 |
| |
 |
 |
| n. 1-2006 - © copyright |
SERGIO FOA'
|
|
| Tutela della privacy
e sistemi informativi regionali: il potere normativo regionale
è riconosciuto solo se richiama e rispetta il Codice sul trattamento
dei dati personali
|
1. Con sentenza
7 luglio 2005, n. 271 la Corte costituzionale
si è pronunciata sulla questione di legittimità
costituzionale degli artt. 12, 13 e 14 della legge
della Regione Emilia-Romagna 24 maggio 2004, n.
11 (Sviluppo regionale della società dell'informazione),
sollevata dallo Stato in relazione all'art. 117,
secondo comma, lettere l), m) e r), e sesto comma
della Costituzione, ed in riferimento ai principi
della legislazione statale in materia di protezione
dei dati personali.
Di particolare interesse lo sforzo operato dalla
Corte per sistemare, rispetto al riparto di competenze
fra Stato e Regioni di cui al Titolo V della Costituzione,
un corpo legislativo, quale quello censurato, incidente
sulla tutela dei dati personali.
L’incidenza sui dati personali si desume dalla lettura
del censurato art. 12 della legge regionale, a mente
del quale “ferma restando l'applicazione delle norme
a tutela della privacy, l'insieme delle informazioni
acquisite o prodotte nell'esercizio di pubbliche
funzioni costituisce patrimonio comune per le attività
istituzionali delle pubbliche amministrazioni e
degli enti, o associazioni o soggetti privati che
operano in ambito regionale per finalità di interesse
pubblico”, disponendo inoltre che tale patrimonio
sia aperto al libero utilizzo di soggetti terzi,
con forme e modalità di carattere tecnico disciplinate
dalla Giunta regionale. La disposizione in esame
prevede, inoltre, che con regolamento regionale
sia disciplinata la “cessione a privati ed enti
pubblici economici dei dati costitutivi del patrimonio
informativo pubblico”, stabilendo altresì un obbligo
sia delle pubbliche amministrazioni e degli enti
pubblici, sia delle associazioni e dei soggetti
privati che operano in ambito regionale per finalità
di interesse pubblico, di “fornire la disponibilità
dei dati contenuti nei propri sistemi informativi
nei limiti previsti dal decreto legislativo n. 196
del 2003”.
Il ricorso statale ha interessato anche gli artt.
13 e 14 della stessa legge regionale, che disciplinano
rispettivamente il Sistema informativo regionale
(SIR) e la realizzazione da parte della Regione
di progetti integrati volti “all'accrescimento e
alla valorizzazione del patrimonio pubblico di conoscenze”,
ivi includendo il trattamento di dati sensibili,
attesa la collaborazione anche delle aziende sanitarie
per l'immissione ed il trattamento dei dati a scala
regionale e locale, nonché per l'alimentazione e
l'aggiornamento dei flussi informativi (art. 13),
e la realizzazione con il sistema delle aziende
sanitarie di supporti e procedure informatiche per
l'estrazione automatica da archivi ed il trattamento
dei dati necessari ad integrare le basi informative
del SIR (art. 14).
Orbene, lo sforzo di sistemazione della materia
oscilla tra i tre ambiti prospettati dal ricorrente,
che rivendica l’esclusiva competenza normativa riconducendola
all’“ordinamento civile”, alla “determinazione dei
livelli essenziali delle prestazioni concernenti
i diritti civili e sociali che devono essere garantiti
su tutto il territorio nazionale”, nonché al “coordinamento
informativo statistico e informatico dei dati dell'amministrazione
statale, regionale e locale”[1].
Con ragionamento essenziale ed efficace, la Corte
esclude anzitutto la riconducibilità della disciplina
censurata alla determinazione dei livelli essenziali
di cui all’art. 117, secondo comma, lett. m), Cost.[2],
per la semplice ragione che la legislazione sui
dati personali non concerne prestazioni, ma riconosce
diritti agli interessati di controllo sulle modalità
del trattamento dei loro dati personali.
Più complessa l’analisi condotta riguardo agli altri
ambiti di materia. Con riferimento ad entrambi,
infatti, la Corte, pur non potendo disconoscere
la sussistenza dell’esclusivo potere legislativo
statale, argomenta la possibilità di riconoscere
un ruolo normativo alle regioni. Così, con riferimento
alla materia “ordinamento civile”[3], cui si riferisce
il Codice per il trattamento dei dati personali
di cui al d. lgs. n. 196 del 2003, è previsto anche
un ruolo normativo, per quanto di tipo meramente
integrativo, per i soggetti pubblici chiamati a
trattare i dati personali, per la necessità che
i principi posti dalla legge a tutela dei dati personali
siano garantiti nei diversi contesti normativi ed
istituzionali: così ad esempio, lo stesso Codice
prevede, all'art. 19, che norme di legge o di regolamento
possano modulare nelle diverse materie il trattamento
dei dati comuni, per ciò che riguarda la loro comunicazione
ai soggetti pubblici o privati o la loro diffusione,
e all'art. 20, comma 2, che l'integrazione delle
prescrizioni legislative statali che siano incomplete
in relazione al trattamento di dati sensibili da
parte di pubbliche amministrazioni (poiché non determinano
«i tipi di dati sensibili e di operazioni eseguibili»)
sia operata tramite appositi regolamenti «a cura
dei soggetti che ne effettuano il trattamento»,
seppure «in conformità al parere espresso dal Garante
ai sensi dell'art. 154, comma 1, lettera g), anche
su schemi tipo»[4].
Né lo spazio normativo regionale sarebbe precluso
dalla titolarità esclusiva del legislatore statale
in tema di “coordinamento informativo statistico
e informatico dei dati dell'amministrazione statale,
regionale e locale”, di cui alla lettera r) del
secondo comma dell'art. 117 Cost. La Corte ha ritenuto
trattarsi di un potere legislativo di coordinamento,
il cui mancato esercizio non precluderebbe autonome
iniziative delle regioni mirate alla “razionale
ed efficace organizzazione delle basi di dati che
sono nella loro disponibilità ed anche il loro coordinamento
paritario con le analoghe strutture degli altri
enti pubblici o privati operanti sul territorio”.
Il problema sorgerebbe solo nel momento in cui il
legislatore statale dettasse normative nei medesimi
ambiti a fine di coordinamento.
D'altra parte tale potere legislativo statale in
via esclusiva concerne solo un coordinamento di
tipo tecnico che venga ritenuto opportuno dal legislatore
statale (si vedano le sentenze della Corte n. 31
del 2005 e n. 17 del 2004) e il cui esercizio, comunque,
non può escludere una competenza regionale nella
disciplina e gestione di una propria rete informativa
(cfr. sentenza n. 50 del 2005).
Con sentenza n. 50 del 2005, la Corte ha analogamente
ritenuto infondate le censure mosse da diverse regioni
all’art. 1, commi 1 e 2, della legge 14 febbraio
2003, n. 30 (Delega al Governo in materia di occupazione
e mercato del lavoro), che include tra i principi
e criteri direttivi il mantenimento da parte dello
Stato delle competenze in materia di conduzione
coordinata ed integrata del sistema informativo
lavoro. Tale disposizione era stata impugnata per
contrasto con l'art. 117, terzo comma, Cost., e
da alcune regioni anche per violazione dell’art.
118 Cost. e con il principio di sussidiarietà. La
Corte aveva chiarito al riguardo che la disposizione,
che non comporta alcuna estensione delle funzioni
già svolte dallo Stato, atteneva al coordinamento
informativo statistico e informatico dei dati dell'amministrazione
statale, regionale e locale, previsto come materia
di competenza esclusiva dello Stato dall'art. 117,
secondo comma, lettera r), Cost. La conduzione diretta
del sistema informativo statistico ed informatico
– attesa la necessità che esso riguardasse l'intero
territorio nazionale – era intesa come il mezzo
idoneo a garantire il complessivo coordinamento
dello stesso sistema. La salvezza della disposizione,
in quell’occasione, è stata ricondotta alla mancata
esclusione della facoltà delle regioni di disciplinare
la predisposizione in sede regionale di sistemi
di raccolta dati. Anche gli artt. 15, 16 e 17 del
d.lgs. n. 276 del 2003, adottato per effetto di
tale delega, e dedicati alla “Borsa continua nazionale
del lavoro e monitoraggio statistico” sono stati
ritenuti legittimi perché contenenti norme dalle
quali risulta il coinvolgimento delle regioni nella
gestione della rete informativa idonea al funzionamento
della borsa continua del lavoro[5].
Gli stessi principi sono stati affermati dalla Corte
con le sentenze n. 31 del 2005 e n. 17 del 2004.
La prima pronuncia, occupandosi dell’art. 26, commi
1 e 2 della legge 27 dicembre 2002, n. 289 (Disposizioni
per la formazione del bilancio annuale e pluriennale
dello Stato – legge finanziaria 2003), in materia
di finanziamento di progetti di innovazione tecnologica
nelle pubbliche amministrazioni[6], ha chiarito
che tali disposizioni si riferiscono, innanzitutto,
all’amministrazione dello Stato e degli enti pubblici
nazionali, per tale parte rinvenendo la propria
legittimazione nell’art. 117, secondo comma, lettere
g) e r), della Costituzione, che assegnano
alla competenza legislativa esclusiva statale, rispettivamente,
le materie “ordinamento e organizzazione amministrativa
dello Stato e degli enti pubblici nazionali” e “coordinamento
informativo statistico e informatico dei dati dell’amministrazione
statale, regionale e locale”[7]. Anche in quel caso
la Corte ha accertato che le norme in questione
sono suscettibili di trovare applicazione anche
nei confronti delle regioni e degli enti locali,
visto che l’art. 26, terzo comma, della stessa disposizione
prevede espressamente che i progetti possono riguardare
“l’organizzazione e la dotazione tecnologica delle
regioni e degli enti territoriali”, prevedendo in
tal caso la necessità di “sentire la Conferenza
unificata di cui al decreto legislativo 28 agosto
1997, n. 281”. Ammessa la diretta incidenza delle
norme in esame sulla “organizzazione amministrativa
regionale e degli enti locali”, la Corte aveva nuovamente
escluso la violazione delle competenze regionali
solo nei limiti in cui fossero garantite adeguate
procedure collaborative, proprio perché tali disposizioni
costituiscono espressione della potestà legislativa
esclusiva statale nella materia del “coordinamento
informativo statistico e informatico dei dati dell’amministrazione
statale, regionale e locale”, ex art. 117,
secondo comma, lettera r), della Costituzione.
Al riguardo, con la sentenza n. 17 del 2004 la Corte
aveva già ricordato che l’attribuzione a livello
centrale della suddetta materia si poteva giustificare
alla luce della necessità di “assicurare una comunanza
di linguaggi, di procedure e di standard omogenei,
in modo da permettere la comunicabilità tra i sistemi
informatici della pubblica amministrazione”.
Ora, sulla base della richiamata necessità di leale
collaborazione e della previsione di “adeguate procedure
collaborative”[8], nel caso appena richiamato del
finanziamento di progetti di innovazione tecnologica
nelle pubbliche amministrazioni, a differenza di
quanto ritenuto per il coordinamento informativo
statistico e informatico dei dati in materia di
lavoro, la Corte ha ritenuto inidonea la disciplina
procedimentale di riferimento. In effetti la previsione
del mero parere della Conferenza unificata non è
stata ritenuta misura adeguata a garantire il rispetto
del principio di leale collaborazione. Per
quanto infatti l’oggetto delle norme richiamate
fosse riconducibile alla materia del “coordinamento
informativo statistico e informatico” di spettanza
esclusiva del legislatore statale, lo stesso presenta
un contenuto precettivo idoneo a determinare una
forte incidenza sull’esercizio concreto delle funzioni
nella materia dell’“organizzazione amministrativa
delle Regioni e degli enti locali”. Ciò ha indotto
la Corte a pronunciare in quell’occasione una sentenza
sostitutiva, al fine di garantire “un più incisivo
coinvolgimento di tali enti nella fase di
attuazione delle disposizioni censurate mediante
lo strumento dell’intesa”, così dichiarando l’illegittimità
costituzionale dell’art. 26, comma 3, della legge
n. 289 del 2002 nella parte in cui prevede che sia
“sentita la Conferenza unificata” anziché che si
raggiunga con la stessa Conferenza l’intesa[9].
2. Una volta ricostruito l’ambito di operatività
della materia “coordinamento informativo statistico
e informatico dei dati dell’amministrazione statale,
regionale e locale”, la Corte rinviene alcuni profili
di illegittimità nelle disposizioni della legge
regionale impugnata. I profili dirimenti attengono
alla violazione, sotto molteplici profili, della
legislazione statale in materia di protezione dei
dati personali.
L’art. 12 della legge regionale è stato ritenuto
interamente illegittimo. In primo luogo con riferimento
alla previsione che affida ad apposito regolamento
regionale la “cessione dei dati costitutivi del
patrimonio informativo pubblico a privati ed enti
pubblici economici”, con un'espressione tanto generica
da poter essere riferita ad ogni tipo di dato personale.
L'istituto della “cessione” dei dati personali è
del tutto estraneo alla legislazione statale in
materia di protezione di tali dati: ed anche ove
si volesse interpretare tale espressione come riferita
alla “comunicazione” dei dati personali da parte
di un soggetto pubblico a privati o ad enti pubblici
economici, la disposizione contrasterebbe comunque
con la normativa statale, poiché l'art. 19, comma
3, del d.lgs. n. 196 del 2003 disciplina la sola
comunicazione dei dati personali diversi da quelli
sensibili e giudiziari[10], mentre gli artt. 20,
21 e 22 del medesimo testo normativo disciplinano
in termini molto restrittivi il trattamento dei
dati sensibili e di quelli giudiziari[11].
In secondo luogo, nonostante l'art. 12, secondo
comma, della legge regionale ribadisca la volontà
di rispettare la legislazione “in materia di protezione
dei dati personali”, la stessa disposizione prevede
che la Regione e gli enti regionali incontrino il
solo limite dell'art. 18 del d.lgs. n. 196 del 2003
nel rendere disponibili i “dati contenuti nei propri
sistemi informativi”, laddove, invece, il “Codice”
prevede molteplici altri limiti per i trattamenti
effettuati da soggetti pubblici, individuati nelle
disposizioni dell'intero Capo II del Titolo III.
In terzo luogo, nel medesimo art. 12 comma 2, la
legge regionale prevede un obbligo per “le associazioni
e i soggetti privati che operano in ambito regionale
per finalità di interesse pubblico” di fornire “la
disponibilità dei dati contenuti nei propri sistemi
informativi”, sia pure “nei limiti previsti dal
decreto legislativo n. 196 del 2003”. Un obbligo
siffatto non è però previsto dal Codice, che è invece
caratterizzato dalla preminenza della volontà dell'interessato
in ordine al trattamento dei propri dati personali
e dal fatto che questi sono raccolti ed utilizzati
per scopi determinati[12]. Non è stata ritenuta
sufficiente la previsione, ad opera della stessa
norma censurata, che richiede, ai fini della comunicazione
dei dati, “una adeguata informativa all'interessato
e, ove previsto dalla legge, la richiesta dello
specifico consenso”, perché questi istituti sono
configurati dalla legislazione statale come preliminari,
e comunque sempre obbligatori al trattamento da
parte dei privati o di enti pubblici economici[13].
Anche le disposizioni della legge regionale dedicate
al sistema informativo regionale, in particolare
l’art. 13 della legge regionale impugnata, sono
state ritenute in parte fondate. Come si è anticipato,
la Corte esclude al riguardo la rilevanza preclusiva
della competenza esclusiva del legislatore statale
in tema di “coordinamento informativo statistico
e informatico dei dati dell'amministrazione statale,
regionale e locale”, ma censura l'assenza, all’interno
di tale disposizione, di ogni riferimento espresso
al doveroso rispetto della normativa a tutela dei
dati personali. Configurandosi un vero e proprio
sistema informativo regionale, nel quale confluiscono
molteplici dati anche personali, sia ordinari che
sensibili, provenienti da diverse pubbliche amministrazioni,
ne consegue che tali dati, secondo la normativa
statale, possono essere utilizzati solo nei limiti
e con tutte le garanzie da essa poste in relazione
alla protezione dei dati personali. Il dispositivo
della pronuncia in esame si configura conseguentemente
additivo, sancendo l'illegittimità costituzionale
della disposizione impugnata nella parte in cui
non richiama espressamente il pieno rispetto della
legislazione statale sulla protezione dei dati personali[14].
|
| |
|
----------
|
| |
|
[1] Di cui rispettivamente alle lett.
l), m) e r) dell’art. 117, secondo comma, Cost.
[2] Tra i numerosi contributi sui livelli essenziali,
cfr. A. D'Aloia, Diritti e stato autonomistico.
Il modello dei livelli essenziali delle prestazioni,
in E. Bettinelli, F. Rigano (a cura di), La riforma
del Titolo V della Costituzione e la giurisprudenza
costituzionale, Torino, 2004, 80 ss; R. Manfrellotti,
R. Miranda, Determinazione dei livelli essenziali
e conferimento di funzioni amministrative: l'art.
117, comma 2, lett. m), Cost. come “parametro
presupposto” nel giudizio di costituzionalità,
450 ss.; L. Cuocolo, I livelli essenziali delle
prestazioni: spunti ricostruttivi ed esigenze di
attuazione, in Dir. econ., 2003, 389
ss.; E. Balboni, I livelli essenziali e i procedimenti
per la loro determinazione, in Le Regioni,
2003, 1183 ; M. Luciani, I diritti costituzionali
tra Stato e Regioni (a proposito dell'art. 117,
comma 2, lett. m), della Costituzione),
in Pol. Dir., 2002, 352.
[3] Secondo l’Avvocatura di Stato, la disciplina
della protezione dei dati personali sarebbe riconducibile
alla conformazione dei diritti fondamentali della
persona il cui livello di tutela “non può che essere
uniforme sul territorio nazionale”. Si ricorda tuttavia
l’esistenza di un orientamento giurisprudenziale
del Consiglio di Stato che nega la rilevanza costituzionale
del diritto alla riservatezza “allo stato dell’evoluzione
giurisprudenziale e normativa”, anche se tale diritto
integra un aspetto “di non secondaria rilevanza
della proiezione della persona e della conseguente
tutela”. Secondo tale orientamento “anche se alcune
espressioni di tale diritto hanno ricevuto adeguato
riconoscimento a livello costituzionale (artt. 13
ss.), non può certamente affermarsi che il diritto
alla riservatezza quale valore assoluto trovi diretta
tutela nella Carta costituzionale vigente come bene
primario ed inviolabile. Il diritto alla riservatezza
è allora destinato a recedere a fronte del principio
di buon andamento dell’amministrazione postulato
a livello costituzionale dall’art. 97”. In tali
termini, puntualmente, Cons. St., Sez. IV, 6 ottobre
2003, n. 5881, in www.giustizia.amministrativa.it.
[4] Come è noto, i soggetti pubblici possono trattare
i dati sensibili solo in base ad un’espressa disposizione
di legge nella quale siano specificati i tipi di
dati, le operazioni eseguibili e le finalità di
rilevante interesse pubblico perseguite. In presenza
di una fonte primaria che si limiti unicamente a
specificare la finalità di rilevante interesse pubblico,
tali soggetti devono identificare e rendere pubblici
i tipi di dati sensibili o giudiziari, nonché le
operazioni eseguibili in relazione alle finalità
perseguite nei singoli casi, al fine di rendere
legittimo il trattamento: a tale scopo sono tenuti
ad adottare o a promuovere l’adozione di un atto
di natura regolamentare conforme al parere reso
dal Garante per la protezione dei dati personali
sui relativi progetti (che può essere anche fornito
su schemi-tipo). Nonostante tale adempimento fosse
già previsto dall’art. 22, terzo comma, legge n.
675 del 1996, il Codice ha previsto un ulteriore
periodo transitorio di adeguamento per le pubbliche
amministrazioni, con scadenza originaria al 30 settembre
2004, poi prorogato al 31 dicembre 2005, per effetto
della l. 27 luglio 2004, n. 188, di conversione
del d.l. 24 giugno 2004, n. 158. Cfr. al riguardo
la Relazione annuale al Parlamento del Garante per
la protezione dei dati personali sull’attività svolta
nell’anno 2004, presentata in data 9 febbraio 2005,
in www.garanteprivacy.it, ed ivi in particolare
il punto 2.2. Sul ruolo di “supplenza legislativa”
nel frattempo esercitata dal Garante, cfr. A. Simoncini,
Autorità indipendenti e “costruzione” dell’ordinamento
giuridico: il caso del Garante per la protezione
dei dati personali, in Dir. pubb., 2000,
851 ss.; S. Foà, I regolamenti delle autorità
amministrative indipendenti, Torino, 2002, 70
ss. Il Garante per la protezione dei dati personali
ha sottolineato da tempo la problematica e la circostanza,
ribadita dal Codice, che le amministrazioni non
possono avvalersi, per il trattamento di dati sensibili,
di meri atti che, anche se denominati regolamenti,
non hanno, anche per la loro eventuale rilevanza
solo interna, la necessaria natura di fonte normativa
suscettibile di incidere su diritti e libertà fondamentali
di terzi (Provv. Garante del 17 gennaio 2002, in
Boll. n. 24, p. 40 e 16 giugno 1999, in Boll. n.
9, p. 19; note del Garante rivolte alla Presidenza
del Consiglio dei ministri il 10 settembre 1999,
il 10 novembre 2000 e il 3 maggio 2001, in Boll.
n. 9, p. 31, n. 14-15, p. 26 e n. 20, p. 36). Spetta
ai soggetti pubblici che trattano i dati adottare
l'atto di natura regolamentare, o avvalendosi dei
poteri ad essi riconosciuti dall'ordinamento di
riferimento, oppure promuovendo l'adozione di un
regolamento da parte della competente amministrazione
di riferimento la quale eserciti, ad esempio, poteri
di indirizzo e controllo (es.: artt. 4 e 14 d.lgs.
30 marzo 2001 n. 165 e, a titolo esemplificativo,
artt. 8 e ss. d.lgs. 30 luglio 1999, n. 300 e 9
d.lgs. 29 ottobre 1999, n. 419). Gli atti di natura
regolamentare da adottare devono essere predisposti
previa ricognizione attenta dei trattamenti di dati
sensibili e giudiziari in fase di attuale trattamento
o che si intende trattare in futuro. Occorre poi
tenere presente che potranno essere prese in considerazione
nei regolamenti le sole finalità di rilevante interesse
pubblico già individuate specificamente dal Codice
o, come quest'ultimo prevede, da un'espressa previsione
di legge che, anche se collocata fuori del Codice,
le evidenzi comunque puntualmente nei termini richiesti
(art. 20 e Parte II del Codice). La ricognizione,
che presuppone il necessario coinvolgimento delle
articolazioni interne del soggetto pubblico interessato,
permette a quest'ultimo di effettuare anche un'ulteriore
verifica circa la rispondenza dei trattamenti in
corso con i principi del Codice oggi già direttamente
applicabili (e ovviamente da rispettare anche in
sede regolamentare), nonché di adeguare prontamente
procedure in atto eventualmente non conformi a legge
(principio di indispensabilità in rapporto alle
finalità perseguite; verifiche periodiche dei vari
requisiti dei dati -esattezza, aggiornamento, pertinenza,
completezza, ecc.- e del loro rapporto con gli adempimenti
da svolgere; scelta di modalità volte a prevenire
violazioni di diritti e libertà fondamentali; raccolta
dei dati sensibili e giudiziari di regola presso
gli interessati; particolari cautele rispetto a
dati riferiti a terzi non direttamente interessati
ai compiti o adempimenti da svolgere; divieto di
diffusione di dati sulla salute ecc.: cfr. art.
22 del Codice). Da ultimo, cfr. Garante per la protezione
dei dati personali, Provvedimento generale del 30
giugno 2005, Trattamento dei dati sensibili nella
pubblica amministrazione, in G.U. 23
luglio 2005 n. 170.
[5] In particolare l'art. 15, comma 1, stabilisce
che «a garanzia dell'effettivo godimento del diritto
al lavoro di cui all'articolo 4 della Costituzione,
e nel pieno rispetto dell'articolo 120 della Costituzione
stessa, viene costituita la borsa continua nazionale
del lavoro, quale sistema aperto e trasparente di
incontro tra domanda e offerta di lavoro basato
su una rete di nodi regionali». Ed il comma 5 dello
stesso articolo prescrive che «il coordinamento
tra il livello nazionale ed il livello regionale
deve in ogni caso garantire, nel rispetto degli
articoli 4 e 120 della Costituzione, la piena operatività
della borsa continua nazionale del lavoro in ambito
nazionale e comunitario. A tal fine il Ministero
del lavoro e delle politiche sociali rende disponibile
l'offerta degli strumenti tecnici alle regioni e
alle province autonome che ne facciano richiesta
nell'ambito dell'esercizio delle loro competenze».
La Corte ha ritenuto inoltre dirimente l'art. 16,
che prevede: «1. Il Ministro del lavoro e delle
politiche sociali, con decreto da adottare entro
trenta giorni dalla data di entrata in vigore del
presente decreto legislativo, stabilisce, di concerto
con il Ministro della innovazione e della tecnologia,
e d'intesa con le regioni e le province autonome,
gli standard tecnici e i flussi informativi di scambio
tra i sistemi, nonché le sedi tecniche finalizzate
ad assicurare il raccordo e il coordinamento del
sistema a livello nazionale.
2. La definizione degli standard tecnici e dei flussi
informativi di scambio tra i sistemi avviene nel
rispetto delle competenze definite nell'Accordo
Stato-regioni-autonomie locali dell'11 luglio 2002
e delle disposizioni di cui all'articolo 31, comma
2, della legge 31 dicembre 1996, n. 675».
Infine, il comma 5 dell'art. 17 stabilisce che «in
attesa dell'entrata a regime della borsa continua
nazionale del lavoro il Ministero del lavoro e delle
politiche sociali predispone, d'intesa con la Conferenza
unificata di cui all'articolo 8 del decreto legislativo
28 agosto 1997, n. 281, uno o più modelli di rilevazione
da somministrare alle agenzie autorizzate o accreditate,
nonché agli enti di cui all'articolo 6. La mancata
risposta al questionario di cui al comma precedente
è valutata ai fini del ritiro dell'autorizzazione
o accreditamento». Ad avviso della Corte le norme
del decreto legislativo comportano, quindi, il coinvolgimento
delle regioni nella disciplina e gestione del sistema
informatico.
[6] Sull’e-government cfr. G. Vesperini (a
cura di), L’e-government, Milano, 2004, passim;
Id., Le strategie per l’innovazione tecnologica
delle amministrazioni pubbliche, in Giorn.
dir. amm., 2003, 669 ss.; M. Bombardelli, Informatica
pubblica, E-government e sviluppo sostenibile,
in Riv. it. dir. pubbl. comun., 2002, 991
ss. Con specifico riferimento alla protezione dei
dati personali, C. Manganelli, Progresso tecnologico
e protezione dei dati personali, in G. Santaniello
(a cura di), La protezione dei dati personali,
in Trattato di Diritto amministrativo, Vol.
XXXVI, Padova, 2005, 309 ss.
[7] Il primo comma, primo periodo, con disposizione
che non era stata impugnata, istituisce un Fondo
per il finanziamento di progetti di innovazione
tecnologica nelle pubbliche amministrazioni e nel
Paese. La seconda parte dello stesso primo comma,
oggetto di specifica censura, prevede che il Ministro
per l’innovazione e le tecnologie, di concerto con
il Ministro per la funzione pubblica e il Ministro
dell’economia e delle finanze, con «uno o più decreti
di natura non regolamentare», stabilisca le modalità
di funzionamento del Fondo, individui i progetti
da finanziare e, ove necessario, la relativa ripartizione,
tra le amministrazioni interessate, delle risorse
affluenti al Fondo stesso. Il secondo comma dello
stesso art. 26, invece – «al fine di assicurare
una migliore efficacia della spesa informatica e
telematica sostenuta dalle pubbliche amministrazioni,
di generare significativi risparmi eliminando duplicazioni
e inefficienze, promuovendo le migliori pratiche
e favorendo il riuso, nonché di indirizzare gli
investimenti nelle tecnologie informatiche e telematiche,
secondo una coordinata e integrata strategia» –
assegna al Ministro per l’innovazione e le tecnologie
una serie di poteri riconducibili alle suddette
finalità. In particolare il Ministro: a) definisce
con proprie direttive le linee strategiche, la pianificazione
e le aree di intervento dell’innovazione tecnologica
nelle pubbliche amministrazioni, e ne verifica l’attuazione;
b) approva, con il Ministro dell’economia e delle
finanze, il piano triennale ed i relativi aggiornamenti
annuali di cui all’art. 7 del decreto legislativo
12 febbraio 1993, n. 39, entro il 30 giugno di ogni
anno; c) valuta la congruenza dei progetti di innovazione
tecnologica che ritiene di grande valenza strategica
rispetto alle direttive di cui alla lettera a) ed
assicura il monitoraggio dell’esecuzione; d) individua
i progetti intersettoriali che devono essere realizzati
in collaborazione tra le varie amministrazioni interessate
assicurandone il coordinamento e definendone le
modalità di realizzazione; e) valuta, sulla base
di criteri e metodiche di ottimizzazione della spesa,
il corretto utilizzo delle risorse finanziarie per
l’informatica e la telematica da parte delle singole
amministrazioni; f) stabilisce le modalità con le
quali le pubbliche amministrazioni comunicano le
informazioni relative ai programmi informatici,
realizzati su loro specifica richiesta, di cui esse
dispongono, al fine di consentirne il riuso previsto
dall’art. 25, comma 1, della legge 24 novembre 2000,
n. 340; g) individua specifiche iniziative per i
comuni con popolazione inferiore a 5.000 abitanti
e per le isole minori; h) promuove l’informazione
circa le iniziative per la diffusione delle nuove
tecnologie.
[8] Sulle “procedure collaborative” R. Bin, Le
deboli istituzioni della leale cooperazione (nota
a Corte cost. 507/2002), in in Giur. cost.,
2002, 4189 s.; F. Pizzetti, Il sistema delle
conferenze e la forma di Governo italiana, in
Le regioni, 2000, 481 ss.; S. Agosta, Dall’intesa
in senso debole alla leale collaborazione in senso
forte? Spunti per una riflessione alla luce della
più recente giurisprudenza costituzionale tra (molte)
conferme e (qualche) novità, in Federalismi,
n. 3/2004; S. Bartole, Principio di collaborazione
e proporzionalità degli interventi statali in ambiti
regionali, in Giur. cost., 2003, 261
ss.
[9] La sentenza della Corte costituzionale 26 gennaio
2005, n. 31 è commentata da V. Sarcone, La leale
collaborazione vale anche per l’e-government?
Dalla Consulta un’occasione per trattare dell’innovazione
tecnologica nelle amministrazioni, in Federalismi,
n. 5/2005.
[10] Si veda al riguardo Garante per la protezione
dei dati personali, Nota 22 novembre 2004, in www.garanteprivacy.it.
Si può ricordare, al riguardo, che il Garante per
la protezione dei dati personali è intervenuto sanzionando
una Università pubblica per aver comunicato alcuni
dati personali dei propri studenti ad una casa editrice,
in violazione dell’art. 19, comma 3, d .lgs. n.
196 del 2003, non ritenendosi fonte idonea a consentire
tale operazione un decreto rettorale che non individuava
in modo puntuale i casi di comunicazione di dati
personali a privati: Garante per la protezione di
dati personali, Provvedimento 29 dicembre 2003 e
contestazione del 19 novembre 2004 riferita all’incompletezza
dell’informativa fornita agli studenti.
[11] Per un’analisi delle disposizioni del d. lgs.
n. 196 del 2003 dedicate al trattamento dei dati
nelle pubbliche amministrazioni, cfr. C. Zucchelli,
Regole generali per il trattamento dei dati nelle
amministrazioni pubbliche, in G. Santaniello
(a cura di), La protezione dei dati personali,
in Trattato di Diritto amministrativo, Vol.
XXXVI, Padova, 2005, 94 ss. Con riferimento alle
finalità di rilevante interesse pubblico, S. Foà,
Il trattamento dei dati personali per finalità
di rilevante interesse pubblico, ibidem,
344 ss.
[12] Sui principi generali del Codice sul trattamento
dei dati personali, G.P. Cirillo, Il nuovo codice
in materia di trattamento dei dati personali. Il
diritto alla protezione dei dati e gli schemi di
riferimento relativi alla tutela dei diritti fondamentali
della persona e dei c.d. diritti dell’interessato,
e G. Buttarelli, Profili generali del trattamento
dei dati personali, entrambi in G. Santaniello
(a cura di), La protezione dei dati personali,
cit., rispettivamente pp. 2 ss. e 61 ss.
[13] Cfr. artt. 13 e 23 del d.lgs. n. 196 del 2003.
[14] La dichiarazione d'incostituzionalità del primo
comma dell'art. 13 della legge regionale, nel senso
del doveroso rispetto da parte del Sistema informativo
regionale (SIR) della legislazione statale in materia,
ha consentito alla Corte di ritenere infondate le
censure formulate nei confronti dell'art. 14 della
medesima legge regionale, trattandosi di disposizione
meramente attuativa dell'art. 13, limitata alla
sola definizione di alcune modalità di funzionamento
del sistema informativo regionale.
|
|
|
|
|
|
|
| |
|
