Il d. lgs. 196/2003, come d’altronde molte altre normative tecniche, crea un sistema normativo particolare, talvolta complesso da comprendere e nel quale non è sempre agevole muoversi: tra linguaggi complicati e previsioni che si intrecciano, si inseriscono anche i provvedimenti del Garante ed è possibile fraintendere effetti e conseguenze.
La proroga concessa recentemente, ad esempio, non fa altro che confermare la sussistenza di obblighi specifici a carico degli organismi di mediazione pubblici e privati, anche se ad un occhio non allenato o ad una lettura superficiale potrebbe sembrare che la proroga sia relativa ad una specie di deroga. E’ una sorta di malcostume nazionale, infatti, quello di rendere in certo modo strutturale una soluzione creata in realtà solo per motivi contingenti: si può così notare che, in certi casi, con una mano il legislatore impone degli obblighi e con l’altra ne ritarda (per effetto di proroghe successive) il rispetto o l’osservanza.
LA PROROGA DELL’AUTORIZZAZIONE E’ UNA CONFERMA DEGLI OBBLIGHI LEGALI
Non è questo il caso della tutela dei dati personali negli organismi di mediazione. La proroga dell’autorizzazione, infatti, in questo caso è proprio una conferma – se mai ve ne fosse bisogno – degli obblighi che incombono su questi ultimi.
Anzi, a leggere attentamente il provvedimento, si nota che si tratta di una proroga limitata in attesa di un nuovo e diverso provvedimento autorizzativo, giacchè è stata valutata: <<la necessità di differire l’adozione di una nuova autorizzazione sostitutiva di quella sopra menzionata, al fine di completare il processo di armonizzazione e consolidamento delle prescrizioni già impartite, tenendo conto dell’esperienza maturata nella fase di prima applicazione della medesima e anche al fine di tenere in considerazione eventuali indicazioni e suggerimenti provenienti del settore interessato>>.
Nè si sarebbe potuta evitare la proroga: in mancanza, infatti, gli organismi non avrebbero potuto trattare dati personali sensibili o giudiziari e non avrebbero potuto di conseguenza operare in quelle mediazioni che hanno ad oggetto le condizioni di salute di una delle parti o la loro fedina penale. L’art. 26 del d. lgs. 196/2003 prevede, infatti: <<I dati sensibili possono essere oggetto di trattamento solo con il consenso scritto dell’interessato e previa autorizzazione del Garante, nell’osservanza dei presupposti e dei limiti stabiliti dal presente codice, nonché dalla legge e dai regolamenti>>.
L’AUTORIZZAZIONE DEL GARANTE E IL CONSENSO DELL’INTERESSATO COME PRESUPPOSTO PER POTER TRATTARE DATI SENSIBILI
Due sono quindi i presupposti per poter trattare i dati sensibili e giudiziari: A) il consenso dell’interessato e B) l’autorizzazione del Garante. Sono due aspetti distinti ed autonomi, anche se intimamente connessi e che devono necessariamente coesistere. Mentre per l’autorizzazione, attesa appunto la proroga, non ci sono problemi, merita una riflessione il consenso: gli organismi si procurano ed ottengono il consenso scritto per procedere al trattamento dei dati sensibili? E se non lo fanno, cosa succede?
Al riguardo si può notare che il codice per la tutela dei dati personali considera l’ipotesi che si possano trattare i dati sensibili senza consenso, però, solo in ipotesi espressamente (tassativamente) previste, tra cui, ai fini che a noi interessano, quella contemplata nella lettera c dell’art. 24 che esclude la necessità del consenso “quando il trattamento è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere in sede giudiziaria un diritto, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento. Se i dati sono idonei a rivelare lo stato di salute e la vita sessuale, il diritto deve essere di rango pari a quello dell’interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile”.
Vien da chiedersi: l’attività di mediazione è necessaria per far valere o difendere un diritto in sede giudiziaria? Probabilmente si con riferimento alla mediazione obbligatoria – e a dirla tutta solo per il soggetto istante che diversamente soffrirebbe l’improcedibilità della domanda, ma forse non anche per il convenuto-convocato che si limita a resistere e non avrebbe necessità di partecipare – un po’ meno se pensiamo a quella facoltativa.
Ora, leggendo l’autorizzazione originale (quella del 21 aprile 2011) si nota un esplicito richiamo ad altra autorizzazione (non applicabile alla mediazione) la n. 2/2009 in cui compare un’aggiunta che manca nel testo di legge: <<1.3. La presente autorizzazione è rilasciata, altresì, quando il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale sia necessario per: a) lo svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o comunque per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria, nonché in sede amministrativa o nelle procedure di arbitrato e di conciliazione nei casi previsti dalle leggi, dalla normativa comunitaria, dai regolamenti o dai contratti collettivi, sempre che il diritto sia di rango pari a quello dell’interessato, ovvero consistente in un diritto della personalità o in altro diritto o libertà fondamentale e inviolabile, e i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario per il loro perseguimento>>
Un’autorizzazione del Garante può prevedere qualcosa (il riferimento alla conciliazione) che nella legge non c’è? E’ vero che il codice per la tutela dei dati personali è del 2003 e la legge sulla mediazione è del 2010, ma è pur vero che l’autorizzazione è un atto emanato da una autorità indipendente che opera in ambito amministrativo e dunque può svolgere la funzione legislativa solo ove questa le sia espressamente delegata.
NECESSITA’ DEL CONSENSO SCRITTO E LIMITI AL TRATTAMENTO
Insomma, quantomeno per le mediazioni facoltative, prima di usare certificati medici o cartelle cliniche forse non sarebbe male – sarà un eccesso di zelo? – procurarsi il consenso scritto dell’interessato.
Ovviamente restano fermi in ogni caso, tutti gli altri principi, limiti ed obblighi in tema di dati sensibili:
- Il trattamento può riguardare i soli dati sensibili attinenti ai soggetti coinvolti nella controversia oggetto di conciliazione.
- I dati sensibili relativi ai terzi possono essere trattati ove ciò sia strettamente indispensabile per l’attività di mediazione.
- Il trattamento può riguardare i soli dati e le sole operazioni che risultino indispensabili, pertinenti e non eccedenti in relazione alla specifica controversia oggetto di mediazione e rispetto ad attività che non possano essere svolte mediante il trattamento di dati anonimi o di dati personali di natura diversa.
- Il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale deve essere effettuato anche nel rispetto della citata autorizzazione generale n. 2/2009.
- Nel quadro del rispetto dell’obbligo previsto dall’art. 11, comma 1, lett. e), del Codice, i dati sensibili possono essere conservati, per il periodo di tempo previsto dalla normativa comunitaria, da leggi, o da regolamenti e, comunque, per un periodo non superiore a quello strettamente necessario per la gestione dell’attività di mediazione.
- A tal fine, anche mediante controlli periodici, deve essere verificata la stretta pertinenza, non eccedenza e indispensabilità dei dati rispetto agli incarichi in corso, da instaurare o cessati, anche con riferimento ai dati che l’interessato fornisce di propria iniziativa. I dati che, anche a seguito delle verifiche, risultano eccedenti o non pertinenti o non indispensabili non possono essere utilizzati, salvo che per l’eventuale conservazione, a norma di legge, dell’atto o del documento che li contiene. Specifica attenzione è prestata per l’indispensabilità dei dati riferiti a soggetti diversi da quelli cui si riferiscono direttamente le prestazioni e gli adempimenti.
LA NORMATIVA SULLA PRIVACY SI APPLICA SIA AGLI ORGANISMI PUBBLICI CHE PRIVATI
Un’ultima notazione: il Garante nell’autorizzazione non opera alcuna distinzione tra organismi pubblici o privati il che significa che il provvedimento va a sommarsi ai diversi adempimenti che spettano agli uni ed agli altri. I soggetti pubblici – in generale – perseguono interessi particolari e – di norma, al contrario del privato – per le finalità istituzionali non debbono richiedere il consenso. Il fine istituzionale, però, deve essere individuato come tale o dalla legge o per il tramite di un apposito provvedimento del Garante che però difetta. L’art. 20 del codice, infatti, prevede che: <<1.Il trattamento dei dati sensibili da parte di soggetti pubblici è consentito solo se autorizzato da espressa disposizione di legge nella quale sono specificati i tipi di dati che possono essere trattati e di operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite. 2. Nei casi in cui una disposizione di legge specifica la finalità di rilevante interesse pubblico, ma non i tipi di dati sensibili e di operazioni eseguibili, il trattamento è consentito solo in riferimento ai tipi di dati e di operazioni identificati e resi pubblici a cura dei soggetti che ne effettuano il trattamento, in relazione alle specifiche finalità perseguite nei singoli casi e nel rispetto dei principi di cui all’articolo 22, con atto di natura regolamentare adottato in conformità al parere espresso dal Garante ai sensi dell’articolo 154, comma 1, lettera g), anche su schemi tipo (1) . 3. Se il trattamento non è previsto espressamente da una disposizione di legge i soggetti pubblici possono richiedere al Garante l’individuazione delle attività, tra quelle demandate ai medesimi soggetti dalla legge, che perseguono finalità di rilevante interesse pubblico e per le quali è conseguentemente autorizzato, ai sensi dell’articolo 26, comma 2, il trattamento dei dati sensibili. Il trattamento è consentito solo se il soggetto pubblico provvede altresì a identificare e rendere pubblici i tipi di dati e di operazioni nei modi di cui al comma 2 (1). 4. L’identificazione dei tipi di dati e di operazioni di cui ai commi 2 e 3 è aggiornata e integrata periodicamente>>.
Considerato che per legge l’attività di mediazione può essere svolta sia da soggetti privati che da enti pubblici, non sembrano sussistere margini per un trattamento differenziato in favore dei soggetti pubblici come le Camere di Commercio o gli Organismi costituiti presso gli Ordini Professionali.
EVENTUALI SANZIONI PENALI E AMMINISTRATIVE
Come si dice tutto cambia affinché nulla cambi: attenzione allora perché non solo non ci sono motivi per abbassare la guardia, ma anzi questa va alzata per evitare provvedimenti del Garante (sospensione o blocco del trattamento o prescrizioni particolari) o richieste di danni per le quali l’organismo si trova in posizione decisamente svantaggiata attesa la definizione (art. 15 del codice) del trattamento quale attività pericolosa ai sensi dell’art. 2050 c.c. che comporta – di fatto – una scomodissima inversione dell’onere probatorio (non è il danneggiato – l’interessato – a dover dar prova del danno, ma l’organismo a dover provare che il danno non è ad esso imputabile).
E’ solo il caso di ricordare che il Garante può avvalersi della collaborazione con il corpo della Guardia di Finanza per le ispezioni e l’accertamento delle violazione della normativa che, come noto, prevede anche gravi sanzioni penali con la reclusione fino a due anni a carico del titolare (in questo caso, probabilmente, in linea di massima, e salvo organigrammi particolari o deleghe, i responsabili degli organismi) per la mancata adozione delle misure minime di sicurezza ai sensi dell’art. 33 del codice (trattasi di reato omissivo puro di condotta punito, quindi indipendentemente dall’intenzione di arrecare danno che, anzi può benissimo mancare, senza che ciò possa valere ad alleviare la posizione del reo).
Le sanzioni amministrative, invece, punibili anche a titolo di sola colpa riguardano la mancata informativa e soprattutto il trattamento effettuato in violazione delle misure minime di cui sopra: per quest’ultima violazione il minino della sanzione è 10.000 euro ed il massimo 120.000. La norma reca un pericoloso inciso: “in ogni caso”; ciò sembra indicare indipendentemente dalla vicenda penale (magari conclusa con un patteggiamento o coperta da amnistia o indulto). Inoltre in mancanza di ulteriori indicazione ed atteso il richiamo (operato dall’art. 165) alla legge 689/1981 appare lecito ipotizzare un concorso di responsabilità. L’art. 5 della legge da ultimo citata prevede, infatti, che “quando più persone concorrono in una violazione amministrativa, ciascuna di esse soggiace alla sanzione per questa disposta, salvo che sia diversamente stabilito dalla legge”. Considerata l’ampia formulazione contenuta nell’art. 162, comma 2 bis, (“In caso di trattamento di dati personali effettuato in violazione delle misure indicate nell’articolo 33…”) e l’imputabilità a titolo di colpa potrebbero divenire corresponsabili oltre al titolare del trattamento che ha materialmente omesso l’adozione delle misure minime (autenticazione, controllo, autorizzazione, backup etc…) anche il mediatore ed il personale di segreteria. A questo punto sembra irrinunciabile l’esigenza di formazione (che a sua volta rientra tra le misure minime), talvolta magari omessa o sottovalutata: non tutti infatti, come detto all’inizio, sono in grado di rendersi conto delle reali conseguenze che discendo dalla violazione della legge sulla privacy. L’art. 19.6 dell’allegato B (richiamato a sua volta dall’art. 34 del codice) disciplina, infatti: “la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell’ingresso in servizio, nonchè in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali”