Note sull'applicazione della legge 675/96 nelle biblioteche pubbliche di ente locale.
a cura di Franco Perini

Premessa
La legge 675/96 che regola il trattamento di dati personali ha introdotto alcuni obblighi a carico dei titolari del trattamento: queste disposizioni riguardano anche i trattamenti effettuati dagli enti pubblici non economici. Le biblioteche pubbliche, nazionali o di ente locale, sono dunque coinvolte e devono adeguare le loro procedure o i loro regolamenti per mettersi in regola. La normativa in questione non appare sempre chiara, pertanto si sente da più parti l'esigenza di avere delle indicazioni attendibili sul da farsi. La Provincia di Milano - Settore Cultura - ha inserito tra i seminari per gli addetti, programmati all'interno del progetto sulla Multimedialità, un seminario dedicato alla legge 675 del 1996 avvalendosi della consulenza dell'avv. Pietro Tamburrini dello studio legale Tamburrini Savi & Associati. Il seminario, tenutosi in data 18.09.1997, e' risultato molto utile agli operatori presenti, e grazie alla disponibilità dell'avv. Tamburrini, che ha successivamente risposto per iscritto ad alcuni quesiti di chiarificazione da noi inoltrati, siamo stati in grado di stilare una serie di indicazioni relative all'applicazione della 675/96 nelle biblioteche di ente locale.
Ci sentiamo di proporlo all'attenzione dei colleghi che fossero interessati, purché lo prendano con beneficio di inventario: non e' un testo redatto da un giurisperito, ma da un bibliotecario che ne ha consultato uno!

Obblighi di legge e disposizioni introdotte dalla legge 675 del 1996
Il titolare  cui competono le decisioni in ordine alle finalità ed alle modalità del trattamento di dati personali, ivi compreso il profilo della sicurezza è, nel caso di una Biblioteca Comunale, l'ente Comune di appartenenza.  (art.1)

Ambiti di applicazione:  l'ambito di applicazione copre anche il trattamento dei dati personali effettuato dalle biblioteche,  prece riguarda chiunque effettui trattamenti di dati personali sul territorio nazionale. (art.2)

Trattamenti non elettronici dei dati personali: il trattamento di dati personali svolto senza l ausilio di mezzi elettronici, o comunque automatizzati, e' soggetto alla medesima disciplina prevista per il trattamento effettuato con l'ausilio di tali mezzi. (art. 5) Gli archivi cartacei sono dunque sottoposti alla medesima disciplina di quelli elettronici o automatizzati.

Trattamento dei dati personali da parte di soggetti pubblici non economici

Art. 27 - Trattamento da parte di soggetti pubblici

1. Salvo quanto previsto al comma 2, il trattamento di dati personali da parte di soggetti pubblici, esclusi gli enti pubblici economici, e' consentito soltanto per lo svolgimento delle funzioni istituzionali, nei limiti stabiliti dalla legge e dai regolamenti.

2. La comunicazione e la diffusione a soggetti pubblici, esclusi gli enti pubblici  economici, dei dati trattati sono ammesse quando siano previste da norme di legge o  di regolamento, o risultino comunque necessarie per lo svolgimento delle funzioni istituzionali.

L'interpretazione accreditata dell'art. 27 vuole che l'ente pubblico possa effettuare qualsiasi trattamento purché sia finalizzato allo svolgimento delle funzioni istituzionali. I limiti stabiliti dalla legge e dai regolamenti , a cui si fa riferimento nel finale del primo comma dell'art. 27, non sono da intendersi nel senso che e' richiesta una esplicita previsione o disposizione di legge o di regolamento per legittimare i trattamenti, ma che sia a livello di legge che di regolamento si potrà normare in materia.  E' chiaro che, essendoci un margine di discrezionalità' in ciò che può  ritenersi strumentale allo svolgimento delle funzioni istituzionali, potrà' risultare conveniente introdurre delle modifiche ai regolamenti, in modo tale da prevedere esplicitamente i trattamenti che si ritengono utili. In buona sostanza gli enti locali potranno servirsi della loro facoltà' di emanare regolamenti per autorizzare i trattamenti di dati personali effettuati dalla biblioteca (un ulteriore vantaggio che deriva dal prevedere in sede di regolamento i trattamenti da effettuare riguarda l'esonero dalla notifica al Garante, come si dirà più avanti).
 Attenti però: queste disposizioni non valgono qualora si abbia a che fare con dati sensibili.

Trattamento di dati personali -sensibili- da parte di soggetti pubblici non economici

Art. 22 -1. I dati personali idonei a rivelare l'origine razziale ed etnica, le   convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale, possono essere oggetto di trattamento solo con il consenso scritto  dell'interessato e previa autorizzazione del Garante.
Art. 22 - 3. Il trattamento dei dati indicati al comma 1 da parte di soggetti pubblici, esclusi gli enti pubblici economici, e' consentito solo se autorizzato da espressa  disposizione di legge nella quale siano specificati i dati che possono essere trattati,  le operazioni eseguibili e le rilevanti finalità di interesse pubblico perseguite.


Negli art. 22 e 23 la legge individua una classe di dati personali, che chiama sensibili, per il trattamento dei quali varranno cautele supplementari. Infatti contrariamente a quanto previsto per il trattamento dei dati personali non sensibili, non basta  un regolamento per autorizzare il trattamento dei dati di tipo sensibile, né la necessità che può derivare dallo svolgimento delle funzioni istituzionali, ma è richiesta un'espressa disposizione di legge.

La definizione di dato sensibile crea però, a mio avviso, non poche incertezze.
Mi pare infatti che un dato possa essere più o meno sensibile a seconda del contesto o delle circostanze. Un cognome ebreo non è un dato sensibile in Israele, ma può esserlo altrove. Essere un religioso di professione e abitare presso un convento di carmelitani non ci da forse un insieme di dati personali idonei a ricavare informazioni classificate come "sensibili"? Eppure io ho solo chiesto cosa fai e dove abiti!
Forse non dobbiamo aspettarci che i dati sensibili siano etichettati come tali già in partenza (come invece sembra indurci a pensare il legislatore prevedendo una giustificazione di accompagnamento che faccia riferimento alle alte finalità perseguite nella raccolta), ma dobbiamo imparare a riconoscerli tra quelli che comunemente trattiamo o tratteremo.  In merito a ciò che dobbiamo ritenere dato sensibile ci chiediamo: le informazioni relative ai documenti richiesti in prestito nel corso del tempo sono da  considerare dati sensibili? E se si, quale legge autorizza il loro mantenimento nel corso del tempo?

Notificazione al garante
L' art. 7 comma 5-ter stabilisce che a) "il trattamento non e' soggetto a notificazione quando e' necessario per l'assolvimento di un compito previsto dalla legge, da un regolamento o dalla normativa comunitaria, relativamente a dati diversi da quelli indicati negli articoli 22 e 24".
Se le leggi o i regolamenti in vigore non prevedono nulla, niente paura: nel caso delle biblioteche l'esonero dalla notificazione al garante e' assicurato laddove sia possibile applicare  quanto previsto appositamente dall'art. 7 comma 5-ter che dispone i) il trattamento non e' soggetto a notificazione quando e' effettuato per esclusive finalità dell'ordinaria gestione di biblioteche, musei e mostre, in conformità alle leggi e ai regolamenti, ovvero per la organizzazione di iniziative culturali o sportive o per la formazione di cataloghi e bibliografie.
Da notare che in questo caso non e' prevista nessuna eccezione per i dati del tipo indicato negli articoli 22 e 24; ma vale la limitazione riferita alle esclusive finalità dell'ordinaria gestione. Nell'ipotesi  di un cognome che riveli un'origine etnica, dato da considerarsi in questo caso sensibile,  l'ordinaria gestione in conformità alle leggi e ai regolamenti giustifica il trattamento del dato senza procedura di notificazione, rimanendo però in vigore le disposizioni relative al consenso (cfr. art .22)
In tutti gli altri casi, cioè se il trattamento dei dati personali (non di tipo sensibile) effettuato da una biblioteca pubblica e' strumentale al raggiungimento dei fini istituzionali ma non e' previsto ne' da leggi ne' da regolamenti (cosa che abbiamo visto essere possibile) ne' attenga alla finalità dell'ordinaria gestione della biblioteca stessa, si incorre nell'obbligo della notifica al garante nelle modalità previste dalla legge.

Consenso  (art.11)
La richiesta del consenso all'interessato, preliminarmente al trattamento dei suoi dati personali, non riguarda gli enti pubblici non economici, a meno che non si tratti di dati sensibili. In questo caso, e solo in questo caso, la richiesta del consenso e' obbligatoria.

Nomina del responsabile
A discrezione del titolare del trattamento può essere nominato un responsabile secondo le modalità previste dall'art. 8 della legge 675/96.

Modalità di raccolta
Secondo quanto previsto dall'art. 9 I dati personali oggetto di trattamento devono essere: a) trattati in modo lecito e secondo correttezza; b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini non incompatibili con tali scopi; c) esatti e, se necessario, aggiornati; d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati; e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati.
I dati personali che si raccolgono al momento dell'iscrizione in biblioteca dovranno corrispondere a queste direttive: attenti dunque ai dati eccedenti (se un dato non lo uso non posso raccoglierlo), alla pertinenza, ai periodi di conservazione ecc.

Informativa all'interessato
Una informativa, secondo le specifiche previste dalla legge,  art. 10,  e' sempre dovuta se i dati sono raccolti presso l'interessato (come accade nelle biblioteche al momento dell'iscrizione). L'informativa potrebbe essere resa a voce, sebbene il garante abbia manifestato in più occasioni di preferire un'informativa scritta. La bozza di informativa che sarà presentata alla commissione tecnica del sistema Nord-Est della Provincia di Milano per la sua introduzione in tutte le biblioteche associate la trovate qui

Diritti dell'interessato
Si devono predisporre le procedure per ottemperare alle richieste di cui all'art. 13

Sicurezza dei dati
L'art. 15  prevede l'obbligo di adottare  misure di sicurezza nella custodia e nel controllo dei dati personali oggetto di trattamento, secondo le specifiche individuate con regolamento collegato. L'obbligo a predisporre tecniche di sicurezza che garantiscano standard stabiliti  riguarda anche gli archivi cartacei per i quali andranno predisposte le opportune forme di protezione. Mi sembra di capire che chi ha ancora in uso le schedine per la gestione cartacea dei movimenti di prestito dovrà metterle sotto chiave quando non sono in uso.

Nomina degli incaricati per iscritto Art. 19 Si devono nominare per iscritto gli incaricati ad effettuare i trattamenti dei dati personali, altrimenti la conoscenza dei dati personali trattati, da parte delle persone che effettuano il trattamento, si deve considerare conseguenza di una "comunicazione"; la comunicazione e la diffusione di dati personali e' resa legittima solo se corrisponde ad una serie di procedure e di criteri molto restrittivi.

 Per gli aggiornamenti alla legge  e altro: http://www.privacy.it/


    Biblioteca Civica Cologno Monzese

Autore Franco Perini     
redatta il 02/10/1997

 ultima revisione
20/06/2002

  © Comune di Cologno Monzese (MI)

URL di questa pagina:
http://www.biblioteca.colognomonzese.mi.it/documenti/legge675.htm