Privacy senza «federalismo». Altolà del Garante a una legge dell’Emilia-Romagna

Il Garante della
privacy intima l’altolà  alla Regione EmiliaRomagna. Con la legge 11 dello scorso
maggio l’amministrazione regionale ha, infatti, regolamentato il settore della
tutela dei dati personali, invadendo un campo che è di stretta competenza
statale. Questo si legge nel parere che l’Authority ha fornito alla presidenza
del Consiglio, la quale ha deciso di rivolgersi alla Corte costituzionale.

La legge
regionale. La nuova normativa dell’Emilia-Romagna ha l’obiettivo di
sviluppare, attraverso l’utilizzo delle tecnologie informatiche, la qualità  di
vita dei cittadini e il sistema economico del territorio. Uno degli strumenti
per raggiungere questo traguardo è la creazione di un patrimonio comune delle
informazioni, attraverso l’uso integrato delle banche dati, sia quelle pubbliche
sia quelle di associazioni e soggetti privati che operano in ambito regionale
per finalità  di interesse pubblico. Questi ultimi sono tenuti a fornire la
disponibilità  dei dati contenuti nei loro archivi, notificando alla Regione le
basi informative gestite, direttamente o indirettamente, per compiti
istituzionali. La legge prevede, inoltre, lo scambio di informazioni tra gli
uffici pubblici.

I rilievi del
Garante. Si tratta di norme che, secondo l’Authority, sollevano «evidenti
questioni di legittimità  costituzionale, con specifico riferimento ai profili
attinenti alla potestà  legislativa esclusiva dello Stato in materia dei dati
personali». Ci sono vari elementi che fanno propendere verso questa tesi: il
fatto che la protezione della privacy, sancita come diritto fondamentale
dall’articolo 2 della Costituzione, concerna l’ordinamento e l’organizzazione
amministrativa dello Stato; l’esistenza di un Codice della riservatezza, che
recepisce obblighi imposti da direttive Ue e che non può essere interpretato
come una normativa quadro, su cui sarebbe possibile innestare disposizioni
integrative da parte delle Regioni. Il Codice, afferma il Garante nel parere,
«costituisce l’esclusiva fonte di disciplina sostanziale di diritti e garanzie
e, conseguentemente, dei flussi di dati». A escludere che la privacy sia materia
anche regionale c’è, poi, il fatto che il Governo e i ministeri debbono
obbligatoriamente consultare, quando si tratta di norme che investono l’utilizzo
di informazioni personali, il Garante. Lo stesso obbligo non è, invece, previsto
per i regolamenti regionali. Ma non sono solo questi presupposti di
incostituzionalità  a sollevare forti perplessità  sulla legge dell’Emilia-Romagna.
Ci sono anche una serie di aperte violazioni del Codice della privacy. Per
esempio, le pubbliche amministrazioni possono scambiare informazioni personali
secondo ben precise modalità , sulle quali la normativa regionale si dimostra
assai generica. Inoltre, la legge non rispetta il principio di pertinenza e non
eccedenza nell’utilizzo dei dati. Così come non si trova alcuna distinzione tra
informazioni personali comuni e sensibili: tutti i dati sono soggetti a una
stessa disciplina, mentre il Codice prevede ulteriori e precise garanzie per le
informazioni pi๠riservate. In particolare, sottolinea il Garante, suscita
«particolare preoccupazione l’inserimento delle aziende sanitarie e del sistema
informativo sanitario nazionale nell’ambito del sistema informativo regionale e
dei progetti integrati».

ANTONELLO CHERCHI (Il Sole 24 Ore)

https://www.litis.it