In sintesi
- I certificati e i documenti trasmessi tra pubbliche amministrazioni devono contenere solo le informazioni strettamente necessarie al fine perseguito, nel rispetto del principio di minimizzazione dei dati.
- Il principio di proporzionalità impone che le informazioni trasmesse siano limitate a quelle espressamente previste da legge o regolamento.
- La norma si raccorda con il regime della privacy (già L. 675/1996, oggi D.Lgs. 196/2003 e Reg. UE 679/2016 — GDPR) e con il divieto di richiedere dati eccedenti rispetto allo scopo.
- Il comma 1 costituisce presidio contro la circolazione interna eccedente di dati personali tra uffici della PA, rendendo illegittima la trasmissione di informazioni ridondanti.
- La violazione del principio espone l'amministrazione a responsabilità verso il Garante per la protezione dei dati personali e verso il cittadino interessato.
Testo dell'articoloVigente
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all’Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Art. 16 DPR 445/2000
Decreto del Presidente della Repubblica 28 dicembre 2000, n. 445 — Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa
1. Al fine di tutelare la riservatezza dei dati personali di cui agli articoli 22 e 24 della legge 31 dicembre 1996, n. 675 , i certificati ed i documenti trasmessi ad altre pubbliche amministrazioni possono contenere soltanto le informazioni relative a stati, fatti e qualità personali previste da legge o da regolamento e strettamente necessarie per il perseguimento delle finalità per le quali vengono acquisite.
2. COMMA ABROGATO DAL D.LGS. 30 GIUGNO 2003, N. 196 .
3. COMMA ABROGATO DAL D.LGS. 30 GIUGNO 2003, N. 196 .
Stesso numero, altri codici
Informazione giuridica di carattere generale — Il presente contenuto costituisce informazione giuridica di carattere generale e non sostituisce in alcun modo il parere di un avvocato iscritto all'Albo. La norma riportata è tratta da fonti ufficiali (Normattiva, Gazzetta Ufficiale) e il commento ha finalità divulgativa. Per la valutazione del caso specifico è necessario consultare un professionista abilitato.
Commento
Il contesto: riservatezza e circolazione dei dati tra amministrazioni
L'art. 16 del DPR 445/2000 affronta un tema delicato: la trasmissione di certificati e documenti da un'amministrazione pubblica a un'altra. La regola è semplice ma fondamentale: il documento può contenere solo le informazioni relative a stati, fatti e qualità personali che siano previste da legge o da regolamento e strettamente necessarie al perseguimento della finalità per la quale sono acquisite. Si tratta di un'applicazione diretta del principio di minimizzazione dei dati, che nel diritto europeo trova il suo fondamento nell'art. 5, par. 1, lett. c), del Reg. UE 679/2016 (GDPR).
Il principio di minimizzazione applicato alla PA
Quando un ufficio comunale trasmette, ad esempio, un certificato anagrafico all'INPS per la verifica dei requisiti di una prestazione, non è lecito inserire in quel documento dati relativi a procedimenti penali pendenti, informazioni sanitarie o altri elementi non pertinenti al procedimento. Il comma 1 dell'art. 16 pone in capo all'amministrazione trasmittente un obbligo attivo di selezione e limitazione delle informazioni.
I commi 2 e 3 dell'articolo sono stati abrogati dal D.Lgs. 30 giugno 2003, n. 196 (Codice della privacy), che ha assorbito le disposizioni più specifiche in materia di trattamento dei dati nell'ambito del rapporto tra PA. Oggi il quadro normativo di riferimento è l'insieme costituito dal D.Lgs. 196/2003 come novellato dal D.Lgs. 101/2018 in adeguamento al GDPR.
Raccordo con la decertificazione e il principio di buon andamento
L'art. 16 va letto in combinato con il principio di decertificazione introdotto dall'art. 40 DPR 445/2000 e rafforzato dall'art. 15 della L. 183/2011 (c.d. «Legge di stabilità 2012»): le PA non possono chiedere ai cittadini certificati che esse stesse già detengono o che possono acquisire d'ufficio da altre amministrazioni (art. 43 DPR 445). Quando quindi un'amministrazione trasmette d'ufficio dati a un'altra, deve farlo nel rispetto del principio di necessità stabilito dall'art. 16, evitando ogni comunicazione ridondante.
Il principio di buon andamento (art. 97 Cost.) impone che l'azione amministrativa sia efficiente, ma anche che rispetti i diritti fondamentali dei cittadini. La circolazione incontrollata di dati personali — anche tra uffici pubblici — lede il diritto alla protezione dei dati personali, oggi qualificato come diritto fondamentale dall'art. 8 della Carta dei diritti fondamentali dell'Unione europea.
Sanzioni e responsabilità
La violazione del principio di minimizzazione nella trasmissione di dati tra PA può dar luogo a:
— sanzioni amministrative da parte del Garante per la protezione dei dati personali (artt. 83 e 84 GDPR, D.Lgs. 196/2003);
— responsabilità civile dell'amministrazione verso l'interessato (art. 82 GDPR);
— eventuali profili di responsabilità disciplinare del funzionario che ha disposto la trasmissione eccedente.
È importante sottolineare che la disposizione dell'art. 16 riguarda specificamente la trasmissione tra PA: per la comunicazione di dati ai privati trovano applicazione le norme generali del GDPR e del Codice della privacy, che pongono ulteriori e più stringenti requisiti di base giuridica.
Casi pratici
Caso 1:
Caso 2:
Caso 3:
Domande frequenti
Cosa significa che i documenti trasmessi tra PA possono contenere solo informazioni 'strettamente necessarie'?
Significa che ogni amministrazione, prima di trasmettere un documento a un'altra PA, deve selezionare le informazioni effettivamente pertinenti allo scopo specifico della trasmissione. Non è lecito includere dati aggiuntivi 'per comodità' o 'per completezza': il principio di minimizzazione impone di limitarsi allo stretto indispensabile.
Cosa è successo ai commi 2 e 3 dell'art. 16?
I commi 2 e 3 sono stati abrogati dal D.Lgs. 196/2003 (Codice della privacy). Oggi la disciplina della trasmissione dei dati personali tra PA è regolata dal D.Lgs. 196/2003 come aggiornato dal D.Lgs. 101/2018 in recepimento del GDPR, che contiene regole più complete e sistematiche.
Un'amministrazione può trasmettere dati personali a un'altra PA senza consenso del cittadino?
Sì, quando la trasmissione è necessaria per lo svolgimento di funzioni istituzionali e trova base giuridica in una norma di legge o di regolamento. In tal caso non serve il consenso dell'interessato, ma la trasmissione deve comunque rispettare il principio di minimizzazione previsto dall'art. 16 DPR 445/2000 e dall'art. 5 GDPR.
Quali conseguenze ha un funzionario che trasmette dati eccedenti a un'altra PA?
Può incorrere in sanzioni amministrative irrogate dal Garante per la protezione dei dati personali, in responsabilità civile dell'amministrazione verso l'interessato, e potenzialmente in sanzioni disciplinari. La gravità dipende dall'entità della violazione e dalla categoria di dati trasmessi (es. dati sensibili comportano sanzioni più elevate).
Come si raccorda l'art. 16 con il principio di decertificazione?
Il principio di decertificazione (art. 40 DPR 445 e art. 15 L. 183/2011) obbliga le PA ad acquisire d'ufficio i dati invece di chiederli ai cittadini. Quando un'amministrazione trasmette d'ufficio dati a un'altra, deve farlo nel rispetto dell'art. 16: solo le informazioni strettamente necessarie alla finalità del procedimento, non tutto il contenuto dell'archivio disponibile.
Vedi anche