1

Luci ed ombre del nuovo “Codice in materia di protezione dei dati personali”: innovazioni

e profili di illegittimità costituzionale. Dott. Domenico Tambasco

Trascorsi ormai sette anni dall’introduzione, anche nell’ordinamento italiano, della disciplina concernente la tutela dei dati personali rispetto alle operazioni di trattamento –introduzione a

suo tempo sollecitata dalla convenzione internazionale di Strasburgo e dalla necessità di adempiere gli obblighi comunitari imposti dalla più recente direttiva 1995/46/Ce-, si poneva

ormai come improcrastinabile un intervento normativo volto a codificare, in un corpus unitario ed organico, la congerie di disposizioni sia legislative sia regolamentari vigenti, alla

luce anche della pluriennale opera interpretativa ed adeguatrice svolta dall’Autorità Garante. Esigenza, questa, sostanziatasi in un primo momento nella delega conferita al Governo, con

l’art. 1, comma 4 della L. 127/2001, affinché lo stesso emanasse “un testo unico delle

disposizioni in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali e delle disposizioni connesse, coordinandovi le norme vigenti ed apportando

alle medesime le integrazioni e modificazioni necessarie al predetto coordinamento o per assicurarne la migliore attuazione”. L’impossibilità tuttavia per l’organo governativo di

provvedere nel termine annuale previsto dall’originaria delega legislativa1, ha comportato la necessità di addivenire ad una proroga di ulteriori sei mesi concessa con la recente legge

comunitaria per l’anno 20022, con cui si è peraltro ampliato l’ambito della stessa delega parlamentare, autorizzando il recepimento della direttiva 2002/58/Ce, relativa al trattamento

dei dati personali ed alla tutela della vita privata nel settore delle comunicazioni elettroniche.

Soltanto nell’ultimo giorno utile per l’adozione del predetto provvedimento è intervenuto il decreto legislativo 30/6/2003, n. 196, pubblicato sulla G.U. il 29/7/2003 e denominato

“Codice in materia di protezione dei dati personali”. Si cercherà, in questa sede, di fornire una prima lettura del ponderoso codice, con particolare riferimento alle disposizioni generali ed ai

mezzi di tutela amministrativa e giurisdizionale rispettivamente disegnati nella prima e nella terza parte. A tal fine sarà opportuno preventivamente procedere all’analisi dei criteri direttivi

e dei limiti all’ intervento normativo del Governo, così come delineati nella sopracitata legge

delega. 1. Legge delega e profili di illegittimità costituzionale.

1 Termine di dodici mesi scadente il 31 dicembre 2002. 2 Art. 26, L. n. 14/2003.

2

La lettura combinata dell’art. 1, 4°comma, L. 127/2001 e dell’art. 26, 1° comma, L. 14/2003 evidenzia come il Governo, nella redazione del testo unico unificante le disposizioni in

materia di tutela dei dati personali, deve:

- coordinare le norme vigenti; - apportare le eventuali in tegrazioni o modifiche alla normativa solo se necessarie al

coordinamento o se necessarie ad assicurare una migliore attuazione della normativa vigente;

- recepire la direttiva 2002/58/Ce; Nulla quaestio per quanto attiene all’attività di coordinamento della normativa vigente e di

recepimento della direttiva comunitaria. Il problema, all’interprete che voglia individuare i criteri e i principi direttivi costituenti il parametro di legittimità del decreto legislativo in

esame (in aderenza a quanto stabilito d all’art. 76 Cost.), sorge allorché si vada a

concretizzare l’ambito –ellitticamente espresso nella legge delega- delle “ integrazioni e modifiche” consentite al Governo. Certamente saranno possibili integrazioni ed innovazioni

normative sia tese a superare eventuali contraddizioni o aporie derivanti dalla necessità di coordinare molteplici disposizioni, anche di grado differente, sia richieste dall’esigenza di

conferire organicità e coerenza alla materia. Ben più difficile da determinare, tuttavia, risulta il senso delle “integrazioni e modifiche necessarie ad assicurare la migliore attuazione della

normativa vigente”, espressione la cui genericità sembrerebbe ingenerare la convinzione di

trovarsi dinanzi ad una vera e propria “delega in bianco”. Tuttavia, al fine di impedire una censura di illegittimità rispetto all’art. 76 Cost., si dovrebbe interpretare tale disposizione

come funzionale a legittimare un intervento innovativo del Governo solo se volto ad agevolare la realizzazione degli scopi e degli obiettivi propri della normativa vigente (ivi

compresa quella di derivazione comunitaria, espressa dalla direttiva 95/46/Ce) nel rispetto dei principi e dei criteri direttivi desumibili dalle stesse disposizioni da integrare ed

eventualmente modificare. Precetto, tale ultimo, che nella pratica muterà a seconda del contesto in considerazione. Ne deriva che mentre nei settori regolati da una completa

disciplina legislativa, l’intervento normativo del Governo non potrà che essere strettamente

limitato ed eterodete rminato (è il caso, ad esempio, del settore concernente le misure di sicurezza), al contrario nell’ipotesi in cui la materia sia regolata solo da norme generali (o

addirittura non sia per nulla regolata, come in materia di notifiche di atti giudiziari), lo spazio all’esplicazione della potestà normativa sarà più ampio, potendosi provvedere alla piena e

concreta disciplina nel rispetto ed in conformità ai principi generali vigenti (desumibili in particolar modo dalla L. 675/1996 e dall’ultima novella legislativa, ricompresa nel Dlgs.

3

467/2001). Alla luce di quanto testè enunciato, si può a ragione parlare di “ultrattività” della disciplina formalmente abrogata, che dovrà necessariamente fungere da parametro di

legittimità nell’analisi delle disposizioni ricomprese nel testo unico governativo3.

Le considerazioni testè svolte acquistano rilievo con riferimento a quello che ben può definirsi il “punctum dolens” dell’intervento legislativo delegato: la disciplina del consenso

nei trattamenti svolti da soggetti privati e da enti pubblici economici (artt. 23 e ss.). Come noto, la legge 675/1996 enucleava, nell’ambito delle operazioni di trattamento, due momenti

meritevoli di autonoma rilevanza, in virtù della particolare esposizione cui risulta sottoposta la sfera personale dell’Interessato: si trattava della comunicazione e della diffusione, vale a

dire la fase di “messa in circolazione”, nella rete informativa, dei dati afferenti il singolo4. Ne derivava, mercè le disposizioni degli art. 11 e 20, il dovere per il Titolare di richiedere, in

maniera distinta, il consenso espresso dell’Interessato non solo alle generiche “operazioni di

trattamento” (art. 11), ma anche all’eventuale comunicazione e diffusione dei dati personali (art. 20). Di qui, nella pratica, il diffondersi di modelli di acquisizione del consenso

(solitamente in calce all’informativa), articolati in una pluralità di richieste, inerenti il “trattamento”, la “comunicazione” e la “diffusione” dei dati personali. Al contrario, la lettura

del codice in esame manifesta la radicale eliminazione del sistema di acquisizione differenziata del consenso, essendo oggi tale onere legato al solo generico “trattamento”, a

mente del disposto dell’art. 23, 1° comma secondo cui “ Il trattamento di dati personali da

parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell’interessato”. Nessuna traccia del consenso alla comunicazione e alla diffusione dei dati

personali, se non nel caso di dati acquisiti nello svolgimento di indagini difensive o per far valere o difendere un diritto in sede giudiziaria (arg. ex art. 24, 1° comma, lett. f, con riguardo

alla sola diffusione), nei casi di trattamento, individuati dal Garante, in cui deve essere perseguito un interesse legittimo del Titolare o di un terzo destinatario dei dati (arg. ex art. 24,

1° comma, lett. g, con riguardo alla sola diffusione), e nelle ipotesi di dati di associati o di aderenti ad associazioni senza scopo di lucro (arg. ex art. 24, 1° comma, lett.h, con riguardo

alla comunicazione e alla diffusione). L’omissione nel nuovo codice di una disposizione

analoga al precedente art. 20 (che sembra tuttavia frutto di una “svista” del legislatore, tenuto conto non solo del mancato adeguamento della relativa norma penale –l’art. 167, 1° comma-

3 Con riferimento all’esistenza di rigorosi limiti nella redazione del testo unico da parte del Governo, si veda anche R. Acciai - S. Orlandi, “ Le nuove norme in materia di privacy”, Maggioli, 2002, p. 22, secondo cui “ proprio la lettera del già ricordato art. 1, comma 2, della L. n. 127/2001, parrebbe escludere che il previsto t.u possa affrontare in maniera sistemati ca i settori oggetto della del ega ed attualmente non disciplinati”, nota 13. 4 Si veda G. Comandè, in E. Giannantonio -M.G. Losano -V. Zeno Zencovich, La tutela dei dati personali -Commentario alla L. 675/1996, Padova, Cedam, 19992, p. 134-135.

4

mantenuta sul punto inalterata rispetto al corrispondente art. 35 L. 675/1996, ma anche della particolare attenzione manifestata dal legislatore in altre parti del codice, con riferimento

proprio alla diffusione ed alla comunicazione)5, oltre a rendere necessitata l’interpretazione

testè svolta, presenta non secondari problemi di conformità al dettato costituzionale. Con ogni evidenza, infatti, l’eliminazione per l’Interessato del diritto a inibire, pur avendo prestato un

generale consenso al trattamento, eventuali operazioni di messa in circolazione dei propri dati, determina un notevole e rilevante vulnus, non giustificato né fondato su alcun principio o

criterio direttivo previgente: la lettura della L. 675/1996 e degli interventi normativi successivi, infatti, non rivela l’emersione, a livello legislativo, di una siffatta istanza. Ragione,

questa, per ritenere le norme in esame eccedenti la delega conferita dal Parlamento con l’art. 1 della L. 127/2001.

Non resta da aggiungere che alla luce del nuo vo dettato codicistico, risulterebbe oggetto di

abolitio criminis la precedente fattispecie disegnata dall’art. 35, 1° comma, L. 675/1996, limitatamente alla comunicazione e alla diffusione senza preventivo consenso.

2. Principi generali Svolte queste necessarie osservazioni preliminari, veniamo all’ordinata disamina delle norme

regolanti la materia del trattamento dei dati personali. Il codice manifesta, ad una prima lettura di insieme, una razionalità di struttura, che si traduce

nell’articolazione delle norme in una parte generale (Parte I, artt. 1-45)6, in una parte relativa

alle disposizioni inerenti specifici settori (Parte II, artt. 46-140) ed in una parte concernente la tutela amministrativa e giurisdizionale, le sanzioni a presidio della disciplina e le disposizioni

modificative, abrogative, transitorie e finali (Parte III, artt. 141-186). Seguono una serie di allegati (codici di deontologia e buona condotta, disciplinare tecnico in materia di misure

minime di sicurezza ed elenco dei trattamenti non occasionali effettuati in ambito giudiziario o per fini di polizia) che, come vedremo, hanno natura differente rispetto a tutte le altre

disposizioni del codice; natura sottolineata, per l’appunto, dalla distinta collocazione. Le norme origin ariamente dettate dalla L. 675/1996 -ad eccezione di quelle afferenti alla

tutela giurisidizionale ed amministrativa e all’Autorità Garante della tutela dei dati personali,

enunciate nella parte terza- vengono ora riportate nella prima parte, a sua volta suddivisa in principi generali (artt. 1-6), diritti dell’interessato (artt. 7-10), regole generali per il

trattamento dei dati (artt. 11- 27), norme riguardanti i soggetti (artt. 28-30), disposizioni sulle

5 Si rimanda al commento dell’art. 19, 3° comma, dello stesso codice. 6 Norme applicabili a tutti i trattamenti di dati -compatibilmente alla disciplina speciale eventualmente prevista per alcuni trattamenti - ai sensi dell’art. 6, secondo il cui d isposto “ Le disposizioni contenute nella presente Parte si applicano a tutti i trattamenti di dati, salvo quanto previsto, in relazione ad alcuni trattamenti, dalle disposizioni integrati ve o modificati ve della Parte II”.

5

misure di sicurezza (artt. 31-36), adempimenti (artt. 37-41) e trasferimento dei dati all’estero (artt. 42- 45).

Il codice si apre con una solenne dichiarazione di principio, secondo cui “Chiunque ha diritto

alla protezione dei dati personali che lo riguardano” (art.1). Viene espressamente codificato un diritto soggettivo, desumibile soltanto implicitamente nella precedente normativa, la quale

si limitava a garantire che il trattamento dei dati personali si svolgesse nel rispetto dei diritti, delle libertà fondamentali e della dignità dei soggetti (art.1, 1° comma, L. 675/1996). Tale

situazione giuridica soggettiva, modellata sulla scorta dell’analogo diritto al rispetto della propria vita privata e familiare enunciato nell’art. 8 della Convenzione Europea per la

salvaguardia dei diritti dell’uomo, appartiene indistintamente a “ chiunque”, cittadino e non, persona fisica o persona giuridica, concretizzazione di un diritto inviolabile dell’uomo, come

tale “riconosciuto e garantito” dalla Repubblica a mente del precettivo disposto dell’art. 2

della Carta Costituzionale. La disposizione relativa al diritto alla protezione dei dati personali deve essere letta

unitamente al successivo art. 2 , 1° comma (che riprende inalterato l’ art. 1, 1° comma L. 675/1996), con cui viene introdotto il secondo polo della struttura, rappresentato dalla tutela

rispetto alle operazioni di trattamento le quali, per l’appunto, devono svolgersi “nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato”. Ecco allora

tradursi il “diritto alla protezione dei dati personali rispetto alle operazioni di trattamento” in

una specifica manifestazione del diritto alla riservatezza7, da intendersi non come “diritto ad essere lasciato solo”, bensì come “pretesa al controllo delle informazioni che ci riguardano,

ovvero a selezionare le informazioni che vogliamo svelare nonché i soggetti e le forme con cui vogliamo svelarle: nelle parole del Garante mutuate dalla ricostruzione tedesca della

problematica, il diritto all’autodeterminazione informativa8”. Innovativa risulta la formalizzazione, nel corpo dell’art. 2, 2° comma, di principi orientativi

nella disciplina del trattamento dei dati personali che sembrano vincolare tanto il legislatore in prospettiva “de iure condendo”, quanto l’operatore nell’ermeneutica e nell’applicazione della

normativa in oggetto. In tale prospettiva il legislatore delegato sembra codificare il principio

di bilanciamento tra “elevato livello di tutela dei diritti e delle libertà di cui al comma 1” e “rispetto dei principi di semplificazione, armonizzazione ed efficacia delle modalità previste

per il loro esercizio da parte degli interessati, nonché per l’adempimento degli obblighi da parte dei titolari del trattamento”. Non sembra che il legislatore, a tal proposito, abbia 7 Si veda A. Scalisi, Il diritto a lla riservatezza, Milano, Giuffrè, 2002, che distingue, fra le manifestazioni positive del diritto alla riservatezza, il diritto all’immagine, il diritto al segreto, il diritto alla protezione dei propri dati personali, il diritto alle vicende della propri a vita privata.

6

varcato i limiti della delega, atteso che dalla normativa previgente, ed in particolar modo dalle recenti novelle alla L. 675/1996, da ultimo apportate con il dlgs. 467/2001, è chiaramente

desumibile l’esigenza di addivenire al predetto bilanciamento, con particolare riguardo al

profilo della semplificazione (eloquente è, a tal proposito, l’art. 3, comma 1° del Dlgs 467/2001 che, stabilendo l’obbligo di notifica nei soli casi tassativamente indicati in apposito

regolamento, anticipa il principio della semplificazione degli adempimenti a carico del Titolare).

Corollario del principio di “elevato livello di tutela” risulta il successivo “principio di necessità nel trattamento dei dati” (art. 3), che configura il trattamento dei dati di persone

identificate o identificabili q uale extrema ratio, consentito soltanto laddove ciò sia reso necessario dalle “ finalità perseguite nei singoli casi”: principio la cui violazione non può non

comportare la censura di illiceità del trattamento, ai sensi del successivo art. 11, 1° comma,

lett.a). Nonostante la lettera dell’art. 3 limiti il principio ai soli trattamenti posti in essere attraverso “ sistemi informativi” e “programmi informatici”, tuttavia si ritiene in questa sede

che l’area operativa potrà estendersi analogicamente a tutti i trattamenti di dati, elettronici e non (la norma in oggetto, del resto, oltre a recare la significativa rubrica “principio di

necessità nel trattamento dei dati”, è priva di sanzione penale, che precluderebbe il ricorso all’applicazione analogica) .

Nello stesso articolo 3 viene generalizzata la distinzione (in precedenza operante, ai sensi

dell’art. 10, 5° comma Dlgs 281/1999, soltanto per i trattamenti per scopi statistici e di ricerca scientifica) tra “dati personali” e “dati identificativi”, questi ultimi definiti, ai sensi del

successivo art. 4, 1° comma, come “dati personali che permettono l’identificazione diretta dell’Interessato”(si pensi all’indicazione del nome e del cognome, o a foto relative ad una

specifica persona). I dati identificativi, peraltro, costituiscono una species della più ampia categoria dei “dati personali”, che in sé ricomprende sia i dati che consentono

l’identificazione diretta di un soggetto, sia le informazioni che rendono un soggetto semplicemente identificabile (l’indirizzo di un soggetto, ad esempio). Tale partizione,

peraltro, si riflette nell’articolazione dello stesso “principio di necessità” enunciato nell’art. 3,

secondo il cui disposto viene prescritta “l’utilizzazione di dati personali e di dati identificativi, in mo do da escluderne il trattamento quando le finalità perseguite nei singoli casi possono

essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità”. La lettura testuale sembra

evidenziare la costituzione, mercè l’avverbio “rispettivamente”, dei binomi “dati personali-

8 G. Comandè in E. Giannantonio-M.G. Losano -V. Zeno Zencovich, La tutela dei dati personali, cit., p. 132.

7

dati anonimi” e “dati identificativi-modalità che permettano di identificare l’Interessato solo in caso di necessità”. Ne deriva pertanto che, nell’ipotesi di trattamento di dati identificativi

(nome e cognome, per riprendere l’esempio sopracitato), sarà opportuno -a meno che le

finalità del caso concreto richiedano di conservare e gestire i dati in modo da consentire la costante e diretta identificazione dell’Interessato- scindere i dati stessi in differenti archivi (il

nome nell’archivio A e il cognome nell’archivio B), rendendo così le informazioni stesse non direttamente ascrivibili all’Interessato, se non attraverso la riunione dei predetti archivi (A e

B, per l’appunto) soltanto nel caso in cui fosse necessaria la diretta identificazione dell’Interessato. Al contrario, laddove il trattamento riguardi dati personali che rendano

potenzialmente identificabile l’Interessato (è questo, infatti, il senso da conferire alla generica espressione “dati personali” contenuta nell’art. 3, attesa la sua contrapposizione, nel corpo

della stessa norma, ai “dati identificativi”), si dovrà provvedere a rendere anonimi i dati stessi

(trasformandoli cioè in dati che “non possano essere associati ad un interessato identificato o identificabile”, ex art. 4, 1° comma, lett. n) salvo che le finalità perseguite nel caso concreto

richiedano di provvedere diversamente. In tale ipotesi, tuttavia, le conseguenze sarebbero particolarmente onerose per il soggetto Titolare che soltanto in via preventiva potrebbe

valutare la necessità, in relazione agli scopi dell’attività di trattamento, di mantenere identificabili i dati personali (il nome nell’archivio A e il cognome nell’archivio B) o di

renderli anonimi (mantenendo l’archivio A ed eliminando l’archivio B). Del resto una volta

resi anonimi i dati, il Titolare perderebbe definitivamente, in modo irrecuperabile, il patrimonio informativo precedentemente acquisito, a differenza dell’ipotesi relativa ai dati

identificativi, in cui il Titolare potrebbe in ogni momento, in caso di necessità, risalire all’Interessato, unificando le differenti banche dati informative9.

Il principio in esame, innovativamente introdotto dal legislatore delegato, non sembra fuoriuscire dai limiti della delega stessa, potendosi individuare quale immediato referente

normativo (di cui il principio di necessità altro non è se non la specificazione) il requisito della pertinenza e non eccedenza dei dati personali rispetto alle finalità del trattamento,

enunciato nell’abrogato art. 9, 1°comma, lett. d) della L. 675/1996.

3. Trattamento, Titolare, Incaricati e addetti alla gestione o manutenzione. L’art. 4 riunisce tutte le disposizioni definitorie, relative alla normativa in generale (comma 1,

lett. a-q), alle comunicazioni telefoniche ed elettroniche (comma 2, lett. a-m), alle misure di

9 L’applicazione del principio di necessità potrebbe essere agevolata, nel caso di trattamento di dati semi -sensibili di cui all’art. 17, 2° comma, dall’obbligo per il Titolare di interpellare preventivamente l’Autorità Garante (cd “ prior checking”) al fine di determinare in concreto le misure e gli accorgimenti a garanzia dell’Interessato.

8

sicurezza (comma 3, lett. a-g), ai trattamenti per fini storici, statistici e di ricerca scientifica (comma 4, lett. a -c).

Rileva, a tal fine, osservare come la nozione di trattamento si arricchisca, nel novero delle

operazioni in essa ricomprese, anche della “consultazione”. Innovazione che, peraltro, desta non poche perplessità, se si considera che per consultazione si deve intendere la conoscenza di

dati personali attraverso la semplice lettura. In concreto, se è vero che la disciplina concernente il trattamento dei dati non si applicherà nella maggior parte dei casi di

consultazione da parte di persone fisiche, rientrando spesso tale ipotesi nel “trattamento per fini esclusivamente personali” escluso espressamente dal successivo art. 5, comma 2, tuttavia

i problemi potrebbero sorgere nel caso –frequente nella pratica- di consultazione di banche dati da parte di persone fisiche nell’esercizio dell’attività professionale. Ne consegue, secondo

un’interpretazione conforme alla littera legis, l’obbligo per il Titolare del trattamento (colui

che addiviene all’operazione di consultazione) di fornire all’Interessato (colui cui si riferiscono le informazioni da consultare) l’informativa ai sensi del successivo art. 13,

informativa che sarà, nella maggior parte dei casi, presentata ex post, in considerazione del fatto che è insita nella natura stessa della “consultazione” la conoscenza (mercè la lettura) di

dati personali non forniti direttamente dall’Interessato ma appresi aliunde (solitamente da un documento o da un archivio cartaceo o informatico). In questo caso, se l’operazione si sarà

limitata ed esaurita alla sola consultazione, inutile sarà anche la successiva richiesta di

consenso, nonostante possa deporre in tal senso la lettura del testo legislativo (artt. 13, 4° comma e art. 23). Sarà comunque opportuno un intervento del Garante che specifichi,

prescrivendo eventualmente misure appropriate, i casi di consultazione in cui l’informativa non debba essere fornita, in considerazione della “manifesta sproporzione rispetto al diritto

tutelato” o “dell’impossibilità” pratica di tale onere (si veda art. 13, 5° comma, lett. c). La definizione legislativa di “trattamento” si completa altresì, nella nuova versione, della

locuzione finale “anche se non registrati in una banca dati”. Precisazione importante, che stabilisce un’ampia tutela dei dati personali, protetti indipendentemente dal contesto in cui

risultano collocati: il trattamento dei dati personali non ha oggi più, pertanto, l’esistenza di

una banca dati quale necessario presupposto10. Specificazioni derivate dall’esperienza maturata in questi anni, anche attraverso

l’interpretazione dell’Autorità Garante11, sono rilevabili nella definizione del “Titolare del

10 Così invece, nella vigenza della predente nozione di trattamento (art. 1, 2° comma, lett. b L. 675/1996), argomentava la più autorevole dottrina, si veda E. Giannantonio, in Giannantonio -M.G. Losano -V. Zeno Zencovich, La tutela dei dati personali, cit .,p.10-11. 11 Per ciò che concerne l’interpret azione del Titolare - persona giuridica come “ entità nel suo complesso”, si veda , fra le prime pronunce, quella dell’11 dicembre 1997.

9

Trattamento”12, ruolo per cui è oggi espressamente ammessa l’ipotesi di “contitolarità” (“anche unitamente ad altro Titolare”, art. 4, 1° comma, lett. f) e che viene individuato, nel

caso in cui si tratti di persona giuridica, come “l’entità nel suo complesso” (art. 28). La

qualifica di Titolare, inoltre, potrà essere assunta anche soltanto da un’unità o da un organismo periferico dell’ente, purchè sussista in concreto l’esercizio di un potere decisionale

del tutto autonomo sulle finalità e sulle modalità del trattamento (sic art. 28). Rilevanti novità di ordine pratico si riscontrano nella definizione della figura dell’Incaricato,

in relazione alla quale, in primo luogo, la legge espressamente specifica (ex art. 1, 1° comma, lett. h) come tale ruolo debba essere esclusivamente individuato in una persona fisica, in

aderenza all’invalsa interpretazione amministrativo-dottrinale13. Concreta espressione del suenunciato principio di semplificazione degli adempimenti a carico

del Titolare si rivela, inoltre, il disposto dell’art. 30, 2° comma, secondo cui “la designazione

è effettuata per iscritto ed individua puntualmente l’ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una unità per la

quale è individuato, per iscritto, l’ambito del trattamento consentito agli addetti all’unità medesima”. Alla luce di tale norma, pertanto, non sarà più necessario il conferimento di un

incarico scritto ad personam, nominativamente individuato, bastando la preposizione, documentata per iscritto, del dipendente ad una singola unità operativa. Soltanto con

riferimento all’unità operativa, peraltro, dovrà essere preventivamente formato un documento

(analogo al “mansionario” in passato redatto per la nomina degli incaricati) che in via generale indichi il nominativo degli Incaricati addetti all’unità, la tipologia dei dati personali

trattati, le operazioni di trattamento consentite e le cautele da adottare. Documento che, anche se non espressamente statuito dalla normativa , si ritiene debba essere reso accessibile a tutti

gli Incaricati, attraverso idonee misure di pubblicizzazione (affissione in luogo pubblico, consegna di copia, anche per estratto, ai singoli Incaricati…), al fine di impedire che, nel caso

di fatti illeciti posti in essere dagli stessi dipendenti e da cui derivi pregiudizio al terzo Interessato, il “peso” della responsabilità risarcitoria possa gravare soltanto in capo al Titolare

e all’eventuale Responsabile del trattamento. In tale ipotesi, infatti, tanto il Titolare quanto il

Responsabile si vedrebbero preclusa ogni possibilità di agire in via di regresso nei confronti degli Incaricati, autori di una condotta “scusabile” a ragione della mancanza di informazioni

in ordine alle modalità di trattamento dei dati. L’importanza della disposizione in esame, del

12 Nessuna modifica di rilievo è riscontrabile nella disciplina del Responsabile del Trattamento, ruolo la cui previsione è espressamente indicata come “facoltativa” (si veda art. 4, 1° comma, lett. g e art. 29). 13 Si veda risposta del 22 ottobre 1997 data dall’autorità Garante al quesito proposto dall’American Express S.E.L) e, per la dottrina, S. Fadda, in E. Giannantonio -M.G. Losano-V. Zeno Zencovich, La tutela dei dati personali, cit., p.261-262.

10

resto, si può meglio cogliere considerando i notevoli vantaggi, in termini di risparmio di costi e di tempo, che l’abolizione dell’incarico nominativo scritto comporterà soprattutto per quelle

imprese che si avvalgano, nell’esecuzione materiale delle operazioni di trattamento, di una

molteplicità di soggetti inseriti nell’organizzazione aziendale per periodi anche brevissimi: è il caso, ad esempio, delle imprese appartenenti alla media e grande distribuzione che,

nell’ambito delle sempre più diffuse iniziative di fidelizzazione della clientela (sistema delle “carte fedeltà”), ed al semplice fine di raccogliere e registrare i moduli di adesione compilati

dai clienti, utilizzano l’opera di hostess e cassieri che, di regola, sono oggetto di un ricambio pressoché quotidiano. A giudizio di chi scrive, tuttavia, il principio in oggetto, lungi

dall’essere applicato indiscriminatamente a qualsias i soggetto Titolare, si sarebbe dovuto limitare, in sede legislativa, nei soli casi di accertata necessità operativa.

Un’ulteriore elemento di considerazione, sempre con riferimento alla figura degli Incaricati

del trattamento, emerge dalla lettura dell’art. 30, 1° comma, secondo cui “ le operazioni di trattamento possono essere effettuate solo da incaricati…..”. Tale espressione, da leggersi in

combinato con le norme che, in materia di misure di sicurezza, introducono l’ulteriore figura dell’ “addetto all a gestione o alla manutenzione degli strumenti elettronici”14, ha la funzione

di riconoscere ai soli Incaricati del trattamento (oltre, logicamente, ai Titolari e ai Responsabili, figure gerarchicamente superiori) la legittimazione a porre in essere operazioni

di trattamento. Sarà necessaria, pertanto, la formale designazione ad Incaricato perché

l’addetto alla gestione o alla manutenzione degli strumenti elettronici o, comunque, qualunque altro soggetto possa addivenire ad un’operazione di trattamento.

4. Principio di stabilimento e diritti dell’Interessato. Di particolare rilievo è anche l’introduzione, in aderenza al dettato comunitario e in antitesi al

previgente “principio di territorialità”, del cosiddetto “principio di stabilimento”, funzionale a def inire l’ambito di applicazione spaziale della disciplina codicistica. Ed invero, come

rilevato in sede dottrinale15, il dettato dell’ art. 2, 1° comma della L. 675/1996, ricomprendendo nell’area applicativa della disciplina italiana ogni “trattamento di dati

personali da chiunque effettuato nel territorio dello Stato”, avrebbe comportato un

insopportabile cumulo di differenti disposizioni nazionali operanti per la stessa fattispecie, nel caso di imprese stabilite in un paese della Comunità Europea diverso dall’Italia che avessero

eseguito anche una sola operazione nel territorio italiano: ipotesi del tutto incompatibile con il principio di libera prestazione dei servizi in ambito comunitario. Tale discrasia è stata

opportunamente corretta prevedendo, con disposizione mutuata dall’art. 4 della Dir. 95/46/Ce, 14 Vide Allegato B, Disciplinare tecnico in materia di misure minime di sicurezza, punto 15.

11

l’applicazione della disciplina “del presente codice” a “ chiunque è stabilito nel territorio dello Stato o in un luogo comunque soggetto alla sovranità dello Stato” (art. 5, 1° comma).

Sostanzialmente inalterato risulta il complesso normativo inerente i diritti dell’Interessato e le

loro modalità di attuazione. In questa sede giova rilevare l’introduzione, nei cd “diritti informativi”, della facoltà di ottenere l’indicazione “dei soggetti o delle categorie di soggetti

ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati”. Di

non secondaria importanza è anche la regolamentazione dei diritti esercitabili, da parte dell’Interessato, rispetto ai dati personali di tipo valutativo “relativi a giudizi, opinioni o ad

altri apprezzamenti di tipo soggettivo, nonché l’indicazione di condotte da tenersi o di decisioni in via di assunzione da parte del Titolare del trattamento” (art. 8, 4° comma) . In

questa specifica ipotesi, il legislatore viene a considerare la peculiare genesi di questi dati che,

pur riguardando l’Interessato, sono formati esclusivamente per opera del libero giudizio e della libera valutazione del Titolare, che conseguentemente non può in alcun modo subire

ingerenze esterne volte ad eterodeterminare la propria volontà. In ragione di ciò, se anche rispetto a tali dati sarà possibile, per l’Interessato, comunque esplicare i propr i diritti

informativi, i diritti attivi di cancellazione, trasformazione in forma anonima e blocco nel caso di illegittimo trattamento, tuttavia non sarà consentito allo stesso coartare la libera

esplicazione del giudizio altrui attraverso obblighi di rettifica o di integrazione degli stessi

dati valutativi. Principio questo che, se da un lato appare apprezzabilmente teso a garantire il valore costituzionale della libera manifestazione del proprio pensiero enunciato nell’art. 21

Cost., tuttavia non risulta coerentemente sviluppato dalla stessa disposizione in esame, se è vero che nessuna esclusione è prevista (consentendone in questo modo l’esercizio strumentale

da parte dell’Interessato) con riferimento al diritto di aggiornamento (art. 7, 3° comma, lett. a) e, soprattutto, al diritto di opposizione per motivi legittimi (art. 7, 4° comma, lett. a).

Per ciò che concerne il riscontro del Titolare e dell’eventuale Responsabile alla richiesta dell’Interessato, si sottolinea come l’originario termine breve di 5 giorni (art. 29, 2° comma L.

676/1996) sia stato elevato a 15 giorni (decorrenti dalla data di ricevimento della richiesta, ex

art. 146, 2°), con il diritto alla proroga di ulteriori 15 giorni, da esercitarsi comunicando all’Interessato, entro la scadenza del primo termine (“entro il termine di cui al comma 2…..ne

danno comunicazione”) i motivi del differimento, che potranno consistere nella particolare complessità delle operazioni necessarie a rispondere alle richieste formulate o in altro

giustificato mo tivo. La valutazione della sussistenza di tali motivi sarà valutata, nel merito e

15 P. Cerina, in E. Giannantonio -M.G. Losano -V. Zeno Zencovich, La tutela dei dati pers onali, cit., p.26-27.

12

con pronuncia concernente l’ammissibilità del ricorso, dall’Autorità Garante o dall’Autorità giurisdizionale nel caso in cui l’Interessato, nonostante la comunicazione di proroga notificata

ai sensi della precitata norma dal Titolare o dal Responsabile, ritenga di dover senza indugio

esperire gli strumenti amministrativi o giurisdizionali di tutela (così il combinato disposto degli artt. 146 e 148).

Tali disposizioni, unitamente alla possibilità, per il Titolare, di dare riscontro all’Interessato attraverso l’esibizione o la consegna di copia di atti e documenti contenenti i dati richiesti –

venendo così esentato da una lunga e defatigante ricerca volta ad estrarre solo i dati personali concernenti il richiedente, allorché l’estrazione dei dati risulti particolarmente difficoltosa, ex

art. 10, 4° comma- altro non sono se non corollari dei principi di semplificazione ed efficienza degli adempimenti posti a carico del Titolare, poc’anzi analizzati.

Sempre in attuazione del principio di efficienza, sotto il profilo dell’esercizio dei diritti

dell’Interessato, viene introdotto espressamente dall’art. 10, 5° e 6° comma, il “diritto dell’Interessato ad ottenere un riscontro in forma intellegibile”, che si sostanzia nell’obbligo

del Titolare di comunicare i dati con “grafia comprensibile” (art. 10, 6°) e, nel caso in cui ai dati personali siano associati codici o cifre, nel “fornire i parametri per la comprensione del

relativo significato” (art. 10, 6°). Nel dare riscontro all’Interessato sarà sempre necessario evitare di comunicare dati personali afferenti terzi soggetti, “salvo che la scomposizione dei

dati trattati o la privazione di alcuni elementi renda incomprensibili i dati personali relativi

all’Interessato”(art. 10, 5° comma). Si completa e si integra, in questo modo, quanto già disposto a suo tempo, in tema di modalità di accesso ai dati personali, dall’art. 17 del D.P.R.

n. 501/1998. 5. Regole generali per tutti i trattamenti.

Il codice riserva una specifica parte alla statuizione delle “regole per tutti i trattamenti”(Titolo III, capo I, artt. 11-17), individuando quello che può definirsi un autentico

“statuto generale dei trattamenti”, consistente in: - specifici requisiti del t rattamento che deve essere lecito, corretto, connesso a scopi

determinati, espliciti e legittimi, esatto, aggiornato, pertinente, completo, non

eccedente rispetto agli scopi, legato ad altri trattamenti in termini compatibili con gli scopi originari, protratto per il tempo strettamente necessario al raggiungimento dello

scopo (art. 11, 1° comma); - obbligo generalizzato di rendere un’informativa completa all’Interessato, all’atto della

raccolta dei dati o successivamente, nel caso di raccolta presso terzi (art. 13);

13

- specificazione ed integrazione delle condizioni di liceità del trattamento devoluta alle fonti di autonomia normativa, id est i codici di deontologia e di buona condotta, di cui

viene sancito il generale riconoscimento (art. 12);

- adozione di particolari cautele nel caso di cessazione del trattamento (art. 16); - controllo preventivo (cd prior checking ) all’inizio del trattamento dei dati semi-

sensibili (art. 17); - generalizzata sanzione civilistica della “responsabilità per l’esercizio di attività

pericolosa”, nel caso di danno derivante da violazione di norme concernenti il trattamento dei dati personali, responsabilità comprensiva anche del danno non

patrimoniale (art. 15). Venendo alle innovazioni apportate dal legislatore delegato è possibile rilevare, con

riferimento alla norma inerente i requisiti generali del trattamento (art. 11), l’inserimento di

una vera e propria disposizione di chiusura: “I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati”

(art. 11, 2° comma). L’ampia formulazione della norma in esame, tuttavia, depone a favore di un’estensione della stessa non solo alle violazioni dei precetti indicati nel corpo dell’art. 11,

1°, ma anche alla violazione di qualunque disposizione disciplinante la materia del trattamento dei dati (norme in materia di misure di sicurezza, ad esempio).

Particolare problematicità presenta la sanzione inibitoria dell’ utilizzo dei dati illecitamente

trattati. A tal proposit o si ritiene che l’espressione “non possono essere utilizzati” debba trovare il proprio contenuto nel collegamento con le disposizioni dello stesso codice regolanti

i provvedimenti di tutela emanati dall’Autorità Garante. Così il divieto di utilizzo potrà sostanziarsi, a seconda della valutazione delle peculiarità del caso concreto, ora nel blocco del

trattamento16 (art. 143, 1° comma, lett.c), ora nel divieto totale o parziale di trattamento (art. 143, 1° comma, lett. c), ora nella sospensione di una o più operazioni di trattamento (art. 150,

1° comma). Il successivo art. 12 (rubricato “Codici di deontologia e di buona condotta”), pur riprendendo

l’art. 20 del Dlgs n. 467/2001, ne amplia notevolmente la portata sotto due differenti profili.

In primo luogo, mentre nella vigenza della peraltro recente normativa delegata i codici deontologici erano ammessi esclusivamente in settori oggetto di tassativa enumerazione (art.

20, 2° comma Dlgs 467/2001), al contrario nell’attuale codice sia la sedes materiae (il capo I concernente le “ regole per tutti i trattamenti”) sia la stessa lettera dell’art. 12, 1° comma,

facente riferimento alla sola “sottoscrizione di codici di deontologia e di buona condotta per

14

determinati settori” (senza peraltro precisare quali debbano essere tali settori), portano a ritenere che tale strumento di autoregolazione normativa possa essere applicato a tutti i settori,

anche diversi da quelli espressamente previsti nella parte II del codice, in cui venga in rilievo

il trattamento dei dati pe rsonali. Opportunamente, inoltre, si interviene nel corpo dello stesso codice innovando il disposto del precedente art. 20, 4° comma17, Dlgs 467/2001, in questo

modo risolvendo il problema della natura formale dei codici deontologici nell’ambito delle fonti di diritto e dell’eventuale efficacia erga omnes delle disposizioni18. Il meccanismo

dell’allegazione attraverso apposito Decreto del Ministro della Giustizia supera, con un tratto di penna, entrambe le questioni, conferendo ai codici di deontologia formale natura

regolamentare (sebbene rappresentino pur sempre espressione dell’autonomia privata) e piena efficacia normativa. Il sistema dei codici deontologici si completa nella struttura codicistica

attraverso la previsione, nella seconda parte relativa agli specifici trattamenti, di una pluralità

di disposizioni19 che, con riferimento a determinati settori, costituiscono una sorta di cornice all’intervento di autoregolamentazione privata, contemplando i principi e, in alcuni casi20, le

procedure di esplicazione di tale potere. L’ informativa da rendere all’Interessato (art. 13) viene arricchita dall’introduzione

dell’obbligo, a carico del Titolare, di indicare anche “i soggetti o le categorie di soggetti…..che possono venirne a conoscenza in qualità di responsabili o incaricati” (art. 13,

1° comma, lett. d). Tale onere informativo risponde all’esigenza dell’Interessato, manifestata

dal legislatore, di controllare preventivamente non solo la “messa in circolazione” dei propri dati personali ma anche l’ “ambito di conoscenza” degli stessi da parte dei soggetti facenti

parte dell’organizzazione del Titolare. Onere che tuttavia, nel bilanciamento con il principio di semplificazione degli obblighi a carico del Titolare, potrà ritenersi assolto attraverso la

semplice indicazione delle “categorie di soggetti”, che, nel caso concreto, potrà sostanziarsi anche nell’indicazione della funzione aziendale ricoperta dal responsabile del trattamento o

nella menzione dell’unità operativa cui sono preposti gli incaricati del trattamento (ad esempio l’amministratore delegato o i soggetti preposti all’ufficio rapporti con il pubblico) .

16 Intendendosi per blocco la “ conservazione di dati personali con sospensione temporanea di ogni altra operazione di trattamento”, ex art. 4, 1° comma, lett.o). 17 art. 20, 4° comma, Dlgs 467/2001: “ I codici sono pubblicati nella Gazzetta Ufficiale della Repubblica italiana a cura del Garante e riportati in allegato al testo unico delle disposizioni in materia previsto dall’articolo 1, comma 4, della legge 24 marzo 2001, 127 ”. 18 Si rimanda, per un’analisi del problema concernente i codici di deontologia, a F. Casarosa, Innovazione e continuità nei codici deontologici e/o di buona condotta ex art. 20 del dlgs. 467/2001: il caso del marketing diretto, in Il diritto dell’informazione e dell’informati ca, 4/5, 2002, pp.849 ss . 19 Artt. 102, 10 6, 111, 117, 118, 133, 134, 135, 139, 140. 20 Si veda in particol ar modo l’art. 139 (“ Codice di deontologia relativo ad attività giornalistiche”), che delinea analiticamente l’ambito del codice, prevedendo addirittura un potere sostitutivo del Garante (art. 139, comma 3°).

15

Viene inoltre espressamente prevista la natura flessibile dell’informativa che potrà non solo contenere ulteriori elementi “previsti da specifiche disposizioni del presente codice”(art. 13,

2° comma 21), ma potrà altresì essere redatta secondo modalità semplificate, definite, in

considerazione della peculiarità del caso concreto, sia con apposito provvedimento del Garante (art. 13, 3° comma) sia nei codici deontologici a ciò espressamente autorizzati dalla

legge (è il caso, ad esempio, dei codici di deontologia in materia di reti telematiche –art. 133- e in materia di videosorveglianza –art.134- che potranno prevedere, rispettivamente,

“informative forn ite in linea in modo agevole e interattivo” e “ forme semplificate di informativa all’Interessato”). A tal proposito si ritiene che la possibilità per l’Autorità

Garante di individuare modalità semplificate per l’informativa, espressamente limitata dall’articolo in esame ai soli “servizi telefonici di assistenza e informazione al pubblico” non

solo possa estendersi analogicamente a tutte le attività caratterizzate dalla mancanza di

contatto diretto tra l’Interessato ed il soggetto che raccoglie i dati (è il caso dei contratti a distanza), ma possa altresì applicarsi ad ogni altra situazione in cui il bilanciamento delle

esigenze del caso concreto manifesti la necessità di una riduzione dell’onere informativo, mercè l’applicazione del principio di semplificazione (art. 2, 2° comma), informante l’intera

disciplina in materia di trattamento dei dati personali. Anche la lettura della disposizione concernente la “cessazione del trattamento” (art. 16) rivela

alcune modifiche rispetto all’abrogato art. 16 L. 675/1996. In primo luogo viene espunto il

riferimento all’obbligo di notifica, ripreso tuttavia nella sezione relativa agli “adempimenti” (art. 38, 4° comma), con cui si stabilisce l’onere di preventiva notifica al Garante

dell’intenzione di cessare il trattamento , anche se limitatamente a quelli tassativamente indicati nell’art. 37. Viene inoltre precisato, nell’ipotesi di cessione dei dati ad altro titolare,

come tale operazione sia consentita purchè i dati siano “destinati ad un trattamento in termini compatibili agli scopi per i quali i dati sono raccolti”, con espressione più ampia rispetto alla

previgente e restrittiva previsione di “finalità analoghe agli scopi”. Tale innovazione, del resto, consente di ricondurre a coerenza la disciplina rispetto all’art. 11, che statuisce come i

dati possano essere utilizzati in altre operazioni di trattamento “in termini compatibili con tali

scopi”22.

21 Un elemento ulteriore dell’informativa è espressamente previsto, per il trattamento dei dati sensibili e giudiziari da parte dei soggetti pubblici, dall’art. 22, 2° comma, secondo il cui disposto “ Nel fornire l’informativa di cui all’art . 13 i soggetti pubblici fanno espresso riferimento alla normativa che prevede gli obblighi o i compiti in base alla quale è effettuato il trattamento dei dati sensibili e giudiziari”. Si veda, altresì, l’art. 24, 1° comma, lett. h), concernente la nuova c ausa di esclusione del consenso per le associazioni senza scopo di lucro. 22 Di incoerenza, sul punto, della previgente normativa ha parlato anche la dottrina, v. G. Tassoni, in E. Giannantonio-M.G. Losano -V. Zeno Zencovich, La tutela dei dati personali, cit., p. 220.

16

Meramente nominalistica deve ritenersi la modifica apportata nel codice alla sanzione concernente l’illegittima cessione d ei dati che, pur se definita “priva di effetti” (art. 16, 2°

comma), dovrà ritenersi nulla (con tutte le conseguenze sostanziali e processuali proprie di

tale declaratoria), in aderenza a quanto in precedenza stabilito dall’ art. 16, 3° comma L. 675/1996. Con riguardo alla sanzione amministrativa irrogabile in caso di illecita cessione, il

nuovo art 162, 1° comma innalza la pena pecuniaria da un minimo di cinquemila euro ad un massimo di trentamila (il doppio rispetto alle precedenti sanzioni), prevedendo altresì il potere

discrezionale, per l’Autorità Garante, di provvedere alla pubblicazione dell’ordinanza-ingiunzione, per intero o solo per estratto, su uno o più giornali (sanzione accessoria

precedentemente stabilita per il solo caso di omessa o incompleta notificazione, ex art. 34 L. 675/1996).

6. Regole ulteriori per soggetti pubblici e privati.

Alle norme generali valide per tutti i trattamenti il codice affianca una serie di “regole ulteriori” rispettivamente operanti per i soggetti pubblici (artt. 18- 22) e per i soggetti privati

e gli enti pubblici economici (artt. 23-27). Occorre a tal fine rilevare come, per quanto riguarda la disciplina dei trattamenti in ambito pubblico, il legislatore non abbia inciso

particolarmente, lasciando sostanzialmente inalterata la disciplina ricompresa nella L. 675/1996 e nel dlgs n. 135/1999 contenente “disposizioni integrative della L. 675/1996 sul

trattamento dei dati sensibili da parte dei soggetti pubblici”. Con riferimento alla disciplina

positiva, è possibile ris contrare come espressamente il legislatore codifichi l’esenzione dei soggetti pubblici dall’onere di preventiva richiesta del consenso dell’Interessato (in

precedenza implicitamente desumibile argomentando dall’art. 27,1° comma L. 675/1996), “salvo quanto previsto nella Parte II per gli esercenti le professioni sanitarie e gli organismi

sanitari pubblici”. Un espresso rinvio agli specifici divieti di comunicazione e diffusione dei dati personali di cui al successivo art. 25 è inoltre contenuto nell’art. 18, 4° comma (rinvio

anch’esso desumibile soltanto implicitamente nella disciplina previgente). L’innovazione di maggior rilievo tuttavia è la riformata disciplina delle operazioni di diffusione dei dati, che

nell’attuale normativa acquistano una considerazione particolare, tenuto conto dei rischi

derivanti, per il singolo, dalla messa a disposizione dei propri dati ad una cerchia illimitata di persone. Più precisamente, se nella regolamentazione precedente la diffusione contemplava

due discipline differenziate, in ragione della natura pubblica ( diffusione consentita se prevista da espresse disposizioni di legge o di regolamento o in caso di necessità per lo svolgimento

delle funzioni istituzionali, previo controllo operato dal Garante, ex art. 27, 2° comma) o privata del soggetto destinatario (diffusione ammessa nella sola ipotesi di predeterminazione

17

legislativa o regolamentare, ex art. 27, 3°), oggi al contrario le operazioni di diffusione dei dati personali da parte di un soggetto pubblico sono “ammesse unicamente quando sono

previste da una norma di legge o di regolamento”. Disposizione rigoristica giustificata anche

dall’assoluta difficoltà applicativa della previgente norma, attesa la sostanziale impossibilità di distinguere fra persona pubblica o privata destinataria della diffusione, tenuto conto che per

diffusione si intende “il dare conoscenza dei dati personali a soggetti indeterminati” (art. 4, 1° comma, lett. m).

Con riguardo ai regolamenti integrativi che, in materia di dati sensibili e giudiziari, la pubblica amministrazione deve adottare23 nel caso in cui le disposizioni di legge specifichino

le sole finalità di rilevante interesse pubblico perseguite e non la tipologia di dati trattati e le operazioni eseguibili, viene richiesto dall’art. 20, 2°comma anche il parere obbligatorio

dell’Autorità Garante, cui il regolamento si dovrà conformare (“con atto di natura

regolamentare adottato in conformità al parere espresso dal Garante”), pena l’illiceità del trattamento eventualmente posto in essere (arg. ex art. 20 e art. 11).

Ben diversa, al contrario, appare la portata dell’intervento legislativo delegato in materia di trattamenti gestiti da soggetti privati o da enti pubblici economici, come si è ampiamente visto

in precedenza. In questa sede varrà soltanto svolgere, in relazione agli artt. 24 e ss., le seguenti osservazioni:

- si scinde, nell’ipotesi di trattamento necessario alla salvaguardia della vita o

dell’incolumità fisica di un terzo, la posizione del soggetto Interessato da quella del soggetto te rzo. Mentre per quest’ultimo non sarà necessaria alcuna manifestazione di

consenso, preventiva o successiva, al contrario per l’Interessato che si trovi in condizione di impossibilità fisica, incapacità di agire o di incapacità di intendere o di

volere, il consenso dovrà essere manifestato dall’eventuale rappresentante, o da un prossimo congiunto (familiare, convivente o altri) o, in loro assenza, dal responsabile

della struttura, a differenza del previgente art. 12, lett. g) L. 675/1996, che prevedeva un’esenzione tout court del consenso anche per l’Interessato. Nel caso di

impossibilità, il consenso potrà essere prestato anche successivamente, secondo le

modalità prescritte dall’art. 82, 2° comma (art. 24, 1° comma, lett. e); - viene introdotta, attuando il dettame dell’art. 8, 2° comma, lett. d), dir. 95/46/Ce, una

nuova causa di esclusione del consenso24, relativa al trattamento dei dati personali di aderenti o di persone aventi contatti regolari con associazioni senza scopo di lucro,

23 Entro il termine del 30 sett embre 2004, ex art. 181, 1° comma, lett. a). 24 Estesa anche alla disciplina dei dati sensibili (art. 26, comma 4°, lett. a) e dei trasferimenti di dati all’estero (art. 43, 1° comma, lett. d).

18

purchè siano trattati conformemente agli scopi e alle finalità indicate nell’atto costitutivo (contratto associativo, statuto, contratto collettivo, atto di fondazione) e con

modalità operative preventivamente indicate nell’informativa resa all’Interessato25

(art. 24, 1° comma, lett. h). L’operatività della causa di esclusione (che peraltro non opera con riferimento alle operazioni di comunicazione e diffusione, che pertanto

necessiteranno del consenso espresso dell’Interessato) è dunque soggetta a specifici presupposti e si applica a tutte le associazioni, fondazioni ed enti senza scopo di lucro,

riconosciuti e non, che nei casi più frequenti potranno avere carattere religioso, politico, filosofico o sindacale (si veda il corrispondente art. 8, 2° comma, lett. d, dir.

95/46/Ce); - un’importante novità, volta ad eliminare un’incomprensibile e poco giustificabile

rigidità sistematica26 ed ispirata al principio di semplificazione degli adempimenti, è

riscontrabile anche nel novero delle cause di esclusione del consenso per il trattamento dei dati sensibili. Il consenso, infatti, non sarà più richiesto “quando è necessario per

adempiere a specifici obblighi o compiti previsti dalla legge, da un regolamento o dalla normativa comunitaria per la gestione del rapporto di lavoro, anche in materia

di igiene e di sicurezza del lavoro e della popolazione e di previdenza e assistenza”. Tale principio, tuttavia, dovrà essere modulato e definito nei casi concreti dalle

previste autorizzazioni del Garante (“ nei limiti previsti dall’autorizzazione”) e potrà

anche essere derogato dai Codici di deontologia e di buona condotta (“ferme restando le disposizioni del codice di deontologia e di buona condotta di cui all’art. 111), che

potranno prevedere specifiche modalità “per l’eventuale prestazione del consenso relativamente alla pubblicazione degli annunci per finalità di occupazione di cui

all’art. 113, comma 327 e alla ricezione di curricula contenenti dati personali anche sensibili” (art. 111).

- si sancisce il divieto assoluto di diffusione dei dati idonei a rivelare lo stato di salute, eliminando l’eccezione, prevista nel precedente art. 23, 4° comma L. 675/1996, della

25 Modalità che devono essere definite con determinazione (deliberazione dell’ente) da assumersi entro il 30 giugno 2004 (arg. ex art. 181, 1° comma, lett. a, che ri ferisce espressamente tal e proroga al solo trattamento dei dati sensibili). 26 Nella vigenza della precedente normativa, infatti, l’assenza, per i dati sensibili, di una causa di esclusione equivalent e a quell a dell’art. 12, lett. a) (dati raccolti in base ad un obbligo di legge, regolamento o di normativa comunit ari a), comportava la necessità del consenso scritto del l avoratore anche quando “ l’acquisizione dei dati personali fosse funzionale all ’adempimento di obblighi deri vanti dal contratto di lavoro o, comunque, connessi alla gestione del rapporto di lavoro”, si veda P. Lambertucci, I dati personali nel rapporto di lavoro, in V. Cuffaro -V. Ricciuto, Il Trattamento dei dati personali, Torino, Giappichelli, 1999, p. 118. 27 In realtà sembra trattarsi di un refuso, atteso che l’art. 113, nella versione definitiva del codice, consta di un solo comma.

19

“finalità di prevenzione, accertamento o repressione dei reati” (art. 26, 5° comma e art. 22, 8° comma) .

7. La disciplina delle misure di sicurezza.

La disciplina concernente le “misure di sicurezza”, precedentemente ripartita tra l’art. 15 della L. 675/1996 e il D.P.R. 318/1999, viene adesso riformulata, mantenendo tuttavia la predetta

partizione che, nell’ambito del codice, si sostanzia in una disciplina generale e di principio, enunciata negli artt. 31-36, e in una disciplina di dettaglio, allegata al codice, contenuta nel

cosiddetto “Disciplinare tecnico in materia di misure minime di sicurezza” (Allegato B). Prima di addivenire all’analisi delle norme, sarà opportuno evidenziare la natura

regolamentare del “Disciplinare tecnico”, fonte normativa secondaria subordinata alle disposizioni legislative codicistiche, così come desumibile dall’art. 36, che prevede

l’aggiornamento dell’allegato B) attraverso “ Decreto del Ministro della Giustizia di concerto

con il Ministro per le innovazioni e le tecnologie”28. Immutata risulta la distinzione fra il generale e dinamico (in relazione al progresso tecnico) obbligo di custodia e controllo

mediante “idonee e preventive misure di sicurezza” (art. 31), la cui violazione importa il sorgere della responsabilità risarcitoria ex art. 15, e lo specifico obbligo di adozione delle

misure volte ad “assicurare un livello minimo di protezione dei dati personali”, oggetto di sanzione amministrativa ex art. 169. Le innovazioni più rilevanti, al contrario, sono

riscontrabili proprio nella definizione delle misure minime di sicurezza29, i cui principi

generali sono enunciati negli articoli 34 (trattamenti con strumenti elettronici) e 35 (trattamenti senza l’ausilio di strumenti elettronici) e concretizzati, per ciò che concerne le

specifiche modalità attuative, dal disciplinare tecnico (“nei modi previsti dal disciplinare tecnico contenuto nell’allegato B”, art. 34, 1° comma e 35, 1° comma). Sarà opportuno

evidenziare, in primo luogo, come l’area applicativa30 della disciplina non è più definita dalla dubbia distinzione tra elaboratori non in rete (cd modalità “stand alone” ), elaboratori in rete

non accessibile al pubblico ed elaboratori in rete accessibile al pubblico (art. 2 e 3 D.P.R. 318/1999). Il legislatore delegato, con apprezzabile chiarezza, stabilisce, indistintamente, che 28 La possibili tà di ricomprendere in un testo unico norme aventi grado gerarchico differente è espressamente ammessa dall’art. 7 , 2° comma della L. 50/1999, che prevede “ l’emanazione di testi unici riguardanti materie e settori omogenei, comprendenti, in un unico contesto e con le opportune evidenziazioni, le disposizioni legislative e regolamentari”. 29 Le norme definitorie sono ricomprese nell’art. 4, comma 3, lett. a)-g). 30 Con riferimento all’entrata in vigore delle norme in esame, l’art. 180, 1° coma stabilisce il t ermine del 30 giugno 2004 per l’adozione delle misure minime di sicurezza non previste dal D.P.R. 318/1999. Tuttavia, per ciò che concerne i trattamenti elettronici, se gli strumenti elettronici impediscono, per obiettive ragioni tecniche, l’applicazione d elle misure minime prescritte dal codice e dall’allegato (anche se già previste dal precedente D.P.R. 318/1999, arg. ex art. 180, 1° e 2° comma), il Titolare avrà un anno di tempo per adeguarsi (pertanto fino al 1 gennaio 2005), previa redazione di un apposito documento, mantenuto presso l a st ruttura (pert anto da non

20

“i titolari del trattamento sono comunque tenuti ad adottare le misure minime individuate nel presente capo”. Sono esclusi espressamente coloro che trattino dati per fini esclusivamente

personali, non destinati ad una comunicazione sistematica o alla diffusione, in forza del

disposto di cui all’art. 5, 3° comma, che prescrive per questi soggetti il solo obbligo di adottare “idonee e preventive misure di sicurezza” ex art. 3131. Risultano opportunamente

eliminate, inoltre, le figure dell’amministratore di sistema e del custode delle passwords, di creazione regolamentare32 e mai espressamente menzionate dalla L. 675/1996 fra i soggetti

autorizzati alle operazioni di trattamento. Al contrario, vengono introdotte nel disciplinare tecnico le figure dell’ “addetto alla gestione” e dell’ “addetto alla manutenzione” degli

strumenti elettronici (punto 15). Ruoli, tali ultimi, che, tenuto conto del disposto dell’art. 30, 1° comma che riserva le operazioni di trattamento ai soli incaricati, non potranno che essere

assunti proprio da incaricati del trattamento. Sono altresì riscontrabili, in sintesi, le seguenti

ulteriori innovazioni: - Nei trattamenti con strumenti elettronici viene generalizzato l’utilizzo della user-id

(codice identificativo), unitamente alla password (parola-chiave), definite dalla legge “credenziali di autenticazione” (allegato B, punti 1 e 2). Viene altresì espressamente

ammesso l’utilizzo di altri tipi di credenziali di autenticazione, quali i “dispositivi di autenticazione in possesso o uso esclusivo dell’incaricato” (chiave elettronica o

tessera magnetica) o le “ caratteristiche biometrich e dell’incaricato”, che saranno di

per sé sufficienti o potranno, a discrezione del Titolare, essere associate ad un codice identificativo o ad una parola chiave. Ad ogni incaricato potrà essere assegnata anche

più di una credenziale di autenticazione (allegato B, punto 2); - Il Titolare ha l’obbligo di fornire all’incaricato istruzioni adatte a garantire la

segretezza della password (“componente riservata della credenziale”), fornendogli criteri o regole di policy, nonché il dovere di indicargli le modalità più opportune per

la custodia dei dispositivi di autenticazione in possesso o uso esclusivo (arg. ex punto 4);

- Le regole di formazione della password devono comunque rispettare i livelli minimi di

sicurezza garantiti dal punto 5; - Con cadenza annuale si deve procedere alla verifica dell’ambito di trattamento

consentito a ciascun incaricato, verifica che potrà essere fatta anche per “classi

noti ficare al Garante) avente data cert a (si veda provvedimento del Garante del 5 dicembre 2000 che ha chi arito le modalità di conferimento della “data certa”), volto a specificare le “ obiettive ragioni tecniche”. 31 Non è pertanto più previsto per tali ipotesi l’obbligo, sanzionato in via amministrativa, di adottare almeno una password per la limitazione dell’accesso, ex art. 2 D.P.R. 318/1999. 32 Art. 1 e 2 del D.P.R. 318/1999.

21

omogenee di incarico” (punto 15). In questo modo, il Titolare (o il Responsabile, se designato) potrà aggiornare il documento contenente la lista degli incaricati preposti

ad una determinata unità operativa, specificando le eventuali variazioni concernenti la

tipologia dei dati trattati o le operazioni consentite (“ambito del trattamento”): variazione che, in aderenza a quanto già detto con riferimento all’art. 30, 2° comma,

dovrà essere resa pubblica agli incaricati preposti; - Viene introdotto un obbligo di aggiornamento non più dei soli programmi cd anti-

virus (che rimane semestrale) , ma anche dei programmi “volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti”, con cadenza annuale,

che si converte in semestrale nel caso di dati sensibili. Le misure di protezione predisposte per gli strumenti elettronici, pertanto, riguarderanno non solo i pericoli

esogeni (intrusioni dei cosiddetti hacker o virus), ma anche i rischi endogeni, derivanti

dal cattivo funzionamento o da difetti dell’hardware o del software. - Il documento programmatico sulla sicurezza deve essere redatto e aggiornato, entro il

31 marzo di ogni anno, nel solo caso di trattamento di dati sensibili o giudiziari, secondo i criteri direttivi indicati nel punto 19;

- Peculiari misure sono adottate nel caso di trattamento di dati concernenti lo stato di salute e l’identità genetica (punto 24);

Se la normativa concernente le misure di sicurezza da adottare per i trattamenti con strumenti

elettronici può definirsi ben più analitica e rigorosa della disciplina previgente, in aderenza al principio di “elevato livello di tutela” di cui all’art. 2, al contrario le disposizioni relative al

trattamento cartaceo dei dati personali rivelano la tendenza del legislatore a semplificare gli oneri a carico del Titolare, in ragione del minor rischio insito in tale tipo di attività. Ed invero,

se a mente d ell’art. 6 D.P.R. 318/1999 tutti i documenti riguardanti dati personali dovevano essere conservati in archivi ad accesso selezionato, secondo l’attuale codice soltanto i dati

sensibili e giudiziari saranno necessariamente oggetto di archiviazione ad accesso controllato (art. 35, 1° comma lett. c e punto 29). Le modalità pratiche di custodia e controllo di tali dati,

inoltre, sono devolute alla discrezione dell’Incaricato (in modo tale che comunque “non vi

accedano persone prive di autorizzazione”): viene meno, pertanto, l’obbligo sancito dal precedente art. 9, 2° comma, lett. a) D.P.R. 318/1999, di conservazione in “contenitori muniti

di serratura”. Con riferimento al trattamento cartaceo di dati personali comuni, gli Incaricati si dovranno attenere alle ist ruzioni (attinenti al controllo e alla custodia per il periodo

necessario allo svolgimento delle operazioni di trattamento) impartite con atto scritto, eventualmente redatto per “categorie di soggetti”, ed aggiornato annualmente (Allegato B,

22

punto 27), con indicazione anche dell’ambito del trattamento (tipologia di dati e operazioni consentite), ex art. 35, 1° comma, lett. a. Nella definizione dell’ambito del trattamento,

inoltre, il Titolare (o il Responsabile, se designato), non dovrà necessariamente prescrivere

agli incaricati l’accesso ai “soli dati personali la cui conoscenza sia strettamente necessaria per adempiere ai compiti loro assegnati”, trattandosi di disposizione non trasposta nel nuovo

codice (previsione dell’abrogato art. 9, 1° comma, lett. a, D.P.R. 318/1999). Particolarmente rilevanti risultano, inoltre, anche le disposizioni in materia di “Misure di tutela e di garanzia”

(allegato B, punto 25 e 26). In particolar modo viene introdotto l’obbligo di “certificazione di conformità”, alla normat iva vigente, delle misure minime di sicurezza adottate (obbligo a

carico degli “installatori” nel solo caso in cui si tratti di soggetti esterni alla struttura del Titolare, ad esempio consulenti). Di non minore importanza si rivela l’obbligo per il Titolare

di menzionare, nell’eventuale relazione accompagnatoria al bilancio d’esercizio, l’avvenuta

redazione o modifica del Documento Programmatico sulla sicurezza, manifestando in questo modo il legislatore l’importanza centrale della conformità alle misure minime di sicurezza che

diventano, pertanto, un vero e proprio parametro di valutazione del “valore” della società. 8. Adempimenti: notificazione, comunicazione, autorizzazione.

Il ribaltamento di prospettiva, in materia di notificazione dei trattamenti svolti, introdotto dall’ultimo decreto legislativo (art. 3 Dlgs. 467/2001), viene portato definitivamente a

compimento nelle relative disposizioni del presente codice che provvedono ad individuare i

trattamenti “ suscettibili di recare pregiudizio ai diritti ed alle libertà dell’interessato” (art. 3, 1° comma Dlgs 467/2001). In particolar modo è opportuno sottolineare come la trasparenza

nel trattamento dei dati personali sia garantita, nel sistema approntato dal codice, da un doppio binario costituito da un obbligo di preventiva notifica limitato ai soli casi

tassativamente indicati ex lege (art. 37) e da un generalizzato obbligo di comunicazione, a favore di chiunque ne faccia richiesta, dei dati che sarebbero oggetto di notifica (obbligo a

carico dei Titolari esentati dall’onere di notifica ex art. 37, vide art. 38, 6° comma). In assenza di un’espressa specificazione normativa, si ritiene che il termine di riscontro alla predetta

comunicazione sia quello ordinario di 15 giorni – eventualmente prorogabile di altri 15-

indicato dall’art. 146. La scelta del legislatore delegato, in definitiva, depone per la sostanziale devoluzione del controllo dei trattamenti all’iniziativa individuale. Certamente

imputabile ad una “svista” del legislatore deve essere la mancata previsione di una norma, analoga al previgente art. 7, 4° comma L. 675/1996, contenente le informazioni da indicare

nella notifica. In assenza di un’espressa disposizione, opereranno con efficacia diretta le

23

indicazioni dell’art. 19 Dir. 95/46/Ce (norma da ritenersi self-executing)33, che dovranno essere integrate dall’eventuale notifica della cessazione del trattamento (art. 38, 4°) e

dall’eventuale trasferimento dei dati in paesi non appartenenti alla Comunità Europea34 (art.

37, 3° comma). L’adempimento della notifica viene limitato, ex art. 37, 1° comma, a specifiche categorie di

trattamenti, che possono ricondursi a tre settori principali: - Trattamenti di dati sensibili attinenti alla salute e allo stato sessuale (lett. a, b, c);

- Trattamenti di dati conc ernenti la personalità dell’Interessato, finalizzati a definire le abitudini di consumo, l’attitudine lavorativa e le opinioni dello stesso ( lett. d, e);

- Trattamenti di dati riguardanti la solvibilità economica, la situazione patrimoniale, il corretto adempimento di obbligazioni, eventuali comportamenti illeciti o fraudolenti

(lett. f, concernente i trattamenti delle cd “centrali rischi”, volte a consentire la

valutazione del merito creditizio). La distinzione delle categorie di trattamenti, tuttavia, non è particolarmente chiara, soprattutto

con riferimento agli obblighi sussistenti a carico delle “società di selezione del personale” . Ed invero, il legislatore stabilisce l’obbligo di notifica tanto per i Titolari che trattino dati

personali comuni volti “a definire il profilo o la personalità dell’interessato, o ad analizzare abitudini o scelte di consumo, ovvero a monitorare l’utilizzo di servizio di comunicazione

elettronica” (lett. d), quanto per coloro che trattino “dati sensibili registrati in banche dati a

fini di selezione del personale35 per conto terzi, nonché dati sensibili utilizzati per sondaggi di opinione, ricerche di mercato e altre ricerche campionarie” (lett. e). La lettera della legge, a

tal fine, sembrerebbe chiara, stabilendo l’obbligo di notifica soltanto nel caso di trattamento di dati sensibili. Tuttavia il trattamento dei dati personali a fini di selezione comporta in

concreto, nella quasi totalità dei casi, la definizione del “profilo o della personalità” 33 Art. 19, 1° comma Dir. 95/46/Ce: “ Gli Stati membri definiscono le informazioni che devono essere contenute nella notificazione. Esse comprendono almeno:

a) il nome e l’indirizzo del responsabile del trattamento e, eventualmente, del suo rappresentante; b) la o le finalità del trattamento; c) una descrizione della o delle categorie di persone interessate e dei dati o delle categorie di dati relative

alle medesime; d) i destinatari o le categorie di destinatari a cui i dati possono essere comunicati; e) i trasferimenti di dati previsti verso paesi terzi, f) una descrizione generale che permetta di valutare in via preliminare l’adeguatezza delle misure

adottate per garantire la sicurezza del trattamento in applicazione dell’art.17”. L’efficacia diretta di tali disposizioni discende, in conformità ai presupposti individuati dalla giurisprudenza della Corte di Giustizia della Comunità Europea, dalla scadenza del termine di recepimento e dall’esistenza di disposizioni dettagliate e vincolanti per gli Stati membri (si tratta, infatti, di indicaz ioni minime inderogabili). 34 Il generico disposto dell’art. 37, 3° comma, infatti, deve interpretarsi in combinato con il principio di libera circolazione dei dati nello spazio della Comunità Europea, enunciato dal successivo art. 42.

24

dell’Interessato, attività espressamente soggetta all’obbligo di notifica anche nell’ipotesi di trattamento di dati personali comuni. Un’interpretazione svincolata dal dettato testuale,

tuttavia (pur essendo opportuno un intervento chiarificatore del Garante sul punto), potrebbe

condurre a concludere che, con riferimento alle società di selezione del personale, non sia richiesta la notifica nel caso di trattamento di dati personali comuni volti a definire la

personalità o il profilo dell’Interessato, a fini di selezione del personale o di valutazione del potenziale lavorativo.

Il novero dei trattamenti soggetti a notifica è definito dal codice in maniera flessibile (analogamente a quanto già visto in materia di informativa ex art. 13), essendo devoluto al

Garante il potere di individuarne ulteriori, nell’ambito dei dati il cui trattamento presenta “rischi specifici” ai sensi dell’ art. 17 ( “adottato anche ai sensi dell’articolo 17”, così l’art.

37, 2° comma), nonché il potere di derogare alle disposizioni di legge, selezionando,

“nell’ambito dei trattamenti di cui al comma 1, eventuali trattamenti non suscettibili di recare detto pregiudizio e pertanto sottratti all’obbligo di notificazione” .

Nell’ambito del titolo VI concernente gli “adempimenti” a carico del Titolare, vengono disciplinati, oltre alla notifica, anche la “comunicazione” (art. 39) e l’ “ autorizzazione” (artt.

40 e 41, che non presentano modifiche di rilievo). Viene introdotta, dunque, la nuova figura della comunicazione al Garante, funzionale a garantire, da parte dell’Autorità indipendente,

un controllo preventivo al trattamento (cd “prior checking”). Nonostante tale adempimento

venga con equivoca terminologia denominato “comunicazione” (da non confondersi con la comunicazione dei dati personali a soggetti terzi), in realtà la lettura dell’art. 39 rivela come ci

si trovi dinanzi all’onere di notifica preventiva (con la possibilità di iniziare il trattamento decorso un periodo di tempo – 45 giorni - senza riscontro da parte dell’Autorità Garante)

disciplinato dalla L. 675/1996 per diverse ipotesi. Tuttavia l’utilizzo di tale strumento, che in un quadro di “deflazione” dell’obbligo di notifica dovrebbe acquisire maggiore rilievo,

essendo modulato sullo specifica e concreta situazione di trattamento, viene espressamente limitato dall’art. 39 a due soli casi, peraltro residuali36. Non si comprende, dunque, il mancato

riferimento alla categoria dei dati semi-sensibili disciplinata dall’art. 17, che dovrebbe

35 Pur non essendo ogg etto di precisazione normativa, si ritengono ricomprese anche le attivit à di “ valutazione del potenziale”, che le società di selezione svolgono per definire la capacità professionale, la formazione e il livello di soddisfazione degli Interessati nell’ambi to del rapporto lavorativo in corso. 36 Quali la “ comunicazione di dati personali da parte di un soggetto pubblico ad altro soggetto pubblico non prevista da una norma di legge o di regolamento” (l ett. a) ed il “ trattamento di dati idonei a rivelare lo sta to di salute previsto dal programma di ricerca biomedica o sanitaria di cui all’art. 110, comma 1, primo periodo” (lett. b).

25

costituire, considerando anche il dettato della normativa comunitaria37, l’ambito principale di operatività di tale strumento.

9. Trasferimento dei dati all’estero.

L’intervento normativo in materia di trasferimento dei dati personali all’Estero, si muove nell’alveo della semplificazione già delineato dal dlgs 467/2001. Il codice, con maggiore

chiarezza rispetto all’art. 28 della L. 675/1996, distingue fra trasferimenti all’interno dell’Unione Europea, regolati dal regime di libera circolazione “fatta salva l’adozione, in

conformità allo stesso codice, di eventuali provvedimenti in caso di trasferimenti di dati effettuati al fine di eludere le medesime disposizioni” (art. 42), e trasferimenti in Paesi terzi,

ammessi con l’espresso consenso dell’Interessato o, in mancanza, nelle ipotesi tassativamente previste dalla legge o in presenza di autorizzazione dell’Autorità Garante (artt. 43 e 44).

Proprio con riguardo ai trasferimenti dei dati in ambito extracomunitario è possibile

riscontrare l’innovazione più rilevante, consistente nell’abolizione del controllo da parte dell’Autorità Garante a seguito della notifica preventiva disposta dall’art. 24, 1° e 2° comma

L. 675/1996. Sarà pertanto sufficiente provvedere alla notifica di tale operazione nell’unico atto previsto ai sensi dell’art. 37, 3° comma (notifica generale), senza dover più attendere il

termine di 15 giorni precedentemente necessario per dare inizio al trasferimento dei dati. 10. Specifici trattamenti: spamming e informatica giuridica.

Pur nei limiti della presente trattazione, una veloce lettura della parte relativa alle specifiche

ipotesi di trattamento (in cui ampio spazio viene riconosciuto agli emanandi codici deontologici) non può prescindere dall’esame delle due più importanti novità introdotte dal

testo unico: vale a dire gli artt. 51 e 52 (informatica giuridica) e l’art. 130 (comunicazioni indesiderate).

Partendo proprio da tale ultima disposizione, è possibile rilevare come finalmente si introduca, dopo una serie di interventi normativi contrastanti38, una coerente ed organica

disciplina del fenomeno dello “spamming”, rappresentato dall’invio di e-mail ed sms non sollecitati, di natura prevalentemente pubblicitaria: fenomeno di recente emersione la cui

pervasività richiede, oggi, la predisposizione di idonei ed efficienti strumenti di tutela della

sfera individuale. Viene così integralmente recepito, in aderenza alla delega conferita, l’art. 13 della direttiva 2002/58/Ce regolante proprio le comunicazioni indesiderate.

Il sistema codificato, pertanto, è quello del consenso preventivo (cd opt in ) prestato –previa idonea e completa informativa resa dal Titolare- dal soggetto (persona fisica o giuridica) che 37 Art. 20, Dir. 95/46/Ce. A tal proposito, giova aggiungere che un’ermeneutica conforme a tale norma dovrebbe comportare l’estensi one dell’obbligo di comunicazione anche a questi dati, mercè l’interpretazione estensiva dell’espressione “ anche a seguito di un interpello del Titolare”contenuta nell’art. 17 del codice.

26

lo stesso Titolare voglia contattare, attraverso il telefono o strumenti di comunicazione elettronica (telefax, e-mail, sms, mms o di altro tipo), al fine della vendita diretta, della ricerca

di mercato, della comunicazione commerciale o dell’ invio di materiale promozionale (art.

130, 1° e 2°comma). Tale principio, assoluto e inderogabile nel caso in cui il Titolare si avvalga “di strumenti automatici di chiamata senza l’intervento di un operatore”, presenta

delle attenuazioni nel caso di contatto diretto, cioè di invio delle predette comunicazioni attraverso l’intervento di un operatore. In questa ipotesi, infatti, se la regola sarà sempre il

consenso preventivo, tuttavia saranno ammesse delle eccezioni (corrispondenti alle cause di esclusione del consenso delineate dall’art. 24) in cui il Titolare potrà contattare direttamente

l’Interessato senza necessità di reperire il consenso, né anteriormente né successivamente alla comunicazione non sollecitata (arg. ex art. 130, 3° comma). Tuttavia, nel corpo del primo

messaggio sarà comunque necessario inserire l’informativa di cui all’art. 13, unitamente

all’espressa indicazione della possibilità per l’Interessato di opporsi, in ogni momento, all’invio di tali messaggi ed al correlativo trattamento dei dati (arg. ex art. 130, 3° comma).

Tale previsione, il cui ambito applicativo potrà essere ampio con riferimento all’esimente dei “dati relativi allo svolgimento di attività economiche” (art. 24, 1° comma, lett. d), importa

dunque l’onere, per l’Interessato, di intervenire attivamente attraverso un’espressa opposizione (cd sistema di opt-out). Sempre nell’ipotesi di contatto diretto, e limitatamente

alle sole comunicazioni a mezzo e-mail, il Titolare potrà prescindere dal consenso

dell’Interessato che, suo cliente, gli abbia fornito le proprie coordinate di posta elettronica nel contesto della vendita di un precedente prodotto o servizio. Resta fermo, peraltro, l’obbligo

per il Titolare di fornire adeguata informativa nel corpo di tale comunicazione e di rendere espressamente noto (nella prima come nelle successive comunicazioni) il diritto

dell’Interessato ad opporsi in ogni momento. Tale opportuno obbligo informativo, funzionale a sollecitare continuamente l’esercizio del diritto alla tutela dei dati personali, non viene

tuttavia previsto nell’ipotesi, precedentemente analizzata, di cui all’art. 130, 3° comma. Le comunicazioni in oggetto, inoltre, dovranno recare l’indicazione del soggetto mittente e

del recapito presso cui l’Interessato potrà far valere i diritti di cui all’art. 7 (art. 130, 5°

comma). La violazione delle disposizioni previste dall’art. 130 importa l’applicazione delle sanzioni penali previste dalla fattispecie di “illecito trattamento dei dati ”, purchè “dal fatto

derivi nocumento” (art. 167, 1° comma)39, nonché la sanzione amministrativa prevista dall’art. 161 per il caso di “omessa o inidonea informativa”. Nonostante la mancata

38 Si rimanda a M. Atelli, Spamming:si svolta verso il silenzio assenso, in Guida al Diritto, 20/2003, pp. 45 e ss. 39 Reclusione da sei a diciotto mesi. Si noti che la natura penale dell’art. 130 impedisce l’interpretazione analogica (almeno in malam partem )delle disposizioni ivi contenute.

27

indicazione nell’elenco delle norme abrogate ex art. 183, si ritiene che l’art. 130 importi l’abrogazione tacita delle contrastanti disposizioni previste, in materia di comunicazioni

commerciali per posta elettronica, dall’art. 9 del recente dlgs n. 70/200340 (disciplinante

l’introduzione di un generale sistema di opt-out)41. Nel solco di un progressivo adeguamento dell’apparato giudiziario agli strumenti di

comunicazione telematica (adeguamento a suo tempo avviato dal D.P.R. 123/2001), l’art. 51 prevede il principio generale dell’accessibilità, per chi vi abbia interesse, ai dati identificativi

relativi alle questioni pendenti dinanzi all’autorità giurisdizionale o ricompresi nei provvedimenti o nelle sentenze emanate dall’ autorità giudiziaria di ogni ordine e grado. Si

tratta di una forma di pubblicità ulteriore delle sentenze e dei provvedimenti giurisdizionali, che tuttavia lascia fermo l’obbligo di deposito presso la cancelleria, da cui continuano a

derivare tutti gli effetti previsti dai codici di rito (in particolar modo con riguardo alla

decorrenza del termine per l’impugnazione). L’accessibilità, che di per sé importa la semplice messa a disposizione dei provvedimenti nel sito (di regola quello istituzionale dell’Autorità

emanante), sembrerebbe precludere espressamente la possibilità che le sentenze ed i provvedimenti possano essere comunicati alle parti mediante posta elettronica. L’art. 52,

inoltre, ad ulteriore tutela dei dati personali trattati nell’ambito dei procedimenti giurisdizionali, introduce la possibilità per l’Interessato (che potrà anche non coincidere con

la parte processuale) di chiedere, per motivi legittimi e limitatamente alle forme di pubblicità

per informazione giuridica (pubblicità su riviste, supporti e reti di comunicazione elettronica di settore), l’omissione dei propri dati identificativi dalle sentenze e da ogni altro

provvedimento giurisdizionale di ogni ordine e grado. La sussistenza dei requisiti per tale omissione, che dovrà essere valutata dal giudice che pronuncia la sentenza o adotta il

provvedimento con d ecreto in calce e che potrà essere adottata d’ufficio dallo stesso giudice per la tutela dei diritti e della dignità degli interessati, si sostanzierà, in caso positivo, in

un’annotazione apposta dalla cancelleria in calce al provvedimento o alla sentenza, volta ad esplicitare il predetto obbligo di omissione. Se tale garanzia, peraltro, risulta limitata alle sole

ipotesi di pubblicità nel circuito degli operatori di settore (“per finalità di informazione

giuridica su riviste giuridiche, supporti elettronici o mediante reti di comunicazione elettronica”, art. 52, 1° comma), al contrario la norma in esame appronta una tutela assoluta a 40 Art. 9, dlgs. 70/2003: “1. Fat ti salvi gli obblighi previsti dal decreto l egislati vo 22 maggio 1999, n. 185 e dal decreto legislativo 13 maggio 1998, n. 171, le comunicazioni commerciali non sollecitate trasmesse da un prestatore per posta elettronica devono, in modo chiaro e inequivocabile, essere identificate come tali fin dal momento in cui il destinatario le ri ceve e contenere l ’indi cazione che il destinatario del messaggio può opporsi al ricevimento in futuro di tali comunicazioni. 2. La prova del carattere sollecitato delle comuni cazioni commerciali è onere del prestatore”. 41 Si veda M. Atelli, Spamming, cit.

28

favore dei minori e delle parti nei procedimenti in materia di famiglia e di stato delle persone (ad esempio separazioni, div orzi, adozioni, interdizioni) i cui dati identificativi dovranno

comunque e in ogni caso essere omessi dalle sentenze e dai provvedimenti giurisdizionali,

senza bisogno di alcuna annotazione. Tutela, tale ultima, approntata soltanto rispetto alle operazioni di diffusione (“chiunque diffonde ”, art. 52, 5° comma) e non applicabile, pertanto,

ai casi di comunicazione, cioè di messa in circolazione dei dati ad una cerchia determinata di persone. E’ il caso tuttavia di rilevare come le meritorie intenzioni del legislatore vengano

vanificate dall’assenza di qualsiasi conseguenza pratica alla violazione delle predette norme (non sono previste infatti né sanzioni penali né sanzioni amministrative).

Fuori dai casi specificamente individuati dall’art. 52, permane espressamente il principio di libera e integrale diffusione del contenuto delle sentenze e dei provvedimenti giurisdizionali

(art. 52, 7° comma).

11. Tutela amministrativa e giurisdizionale. Sanzioni. Il codice viene infine a regolamentare, nella parte III (artt. 141-172, seguiti da norme

transitorie e abrogative, artt. 173-186), i mezzi di tutela amministrativa e giurisdizionale, nonchè le sanzioni relative all’infrazione delle disposizioni vigenti in materia di protezione

dei dati personali. Nel procede re alla disamina della disciplina concernente la tutela dinanzi all’Autorità

Garante, si può notare una maggiore precisione definitoria nell’individuazione dei mezzi

esperibili dall’Interessato (o dalle associazioni rappresentative), a mente del disposto dell’art. 141. La tripartizione in reclami, segnalazioni e ricorsi propria della L. 675/1996 viene ripresa

dal codice, che tuttavia svolge alcune importanti precisazioni: - i ricorsi possono essere esperiti dall’Interessato “per far valere gli specifici diritti di

cui all’art. 7”; - le segnalazioni e i reclami possono essere presentati per “rappresentare una

violazione della disciplina rilevante in materia di trattamento di dati personali ”. La segnalazione, inoltre, si propone “se non è possibile presentare un reclamo

circostanziato”.

Alla luce di tali elementi, è possibile rilevare come il legislatore abbia chiaramente inteso conferire distinti ambiti di operatività ai predetti strumenti di tutela, limitando i ricorsi

all’esercizio dei diritti di informazione, rettifica, aggiornamento, cancellazione, integrazione e opposizione annoverati nell’art. 7 e riconoscendo alle segnalazioni e ai

reclami la funzione di controllo (o meglio, di sollecitazione del controllo da parte dell’Autorità Garante) in ordine alla corretta applicazione della normativa vigente in

29

materia di trattamento: situazioni, tali ultime, che non si concretano direttamente in un vulnus per la sfera del soggetto Interessato42. Le segnalazioni, inoltre, sono volte a

premere in modo indistinto per un controllo, senza formulare una domanda precisa, a

differenza dei reclami, che si sostanziano in una doglianza più o meno dettagliata43. Il codice introduce, inoltre, una serie di norme volte a meglio specificare –rispetto alla

scarna disciplina previgente, ricompresa nell’art. 16 del D.P.R. 501/1998- il procedimento, le garanzie ed i provvedimenti di tutela conseguibili. In particolar modo

l’art. 143 (procedimento per i reclami) prevede la possibilità di adottare i provvedimenti anche prima della definizione del procedimento, in modo da non pregiudicare i diritti

dell’Interessato anche nelle more del contenzioso amministrativo. Il procedimento previsto per i ricorsi manifesta alcune modifiche, riguardanti in particolar

modo i termini 44. Come già visto in sede di trattazione dei diritti dell’Interessato, il ricorso

è esperibile decorso il termine di riscontro concesso al Titolare e al Responsabile, innalzato dagli originari 5 agli attuali 15 giorni, prorogabili di altri 15 giorni ex art. 146,

2° e 3° comma. Nel caso di proposizione del ricorso, l’ufficio del Garante deve darne comunicazione al Titolare entro il termine (ordinatorio) di tre giorni, con invito ad

esercitare il diritto all’adesione spontanea entro 10 giorni dalla comunicazione (tre giorni nella versione del vecchio art. 20, D.P.R. 501/1998 ). Rilevante è anche l’introduzione

del diritto, riconosciuto al ricorrente, di precisare la domanda nei limiti di quanto chiesto

con il ricorso o a seguito di eccezioni formulate dal Titolare: diritto che, in aderenza al principio del contraddittorio enunciato nell’art. 149, 3° comma, dovrà riconoscersi in

egual misura al Titolare o al Responsabile convenuti nel procedimento in oggetto. L’originario termine di trenta giorni decorso il quale, in mancanza di pronuncia,

s’intendeva rigettato il ricorso (art. 29, 54° comma L. 675/1996) è innalzato a 60 giorni, con possibilità di proroga di ulteriori 40 giorni (20 giorni ex art. 20 D.P.R. 501/1998) non

solo in presenza del consenso delle parti, ma ora anche nel caso in cui gli accertamenti risultino particolarmente complessi (art. 150, 2° comma e 149, 7° comma). Il

provvedimento assunto dall’Autorità Garante, che deve essere comunicato entro 10 giorni

alle parti (3 giorni nel precedente art. 20, 6° comma D.P.R. 501/1998), viene dotato dal

42 Così F. Caringella, Il potere di accertamento del Garante, in Il trattamento dei dati personali, cit., p. 463. 43 Idem. Si rimanda, inoltre, all’art. 142, 1° comma, secondo cui “ Il reclamo conti ene un’indicazione dettagliata dei fatti e delle circostanze su cui si fonda, delle disposizioni che si presumono violate e delle misure richieste….” 44 La sospensione dei termini processuali è uni formata a quell a prevista dalla L. 742/1969 ed opera dal giorno successivo alla pubblicazione del presente codice, ex art. 186.

30

codice della forza di titolo esecutivo, ai sensi e per gli effetti degli articoli 474 e 475 c.p.c, limitatamente tuttavia alla sola parte determinante l’ammontare delle spese di lite.

La lettura dell’unico articolo dedicato alla tutela giurisdizionale (art. 152), rivela

l’intenzione del legislatore di incidere in maniera rilevante sull’assetto normativo precedentemente definito. A tal fine si possono individuare due “binari” di articolazione

della tutela giurisdizionale. Più precisamente, al procedimento dinanzi all’autorità giurisdizionale ordinaria, regolato secondo il processo ordinario di cognizione45, e

costituito da tre gradi di giudizio (primo grado, appello, ricorso in Cassazione), si affianca una differente via di tutela che, a seguito del provvedimento emanato dall’autorità Garante

preventivamente adita46, comporta un giudizio di opposizione dinanzi all’autorità giudiziaria ordinaria, secondo lo speciale procedimento disciplinato dall’art. 152, commi

4-13, che da ultimo si conclude con sentenza impugnabile soltanto attraverso lo strumento

del ricorso per cassazione. La concreta disciplina manifesta la scelta del legislatore volta a stimolare l’esperimento

della procedura amministrativa, caratterizzata da speditezza (60 giorni) ed efficienza (possibilità di ottenere anche provvedimenti cautelari), e seguita da un’eventuale fase

giurisdizionale di opposizione, più breve e concentrata rispetto al rito ordinario di cognizione. Con riferimento proprio al processo di opposizione, si rileva come il relativo

ricorso debba essere presentato, a pena di inammissibilità, entro 30 giorni dalla pronuncia

del provvedimento o del formarsi del silenzio-rigetto (art. 152, 4° comma). Di particolare rilievo è la possibilità, per il giudice, di disporre provvedimenti cautelari anche inaudita

altera parte, allorchè sussista un pericolo imminente di danno grave e irreparabile e previa fissazione della successiva udienza di comparizione delle parti –entro il termine perentorio

di 15 giorni- per la conferma, revoca o modifica dei provvedimenti stessi: disposizione in tutto e per tutto analoga a quella prevista dall’art. 669 sexies, 2° comma, c.p.c.

Le successive norme, che non disciplinano l’intero processo, delineano tuttavia un rito assimilabile a quello del lavoro 47, regolato dagli artt. 414 e ss. c.p.c. : rito cui si dovrà

conformare, in quanto compatibile, il procedimento di opposizione in esame, in mancanza

di espresse disposizioni di legge. Il giudice, inoltre, viene dotato di particolari poteri istruttori, “disponendo, anche d’ufficio, …..i mezzi di prova che ritiene necessari” (art.

45 Con le solo innovazioni introdotte dall’art. 152, comma 1, 2 e 3, applicabili a tutti i giudizi (introduzione con ricorso depositato presso il Tribunale del luogo di residenza del Titolare e giudizio monocratico). 46 Provvedimento che costituisce esercizio non di attività giurisdizional e bensì di amministrazione contenziosa, si veda F. Cardarelli, in E. Giannantonio -M.G. Losano -V. Zeno Zencovich, La tutela dei dati per sonali, cit., p.367 ss. 47 Il procedimento di opposizione ex art. 29, 7° comma L. 675/1996 veniva al contrario espressamente disciplinato dalle norme concernenti il procedimento camerale (rito collegiale, artt. 737 e ss.).

31

152, 9° comma). La concentrazione del procedimento si manifesta altresì nella possibilità, una volta esaurita l’istruttoria e precisate le conclusioni, di disporre nella stessa udienza

anche la discussione orale della causa48, cui segue l’immediata lettura del dispositivo.

In relazione alle norme riguardanti le sanzioni amministrative e gli illeciti penali (artt. 161-172), occorre sottolineare l’aumento della misura pecuniaria delle sanzioni, pressoché

raddoppiate in tutte le ipotesi49, e il mutamento di natura della fattispecie penale del “trattamento illecito di dati” (art. 167), che da reato di condotta diventa reato di evento,

punito solo “se dal fatto deriva nocumento”. 12. Modifiche extra codicem : nuova applicazione del trattato di Schengen.

Fra le molteplici disposizioni di modifica di norme extra codicem, si evidenzia in questa sede la novella apportata, in materia di notifica di atti giudiziari, ai codici di procedura

civile e penale (art. 174), volta a salvaguardare la riservatezza del destinatario in aderenza

a quanto già a suo tempo indicato dal Garante50, e le modifiche alle norme di esecuzione della Convenzione di Schengen (L. 388/1993). Soprattutto l’analisi di queste ultime

norme rivela l’esistenza di ragioni contrastanti (se non contraddittorie) alla base dell’intervento legislativo delegato. Rileva, a tal fine, notare il ribaltamento di prospettiva

operato dall’art. 173, che opta per il sistema di “accesso diretto”. Modifica che, in concreto, comporta per chi voglia accedere, in Italia, ai dati contenuti nel sistema

informativo di Schengen (o voglia rettificare o cancellare i dati ivi illecitamente trattati),

la necessità di adire non più l’Autorità garante per la protezione dei dati personali51, bensì direttamente la sezione nazionale responsabile del SIS, cioè il Dipartimento di Pubblica

Sicurezza del Ministero degli Interni. L’autorità Garante potrà ora essere interpellata –in via sussidiaria- soltanto con segnalazione o reclamo, nel caso di “inidoneo riscontro” del

Dipartimento di Pubblica Sicurezza (art. 11, 1° comma L. 388/1993). Resta ferma, in ogni caso, la possibilità per l’Interessato di ottenere, in via giurisdizionale,

gli accertamenti necessari, la rettifica, la cancellazione o la trasformazione in forma anonima dei dati contenuti nel SIS (sistema informativo Schengen), allorché i dati

risultino oggetto di trattamento contrario a disposizioni di legge o di regolamento. Il

relativo procedimento, in precedenza informato sul modello del rito camerale, è oggi

48 Discussione che può essere anche rinviata ad altra udienza, immediatamente successiva al termine di 10 giorni eventualmente concesso alle parti per lo svolgimento di difese scritte, ex art. 152, comma 11. 49 Oltre alla generalizzata previsione del potere, da parte dell’Autorità Garante, di disporre la pubblicazione dell’ordinanza -ingiunzione, ex art. 165. 50 Si rimanda al comunicato stampa del 26 ottobre 1998 diffuso dall’Autorità Garante per la protezione dei dati personali. 51 Secondo il previgente disposto dell’art. 9, 2° comma L. 388/19 93, che delineava il cd sistema di accesso indiretto.

32

disciplinato dalle speciali norme dell’art. 152 (che vanno così a novellare anche l’art. 10, 5° comma, della L. 121/1981). L’abrogazione, inoltre, dell’art. 12 della legge in esame

elimina la discrasia suss istente, rispetto alla disciplina civilistica, nell’ipotesi di azione

intrapresa per il risarcimento dei danni derivanti da illecito trattamento, difficilmente quantificabili o di natura non patrimoniale: all’equo indennizzo si sostituisce, mercè la

reviviscenza degli artt. 1226 e 2059 c.c., la determinazione in via equitativa del danno. Se queste disposizioni possono positivamente riguardarsi come orientate ad una migliore e

più efficace tutela dei soggetti inseriti in un sistema di trattamento particolarmente diffusivo, qual’è il SIS (le cui informazioni sono disponibili, sebbene soltanto determinati

per soggetti pubblici, nell’intero ambito comunitario), al contrario all’insegna di una diminuzione delle garanzie si rivela l’implicita abrogazione (art. 11, 1° comma L.

388/1993, modificato dall’art. 173, lett.c) della norma disciplinante la durata semestrale

dell’eventuale “segnalazione” inserita nel sistema informativo dalle competenti autorità italiane, ora innalzata - operando l’art. 112 del trattato di Schengen- a 3 anni (1 anno nei

casi di cui all’art. 99 dello stesso Trattato).