1. La L. n. 104/92 - art. 12, comma 5 - impone ai genitori degli alunni disabili l’onere di produrre all’amministrazione scolastica l’attestazione di persona in situazione di handicap se intendono fruire dei benefici normativi connessi al processo d’integrazione.

2. Il DPR 24/2/1994 ha regolato le procedure riguardanti l’acquisizione da parte della scuola di tale attestazione e della conseguente diagnosi funzionale.

3. Le Circolari ministeriali nn. 262/88 e 363/94 dettano disposizioni circa gli adempimenti dei genitori e dell’amministrazione scolastica relative all’iscrizione degli alunni in situazione di handicap.

4. La L. n. 675/97 regola in modo rigido le seguenti operazioni:

- autorizzazione del Garante al trattamento, comunicazione e diffusione dei dati personali;
- comunicazione all’interessato circa il trattamento, la comunicazione e la diffusione dei dati personali, dei dati sensibili e di quelli particolarmente sensibili;
- acquisizione del consenso "informato" da parte del responsabile del trattamento.

Questi gli antefatti; oggi per l’amministrazione scolastica, ed in particolare per i capi d’istituto e i provveditori agli studi, si pongono problemi delicati di possibile responsabilità civile e di sanzioni amministrative, in quanto, essendo essi "responsabili del trattamento e della comunicazione" (da scuola a provveditorato, da scuola ad altra scuola) e della "diffusione" (iscrizione in registri scolastici, pubblicazione di quadri con i risultati degli scrutini), possono incorrere in involontarie violazioni della L. n. 675/97.
Il Garante ha emanato un decreto recante l’autorizzazione generale alle ASL per il trattamento dei dati personali dei pazienti, confermando però l’obbligo a "richiedere per iscritto il consenso informato scritto dell’interessato".
Tale autorizzazione generale non riguarda però l’autorità scolastica, che, secondo la legge, dovrebbe richiederla, caso per caso, al Garante, a meno che questi non emani al riguardo un’autorizzazione "generale". Rimarrebbe comunque il problema di come informare tutti gli interessati e di come raccogliere il loro consenso circa i dati personali, quelli sensibili (minorazioni, disabilità ed handicap) e quelli "particolarmente sensibili" (malattie genetiche).

Segnaliamo questa situazione di fatto - che può in qualche modo incrociarsi con l’attività di alcuni organismi di volontariato - per dire che il Ministero della pubblica istruzione dovrebbe forse ottenere dal Governo un decreto legislativo di esenzione o di chiarificazione, simile a quello già emanato a favore del Ministero delle finanze e dei sostituti di imposta.

Assumiamo l’impegno di dare notizia di ogni futura iniziativa diretta a risolvere il problema.

Il Governo ha emanato il decreto legislativo 11.05.1999 n. 135 (G.U. n. 113/1999) sul trattamento dei dati sensibili (salute, opinioni filosofiche o religiose, abitudini sessuali) da parte di soggetti pubblici.
Le operazioni relative ai dati, individuate dal decreto nell’esercizio di "rilevante interesse pubblico", non necessitano di specifiche autorizzazioni del Garante sulla tutela dei dati personali e possono essere svolte purchè se ne dia informazione agli interessati.

Fra tali operazioni si segnalano quelle relative a:

- istruzione;
- benefici economici (ad es. pensione ai disabili), contributi economici (ad es. ad una associazione);
- trattamento dei dati delle organizzazioni di volontariato (ad es. iscrizione nei registri regionali, convenzioni) e degli obiettori di coscienza;
- assistenza sanitaria ivi compresa quella agli stranieri;
- trapianti d’organo e trasfusioni di sangue;
- instaurazione di rapporti tra ASL e soggetti accreditati;
- interruzione volontaria della gravidanza;
- tossicodipendenze;
- persone in situazione di handicap;
- rapporti tra pubbliche amministrazioni ed enti di culto.

Le recenti autorizzazioni del Garante per la protezione dei dati personali, tengono ovviamente conto di una normativa e di una terminologia sulle quali abbiamo già tentato di dissipare almeno un po' di nebbia.
L’analisi del testo dell'autorizzazione n. 3/97- necessariamente superficiale e da completare con l’aiuto della Gazzetta - fa rilevare almeno 7 punti:

1. in forza di questo provvedimento vari organismi associati, anche non riconosciuti - comprese le organizzazioni di volontariato e le loro federazioni - sono autorizzati d’ufficio dal Garante (non occorre richiesta) a trattare dati sensibili in loro possesso, fermo restando l’obbligo di acquisire il consenso scritto della persona alla quale i dati stessi si riferiscono;

2. l’autorizzazione è rilasciata per il perseguimento di scopi determinati e legittimi individuati dall’atto costitutivo, dallo statuto o dal contratto collettivo, ove esistenti, e in particolare per il perseguimento di finalità culturali, religiose, politiche, sindacali, sportive o agonistiche di tipo non professionistico, di istruzione, di formazione, di ricerca scientifica, di patrocinio, di tutela dell’ambiente e delle cose d’interesse artistico e storico, di salvaguardia dei diritti civili, nonchè di beneficenza, assistenza sociale o socio-sanitaria;

3. per tali fini, il trattamento dei dati sensibili può riguardare anche la tenuta di registri e scritture contabili, di elenchi, di indirizzari e di altri documenti necessari per la gestione amministrativa dell’organismo associativo, o per l’adempimento di obblighi fiscali, ovvero per la diffusione di riviste, bollettini e simili.
Qualora le varie associazioni si avvalgano di persone giuridiche o di altri organismi con scopo di lucro per perseguire le predette finalità, e in particolare di società editoriali o di centri di assistenza fiscale, l’autorizzazione è rilasciata anche ai medesimi organismi e persone giuridiche;

4. il trattamento autorizzato d’ufficio riguarda

- gli associati, i soci e, in casi particolari, i relativi familiari e conviventi
- gli aderenti, i sostenitori o sottoscrittori, i soggetti che presentano richiesta di ammissione o di adesione o che hanno contatti regolari con l’organismo associativo
- i soggetti che ricoprono cariche sociali o onorifiche
- i beneficiari, gli assistiti e i fruitori delle attività o dei servizi prestati dall’associazione, limitatamente ai soggetti individuabili in base allo statuto o all’atto costitutivo, ove esistenti.

5. l’autorizzazione d’ufficio del Garante non può essere estesa agli obblighi previsti da norme di legge o di regolamento o dalla normativa comunitaria che stabiliscono divieti o limiti in materia di trattamento di dati personali, nonchè alle norme dirette a prevenire le varie forme di discriminazione, in particolare quelle per motivi razziali, etnici, nazionali, religiosi, di delitti di genocidio;

6. l’autorizzazione è decorsa dal 30 novembre 1997 (in questo senso ha sanato il preesistente obbligo per quella data) ed è valida fino al 30 settembre 1998;

7. elementi per l’identificazione del testo esaminato: "Autorizzazione n. 3/1997 al trattamento dei dati sensibili da parte degli organismi di tipo associativo e delle fondazioni".

P.S.  Provvedimento del Garante in data 28.11.’97 - G.U. n. 279/1997.

1. Rispettivamente in data 19 novembre ‘97(G.U. n. 272) e 27 novembre ‘97 (G.U. n. 279), il Garante per la protezione dei dati personali ha emesso le seguenti due altre autorizzazioni che possono interessare le organizzazioni di volontariato:

"Autorizzazione n. 1/1997 al trattamento dei dati sensibili nei apporti di lavoro";

"Autorizzazione n. 2/1997 al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale".

2. Con un proprio comunicato l’ufficio del Garante ha consigliato la seguente formula da inserire nei moduli di adesione da parte di nuovi associati: "Ricevuta l’informativa sull’utilizzazione dei miei dati personali, ai sensi dell’art. 10 della legge n. 675/96, consento al loro trattamento nella misura necessaria per il perseguimento degli scopi statutari".

Una nuova direttiva. Proprio recentemente il Garante per la protezione dei dati personali ha esaminato gli interrogativi e le istanze di alcuni enti locali riguardanti i doveri che incombono in materia di privacy sulle società incaricate dalle amministrazioni comunali e provinciali di produrre alcuni servizi di pubblica utilità; l’esame si è concretizzato nella direttiva (G.U. n. ..../1998) il cui significato supera l’ambito del caso specifico posto dalle relative istanze.

Ecco alcuni contenuti della direttiva che assumono valore anche per gli organismi di volontariato chiamati a fornire servizi sul territorio in base a rapporti convenzionali:

1. le norme della legge n. 675/1996 sulla tutela dei dati personali debbono armonizzarsi con ogni altra disposizione in vigore che attribuisce alle amministrazioni pubbliche compiti e poteri per affrontare con controparti private materie finalizzate alla cura di interessi che riguardano l’intera collettività.

2. Sono stabilite regole diverse a seconda che il "trattamento" dei dati venga effettuato da un soggetto pubblico o da uno privato.

3. I soggetti pubblici (regioni, comuni, province, ASL, ...) non devono richiedere - a differenza di quelli privati - il consenso degli interessati per poter "trattare" i dati personali ma devono verificare che i loro comportamenti in materia rispettino determinate regole fissate dalla legge 675/’96 (art. 27).

4. Poichè nello svolgimento dei propri compiti istituzionali i soggetti pubblici possono ricorrere alla collaborazione dei privati attraverso concessioni-appalti-convenzioni, si verificano due diversi obblighi di comportamento a seconda che i privati stessi assumano la figura dei collaboratori esterni che coadiuvano l’amministrazione pubblica la quale resta responsabile dell’intera attività (compreso il "trattamento" dei dati personali), oppure si pongano come soggetti del tutto distinti anche sul piano della responsabilità.

"Nel primo caso, ai fini dell’applicazione della legge n. 675/1996, il privato è parte sostanziale della struttura pubblica ed è quindi vincolato ad utilizzare i dati per le sole finalità perseguite dall’amministrazione in base al particolare regime previsto per quest’ultima. In questo stesso caso, si rende necessario un apposito atto scritto dell’amministrazione (anche nell’ambito di una disposizione inserita in un articolo di una convenzione, oppure in un provvedimento amministrativo o in un atto di diritto privato), che deve indicare, nei confronti del privato cui è stato demandato il trattamento, chi svolga l’eventuale ruolo del "responsabile" (art. 8 legge n. 675/1996). E’ necessario inoltre che i dipendenti della struttura privata operino in qualità di "incaricati del trattamento", sotto la diretta sorveglianza e secondo le istruzioni del titolare e del responsabile (artt. 8, comma 5, e 19 legge n. 675/1996).

Nel secondo caso, invece, il privato deve essere considerato come un soggetto autonomo che tratta i dati in base alle regole previste per i soggetti privati e per gli enti pubblici economici (e che è quindi tenuto a valutare l’esigenza di richiedere un consenso agli interessati: artt. 12 e 20 legge n. 675/1996".

La G.U. n° 216 del 14/09/1999 pubblica il D.P.R. 28/07/1999 n° 318, il quale è relativo alla sicurezza nel trattamento dei dati personali effettuato anche da organizzazioni di volontariato e a tale proposito riporta il regolamento applicativo dell'art. 15 della L. 675/96 sulle modalità di sicurezza del trattamento dei dati personali che debbono essere adottate dai titolari o dai responsabili dello stesso.
Nel caso di trattamento di dati per interesse esclusivamente personale (un'agendina, p.e.), contenuti in un computer è sufficiente fissare una parola chiave che renda impossibile a terzi l'accesso, oltre che una protezione elettronica dei dati medesimi.

Nel caso invece di dati trattati in rete, accessibile o meno a terzi, oltre alla parola chiave ed alla protezione elettronica, il titolare deve fissare un codice identificativo per ciascun incaricato del trattamento (coloro che materialmente digitano i dati o che vi accedono per trattarli) e per coloro che effettuano la manutenzione o le interconnessioni in rete.

Analogamente il titolare deve comportarsi con gli utenti ammessi alla consultazione dei dati custoditi; non occorrono tutte queste precauzioni se esiste l'autorizzazione del garante per la diffusione al pubblico dei dati trattati (elenchi telefonici p. e.).

Se si tratta di dati sensibili (concernenti la salute, le opinioni politiche e religiose, l'appartenenza ad associazioni), oltre a quanto sopra, il titolare deve dare a ciascun incaricato, utente o manutentore una apposita autorizzazione, rivedibile ogni sei mesi, che deve essere revocata in caso di cessazione dai compiti.
Nel caso di dati sensibili accessibili in rete al pubblico, il titolare deve predisporre un "documento" annuale contenente i criteri per le particolari misure di sicurezza.

Nel caso di dati sensibili i dischetti usati e non più necessari debbono essere distrutti a meno che la cancellazione dei dati precedenti sia sicura.

Qualora i dati non siano conservati su supporto elettronico (registri, schede cartacee, etc.) il titolare ha l'obbligo di assegnare specifici settori in appositi locali ai singoli incaricati del trattamento, i quali hanno l'obbligo di custodire i dati in spazi muniti di serratura, se trattasi di dati sensibili. (S. Nocera)

Individuazione di attività che perseguono rilevanti finalità di interesse pubblico per le quali è autorizzato il trattamento dei dati sensibili da parte dei soggetti pubblici.
Provv. del Garante per la protezione dei dati personali n. 1/P/2000/13.1.2000 – G.U. n. 26/2000.

Tale provvedimento del "Garante per la protezione dei dati personali" merita di essere conosciuto perché fissa regole che riguardano attività da sempre oggetto privilegiato dell’azione del volontariato.
Vocabolario:

 trattamento: è qualunque operazione svolta con o senza l’ausilio di mezzi elettronici o comunque automatizzati, che riguardano la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione, la modifica, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati (non è uno scioglilingua);

 dati personali sensibili: sono quelli idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.

Rispetto al trattamento di questi dati da parte di soggetti pubblici (p.e. regioni, comuni, province, aziende sanitarie locali, uffici dello Stato, esclusi comunque gli enti economici) erano sorti dubbi e complicazioni che proprio il nuovo provvedimento del Garante-privacy cerca di risolvere individuando gli ambiti e autorizzando l’uso di "dati sensibili" inerenti le seguenti attività di interesse generale che determinati soggetti pubblici sono chiamati a svolgere per disposizione di legge:

· attività socio-assistenziali, con particolare riferimento a:

a. interventi di sostegno psico-sociale e di formazione in favore di giovani o di altri soggetti che versano in condizioni di disagio sociale, economico o familiare;

b. interventi anche di rilievo sanitario in favore di soggetti bisognosi o non autosufficienti o incapaci, ivi compresi i servizi di assistenza economica o domiciliare, di telesoccorso, accompagnamento e trasporto;

c. assistenza nei confronti di minori, anche in relazione a vicende giudiziarie;

d. indagini psico-sociali relative all’adozione di provvedimenti di adozione anche internazionale;

e. compiti di vigilanza per affidamenti temporanei;

f. iniziative di vigilanza e di sostegno in riferimento al soggiorno di nomadi;

g. interventi in tema di barriere architettoniche;

· attività relative alla gestione di asili nido;

· attività concernenti la gestione di mense scolastiche o la fornitura di sussidi, contributi e materiale didattico;

· attività ricreative o di promozione della cultura e dello sport;

· attività finalizzate all’assegnazione di alloggi di edilizia residenziale pubblica;

· attività relative alla leva militare;

· attività di polizia amministrativa locale, con particolare riferimento ai servizi di igiene e ai controlli in materia di ambiente;

· attività degli uffici per le relazioni con il pubblico;

· attività in materia di protezione civile;

· attività di supporto al collocamento e all’avviamento al lavoro;

· attività dei difensori civici regionali e locali.