DIRITTO DI ACCESSO E PRIVACY
DIRITTO D’ACCESSO – l. 241/90:

Art. 22 legge 241/90 (riscritto dalla l. 15/2005): l’accesso ai
documenti amministrativi costituisce principio generale
dell’attività amministrativa al fine di favorire la
partecipazione e di assicurarne l’imparzialità e la
trasparenza, ed attiene ai livelli essenziali delle prestazioni
concernenti i diritti civili e sociali che devono essere
garantiti su tutto il territorio nazionale ex art. 117 Cost.

Trasparenza (art. 1 L.241/90) = potere dei cittadini di esercitare
un controllo democratico sull’operato della P.A. per verificarne la
conformità agli interessi sociali e ai precetti costituzionali.

C.d.S. n. 569 del 2003: l’accesso agli atti deve essere consentito
solo a coloro ai quali gli atti si riferiscono direttamente o
indirettamente per la tutela di una posizione giuridicamente
rilevante (diritto soggettivo ovvero interesse legittimo).
CARATTERISTICHE

Spetta a tutti i soggetti privati, compresi quelli portatori di interessi
pubblici o diffusi, che abbiano un interesse diretto, concreto ed
attuale, collegato al documento al quale è chiesto l’accesso:
possono prender visione ed estrarre copia (art. 22)

Oggetto del diritto: è considerato documento amministrativo ogni
rappresentazione grafica, fotocinematografica, elettromagnetica o di
qualsiasi altra specie del contenuto di atti, anche interni, relativi a
uno specifico procedimento.

Obbligati a consentire l’accesso (art. 23 l. 241/90): tutte le
pubbliche amministrazioni (anche i gestori di pubblici servizi); le
autorità indipendenti; l’amministrazione comunitaria e le imprese di
assicurazione.

Il diritto d’accesso si configura come un diritto soggettivo
perfetto, la cui cognizione in sede contenziosa è devoluta alla
giurisdizione esclusiva del Giudice Amministrativo (TAR).
ACCESSO negato…

Accesso non ammesso per (art. 24 l. 241/90): documenti coperti da
segreto di Stato o da divieto di divulgazione espressamente previsti dalla
legge; procedimenti tributari; attività relativa ad atti normativi,
amministrativi generali, di pianificazione e programmazione; documenti
riguardanti la sicurezza e la difesa nazionale.

Il diritto d’accesso deve essere conciliato con quello alla riservatezza:
generalmente, si ammette l’accesso, ma con modalità e accorgimenti tecnici
tali da non ledere l’esigenza di riservatezza.

L’art. 25, c. 4, della legge n. 241/1990 ha previsto per l’ interessato al quale
sia stato negato l’accesso, la possibilità di esercitare nel termine di 30
giorni, il ricorso al Difensore civico (alternativo al TAR), quando trattasi
di atti delle amministrazioni comunali, provinciali e regionali (ovvero alla
Commissione per l’accesso ai documenti amministrativi nel caso di atti delle
amministrazioni centrali e periferiche dello Stato).

L’articolo 328 c.p. punisce il pubblico ufficiale o l’incaricato di pubblico
servizio che entro 30 giorni dalla richiesta di chi vi abbia interesse non
compia l’atto del suo ufficio, e non risponda per esporre le ragioni del
ritardo.
Accesso & Privacy

Con l’emanazione del codice delle privacy, D.lgs. 196/2003, si è
avuta una rilettura dell’art. 24 della legge 241/90, poiché i dati
sensibili, suscettibili di trattamento solo con il consenso
dell’interessato e con l’autorizzazione del Garante, sono sottratti
all’accesso (a meno che non ci sia una legge che specifichi i dati
da trattare, le operazioni che si possono eseguire e le rilevanti
finalità di interesse pubblico da perseguire). In sostanza, il
bilanciamento tra i valori costituzionali viene risolto con la
sistematica prevalenza del diritto alla riservatezza sul diritto
di accesso.

La decisione n. 1882 del 2001 C.d.S. ha puntualizzato:
- l’art. 16 D.lgs. 135/1999, che semplifica la prima legge sulla
privacy, trova applicazione anche alla materia dell’accesso (= il
trattamento dei dati relativi allo stato di salute è consentito solo se il
diritto da tutelare è di rango almeno pari a quello dell’interessato);
- la norma suddetta impone una valutazione comparativa del diritto
alla privacy e del diritto da difendere in giudizio tenendo conto delle
circostanze di fatto del caso concreto (art. 60 Codice privacy).
Il codice della privacy

Il codice è stato emanato con D.lgs. 30 giugno 2003, n. 196.
Disciplina, in particolare, la protezione di diritti riconosciuti come
inviolabili e fondamentali della persona dall’articolo 2 Cost,
quali:
 il diritto alla riservatezza, vale a dire il diritto che ognuno può
esercitare per mantenere libera da ingerenze esterne la propria vita
privata;
 il diritto all’identità personale, quale diritto che ogni individuo
può esercitare per utilizzare in esclusiva il proprio nome e altri
elementi identificativi della propria persona.

Interessante leggere l’inizio della normativa 675/1996: “La presente
legge garantisce che il trattamento dei dati personali si svolga nel
rispetto dei diritti, delle libertà fondamentali, nonché della dignità
delle persone fisiche, con particolare riferimento alla riservatezza e
all'identità personale; garantisce altresì i diritti delle persone
giuridiche e di ogni altro ente o associazione”.
Oggetto della tutela



Oggetto di tutela della disciplina normativa è il TRATTAMENTO DEI
DATI PERSONALI, quindi non il dato in se stesso, ma l’utilizzo di
esso da chiunque effettuato. La tutela della riservatezza avviene
attraverso un severo controllo delle operazioni compiute con dati
appartenenti a terzi.
Trattamento: “qualunque operazione o complesso di operazioni,
effettuate con o senza l’ausilio di strumenti elettronici, concernenti
la raccolta, la registrazione, l’organizzazione, la conservazione, la
consultazione, l’elaborazione, la modificazione, la selezione,
l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la
comunicazione, la diffusione, la cancellazione e la distruzione di dati,
anche se non registrati in una banca dati.”
Soggettivamente il codice è diviso in due parti:
- il TITOLARE DEL TRATTAMENTO (e il Responsabile), sul
quale incombono tutti gli obblighi di legge, e
- l’INTERESSATO (persona a cui si riferiscono i dati), al quale sono
riservati solo diritti.
(art.4) Dato personale – dato sensibile

DATO PERSONALE = Qualunque informazione relativa a persona

DATO SENSIBILE = dati personali idonei a rivelare l’origine
fisica o giuridica, identificati o identificabili, anche indirettamente
mediante riferimento a qualsiasi altra informazione (es. C.Fisc.).
Qualora un’informazione non sia riconducibile ad un soggetto
giuridico, tale informazione costituisce un dato anonimo e come tale
non soggetto alla normativa.
razziale ed etnica, le convinzioni religiose, filosofiche o di altro
genere, le opinioni politiche, l’adesione a partiti, sindacati,
associazioni, od organizzazioni a carattere religioso, filosofico,
politico o sindacale, nonché i dati personali idonei a rivelare lo
stato di salute e la vita sessuale. Si tratta di dati che attengono
alla sfera più intima del soggetto cui appartengono e che informano
in merito agli aspetti della sua personalità.
Titolare (art. 4)

E’ il soggetto che adotta qualsiasi decisione in ordine al
trattamento dei dati, a cui sono demandate le facoltà tipiche
della figura imprenditoriale in ordine alla normale gestione
aziendale. Esiste a prescindere dalla legge sulla privacy ed opera in
base alle regole del codice civile. E’ colui che decide in ordine
all’opportunità di effettuare un trattamento di dati o un nuovo
trattamento rispetto a quelli già in atto: scopi e obiettivi
strettamente connessi alla gestione dell’attività svolta.

Compiti: notificare al Garante l’inizio e lo svolgimento di qualsiasi
trattamento; scegliere le modalità di raccolta dati; verificare se è
stato richiesto e concesso il consenso dell’interessato; accertare che
l’interessato sia stato debitamente informato; richiedere
l’autorizzazione per il trattamento dei dati sensibili; adottare le
idonee misure di sicurezza; vigilare sulla corretta applicazione
della legge; verificare le operazioni in caso di cessazione del
trattamento; nominare il Responsabile:
Responsabile (art. 4)

E’ la persona fisica o giuridica preposta dal titolare al trattamento dei
dati personali. E’ una figura che trova origine e definizione nella normativa
privacy: esiste solo se ed in quanto esiste la normativa sulla privacy.

Il Responsabile deve essere nominato per iscritto; deve ottenere
istruzioni; deve essere controllato dal titolare; deve essere indicato
nell’informativa. Ai sensi dell’articolo 29, la scelta del responsabile deve
avvenire tra soggetti che per “esperienza, capacità, affidabilità, forniscono
idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di
trattamento, ivi compreso il profilo relativo alla sicurezza”. Si occupa di
tutte le fasi del trattamento (es. la PAT ha nominato Informatica Trentina).

Sono detti, invece, INCARICATI i soggetti, nominati dal titolare o dal
responsabile, che nella pratica raccolgono i dati, li elaborano, attraverso
procedure informatiche o manuali, li archiviano, li comunicano o li
diffondono. Ai sensi dell’art. 30 la designazione avviene per iscritto e deve
indicare precisamente le operazioni consentite.
INTERESSATO

Interessato è la persona fisica, persona giuridica, ente o
associazione cui si riferiscono i dati personali. L’interessato
deve essere unicamente individuato.

L’art. 1 del codice privacy afferma che: “Chiunque ha diritto alla
protezione dei dati personali che lo riguardano”


Ai sensi dell’art. 7, comma 1, l’interessato ha diritto di ottenere la
conferma dell’esistenza o meno di dati personali che lo riguardano,
anche se non ancora registrati e la loro comunicazione in forma
intelligibile.
L’interessato ha diritto di sapere: la provenienza dei dati; le
finalità e le modalità del trattamento; la logica applicata in caso di
trattamento informatico; chi sono il Titolare e il Responsabile;
l’ambito di comunicazione dei dati e i soggetti che potranno
prendere conoscenza dei medesimi (per eventualmente opporsi).

Tutte queste informazioni devono essere riportate nell’ informativa
resa all’atto della raccolta dati.
Informativa

Deve essere preventiva: le informazioni di cui all’art. 13 del Codice
devono essere consegnate al soggetto interessato al momento della prima
raccolta di dati. L’informativa preventiva è funzionale all’ottenimento,
quando richiesto, del consenso informato dell’interessato allo svolgimento
del trattamento. Quanto più l’informativa è completa, tanto meno
l’interessato potrà eccepire l’esistenza di operazioni non consentite.
Contenuto minimo:
 finalità e modalità del trattamento cui sono destinati i dati;
 è necessario indicare le operazioni fondamentali svolte;
 natura obbligatoria o facoltativa del conferimento dei dati (se la
conoscenza di informazioni è richiesta direttamente dalla legge);
 conseguenze di un eventuale rifiuto a rispondere (mancata esecuzione del
trattamento o impossibilità di proseguire il rapporto);
 soggetti e categorie di soggetti ai quali i dati possono essere comunicati o
che possono venire a conoscenza in qualità di incaricati o responsabili;
 i diritti di cui all’art. 7 (elencati per intero);
 estremi indicativi del titolare e del responsabile.
Consenso

Il trattamento dei dati è ammesso solo con il consenso espresso
dell’interessato; può riguardare l’intero trattamento o singole operazioni.
Il consenso è valido se espresso liberamente in riferimento ad un
trattamento specifico e chiaramente individuato; valido se documentato in
forma scritta, specie quando il trattamento riguarda dati sensibili.
Il consenso non è richiesto quando il trattamento:
 è necessario per adempiere ad un obbligo previsto dalla legge;
 è necessario per eseguire obblighi derivanti da un contratto del quale è
parte l’interessato, o per adempiere a specifiche richieste dell’interessato;
 riguarda dati provenienti da pubblici registri, elenchi, atti e documenti
conoscibili da chiunque;
 riguarda dati relativi a svolgimento di attività economiche;
 è necessario per salvare la vita o per l’incolumità fisica dell’interessato o di
un terzo;
 è necessario per lo svolgimento di investigazioni difensive;
 è necessario per perseguire interesse del titolare in casi indicati dal Gar.;
 è effettuato da associazioni, enti od organismi senza scopi di lucro con
riferimento a soggetti che hanno contatti regolari e in funzione di scopi
legittimi.
Trattamento dei dati




Il TRATTAMENTO DI DATI deve essere improntato secondo i
principi di cui all’art. 11 del Codice: devono essere trattati in
modo lecito e secondo correttezza.
Gli scopi per cui viene svolto un trattamento di dati sono
preventivamente stabiliti dal titolare e il trattamento medesimo deve
considerarsi legittimo solo se effettuato per il raggiungimento di tali
scopi. I dati devono essere esatti e, se necessario, aggiornati.
L’interessato può ottenere: aggiornamento, rettifica, integrazione.
Devono, inoltre, essere pertinenti, completi, e non eccedenti rispetto
alle finalità per le quali sono raccolti. I dati devono essere trattenuti
solo per il tempo necessario al raggiungimento degli scopi per i quali
sono stati raccolti, poi devono essere cancellati/distrutti ex art. 16
del codice.
Responsabilità civile: “Chiunque cagiona danno ad altri per
effetto del trattamento di dati personali è tenuto al risarcimento ai
sensi dell’art. 2050 c.c.”. (attività pericolosa > inversione onere della
prova)
Notifica al GARANTE

E’ il primo adempimento concreto del titolare per un corretto trattamento:
è la comunicazione al Garante dell’esistenza di un particolare
trattamento di dati; dell’esistenza di un titolare; degli scopi; del luogo in
cui si svolge; delle modalità; degli incaricati e dei sistemi di sicurezza
adottati.

Il Garante vigila affinché non siano effettuati trattamenti illegittimi

Ai sensi dell’art. 37: il titolare notifica (telematicamente) il trattamento
al Garante solo se il trattamento riguarda particolari tipologie di
atti specificamente indicati (es: dati genetici e dati idonei a rivelare lo
stato di salute e la vita sessuale trattati per diverse finalità dai servizi
sanitari per via telematica relativi a banche dati; dati volti a definire il
profilo o la personalità dell’interessato, o ad analizzare abitudini o
scelte di consumo; dati idonei a rivelare la vita sessuale o la sfera
psichica trattati da associazioni ed enti senza scopi di lucro; dati registrati
relativi alla situazione patrimoniale e alla solvibilità delle persone.

L’obbligo di notifica è giustificato dalla “presunta” pericolosità del
trattamento, intesa nel senso di “possibilità di recare pregiudizio a terzi”: il
legislatore ha previsto un elenco iniziale con la possibilità per il Garante di
individuare altri trattamenti.
Misure di sicurezza

Nel codice il Titolare rimane l’unico soggetto cui la normativa fa
riferimento per l’applicazione delle norme in tema di sicurezza (art. 31).
L’adozione delle misure di sicurezza è necessaria per evitare rischi di
distruzione e perdita dati, ecc.

Il Titolare deve fare tutto il possibile per impedire che i dati trattati siano
persi, danneggiati o distrutti; impedire che soggetti estranei al trattamento
accedano alle banche dati o effettuino operazioni non ammesse; impedire
che gli incaricati effettuino operazioni di trattamento non preventivate.

Il Titolare è tenuto ad adottare le misure di sicurezza in relazione alle
conoscenze acquisite, in base al progresso tecnico, in base alla natura dei
dati, in base alle specifiche caratteristiche del trattamento.

Qualora il trattamento contenga dati sensibili o giudiziari il titolare deve
redigere il Documento programmatico sulla sicurezza, da aggiornare
ogni anno entro il 31 marzo. La mancata adozione è punita penalmente.

Responsabilità civile: “Chiunque cagiona danno ad altri per effetto del
trattamento di dati personali è tenuto al risarcimento ai sensi dell’art. 2050
c.c.”. (attività pericolosa > inversione onere della prova)
Autorizzazione

Ai sensi dell’art. 26, comma 1, i dati sensibili possono essere trattati solo
con il consenso scritto e previa autorizzazione del Garante.

Essa può essere rilasciata dall’Autorità solo a seguito di specifica richiesta
inoltrata dal titolare del trattamento che contempla i dati sensibili. Per tale
richiesta vale il principio del silenzio-rigetto: se il Garante non si
pronuncia nel termine di 45 giorni dalla presentazione, il titolare deve
ritenersi non autorizzato a trattare dati sensibili e quindi deve
interrompere le operazioni già iniziate con tali dati.

Per “rilevanti attività di interesse pubblico” il Garante ha ritenuto
opportuno autorizzare in via preventiva un numero assai vasto di
trattamenti.

La prima autorizzazione generale, è l’autorizzazione n. 2 con la quale il
Garante ha inteso autorizzare al trattamento di dati inerenti la salute e
la vita sessuale per finalità di tutela della salute o dell’incolumità
di un singolo o della comunità, i seguenti soggetti: esercenti le
professioni sanitarie, case di cura private e case di riposo; organismi
sanitari pubblici a determinate condizioni; medici, farmacisti, odontoiatri,
psicologi e altri esercenti le professioni sanitarie; personale infermieristico...
CHIUSO