11/2000 - entrata in vigore il 10/11/2000) e deve contenere gli accorgimenti già adottati o da adottare, le singole fasi del programma di adeguamento in cui esso è eventualmente ripartito, le linee guida previste per dare attuazione alle misure minime di sicurezza.

Il documento in argomento deve essere conservato presso di sé a cura del soggetto interessato.

La mancanza del documento e della conservazione presso il soggetto interessato rende inapplicabile la proroga del termine per l’adozione delle misure minime di sicurezza, previsto nel comma 1° dell'art. 1 della legge 325/2000.

Pertanto gli Istituti Autonomi per le Case Popolari, comunque denominati, che alla scadenza di legge del 29/3/2000 non si fossero dotati delle misure minime di sicurezza, previste dalla legge, possono regolarizzare la loro posizione rispetto all'adozione di dette misure entro il 31/12/2000, con le formalità sopra ricordate.

Con i migliori saluti. 

Il Direttore Generale
Venanzio Gizzi