Luci ed ombre del nuovo “Codice in materia di … · definirsi il “punctum dolens”...
Transcript of Luci ed ombre del nuovo “Codice in materia di … · definirsi il “punctum dolens”...
1
Luci ed ombre del nuovo “Codice in materia di protezione dei dati personali”: innovazioni
e profili di illegittimità costituzionale. Dott. Domenico Tambasco
Trascorsi ormai sette anni dall’introduzione, anche nell’ordinamento italiano, della disciplina concernente la tutela dei dati personali rispetto alle operazioni di trattamento –introduzione a
suo tempo sollecitata dalla convenzione internazionale di Strasburgo e dalla necessità di adempiere gli obblighi comunitari imposti dalla più recente direttiva 1995/46/Ce-, si poneva
ormai come improcrastinabile un intervento normativo volto a codificare, in un corpus unitario ed organico, la congerie di disposizioni sia legislative sia regolamentari vigenti, alla
luce anche della pluriennale opera interpretativa ed adeguatrice svolta dall’Autorità Garante. Esigenza, questa, sostanziatasi in un primo momento nella delega conferita al Governo, con
l’art. 1, comma 4 della L. 127/2001, affinché lo stesso emanasse “un testo unico delle
disposizioni in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali e delle disposizioni connesse, coordinandovi le norme vigenti ed apportando
alle medesime le integrazioni e modificazioni necessarie al predetto coordinamento o per assicurarne la migliore attuazione”. L’impossibilità tuttavia per l’organo governativo di
provvedere nel termine annuale previsto dall’originaria delega legislativa1, ha comportato la necessità di addivenire ad una proroga di ulteriori sei mesi concessa con la recente legge
comunitaria per l’anno 20022, con cui si è peraltro ampliato l’ambito della stessa delega parlamentare, autorizzando il recepimento della direttiva 2002/58/Ce, relativa al trattamento
dei dati personali ed alla tutela della vita privata nel settore delle comunicazioni elettroniche.
Soltanto nell’ultimo giorno utile per l’adozione del predetto provvedimento è intervenuto il decreto legislativo 30/6/2003, n. 196, pubblicato sulla G.U. il 29/7/2003 e denominato
“Codice in materia di protezione dei dati personali”. Si cercherà, in questa sede, di fornire una prima lettura del ponderoso codice, con particolare riferimento alle disposizioni generali ed ai
mezzi di tutela amministrativa e giurisdizionale rispettivamente disegnati nella prima e nella terza parte. A tal fine sarà opportuno preventivamente procedere all’analisi dei criteri direttivi
e dei limiti all’ intervento normativo del Governo, così come delineati nella sopracitata legge
delega. 1. Legge delega e profili di illegittimità costituzionale.
1 Termine di dodici mesi scadente il 31 dicembre 2002. 2 Art. 26, L. n. 14/2003.
2
La lettura combinata dell’art. 1, 4°comma, L. 127/2001 e dell’art. 26, 1° comma, L. 14/2003 evidenzia come il Governo, nella redazione del testo unico unificante le disposizioni in
materia di tutela dei dati personali, deve:
- coordinare le norme vigenti; - apportare le eventuali in tegrazioni o modifiche alla normativa solo se necessarie al
coordinamento o se necessarie ad assicurare una migliore attuazione della normativa vigente;
- recepire la direttiva 2002/58/Ce; Nulla quaestio per quanto attiene all’attività di coordinamento della normativa vigente e di
recepimento della direttiva comunitaria. Il problema, all’interprete che voglia individuare i criteri e i principi direttivi costituenti il parametro di legittimità del decreto legislativo in
esame (in aderenza a quanto stabilito d all’art. 76 Cost.), sorge allorché si vada a
concretizzare l’ambito –ellitticamente espresso nella legge delega- delle “ integrazioni e modifiche” consentite al Governo. Certamente saranno possibili integrazioni ed innovazioni
normative sia tese a superare eventuali contraddizioni o aporie derivanti dalla necessità di coordinare molteplici disposizioni, anche di grado differente, sia richieste dall’esigenza di
conferire organicità e coerenza alla materia. Ben più difficile da determinare, tuttavia, risulta il senso delle “integrazioni e modifiche necessarie ad assicurare la migliore attuazione della
normativa vigente”, espressione la cui genericità sembrerebbe ingenerare la convinzione di
trovarsi dinanzi ad una vera e propria “delega in bianco”. Tuttavia, al fine di impedire una censura di illegittimità rispetto all’art. 76 Cost., si dovrebbe interpretare tale disposizione
come funzionale a legittimare un intervento innovativo del Governo solo se volto ad agevolare la realizzazione degli scopi e degli obiettivi propri della normativa vigente (ivi
compresa quella di derivazione comunitaria, espressa dalla direttiva 95/46/Ce) nel rispetto dei principi e dei criteri direttivi desumibili dalle stesse disposizioni da integrare ed
eventualmente modificare. Precetto, tale ultimo, che nella pratica muterà a seconda del contesto in considerazione. Ne deriva che mentre nei settori regolati da una completa
disciplina legislativa, l’intervento normativo del Governo non potrà che essere strettamente
limitato ed eterodete rminato (è il caso, ad esempio, del settore concernente le misure di sicurezza), al contrario nell’ipotesi in cui la materia sia regolata solo da norme generali (o
addirittura non sia per nulla regolata, come in materia di notifiche di atti giudiziari), lo spazio all’esplicazione della potestà normativa sarà più ampio, potendosi provvedere alla piena e
concreta disciplina nel rispetto ed in conformità ai principi generali vigenti (desumibili in particolar modo dalla L. 675/1996 e dall’ultima novella legislativa, ricompresa nel Dlgs.
3
467/2001). Alla luce di quanto testè enunciato, si può a ragione parlare di “ultrattività” della disciplina formalmente abrogata, che dovrà necessariamente fungere da parametro di
legittimità nell’analisi delle disposizioni ricomprese nel testo unico governativo3.
Le considerazioni testè svolte acquistano rilievo con riferimento a quello che ben può definirsi il “punctum dolens” dell’intervento legislativo delegato: la disciplina del consenso
nei trattamenti svolti da soggetti privati e da enti pubblici economici (artt. 23 e ss.). Come noto, la legge 675/1996 enucleava, nell’ambito delle operazioni di trattamento, due momenti
meritevoli di autonoma rilevanza, in virtù della particolare esposizione cui risulta sottoposta la sfera personale dell’Interessato: si trattava della comunicazione e della diffusione, vale a
dire la fase di “messa in circolazione”, nella rete informativa, dei dati afferenti il singolo4. Ne derivava, mercè le disposizioni degli art. 11 e 20, il dovere per il Titolare di richiedere, in
maniera distinta, il consenso espresso dell’Interessato non solo alle generiche “operazioni di
trattamento” (art. 11), ma anche all’eventuale comunicazione e diffusione dei dati personali (art. 20). Di qui, nella pratica, il diffondersi di modelli di acquisizione del consenso
(solitamente in calce all’informativa), articolati in una pluralità di richieste, inerenti il “trattamento”, la “comunicazione” e la “diffusione” dei dati personali. Al contrario, la lettura
del codice in esame manifesta la radicale eliminazione del sistema di acquisizione differenziata del consenso, essendo oggi tale onere legato al solo generico “trattamento”, a
mente del disposto dell’art. 23, 1° comma secondo cui “ Il trattamento di dati personali da
parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell’interessato”. Nessuna traccia del consenso alla comunicazione e alla diffusione dei dati
personali, se non nel caso di dati acquisiti nello svolgimento di indagini difensive o per far valere o difendere un diritto in sede giudiziaria (arg. ex art. 24, 1° comma, lett. f, con riguardo
alla sola diffusione), nei casi di trattamento, individuati dal Garante, in cui deve essere perseguito un interesse legittimo del Titolare o di un terzo destinatario dei dati (arg. ex art. 24,
1° comma, lett. g, con riguardo alla sola diffusione), e nelle ipotesi di dati di associati o di aderenti ad associazioni senza scopo di lucro (arg. ex art. 24, 1° comma, lett.h, con riguardo
alla comunicazione e alla diffusione). L’omissione nel nuovo codice di una disposizione
analoga al precedente art. 20 (che sembra tuttavia frutto di una “svista” del legislatore, tenuto conto non solo del mancato adeguamento della relativa norma penale –l’art. 167, 1° comma-
3 Con riferimento all’esistenza di rigorosi limiti nella redazione del testo unico da parte del Governo, si veda anche R. Acciai - S. Orlandi, “ Le nuove norme in materia di privacy”, Maggioli, 2002, p. 22, secondo cui “ proprio la lettera del già ricordato art. 1, comma 2, della L. n. 127/2001, parrebbe escludere che il previsto t.u possa affrontare in maniera sistemati ca i settori oggetto della del ega ed attualmente non disciplinati”, nota 13. 4 Si veda G. Comandè, in E. Giannantonio -M.G. Losano -V. Zeno Zencovich, La tutela dei dati personali -Commentario alla L. 675/1996, Padova, Cedam, 19992, p. 134-135.
4
mantenuta sul punto inalterata rispetto al corrispondente art. 35 L. 675/1996, ma anche della particolare attenzione manifestata dal legislatore in altre parti del codice, con riferimento
proprio alla diffusione ed alla comunicazione)5, oltre a rendere necessitata l’interpretazione
testè svolta, presenta non secondari problemi di conformità al dettato costituzionale. Con ogni evidenza, infatti, l’eliminazione per l’Interessato del diritto a inibire, pur avendo prestato un
generale consenso al trattamento, eventuali operazioni di messa in circolazione dei propri dati, determina un notevole e rilevante vulnus, non giustificato né fondato su alcun principio o
criterio direttivo previgente: la lettura della L. 675/1996 e degli interventi normativi successivi, infatti, non rivela l’emersione, a livello legislativo, di una siffatta istanza. Ragione,
questa, per ritenere le norme in esame eccedenti la delega conferita dal Parlamento con l’art. 1 della L. 127/2001.
Non resta da aggiungere che alla luce del nuo vo dettato codicistico, risulterebbe oggetto di
abolitio criminis la precedente fattispecie disegnata dall’art. 35, 1° comma, L. 675/1996, limitatamente alla comunicazione e alla diffusione senza preventivo consenso.
2. Principi generali Svolte queste necessarie osservazioni preliminari, veniamo all’ordinata disamina delle norme
regolanti la materia del trattamento dei dati personali. Il codice manifesta, ad una prima lettura di insieme, una razionalità di struttura, che si traduce
nell’articolazione delle norme in una parte generale (Parte I, artt. 1-45)6, in una parte relativa
alle disposizioni inerenti specifici settori (Parte II, artt. 46-140) ed in una parte concernente la tutela amministrativa e giurisdizionale, le sanzioni a presidio della disciplina e le disposizioni
modificative, abrogative, transitorie e finali (Parte III, artt. 141-186). Seguono una serie di allegati (codici di deontologia e buona condotta, disciplinare tecnico in materia di misure
minime di sicurezza ed elenco dei trattamenti non occasionali effettuati in ambito giudiziario o per fini di polizia) che, come vedremo, hanno natura differente rispetto a tutte le altre
disposizioni del codice; natura sottolineata, per l’appunto, dalla distinta collocazione. Le norme origin ariamente dettate dalla L. 675/1996 -ad eccezione di quelle afferenti alla
tutela giurisidizionale ed amministrativa e all’Autorità Garante della tutela dei dati personali,
enunciate nella parte terza- vengono ora riportate nella prima parte, a sua volta suddivisa in principi generali (artt. 1-6), diritti dell’interessato (artt. 7-10), regole generali per il
trattamento dei dati (artt. 11- 27), norme riguardanti i soggetti (artt. 28-30), disposizioni sulle
5 Si rimanda al commento dell’art. 19, 3° comma, dello stesso codice. 6 Norme applicabili a tutti i trattamenti di dati -compatibilmente alla disciplina speciale eventualmente prevista per alcuni trattamenti - ai sensi dell’art. 6, secondo il cui d isposto “ Le disposizioni contenute nella presente Parte si applicano a tutti i trattamenti di dati, salvo quanto previsto, in relazione ad alcuni trattamenti, dalle disposizioni integrati ve o modificati ve della Parte II”.
5
misure di sicurezza (artt. 31-36), adempimenti (artt. 37-41) e trasferimento dei dati all’estero (artt. 42- 45).
Il codice si apre con una solenne dichiarazione di principio, secondo cui “Chiunque ha diritto
alla protezione dei dati personali che lo riguardano” (art.1). Viene espressamente codificato un diritto soggettivo, desumibile soltanto implicitamente nella precedente normativa, la quale
si limitava a garantire che il trattamento dei dati personali si svolgesse nel rispetto dei diritti, delle libertà fondamentali e della dignità dei soggetti (art.1, 1° comma, L. 675/1996). Tale
situazione giuridica soggettiva, modellata sulla scorta dell’analogo diritto al rispetto della propria vita privata e familiare enunciato nell’art. 8 della Convenzione Europea per la
salvaguardia dei diritti dell’uomo, appartiene indistintamente a “ chiunque”, cittadino e non, persona fisica o persona giuridica, concretizzazione di un diritto inviolabile dell’uomo, come
tale “riconosciuto e garantito” dalla Repubblica a mente del precettivo disposto dell’art. 2
della Carta Costituzionale. La disposizione relativa al diritto alla protezione dei dati personali deve essere letta
unitamente al successivo art. 2 , 1° comma (che riprende inalterato l’ art. 1, 1° comma L. 675/1996), con cui viene introdotto il secondo polo della struttura, rappresentato dalla tutela
rispetto alle operazioni di trattamento le quali, per l’appunto, devono svolgersi “nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato”. Ecco allora
tradursi il “diritto alla protezione dei dati personali rispetto alle operazioni di trattamento” in
una specifica manifestazione del diritto alla riservatezza7, da intendersi non come “diritto ad essere lasciato solo”, bensì come “pretesa al controllo delle informazioni che ci riguardano,
ovvero a selezionare le informazioni che vogliamo svelare nonché i soggetti e le forme con cui vogliamo svelarle: nelle parole del Garante mutuate dalla ricostruzione tedesca della
problematica, il diritto all’autodeterminazione informativa8”. Innovativa risulta la formalizzazione, nel corpo dell’art. 2, 2° comma, di principi orientativi
nella disciplina del trattamento dei dati personali che sembrano vincolare tanto il legislatore in prospettiva “de iure condendo”, quanto l’operatore nell’ermeneutica e nell’applicazione della
normativa in oggetto. In tale prospettiva il legislatore delegato sembra codificare il principio
di bilanciamento tra “elevato livello di tutela dei diritti e delle libertà di cui al comma 1” e “rispetto dei principi di semplificazione, armonizzazione ed efficacia delle modalità previste
per il loro esercizio da parte degli interessati, nonché per l’adempimento degli obblighi da parte dei titolari del trattamento”. Non sembra che il legislatore, a tal proposito, abbia 7 Si veda A. Scalisi, Il diritto a lla riservatezza, Milano, Giuffrè, 2002, che distingue, fra le manifestazioni positive del diritto alla riservatezza, il diritto all’immagine, il diritto al segreto, il diritto alla protezione dei propri dati personali, il diritto alle vicende della propri a vita privata.
6
varcato i limiti della delega, atteso che dalla normativa previgente, ed in particolar modo dalle recenti novelle alla L. 675/1996, da ultimo apportate con il dlgs. 467/2001, è chiaramente
desumibile l’esigenza di addivenire al predetto bilanciamento, con particolare riguardo al
profilo della semplificazione (eloquente è, a tal proposito, l’art. 3, comma 1° del Dlgs 467/2001 che, stabilendo l’obbligo di notifica nei soli casi tassativamente indicati in apposito
regolamento, anticipa il principio della semplificazione degli adempimenti a carico del Titolare).
Corollario del principio di “elevato livello di tutela” risulta il successivo “principio di necessità nel trattamento dei dati” (art. 3), che configura il trattamento dei dati di persone
identificate o identificabili q uale extrema ratio, consentito soltanto laddove ciò sia reso necessario dalle “ finalità perseguite nei singoli casi”: principio la cui violazione non può non
comportare la censura di illiceità del trattamento, ai sensi del successivo art. 11, 1° comma,
lett.a). Nonostante la lettera dell’art. 3 limiti il principio ai soli trattamenti posti in essere attraverso “ sistemi informativi” e “programmi informatici”, tuttavia si ritiene in questa sede
che l’area operativa potrà estendersi analogicamente a tutti i trattamenti di dati, elettronici e non (la norma in oggetto, del resto, oltre a recare la significativa rubrica “principio di
necessità nel trattamento dei dati”, è priva di sanzione penale, che precluderebbe il ricorso all’applicazione analogica) .
Nello stesso articolo 3 viene generalizzata la distinzione (in precedenza operante, ai sensi
dell’art. 10, 5° comma Dlgs 281/1999, soltanto per i trattamenti per scopi statistici e di ricerca scientifica) tra “dati personali” e “dati identificativi”, questi ultimi definiti, ai sensi del
successivo art. 4, 1° comma, come “dati personali che permettono l’identificazione diretta dell’Interessato”(si pensi all’indicazione del nome e del cognome, o a foto relative ad una
specifica persona). I dati identificativi, peraltro, costituiscono una species della più ampia categoria dei “dati personali”, che in sé ricomprende sia i dati che consentono
l’identificazione diretta di un soggetto, sia le informazioni che rendono un soggetto semplicemente identificabile (l’indirizzo di un soggetto, ad esempio). Tale partizione,
peraltro, si riflette nell’articolazione dello stesso “principio di necessità” enunciato nell’art. 3,
secondo il cui disposto viene prescritta “l’utilizzazione di dati personali e di dati identificativi, in mo do da escluderne il trattamento quando le finalità perseguite nei singoli casi possono
essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità”. La lettura testuale sembra
evidenziare la costituzione, mercè l’avverbio “rispettivamente”, dei binomi “dati personali-
8 G. Comandè in E. Giannantonio-M.G. Losano -V. Zeno Zencovich, La tutela dei dati personali, cit., p. 132.
7
dati anonimi” e “dati identificativi-modalità che permettano di identificare l’Interessato solo in caso di necessità”. Ne deriva pertanto che, nell’ipotesi di trattamento di dati identificativi
(nome e cognome, per riprendere l’esempio sopracitato), sarà opportuno -a meno che le
finalità del caso concreto richiedano di conservare e gestire i dati in modo da consentire la costante e diretta identificazione dell’Interessato- scindere i dati stessi in differenti archivi (il
nome nell’archivio A e il cognome nell’archivio B), rendendo così le informazioni stesse non direttamente ascrivibili all’Interessato, se non attraverso la riunione dei predetti archivi (A e
B, per l’appunto) soltanto nel caso in cui fosse necessaria la diretta identificazione dell’Interessato. Al contrario, laddove il trattamento riguardi dati personali che rendano
potenzialmente identificabile l’Interessato (è questo, infatti, il senso da conferire alla generica espressione “dati personali” contenuta nell’art. 3, attesa la sua contrapposizione, nel corpo
della stessa norma, ai “dati identificativi”), si dovrà provvedere a rendere anonimi i dati stessi
(trasformandoli cioè in dati che “non possano essere associati ad un interessato identificato o identificabile”, ex art. 4, 1° comma, lett. n) salvo che le finalità perseguite nel caso concreto
richiedano di provvedere diversamente. In tale ipotesi, tuttavia, le conseguenze sarebbero particolarmente onerose per il soggetto Titolare che soltanto in via preventiva potrebbe
valutare la necessità, in relazione agli scopi dell’attività di trattamento, di mantenere identificabili i dati personali (il nome nell’archivio A e il cognome nell’archivio B) o di
renderli anonimi (mantenendo l’archivio A ed eliminando l’archivio B). Del resto una volta
resi anonimi i dati, il Titolare perderebbe definitivamente, in modo irrecuperabile, il patrimonio informativo precedentemente acquisito, a differenza dell’ipotesi relativa ai dati
identificativi, in cui il Titolare potrebbe in ogni momento, in caso di necessità, risalire all’Interessato, unificando le differenti banche dati informative9.
Il principio in esame, innovativamente introdotto dal legislatore delegato, non sembra fuoriuscire dai limiti della delega stessa, potendosi individuare quale immediato referente
normativo (di cui il principio di necessità altro non è se non la specificazione) il requisito della pertinenza e non eccedenza dei dati personali rispetto alle finalità del trattamento,
enunciato nell’abrogato art. 9, 1°comma, lett. d) della L. 675/1996.
3. Trattamento, Titolare, Incaricati e addetti alla gestione o manutenzione. L’art. 4 riunisce tutte le disposizioni definitorie, relative alla normativa in generale (comma 1,
lett. a-q), alle comunicazioni telefoniche ed elettroniche (comma 2, lett. a-m), alle misure di
9 L’applicazione del principio di necessità potrebbe essere agevolata, nel caso di trattamento di dati semi -sensibili di cui all’art. 17, 2° comma, dall’obbligo per il Titolare di interpellare preventivamente l’Autorità Garante (cd “ prior checking”) al fine di determinare in concreto le misure e gli accorgimenti a garanzia dell’Interessato.
8
sicurezza (comma 3, lett. a-g), ai trattamenti per fini storici, statistici e di ricerca scientifica (comma 4, lett. a -c).
Rileva, a tal fine, osservare come la nozione di trattamento si arricchisca, nel novero delle
operazioni in essa ricomprese, anche della “consultazione”. Innovazione che, peraltro, desta non poche perplessità, se si considera che per consultazione si deve intendere la conoscenza di
dati personali attraverso la semplice lettura. In concreto, se è vero che la disciplina concernente il trattamento dei dati non si applicherà nella maggior parte dei casi di
consultazione da parte di persone fisiche, rientrando spesso tale ipotesi nel “trattamento per fini esclusivamente personali” escluso espressamente dal successivo art. 5, comma 2, tuttavia
i problemi potrebbero sorgere nel caso –frequente nella pratica- di consultazione di banche dati da parte di persone fisiche nell’esercizio dell’attività professionale. Ne consegue, secondo
un’interpretazione conforme alla littera legis, l’obbligo per il Titolare del trattamento (colui
che addiviene all’operazione di consultazione) di fornire all’Interessato (colui cui si riferiscono le informazioni da consultare) l’informativa ai sensi del successivo art. 13,
informativa che sarà, nella maggior parte dei casi, presentata ex post, in considerazione del fatto che è insita nella natura stessa della “consultazione” la conoscenza (mercè la lettura) di
dati personali non forniti direttamente dall’Interessato ma appresi aliunde (solitamente da un documento o da un archivio cartaceo o informatico). In questo caso, se l’operazione si sarà
limitata ed esaurita alla sola consultazione, inutile sarà anche la successiva richiesta di
consenso, nonostante possa deporre in tal senso la lettura del testo legislativo (artt. 13, 4° comma e art. 23). Sarà comunque opportuno un intervento del Garante che specifichi,
prescrivendo eventualmente misure appropriate, i casi di consultazione in cui l’informativa non debba essere fornita, in considerazione della “manifesta sproporzione rispetto al diritto
tutelato” o “dell’impossibilità” pratica di tale onere (si veda art. 13, 5° comma, lett. c). La definizione legislativa di “trattamento” si completa altresì, nella nuova versione, della
locuzione finale “anche se non registrati in una banca dati”. Precisazione importante, che stabilisce un’ampia tutela dei dati personali, protetti indipendentemente dal contesto in cui
risultano collocati: il trattamento dei dati personali non ha oggi più, pertanto, l’esistenza di
una banca dati quale necessario presupposto10. Specificazioni derivate dall’esperienza maturata in questi anni, anche attraverso
l’interpretazione dell’Autorità Garante11, sono rilevabili nella definizione del “Titolare del
10 Così invece, nella vigenza della predente nozione di trattamento (art. 1, 2° comma, lett. b L. 675/1996), argomentava la più autorevole dottrina, si veda E. Giannantonio, in Giannantonio -M.G. Losano -V. Zeno Zencovich, La tutela dei dati personali, cit .,p.10-11. 11 Per ciò che concerne l’interpret azione del Titolare - persona giuridica come “ entità nel suo complesso”, si veda , fra le prime pronunce, quella dell’11 dicembre 1997.
9
Trattamento”12, ruolo per cui è oggi espressamente ammessa l’ipotesi di “contitolarità” (“anche unitamente ad altro Titolare”, art. 4, 1° comma, lett. f) e che viene individuato, nel
caso in cui si tratti di persona giuridica, come “l’entità nel suo complesso” (art. 28). La
qualifica di Titolare, inoltre, potrà essere assunta anche soltanto da un’unità o da un organismo periferico dell’ente, purchè sussista in concreto l’esercizio di un potere decisionale
del tutto autonomo sulle finalità e sulle modalità del trattamento (sic art. 28). Rilevanti novità di ordine pratico si riscontrano nella definizione della figura dell’Incaricato,
in relazione alla quale, in primo luogo, la legge espressamente specifica (ex art. 1, 1° comma, lett. h) come tale ruolo debba essere esclusivamente individuato in una persona fisica, in
aderenza all’invalsa interpretazione amministrativo-dottrinale13. Concreta espressione del suenunciato principio di semplificazione degli adempimenti a carico
del Titolare si rivela, inoltre, il disposto dell’art. 30, 2° comma, secondo cui “la designazione
è effettuata per iscritto ed individua puntualmente l’ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unità per la
quale è individuato, per iscritto, l’ambito del trattamento consentito agli addetti all’unità medesima”. Alla luce di tale norma, pertanto, non sarà più necessario il conferimento di un
incarico scritto ad personam, nominativamente individuato, bastando la preposizione, documentata per iscritto, del dipendente ad una singola unità operativa. Soltanto con
riferimento all’unità operativa, peraltro, dovrà essere preventivamente formato un documento
(analogo al “mansionario” in passato redatto per la nomina degli incaricati) che in via generale indichi il nominativo degli Incaricati addetti all’unità, la tipologia dei dati personali
trattati, le operazioni di trattamento consentite e le cautele da adottare. Documento che, anche se non espressamente statuito dalla normativa , si ritiene debba essere reso accessibile a tutti
gli Incaricati, attraverso idonee misure di pubblicizzazione (affissione in luogo pubblico, consegna di copia, anche per estratto, ai singoli Incaricati…), al fine di impedire che, nel caso
di fatti illeciti posti in essere dagli stessi dipendenti e da cui derivi pregiudizio al terzo Interessato, il “peso” della responsabilità risarcitoria possa gravare soltanto in capo al Titolare
e all’eventuale Responsabile del trattamento. In tale ipotesi, infatti, tanto il Titolare quanto il
Responsabile si vedrebbero preclusa ogni possibilità di agire in via di regresso nei confronti degli Incaricati, autori di una condotta “scusabile” a ragione della mancanza di informazioni
in ordine alle modalità di trattamento dei dati. L’importanza della disposizione in esame, del
12 Nessuna modifica di rilievo è riscontrabile nella disciplina del Responsabile del Trattamento, ruolo la cui previsione è espressamente indicata come “facoltativa” (si veda art. 4, 1° comma, lett. g e art. 29). 13 Si veda risposta del 22 ottobre 1997 data dall’autorità Garante al quesito proposto dall’American Express S.E.L) e, per la dottrina, S. Fadda, in E. Giannantonio -M.G. Losano-V. Zeno Zencovich, La tutela dei dati personali, cit., p.261-262.
10
resto, si può meglio cogliere considerando i notevoli vantaggi, in termini di risparmio di costi e di tempo, che l’abolizione dell’incarico nominativo scritto comporterà soprattutto per quelle
imprese che si avvalgano, nell’esecuzione materiale delle operazioni di trattamento, di una
molteplicità di soggetti inseriti nell’organizzazione aziendale per periodi anche brevissimi: è il caso, ad esempio, delle imprese appartenenti alla media e grande distribuzione che,
nell’ambito delle sempre più diffuse iniziative di fidelizzazione della clientela (sistema delle “carte fedeltà”), ed al semplice fine di raccogliere e registrare i moduli di adesione compilati
dai clienti, utilizzano l’opera di hostess e cassieri che, di regola, sono oggetto di un ricambio pressoché quotidiano. A giudizio di chi scrive, tuttavia, il principio in oggetto, lungi
dall’essere applicato indiscriminatamente a qualsias i soggetto Titolare, si sarebbe dovuto limitare, in sede legislativa, nei soli casi di accertata necessità operativa.
Un’ulteriore elemento di considerazione, sempre con riferimento alla figura degli Incaricati
del trattamento, emerge dalla lettura dell’art. 30, 1° comma, secondo cui “ le operazioni di trattamento possono essere effettuate solo da incaricati…..”. Tale espressione, da leggersi in
combinato con le norme che, in materia di misure di sicurezza, introducono l’ulteriore figura dell’ “addetto all a gestione o alla manutenzione degli strumenti elettronici”14, ha la funzione
di riconoscere ai soli Incaricati del trattamento (oltre, logicamente, ai Titolari e ai Responsabili, figure gerarchicamente superiori) la legittimazione a porre in essere operazioni
di trattamento. Sarà necessaria, pertanto, la formale designazione ad Incaricato perché
l’addetto alla gestione o alla manutenzione degli strumenti elettronici o, comunque, qualunque altro soggetto possa addivenire ad un’operazione di trattamento.
4. Principio di stabilimento e diritti dell’Interessato. Di particolare rilievo è anche l’introduzione, in aderenza al dettato comunitario e in antitesi al
previgente “principio di territorialità”, del cosiddetto “principio di stabilimento”, funzionale a def inire l’ambito di applicazione spaziale della disciplina codicistica. Ed invero, come
rilevato in sede dottrinale15, il dettato dell’ art. 2, 1° comma della L. 675/1996, ricomprendendo nell’area applicativa della disciplina italiana ogni “trattamento di dati
personali da chiunque effettuato nel territorio dello Stato”, avrebbe comportato un
insopportabile cumulo di differenti disposizioni nazionali operanti per la stessa fattispecie, nel caso di imprese stabilite in un paese della Comunità Europea diverso dall’Italia che avessero
eseguito anche una sola operazione nel territorio italiano: ipotesi del tutto incompatibile con il principio di libera prestazione dei servizi in ambito comunitario. Tale discrasia è stata
opportunamente corretta prevedendo, con disposizione mutuata dall’art. 4 della Dir. 95/46/Ce, 14 Vide Allegato B, Disciplinare tecnico in materia di misure minime di sicurezza, punto 15.
11
l’applicazione della disciplina “del presente codice” a “ chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato” (art. 5, 1° comma).
Sostanzialmente inalterato risulta il complesso normativo inerente i diritti dell’Interessato e le
loro modalità di attuazione. In questa sede giova rilevare l’introduzione, nei cd “diritti informativi”, della facoltà di ottenere l’indicazione “dei soggetti o delle categorie di soggetti
ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati”. Di
non secondaria importanza è anche la regolamentazione dei diritti esercitabili, da parte dell’Interessato, rispetto ai dati personali di tipo valutativo “relativi a giudizi, opinioni o ad
altri apprezzamenti di tipo soggettivo, nonché l’indicazione di condotte da tenersi o di decisioni in via di assunzione da parte del Titolare del trattamento” (art. 8, 4° comma) . In
questa specifica ipotesi, il legislatore viene a considerare la peculiare genesi di questi dati che,
pur riguardando l’Interessato, sono formati esclusivamente per opera del libero giudizio e della libera valutazione del Titolare, che conseguentemente non può in alcun modo subire
ingerenze esterne volte ad eterodeterminare la propria volontà. In ragione di ciò, se anche rispetto a tali dati sarà possibile, per l’Interessato, comunque esplicare i propr i diritti
informativi, i diritti attivi di cancellazione, trasformazione in forma anonima e blocco nel caso di illegittimo trattamento, tuttavia non sarà consentito allo stesso coartare la libera
esplicazione del giudizio altrui attraverso obblighi di rettifica o di integrazione degli stessi
dati valutativi. Principio questo che, se da un lato appare apprezzabilmente teso a garantire il valore costituzionale della libera manifestazione del proprio pensiero enunciato nell’art. 21
Cost., tuttavia non risulta coerentemente sviluppato dalla stessa disposizione in esame, se è vero che nessuna esclusione è prevista (consentendone in questo modo l’esercizio strumentale
da parte dell’Interessato) con riferimento al diritto di aggiornamento (art. 7, 3° comma, lett. a) e, soprattutto, al diritto di opposizione per motivi legittimi (art. 7, 4° comma, lett. a).
Per ciò che concerne il riscontro del Titolare e dell’eventuale Responsabile alla richiesta dell’Interessato, si sottolinea come l’originario termine breve di 5 giorni (art. 29, 2° comma L.
676/1996) sia stato elevato a 15 giorni (decorrenti dalla data di ricevimento della richiesta, ex
art. 146, 2°), con il diritto alla proroga di ulteriori 15 giorni, da esercitarsi comunicando all’Interessato, entro la scadenza del primo termine (“entro il termine di cui al comma 2…..ne
danno comunicazione”) i motivi del differimento, che potranno consistere nella particolare complessità delle operazioni necessarie a rispondere alle richieste formulate o in altro
giustificato mo tivo. La valutazione della sussistenza di tali motivi sarà valutata, nel merito e
15 P. Cerina, in E. Giannantonio -M.G. Losano -V. Zeno Zencovich, La tutela dei dati pers onali, cit., p.26-27.
12
con pronuncia concernente l’ammissibilità del ricorso, dall’Autorità Garante o dall’Autorità giurisdizionale nel caso in cui l’Interessato, nonostante la comunicazione di proroga notificata
ai sensi della precitata norma dal Titolare o dal Responsabile, ritenga di dover senza indugio
esperire gli strumenti amministrativi o giurisdizionali di tutela (così il combinato disposto degli artt. 146 e 148).
Tali disposizioni, unitamente alla possibilità, per il Titolare, di dare riscontro all’Interessato attraverso l’esibizione o la consegna di copia di atti e documenti contenenti i dati richiesti –
venendo così esentato da una lunga e defatigante ricerca volta ad estrarre solo i dati personali concernenti il richiedente, allorché l’estrazione dei dati risulti particolarmente difficoltosa, ex
art. 10, 4° comma- altro non sono se non corollari dei principi di semplificazione ed efficienza degli adempimenti posti a carico del Titolare, poc’anzi analizzati.
Sempre in attuazione del principio di efficienza, sotto il profilo dell’esercizio dei diritti
dell’Interessato, viene introdotto espressamente dall’art. 10, 5° e 6° comma, il “diritto dell’Interessato ad ottenere un riscontro in forma intellegibile”, che si sostanzia nell’obbligo
del Titolare di comunicare i dati con “grafia comprensibile” (art. 10, 6°) e, nel caso in cui ai dati personali siano associati codici o cifre, nel “fornire i parametri per la comprensione del
relativo significato” (art. 10, 6°). Nel dare riscontro all’Interessato sarà sempre necessario evitare di comunicare dati personali afferenti terzi soggetti, “salvo che la scomposizione dei
dati trattati o la privazione di alcuni elementi renda incomprensibili i dati personali relativi
all’Interessato”(art. 10, 5° comma). Si completa e si integra, in questo modo, quanto già disposto a suo tempo, in tema di modalità di accesso ai dati personali, dall’art. 17 del D.P.R.
n. 501/1998. 5. Regole generali per tutti i trattamenti.
Il codice riserva una specifica parte alla statuizione delle “regole per tutti i trattamenti”(Titolo III, capo I, artt. 11-17), individuando quello che può definirsi un autentico
“statuto generale dei trattamenti”, consistente in: - specifici requisiti del t rattamento che deve essere lecito, corretto, connesso a scopi
determinati, espliciti e legittimi, esatto, aggiornato, pertinente, completo, non
eccedente rispetto agli scopi, legato ad altri trattamenti in termini compatibili con gli scopi originari, protratto per il tempo strettamente necessario al raggiungimento dello
scopo (art. 11, 1° comma); - obbligo generalizzato di rendere un’informativa completa all’Interessato, all’atto della
raccolta dei dati o successivamente, nel caso di raccolta presso terzi (art. 13);
13
- specificazione ed integrazione delle condizioni di liceità del trattamento devoluta alle fonti di autonomia normativa, id est i codici di deontologia e di buona condotta, di cui
viene sancito il generale riconoscimento (art. 12);
- adozione di particolari cautele nel caso di cessazione del trattamento (art. 16); - controllo preventivo (cd prior checking ) all’inizio del trattamento dei dati semi-
sensibili (art. 17); - generalizzata sanzione civilistica della “responsabilità per l’esercizio di attività
pericolosa”, nel caso di danno derivante da violazione di norme concernenti il trattamento dei dati personali, responsabilità comprensiva anche del danno non
patrimoniale (art. 15). Venendo alle innovazioni apportate dal legislatore delegato è possibile rilevare, con
riferimento alla norma inerente i requisiti generali del trattamento (art. 11), l’inserimento di
una vera e propria disposizione di chiusura: “I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati”
(art. 11, 2° comma). L’ampia formulazione della norma in esame, tuttavia, depone a favore di un’estensione della stessa non solo alle violazioni dei precetti indicati nel corpo dell’art. 11,
1°, ma anche alla violazione di qualunque disposizione disciplinante la materia del trattamento dei dati (norme in materia di misure di sicurezza, ad esempio).
Particolare problematicità presenta la sanzione inibitoria dell’ utilizzo dei dati illecitamente
trattati. A tal proposit o si ritiene che l’espressione “non possono essere utilizzati” debba trovare il proprio contenuto nel collegamento con le disposizioni dello stesso codice regolanti
i provvedimenti di tutela emanati dall’Autorità Garante. Così il divieto di utilizzo potrà sostanziarsi, a seconda della valutazione delle peculiarità del caso concreto, ora nel blocco del
trattamento16 (art. 143, 1° comma, lett.c), ora nel divieto totale o parziale di trattamento (art. 143, 1° comma, lett. c), ora nella sospensione di una o più operazioni di trattamento (art. 150,
1° comma). Il successivo art. 12 (rubricato “Codici di deontologia e di buona condotta”), pur riprendendo
l’art. 20 del Dlgs n. 467/2001, ne amplia notevolmente la portata sotto due differenti profili.
In primo luogo, mentre nella vigenza della peraltro recente normativa delegata i codici deontologici erano ammessi esclusivamente in settori oggetto di tassativa enumerazione (art.
20, 2° comma Dlgs 467/2001), al contrario nell’attuale codice sia la sedes materiae (il capo I concernente le “ regole per tutti i trattamenti”) sia la stessa lettera dell’art. 12, 1° comma,
facente riferimento alla sola “sottoscrizione di codici di deontologia e di buona condotta per
14
determinati settori” (senza peraltro precisare quali debbano essere tali settori), portano a ritenere che tale strumento di autoregolazione normativa possa essere applicato a tutti i settori,
anche diversi da quelli espressamente previsti nella parte II del codice, in cui venga in rilievo
il trattamento dei dati pe rsonali. Opportunamente, inoltre, si interviene nel corpo dello stesso codice innovando il disposto del precedente art. 20, 4° comma17, Dlgs 467/2001, in questo
modo risolvendo il problema della natura formale dei codici deontologici nell’ambito delle fonti di diritto e dell’eventuale efficacia erga omnes delle disposizioni18. Il meccanismo
dell’allegazione attraverso apposito Decreto del Ministro della Giustizia supera, con un tratto di penna, entrambe le questioni, conferendo ai codici di deontologia formale natura
regolamentare (sebbene rappresentino pur sempre espressione dell’autonomia privata) e piena efficacia normativa. Il sistema dei codici deontologici si completa nella struttura codicistica
attraverso la previsione, nella seconda parte relativa agli specifici trattamenti, di una pluralità
di disposizioni19 che, con riferimento a determinati settori, costituiscono una sorta di cornice all’intervento di autoregolamentazione privata, contemplando i principi e, in alcuni casi20, le
procedure di esplicazione di tale potere. L’ informativa da rendere all’Interessato (art. 13) viene arricchita dall’introduzione
dell’obbligo, a carico del Titolare, di indicare anche “i soggetti o le categorie di soggetti…..che possono venirne a conoscenza in qualità di responsabili o incaricati” (art. 13,
1° comma, lett. d). Tale onere informativo risponde all’esigenza dell’Interessato, manifestata
dal legislatore, di controllare preventivamente non solo la “messa in circolazione” dei propri dati personali ma anche l’ “ambito di conoscenza” degli stessi da parte dei soggetti facenti
parte dell’organizzazione del Titolare. Onere che tuttavia, nel bilanciamento con il principio di semplificazione degli obblighi a carico del Titolare, potrà ritenersi assolto attraverso la
semplice indicazione delle “categorie di soggetti”, che, nel caso concreto, potrà sostanziarsi anche nell’indicazione della funzione aziendale ricoperta dal responsabile del trattamento o
nella menzione dell’unità operativa cui sono preposti gli incaricati del trattamento (ad esempio l’amministratore delegato o i soggetti preposti all’ufficio rapporti con il pubblico) .
16 Intendendosi per blocco la “ conservazione di dati personali con sospensione temporanea di ogni altra operazione di trattamento”, ex art. 4, 1° comma, lett.o). 17 art. 20, 4° comma, Dlgs 467/2001: “ I codici sono pubblicati nella Gazzetta Ufficiale della Repubblica italiana a cura del Garante e riportati in allegato al testo unico delle disposizioni in materia previsto dall’articolo 1, comma 4, della legge 24 marzo 2001, 127 ”. 18 Si rimanda, per un’analisi del problema concernente i codici di deontologia, a F. Casarosa, Innovazione e continuità nei codici deontologici e/o di buona condotta ex art. 20 del dlgs. 467/2001: il caso del marketing diretto, in Il diritto dell’informazione e dell’informati ca, 4/5, 2002, pp.849 ss . 19 Artt. 102, 10 6, 111, 117, 118, 133, 134, 135, 139, 140. 20 Si veda in particol ar modo l’art. 139 (“ Codice di deontologia relativo ad attività giornalistiche”), che delinea analiticamente l’ambito del codice, prevedendo addirittura un potere sostitutivo del Garante (art. 139, comma 3°).
15
Viene inoltre espressamente prevista la natura flessibile dell’informativa che potrà non solo contenere ulteriori elementi “previsti da specifiche disposizioni del presente codice”(art. 13,
2° comma 21), ma potrà altresì essere redatta secondo modalità semplificate, definite, in
considerazione della peculiarità del caso concreto, sia con apposito provvedimento del Garante (art. 13, 3° comma) sia nei codici deontologici a ciò espressamente autorizzati dalla
legge (è il caso, ad esempio, dei codici di deontologia in materia di reti telematiche –art. 133- e in materia di videosorveglianza –art.134- che potranno prevedere, rispettivamente,
“informative forn ite in linea in modo agevole e interattivo” e “ forme semplificate di informativa all’Interessato”). A tal proposito si ritiene che la possibilità per l’Autorità
Garante di individuare modalità semplificate per l’informativa, espressamente limitata dall’articolo in esame ai soli “servizi telefonici di assistenza e informazione al pubblico” non
solo possa estendersi analogicamente a tutte le attività caratterizzate dalla mancanza di
contatto diretto tra l’Interessato ed il soggetto che raccoglie i dati (è il caso dei contratti a distanza), ma possa altresì applicarsi ad ogni altra situazione in cui il bilanciamento delle
esigenze del caso concreto manifesti la necessità di una riduzione dell’onere informativo, mercè l’applicazione del principio di semplificazione (art. 2, 2° comma), informante l’intera
disciplina in materia di trattamento dei dati personali. Anche la lettura della disposizione concernente la “cessazione del trattamento” (art. 16) rivela
alcune modifiche rispetto all’abrogato art. 16 L. 675/1996. In primo luogo viene espunto il
riferimento all’obbligo di notifica, ripreso tuttavia nella sezione relativa agli “adempimenti” (art. 38, 4° comma), con cui si stabilisce l’onere di preventiva notifica al Garante
dell’intenzione di cessare il trattamento , anche se limitatamente a quelli tassativamente indicati nell’art. 37. Viene inoltre precisato, nell’ipotesi di cessione dei dati ad altro titolare,
come tale operazione sia consentita purchè i dati siano “destinati ad un trattamento in termini compatibili agli scopi per i quali i dati sono raccolti”, con espressione più ampia rispetto alla
previgente e restrittiva previsione di “finalità analoghe agli scopi”. Tale innovazione, del resto, consente di ricondurre a coerenza la disciplina rispetto all’art. 11, che statuisce come i
dati possano essere utilizzati in altre operazioni di trattamento “in termini compatibili con tali
scopi”22.
21 Un elemento ulteriore dell’informativa è espressamente previsto, per il trattamento dei dati sensibili e giudiziari da parte dei soggetti pubblici, dall’art. 22, 2° comma, secondo il cui disposto “ Nel fornire l’informativa di cui all’art . 13 i soggetti pubblici fanno espresso riferimento alla normativa che prevede gli obblighi o i compiti in base alla quale è effettuato il trattamento dei dati sensibili e giudiziari”. Si veda, altresì, l’art. 24, 1° comma, lett. h), concernente la nuova c ausa di esclusione del consenso per le associazioni senza scopo di lucro. 22 Di incoerenza, sul punto, della previgente normativa ha parlato anche la dottrina, v. G. Tassoni, in E. Giannantonio-M.G. Losano -V. Zeno Zencovich, La tutela dei dati personali, cit., p. 220.
16
Meramente nominalistica deve ritenersi la modifica apportata nel codice alla sanzione concernente l’illegittima cessione d ei dati che, pur se definita “priva di effetti” (art. 16, 2°
comma), dovrà ritenersi nulla (con tutte le conseguenze sostanziali e processuali proprie di
tale declaratoria), in aderenza a quanto in precedenza stabilito dall’ art. 16, 3° comma L. 675/1996. Con riguardo alla sanzione amministrativa irrogabile in caso di illecita cessione, il
nuovo art 162, 1° comma innalza la pena pecuniaria da un minimo di cinquemila euro ad un massimo di trentamila (il doppio rispetto alle precedenti sanzioni), prevedendo altresì il potere
discrezionale, per l’Autorità Garante, di provvedere alla pubblicazione dell’ordinanza-ingiunzione, per intero o solo per estratto, su uno o più giornali (sanzione accessoria
precedentemente stabilita per il solo caso di omessa o incompleta notificazione, ex art. 34 L. 675/1996).
6. Regole ulteriori per soggetti pubblici e privati.
Alle norme generali valide per tutti i trattamenti il codice affianca una serie di “regole ulteriori” rispettivamente operanti per i soggetti pubblici (artt. 18- 22) e per i soggetti privati
e gli enti pubblici economici (artt. 23-27). Occorre a tal fine rilevare come, per quanto riguarda la disciplina dei trattamenti in ambito pubblico, il legislatore non abbia inciso
particolarmente, lasciando sostanzialmente inalterata la disciplina ricompresa nella L. 675/1996 e nel dlgs n. 135/1999 contenente “disposizioni integrative della L. 675/1996 sul
trattamento dei dati sensibili da parte dei soggetti pubblici”. Con riferimento alla disciplina
positiva, è possibile ris contrare come espressamente il legislatore codifichi l’esenzione dei soggetti pubblici dall’onere di preventiva richiesta del consenso dell’Interessato (in
precedenza implicitamente desumibile argomentando dall’art. 27,1° comma L. 675/1996), “salvo quanto previsto nella Parte II per gli esercenti le professioni sanitarie e gli organismi
sanitari pubblici”. Un espresso rinvio agli specifici divieti di comunicazione e diffusione dei dati personali di cui al successivo art. 25 è inoltre contenuto nell’art. 18, 4° comma (rinvio
anch’esso desumibile soltanto implicitamente nella disciplina previgente). L’innovazione di maggior rilievo tuttavia è la riformata disciplina delle operazioni di diffusione dei dati, che
nell’attuale normativa acquistano una considerazione particolare, tenuto conto dei rischi
derivanti, per il singolo, dalla messa a disposizione dei propri dati ad una cerchia illimitata di persone. Più precisamente, se nella regolamentazione precedente la diffusione contemplava
due discipline differenziate, in ragione della natura pubblica ( diffusione consentita se prevista da espresse disposizioni di legge o di regolamento o in caso di necessità per lo svolgimento
delle funzioni istituzionali, previo controllo operato dal Garante, ex art. 27, 2° comma) o privata del soggetto destinatario (diffusione ammessa nella sola ipotesi di predeterminazione
17
legislativa o regolamentare, ex art. 27, 3°), oggi al contrario le operazioni di diffusione dei dati personali da parte di un soggetto pubblico sono “ammesse unicamente quando sono
previste da una norma di legge o di regolamento”. Disposizione rigoristica giustificata anche
dall’assoluta difficoltà applicativa della previgente norma, attesa la sostanziale impossibilità di distinguere fra persona pubblica o privata destinataria della diffusione, tenuto conto che per
diffusione si intende “il dare conoscenza dei dati personali a soggetti indeterminati” (art. 4, 1° comma, lett. m).
Con riguardo ai regolamenti integrativi che, in materia di dati sensibili e giudiziari, la pubblica amministrazione deve adottare23 nel caso in cui le disposizioni di legge specifichino
le sole finalità di rilevante interesse pubblico perseguite e non la tipologia di dati trattati e le operazioni eseguibili, viene richiesto dall’art. 20, 2°comma anche il parere obbligatorio
dell’Autorità Garante, cui il regolamento si dovrà conformare (“con atto di natura
regolamentare adottato in conformità al parere espresso dal Garante”), pena l’illiceità del trattamento eventualmente posto in essere (arg. ex art. 20 e art. 11).
Ben diversa, al contrario, appare la portata dell’intervento legislativo delegato in materia di trattamenti gestiti da soggetti privati o da enti pubblici economici, come si è ampiamente visto
in precedenza. In questa sede varrà soltanto svolgere, in relazione agli artt. 24 e ss., le seguenti osservazioni:
- si scinde, nell’ipotesi di trattamento necessario alla salvaguardia della vita o
dell’incolumità fisica di un terzo, la posizione del soggetto Interessato da quella del soggetto te rzo. Mentre per quest’ultimo non sarà necessaria alcuna manifestazione di
consenso, preventiva o successiva, al contrario per l’Interessato che si trovi in condizione di impossibilità fisica, incapacità di agire o di incapacità di intendere o di
volere, il consenso dovrà essere manifestato dall’eventuale rappresentante, o da un prossimo congiunto (familiare, convivente o altri) o, in loro assenza, dal responsabile
della struttura, a differenza del previgente art. 12, lett. g) L. 675/1996, che prevedeva un’esenzione tout court del consenso anche per l’Interessato. Nel caso di
impossibilità, il consenso potrà essere prestato anche successivamente, secondo le
modalità prescritte dall’art. 82, 2° comma (art. 24, 1° comma, lett. e); - viene introdotta, attuando il dettame dell’art. 8, 2° comma, lett. d), dir. 95/46/Ce, una
nuova causa di esclusione del consenso24, relativa al trattamento dei dati personali di aderenti o di persone aventi contatti regolari con associazioni senza scopo di lucro,
23 Entro il termine del 30 sett embre 2004, ex art. 181, 1° comma, lett. a). 24 Estesa anche alla disciplina dei dati sensibili (art. 26, comma 4°, lett. a) e dei trasferimenti di dati all’estero (art. 43, 1° comma, lett. d).
18
purchè siano trattati conformemente agli scopi e alle finalità indicate nell’atto costitutivo (contratto associativo, statuto, contratto collettivo, atto di fondazione) e con
modalità operative preventivamente indicate nell’informativa resa all’Interessato25
(art. 24, 1° comma, lett. h). L’operatività della causa di esclusione (che peraltro non opera con riferimento alle operazioni di comunicazione e diffusione, che pertanto
necessiteranno del consenso espresso dell’Interessato) è dunque soggetta a specifici presupposti e si applica a tutte le associazioni, fondazioni ed enti senza scopo di lucro,
riconosciuti e non, che nei casi più frequenti potranno avere carattere religioso, politico, filosofico o sindacale (si veda il corrispondente art. 8, 2° comma, lett. d, dir.
95/46/Ce); - un’importante novità, volta ad eliminare un’incomprensibile e poco giustificabile
rigidità sistematica26 ed ispirata al principio di semplificazione degli adempimenti, è
riscontrabile anche nel novero delle cause di esclusione del consenso per il trattamento dei dati sensibili. Il consenso, infatti, non sarà più richiesto “quando è necessario per
adempiere a specifici obblighi o compiti previsti dalla legge, da un regolamento o dalla normativa comunitaria per la gestione del rapporto di lavoro, anche in materia
di igiene e di sicurezza del lavoro e della popolazione e di previdenza e assistenza”. Tale principio, tuttavia, dovrà essere modulato e definito nei casi concreti dalle
previste autorizzazioni del Garante (“ nei limiti previsti dall’autorizzazione”) e potrà
anche essere derogato dai Codici di deontologia e di buona condotta (“ferme restando le disposizioni del codice di deontologia e di buona condotta di cui all’art. 111), che
potranno prevedere specifiche modalità “per l’eventuale prestazione del consenso relativamente alla pubblicazione degli annunci per finalità di occupazione di cui
all’art. 113, comma 327 e alla ricezione di curricula contenenti dati personali anche sensibili” (art. 111).
- si sancisce il divieto assoluto di diffusione dei dati idonei a rivelare lo stato di salute, eliminando l’eccezione, prevista nel precedente art. 23, 4° comma L. 675/1996, della
25 Modalità che devono essere definite con determinazione (deliberazione dell’ente) da assumersi entro il 30 giugno 2004 (arg. ex art. 181, 1° comma, lett. a, che ri ferisce espressamente tal e proroga al solo trattamento dei dati sensibili). 26 Nella vigenza della precedente normativa, infatti, l’assenza, per i dati sensibili, di una causa di esclusione equivalent e a quell a dell’art. 12, lett. a) (dati raccolti in base ad un obbligo di legge, regolamento o di normativa comunit ari a), comportava la necessità del consenso scritto del l avoratore anche quando “ l’acquisizione dei dati personali fosse funzionale all ’adempimento di obblighi deri vanti dal contratto di lavoro o, comunque, connessi alla gestione del rapporto di lavoro”, si veda P. Lambertucci, I dati personali nel rapporto di lavoro, in V. Cuffaro -V. Ricciuto, Il Trattamento dei dati personali, Torino, Giappichelli, 1999, p. 118. 27 In realtà sembra trattarsi di un refuso, atteso che l’art. 113, nella versione definitiva del codice, consta di un solo comma.
19
“finalità di prevenzione, accertamento o repressione dei reati” (art. 26, 5° comma e art. 22, 8° comma) .
7. La disciplina delle misure di sicurezza.
La disciplina concernente le “misure di sicurezza”, precedentemente ripartita tra l’art. 15 della L. 675/1996 e il D.P.R. 318/1999, viene adesso riformulata, mantenendo tuttavia la predetta
partizione che, nell’ambito del codice, si sostanzia in una disciplina generale e di principio, enunciata negli artt. 31-36, e in una disciplina di dettaglio, allegata al codice, contenuta nel
cosiddetto “Disciplinare tecnico in materia di misure minime di sicurezza” (Allegato B). Prima di addivenire all’analisi delle norme, sarà opportuno evidenziare la natura
regolamentare del “Disciplinare tecnico”, fonte normativa secondaria subordinata alle disposizioni legislative codicistiche, così come desumibile dall’art. 36, che prevede
l’aggiornamento dell’allegato B) attraverso “ Decreto del Ministro della Giustizia di concerto
con il Ministro per le innovazioni e le tecnologie”28. Immutata risulta la distinzione fra il generale e dinamico (in relazione al progresso tecnico) obbligo di custodia e controllo
mediante “idonee e preventive misure di sicurezza” (art. 31), la cui violazione importa il sorgere della responsabilità risarcitoria ex art. 15, e lo specifico obbligo di adozione delle
misure volte ad “assicurare un livello minimo di protezione dei dati personali”, oggetto di sanzione amministrativa ex art. 169. Le innovazioni più rilevanti, al contrario, sono
riscontrabili proprio nella definizione delle misure minime di sicurezza29, i cui principi
generali sono enunciati negli articoli 34 (trattamenti con strumenti elettronici) e 35 (trattamenti senza l’ausilio di strumenti elettronici) e concretizzati, per ciò che concerne le
specifiche modalità attuative, dal disciplinare tecnico (“nei modi previsti dal disciplinare tecnico contenuto nell’allegato B”, art. 34, 1° comma e 35, 1° comma). Sarà opportuno
evidenziare, in primo luogo, come l’area applicativa30 della disciplina non è più definita dalla dubbia distinzione tra elaboratori non in rete (cd modalità “stand alone” ), elaboratori in rete
non accessibile al pubblico ed elaboratori in rete accessibile al pubblico (art. 2 e 3 D.P.R. 318/1999). Il legislatore delegato, con apprezzabile chiarezza, stabilisce, indistintamente, che 28 La possibili tà di ricomprendere in un testo unico norme aventi grado gerarchico differente è espressamente ammessa dall’art. 7 , 2° comma della L. 50/1999, che prevede “ l’emanazione di testi unici riguardanti materie e settori omogenei, comprendenti, in un unico contesto e con le opportune evidenziazioni, le disposizioni legislative e regolamentari”. 29 Le norme definitorie sono ricomprese nell’art. 4, comma 3, lett. a)-g). 30 Con riferimento all’entrata in vigore delle norme in esame, l’art. 180, 1° coma stabilisce il t ermine del 30 giugno 2004 per l’adozione delle misure minime di sicurezza non previste dal D.P.R. 318/1999. Tuttavia, per ciò che concerne i trattamenti elettronici, se gli strumenti elettronici impediscono, per obiettive ragioni tecniche, l’applicazione d elle misure minime prescritte dal codice e dall’allegato (anche se già previste dal precedente D.P.R. 318/1999, arg. ex art. 180, 1° e 2° comma), il Titolare avrà un anno di tempo per adeguarsi (pertanto fino al 1 gennaio 2005), previa redazione di un apposito documento, mantenuto presso l a st ruttura (pert anto da non
20
“i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo”. Sono esclusi espressamente coloro che trattino dati per fini esclusivamente
personali, non destinati ad una comunicazione sistematica o alla diffusione, in forza del
disposto di cui all’art. 5, 3° comma, che prescrive per questi soggetti il solo obbligo di adottare “idonee e preventive misure di sicurezza” ex art. 3131. Risultano opportunamente
eliminate, inoltre, le figure dell’amministratore di sistema e del custode delle passwords, di creazione regolamentare32 e mai espressamente menzionate dalla L. 675/1996 fra i soggetti
autorizzati alle operazioni di trattamento. Al contrario, vengono introdotte nel disciplinare tecnico le figure dell’ “addetto alla gestione” e dell’ “addetto alla manutenzione” degli
strumenti elettronici (punto 15). Ruoli, tali ultimi, che, tenuto conto del disposto dell’art. 30, 1° comma che riserva le operazioni di trattamento ai soli incaricati, non potranno che essere
assunti proprio da incaricati del trattamento. Sono altresì riscontrabili, in sintesi, le seguenti
ulteriori innovazioni: - Nei trattamenti con strumenti elettronici viene generalizzato l’utilizzo della user-id
(codice identificativo), unitamente alla password (parola-chiave), definite dalla legge “credenziali di autenticazione” (allegato B, punti 1 e 2). Viene altresì espressamente
ammesso l’utilizzo di altri tipi di credenziali di autenticazione, quali i “dispositivi di autenticazione in possesso o uso esclusivo dell’incaricato” (chiave elettronica o
tessera magnetica) o le “ caratteristiche biometrich e dell’incaricato”, che saranno di
per sé sufficienti o potranno, a discrezione del Titolare, essere associate ad un codice identificativo o ad una parola chiave. Ad ogni incaricato potrà essere assegnata anche
più di una credenziale di autenticazione (allegato B, punto 2); - Il Titolare ha l’obbligo di fornire all’incaricato istruzioni adatte a garantire la
segretezza della password (“componente riservata della credenziale”), fornendogli criteri o regole di policy, nonché il dovere di indicargli le modalità più opportune per
la custodia dei dispositivi di autenticazione in possesso o uso esclusivo (arg. ex punto 4);
- Le regole di formazione della password devono comunque rispettare i livelli minimi di
sicurezza garantiti dal punto 5; - Con cadenza annuale si deve procedere alla verifica dell’ambito di trattamento
consentito a ciascun incaricato, verifica che potrà essere fatta anche per “classi
noti ficare al Garante) avente data cert a (si veda provvedimento del Garante del 5 dicembre 2000 che ha chi arito le modalità di conferimento della “data certa”), volto a specificare le “ obiettive ragioni tecniche”. 31 Non è pertanto più previsto per tali ipotesi l’obbligo, sanzionato in via amministrativa, di adottare almeno una password per la limitazione dell’accesso, ex art. 2 D.P.R. 318/1999. 32 Art. 1 e 2 del D.P.R. 318/1999.
21
omogenee di incarico” (punto 15). In questo modo, il Titolare (o il Responsabile, se designato) potrà aggiornare il documento contenente la lista degli incaricati preposti
ad una determinata unità operativa, specificando le eventuali variazioni concernenti la
tipologia dei dati trattati o le operazioni consentite (“ambito del trattamento”): variazione che, in aderenza a quanto già detto con riferimento all’art. 30, 2° comma,
dovrà essere resa pubblica agli incaricati preposti; - Viene introdotto un obbligo di aggiornamento non più dei soli programmi cd anti-
virus (che rimane semestrale) , ma anche dei programmi “volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti”, con cadenza annuale,
che si converte in semestrale nel caso di dati sensibili. Le misure di protezione predisposte per gli strumenti elettronici, pertanto, riguarderanno non solo i pericoli
esogeni (intrusioni dei cosiddetti hacker o virus), ma anche i rischi endogeni, derivanti
dal cattivo funzionamento o da difetti dell’hardware o del software. - Il documento programmatico sulla sicurezza deve essere redatto e aggiornato, entro il
31 marzo di ogni anno, nel solo caso di trattamento di dati sensibili o giudiziari, secondo i criteri direttivi indicati nel punto 19;
- Peculiari misure sono adottate nel caso di trattamento di dati concernenti lo stato di salute e l’identità genetica (punto 24);
Se la normativa concernente le misure di sicurezza da adottare per i trattamenti con strumenti
elettronici può definirsi ben più analitica e rigorosa della disciplina previgente, in aderenza al principio di “elevato livello di tutela” di cui all’art. 2, al contrario le disposizioni relative al
trattamento cartaceo dei dati personali rivelano la tendenza del legislatore a semplificare gli oneri a carico del Titolare, in ragione del minor rischio insito in tale tipo di attività. Ed invero,
se a mente d ell’art. 6 D.P.R. 318/1999 tutti i documenti riguardanti dati personali dovevano essere conservati in archivi ad accesso selezionato, secondo l’attuale codice soltanto i dati
sensibili e giudiziari saranno necessariamente oggetto di archiviazione ad accesso controllato (art. 35, 1° comma lett. c e punto 29). Le modalità pratiche di custodia e controllo di tali dati,
inoltre, sono devolute alla discrezione dell’Incaricato (in modo tale che comunque “non vi
accedano persone prive di autorizzazione”): viene meno, pertanto, l’obbligo sancito dal precedente art. 9, 2° comma, lett. a) D.P.R. 318/1999, di conservazione in “contenitori muniti
di serratura”. Con riferimento al trattamento cartaceo di dati personali comuni, gli Incaricati si dovranno attenere alle ist ruzioni (attinenti al controllo e alla custodia per il periodo
necessario allo svolgimento delle operazioni di trattamento) impartite con atto scritto, eventualmente redatto per “categorie di soggetti”, ed aggiornato annualmente (Allegato B,
22
punto 27), con indicazione anche dell’ambito del trattamento (tipologia di dati e operazioni consentite), ex art. 35, 1° comma, lett. a. Nella definizione dell’ambito del trattamento,
inoltre, il Titolare (o il Responsabile, se designato), non dovrà necessariamente prescrivere
agli incaricati l’accesso ai “soli dati personali la cui conoscenza sia strettamente necessaria per adempiere ai compiti loro assegnati”, trattandosi di disposizione non trasposta nel nuovo
codice (previsione dell’abrogato art. 9, 1° comma, lett. a, D.P.R. 318/1999). Particolarmente rilevanti risultano, inoltre, anche le disposizioni in materia di “Misure di tutela e di garanzia”
(allegato B, punto 25 e 26). In particolar modo viene introdotto l’obbligo di “certificazione di conformità”, alla normat iva vigente, delle misure minime di sicurezza adottate (obbligo a
carico degli “installatori” nel solo caso in cui si tratti di soggetti esterni alla struttura del Titolare, ad esempio consulenti). Di non minore importanza si rivela l’obbligo per il Titolare
di menzionare, nell’eventuale relazione accompagnatoria al bilancio d’esercizio, l’avvenuta
redazione o modifica del Documento Programmatico sulla sicurezza, manifestando in questo modo il legislatore l’importanza centrale della conformità alle misure minime di sicurezza che
diventano, pertanto, un vero e proprio parametro di valutazione del “valore” della società. 8. Adempimenti: notificazione, comunicazione, autorizzazione.
Il ribaltamento di prospettiva, in materia di notificazione dei trattamenti svolti, introdotto dall’ultimo decreto legislativo (art. 3 Dlgs. 467/2001), viene portato definitivamente a
compimento nelle relative disposizioni del presente codice che provvedono ad individuare i
trattamenti “ suscettibili di recare pregiudizio ai diritti ed alle libertà dell’interessato” (art. 3, 1° comma Dlgs 467/2001). In particolar modo è opportuno sottolineare come la trasparenza
nel trattamento dei dati personali sia garantita, nel sistema approntato dal codice, da un doppio binario costituito da un obbligo di preventiva notifica limitato ai soli casi
tassativamente indicati ex lege (art. 37) e da un generalizzato obbligo di comunicazione, a favore di chiunque ne faccia richiesta, dei dati che sarebbero oggetto di notifica (obbligo a
carico dei Titolari esentati dall’onere di notifica ex art. 37, vide art. 38, 6° comma). In assenza di un’espressa specificazione normativa, si ritiene che il termine di riscontro alla predetta
comunicazione sia quello ordinario di 15 giorni – eventualmente prorogabile di altri 15-
indicato dall’art. 146. La scelta del legislatore delegato, in definitiva, depone per la sostanziale devoluzione del controllo dei trattamenti all’iniziativa individuale. Certamente
imputabile ad una “svista” del legislatore deve essere la mancata previsione di una norma, analoga al previgente art. 7, 4° comma L. 675/1996, contenente le informazioni da indicare
nella notifica. In assenza di un’espressa disposizione, opereranno con efficacia diretta le
23
indicazioni dell’art. 19 Dir. 95/46/Ce (norma da ritenersi self-executing)33, che dovranno essere integrate dall’eventuale notifica della cessazione del trattamento (art. 38, 4°) e
dall’eventuale trasferimento dei dati in paesi non appartenenti alla Comunità Europea34 (art.
37, 3° comma). L’adempimento della notifica viene limitato, ex art. 37, 1° comma, a specifiche categorie di
trattamenti, che possono ricondursi a tre settori principali: - Trattamenti di dati sensibili attinenti alla salute e allo stato sessuale (lett. a, b, c);
- Trattamenti di dati conc ernenti la personalità dell’Interessato, finalizzati a definire le abitudini di consumo, l’attitudine lavorativa e le opinioni dello stesso ( lett. d, e);
- Trattamenti di dati riguardanti la solvibilità economica, la situazione patrimoniale, il corretto adempimento di obbligazioni, eventuali comportamenti illeciti o fraudolenti
(lett. f, concernente i trattamenti delle cd “centrali rischi”, volte a consentire la
valutazione del merito creditizio). La distinzione delle categorie di trattamenti, tuttavia, non è particolarmente chiara, soprattutto
con riferimento agli obblighi sussistenti a carico delle “società di selezione del personale” . Ed invero, il legislatore stabilisce l’obbligo di notifica tanto per i Titolari che trattino dati
personali comuni volti “a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizio di comunicazione
elettronica” (lett. d), quanto per coloro che trattino “dati sensibili registrati in banche dati a
fini di selezione del personale35 per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie” (lett. e). La lettera della legge, a
tal fine, sembrerebbe chiara, stabilendo l’obbligo di notifica soltanto nel caso di trattamento di dati sensibili. Tuttavia il trattamento dei dati personali a fini di selezione comporta in
concreto, nella quasi totalità dei casi, la definizione del “profilo o della personalità” 33 Art. 19, 1° comma Dir. 95/46/Ce: “ Gli Stati membri definiscono le informazioni che devono essere contenute nella notificazione. Esse comprendono almeno:
a) il nome e l’indirizzo del responsabile del trattamento e, eventualmente, del suo rappresentante; b) la o le finalità del trattamento; c) una descrizione della o delle categorie di persone interessate e dei dati o delle categorie di dati relative
alle medesime; d) i destinatari o le categorie di destinatari a cui i dati possono essere comunicati; e) i trasferimenti di dati previsti verso paesi terzi, f) una descrizione generale che permetta di valutare in via preliminare l’adeguatezza delle misure
adottate per garantire la sicurezza del trattamento in applicazione dell’art.17”. L’efficacia diretta di tali disposizioni discende, in conformità ai presupposti individuati dalla giurisprudenza della Corte di Giustizia della Comunità Europea, dalla scadenza del termine di recepimento e dall’esistenza di disposizioni dettagliate e vincolanti per gli Stati membri (si tratta, infatti, di indicaz ioni minime inderogabili). 34 Il generico disposto dell’art. 37, 3° comma, infatti, deve interpretarsi in combinato con il principio di libera circolazione dei dati nello spazio della Comunità Europea, enunciato dal successivo art. 42.
24
dell’Interessato, attività espressamente soggetta all’obbligo di notifica anche nell’ipotesi di trattamento di dati personali comuni. Un’interpretazione svincolata dal dettato testuale,
tuttavia (pur essendo opportuno un intervento chiarificatore del Garante sul punto), potrebbe
condurre a concludere che, con riferimento alle società di selezione del personale, non sia richiesta la notifica nel caso di trattamento di dati personali comuni volti a definire la
personalità o il profilo dell’Interessato, a fini di selezione del personale o di valutazione del potenziale lavorativo.
Il novero dei trattamenti soggetti a notifica è definito dal codice in maniera flessibile (analogamente a quanto già visto in materia di informativa ex art. 13), essendo devoluto al
Garante il potere di individuarne ulteriori, nell’ambito dei dati il cui trattamento presenta “rischi specifici” ai sensi dell’ art. 17 ( “adottato anche ai sensi dell’articolo 17”, così l’art.
37, 2° comma), nonché il potere di derogare alle disposizioni di legge, selezionando,
“nell’ambito dei trattamenti di cui al comma 1, eventuali trattamenti non suscettibili di recare detto pregiudizio e pertanto sottratti all’obbligo di notificazione” .
Nell’ambito del titolo VI concernente gli “adempimenti” a carico del Titolare, vengono disciplinati, oltre alla notifica, anche la “comunicazione” (art. 39) e l’ “ autorizzazione” (artt.
40 e 41, che non presentano modifiche di rilievo). Viene introdotta, dunque, la nuova figura della comunicazione al Garante, funzionale a garantire, da parte dell’Autorità indipendente,
un controllo preventivo al trattamento (cd “prior checking”). Nonostante tale adempimento
venga con equivoca terminologia denominato “comunicazione” (da non confondersi con la comunicazione dei dati personali a soggetti terzi), in realtà la lettura dell’art. 39 rivela come ci
si trovi dinanzi all’onere di notifica preventiva (con la possibilità di iniziare il trattamento decorso un periodo di tempo – 45 giorni - senza riscontro da parte dell’Autorità Garante)
disciplinato dalla L. 675/1996 per diverse ipotesi. Tuttavia l’utilizzo di tale strumento, che in un quadro di “deflazione” dell’obbligo di notifica dovrebbe acquisire maggiore rilievo,
essendo modulato sullo specifica e concreta situazione di trattamento, viene espressamente limitato dall’art. 39 a due soli casi, peraltro residuali36. Non si comprende, dunque, il mancato
riferimento alla categoria dei dati semi-sensibili disciplinata dall’art. 17, che dovrebbe
35 Pur non essendo ogg etto di precisazione normativa, si ritengono ricomprese anche le attivit à di “ valutazione del potenziale”, che le società di selezione svolgono per definire la capacità professionale, la formazione e il livello di soddisfazione degli Interessati nell’ambi to del rapporto lavorativo in corso. 36 Quali la “ comunicazione di dati personali da parte di un soggetto pubblico ad altro soggetto pubblico non prevista da una norma di legge o di regolamento” (l ett. a) ed il “ trattamento di dati idonei a rivelare lo sta to di salute previsto dal programma di ricerca biomedica o sanitaria di cui all’art. 110, comma 1, primo periodo” (lett. b).
25
costituire, considerando anche il dettato della normativa comunitaria37, l’ambito principale di operatività di tale strumento.
9. Trasferimento dei dati all’estero.
L’intervento normativo in materia di trasferimento dei dati personali all’Estero, si muove nell’alveo della semplificazione già delineato dal dlgs 467/2001. Il codice, con maggiore
chiarezza rispetto all’art. 28 della L. 675/1996, distingue fra trasferimenti all’interno dell’Unione Europea, regolati dal regime di libera circolazione “fatta salva l’adozione, in
conformità allo stesso codice, di eventuali provvedimenti in caso di trasferimenti di dati effettuati al fine di eludere le medesime disposizioni” (art. 42), e trasferimenti in Paesi terzi,
ammessi con l’espresso consenso dell’Interessato o, in mancanza, nelle ipotesi tassativamente previste dalla legge o in presenza di autorizzazione dell’Autorità Garante (artt. 43 e 44).
Proprio con riguardo ai trasferimenti dei dati in ambito extracomunitario è possibile
riscontrare l’innovazione più rilevante, consistente nell’abolizione del controllo da parte dell’Autorità Garante a seguito della notifica preventiva disposta dall’art. 24, 1° e 2° comma
L. 675/1996. Sarà pertanto sufficiente provvedere alla notifica di tale operazione nell’unico atto previsto ai sensi dell’art. 37, 3° comma (notifica generale), senza dover più attendere il
termine di 15 giorni precedentemente necessario per dare inizio al trasferimento dei dati. 10. Specifici trattamenti: spamming e informatica giuridica.
Pur nei limiti della presente trattazione, una veloce lettura della parte relativa alle specifiche
ipotesi di trattamento (in cui ampio spazio viene riconosciuto agli emanandi codici deontologici) non può prescindere dall’esame delle due più importanti novità introdotte dal
testo unico: vale a dire gli artt. 51 e 52 (informatica giuridica) e l’art. 130 (comunicazioni indesiderate).
Partendo proprio da tale ultima disposizione, è possibile rilevare come finalmente si introduca, dopo una serie di interventi normativi contrastanti38, una coerente ed organica
disciplina del fenomeno dello “spamming”, rappresentato dall’invio di e-mail ed sms non sollecitati, di natura prevalentemente pubblicitaria: fenomeno di recente emersione la cui
pervasività richiede, oggi, la predisposizione di idonei ed efficienti strumenti di tutela della
sfera individuale. Viene così integralmente recepito, in aderenza alla delega conferita, l’art. 13 della direttiva 2002/58/Ce regolante proprio le comunicazioni indesiderate.
Il sistema codificato, pertanto, è quello del consenso preventivo (cd opt in ) prestato –previa idonea e completa informativa resa dal Titolare- dal soggetto (persona fisica o giuridica) che 37 Art. 20, Dir. 95/46/Ce. A tal proposito, giova aggiungere che un’ermeneutica conforme a tale norma dovrebbe comportare l’estensi one dell’obbligo di comunicazione anche a questi dati, mercè l’interpretazione estensiva dell’espressione “ anche a seguito di un interpello del Titolare”contenuta nell’art. 17 del codice.
26
lo stesso Titolare voglia contattare, attraverso il telefono o strumenti di comunicazione elettronica (telefax, e-mail, sms, mms o di altro tipo), al fine della vendita diretta, della ricerca
di mercato, della comunicazione commerciale o dell’ invio di materiale promozionale (art.
130, 1° e 2°comma). Tale principio, assoluto e inderogabile nel caso in cui il Titolare si avvalga “di strumenti automatici di chiamata senza l’intervento di un operatore”, presenta
delle attenuazioni nel caso di contatto diretto, cioè di invio delle predette comunicazioni attraverso l’intervento di un operatore. In questa ipotesi, infatti, se la regola sarà sempre il
consenso preventivo, tuttavia saranno ammesse delle eccezioni (corrispondenti alle cause di esclusione del consenso delineate dall’art. 24) in cui il Titolare potrà contattare direttamente
l’Interessato senza necessità di reperire il consenso, né anteriormente né successivamente alla comunicazione non sollecitata (arg. ex art. 130, 3° comma). Tuttavia, nel corpo del primo
messaggio sarà comunque necessario inserire l’informativa di cui all’art. 13, unitamente
all’espressa indicazione della possibilità per l’Interessato di opporsi, in ogni momento, all’invio di tali messaggi ed al correlativo trattamento dei dati (arg. ex art. 130, 3° comma).
Tale previsione, il cui ambito applicativo potrà essere ampio con riferimento all’esimente dei “dati relativi allo svolgimento di attività economiche” (art. 24, 1° comma, lett. d), importa
dunque l’onere, per l’Interessato, di intervenire attivamente attraverso un’espressa opposizione (cd sistema di opt-out). Sempre nell’ipotesi di contatto diretto, e limitatamente
alle sole comunicazioni a mezzo e-mail, il Titolare potrà prescindere dal consenso
dell’Interessato che, suo cliente, gli abbia fornito le proprie coordinate di posta elettronica nel contesto della vendita di un precedente prodotto o servizio. Resta fermo, peraltro, l’obbligo
per il Titolare di fornire adeguata informativa nel corpo di tale comunicazione e di rendere espressamente noto (nella prima come nelle successive comunicazioni) il diritto
dell’Interessato ad opporsi in ogni momento. Tale opportuno obbligo informativo, funzionale a sollecitare continuamente l’esercizio del diritto alla tutela dei dati personali, non viene
tuttavia previsto nell’ipotesi, precedentemente analizzata, di cui all’art. 130, 3° comma. Le comunicazioni in oggetto, inoltre, dovranno recare l’indicazione del soggetto mittente e
del recapito presso cui l’Interessato potrà far valere i diritti di cui all’art. 7 (art. 130, 5°
comma). La violazione delle disposizioni previste dall’art. 130 importa l’applicazione delle sanzioni penali previste dalla fattispecie di “illecito trattamento dei dati ”, purchè “dal fatto
derivi nocumento” (art. 167, 1° comma)39, nonché la sanzione amministrativa prevista dall’art. 161 per il caso di “omessa o inidonea informativa”. Nonostante la mancata
38 Si rimanda a M. Atelli, Spamming:si svolta verso il silenzio assenso, in Guida al Diritto, 20/2003, pp. 45 e ss. 39 Reclusione da sei a diciotto mesi. Si noti che la natura penale dell’art. 130 impedisce l’interpretazione analogica (almeno in malam partem )delle disposizioni ivi contenute.
27
indicazione nell’elenco delle norme abrogate ex art. 183, si ritiene che l’art. 130 importi l’abrogazione tacita delle contrastanti disposizioni previste, in materia di comunicazioni
commerciali per posta elettronica, dall’art. 9 del recente dlgs n. 70/200340 (disciplinante
l’introduzione di un generale sistema di opt-out)41. Nel solco di un progressivo adeguamento dell’apparato giudiziario agli strumenti di
comunicazione telematica (adeguamento a suo tempo avviato dal D.P.R. 123/2001), l’art. 51 prevede il principio generale dell’accessibilità, per chi vi abbia interesse, ai dati identificativi
relativi alle questioni pendenti dinanzi all’autorità giurisdizionale o ricompresi nei provvedimenti o nelle sentenze emanate dall’ autorità giudiziaria di ogni ordine e grado. Si
tratta di una forma di pubblicità ulteriore delle sentenze e dei provvedimenti giurisdizionali, che tuttavia lascia fermo l’obbligo di deposito presso la cancelleria, da cui continuano a
derivare tutti gli effetti previsti dai codici di rito (in particolar modo con riguardo alla
decorrenza del termine per l’impugnazione). L’accessibilità, che di per sé importa la semplice messa a disposizione dei provvedimenti nel sito (di regola quello istituzionale dell’Autorità
emanante), sembrerebbe precludere espressamente la possibilità che le sentenze ed i provvedimenti possano essere comunicati alle parti mediante posta elettronica. L’art. 52,
inoltre, ad ulteriore tutela dei dati personali trattati nell’ambito dei procedimenti giurisdizionali, introduce la possibilità per l’Interessato (che potrà anche non coincidere con
la parte processuale) di chiedere, per motivi legittimi e limitatamente alle forme di pubblicità
per informazione giuridica (pubblicità su riviste, supporti e reti di comunicazione elettronica di settore), l’omissione dei propri dati identificativi dalle sentenze e da ogni altro
provvedimento giurisdizionale di ogni ordine e grado. La sussistenza dei requisiti per tale omissione, che dovrà essere valutata dal giudice che pronuncia la sentenza o adotta il
provvedimento con d ecreto in calce e che potrà essere adottata d’ufficio dallo stesso giudice per la tutela dei diritti e della dignità degli interessati, si sostanzierà, in caso positivo, in
un’annotazione apposta dalla cancelleria in calce al provvedimento o alla sentenza, volta ad esplicitare il predetto obbligo di omissione. Se tale garanzia, peraltro, risulta limitata alle sole
ipotesi di pubblicità nel circuito degli operatori di settore (“per finalità di informazione
giuridica su riviste giuridiche, supporti elettronici o mediante reti di comunicazione elettronica”, art. 52, 1° comma), al contrario la norma in esame appronta una tutela assoluta a 40 Art. 9, dlgs. 70/2003: “1. Fat ti salvi gli obblighi previsti dal decreto l egislati vo 22 maggio 1999, n. 185 e dal decreto legislativo 13 maggio 1998, n. 171, le comunicazioni commerciali non sollecitate trasmesse da un prestatore per posta elettronica devono, in modo chiaro e inequivocabile, essere identificate come tali fin dal momento in cui il destinatario le ri ceve e contenere l ’indi cazione che il destinatario del messaggio può opporsi al ricevimento in futuro di tali comunicazioni. 2. La prova del carattere sollecitato delle comuni cazioni commerciali è onere del prestatore”. 41 Si veda M. Atelli, Spamming, cit.
28
favore dei minori e delle parti nei procedimenti in materia di famiglia e di stato delle persone (ad esempio separazioni, div orzi, adozioni, interdizioni) i cui dati identificativi dovranno
comunque e in ogni caso essere omessi dalle sentenze e dai provvedimenti giurisdizionali,
senza bisogno di alcuna annotazione. Tutela, tale ultima, approntata soltanto rispetto alle operazioni di diffusione (“chiunque diffonde ”, art. 52, 5° comma) e non applicabile, pertanto,
ai casi di comunicazione, cioè di messa in circolazione dei dati ad una cerchia determinata di persone. E’ il caso tuttavia di rilevare come le meritorie intenzioni del legislatore vengano
vanificate dall’assenza di qualsiasi conseguenza pratica alla violazione delle predette norme (non sono previste infatti né sanzioni penali né sanzioni amministrative).
Fuori dai casi specificamente individuati dall’art. 52, permane espressamente il principio di libera e integrale diffusione del contenuto delle sentenze e dei provvedimenti giurisdizionali
(art. 52, 7° comma).
11. Tutela amministrativa e giurisdizionale. Sanzioni. Il codice viene infine a regolamentare, nella parte III (artt. 141-172, seguiti da norme
transitorie e abrogative, artt. 173-186), i mezzi di tutela amministrativa e giurisdizionale, nonchè le sanzioni relative all’infrazione delle disposizioni vigenti in materia di protezione
dei dati personali. Nel procede re alla disamina della disciplina concernente la tutela dinanzi all’Autorità
Garante, si può notare una maggiore precisione definitoria nell’individuazione dei mezzi
esperibili dall’Interessato (o dalle associazioni rappresentative), a mente del disposto dell’art. 141. La tripartizione in reclami, segnalazioni e ricorsi propria della L. 675/1996 viene ripresa
dal codice, che tuttavia svolge alcune importanti precisazioni: - i ricorsi possono essere esperiti dall’Interessato “per far valere gli specifici diritti di
cui all’art. 7”; - le segnalazioni e i reclami possono essere presentati per “rappresentare una
violazione della disciplina rilevante in materia di trattamento di dati personali ”. La segnalazione, inoltre, si propone “se non è possibile presentare un reclamo
circostanziato”.
Alla luce di tali elementi, è possibile rilevare come il legislatore abbia chiaramente inteso conferire distinti ambiti di operatività ai predetti strumenti di tutela, limitando i ricorsi
all’esercizio dei diritti di informazione, rettifica, aggiornamento, cancellazione, integrazione e opposizione annoverati nell’art. 7 e riconoscendo alle segnalazioni e ai
reclami la funzione di controllo (o meglio, di sollecitazione del controllo da parte dell’Autorità Garante) in ordine alla corretta applicazione della normativa vigente in
29
materia di trattamento: situazioni, tali ultime, che non si concretano direttamente in un vulnus per la sfera del soggetto Interessato42. Le segnalazioni, inoltre, sono volte a
premere in modo indistinto per un controllo, senza formulare una domanda precisa, a
differenza dei reclami, che si sostanziano in una doglianza più o meno dettagliata43. Il codice introduce, inoltre, una serie di norme volte a meglio specificare –rispetto alla
scarna disciplina previgente, ricompresa nell’art. 16 del D.P.R. 501/1998- il procedimento, le garanzie ed i provvedimenti di tutela conseguibili. In particolar modo
l’art. 143 (procedimento per i reclami) prevede la possibilità di adottare i provvedimenti anche prima della definizione del procedimento, in modo da non pregiudicare i diritti
dell’Interessato anche nelle more del contenzioso amministrativo. Il procedimento previsto per i ricorsi manifesta alcune modifiche, riguardanti in particolar
modo i termini 44. Come già visto in sede di trattazione dei diritti dell’Interessato, il ricorso
è esperibile decorso il termine di riscontro concesso al Titolare e al Responsabile, innalzato dagli originari 5 agli attuali 15 giorni, prorogabili di altri 15 giorni ex art. 146,
2° e 3° comma. Nel caso di proposizione del ricorso, l’ufficio del Garante deve darne comunicazione al Titolare entro il termine (ordinatorio) di tre giorni, con invito ad
esercitare il diritto all’adesione spontanea entro 10 giorni dalla comunicazione (tre giorni nella versione del vecchio art. 20, D.P.R. 501/1998 ). Rilevante è anche l’introduzione
del diritto, riconosciuto al ricorrente, di precisare la domanda nei limiti di quanto chiesto
con il ricorso o a seguito di eccezioni formulate dal Titolare: diritto che, in aderenza al principio del contraddittorio enunciato nell’art. 149, 3° comma, dovrà riconoscersi in
egual misura al Titolare o al Responsabile convenuti nel procedimento in oggetto. L’originario termine di trenta giorni decorso il quale, in mancanza di pronuncia,
s’intendeva rigettato il ricorso (art. 29, 54° comma L. 675/1996) è innalzato a 60 giorni, con possibilità di proroga di ulteriori 40 giorni (20 giorni ex art. 20 D.P.R. 501/1998) non
solo in presenza del consenso delle parti, ma ora anche nel caso in cui gli accertamenti risultino particolarmente complessi (art. 150, 2° comma e 149, 7° comma). Il
provvedimento assunto dall’Autorità Garante, che deve essere comunicato entro 10 giorni
alle parti (3 giorni nel precedente art. 20, 6° comma D.P.R. 501/1998), viene dotato dal
42 Così F. Caringella, Il potere di accertamento del Garante, in Il trattamento dei dati personali, cit., p. 463. 43 Idem. Si rimanda, inoltre, all’art. 142, 1° comma, secondo cui “ Il reclamo conti ene un’indicazione dettagliata dei fatti e delle circostanze su cui si fonda, delle disposizioni che si presumono violate e delle misure richieste….” 44 La sospensione dei termini processuali è uni formata a quell a prevista dalla L. 742/1969 ed opera dal giorno successivo alla pubblicazione del presente codice, ex art. 186.
30
codice della forza di titolo esecutivo, ai sensi e per gli effetti degli articoli 474 e 475 c.p.c, limitatamente tuttavia alla sola parte determinante l’ammontare delle spese di lite.
La lettura dell’unico articolo dedicato alla tutela giurisdizionale (art. 152), rivela
l’intenzione del legislatore di incidere in maniera rilevante sull’assetto normativo precedentemente definito. A tal fine si possono individuare due “binari” di articolazione
della tutela giurisdizionale. Più precisamente, al procedimento dinanzi all’autorità giurisdizionale ordinaria, regolato secondo il processo ordinario di cognizione45, e
costituito da tre gradi di giudizio (primo grado, appello, ricorso in Cassazione), si affianca una differente via di tutela che, a seguito del provvedimento emanato dall’autorità Garante
preventivamente adita46, comporta un giudizio di opposizione dinanzi all’autorità giudiziaria ordinaria, secondo lo speciale procedimento disciplinato dall’art. 152, commi
4-13, che da ultimo si conclude con sentenza impugnabile soltanto attraverso lo strumento
del ricorso per cassazione. La concreta disciplina manifesta la scelta del legislatore volta a stimolare l’esperimento
della procedura amministrativa, caratterizzata da speditezza (60 giorni) ed efficienza (possibilità di ottenere anche provvedimenti cautelari), e seguita da un’eventuale fase
giurisdizionale di opposizione, più breve e concentrata rispetto al rito ordinario di cognizione. Con riferimento proprio al processo di opposizione, si rileva come il relativo
ricorso debba essere presentato, a pena di inammissibilità, entro 30 giorni dalla pronuncia
del provvedimento o del formarsi del silenzio-rigetto (art. 152, 4° comma). Di particolare rilievo è la possibilità, per il giudice, di disporre provvedimenti cautelari anche inaudita
altera parte, allorchè sussista un pericolo imminente di danno grave e irreparabile e previa fissazione della successiva udienza di comparizione delle parti –entro il termine perentorio
di 15 giorni- per la conferma, revoca o modifica dei provvedimenti stessi: disposizione in tutto e per tutto analoga a quella prevista dall’art. 669 sexies, 2° comma, c.p.c.
Le successive norme, che non disciplinano l’intero processo, delineano tuttavia un rito assimilabile a quello del lavoro 47, regolato dagli artt. 414 e ss. c.p.c. : rito cui si dovrà
conformare, in quanto compatibile, il procedimento di opposizione in esame, in mancanza
di espresse disposizioni di legge. Il giudice, inoltre, viene dotato di particolari poteri istruttori, “disponendo, anche d’ufficio, …..i mezzi di prova che ritiene necessari” (art.
45 Con le solo innovazioni introdotte dall’art. 152, comma 1, 2 e 3, applicabili a tutti i giudizi (introduzione con ricorso depositato presso il Tribunale del luogo di residenza del Titolare e giudizio monocratico). 46 Provvedimento che costituisce esercizio non di attività giurisdizional e bensì di amministrazione contenziosa, si veda F. Cardarelli, in E. Giannantonio -M.G. Losano -V. Zeno Zencovich, La tutela dei dati per sonali, cit., p.367 ss. 47 Il procedimento di opposizione ex art. 29, 7° comma L. 675/1996 veniva al contrario espressamente disciplinato dalle norme concernenti il procedimento camerale (rito collegiale, artt. 737 e ss.).
31
152, 9° comma). La concentrazione del procedimento si manifesta altresì nella possibilità, una volta esaurita l’istruttoria e precisate le conclusioni, di disporre nella stessa udienza
anche la discussione orale della causa48, cui segue l’immediata lettura del dispositivo.
In relazione alle norme riguardanti le sanzioni amministrative e gli illeciti penali (artt. 161-172), occorre sottolineare l’aumento della misura pecuniaria delle sanzioni, pressoché
raddoppiate in tutte le ipotesi49, e il mutamento di natura della fattispecie penale del “trattamento illecito di dati” (art. 167), che da reato di condotta diventa reato di evento,
punito solo “se dal fatto deriva nocumento”. 12. Modifiche extra codicem : nuova applicazione del trattato di Schengen.
Fra le molteplici disposizioni di modifica di norme extra codicem, si evidenzia in questa sede la novella apportata, in materia di notifica di atti giudiziari, ai codici di procedura
civile e penale (art. 174), volta a salvaguardare la riservatezza del destinatario in aderenza
a quanto già a suo tempo indicato dal Garante50, e le modifiche alle norme di esecuzione della Convenzione di Schengen (L. 388/1993). Soprattutto l’analisi di queste ultime
norme rivela l’esistenza di ragioni contrastanti (se non contraddittorie) alla base dell’intervento legislativo delegato. Rileva, a tal fine, notare il ribaltamento di prospettiva
operato dall’art. 173, che opta per il sistema di “accesso diretto”. Modifica che, in concreto, comporta per chi voglia accedere, in Italia, ai dati contenuti nel sistema
informativo di Schengen (o voglia rettificare o cancellare i dati ivi illecitamente trattati),
la necessità di adire non più l’Autorità garante per la protezione dei dati personali51, bensì direttamente la sezione nazionale responsabile del SIS, cioè il Dipartimento di Pubblica
Sicurezza del Ministero degli Interni. L’autorità Garante potrà ora essere interpellata –in via sussidiaria- soltanto con segnalazione o reclamo, nel caso di “inidoneo riscontro” del
Dipartimento di Pubblica Sicurezza (art. 11, 1° comma L. 388/1993). Resta ferma, in ogni caso, la possibilità per l’Interessato di ottenere, in via giurisdizionale,
gli accertamenti necessari, la rettifica, la cancellazione o la trasformazione in forma anonima dei dati contenuti nel SIS (sistema informativo Schengen), allorché i dati
risultino oggetto di trattamento contrario a disposizioni di legge o di regolamento. Il
relativo procedimento, in precedenza informato sul modello del rito camerale, è oggi
48 Discussione che può essere anche rinviata ad altra udienza, immediatamente successiva al termine di 10 giorni eventualmente concesso alle parti per lo svolgimento di difese scritte, ex art. 152, comma 11. 49 Oltre alla generalizzata previsione del potere, da parte dell’Autorità Garante, di disporre la pubblicazione dell’ordinanza -ingiunzione, ex art. 165. 50 Si rimanda al comunicato stampa del 26 ottobre 1998 diffuso dall’Autorità Garante per la protezione dei dati personali. 51 Secondo il previgente disposto dell’art. 9, 2° comma L. 388/19 93, che delineava il cd sistema di accesso indiretto.
32
disciplinato dalle speciali norme dell’art. 152 (che vanno così a novellare anche l’art. 10, 5° comma, della L. 121/1981). L’abrogazione, inoltre, dell’art. 12 della legge in esame
elimina la discrasia suss istente, rispetto alla disciplina civilistica, nell’ipotesi di azione
intrapresa per il risarcimento dei danni derivanti da illecito trattamento, difficilmente quantificabili o di natura non patrimoniale: all’equo indennizzo si sostituisce, mercè la
reviviscenza degli artt. 1226 e 2059 c.c., la determinazione in via equitativa del danno. Se queste disposizioni possono positivamente riguardarsi come orientate ad una migliore e
più efficace tutela dei soggetti inseriti in un sistema di trattamento particolarmente diffusivo, qual’è il SIS (le cui informazioni sono disponibili, sebbene soltanto determinati
per soggetti pubblici, nell’intero ambito comunitario), al contrario all’insegna di una diminuzione delle garanzie si rivela l’implicita abrogazione (art. 11, 1° comma L.
388/1993, modificato dall’art. 173, lett.c) della norma disciplinante la durata semestrale
dell’eventuale “segnalazione” inserita nel sistema informativo dalle competenti autorità italiane, ora innalzata - operando l’art. 112 del trattato di Schengen- a 3 anni (1 anno nei
casi di cui all’art. 99 dello stesso Trattato).