massimario 1

I PRINCIPI AFFERMATI DAL

GARANTE NEI PRIMI CINQUE

ANNI DI ATTIVITÀ

1997-2001

Massimario

www.garanteprivacy.it

Questo volume contiene una sintesi dei principi af-

fermati dal Garante nel corso del primo quinquennio

di attività, ordinati secondo uno schema di classifica-

zione e completati dei riferimenti necessari per repe-

rire i singoli provvedimenti. L’attività di massimazio-

ne proseguirà con continuità e i risultati saranno

consultabili anche attraverso altre fonti documentali

(sito web e bollettini del Garante). Si tratta quindi di

un work in progress che si propone di coniugare la

definizione dei principi istituzionali della materia con

la realtà economico-sociale in continua evoluzione.

Mas

sim

ario

199

7-20

01

CO

NT

RI

BU

TI

Luigi PecoraGiuseppe Staglianò

RedazioneGarante per la protezione dei dati personali

Piazza di Monte Citorio, 12100186 Romafax 06 69677785www.garanteprivacy.itwww.dataprotection.orge-mail: [email protected]

Pubblicazione della Presidenza del Consiglio dei MinistriDipartimento per l’informazione e l’editoria

Direttore: Mauro Masi

Via Po, 14 - 00198 Roma - tel. 06 85981

Vita italiana - Schede

Coordinamento editoriale: Augusta Busico

Stampa e distribuzione:Ufficio grafico dell’Istituto Poligrafico e Zecca dello Stato presso il Dipartimento per l’informazione e l’editoria

Progetto grafico:Vertigo Design

Stefano Rodotà, PresidenteGiuseppe Santaniello, Vice PresidenteGaetano Rasi, ComponenteMauro Paissan, Componente

Giovanni Buttarelli, Segretario generale

Piazza di Monte Citorio, 12100186 Romafax 06 69677785www.garanteprivacy.itwww.dataprotection.org

Gli autori ringraziano coloro chenell’Ufficio del Garante hannocontribuito a questo volume, inparticolare il dott. Maurizio Leanteper la cura editoriale.



ANNI DI ATTIVITÀ

1997-2001

Massimario



Presentazione 1

Categorie e requisiti deidati personali 7

Dato personale 9Nozione 9• Affidabilità economica

• Dato anonimo

• Elaborazioni automatizzate

della personalità dell’interessato

• Informazioni cifrate

• Informazioni pubblicate

su rivista medica

• Lavoro e previdenza

• Manifestazioni del pensiero

• Perizie medico legali

• Rilevazioni biometriche

• Servizi di posta elettronica ibrida

epistolare

• Suoni e immagini

• Utenze e traffico telefonico

• Visite mediche specialistiche

Dati giudiziari 15

Dati sensibili 16Profili generali 16Dati idonei a rivelare l’adesione a sindacati 19• Indirizzari per la spedizione di periodici

Dati idonei a rivelare l’appartenenza etnica 19Dati idonei a rivelare convinzioni religiose 20•Registri dei battezzati

Dati idonei a rivelare opinioni politiche 21•Elenchi di sottoscrittori di liste elettorali

• Partiti politici

• Tessera elettorale

Dati idonei a rivelare lo stato di salute 23

Requisiti dei dati 23Pertinenza, completezza e non eccedenza 23Proporzionalità del trattamento 29Liceità e correttezza 30Conservazione dei dati 33

Presupposti e modalitàdel trattamento 35

Informativa 37Profili generali 37Informativa semplificata 41• Codice deontologico per l’attività giornalistica

• Pubblicazioni occasionali

• Operazioni di cartolarizzazione

Oggetto 42• Attività sportiva

• Istituti di credito

• Marketing

• Pubblicazioni scientifiche

• Pubblicità telefonica

• Propaganza elettorale

• Questionari R.a.i.

• Rilevazioni biometriche

• Trattamento correlato ed autonomo

Esonero 45• In genere

• I.s.v.a.p.

• Consultazioni elettorali

Consenso 47Profili generali 47Esclusione 53• Adempimento di un obbligo di legge

• Agenti di cambio

M a s s i m a r i o 1 9 9 7 / 2 0 0 1I I

Indice

• Appalti pubblici

• Attività economiche

• Attività giornalistica

• Diritto di difesa

• Fondo nazionale di garanzia nel settore

dei valori mobiliari


• Richieste referendarie

• Soggetti pubblici

Casi particolari 60• Attività sportiva

• Concessionari di servizi telefonici

• Coupon

• E-mail e spamming

• Partiti politici


• Esercenti le professioni sanitarie

Titolare, responsabile, incaricato 62Profili generali 62Casi particolari 65• Associazioni professionali

• Attività giornalistica

• Autore della pubblicazione

• Aziende farmaceutiche

• Comuni e province

• Concessionari di pubblici servizi

• Condominio negli edifici

• Ministeri

• R.a.i.

• Servizi informatici di postalizzazione

• Servizi di posta elettronica ibrida epistolare

• Titolare di trattamento correlato ed autonomo

• Ufficio per la mediazione penale di Milano

Notificazione 72Profili generali 72In forma semplificata 73Esonero 74

• Imprenditori artigiani

• I.n.p.g.i.

• Notai e Consigli notarili

• Obblighi contabili, retributivi, previdenziali,

assistenziali e fiscali

• Piccole e medie imprese industriali


Misure per la sicurezza dei dati e dei sistemi 76Archivi di reparti ospedalieri 76Banche dati centralizzate 76Conservazione e lettura di immagini 77Dati in busta paga 78Fondo di solidarietà per le vittime dell’usura 78Misure minime 78Questionari R.a.i. 79Rilevazioni biometriche 80Riservatezza nelle operazioni bancarie 80

Cessazione del trattamento 80

Privati ed enti pubblicieconomici 83

Settori di attività 85Attività giornalistica 85• Profili generali

• Informativa semplificata


- Profili generali- Biografie di dirigenti di partiti politici- Epistolario- Opuscoli di propaganda politica

ed elettorale- Provvedimenti disciplinari adottati

dai Consigli dell’Ordine degli avvocati- Rassegne stampa

I n d i c e I I I

Indice

• Casi particolari

- Dati reddituali dei contribuenti- Dati derivanti da intercettazioni- Interviste e dichiarazioni alla stampa- Minori- Cronaca giudiziaria- Pubblicazioni di matrimonio- Segreto professionale del giornalista

Biometria 96Istituti di credito 98• Profili generali

• Rapporti con la Banca d’Italia


- Benefondi- Dichiarazione dei redditi dei contribuenti- Rilevazioni biometriche all’ingresso

delle banche- Riservatezza nelle operazioni bancarie

Istituti scolastici e università 101Lavoro e previdenza 101Sanità 101Videosorveglianza 101

Operazioni di trattamenti dei dati 108Comunicazione e diffusione 108• Profili generali


- Aziende speciali- Cassa italiana di previdenza

ed assistenza dei geometri- Concessionari di servizi telefonici- Condominio negli uffici- E.n.e.l.

Trattamento per fini personali 112

Trasferimento dei dati all’estero 113• Stati Uniti d’America

• Svizzera

• Ungheria

• Paesi che non garantiscono un adeguato

livello di protezione

Soggetti pubblici 117

Profili generali 119

Settori di attività 122Agenzie regionali per l’impiego 122Anagrafe dei rapporti di conto e di deposito 123Archivi di Stato 123Comuni e province 123Concessionari di pubblici servizi 125Ministero della difesa 126Ministero delle comunicazioni 126Prefetto 126Privati incaricati del trattamento 127R.a.i. 127Servizi ispettivi delle Aziende sanitarie

locali 128Ufficio italiano cambi 128Ufficio per la mediazione penale di Milano 128Istituti scolastici e università 129• Istituti scolastici

• Università

Lavoro e previdenza 132• Profili generali

• Collocamento

• Invalidità civile

• Note di qualifica e relazioni predisposte

dal datore di lavoro


• Agenzie regionali per l’impiego

• Cartellini identificativi dei dipendenti

• Codici identificativi numerici dei

dipendenti• Dipendenti della pubblica

M a s s i m a r i o 1 9 9 7 / 2 0 0 1IV

Indice

I n d i c e V

amministrazione• Indagini sul luogo di lavoro• Informazioni sul dipendente

contenute in e-mail• I.n.p.g.i.• Istituti di patronato e assistenza sociale• Qualifiche lavorative• Servizi informatici di postalizzazione• Telecamere sui mezzi pubblici

Sanità 144• Profili generali


• Acquisizione di documentazione sanitaria

da parte di società di assicurazioni

• A.I.D.S.

• Attività sportiva agonistica

• A.V.I.S.

• Cartelle cliniche

• Comunicazione dei dati all’interessato

• Consulenze e perizie medico legali

• Dati genetici

• Esercenti le professioni sanitarie

• Istituti di patronato ed assistenza sociale

• Pubblicazioni scientifiche

• Servizio sanitario delle Ferrovie dello Stato

• Sperimentazione dei farmaci

Operazioni di trattamento dei dati 159Comunicazione e diffusione 159• Profili generali


• A.c.i.

• Anagrafe delle prestazioni dei dipendenti

pubblici

• Anagrafe e stato civile

• Agenzie regionali per l’impiego

• Appalti pubblici

• Camere di commercio

• Collocamento

• Comuni e province

• Consigli dell’Ordine e provvedimenti

disciplinari

• Dati reddituali dei contribuenti

• Dipartimento di pubblica sicurezza

e provvedimenti disciplinari

• Enti locali siciliani e commissione

antimafia regionale

• Forze di polizia

• Ordini professionali e conoscibilità dei dati

contenuti negli albi

• Questionari R.a.i.

• Regioni e federazioni sportive

• Sistema statistico nazionale

• Sistemi di interconnessione telematica

tra banche dati

• Titolari di cariche elettive e di incarichi

dirigenziali

• Uffici giudiziari

Trattamenti particolari 175C.e.d. del Dipartimento di pubblica sicurezza 175Organismi di sicurezza 176Casellario giudiziario e carichi pendenti 177Trattamenti per ragioni di giustizia 177• Uffici giudiziari

• Consiglio superiore della magistratura

Prevenzione, accertamento e repressione

dei reati 181

Natura pubblica dei soggetti 182

Regimi particolari di pubblicità degli atti 183Casi particolari 183• Anagrafe e stato civile

• Consiglio dell’Ordine degli avvocati

• Ordini professionali

Indice

M a s s i m a r i o 1 9 9 7 / 2 0 0 1VI

• Architetti

• Assistenti sociali

• Dottori commercialisti

• Geometri

• Medici

• Tecnici radiologi

• Ragionieri e periti commerciali

• Titolari di cariche elettive e di incarichi

dirigenziali

Consultazione del Garante da partedelle pubbliche amministrazioni 190

Telecomunicazioni ereti telematiche 193

Profili generali 195

Casi particolari 195Concessionari di servizi telefonici 195E-mail e spamming 196Informazioni sul dipendente

contenute in e-mail 196Pubblicità telefonica 196Servezi informatici di postalizzazione 197Servizi di posta elettronica ibrida

epistolare 197Sistemi di interconnessione

telematica tra banche dati 198Utenze e traffico telefonico 198

Diritti dell’interessato 203

Modalità di esercizio 205Dimostrazione dell’identità personale

da parte dell’interessato 205Pluralità di titolari del trattamento 206

Proposizione immediata del ricorso 207

Diritto di accesso 207Profili generali 207Richiesta di accesso ai documenti

amministrativi 210Accesso ai dati e accesso ai documenti 212Registri, elenchi, atti o documenti

conoscibili da chiunque 215• Albi dei tecnici radiologi

• Dati reddituali dei contribuenti

• Elenchi degli elettori dei comitati

degli italiani all’estero

• Elenchi telefonici

• Liste elettorali

• Pubblicazioni di matrimonio

• Registro generale dei trattamenti

Casi particolari 219• Anagrafe delle prestazioni dei

dipendenti pubblici

• Anagrafe e stato civile

• Centrali rischi private

• Certificato di assistenza al parto

• Concorsi pubblici

• Consiglieri comunali e provinciali

• Giornalisti ed editori

• Interviste e dichiarazioni alla stampa

• Istituti di patronato ed assistenza sociale

• Lavoro e previdenza

• Operazioni di finanziamento

• Perizie medico legali


• R.a.i.

• Utenze e traffico telefonico

Blocco del trattamento 226

Indice

I n d i c e VII

Cancellazione, aggiornamento, rettificao integrazione dei dati 227

Opposizione al trattamento 230

Origine dei dati 232

Limiti all’esercizio dei diritti 233Differimento 233Intermediari e mercati creditizi e finanziari 236

Tutela amministrativo -giurisdizionale e sanzioni 239

Ricorso al Garante 241Inammissibilità 241• Dati trattati dal C.e.d. del Dipartimento

di pubblica sicurezza

• Diritti non azionabili con l’istanza

di accesso ai dati

• Inammissibilità del ricorso e instaurazione

di autonomo procedimento

• Incompetenza del Garante

• Risarcimento danni

• Questioni di validità di un contratto

• Legittimazione a ricorrere

• Mancata autenticazione della sottoscrizione

in calce alla procura speciale

• Mancata indicazione del provvedimento

richiesto

• Mancato esperimento dell’istanza

di accesso ai dati

• Omessa allegazione dell’istanza

di accesso ai dati

• Omessa regolarizzazione del ricorso

• Pluralità di titolari del trattamento

• Preventiva adizione dell’A.g.o.

• Preventiva adizione del giudice amministrativo

• Proposizione immediata del ricorso

Non luogo a provvedere 254• Profili generali

• Non luogo a provvedere e instaurazione

di autonomo procedimento

• Tardivo riscontro all’istanza di accesso ai dati

• Tutela di ulteriori diritti avanti l’A.g.o.

Formalità del procedimento 256Accoglimento o rigetto 257• Profili generali

• Mera disponibilità del titolare a fornire i dati

• Riscontro incompleto

Spese del procedimento 260• Accoglimento del ricorso e

compensazione delle spese

• Non luogo a provvedere sul ricorso

e compensazione delle spese

• Non luogo a provvedere sul ricorso

e condanna alle spese

Estinzione del procedimento 262• Rinunzia agli atti

Alternatività della tutela dinanzial Garante 262

Instaurazione di un autonomoprocedimento 263

Segnalazioni e reclami 265

Tavola sinottica 269

Indice

Presentazione

Perché un Massimario

Con la pubblicazione del Massimario il Garante tiene fede ad un impegno pre-so in occasione della Relazione dell’Autorità al Parlamento relativa all’anno 2001. Inquella sede si era evidenziata l’esigenza di affiancare, ai già numerosi strumenti di co-municazione posti a disposizione del pubblico, un’opera sistematica, improntata a prin-cipi tecnico-giuridici rigorosi, che consentisse una agevole conoscenza dell’ interpretazio-ne dei principi e delle regole inerenti alla tutela della privacy da parte del Garante at-traverso l’intensa elaborazione di una fitta serie di pronunce relativa alla risoluzione dinumerosissime controversie.

In cinque anni di attività è stata adottata infatti una mole imponente di prov-vedimenti. In questa prima edizione dell’opera, gli autori (i magistrati, collocati fuoriruolo presso il Garante per la protezione dei dati personali, Cons. Luigi Pecora e Dott.Giuseppe Staglianò), nello svolgimento di un’attività che li ha impegnati per un lungoperiodo e in costante contatto con l’ufficio del Segretario generale, Cons. Giovanni But-tarelli, hanno provveduto a ordinare e massimare i provvedimenti assunti dal Garantea decorrere dal maggio 1997, anno in cui l’Autorità ha iniziato concretamente ad ope-rare, e fino al dicembre 2001.

Si tratta di un patrimonio che viene oggi messo a disposizione del pubblico e sipropone di offrire un utile contributo per l’ applicazione della normativa in materia ditutela della riservatezza, nonché di altri diritti fondamentali che con questa interagi-scono.

Va rilevato che la stratificazione normativa e la evidente trasversalità delladisciplina, che tocca i settori più diversi, ha trovato ordine e chiarificazione nel testounico che entrerà in vigore il 1° gennaio 2004, di recente pubblicazione (d.lg. n.196/2003): un vero e proprio Codice della privacy. E, inoltre, i codici deontologicigià adottati e quelli di prossima pubblicazione, fisseranno ulteriori principi per la va-lutazione della legittimità dei trattamenti dei dati.

P r e s e n t a z i o n e 3

In questo articolato contesto normativo, caratterizzato da fonti di vario livello,un’opera che offre un agevole ed agile accesso alla complessa attività svolta dal Garantecontribuisce concretamente alla realizzazione della effettività dei diritti tutelati, diffon-dendone la consapevolezza, evidenziandone i limiti e chiarendo le modalità di tutela.

Le massime dei provvedimenti sono state redatte secondo una rigorosa tecnicagiuridica, analoga a quella utilizzata nei repertori di giurisprudenza, col proposito dievidenziare con chiarezza i principi di diritto affermati in relazione alle norme appli-cate. Apprezzabilmente, tuttavia, non si è trascurato di precisare, laddove si è reso ne-cessario, la fattispecie giuridica concreta che ha dato luogo alla pronuncia.

Una cura particolare è stata poi dedicata alla classificazione dei provvedimen-ti. Prendendo le mosse da una articolazione semplice, in sette grandi voci, si giunge, at-traverso progressivi approfondimenti, a livelli di definizione più specifici, così, da ren-dere possibile la ricerca anche di provvedimenti resi su argomenti molto particolari. Cisi è poi preoccupati di evidenziare la trasversalità di numerosi provvedimenti che inte-ressano settori diversi. La minuziosa classificazione, che utilizza anche la tecnica del rin-vio a voci connesse o comunque interessate, consente di ottenere, con semplicità, una ri-cerca completa.

Tali caratteristiche rendono questo strumento, oltre che esaustivo nei contenuti,particolarmente duttile ed adattabile anche all’uso da parte di un utente non necessa-riamente specializzato.

Il presente volume contiene una sintesi dei principi affermati dal Garante nelcorso del primo quinquennio di attività, ordinati secondo uno schema di classificazio-ne e completati dei riferimenti necessari per reperire i singoli provvedimenti. Benchénon si tratti di un tradizionale massimario ufficiale nel senso vero e proprio del termi-ne, e sia quindi consigliabile anche la lettura integrale dei provvedimenti per la com-prensione di tutti i dettagli relativi ai singoli casi, il Garante intende promuoverne laconoscenza anche attraverso altre fonti documentali. Per questo, l’attività di massima-zione proseguirà; i risultati saranno consultabili anche mediante il sito web istituzio-nale e i bollettini, e verranno costantemente aggiornati. L’aggiornamento periodico, pe-raltro, oltre a rispondere all’ovvia esigenza di dar conto dell’evoluzione dell’attivitàsvolta dal Garante, trova la sua essenziale giustificazione nella mutevolezza e nell’am-pliamento dei settori di intervento dell’attività dell’Autorità.

La rapida evoluzione delle tecnologie influenza l’intero mondo giuridico e nel-l’arco di pochi anni la stipula di un contratto, la ricerca di un posto di lavoro, la stessa

M a s s i m a r i o 1 9 9 7 / 2 0 0 14

organizzazione della pubblica amministrazione nelle sue molteplici funzioni stanno ra-dicalmente modificandosi.

Tali cambiamenti hanno un immediato riflesso nell’esigenza, sempre più av-vertita, di essere tutelati da indesiderate ingerenze nella vita di tutti i giorni. Né sonoinfrequenti gli usi impropri dei mezzi di telecomunicazione: dalle informazioni com-merciali indesiderate via Internet, il c.d. spamming, ai quei messaggi sui telefoni cellu-lari, scritti ed oggi anche per immagini (sms ed mms), che non si uniformano ai prin-cipi basilari della privacy. È recente la normativa di recepimento della direttiva comu-nitaria sul commercio elettronico, prossima l’emanazione di specifici codici deontologicie già attuale una prima regolamentazione del settore da parte del Garante che è interve-nuto con specifici provvedimenti generali.

È già accesa la discussione in sede internazionale sulle emergenti tematiche con-nesse alla bioetica ed al trattamento dei dati genetici.

Non di minor rilievo è il ruolo dell’Autorità nell’assicurare un equo bilancia-mento tra diritti egualmente meritevoli di tutela, quali quelli delle esigenze di sicurez-za della collettività e delle tematiche connesse alla video sorveglianza.

Il Massimario dunque si propone come un work in progress, uno strumentoche coniuga la necessaria definizione di principi istituzionali della materia con l’esi-genza, fortemente avvertita, di aderenza degli istituti stessi alle realtà normative, eco-nomico-sociali o tecnologicamente innovative che sono in un continuo ciclo evolutivo.

IL GARANTE

P r e s e n t a z i o n e 5

Avvertenza

Le norme citate nel testo sono quelle in vigore all’epoca della pronuncia dei prov-

vedimenti da cui ciascuna massima è stata tratta. Attesa la recente emanazione del

“Codice in materia di protezione dei dati personali” (d.lg. 30 giugno 2003, n. 196),

le cui disposizioni entreranno in vigore il 1° gennaio 2004, al fine di agevolare la let-

tura alla pag. 265 viene riportata la tavola di corrispondenza tra le norme attual-

mente vigenti in materia di privacy e quelle del Codice destinate a sostituirle.

Categoriee requisiti deidati personali

• Dato personale

• Dati giudiziari

• Dati sensibili

• Requisiti dei dati

Dato personale

Nozione

Affidabilità economica

Ai sensi della legge n. 675/1996, costituiscono dati personali del soggetto che chiede unfinanziamento le valutazioni sulla sua affidabilità economica che una società finanziaria pone abase della decisione di rigetto della domanda. Tali motivazioni, quindi, possono essere oggettodell’istanza di accesso prevista dall’art. 13 della legge e del successivo ricorso al Garante pro-posto ai sensi dell’art. 29.

• Garante 25 ottobre 2001, in Bollettino n. 23, pag. 91 (v. anche www.garanteprivacy.it: doc. n. 40305)

Dato anonimo

L’informazione originariamente non associabile ad uno specifico interessato (c.d. dato ano-nimo) può divenire “dato personale” ex art. 1 della legge n. 675/1996 allorché, attraverso unasuccessiva operazione di collegamento ad informazioni di diversa natura, risulti comunque ido-nea a rendere identificabile un soggetto. Ne consegue che, ai sensi dell’art. 27, comma 3 dellalegge n. 675/1996, in mancanza di specifiche norme di legge o di regolamento, non può ritenersiconsentita la comunicazione a privati, da parte di un soggetto pubblico, di dati statistici appa-rentemente anonimi, qualora il campione dei dati da analizzare, benché richiesto per scopi scien-tifici e di ricerca, per genere e consistenza numerica, consenta di risalire ai diretti interessati.

• Garante 23 gennaio 1998, in Bollettino n. 3, pag. 24 (v. anche www.garanteprivacy.it: doc. n. 39568)

Non violano le disposizioni sulla protezione dei dati personali (in particolare, le prescri-zioni impartite dal Garante con il Provvedimento generale del 29 novembre 2000) sistemi edapparecchiature di ripresa dislocate su spiagge – a fini promozionali, pubblicitari o di informa-zione agli utenti – che, in ragione della distanza dal luogo ripreso o di altre caratteristiche tecni-che, non consentano di identificare, anche indirettamente, gli interessati.

• Garante 14 giugno 2001, in Bollettino n. 21, pag. 43 (v. anche www.garanteprivacy.it: doc. n. 41782)

Elaborazioni automatizzate della personalità dell’interessato

L’art. 17 della legge n. 675/1996 non vieta la possibilità di avvalersi anche di elaborazioni

DATO PERSONALE> NOZIONE >AFFIDABILITÀ ECONOMICA

9

M a s s i m a r i o 1 9 9 7 / 2 0 0 1 • C a t e g o r i e e r e q u i s i t i d e i d a t i p e r s o n a l i10

automatizzate volte a definire il profilo o la personalità dell’interessato, bensì impedisce dibasare esclusivamente su tali elaborazioni l’atto o provvedimento da emanare.

• Garante 2 dicembre 1998, in Bollettino n. 6, pag. 97 (v. anche www.garanteprivacy.it: doc. n. 41826)

Informazioni cifrate

Le informazioni personali detenute in modo cifrato o, comunque, in forma non immediata-mente leggibile da parte dell’incaricato del trattamento, purché ricollegabili ad una determinatapersona identificata o identificabile, costituiscono “dati personali” ai sensi dell’art. 1, comma 2,lett. c), della legge n. 675/1996; ne consegue che, a seguito di rituale richiesta d’accesso, il tito-lare del trattamento deve provvedere alla loro “messa in chiaro” al fine di consentirne un’agevolecomprensione da parte dell’interessato.

• Garante 21 novembre 2001, in Bollettino n. 23, pag. 69 (v. anche www.garanteprivacy.it: doc. n. 39773)

Informazioni pubblicate su rivista medica

Le riproduzioni di radiografie dell’interessato, accompagnate dall’indicazione del suonome di battesimo, alquanto inusuale nel contesto italiano, e della sua età, pubblicate su di unarivista medica, debbono essere considerate “dato personale” ai sensi della legge n. 675/1996,trattandosi di informazioni che, tenuto conto delle concrete circostanze del caso, possono con-durre all’identificazione dell’interessato.


Lavoro e previdenza• V.: SOGGETTI PUBBLICI > SETTORI DI ATTIVITÀ > LAVORO E PREVIDENZA (P. 128)

Manifestazioni del pensiero

La legge n. 675/1996, che considera “dato personale” qualunque informazione che con-senta l’identificazione del soggetto interessato, anche se derivante da suoni o immagini (es.: regi-strazioni sonore, filmati, ecc.), riguarda tutte le operazioni di trattamento dei dati, a prescinderedal fatto che le informazioni trattate siano contenute in una banca dati o in un archivio. Ancheun’intervista o un colloquio, quindi, come qualsiasi altra dichiarazione, opinione, o manifesta-zione del pensiero proveniente dall’interessato (uno scritto, un saggio, un articolo, ecc.), costitui-

scono informazioni che riguardano la sua persona e come tali “dati personali”, essendo del tuttoirrilevante la forma in cui sono trattate o gli eventuali supporti che le contengono. Ne consegueche l’interessato ha pieno diritto di ottenere dall’editore di un quotidiano e dal giornalista autoredell’articolo la comunicazione, in una forma chiaramente intelligibile (es.: attraverso riproduzionesu supporto sonoro o cartaceo), della registrazione di una propria intervista rilasciata al giornalee poi divenuta oggetto dell’articolo.


Perizie medico legali

Le perizie medico legali comprendono dati personali del paziente interessato sia nelle partidove vengono riportati dati identificativi, riscontri di visite mediche ed i c.d. esami obiettivi, sianella parte conclusiva che comprende generalmente le valutazioni soggettive del perito fiducia-rio: infatti, trattasi di un complesso di informazioni che, pur nella sua eterogeneità, fornisce uninsieme di elementi informativi, diretti e indiretti, sul soggetto interessato, sulle sue eventualipatologie e sul rapporto fra esse ed altri eventi di vita del medesimo, con la conseguenza che talidati ricadono nell’ambito di applicazione della legge n. 675/1996.

• Garante 13 ottobre 1999, in Bollettino n. 11/12, pag. 61 (v. anche www.garanteprivacy.it: doc. n. 42098)

• Garante 30 dicembre 1999, in Bollettino n. 11/12, pag. 66 (v. anche www.garanteprivacy.it: doc. n. 40847)

Il concetto di “dato personale” comprende ogni notizia, informazione o elemento che abbiaun’efficacia informativa tale da fornire un contributo di conoscenza rispetto ad un soggetto iden-tificato o identificabile; in esso rientrano non solo le informazioni oggettivamente caratterizzate,ma anche i giudizi, le analisi e le valutazioni, come, ad esempio, le perizie redatte da professio-nisti sanitari.



Le perizie medico legali possono contenere dati personali dell’interessato, il cui tratta-mento ricade nell’ambito di applicazione della legge n. 675/1996, sia nelle parti dove vengonoriportati dati identificativi, riscontri di visite mediche e di c.d. esami obiettivi, sia nella parte con-clusiva che comprende spesso le valutazioni del perito relative all’interessato.


Costituiscono dati personali dell’interessato, oggetto dell’istanza di accesso ai sensi del-l’art. 13 della legge n. 675/1996 e del successivo ricorso di cui all’art. 29 della legge, non solo idati di tipo oggettivo, ma anche quelli di tipo valutativo contenuti in una perizia medico legale

DATO PERSONALE> NOZIONE >PERIZIE MEDICO LEGALI

11

redatta dal consulente di fiducia di una società assicurativa, in quanto anch’essi suscettibili difornire elementi informativi, diretti ed indiretti, sull’interessato, le sue eventuali patologie e leloro possibili correlazioni con eventi ulteriori.


• Garante 19 febbraio 2001, in Bollettino n. 17, pag. 16 (v. anche www.garanteprivacy.it: doc. n. 40505)

• Garante 14 marzo 2001, in Bollettino n. 18, pag. 15 (v. anche www.garanteprivacy.it: doc. n. 39564)


• Garante 19 aprile 2001, in Bollettino n. 19, pag. 15 (v. anche www.garanteprivacy.it: doc. n. 39801)

• Garante 3 maggio 2001, in Bollettino n. 20, pag. 20 (v. anche www.garanteprivacy.it: doc. n. 39272)




• Garante 24 settembre 2001, in Bollettino n. 22, pag. 44 (v. anche www.garanteprivacy.it: doc. n. 39889)


Devono ricomprendersi nel concetto di dato personale di cui all’art. 1 della leggen. 675/1996 le informazioni contenute nelle perizie medico legali redatte sulla persona del dan-neggiato su incarico delle compagnie di assicurazione, formulate in forma di valutazioni o giudiziespressi sull’invalidità o sull’inabilità dell’interessato.


Rilevazioni biometriche• V.: PRIVATI ED ENTI PUBBLICI ECONOMICI > SETTORI DI ATTIVITÀ > BIOMETRIA (P. 92)

Servizi di posta elettronica ibrida epistolare• V.: TELECOMUNICAZIONI E RETI TELEMATICHE > CASI PARTICOLARI > SERVIZI DI POSTA IBRIDA EPISTOLARE (P. 193)

Suoni e immagini

La raccolta delle foto segnaletiche da parte degli organi di polizia è finalizzata esclusiva-mente ad esigenze di sicurezza pubblica e di giustizia; ne consegue che, ove la comunicazionedi dette foto ai mezzi d’informazione avvenga al di fuori di tali finalità, deve ritenersi violata lalegge n. 675/1996 che, all’art. 1, qualifica esplicitamente come “dato personale” qualsiasi infor-mazione idonea a consentire l’identificazione di un soggetto.

• Garante 2 luglio 1997, in Bollettino n. 1, pag. 62 (v. anche www.garanteprivacy.it: doc. n. 38985)


La legge n. 675/1996 considera come “dato personale” qualunque informazione che con-senta l’identificazione dei soggetti interessati anche attraverso suoni e immagini, ed anche se invia indiretta, mediante il collegamento con altre informazioni. La legge è applicabile anche aitrattamenti di suoni e immagini effettuati attraverso sistemi di videosorveglianza, a prescinderedalla circostanza che tali informazioni, dopo il loro monitoraggio in un circuito di controllo, sianoeventualmente registrate in un archivio elettronico o comunicate a terzi.


La direttiva comunitaria n. 95/46/CE, la convenzione n. 108/1981 del Consiglio d’Europa ela legge n. 675/1996, che ha attuato la convenzione ed ha in buona parte recepito la direttiva,rendono obbligatoria l’applicazione della disciplina sul trattamento dei dati personali anche aisuoni e alle immagini – quali quelle registrate nei controlli video – che consentano di identificareun soggetto, anche in via indiretta, attraverso il collegamento con altre informazioni.


La direttiva comunitaria n. 95/46/CE e la convenzione n. 108/1981 del Consiglio d’Europarendono obbligatoria l’applicazione della disciplina sul trattamento dei dati personali anche aisuoni e alle immagini (quali quelle registrate nei controlli video), qualora permettano d’identifi-care un soggetto anche in via indiretta. La legge n. 675/1996, che ha attuato detta convenzionee, in buona parte, ha recepito la citata direttiva, considera anch’essa come “dato personale” qua-lunque informazione – anche cifrata o codificata – che permetta l’identificazione, anche in viaindiretta, dei soggetti interessati, ivi compresi i suoni e le immagini. Pertanto, allo stato, stantela carenza nel sistema italiano di una disciplina specifica in materia di videosorveglianza, ai trat-tamenti di immagini effettuati attraverso sistemi di controllo è senz’altro applicabile la legge n.675/1996.


La direttiva comunitaria n. 95/46/CE e la convenzione n. 108/1981 del Consiglio d’Europarendono obbligatoria l’applicazione della disciplina sul trattamento dei dati personali anche aisuoni e alle immagini – quali quelle registrate nei controlli video –, qualora permettano di iden-tificare un soggetto anche in via indiretta, attraverso il collegamento con altre informazioni. Lalegge n. 675/1996, che ha attuato la convenzione e ha in buona parte recepito la direttiva euro-pea, considera anch’essa come “dato personale” qualunque informazione che permetta l’identi-ficazione, anche in via indiretta, dei soggetti interessati, sebbene derivante da suoni o da imma-gini anziché da dati alfanumerici; tale legge è, quindi, senz’altro applicabile anche ai trattamentidi immagini effettuati attraverso i sistemi di videosorveglianza, a prescindere dalla circostanzache le informazioni così ricavate siano eventualmente registrate in un archivio elettronico ocomunicate a terzi, dopo il loro temporaneo monitoraggio in un circuito di controllo.


DATO PERSONALE> NOZIONE >SUONI ED IMMAGINI

13

La legge n. 675/1996 definisce “dato personale” qualunque informazione relativa a per-sone identificate o identificabili, anche indirettamente, mediante riferimento a qualsiasi altrainformazione. Ne consegue che debbono essere considerati dati di carattere personale anche leregistrazioni effettuate mediante l’uso di telecamere che, per l’ampiezza dell’angolo visuale, laqualità degli strumenti, o altre caratteristiche della ripresa, pur non rendendo direttamente iden-tificabili in maniera chiara ed univoca le persone inquadrate, ne permettano l’identificazioneattraverso il collegamento con altre fonti conoscitive, quali foto segnaletiche, identikit o archividi polizia contenenti immagini.


Le registrazioni effettuate mediante l’uso di telecamere non contengono sempre e neces-sariamente dati di carattere personale, in quanto la distanza, l’ampiezza dell’angolo visuale e laqualità degli strumenti possono non rendere identificabili le persone inquadrate; comunque, ciònon esclude l’applicazione della normativa sulla tutela della riservatezza, in quanto l’art. 1 dellalegge n. 675/1996 definisce “dato personale” qualunque informazione relativa a persone identi-ficate o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione(ad esempio, attraverso il collegamento con altre fonti conoscitive quali foto segnaletiche, iden-tikit o archivi di polizia contenenti immagini).

• Garante 17 febbraio 2000, in Bollettino n. 11/12, pag. 73 (v. anche www.garanteprivacy.it: doc. n. 40041)

• Garante 7 marzo 2000, in Bollettino n. 11/12, pag. 76 (v. anche www.garanteprivacy.it: doc. n. 30987)

La legge n. 675/1996 è applicabile anche ai trattamenti di immagini effettuati attraversosistemi di videosorveglianza, a prescindere dalla circostanza che le informazioni siano registratein un archivio elettronico o comunicate a terzi dopo il temporaneo monitoraggio in un circuito dicontrollo.



Le regole della disciplina sul trattamento dei dati personali poste dalla legge n. 675/1996sono applicabili anche alle immagini ed ai suoni, qualora le apparecchiature che li rilevano per-mettano di identificare, in modo diretto o indiretto, i soggetti interessati.

• Garante 29 novembre 2000, in Bollettino n. 14/15, pag. 28 (v. anche www.garanteprivacy.it: doc. n. 31019)

Anche le fotografie, ove reso possibile dalla loro specificità, possono contenere dati per-sonali ai sensi dell’art. 1 della legge n. 675/1996 e possono essere quindi oggetto delle tutelepreviste dall’art. 13 della legge.



L’interessato che, nell’esercizio dei diritti di cui all’art. 13 della legge n. 675/1996, richiedaal titolare del trattamento (nella specie una società assicurativa) il rilascio di copia delle fotogra-fie scattate a seguito di un sinistro e riproducenti lo stato dei luoghi, è gravato dall’onere di dimo-strare che nella documentazione fotografica siano riportate informazioni che possano essere con-siderate alla stregua di suoi dati personali ai sensi dell’art. 1, comma 2, lett. c) della legge.


Le immagini di una persona acquisite con un impianto di videosorveglianza costituisconodati personali ai sensi dell’art. 1, comma 2, lett. c), della legge n.. 675/1996, con conseguentepossibilità per l’interessato di proporre l’istanza di cui all’art. 13 della legge nei confronti del tito-lare o del responsabile del trattamento.


Utenze e traffico telefonico• V.: TELECOMUNICAZIONI E RETI TELEMATICHE > CASI PARTICOLARI > UTENZE E TRAFFICO TELEFO-

NICO (P. 194)

Visite mediche specialistiche

Anche le informazioni di carattere personale relative ad una minore e i disegni da questaredatti, raccolti da un medico neuropsichiatra negli appunti presi nel corso di una visita specia-listica, costituiscono oggetto del diritto di accesso da parte dell’interessato (nella specie, ungenitore della minore) azionabile ai sensi degli artt. 13 e 29 della legge n. 675/1996.


Dati giudiziariLe informazioni relative ai procedimenti amministrativi, disciplinari e giurisdizionali instau-

rati nei confronti di un interessato non rientrano nell’ambito di applicazione dell’art. 24 dellalegge n. 675/1996, che concerne esclusivamente i dati idonei a rivelare taluni provvedimenti giu-diziari di carattere penale (e cioè quelli previsti dall’art. 686, commi 1, lettere a) e d), 2 e 3 c.p.p.).


DATO PERSONALE> NOZIONE >UTENZE E TRAFFICO TELEFONICO

15

Ai fini del trattamento dei dati sensibili e di carattere giudiziario, i soggetti pubblici devonoprocedere alla notificazione una tantum in forma semplificata ex art. 7, comma 5 bis della leggen. 675/1996, ad eccezione dei trattamenti finalizzati all’adempimento di specifici obblighi con-tabili, retributivi, previdenziali, assistenziali e fiscali, per i quali, invece, vale l’esonero stabilitodal comma 5 ter, lett. e) dello stesso articolo. Ove dovuta, la notificazione dev’essere redattasecondo il modello approvato dal Garante.


La disciplina introdotta dal d.lg. n. 135/1999 rende ammissibile il trattamento dei dati dicarattere giudiziario da parte delle amministrazioni pubbliche nell’ambito del rapporto di lavoroe, in particolare, per svolgere attività dirette all’accertamento della responsabilità disciplinaredei dipendenti (art. 9, comma 2, lett. g).


L’art. 24 della legge n. 675/1996 prevede particolari garanzie per il trattamento dei dati dicarattere giudiziario, in riferimento, però, non a tutti gli atti di natura giudiziaria, ma ai soli prov-vedimenti puntualmente elencati nell’art. 686, commi 1, lett. a) e d), 2 e 3, c.p.p.; la sentenzaapplicativa di una pena detentiva su richiesta delle parti non rientra tra tali provvedimenti.


L’annotazione inserita dalla Direzione generale per il personale militare, sul documentomatricolare di un ufficiale della Marina militare, della decisione adottata nei suoi confronti dalgiudice per l’udienza preliminare, come pure la trasmissione del documento all’ufficio presso ilquale il militare presta servizio, al fine dell’espletamento di una pratica stipendiale, non com-portano violazione dell’art. 24 della legge n. 675/1996. Il d.lg. n. 135/1999, all’art. 9, rende infattilecito il trattamento dei dati personali relativi ai provvedimenti giudiziari menzionati nell’art. 24della legge, ove effettuato per finalità di gestione del rapporto di lavoro.


Dati sensibili

Profili generali

Ai fini del trattamento dei dati sensibili, le pubbliche amministrazioni (nel caso specifico icomuni), a differenza di quanto previsto per i soggetti privati, non sono tenute a richiedere né ilconsenso scritto dei singoli interessati né l’autorizzazione preventiva del Garante, essendo suf-


ficiente, ai sensi dell’art. 22, comma 3 della legge n. 675/1996, l’esistenza di un’espressa dis-posizione di legge che, nell’autorizzare il trattamento, specifichi i dati che possono essere trat-tati, le operazioni eseguibili e le rilevanti finalità d’interesse pubblico perseguite.


Il quadro normativo delineato dalla legge n. 675/1996 in tema di diffusione di dati sensibili nel-l’esercizio dell’attività di giornalista ha lasciato inalterata l’esigenza del rispetto, soprattutto inordine all’essenzialità dell’informazione rispetto a fatti di interesse pubblico, di alcuni limiti posti aldiritto di cronaca a tutela della riservatezza, suscettibili d’integrazione da parte del codice deonto-logico di settore, previsto dall’art. 25 della legge.


I soggetti pubblici, a differenza dei soggetti privati e degli enti pubblici economici, non devonoacquisire il consenso scritto degli interessati per poter trattare i dati sensibili, in quanto per essi legaranzie in favore degli interessati debbono essere basate non sul consenso ma su una puntuale dis-posizione di legge che specifichi i tipi dei dati che possono essere trattati, le operazioni eseguibili ele rilevanti finalità di interesse pubblico perseguite.


I soggetti pubblici, a differenza dei privati e degli enti pubblici economici, non devono richie-dere il consenso degli interessati e l’autorizzazione del Garante per poter trattare dati sensibili ma,ai sensi dell’art. 22, comma 3 della legge n. 675/1996, come modificato dal d.lg. n. 135/1999, devonoverificare che tali trattamenti siano conformi a puntuali disposizioni di legge che specifichino i tipidei dati che possono essere trattati, le operazioni eseguibili e le rilevanti finalità di interesse pub-blico perseguite (principio espresso in risposta a un quesito posto da una pubblica amministrazionerelativo al trattamento dei dati sensibili dei propri dipendenti per la gestione del rapporto di lavoro).


Ai sensi dell’art. 27 della legge n. 675/1996 nonché, per quanto riguarda i dati sensibili, del-l’art. 22 della legge e della disciplina introdotta dal d.lg. n. 135/1999, è legittimo il trattamento deidati personali effettuato dal Consiglio della Provincia autonoma di Trento in relazione alla nominao designazione di componenti di altri organismi, di competenza diretta dello stesso Consiglio omediante indicazione di singoli consiglieri o di gruppi consiliari, fermo restando l’obbligo delrispetto dei principi posti dalla legge n. 675/1996, in particolare in tema di informativa all’inte-ressato (art. 10), di misure di sicurezza (art. 15), nonché degli altri requisiti di legittimità dei dati(art. 9).


DATI SENSIBILI> PROFILI GENERALI > 17

Il d.lg. n. 135/1999 ha considerato le finalità di elargizione di contributi previsti dalla nor-mativa in materia di usura e antiracket fra quelle di rilevante interesse pubblico, per le quali èconsentito il trattamento di dati sensibili da parte di soggetti pubblici.


In base alle disposizioni introdotte dal d.lg. n. 135/1999, i soggetti pubblici possono com-piere sui dati sensibili soltanto le operazioni di trattamento – incluse la raccolta e la comunica-zione – strettamente necessarie per perseguire i singoli scopi, verificando anche periodica-mente la pertinenza e non eccedenza delle informazioni utilizzate, nonché la loro necessitàrispetto alle finalità perseguite nei singoli casi (artt. 3 e 4); inoltre, i dati idonei a rivelare lostato di salute o la vita sessuale devono essere conservati separatamente da ogni altro datopersonale trattato per finalità che non richiedono il loro utilizzo e, ove contenuti in banche dati,elenchi o registri non cartacei, al pari degli altri dati sensibili debbono essere trattati con tec-niche di cifratura o mediante l’utilizzazione di codici identificativi o di altri sistemi che, tenutoconto del numero e della natura dei dati trattati, permettono di identificare gli interessati soloin caso di necessità.


A seguito dell’entrata in vigore del d.lg. n. 135/1999, le amministrazioni pubbliche, nel trat-tare i dati sensibili, sono tenute non solo a verificare il costante rispetto dei diritti, delle libertàfondamentali e della dignità degli interessati, ma anche a provvedere affinché i dati idonei a rive-lare lo stato d’invalidità siano trattati solo quando non sia possibile effettuare altrimenti i singoliadempimenti o passaggi procedurali volti al riconoscimento dei benefici. Nello svolgimento deicompiti in materia di invalidità civile, anche per ciò che riguarda verifiche e controlli, le ammini-strazioni non incontrano alcun ostacolo nella normativa sui dati personali: esse, però, sonotenute a modulare con particolare attenzione la raccolta, la custodia e i flussi di dati, indivi-duando anche nei riguardi di quali fasi e di quali documenti o soggetti sia realmente essenzialemenzionare in tutto o in parte alcune informazioni sullo stato di salute.


Per il trattamento dei dati aventi natura sensibile, i soggetti pubblici non devono acquisireil consenso degli interessati o rispettare l’autorizzazione del Garante, ma debbono piuttostoattenersi al disposto dell’art. 22, commi 3 e 3 bis, della legge n. 675/1996, come modificato dald.lg. n. 135/1999, che consente il trattamento di tali dati solo se autorizzato da espresse dispo-sizioni normative che specifichino i dati che possono essere trattati, le operazioni eseguibili e lerilevanti finalità di interesse pubblico perseguite.



Nelle autorizzazioni generali il Garante ha disposto di non prendere in considerazionerichieste di autorizzazione al trattamento di dati sensibili da effettuarsi in difformità dalle pre-scrizioni contenute nelle medesime autorizzazioni generali, salvo che il loro accoglimento siagiustificato da circostanze del tutto particolari o da situazioni eccezionali non considerate nelleautorizzazioni stesse (nella specie, il Garante ha accolto la richiesta di un’azienda limitatamenteall’autorizzazione a trattare, a precise condizioni, i dati sensibili, diversi da quelli idonei rivelarelo stato di salute e la vita sessuale, ai soli fini della gestione degli ordini dei clienti).


Dati idonei a rivelare l’adesione a sindacati

Indirizzari per la spedizione di periodici tramite abbonamentopostale

In relazione alle modalità di tenuta, da parte di un’associazione professionale a carattereculturale e sindacale, di un “indirizzario” per la trasmissione di un periodico mensile medianteabbonamento postale, occorre distinguere a seconda che detto periodico venga spedito soloagli iscritti all’associazione ovvero agli abbonati anche a prescindere dalla loro eventuale iscri-zione. Infatti, mentre nel primo caso i dati personali relativi agli abbonati, in quanto idonei arilevare l’adesione ad un’associazione sindacale, hanno natura “sensibile” e, quindi, possonoessere trattati soltanto dietro acquisizione del consenso scritto dell’interessato e previo rila-scio di apposita autorizzazione da parte del Garante, nel secondo caso tali dati sono soltanto“comuni” e, pertanto, salva l’ipotesi che si tratti di dati conoscibili da chiunque, possonoessere trattati solo a seguito di adeguata informativa e di rilascio del consenso orale da partedell’interessato, purché documentato per iscritto (anche su modulo predisposto dal titolare deltrattamento).


Dati idonei a rivelare l’appartenenza etnica

L’art. 7 del d.lg. n. 135/1999 disciplina espressamente la condizione dello straniero, consi-derando di rilevante interesse pubblico le attività dirette all’applicazione della normativa inmateria di cittadinanza, di immigrazione, di asilo, di condizione dello straniero e di profugo esullo stato di rifugiato. Pertanto, per quanto attiene alla possibilità per gli organismi socio-assi-stenziali di comunicare dati dei minori stranieri ad organi dei Paesi di provenienza ai fini del rim-patrio dei minori stessi, è applicabile la disciplina prevista dall’art. 28, comma 4, lett. c), dellalegge n. 675/1996.


DATI SENSIBILI> DATI IDONEI A RIVELARE L’ADESIONE A SINDACATI >INDIRIZZARI PER LA SPEDIZIONE DI PERIODICI TRAMITE ABBONAMENTO POSTALE

19

Le disposizioni normative riguardanti le informazioni idonee a rivelare l’appartenenzaetnica dei cittadini residenti nel territorio della provincia di Bolzano – c.d. “proporzionaleetnica” – debbono rispettare, anche in occasione del censimento generale della popolazione, iprincipi stabiliti dalla legge n. 675/1996 in materia di dati sensibili (art. 22), nonché quelli postidal d.lg. n. 135/1999 in tema di trattamento di dati sensibili da parte di soggetti pubblici e deld.P.R. n. 318/1999 emesso, in attuazione dell’art. 15, comma 2, della legge n. 675/1996, inmateria di misure minime di sicurezza.


Il Garante, richiesto dalla Presidenza del Consiglio dei Ministri - Dipartimento per gli Affariregionali – di esprimere un parere sullo schema relativo alle “Norme di attuazione dello StatutoSpeciale per la Regione Trentino-Alto Adige in materia di adeguamento di alcune norme in vigoreai principi di tutela dei dati personali sensibili relativi all’origine etnica”, ha evidenziato che taleobiettivo non può prescindere da un ripensamento più generale dell’attuale disciplina in mate-ria di appartenenza e di aggregazione linguistica, la quale, pur essendo diretta a tutelare alcuneminoranze (c.d. “proporzionale etnica”), obbliga però un intero arco di popolazione a formularedichiarazioni dalle quali scaturiscono dati di natura sensibile. Pertanto, nel richiamare i principigià fissati in materia (cfr. provv. Garante 6 febbraio 2001, in Bollettino n. 17, sul trattamento deidati personali relativi alle dichiarazioni di appartenenza o di aggregazione ad uno dei tre gruppilinguistici nella provincia di Bolzano), il Garante, pur esprimendo – entro certi limiti – parere favo-revole sullo schema normativo predisposto, con separato provvedimento ha svolto ulteriori con-siderazioni in relazione ai profili di pertinenza e non eccedenza dei dati raccolti ed ai possibilieffetti derivanti da un uso non sufficientemente regolato di dette dichiarazioni, ribadendo l’esi-stenza di obblighi sostanziali a carico dei soggetti pubblici scaturenti dalle cogenti prescrizionicontenute nella legge n. 675/1996. Di conseguenza, il Garante, ai sensi dell’art. 31, comma 1,lett. m), ha segnalato al Governo la necessità di adeguare il quadro normativo di riferimento aiprincipi in questione, formulando anche alcuni suggerimenti in relazione al sistema di raccoltaed utilizzo dei dati.

• Garante 28 settembre 2001, in Bollettino n. 22, pag. 16/19 (v. anche www.garanteprivacy.it: doc. n. 41870)

Dati idonei a rivelare convinzioni religiose

Registri dei battezzati

La persona che si professa atea può ottenere, anche attraverso il ricorso al Garante, di ren-dere palese tale sua convinzione attraverso la rettificazione o aggiornamento dei dati personaliconservati nei registri parrocchiali dei battezzati, realizzati per mezzo di un’annotazione a mar-gine del dato da rettificare o con la allegazione all’atto stesso della richiesta di rettifica.



Il registro di battesimo che riporta i dati di una persona che si professa atea non contienedati trattati illecitamente, né notizie inesatte o incomplete, in quanto documenta correttamenteun evento – il battesimo – realmente avvenuto. La registrazione del battesimo, inoltre, non costi-tuisce solo un dato relativo all’aderente, ma rappresenta un aspetto della vita – ed anche un dato– dell’organismo che lo detiene, il quale non può cancellare la traccia di un avvenimento che sto-ricamente l’ha riguardato, se non a costo di modificare la stessa rappresentazione della propriarealtà. Ne consegue che è infondata, e non può pertanto essere accolta, la richiesta dell’interes-sato, contenuta nel ricorso proposto al Garante ai sensi dell’art. 29 della legge n. 675/1996, divedere cancellati il proprio nominativo e la data del battesimo ricevuto dai registri parrocchialidei battezzati.


Dati idonei a rivelare opinioni politiche

Elenchi di sottoscrittori di liste elettorali

Secondo le disposizioni introdotte dal d.lg. n. 135/1999 che, in materia di trattamento didati sensibili da parte di soggetti pubblici, ha integrato le disposizioni poste dall’art. 22 dellalegge n. 675/1996, nell’ambito delle attività in materia di elettorato e altri diritti politici sonoconsentiti solo i trattamenti finalizzati all’esecuzione di specifici compiti previsti da leggi oregolamenti (art. 8, comma 1 e 3); tra tali compiti, può essere ricompresa la comunicazione asoggetti determinati dei dati e delle informazioni in possesso delle amministrazioni pubblicheai sensi della normativa sul diritto di accesso, nei limiti e alle condizioni ivi previsti (art. 22 dellalegge n. 241/1990). I trattamenti in questione devono, peraltro, essere effettuati nel rispetto deiprincipi fissati dalla legge n. 675/1996 e dallo stesso d.lg. n. 135/1999 e, in particolare, di quellidi pertinenza ed essenzialità dei dati trattati e del rispetto della finalità perseguita (art. 9 dellalegge n. 675/1996 e artt. 1 - 4 del d.lg n. 135/1999); in tal senso, appare legittimo il rilascio del-l’elenco dei sottoscrittori di una lista elettorale esclusivamente a soggetti che intendano ser-virsene per l’esercizio dei diritti politici (es.: nel caso che la richiesta pervenga da candidatiappartenenti a liste concorrenti).


Partiti politici

L’iscrizione ad un partito politico costituisce di per sé un dato sensibile, con conseguentenecessità, per il titolare del trattamento, di rendere un’idonea informativa ai sensi dell’art. 10della legge n. 675/1996 e, per l’interessato, di prestare espresso consenso scritto al trattamentodei dati personali.


DATI SENSIBILI> DATI IDONEI A RIVELARE OPINIONI POLITICHE >ELENCHI DI SOTTOSCRITTORI DI LISTE ELETTORALI

21

Affinché il trattamento dei dati sensibili dei dipendenti e degli associati possa ritenersilecito, è sufficiente che un partito politico osservi – anche a livello di articolazioni territoriali –le prescrizioni contenute nelle autorizzazioni generali emanate dal Garante e pubblicate sullaGazzetta Ufficiale; resta ferma, in ogni caso, la necessità che gli iscritti al partito prestino,anche sulla base di una formula concisa e collegata alle finalità statutarie, un consenso scrittoal trattamento, che, salva diversa scelta degli interessati, deve ritenersi esteso anche alla pub-blicazione del nominativo negli elenchi dei sostenitori o dei dipendenti, divulgabili anche viaInternet.


I partiti politici possono trattare dati personali relativi agli iscritti (che hanno natura sensi-bile ai sensi dell’art. 22 della legge n. 675/1996) solo in presenza del consenso scritto degli inte-ressati e dell’autorizzazione del Garante (rilasciata attraverso l’apposita autorizzazione gene-rale). Il consenso deve essere manifestato anche dai sostenitori o dai simpatizzanti non iscritti alpartito.


Tessera elettorale

La tessera elettorale di carattere permanente, con l’indicazione della partecipazione alvoto o, in caso di mancato esercizio del voto stesso, priva di tale indicazione, rappresenta unostrumento idoneo a rivelare il comportamento elettorale del soggetto che, in alcuni casi, puòessere indicativo anche dell’orientamento politico dell’interessato, come nel caso dei referen-dum, che sono spesso proposti da un particolare schieramento politico, e in relazione ai qualila partecipazione alla consultazione o, viceversa, l’astensione dal voto possono essere indica-tive della condivisione o meno dello specifico progetto politico. Si rende, quindi, necessarioquantomeno prevedere soluzioni tecniche che consentano di separare nettamente i dati iden-tificativi dell’elettore dalle certificazioni dell’avvenuta partecipazione al voto, anche attraversola predisposizione di due distinti documenti associabili, ove necessario, tramite un codiceidentificativo.


Il modello di tessera elettorale introdotto per la prima volta per le elezioni politiche delmaggio 2001, in quanto rende nota una sequenza di dati relativi a tutte le consultazioni eletto-rali precedenti, espone il cittadino alla possibilità che la scelta di partecipare e meno alla con-sultazione sia facilmente conoscibile anche al di fuori della sezione elettorale (come, ad esem-pio, in caso di smarrimento del documento stesso). Inoltre, attraverso la tessera è possibilededurre l’orientamento politico dell’elettore, violando in tal modo la segretezza del voto tutelatadalla Costituzione, a causa del particolare significato che in talune occasioni – ad esempio, refe-


rendum, votazioni di ballottaggio, invito al voto o all’astensione da parte di determinate forzepolitiche – può assumere anche il solo dato dell’avvenuta partecipazione al voto.


Dati idonei a rivelare lo stato di salute• V.: SOGGETTI PUBBLICI > SETTORI DI ATTIVITÀ > SANITÀ (P. 140)

Requisiti dei dati

Pertinenza, completezza e non eccedenza



Con riferimento alla pubblicazione su un quotidiano delle trascrizioni di conversazioni tele-foniche registrate nel corso di un’inchiesta giudiziaria, incombe sul giornalista il dovere di acqui-sire lecitamente i documenti relativi alle trascrizioni delle intercettazioni (art. 9, comma 1, lett. a)della legge n. 675/1996), e di utilizzarli tenendo conto del principio della pertinenza rispetto allefinalità perseguite (lett. d), comma 1, art. cit.), oltre che di rispettare il parametro dell’essenzia-lità dell’informazione (art. 20, comma 1, lett. d)). Pur potendo riferire, anche senza il consensodell’interessato, notizie e circostanze di natura privata, il giornalista deve quindi rispettare ilimiti imposti dalla tutela della riservatezza, dell’identità personale e della dignità della persona,mantenendo il riserbo su quelle parti delle conversazioni che attengono a comportamenti stret-tamente personali non connessi al contesto giudiziario.


Nei “test attitudinali” sottoposti da un Comune ai propri dipendenti, al fine della miglioreutilizzazione del personale, non possono essere contenuti quesiti attraverso i quali i lavoratoriesprimano in forma non anonima giudizi di valore riferiti alle complessive finalità dell’entecomunale, nonché alle linee concrete dell’azione politico-amministrativa dell’ente e dei suoidirigenti. I dati così acquisiti, infatti, risultano in contrasto sia con il principio di pertinenza

DATI SENSIBILI> DATI IDONEI A RIVELARE LO STATO DI SALUTE > 23

rispetto alle finalità della raccolta sancito dall’art. 9, comma 1, lett. c) della legge n. 675/1996,attesa la loro assai dubbia rilevanza ai fini della valutazione dell’attitudine professionale deidipendenti, sia con l’art. 27, comma 1 della stessa legge, il quale stabilisce che i soggetti pub-blici possono procedere al trattamento dei dati personali solo per lo svolgimento delle finalitàistituzionali, nei limiti stabiliti dalla legge e dei regolamenti, in quanto l’art. 8 della leggen. 300/1970 fa divieto al datore di lavoro di svolgere indagini sulle opinioni politico-sindacalidei lavoratori.


La legge n. 675/1996 non ha abrogato il regime di pubblicità delle deliberazioni comunalie provinciali contenuto nella legge n. 142/1990 e, per quanto concerne la regione Trentino-AltoAdige, nella legge regionale n. 1/1993: tali normative permettono la conoscibilità pressocchéindifferenziata di tali delibere attraverso la loro pubblicazione nei rispettivi albi pretori. In ognicaso, rimangono fermi il divieto di diffusione dei dati idonei a rivelare lo stato di salute (art. 23,comma 4 della legge n. 675/1996), nonché i requisiti di pertinenza e non eccedenza dei dati(art. 9), che obbligano le amministrazioni ad operare una selezione delle informazioni – speciesensibili – il cui inserimento sia necessario per la realizzazione delle finalità cui le singole deli-bere sono preordinate.


Ai sensi dell’art. 10 della legge n. 121/1981, come riformulato dall’art. 42 della leggen. 675/1996, gli interessati possono esercitare direttamente il diritto di accesso ai dati che liriguardano detenuti dal Centro elaborazione dati del Dipartimento di pubblica sicurezza, ancheal fine di chiedere la correzione o la cancellazione dei dati che risultassero inesatti o incompleti,oppure trattati in violazione di legge o di regolamento.


La normativa sugli appalti pubblici (d.lg. n. 157/1985 per gli appalti di beni e servizi; d.lg.n. 358/1992 per gli appalti di forniture e lavori) attribuisce alle amministrazioni la facoltà dirichiedere alle imprese concorrenti di dimostrare le proprie capacità tecniche mediante la pro-duzione di un elenco dei principali servizi e forniture effettuati negli ultimi tre anni d’attività,con l’indicazione degli importi, delle date e dei destinatari delle prestazioni. Analogamente, leimprese partecipanti possono comunicare tali dati alle amministrazioni richiedenti, nel rispettodella vigente normativa in materia di segreto aziendale ed industriale, laddove vengano in con-siderazione dati relativi allo svolgimento di attività economiche (artt. 12, comma 1, lett. f ) edart. 20, comma 1, lett. e) della legge n. 675/1996); ne consegue che le imprese concorrenti, aifini in questione, non sono tenute ad acquisire il consenso degli interessati (cui dev’essere for-nita soltanto l’informativa di cui all’art. 10), mentre le amministrazioni appaltanti sono tenute arispettare le disposizioni che, anche al di fuori della legge n. 675/1996 e della disciplina sugli


appalti, tutelano i diritti delle società offerenti e che prescrivono, tra l’altro, non solo di chie-dere le informazioni non eccedenti l’oggetto dell’appalto (ad esempio: necessità effettiva diacquisire copie di fatture in luogo di altra documentazione equipollente), ma anche di tenere indebita considerazione “gli interessi legittimi del concorrente relativi alla protezione di interessitecnici e commerciali” (art. 14, comma 3, d.lg. n. 358/1992; art. 14, comma 3, d.lg. n. 157/1995).


La disciplina delle modalità di utilizzo delle banche dati pubbliche da parte delle varieamministrazioni deve essere contenuta in norme di legge o di regolamento, in conformità allecondizioni previste dall’art. 27 della legge n. 675/1996, al fine di realizzare un trasparenteflusso di dati ispirato ad omogenei criteri che garantiscano la protezione dei dati medesimi nelrispetto dei principi di pertinenza, completezza e non eccedenza sanciti dall’art. 9, lett. d)della legge.


Ai fini del contenimento della criminalità in particolari ambiti cittadini, possono essere con-cluse, tra forze di polizia ed aziende comunali di trasporto pubblico, intese dirette all’introdu-zione di sistemi di videosorveglianza attraverso l’installazione, in via sperimentale, di teleca-mere su alcune linee di autobus e tram e presso le fermate. A tal fine, prima dell’attivazione deisistemi, la localizzazione delle telecamere e le modalità di ripresa andranno fissate in aderenzaalle finalità che ne hanno suggerito l’installazione, tenendo conto dei principi fissati dall’art. 9della legge n. 675/1996, con particolare riguardo a quelli di pertinenza e di non eccedenza deidati raccolti rispetto agli scopi perseguiti; inoltre, l’attività di videocontrollo, oggetto di preven-tiva informativa agli utenti ex art. 10 della legge n. 675/1996, dovrà permettere di cogliere inmodo solo panoramico l’interno delle vetture o l’ambito delle singole fermate, in maniera da evi-tare non solo riprese talmente particolareggiate da risultare intrusive della riservatezza o da con-sentire la rilevazione di particolari non rilevanti, ma anche da impedire la violazione delle previ-sioni di cui all’art. 4 della legge n. 300/1970 (in riferimento alle postazioni di guida degli autisti).Infine, le immagini acquisite, accessibili in chiaro da una “stazione di lettura” sulla scorta di unsistema di “doppia chiave” congiunta (una in possesso del personale dell’azienda all’uopo pre-posto, l’altra in possesso dell’autorità di polizia), dovranno essere custodite – unitamente aisistemi di lettura – con adeguati sistemi di sicurezza, e potranno essere visionate soltanto inoccasione della commissione di atti criminosi ritualmente denunziati.


I principi di pertinenza e non eccedenza nel trattamento dei dati personali sanciti dall’art. 9della legge n. 675/1996 obbligano anche gli organi di polizia e l’autorità giudiziaria a svolgere l’at-tività di raccolta, utilizzazione e divulgazione dei dati con modalità tali da non recare agli interes-sati un pregiudizio ingiustificato rispetto alle finalità perseguite. Non appare rispettosa di detti

REQUISITI DEI DATI > PERTINENZA, COMPLETEZZA E NON ECCEDENZA > 25

principi la divulgazione, da parte della polizia giudiziaria, attraverso organi di informazione, dialcuni dati personali (fotografie e generalità) di una prostituta, che sia stato accertato essereaffetta dal virus dell’H.I.V., al fine di informare le persone che avevano avuto con la stessa rapportia rischio, potendo la finalità informativa essere raggiunta, tenuto conto anche delle specifichegaranzie di riservatezza approntate per i soggetti sieropositivi dalla lege n. 135/1990, attraversoprocedure più selettive, basate, ad esempio, sulla notizia della sieropositività di una persona chepratichi abitualmente la prostituzione in una determinata zona, accompagnata dall’istituzione diun servizio di informazione ed assistenza (es.: un numero verde) cui gli interessati potessero rivol-gersi.


Non risulta conforme al principio di pertinenza nel trattamento dei dati in relazione allefinalità perseguite, posto dall’art. 9, comma 1, lett. a) e d) della legge n. 675/1996, la disposi-zione dell’art. 381 del d.P.R. n. 495/1992 (reg. att. del nuovo codice della strada, introdotto cond.lg. n. 285/1992) che prevede la diffusione, mediante esposizione nei relativi contrassegni, deidati personali (generalità, indirizzo o, alternativamente, fotocopia di un documento di identità)dei titolari di permessi di accesso a zone a traffico limitato, attribuiti a determinate categorie disoggetti, o di autorizzazione alla sosta, concesse in favore dei portatori di handicap motorio. Adassicurare l’esercizio della funzione amministrativa di controllo sulla liceità e sul corretto utilizzodi detti permessi è, infatti, sufficiente l’esposizione sui contrassegni, nel primo caso, del numerodi targa e di quello del permesso, nel secondo, dell’indicazione del comune competente e delnumero di autorizzazione, mentre le generalità del titolare, al fine della immediata conoscibilitàda parte di un pubblico ufficiale che le richieda, possono essere riportate sul retro del contras-segno, celate alla immediata visibilità dall’esterno del veicolo.


Secondo le disposizioni introdotte dal d.lg. n. 135/1999 che, in materia di trattamento didati sensibili da parte di soggetti pubblici, ha integrato le disposizioni poste dall’art. 22 dellalegge n. 675/1996, nell’ambito delle attività in materia di elettorato e altri diritti politici sonoconsentiti solo i trattamenti finalizzati all’esecuzione di specifici compiti previsti da leggi oregolamenti (art. 8, comma 1 e 3); tra tali compiti, può essere ricompresa la comunicazione asoggetti determinati dei dati e delle informazioni in possesso delle amministrazioni pubblicheai sensi della normativa sul diritto di accesso, nei limiti e alle condizioni ivi previsti (art. 22 dellalegge n. 241/1990). I trattamenti in questione devono, peraltro, essere effettuati nel rispetto deiprincipi fissati dalla legge n. 675/1996 e dallo stesso d.lg. n. 135/1999 e, in particolare, di quellidi pertinenza ed essenzialità dei dati trattati e del rispetto della finalità perseguita (art. 9 dellalegge n. 675/1996 e artt. 1 - 4 del d.lg n. 135/1999); in tal senso, appare legittimo il rilascio del-l’elenco dei sottoscrittori di una lista elettorale esclusivamente a soggetti che intendano ser-virsene per l’esercizio dei diritti politici (es.: nel caso che la richiesta pervenga da candidatiappartenenti a liste concorrenti).



Il rilascio di copie di atti o la consultazione dei registri relativi ai procedimenti giudiziaririentrano fra le attività svolte dagli uffici giudiziari “per ragioni di giustizia”, che sono soggettesolo ad alcune disposizioni della legge n. 675/1996 (art. 4, comma 1, lett. d) e comma 2). Agliuffici giudiziari, nella comunicazione di dati personali ad altri soggetti pubblici, non si applicano,quindi, le particolari cautele previste dal comma 2 dell’art. 27 della legge, ferma restando l’ap-plicabilità, anche ai trattamenti svolti da questi uffici, del principio di pertinenza dei dati previ-sto dall’art. 9, lett. b) e d), in base al quale è consentita la comunicazione dei soli dati non ecce-denti la finalità istituzionale perseguita.


La legge n. 675/1996 non ha modificato la normativa relativa al condominio negli edifici rin-venibile nel codice civile e non preclude, quindi, l’applicazione delle norme in materia di costitu-zione dell’assemblea e di validità delle deliberazioni (artt. 1136 e ss. del c.c.). Poiché da dettenorme discende la necessità dell’esatta individuazione dei nominativi dei soggetti legittimati adintervenire all’assemblea, in quanto essa rappresenta elemento indispensabile ai fini della rego-lare convocazione della stessa e per la verifica della validità delle relative deliberazioni, la docu-mentazione a tal fine acquisita da parte dell’amministratore può essere messa a disposizione deicondòmini che ne facciano richiesta, fermo restando che, secondo i principi di pertinenza e noneccedenza sanciti dall’art. 9 della legge n. 675/1996, possono essere sottoposti ad esame i solielementi realmente idonei ad individuare la titolarità dei soggetti legittimati alla partecipazionealle assemblee.


Le disposizioni degli artt. 20 e 27, commi 3 e 4, della legge n. 675/1996 consentono,rispettivamente nel settore del lavoro privato ed in quello pubblico, la diffusione di dati perso-nali solo a precise condizioni, al di là dell’ipotesi dell’espresso consenso dell’interessato; inparticolare, mentre i soggetti privati possono diffondere i dati personali in adempimento di unobbligo previsto da una legge, da un regolamento o dalla normativa comunitaria, i soggetti pub-blici possono far ciò solo ove previsto da una norma di legge o di regolamento. Con specificoriferimento ai trattamenti connessi all’impiego, da parte dei lavoratori, dei cartellini identifica-tivi sul posto di lavoro, il cui obbligo di utilizzazione trova fondamento, a seconda del settorelavorativo privato o pubblico, in accordi aziendali, in regolamenti aziendali o in atti ammini-strativi d’organizzazione adottati a livello nazionale o locale, deve comunque trovare applica-zione l’art. 9 della legge n. 675/1996 e, segnatamente, il principio di pertinenza e non ecce-denza, sicché, in assenza di specifiche norme di legge o di regolamento che ne prescrivano ana-liticamente il contenuto, da detti cartellini debbono essere espunti tutti quei dati personali deilavoratori che risultino non pertinenti o inutilmente eccedenti rispetto alle finalità di responsa-bilizzare maggiormente il personale o di fornire agli utenti una conoscenza sufficiente deglioperatori con cui entrano in rapporto.


REQUISITI DEI DATI > PERTINENZA, COMPLETEZZA E NON ECCEDENZA > 27

Nessuna disposizione della legge n. 675/1996 – in specie, l’art. 9, che al comma 1, lett.d), stabilisce il principio di pertinenza in materia di trattamento dei dati personali – impediscein via generale alla polizia municipale di indicare le generalità degli agenti verbalizzanti neiverbali di accertamento di violazioni al Codice della strada, conformi all’originale e redatti consistemi meccanizzati. Tali verbali vanno compilati secondo le norme speciali che regolano irelativi modelli, contenute nel regolamento di attuazione al Codice della strada approvato cond.P.R. n. 495/1992 – e successive modificazioni ed integrazioni –, che disciplinano diretta-mente i relativi procedimenti sanzionatori amministrativi, e che non sono state abrogate omodificate dalla legge n. 675/1996.


Premesso che la normativa in materia di protezione dei dati personali posta dalla leggen. 675/1996 non ha abrogato ma, anzi, ha confermato (art. 43, comma 2) le disposizioni contenutenella legge n. 135/1990 in materia di A.I.D.S., va rilevato che il d.lg. 135/1999 sul trattamento di datisensibili effettuato da soggetti pubblici considera di rilevante interesse pubblico il trattamento deidati strettamente necessario allo svolgimento delle funzioni di controllo, di indirizzo politico e disindacato ispettivo atte a consentire l’espletamento di un mandato elettivo, quale quello dei con-siglieri comunali. Peraltro, il diritto di accesso ai dati da parte dei predetti incontra un limite nelrispetto dei principi di pertinenza, essenzialità e compatibilità con la funzione perseguita, ribaditi,anche in materia di dati sensibili, dagli artt. 1 - 5 del citato d.lg..


Costituisce illegittimo trattamento dei dati personali, anche di natura sensibile, la comuni-cazione, da parte del datore di lavoro, indistintamente ai singoli medici che hanno rilasciatoalcuni certificati giustificativi di varie assenze per malattia di una dipendente, nonché all’Ordineprovinciale dei medici e ad una A.S.L., di dati della dipendente e della di lei figlia minore, atti-nenti alle ragioni delle singole assenze – non tutte per malattia – e alla consecutività dei relativiperiodi di mancata prestazione lavorativa. Con tale comportamento vengono violati i principi dipertinenza e non eccedenza fissati dall’art. 9 della legge n. 675/1996, nonché le tutele specifi-camente apprestate a garanzia del trattamento dei dati sensibili – nella specie, attinenti allostato di salute – dall’art. 22 della legge.


Non viola i principi di pertinenza e non eccedenza fissati dall’art. 9 della legge n. 675/1996il datore di lavoro che comunica all’I.n.p.s. i dati del dipendente assente anche per un sologiorno, al fine del controllo sullo stato di malattia, in considerazione della normativa di legge edi quella contrattuale di settore che prevedono la possibilità di controlli e visite fiscali fin dalprimo giorno di assenza.



Ai sensi dell’art. 9 della legge n. 675/1996, la pertinenza e non eccedenza dei dati perso-nali trattati in occasione dell’espletamento di attività investigativa sul luogo di lavoro e commis-sionata dal datore di lavoro debbono essere valutate caso per caso, tenendo conto del partico-lare settore nel quale sono occupati i dipendenti interessati e delle specifiche modalità tecnichedi svolgimento della loro attività.


Viola i principi di pertinenza e non eccedenza nella diffusione dei dati personali, fissati dal-l’art. 9 della legge n. 675/1996, l’esposizione nella bacheca condominiale, posta in luogo acces-sibile anche ad estranei al condominio, dell’ordine del giorno di una assemblea che riporti anchela situazione debitoria di singoli condòmini. Ai sensi degli artt. 13 e 29 della legge, quindi, il con-domino interessato può agire per ottenere la rimozione dalla bacheca dei dati relativi alla pro-pria morosità.


Nell’ipotesi di estinzione di un contratto di finanziamento, con conseguente totale soddi-sfacimento dei diritti del creditore, la conservazione, da parte di una “centrale rischi” privata, deidati personali del debitore e, eventualmente, del fideiussore, ove protrattasi per un quinquenniodalla data di estinzione del rapporto, deve essere ritenuta – anche ove assistita da originario con-senso dell’interessato – sproporzionata ed eccedente rispetto alla finalità perseguita all’atto deltrattamento. Di conseguenza, deve trovare accoglimento l’istanza di cancellazione dei dati avan-zata dall’interessato


Proporzionalità del trattamento

La rilevazione dei dati biometrici (nel caso di specie impronte digitali associate ad imma-gini del volto) di coloro che accedono ai locali di una banca, ove formalmente giustificata dallamera affermazione di una generica ed indimostrata esigenza di sicurezza, non suffragata da spe-cifici elementi di rischio, si pone in contrasto con il principio di proporzionalità di cui all’art. 9della legge n. 675/1996. Ne consegue che il trattamento dei dati raccolti con detto sistema dirilevamento è illecito, traducendosi in un sacrificio sproporzionato della sfera di libertà dei sin-goli interessati.


Nella carenza di una base normativa idonea ad operare adeguati bilanciamenti tra i con-trapposti interessi, l’installazione di sistemi di rilevazione biometrica presso gli sportelli bancari,

REQUISITI DEI DATI > PROPORZIONALITÀ DEL TRATTAMENTO > 29

normalmente non in linea con il principio di proporzionalità di cui all’art. 9 della leggen. 675/1996, può essere considerata lecita ove effettuata in via assolutamente temporanea ed inconsiderazione di eccezionali circostanze di rischio determinatesi in un particolare momento sto-rico, da valutarsi da parte degli istituti bancari con particolare cautela, anche sulla base dei pre-cedenti eventi e delle concordanti valutazioni degli organi locali di pubblica sicurezza (nel casodi specie, detta installazione è stata consentita in relazione alle straordinarie esigenze di sicu-rezza degli utenti e dei dipendenti delle banche connesse all’imminente introduzione dellamoneta unica ed alla conseguente disponibilità, presso gli sportelli, di ingenti quantitativi didenaro contante).


L’utilizzazione generalizzata ed indiscriminata di sistemi di rilevazione biometrica all’in-gresso degli istituti bancari non è consentita perché contraria al principio di proporzionalità tragli strumenti impiegati e le finalità prospettate (art. 9 della legge n. 675/1996); infatti, in caso dimera affermazione di una generica esigenza di sicurezza, non suffragata da specifici elementi attiad evidenziare concrete situazioni di rischio, l’adozione di detti sistemi di rilevazione, in assenzadi adeguate norme di legge, si tradurrebbe in un sacrificio sproporzionato della sfera di libertà edella dignità degli utenti.


Liceità e correttezza

La diffusione, attraverso i mezzi d’informazione, della notizia afferente l’invito a compa-rire innanzi all’autorità giudiziaria penale, prima che di detto provvedimento abbia avuto effet-tiva conoscenza l’interessato, costituisce violazione dei principi di liceità e correttezza fissatidall’art. 9, comma 1, lett. a) della legge n. 675/1996 allorché non siano rinvenibili concreti ele-menti che giustifichino l’immediato esercizio del diritto di cronaca (fattispecie antecedente l’in-troduzione del codice di deontologia di settore).


I dati personali concernenti le classi stipendiali, le indennità e gli altri emolumenti corri-sposti ad amministratori e lavoratori dipendenti ed autonomi da concessionari di pubblici ser-vizi sono da ritenersi conoscibili da parte di chiunque vi abbia interesse attraverso la letturadegli atti parlamentari (es.: risposte fornite a interrogazioni e interpellanze parlamentari), l’e-same dei contratti collettivi, l’accesso ai documenti amministrativi (legge n. 241/1990) e, insede di esercizio del diritto di cronaca, da parte degli esercenti la professione giornalistica.Rimane ferma la necessità che tali dati siano esatti, completi ed acquisiti correttamente (art. 9della legge n. 675/1996), e che siano invece mantenuti riservati quelli relativi a circostanze per-


sonali e familiari, o che abbiano natura sensibile (es.: ritenute previdenziali e assistenziali; ces-sioni di stipendio; deleghe sindacali).




Il principio di correttezza nell’acquisizione delle informazioni (art. 9 della leggen. 675/1996), che è proprio anche dell’esercizio dell’attività giornalistica, trova applicazione –anche per le fattispecie antecedenti all’entrata in vigore del codice di deontologia di settore,pubblicato sulla G.U. n. 179 del 3 agosto 1998 – nel caso di registrazioni audiovisive accidentalio che non facciano parte di una prova di trasmissione, e impongono alla rete televisiva che leabbia effettuate di astenersi dal diffonderle o, quanto meno, di darne tempestiva notizia all’in-teressato, ponendolo nella condizione di esprimere il proprio punto di vista e, se del caso, diopporsi all’ulteriore trattamento (principi affermati dal Garante in una segnalazione ad una retetelevisiva a proposito della diffusione, da parte di una trasmissione a sfondo satirico, di consi-derazioni espresse da un esponente politico registrate, a sua insaputa, nei momenti immedia-tamente precedenti l’inizio di un’intervista rilasciata ad un telegiornale della stessa rete).


Il bilanciamento tra il diritto alla riservatezza e il diritto all’informazione operato dallalegge n. 675/1996 (v., in particolare, l’art. 25, come modificato dal d.lg. n. 171/1998) non giusti-fica alcuna deroga a quanto previsto dalle disposizioni dell’art. 9 della legge, secondo le quali ilgiornalista, al pari di ogni altro soggetto che utilizzi informazioni contenute anche su supportiaudiovisivi, deve raccoglierle senza violenza o inganno e in un quadro di trasparenza.


REQUISITI DEI DATI > LICEITÀ E CORRETTEZZA > 31

Ai sensi dell’art. 10 della legge n. 121/1981, come riformulato dall’art. 42 della legge n. 675/1996, gli interessati possono esercitare direttamente il diritto di accesso ai dati che liriguardano detenuti dal Centro elaborazione dati del Dipartimento di pubblica sicurezza, ancheal fine di chiedere la correzione o la cancellazione dei dati che risultassero inesatti o incompleti,oppure trattati in violazione di legge o di regolamento.


Non contrasta con i principi di liceità e correttezza nel trattamento dei dati personali postidall’art. 9 della legge n. 675/1996 l’acquisizione da parte di un’amministrazione comunale dellacopia di una sentenza penale emessa nei confronti dell’interessato, dipendente del comune, alfine di utilizzarne i dati esclusivamente per motivi inerenti allo svolgimento del procedimentodisciplinare instaurato nei confronti dello stesso dipendente.


Il d.lg. n. 135/1999, recante disposizioni integrative della legge n. 675/1996, circa il tratta-mento dei dati sensibili da parte dei soggetti pubblici prevede che gli organismi sanitari che trat-tano dati idonei a rivelare lo stato di salute rispettino i principi di correttezza e di pertinenza san-citi dall’art. 9 della legge n. 675/1996, adottando specifiche cautele a tutela della riservatezzadegli interessati; tra queste, particolarmente significativa è quella secondo cui i dati anagraficidevono essere conservati separatamente da quelli sanitari che, se contenuti in elenchi, registrio banche dati, ai sensi dell’art. 3, commi 4 e 5, d.lg. n. 135/1999 devono essere trattati con tec-niche di cifratura, mediante l’utilizzazione di codici identificativi o di altri sistemi che permettanodi risalire agli interessati solo in caso di necessità.


Benché le norme processuali non siano state ancora rivisitate in dettaglio per essere inte-grate e modificate alla luce dei nuovi principi in materia di trattamento dei dati personali, lalegge n. 675/1996 ha comunque reso immediatamente applicabili all’attività svolta “per ragionidi giustizia” presso gli uffici giudiziari alcuni obblighi sulle modalità e sulla sicurezza del tratta-mento, tra cui quelli di correttezza e di pertinenza sanciti dall’art. 9 e quelli sulle misure di sicu-rezza fissati dal d.P.R. n. 318/1999.


Fuori dei casi di operazioni di comunicazione connesse a prestazioni richieste, a servizi ero-gati o all’adempimento di obblighi normativi posti in favore di soggetti pubblici, gli istituti di cre-dito ed il relativo personale devono mantenere il riserbo sulle informazioni relative ai propri clienti,astenendosi dalla divulgazione a terzi. Inoltre, secondo la legge n. 675/1996, il titolare del tratta-mento, ai fini del corretto esercizio della facoltà di cui all’art. 20, comma 1, lett. g) della legge, oltre


a valutare l’effettiva necessità della comunicazione dei dati per la difesa di un diritto in sede giu-diziaria, è tenuto a verificare che la natura dei dati, il contesto in cui essi sono trattati e, in parti-colare, il rapporto giuridico intercorrente con l’interessato, per disposto di legge o di contratto nonsiano d’ostacolo all’esercizio di tale facoltà. Pertanto, sussistendo nei rapporti delle banche con laclientela l’obbligo di mantenere il riserbo sulle operazioni, sui conti e sulle posizioni degli utenti(c.d. segreto bancario), in assenza del consenso dell’interessato deve ritenersi illecita la comuni-cazione dei dati personali di un cliente effettuata da un dipendente dell’istituto in favore del difen-sore di un terzo (nel caso di specie il coniuge divorziato del ricorrente), perché contraria non soloai principi di liceità e correttezza del trattamento fissati dall’art. 9 della legge n. 675/1996, maanche agli specifici obblighi nascenti dal rapporto contrattuale (artt. 1175 e 1375 c.c.).


Conservazione dei dati

Alla luce del generale principio, fissato dall’art. 9, comma 1, lett. e) della legge n. 675/1996,secondo il quale i dati personali possono essere conservati per un periodo di tempo non supe-riore a quello necessario agli scopi per i quali sono stati raccolti e trattati, nonché del dispostodell’art. 20, comma 4 della legge n. 413/1991, che si riferisce a rapporti di conto o di depositoin corso, anziché cessati, nella “anagrafe dei rapporti di conto e di deposito”, istituita da dettoart. 20, può essere ammessa soltanto una breve conservazione dei dati relativi ai rapportiappena cessati, non anche una conservazione a tempo indefinito dei dati relativi a rapporti chiusi(cfr. art. 3, comma 1, lett. b) l. ult. cit).


REQUISITI DEI DATI > CONSERVAZIONE DEI DATI > 33

Presuppostie modalità deltrattamento

• Informativa

• Consenso

• Titolare, responsabile, incaricato

• Notificazione

• Misure per la sicurezza dei dati e deisistemi

• Cessazione del trattamento

Informativa

Profili generali

L’informativa scritta resa dal titolare del trattamento (nella specie, un istituto di credito)deve recare una chiara distinzione tra l’ipotesi di raccolta dei dati presso l’interessato (art. 10,comma 1 della legge n. 675/1996) e quella in cui i dati siano raccolti presso terzi (art. 10,comma 3 della legge stessa).


Ai sensi dell’art. 12, comma 1, lett. b) della legge n. 675/1996, gli studi professionalidegli agenti di cambio non sono tenuti a richiedere ai propri clienti il consenso per l’uso pro-fessionale dei dati personali, trattandosi di trattamento necessario per l’esecuzione di obbli-ghi derivanti da un contratto di cui, peraltro, sono parte gli stessi interessati. Qualora, invece,detto trattamento si concretizzi in una comunicazione o in una diffusione a terzi dei dati per-sonali, l’acquisizione del consenso dell’interessato è dovuta, sempre che non ricorrano i pre-supposti di cui all’art. 20, comma 1, lett. e) della legge n. 675/1996. In ogni caso permane l’ob-bligo di rendere un’idonea informativa.


L’iscrizione ad un partito politico costituisce di per sé un dato sensibile, con conseguentenecessità, per il titolare del trattamento, di rendere un’idonea informativa ai sensi dell’art. 10della legge n. 675/1996 e, per l’interessato, di prestare espresso consenso scritto al trattamentodei dati personali.


In relazione alle modalità di tenuta, da parte di un’associazione professionale a carattereculturale e sindacale, di un “indirizzario” per la trasmissione di un periodico mensile medianteabbonamento postale, occorre distinguere a seconda che detto periodico venga spedito solo agliiscritti all’associazione ovvero agli abbonati anche a prescindere dalla loro eventuale iscrizione.Infatti, mentre nel primo caso i dati personali relativi agli abbonati, in quanto idonei a rilevare l’a-desione ad un’associazione sindacale, hanno natura “sensibile” e, quindi, possono essere trat-tati soltanto dietro acquisizione del consenso scritto dell’interessato e previo rilascio di appositaautorizzazione da parte del Garante, nel secondo caso tali dati sono soltanto “comuni” e, per-tanto, salva l’ipotesi che si tratti di dati conoscibili da chiunque, possono essere trattati solo aseguito di adeguata informativa e di rilascio del consenso orale da parte dell’interessato, purchédocumentato per iscritto (anche su modulo predisposto dal titolare del trattamento).


INFORMATIVA > PROFILI GENERALI 37

M a s s i m a r i o 1 9 9 7 / 2 0 0 1 • P r e s u p p o s t i e m o d a l i t à d e l t r a t t a m e n t o38

Il datore di lavoro – nella specie, un comune – che decida di sottoporre i dipendenti ad un“test attitudinale” allo scopo di procedere alla migliore utilizzazione del personale, deve rendereai lavoratori un’adeguata informativa (art. 10 della legge n. 675/1996) che precisi, in particolare,la obbligatorietà o meno delle risposte e le conseguenze in caso di mancata risposta, e che indi-chi gli eventuali soggetti esterni (es.: una società di elaborazione dati) che possono avereaccesso ai dati.


L’informativa di cui all’art. 10 della legge n. 675/1996 costituisce un adempimento, posto acarico di soggetti, sia pubblici sia privati, che il titolare del trattamento deve di regola porre inessere anche quando la raccolta dei dati sia prevista da una disposizione normativa. Soltanto nelcaso in cui i dati siano acquisiti presso soggetti diversi da quelli a cui si riferiscono, l’informativapuò non essere fornita ove i dati siano utilizzati in base ad un obbligo di legge o di regolamento(art. 10, commi 3 e 4 della legge n. 675/1996).


Il titolare del trattamento deve informare l’interessato circa il fatto che i dati personali chelo riguardano possono essere comunicati, in conformità della legge n. 675/1996, ad un terzo pre-posto ad elaborazioni finalizzate all’adempimento degli obblighi contabili, fiscali, retributivi,previdenziali ed assistenziali gravanti sul titolare stesso. Con tale informativa, il titolare devespecificare se il terzo svolge le predette elaborazioni nella veste di responsabile del trattamento(art. 8) oppure come autonomo titolare che effettua un distinto trattamento di dati (fattispecieconcernente centri elaborazione dati gestiti da società di consulenza informatica, professionisti,associazioni ed altri organismi che elaborano per conto terzi dati inerenti a clienti, fornitori edipendenti, a fini di gestione amministrativa e contabile).


Il trattamento dei dati personali contenuti nei curricula vitae inviati spontaneamente daicandidati all’instaurazione di rapporti di lavoro presuppone necessariamente che sia resa unaprevia informativa, fatta eccezione dei soli elementi, fra quelli indicati nell’art. 10, comma 1 dellalegge n. 675/1996, che siano già noti agli interessati (principio espresso in fattispecie concer-nente i curricula inviati a società operanti nel settore del lavoro interinale disciplinato dalla leggen. 196/1997). Ove i dati vengano raccolti telefonicamente, l’informativa può essere data ancheoralmente (e documentata per iscritto dall’addetto che la fornisce).


L’ampia nozione di “trattamento” contenuta nell’art. 1, comma 2, lett. b) della leggen. 675/1996 comprende qualunque operazione o complesso di operazioni, svolte con mezzi sia

automatizzati sia cartacei, che concernono la raccolta, la registrazione, l’organizzazione, la con-servazione e l’elaborazione dei dati, anche ove non registrati in archivi; pertanto, l’esercizio, daparte di un medico, di attività diagnostica comporta necessariamente un trattamento di dati, siacomuni che sensibili, con la conseguenza che questi, ai sensi degli artt. 10, 22 comma 1 e 23 dellalegge, è tenuto ad informare i propri pazienti sul trattamento stesso e ad acquisire dai medesimiil consenso scritto.


Il trattamento di dati connesso all’acquisizione delle impronte digitali dei clienti di un cen-tro sportivo privato non contrasta, di per sé, con la legge n. 675/1996, a condizione che agli inte-ressati (ossia alle persone che si sono iscritte o che comunque accedono al centro) sia fornita,anche oralmente, la prescritta informativa (art. 10) e sia richiesto, se necessario, il relativo con-senso (artt. 11 e 12).


Le offerte di lavoro riportate su annunci pubblicati in quotidiani o periodici debbono recareadeguate informative sul trattamento dei dati raccolti; in caso contrario, le dichiarazioni di con-senso al trattamento spesso richieste per l’invio dei curricula sono da ritenersi invalide.

• Garante 13 gennaio 2000, in Bollettino n. 11/12, pag. 39 (v. anche www.garanteprivacy.it: doc. n. 42276)

La ricezione del coupon compilato dall’interessato concreta un trattamento di dati che pre-suppone che il titolare abbia già fornito al medesimo – prima che i dati siano concretamente rac-colti e registrati, e a prescindere dalla loro ulteriore utilizzazione per le finalità previste – le infor-mazioni indicate dall’art. 10 della legge n. 675/1996, che sono dovute in ogni caso, anche qua-lora il consenso non sia per legge indispensabile; al riguardo, nessuna importanza assume ilfatto che il titolare rinunci o non proceda immediatamente alla registrazione dei dati in unelenco, archivio o banca dati, né rilevano le modalità con cui il medesimo intenda trattare suc-cessivamente i dati.


Non può ritenersi lecito che il titolare fornisca l’informativa allorché riceva il coupon, con-tattando successivamente l’interessato; infatti, nei casi in cui sia quest’ultimo ad indicare diret-tamente i dati che lo riguardano, la ratio dell’art. 10, comma 1, della legge n. 675/1996 è quelladi assicurare che egli sia informato prima di fornire i dati richiesti, al fine di poter manifestare unconsapevole consenso all’atto dell’eventuale compilazione del coupon.


INFORMATIVA > PROFILI GENERALI 39

Ai fini di una corretta informativa, il coupon – o, eventualmente, per ragioni di spazio, ildocumento ove esso sia inserito – deve riportare un messaggio di sintesi, basato su un oppor-tuno stile colloquiale, che permetta innanzitutto all’interessato di comprendere quali effetti con-creti comporti la spedizione del coupon stesso; inoltre, omettendo superflue assicurazioni circail rispetto della normativa sul trattamento dei dati personali, il coupon deve riportare altresìun’indicazione che, seppur succinta, permetta all’interessato di appurare l’insieme delle possi-bili informazioni che debbono essere rese ai sensi dell’art. 10, comma 1, delle legge n. 675/1996,da collocarsi in un unico spazio, in modo tale da evitare, in armonia con il fondamentale princi-pio di correttezza, una loro eccessiva frammentazione.


Le società, imprese, enti, associazioni od altri organismi che procedano alla raccolta di datiattraverso coupon ricavabili da giornali, depliant, lettere e annunci pubblicitari, ovvero mediantequestionari collegati a tessere di “fidelizzazione”, a ricerche di mercato, a lotterie, estrazioni dipremi od offerte di regali, debbono informare in modo adeguato gli interessati e acquisire il loroconsapevole consenso ove ciò sia necessario in base alla legge n. 675/1996 o ad altra disposi-zione in materia.


Il consenso può ritenersi validamente prestato solo ove fondato su un’informativa ade-guata, sicché i vizi attinenti alla mancanza, all’incompletezza o all’inesattezza dell’informativa siriflettono inevitabilmente sulla validità della sua manifestazione.


I soggetti pubblici, ove operino nei limiti previsti dalle finalità istituzionali (art. 27 dellalegge n. 675/1996), non devono richiedere l’autorizzazione o il consenso dei cittadini per il trat-tamento dei dati personali che li riguardano, dovendo, piuttosto, informarli ai sensi dell’art. 10della legge.


La pubblicazione di dati personali in una bacheca situata all’interno di un consorzio, ma inluogo accessibile facilmente da chiunque, deve essere considerata “diffusione” di dati personali,secondo l’accezione offerta dall’art. 1, comma 2, lett. h), della legge n. 675/1996, che necessita,ai sensi dell’art. 10 della legge, di una previa informativa agli interessati, onde permettere lorouna consapevole manifestazione di volontà diretta a consentire, o meno, tale trattamento (fatti-specie nella quale il Garante ha segnalato al consorzio la necessità di astenersi dall’affiggerenella bacheca, in difetto della previa informativa e della prestazione del relativo consenso, unprospetto contabile riguardante la situazione debitoria dei consorziati).



Attraverso l’informativa prevista dall’art. 10 della legge n. 675/1996 tutte le persone inte-ressate devono essere messe a conoscenza dell’uso di telecamere che riprendono il luogo dovele stesse si trovano o intendono recarsi (fattispecie relativa all’istallazione di un sistema di video-sorveglianza all’ingresso dei locali di una banca).


Il giornalista che raccoglie dati personali presso una struttura sanitaria deve fornire unaadeguata informativa agli interessati, che tenga conto delle condizioni psicofisiche dei pazienti(nella specie, soggetti anoressici) e della loro concreta capacità di esprimere una manifestazionedi volontà realmente consapevole degli effetti derivanti dalla diffusione dei dati e delle immaginiche li riguardano.


Informativa semplificata

Codice deontologico per l’attività giornalistica

Il codice di deontologia relativo al trattamento dei dati personali nell’esercizio dell’attivitàgiornalistica, in attuazione dell’art. 25, comma 4 della legge n. 675/1996 (come modificato dald.lg. n. 123/1997), ha introdotto forme semplificate di informativa applicabili a due distintesituazioni regolate nei commi 1 e 3 dell’art. 10 della legge n. 675/1996. In particolare, l’art. 2,comma 1 del codice disciplina l’informativa che il giornalista – per un’esigenza di correttezza neiconfronti delle persone “intervistate” – deve fornire al momento in cui raccoglie dati dalla per-sona alla quale si riferiscono le informazioni; in questo caso, il dovere d’informativa può essereadempiuto – salvo il caso in cui ciò risulti impossibile o comporti rischi per l’incolumità perso-nale del professionista – palesando all’interessato la sola circostanza che si sta esercitandoun’attività giornalistica, nonché le finalità della raccolta, senza che occorra specificare gli altrielementi indicati nell’art. 10, comma 1 della legge n. 675/1996. Al contrario, il secondo commadell’art. 2 del codice disciplina il caso in cui il giornalista raccolga informazioni riguardanti l’in-teressato presso terzi oppure si avvalga delle varie fonti informative disponibili; soltanto inrelazione a queste ultime ipotesi – impregiudicata l’esigenza del giornalista di effettuare, ovenecessario, l’informativa di cui al comma 1 – trova applicazione l’obbligo degli editori di renderenoti al pubblico, almeno due volte l’anno, mediante annunci, l’esistenza degli archivi e il luogodove è possibile esercitare i diritti previsti dalla legge n. 675/1996.

• Garante 11 agosto 1998, in Bollettino n. 5, pag. 27 (v. anche www.garanteprivacy.it: doc. n. 40607)

Pubblicazioni occasionali• V.: PRIVATI ED ENTI PUBBLICI ECONOMICI > SETTORI DI ATTIVITÀ > ATTIVITÀ GIORNALISTICA >

PUBBLICAZIONI OCCASIONALI > PROFILI GENERALI (P. 84)

INFORMATIVA > INFORMATIVA SEMPLIFICATA >CODICE DEONTOLOGICO PER L’ATTIVITÀ GIORNALISTICA

41

Operazioni di cartolarizzazione

Ai sensi dell’art. 10, comma 4 della legge n. 675/1996, la società che opera il trattamentodei dati connesso ad operazioni di cartolarizzazione finalizzate all’acquisto in blocco di migliaiadi posizioni creditizie è autorizzata ad informare in forma semplificata i singoli interessati al trat-tamento stesso. Tale informativa, secondo il Garante, deve avvenire non solo mediante la pub-blicazione sulla Gazzetta Ufficiale prevista dall’art. 58 del d.lg. n. 385/1993 per la notifica dellacessione dei rapporti giuridici in blocco, ma anche attraverso la messa a disposizione degli inte-ressati, presso ciascuna filiale, del testo dell’informativa, con l’adozione di opportune modalitàatte a garantirne un’agevole visibilità agli utenti; inoltre, ciascun estratto conto dovrà recare l’in-dicazione della data di pubblicazione dell’informativa sulla Gazzetta Ufficiale.

• Garante 5 giugno 1999, inedito (v. anche www.garanteprivacy.it: doc. n. 42332)

Le società che operano il trattamento dei dati collegato ad operazioni di cartolarizzazione,finalizzate all’acquisto in blocco di migliaia di posizioni creditizie, sono autorizzate dal Garante,ai sensi dell’art. 10, comma 4, della legge n. 675/1996, ad informare gli interessati in forma sem-plificata attraverso la pubblicazione sulla Gazzetta Ufficiale prevista, per la notifica della ces-sione di rapporti giuridici in blocco, dall’art. 58 d.lg. n. 385/1993, nonché mediante la pubblica-zione su due quotidiani nazionali ed uno del luogo ove sono intrattenuti i rapporti con il maggiornumero degli interessati.


Oggetto

Attività sportiva

Il consenso reso dall’atleta alla società sportiva di cui fa parte a trattare i dati sensibili chelo riguardano, e a comunicare o diffondere quelli comuni, deve essere acquisito sulla base di un’i-donea informativa, che renda chiare le circostanze indicate nell’art. 10 della legge n. 675/1996,specie sulle finalità e modalità del trattamento, sull’ambito di diffusione dei dati e sui diritti spet-tanti ai sensi dell’art. 13 della legge. Il mero inserimento dell’informativa nei c.d. regolamentifederali non risulta idoneo a consentire all’interessato di rilevare con evidenza ed immediatezzale informazioni essenziali sul trattamento dei dati, tale da permettergli di esprimere un consensolibero e consapevole.


Istituti di credito• V.: PRIVATI ED ENTI PUBBLICI ECONOMICI > SETTORI DI ATTIVITÀ > ISTITUTI DI CREDITO > PROFILI

GENERALI (P. 94)


L’informativa scritta resa dagli istituti di credito alla clientela deve recare una chiara distin-zione tra i casi in cui i dati debbono essere forniti dai singoli interessati in base ad un obbligo dilegge (es.: normativa sul riciclaggio del denaro sporco), quelli in cui le informazioni acquisitesono strettamente funzionali all’esecuzione del rapporto contrattuale (per le quali, peraltro, aisensi dell’art. 12, comma 1, lett. b) e dell’art. 20, comma 1, lett e) della legge n. 675/1996 il con-senso dell’interessato non è indispensabile) e quelli che si riferiscono allo svolgimento di ulte-riori attività da parte dell’istituto di credito (subordinate ad uno specifico consenso dell’inte-ressato).


La legge n. 675/1996 non ha introdotto alcun divieto nei confronti del c.d. “benefondi”(consistente nell’accertamento, anche informale, attraverso il quale viene garantita l’esi-stenza, presso una banca o una sede o filiale della stessa, della provvista corrispondente agliassegni emessi). Il benefondi, infatti, è certamente riconducibile alle attività che la banca devedescrivere, sia pure in termini generali, nei modelli di informativa e di acquisizione del con-senso, che debbono comprendere le operazioni di comunicazione dei dati a terzi ed i tratta-menti temporanei che questi ultimi sono tenuti ad effettuare per la corretta esecuzione deiservizi richiesti.


Marketing

La legge n. 675/1996 non ha vietato la raccolta e l’utilizzazione dei dati personali per fina-lità commerciali e di marketing; tali operazioni, però, ai sensi degli artt. 12 e 20 della legge,richiedono la previa informativa agli interessati nonché, eccettuati alcuni casi, l’acquisizione delrelativo consenso (fattispecie relativa all’invio alla clientela da parte di una società che gestiscecarte di credito a pagamento, insieme all’estratto conto, anche di materiale pubblicitario relativoa servizi offerti dalla società o da terzi).


Pubblicazioni scientifiche

La legge n. 675/1996, lungi dal pregiudicare l’informazione a contenuto medico-scientificosu casi d’interesse degli specialisti di settore e del pubblico, tende soltanto ad evitare il rischioche le informazioni diffuse rendano possibile risalire agli interessati che intendano mantenerel’anonimato, i quali, peraltro, debbono essere completamente informati dal medico circa le carat-teristiche dell’eventuale pubblicazione scientifica che li riguardi. Ne consegue che, in tali casi, il

INFORMATIVA > OGGETTO >MARKETING

43

contemperamento delle esigenze della ricerca medica e scientifica con il diritto alla riservatezzapuò essere raggiunto anche attraverso il richiamo, nell’ambito del testo oggetto di pubblica-zione, delle sole iniziali delle generalità degli interessati, nonché attraverso l’eventuale ricorso anomi di fantasia o a codici numerici.


Pubblicità telefonica• V.: TELECOMUNICAZIONI E RETI TELEMATICHE > CASI PARTICOLARI > PUBBLICITÀ TELEFONICA (P. 192)

Propaganda elettorale

L’uso, a fini di propaganda elettorale, dei dati degli iscritti ad un’associazione deve essereprevisto espressamente nello statuto dell’associazione stessa o in una chiara informativa resaagli interessati, formulata secondo le prescrizioni contenute nell’art. 10 della legge n. 675/1996,onde permettere loro una consapevole manifestazione di volontà diretta a consentire, o meno,tale trattamento (fattispecie nella quale il Garante ha segnalato all’associazione la necessità diastenersi, in difetto delle menzionate condizioni, dal comunicare i dati degli associati ad un can-didato ad una consultazione elettorale al fine di sostenerne la candidatura).


Questionari R.a.i.

La R.a.i., nel formulare il questionario con il quale raccoglie presso gli utenti dati di naturapersonale al fine della gestione e riscossione del canone radiotelevisivo, deve formulare il testodell’informativa resa ai sensi dell’art. 10 della legge n. 675/1996 in modo da specificare che lacompilazione del questionario, che non è obbligatoria, facilita l’identificazione dell’abbona-mento di riferimento e può rendere superflue ulteriori verifiche circa l’effettiva posizione dell’u-tente, mentre la comunicazione dei dati alla Guardia di Finanza ed i conseguenti controlli sonosolo eventuali.




Trattamento correlato ed autonomo

La Siteba - Sistemi telematici bancari s.p.a. svolge un’attività di supporto tecnico in favoredegli istituti bancari e degli enti emittenti carte di credito che attivano terminali presso gli esercizicommerciali al dettaglio (di regola, di tipo E.F.T./P.O.S. stand-alone) o della c.d. grande distribu-zione (di solito concentrati su server); tale servizio, che è reso presso i punti vendita, è finalizzatoall’accettazione delle carte di pagamento da parte dei terminali E.F.T./P.O.S. e si esplica nell’ap-prontamento, in favore delle banche e degli istituti emittenti, di servizi di installazione, manuten-zione e gestione dei terminali, nonché di ulteriori attività propedeutiche o complementari (quali,ad esempio, le richieste di codici identificativi degli esercenti o di attivazione dei terminali con lebanche acquirers delle carte di credito; i rapporti con i fornitori di rete di telecomunicazione perl’eventuale concessione di terminazioni speciali). Poiché detta complessiva attività è strumentaleall’ulteriore rapporto tra esercenti il commercio e banche/enti emittenti deve ritenersi che lescelte di fondo sulle finalità e sulle modalità del trattamento spettino a questi ultimi (che rive-stono la qualità di titolari del complessivo trattamento dei dati), sicché, avuto riguardo alle con-crete modalità di gestione del rapporto, è logico interpretare il ruolo della Siteba come quello diuna società titolare di un trattamento correlato ed autonomo, limitatamente al centro di assi-stenza telefonica, esterna alla banca committente del servizio di installazione. Ne consegue l’op-portunità che la banca committente, in sede di informativa agli esercenti, indichi anche la Sitebatra i soggetti utilizzati per gli adempimenti contrattuali connessi al servizio di pagamento remoto.


Esonero

In genere

L’informativa di cui all’art. 10 della legge n. 675/1996 costituisce un adempimento, posto acarico di soggetti, sia pubblici sia privati, che il titolare del trattamento deve di regola porre inessere anche quando la raccolta dei dati sia prevista da una disposizione normativa. Soltanto nelcaso in cui i dati siano acquisiti presso soggetti diversi da quelli a cui si riferiscono, l’informativapuò non essere fornita ove i dati siano utilizzati in base ad un obbligo di legge o di regolamento(art. 10, commi 3 e 4 della legge n. 675/1996).


Il titolare può essere esonerato dal Garante dal fornire l’informativa per i dati raccoltipresso soggetti diversi dall’interessato (art. 10, comma 3 della legge n. 675/1996), quando lastessa comporta un impiego di mezzi che il Garante dichiari essere manifestamente spropor-zionati rispetto al diritto dell’interessato di conoscere le principali caratteristiche del tratta-mento, ovvero quando l’informativa si rivela, a giudizio dell’Autorità, “impossibile” (art. 10,comma 4). I suddetti profili, per la cui dimostrazione spetta al titolare fornire specifiche moti-

INFORMATIVA > OGGETTO >TRATTAMENTO CORRELATO ED AUTONOMO

45

vazioni e concreti elementi di riscontro, debbono essere valutati in concreto, con particolareriferimento alla speciale natura delle finalità perseguite o dei dati trattati, alle complessemodalità di realizzazione dell’adempimento, all’ingente numero degli interessati, alle attivitànecessarie per rintracciarli, alla data di raccolta delle informazioni o alla particolare onerositàdei costi da sostenere.


I.s.v.a.p.

Ai sensi dell’art. 10, commi 3 e 4 della legge n. 675/1996, l’I.s.v.a.p. deve ritenersi eso-nerato dall’obbligo d’informativa per procedere al trattamento dei dati personali contenutinelle segnalazioni spontaneamente inviate dagli interessati, trattandosi di dati non raccoltipresso i predetti ed acquisiti nell’esercizio del generale potere di vigilanza sulle imprese assi-curatrici attribuito dall’art. 4 della legge n. 576/1982 all’Istituto. Analogamente, non sussisteobbligo d’informativa sia nel caso in cui i dati personali siano ottenuti nel corso di ispezioni everifiche ed attengano a soggetti diversi da quelli oggetto d’accertamento, sia allorché dettidati, afferenti ai requisiti di professionalità ed onorabilità degli esponenti aziendali e degliazionisti, siano comunicati all’I.s.v.a.p. dalle imprese soggette a controllo secondo le previ-sioni di legge.


Consultazioni elettorali

In occasione delle consultazioni elettorali vengono impiegate notevoli quantità di dati per-sonali, estratti da registri pubblici, elenchi o atti conoscibili da chiunque, che vengono utilizzatiper l’invio di comunicazioni politiche a scopo di propaganda elettorale. Considerata la rilevanzadi tali iniziative al fine della partecipazione democratica alle consultazioni, ed attesa la manife-sta sproporzione tra l’impiego di mezzi necessari per l’invio a tutti gli interessati delle informa-tive previste dall’art. 10, comma 3, della legge n. 675/1996 e il diritto tutelato dalla norma, par-titi e movimenti politici e ogni altro soggetto che effettui in occasione delle consultazioni eletto-rali i predetti trattamenti di dati, ai sensi del comma 4 del citato art. 10, possono essere esone-rati, in via temporanea, dall’invio dell’informativa ai destinatari delle comunicazioni di propa-ganda politica, purché gli interessati non vengano direttamente contattati dall’utilizzatore deidati e limitatamente al materiale di propaganda che non permetta l’inserimento dell’informativa(con esclusione, quindi, di lettere articolate o messaggi di posta elettronica, nei quali l’informa-tiva deve essere contenuta nelle stesse comunicazioni).



Consenso

Profili generali

Ai sensi dell’art. 9 della legge n. 675/1996, ove il consenso richiesto per il trattamento deidati personali dell’interessato risulti riferibile anche ad attività diverse da quelle relative al rap-porto contrattuale in essere tra le parti (nel caso di specie, un contratto bancario), nella formuladi consenso preventivamente predisposta dal titolare del trattamento debbono essere evitateindicazioni di tipo generico sui trattamenti praticabili, affinché possa essere garantita all’inte-ressato la possibilità di conoscere la reale portata del consenso eventualmente manifestato.


L’informativa scritta resa dagli istituti di credito alla clientela deve recare una chiara distin-zione tra i casi in cui i dati debbono essere forniti dai singoli interessati in base ad un obbligo dilegge (es.: normativa sul riciclaggio del denaro sporco), quelli in cui le informazioni acquisite sonostrettamente funzionali all’esecuzione del rapporto contrattuale (per le quali, peraltro, ai sensidell’art. 12, comma 1, lett. b) e dell’art. 20, comma 1, lett e) della legge n. 675/1996 il consensodell’interessato non è indispensabile) e quelli che si riferiscono allo svolgimento di ulteriori atti-vità da parte dell’istituto di credito (subordinate ad uno specifico consenso dell’interessato).


Alla luce dei criteri generali dettati in sede europea e recepiti dall’ordinamento interno (es.:artt. 1469 bis e ss. del codice civile, attuativi della Direttiva CEE n. 93/13), il consenso dell’inte-ressato al trattamento dei propri dati personali può essere ritenuto effettivamente libero sol-tanto ove costituisca manifestazione del diritto all’autodeterminazione informata e qualora nonrisulti condizionato all’accettazione di clausole negoziali comportanti un significativo squilibriodei diritti e degli obblighi reciprocamente nascenti dal contratto. Ne deriva che la richiesta ulti-mativa di un consenso generale ed incondizionato al trattamento dei dati personali, formulata daun soggetto in posizione di netta preminenza economica ed accompagnata dall’esplicita previ-sione di una possibile risoluzione dei rapporti contrattuali in essere tra le parti, si risolve in unaviolazione della libertà negoziale dell’altro contraente, cui risulta sostanzialmente precluso l’e-sercizio dei diritti fondamentali di cui all’art. 1 della legge n. 675/1996.


Il consenso deve essere manifestato in forma specifica, vale e dire in relazione a tratta-menti determinati, effettuati da uno o più titolari nominativamente individuati.


CONSENSO > PROFILI GENERALI > 47

Poiché sia la normativa attualmente in vigore sui controlli termici (legge n. 10/1991; d.P.R.n. 412/1993), sia la normativa generale in tema di accertamento delle violazioni amministrative(art. 13 della legge n. 689/1981) non prevedono l’insorgenza, a carico dell’E.n.e.l. s.p.a., di unobbligo di comunicazione dei dati degli utenti ove richiesti dalla provincia nell’esercizio dei poteridi controllo ad essa legalmente attribuiti, allo stato non può trovare applicazione il disposto di cuiall’art. 20, comma 1, lett. c) della legge n. 675/1996, che consente ai soggetti privati ed agli entipubblici economici di comunicare dati soltanto “in adempimento di un obbligo previsto dallalegge, da un regolamento o dalla normativa comunitaria”. Ne consegue che l’E.n.e.l., ove destina-tario di specifiche richieste formulate dalla Provincia o, eventualmente, da società con essa con-venzionate e ritualmente designate quali “responsabili del trattamento”, ai fini della comunica-zione dei dati non può prescindere dal rilascio del consenso da parte dei singoli utenti interessati.


La legittima aspettativa di un istituto di credito alla prestazione, da parte di ciascun cliente,del più ampio consenso al trattamento dei dati personali (nel caso di specie attinenti non solo alleattività necessarie per la prosecuzione del rapporto contrattuale, ma anche alle attività accesso-rie ed alle informazioni sensibili), non può tradursi in comportamenti tali da vanificare il liberodiscernimento dell’oggetto cui si riferisce la manifestazione di volontà; infatti, detto consensopuò essere ritenuto effettivamente libero soltanto qualora costituisca manifestazione del dirittoall’autodeterminazione informativa e, dunque, si ponga al riparo da qualsiasi forma di pressione.


In relazione alle modalità di tenuta, da parte di un’associazione professionale a carattereculturale e sindacale, di un “indirizzario” per la trasmissione di un periodico mensile medianteabbonamento postale, occorre distinguere a seconda che detto periodico venga spedito solo agliiscritti all’associazione ovvero agli abbonati anche a prescindere dalla loro eventuale iscrizione.Infatti, mentre nel primo caso i dati personali relativi agli abbonati, in quanto idonei a rilevare l’a-desione ad un’associazione sindacale, hanno natura “sensibile” e, quindi, possono essere trat-tati soltanto dietro acquisizione del consenso scritto dell’interessato e previo rilascio di appositaautorizzazione da parte del Garante, nel secondo caso tali dati sono soltanto “comuni” e, per-tanto, salva l’ipotesi che si tratti di dati conoscibili da chiunque, possono essere trattati solo aseguito di adeguata informativa e di rilascio del consenso orale da parte dell’interessato, purchédocumentato per iscritto (anche su modulo predisposto dal titolare del trattamento).


I contratti collettivi di lavoro, stante la persistente mancata attuazione della disciplina sul-l’organizzazione sindacale prevista dall’art. 39 della Costituzione, hanno natura di contratti didiritto privato, sicché, ai fini dell’applicazione dei principi della legge n. 675/1996 sul tratta-mento dei dati personali, non possono essere considerati alla stregua di vere e proprie disposi-


zioni normative. Ne consegue che, in assenza di espresse norme di legge o di regolamento,all’I.n.p.g.i., nonostante l’espressa previsione contenuta nella contrattazione collettiva (art. 33),non è consentito di portare autonomamente a conoscenza delle imprese editrici i dati relativi allaposizione pensionistica dei propri iscritti, occorrendo, ai sensi dell’art. 20 della legge n. 675/1996,l’acquisizione del preventivo consenso dei giornalisti interessati.


I soggetti pubblici, a differenza dei soggetti privati e degli enti pubblici economici, nondevono acquisire il consenso scritto degli interessati per poter trattare i dati sensibili, in quantoper essi le garanzie in favore degli interessati debbono essere basate non sul consenso ma suuna puntuale disposizione di legge che specifichi i tipi dei dati che possono essere trattati, leoperazioni eseguibili e le rilevanti finalità di interesse pubblico perseguite.


Ai sensi dell’art. 22 della legge n. 675/1996, il trattamento dei dati sensibili da parte di pri-vati o di enti pubblici economici può avvenire soltanto con il consenso scritto e l’autorizzazionedel Garante (art. 22, comma 1), mentre qualora ad effettuare detto trattamento siano dei soggettipubblici è sufficiente l’esistenza di una puntuale disposizione di legge che specifichi i dati chepossono essere trattati, le operazioni eseguibili e le rilevanti finalità di interesse pubblico per-seguite (art. 22, comma 3); ne consegue che l’A.V.I.S., quale soggetto privato, ai fini del tratta-mento dei dati idonei a rivelare lo stato di salute rilevabili dalle schede relative ai donatori di san-gue, è tenuta ad acquisire – previa informativa ai sensi dell’art. 10 della legge – il consensoscritto di ciascun interessato e la preventiva autorizzazione del Garante, peraltro già rilasciatacon apposito provvedimento generale.


Ai sensi dell’art. 22 della legge n. 675/1996, il trattamento dei dati sensibili da parte di pri-vati o di enti pubblici economici può avvenire soltanto con il consenso scritto e l’autorizzazionedel Garante (art. 22, comma 1), mentre qualora ad effettuare detto trattamento siano dei soggettipubblici è sufficiente l’esistenza di una puntuale disposizione di legge che specifichi i dati chepossono essere trattati, le operazioni eseguibili e le rilevanti finalità di interesse pubblico per-seguite (art. 22, comma 3); ne consegue che le Ferrovie dello Stato s.p.a., quale soggetto privato,ai fini del trattamento dei dati idonei a rivelare lo stato di salute rilevabili da parte del serviziosanitario interno, sono tenute ad acquisire – previa informativa ai sensi dell’art. 10 della legge –il consenso scritto di ciascun interessato (sia esso un dipendente della società oppure un terzo)e la preventiva autorizzazione del Garante (ove il trattamento non rientri nelle ipotesi già consi-derate dalle autorizzazioni generali per il trattamento dei dati sensibili nei rapporti di lavoro eper il trattamento dei dati idonei a rivelare lo stato di salute).



La richiesta di un consorzio di carattere nazionale alle associazioni di categoria affiliate difornire gli elenchi dei nominativi dei rispettivi iscritti, provenendo da soggetto avente natura pri-vata, comporta una comunicazione di dati personali a terzi che, in difetto di una disposizione nor-mativa che la autorizzi, ai sensi dell’art. 20, comma 1 della legge n. 675/1996 è ammessa solocon il consenso espresso degli interessati (fattispecie relativa alla richiesta indirizzata dalConsorzio nazionale imballaggi alle associazioni di categoria dei produttori).


Le aziende speciali istituite ai sensi dell’art. 23 della legge n. 142/1990, avendo natura giu-ridica di enti pubblici economici, sono soggette alla disciplina che la legge n. 675/1996 prevedeper i soggetti privati, che consente la comunicazione dei dati personali solo in presenza del con-senso dell’interessato o di uno dei presupposti, ad esso equipollenti, indicati dall’art. 20, comma1, lett. c) e g) (fattispecie relativa alla comunicazione al proprietario di un immobile dei datiriguardanti l’intestatario delle utenze ad esso relative).


La legge n. 675/1996 non ha introdotto alcun divieto nei confronti del c.d. “benefondi”(consistente nell’accertamento, anche informale, attraverso il quale viene garantita l’esi-stenza, presso una banca o una sede o filiale della stessa, della provvista corrispondente agliassegni emessi). Il benefondi, infatti, è certamente riconducibile alle attività che la banca devedescrivere, sia pure in termini generali, nei modelli di informativa e di acquisizione del con-senso, che debbono comprendere le operazioni di comunicazione dei dati a terzi ed i tratta-menti temporanei che questi ultimi sono tenuti ad effettuare per la corretta esecuzione dei ser-vizi richiesti.


La legge n. 675/1996 non ha vietato la raccolta e l’utilizzazione dei dati personali per fina-lità commerciali e di marketing; tali operazioni, però, ai sensi degli artt. 12 e 20 della legge,richiedono la previa informativa agli interessati nonché, eccettuati alcuni casi, l’acquisizione delrelativo consenso (fattispecie relativa all’invio alla clientela da parte di una società che gestiscecarte di credito a pagamento, insieme all’estratto conto, anche di materiale pubblicitario relativoa servizi offerti dalla società o da terzi).


L’art. 11 della legge n. 675/1996 prevede che il consenso al trattamento dei dati“comuni” possa intendersi validamente prestato dall’interessato solo se espresso libera-mente, in forma specifica (nel senso che deve riguardare un preciso genere di trattamentoeffettuato a cura di un ben individuato titolare) e documentato per iscritto, oltre che preceduto


dalla necessaria informativa; va, quindi, esclusa ogni forma presunta o tacita di manifesta-zione del consenso.


La disciplina prevista per i trattamenti dei dati da parte dei soggetti pubblici (artt. 27 e 22,comma 3 della legge n. 675/1996) non ha alcun collegamento con la disposizione recante i casidi esclusione del consenso di cui all’art. 12, che si applica all’attività di privati e di enti pubblicieconomici.


La disciplina sulla “privacy” non preclude ad un titolare di richiedere il consenso al tratta-mento anche nell’interesse di altri titolari, purché detto consenso, ai sensi dell’art. 11, comma 3della legge n. 675/1996, venga prestato “in forma specifica”, e cioè in relazione ad un precisogenere di trattamento (di cui siano evidenziate, previa adeguata informativa, le finalità), effet-tuato da un ben individuato titolare.


Nel corso dell’istruttoria di una pratica di finanziamento debbono essere tenuti distinti itrattamenti, ivi compresa la comunicazione dei dati, strettamente necessari per la gestione delleoperazioni e dei servizi richiesti dal cliente, in ordine ai quali si rende necessario il consenso alconferimento dei dati al fine di permettere la stessa operatività dei rapporti tra le parti, dalleeventuali ulteriori utilizzazioni dei dati stessi, per finalità – commerciali, statistiche, ecc. – in rela-zione alle quali, in quanto non strettamente collegate a dette operazioni e servizi, deve esseregarantita l’assoluta libertà di esprimere il consenso.







Il consenso può ritenersi validamente prestato solo ove fondato su un’informativa ade-guata, sicché i vizi attinenti alla mancanza, all’incompletezza o all’inesattezza dell’informativa siriflettono inevitabilmente sulla validità della sua manifestazione.


Gli estremi identificativi delle utenze telefoniche intestate ai singoli condòmini o ai lorofamiliari non possono essere annoverati tra quelli oggetto di necessaria ed obbligatoria comuni-cazione all’interno del condominio, in quanto non rappresentano elementi utili a determinare idiritti o gli oneri sulla cosa comune, ne è rinvenibile alcun obbligo di legge in tal senso. Resta,peraltro, ferma la possibilità per l’amministratore di condominio di comunicare i numeri di tele-fono ai condòmini richiedenti, con il consenso degli interessati (art. 11 della legge n. 675/1996).


L’uso, a fini di propaganda elettorale, dei dati degli iscritti ad un’associazione deve essereprevisto espressamente nello statuto dell’associazione stessa o in una chiara informativa resaagli interessati, formulata secondo le prescrizioni contenute nell’art. 10 della legge n. 675/196,onde permettere loro una consapevole manifestazione di volontà diretta a consentire, o meno,tale trattamento (fattispecie nella quale il Garante ha segnalato all’associazione la necessità diastenersi, in difetto delle menzionate condizioni, dal comunicare i dati degli associati ad un can-didato ad una consultazione elettorale al fine di sostenerne la candidatura).







Esclusione

Adempimento di un obbligo di legge

Le banche, l’Ente Poste Italiane (ora Poste italiane s.p.a., N.d.R.) e gli altri intermediariincaricati della trasmissione al Ministero delle finanze delle dichiarazioni fiscali e contributive,non sono tenuti, a tale fine, a richiedere il consenso degli interessati, trattandosi dell’adempi-mento di un obbligo di legge (art. 20, comma 1, lett. c) della legge n. 675/1996).


Le aziende speciali esercenti servizi pubblici, quali enti strumentali del Comune per lagestione dei servizi dell’ente locale (art. 23, comma 6 della legge n. 142/1990), essendo assog-gettate, in quanto enti pubblici economici, al regime che la legge n. 675/1996 prevede per i sog-getti privati che trattano dati personali, sono tenute all’osservanza, fra l’altro, della disposizionedell’art. 20, comma 1, lett. c), che esime tali soggetti dall’obbligo di richiedere il consenso del-l’interessato nel caso in cui il trattamento sia effettuato per adempiere ad una disposizione con-tenuta in una legge, in una norma comunitaria o in un regolamento. Si configura, quindi, comeobbligo di tali aziende quello di comunicare ai consiglieri comunali i dati che questi richiedano,al fine dell’espletamento del loro mandato, nell’esercizio del generale diritto di accesso, loroconferito dall’art. 31, comma 5 della legge n. 142/1990, ai dati contenuti negli archivi delComune e delle aziende ed enti da questo dipendenti (fattispecie relativa alla richiesta di unconsigliere comunale di conoscere i nominativi dei dipendenti dell’azienda preposti alle sediterritoriali della stessa).


In linea di principio, le disposizioni della legge n. 675/1996 non incidono, né pongono osta-coli nei confronti di precise disposizioni normative in base alle quali deve essere effettuata unacomunicazione di dati personali. Ne consegue che quando una norma di legge o di regolamentoprevede l’obbligo per un gestore del servizio telefonico di rendere disponibili, nei confronti del-l’amministrazione vigilante, talune informazioni sugli abbonati, ai fini del controllo sul correttoesercizio della concessione, la comunicazione dei dati è ammessa anche senza il consenso degliabbonati interessati, in conformità alla condizione individuata dall’art. 20, comma 1, lett. c),della legge.


Ai sensi dell’art. 20, comma 1, lett. c), della legge n. 675/1996, la comunicazione dei datirelativi all’indebitamento della clientela effettuata dagli intermediari finanziari alla Centrale

CONSENSO > ESCLUSIONE >ADEMPIMENTO DI UN OBBLIGO DI LEGGE

53

rischi della Banca d’Italia, in quanto dovuta per legge, non è sottoposta all’obbligo della pre-ventiva acquisizione del consenso dei singoli interessati, cui resta preclusa la possibilità di chie-dere la cancellazione dei dati o di opporsi al relativo trattamento.


Agenti di cambio

Ai sensi dell’art. 12, comma 1, lett. b) della legge n. 675/1996, gli studi professionali degliagenti di cambio non sono tenuti a richiedere ai propri clienti il consenso per l’uso professio-nale dei dati personali, trattandosi di trattamento necessario per l’esecuzione di obblighi deri-vanti da un contratto di cui, peraltro, sono parte gli stessi interessati. Qualora, invece, dettotrattamento si concretizzi in una comunicazione o in una diffusione a terzi dei dati personali,l’acquisizione del consenso dell’interessato è dovuta, sempre che non ricorrano i presuppostidi cui all’art. 20, comma 1, lett. e) della legge n. 675/1996. In ogni caso permane l’obbligo direndere un’idonea informativa.


Appalti pubblici

La normativa sugli appalti pubblici (d.lg. n. 157/1985 per gli appalti di beni e servizi;d.lg. n. 358/1992 per gli appalti di forniture e lavori) attribuisce alle amministrazioni la facoltàdi richiedere alle imprese concorrenti di dimostrare le proprie capacità tecniche mediante laproduzione di un elenco dei principali servizi e forniture effettuati negli ultimi tre anni d’attività,con l’indicazione degli importi, delle date e dei destinatari delle prestazioni. Analogamente, leimprese partecipanti possono comunicare tali dati alle amministrazioni richiedenti, nel rispettodella vigente normativa in materia di segreto aziendale ed industriale, laddove vengano in con-siderazione dati relativi allo svolgimento di attività economiche (artt. 12, comma 1, lett. f ) edart. 20, comma 1, lett. e) della legge n. 675/1996); ne consegue che le imprese concorrenti, aifini in questione, non sono tenute ad acquisire il consenso degli interessati (cui dev’essere for-nita soltanto l’informativa di cui all’art. 10), mentre le amministrazioni appaltanti sono tenutea rispettare le disposizioni che, anche al di fuori della legge n. 675/1996 e della disciplinasugli appalti, tutelano i diritti delle società offerenti e che prescrivono, tra l’altro, non solo dichiedere le informazioni non eccedenti l’oggetto dell’appalto (ad esempio: necessità effettivadi acquisire copie di fatture in luogo di altra documentazione equipollente), ma anche ditenere in debita considerazione “gli interessi legittimi del concorrente relativi alla protezionedi interessi tecnici e commerciali” (art. 14, comma 3, d.lg. n. 358/1992; art. 14, comma 3, d.lg.n. 157/1995).



Attività economiche

Ai sensi degli artt. 12, comma 1, lett. a) e 20, comma 1, lett. c), della legge n. 675/1996, nonè necessario acquisire il preventivo consenso dell’interessato per le operazioni di trattamentodei dati effettuate dagli istituti di credito in adempimento di obblighi derivanti da norme di leggeo di regolamento, tra cui quelle previste dal T.U. delle leggi in materia bancaria e finanziaria; inparticolare, ai sensi degli artt. 53, comma 1, lett. b), 67, comma 1, lett. b) e 107, comma 2, dellalegge n. 385/1993, tutte le banche sono tenute a segnalare al servizio di centralizzazione deirischi creditizi gestito dalla Banca d’Italia i crediti di un certo importo o comunque in sofferenza(in conformità alle deliberazioni del C.I.C.R. e alle disposizioni impartite dalla Banca d’Italia nel-l’ambito dei suoi poteri di vigilanza regolamentare), indipendentemente dall’esistenza di even-tuali vincoli derivanti, per l’istituto segnalante e per i relativi dipendenti, da pregressi obblighicontrattuali o relativi al segreto bancario.


Ai sensi degli artt. 12, comma 1, lett. f ) e 20, comma 1, lett. e), della legge n. 675/1996, le infor-mazioni relative alla solvibilità o allo stato di insolvenza di un’impresa (oppure ai crediti o ai debitiad essa riferiti) rientrano nella nozione di dati relativi allo svolgimento di attività economiche, la cuiutilizzazione e divulgazione a terzi può avvenire anche senza il consenso dell’interessato.



L’art. 13 della legge n. 675/1996 riconosce all’interessato il diritto di ottenere la cancella-zione solamente dei dati trattati in violazione di legge. È quindi infondato, e deve essere conse-guentemente respinto, il ricorso proposto dall’interessato ai sensi dell’art. 29 della legge perottenere da un istituto di credito la cancellazione dei dati riguardanti la propria situazione patri-moniale, raccolti in relazione ad una richiesta di finanziamento, qualora tali dati – che, ai sensidegli artt. 12, comma 1, lett. f ) e 20, comma 1, lett. e), della legge n. 675/1996, in quanto atten-gono allo svolgimento di attività economiche, possono essere trattati anche senza il consensodell’interessato – siano detenuti in attuazione di disposizioni impartite dall’autorità di vigilanzain tema di rilevazione del rischio creditizio e di obblighi di legge in materia di scritture e docu-menti contabili che ne delimitano le modalità di utilizzo, imponendone anche la conservazionesolo per periodi di tempo determinati.


Le operazioni di trattamento di dati svolte da una banca e finalizzate all’acquisizionepresso la Centrale rischi della Banca d’Italia ed al successivo utilizzo per finalità aziendali diinformazioni relative alle esposizioni di un cliente, o alle garanzie da questi prestate nei con-fronti di terzi, risultano in via generale legittime, e la loro effettuazione non è necessariamente

CONSENSO > ESCLUSIONE >ATTIVITÀ ECONOMICHE

55

subordinata al previo consenso dell’interessato, potendo operare anche i presupposti di cuiagli artt. 12, lett. f ) e 20, comma 1, lett. e), della legge n. 675/1996, secondo cui il trattamentoe la comunicazione dei dati a terzi è ammessa “se i dati sono relativi allo svolgimento di attivitàeconomiche , nel rispetto della vigente normativa in materia di segreto aziendale e industriale“.Quest’ultima espressione va intesa come divieto di divulgare, in taluni casi, notizie attinentiall’organizzazione o a determinati metodi di produzione di un’impresa, ovvero come obbligo dinon divulgare talune conoscenze tecniche, ma non preclude ad una banca di effettuare, in con-formità alle leggi, determinate verifiche sulla solidità economica di un soggetto anche presso lamenzionata Centrale rischi.


Il d.lg. 24 luglio 1992, n. 358, recante il “Testo Unico delle disposizioni in materia di appaltipubblici di forniture”, prevede che le imprese partecipanti alle gare d’appalto possano compro-vare i propri requisiti tecnici anche attraverso la produzione di appositi documenti, tra cui l’e-lenco attestante le principali forniture effettuate negli ultimi tre anni, corredato dall’indicazionedegli importi corrispondenti, della data e del destinatario della fornitura. Ne consegue che, qua-lora dalla suddetta documentazione emergano informazioni afferenti a distinte società con cui inprecedenza l’attuale concorrente abbia instaurato rapporti negoziali, la connessa comunicazionedi dati non solo è conforme alle specifiche disposizioni del d.lg. n. 358/1992, ma è comunquerispettosa dei principi di cui alla legge n. 675/1996, trattandosi di dati relativi allo svolgimentodi attività economiche del titolare del trattamento che, ai sensi dell’art. 20, comma 1, lett. e), nonsono soggetti alla preventiva acquisizione del consenso dell’interessato.


Attività giornalistica• V.: PRIVATI ED ENTI PUBBLICI ECONOMICI > SETTORI DI ATTIVITÀ > ATTIVITÀ GIORNALISTICA (P. 81)

Diritto di difesa

La raccolta di informazioni sul luogo di lavoro, effettuata da investigatori privati in occa-sione di una specifica attività d’indagine commissionata dal datore di lavoro, non necessita dellapreventiva acquisizione del consenso del dipendente interessato ove venga svolta in ossequioalle disposizioni contenute nella legge n. 300/1970 e per il solo periodo strettamente necessa-rio per far valere, anche in sede giudiziaria, i diritti connessi al rapporto di lavoro.



Fondo nazionale di garanzia nel settore dei valori mobiliari

Ai sensi degli artt. 12, comma 1, lett. a) e 20, comma 1, lett. c) della legge n. 675/1996,le operazioni di trattamento dei dati personali comuni necessarie per lo svolgimento delleattività d’indennizzo espletate dal Fondo nazionale di garanzia nel settore dei valori mobi-liari, non necessitano della preventiva acquisizione del consenso degli intermediari aderential Fondo e degli investitori (creditori) interessati, trattandosi di attività riconducibile ai casidi esclusione del consenso che la legge n. 675/1996 prevede in riferimento all’adempimentodi obblighi di legge o di regolamento (nel caso di specie i decreti del Ministero del tesoro del30 settembre 1991 e del 14 settembre 1997, n. 485) o, comunque, derivanti dalla normativacomunitaria. Restano, invece, soggetti al rilascio del consenso e, in genere, agli ulterioriobblighi stabiliti dalla legge n. 675/1996 i trattamenti di dati connessi alle ordinarie attivitàdi funzionamento dell’ente (es.: dati relativi al personale dipendente, ai fornitori ed ai pro-fessionisti).



PUBBLICAZIONI OCCASIONALI (P. 84)

Richieste referendarie

L’esercizio di un diritto politico non può essere subordinato in alcun modo alla prestazionedi un consenso che lo leghi indissolubilmente a forme ulteriori di utilizzazione dei dati dell’elet-tore; pertanto, la sottoscrizione della richiesta referendaria dev’essere tenuta distinta dal con-senso eventualmente richiesto all’interessato per altre utilizzazioni dei dati raccolti (cognome enome, indirizzo e numero d’iscrizione nelle liste elettorali).


La sottoscrizione delle richieste referendarie, costituendo esercizio di un diritto politicofondamentale dell’individuo, non è soggetta a particolari limiti dalla legge n. 675/1996. Di con-seguenza, relativamente alle iniziative referendarie ed ai trattamenti di dati personali a ciò fina-lizzati, non è necessaria alcuna manifestazione di consenso ulteriore rispetto alla sottoscrizionedelle richieste referendarie, per la cui validità, ai sensi della legge n. 352/1970, i promotori sonotenuti a raccogliere alcuni specifici dati personali dei sottoscrittori e a darne comunicazione agliorgani preposti alla verifica della regolarità delle richieste.


CONSENSO > ESCLUSIONE >FONDO NAZIONALE DI GARANZIA NEL SETTORE DEI VALORI MOBILIARI

57

Soggetti pubblici

Ai sensi dell’art. 27, comma 1 della legge n. 675/1996, i soggetti pubblici non devonorichiedere il consenso degli interessati per poter trattare i relativi dati personali, ma devono sol-tanto verificare che i singoli trattamenti e le categorie di dati siano riconducibili alle proprie fina-lità istituzionali e siano effettuati nel rispetto di eventuali limiti previsti dalle normative di riferi-mento o da disposizioni speciali; inoltre, il consenso non dev’essere richiesto neanche per lacomunicazione e diffusione dei dati, allorché tali operazioni siano espressamente previste dauna norma di legge o di regolamento ovvero, in via residuale, quando si rendano necessarie perlo svolgimento delle funzioni istituzionali delle amministrazioni interessate. Resta fermo, in ognicaso, l’obbligo d’informativa di cui all’art. 10 della legge n. 675/1996.


Ai fini del trattamento dei dati sensibili, le pubbliche amministrazioni (nel caso specifico icomuni), a differenza di quanto previsto per i soggetti privati, non sono tenute a richiedere né ilconsenso scritto dei singoli interessati né l’autorizzazione preventiva del Garante, essendo suf-ficiente, ai sensi dell’art. 22, comma 3 della legge n. 675/1996, l’esistenza di un’espressa dis-posizione di legge che, nell’autorizzare il trattamento, specifichi i dati che possono essere trat-tati, le operazioni eseguibili e le rilevanti finalità d’interesse pubblico perseguite.


Le pubblicazioni di matrimonio di cui agli artt. 93 e ss. del codice civile, consistendo uni-camente in affissioni all’albo pretorio dei comuni di residenza dei nubendi, sono pubbliche e,come tali, possono essere visionate da chiunque e riferite sugli organi di stampa, ma non pos-sono essere comunicate o diffuse da parte dell’ufficiale di stato civile al di fuori dei modi espres-samente previsti dalla normativa in materia. A fortiori, tale divieto di comunicazione e diffusionevale per le richieste di pubblicazione che, non solo possono non sfociare nella pubblicazione(art. 98 c.c.), ma sono annotate nell’apposito registro per il quale valgono, in via generale, lenorme stabilite dal codice civile e dal r.d. n. 1238/1939 per i registri di cittadinanza, di nascita, dimatrimonio e di morte, che non prevedono una loro libera consultabilità da parte dei privati. Èirrilevante, in ogni caso, qualsiasi consenso fornito dagli interessati alla diffusione di tali elen-chi, vertendosi in tema di trattamento di dati operato da soggetti pubblici.


Ai sensi della legge n. 675/1996, i Consigli dell’Ordine possono raccogliere e fornire a terzielenchi di liberi professionisti e di altri operatori del settore di riferimento qualora i dati oggettodi trattamento provengano da pubblici registri, elenchi, atti o documenti conoscibili da chiunque,oppure riguardino lo svolgimento di attività economiche da parte degli interessati (art. 12,comma 1, lett. c) ed f ); art. 20, comma 1, lett. b) ed e)). In caso contrario, il trattamento dei dati


non può prescindere dal preventivo consenso degli interessati (es.: soggetti che, pur nonessendo liberi professionisti, siano comunque inseriti in detti elenchi).


Le università, quali soggetti pubblici dotati di autonoma personalità giuridica (artt. 6 e 7della legge 9 maggio 1989, n. 168), nel trattare i dati personali degli iscritti ai corsi di studio deb-bono attenersi al disposto di cui agli artt. 27 (dati comuni) e 22 comma 3 (dati sensibili) dellalegge n. 675/1996, nonché alla disciplina transitoria di cui all’art. 41, comma 5 della legge (per itrattamenti iniziati prima dell’8 maggio 1997 e proseguiti sino all’8 maggio 1999); comunque,stante la loro natura, pur essendo tenute a rendere adeguata informativa ai sensi dell’art. 10della legge, ai fini del trattamento non sono tenute ad acquisire il previo consenso degli interes-sati.


I comuni, al pari degli altri soggetti pubblici, non devono richiedere il consenso degli inte-ressati per poter trattare i dati inerenti alle persone fisiche o giuridiche, essendo sufficiente chei singoli trattamenti siano riconducibili – al pari dei dati trattati – alle finalità istituzionali del-l’ente e che siano concretamente rispettate eventuali specifiche limitazioni poste da norme spe-ciali di riferimento.


I soggetti pubblici, a differenza dei privati e degli enti pubblici economici, non devonorichiedere il consenso degli interessati e l’autorizzazione del Garante per poter trattare i dati sen-sibili, ma devono verificare che tali trattamenti siano conformi a puntuali disposizioni di leggeche specifichino i tipi dei dati che possono trattare, le operazioni eseguibili e le rilevanti finalitàdi interesse pubblico perseguite (fattispecie anteriore all’entrata in vigore del d.lg. n. 135/1999).


I soggetti pubblici, a differenza dei privati e degli enti pubblici economici, non devonorichiedere il consenso degli interessati e l’autorizzazione del Garante per poter trattare datisensibili, ma, ai sensi dell’art. 22, comma 3 della legge n. 675/1996, come modificato dal d.lg.n. 135/1999, devono verificare che tali trattamenti siano conformi a puntuali disposizioni dilegge che specifichino i tipi dei dati che possono essere trattati, le operazioni eseguibili e lerilevanti finalità di interesse pubblico perseguite (principio espresso in risposta a un quesitoposto da una pubblica amministrazione relativo al trattamento dei dati sensibili dei propridipendenti per la gestione del rapporto di lavoro).


CONSENSO > ESCLUSIONE >SOGGETTI PUBBLICI

59

L’inserimento della formula del consenso al trattamento dei dati non è necessaria allorché lacompilazione del coupon sia richiesta da soggetti pubblici ovvero, ai sensi dell’art. 12, comma 1,della legge n. 675/1996, sia necessario al solo fine dell’invio di specifico materiale richiesto daparte della società o dell’organismo che lo riceve.


Per il trattamento dei dati aventi natura sensibile, i soggetti pubblici non devono acquisireil consenso degli interessati o rispettare l’autorizzazione del Garante, ma debbono piuttostoattenersi al disposto dell’art. 22, commi 3 e 3 bis, della legge n. 675/1996, come modificato dald.lg. n. 135/1999, che consente il trattamento di tali dati solo se autorizzato da espresse dispo-sizioni normative che specifichino i dati che possono essere trattati, le operazioni eseguibili e lerilevanti finalità di interesse pubblico perseguite.




Casi particolari

Attività sportiva

Benché la legge n. 675/1996 e le autorizzazioni del Garante vietino la diffusione dei datiidonei a rivelare lo stato di salute dell’interessato (con l’eccezione rappresentata dalla fattispe-cie contenuta nell’art. 24, comma 4 della legge), tuttavia l’interessato conserva il diritto di ren-dere pubbliche o meno, anche per interposta persona, le proprie condizioni di salute. Pertanto,considerata la tendenza invalsa a rendere note talune circostanze relative alla forma degli atletiimpegnati nelle attività agonistiche, le società sportive, oltre ad acquisire il consenso degli atletia trattare i dati relativi al loro stato di salute, possono ottenere, a parte, la “delega” a renderepubbliche talune circostanze rilevanti per l’interesse pubblico sotteso alle attività stesse, daindividuarsi una tantum ma con precisione, anche con riferimento a determinate categorie diinformazioni.



Il consenso reso dall’atleta alla società sportiva di cui fa parte a trattare i dati sensibili chelo riguardano, e a comunicare o diffondere quelli comuni, deve essere acquisito sulla base di un’i-donea informativa, che renda chiare le circostanze indicate nell’art. 10 della legge n. 675/1996,specie sulle finalità e modalità del trattamento, sull’ambito di diffusione dei dati e sui diritti spet-tanti ai sensi dell’art. 13 della legge. Il mero inserimento dell’informativa nei c.d. regolamenti fede-rali non risulta idoneo a consentire all’interessato di rilevare con evidenza ed immediatezza leinformazioni essenziali sul trattamento dei dati, tale da permettergli di esprimere un consensolibero e consapevole.


Concessionari di servizi telefonici• V.: TELECOMUNICAZIONI E RETI TELEMATICHE > CASI PARTICOLARI > CONCESSIONARI DI SERVIZI TELE-

FONICI (P. 191)

Coupon

Le società, imprese, enti, associazioni od altri organismi che procedano alla raccolta di datiattraverso coupon ricavabili da giornali, depliant, lettere e annunci pubblicitari, ovvero mediantequestionari collegati a tessere di “fidelizzazione”, a ricerche di mercato, a lotterie, estrazioni dipremi od offerte di regali, debbono informare in modo adeguato gli interessati e acquisire il loroconsapevole consenso ove ciò sia necessario in base alla legge n. 675/1996 o ad altra disposi-zione in materia.


Il consenso dev’essere sempre richiesto quando i dati raccolti tramite coupon abbianonatura sensibile o siano ceduti a terzi, ovvero vengano utilizzati per studi e ricerche di mercato.


E-mail e spamming• V.: TELECOMUNICAZIONI E RETI TELEMATICHE > CASI PARTICOLARI > E-MAIL E SPAMMING (P. 192)

Partiti politici• V.: CATEGORIE E REQUISITI DEI DATI PERSONALI > DATI SENSIBILI > DATI IDONEI A RIVELARE OPINIONI

POLITICHE > PARTITI POLITICI (P. 17)

CONSENSO > CASI PARTICOLARI >CONCESSIONARI DI SERVIZI TELEFONICI

61


Esercenti le professioni sanitarie

• V.: SOGGETTI PUBBLICI > SETTORI DI ATTIVITÀ > SANITÀ > CASI PARTICOLARI > ESERCENTI LE

PROFESSIONI SANITARIE (P. 152)

Titolare, responsabile, incaricato

Profili generali

Il riferimento alla “persona fisica“, che compare nella definizione del “titolare” contenutanell’art. 1 della legge n. 675/1996, alla luce del tenore letterale della disposizione, non riguardacoloro che amministrano o rappresentano la persona giuridica o la pubblica amministrazione,bensì gli individui che effettuano un trattamento di dati a titolo personale (es.: un libero profes-sionista) e che assumono individualmente la piena responsabilità di un’attività che va distintanettamente da quella che singole persone fisiche possono coordinare nell’ambito e nell’inte-resse di una persona giuridica. In quest’ultimo caso, titolare deve essere quindi considerata l’en-tità nel suo complesso (es.: la società, il ministero, ecc.), quale soggetto cui competono le sceltedi fondo in ordine alla raccolta ed alla utilizzazione dei dati, e non taluna delle persone fisicheche operano nella relativa struttura e che concorrono ad esprimerne la volontà; tali soggetti pos-sono semmai, ricorrendone le condizioni, assumere la qualifica di “responsabile” (art. 8 dellalegge n. 675/1996). Ciò, peraltro, non esclude che possano essere considerate “titolari” – o con-titolari – dei trattamenti complesse unità organizzative (quali direzioni generali o aree), internealla complessiva struttura, ove queste esercitino un potere decisionale reale e del tutto auto-nomo sulle finalità e sulle modalità dei trattamenti effettuati nel proprio ambito.


Ai sensi dell’art. 1, comma 2, lett. d) della L. 675/1996, il “titolare” è la persona fisica o giu-ridica, la pubblica amministrazione e qualsiasi altro ente, associazione o organismo cui compe-tono le scelte di fondo sulle finalità e sulle modalità del trattamento dei dati, anche per ciò cheriguarda la sicurezza.



Ai sensi del d.P.R. n. 600/1973, come modificato dal d.lg. n. 135/1998, e della convenzionestipulata fra il Ministero delle finanze e l’A.B.I., le società specializzate eventualmente incaricatedagli istituti di credito di trattare le informazioni contenute nelle dichiarazioni dei redditi dei con-tribuenti, allo scopo di predisporle in formato elettronico per il successivo inoltro al Ministero,non possono essere considerate quali autonomi titolari del trattamento; gli istituti di creditodebbono quindi procedere alla nomina del responsabile e delle persone fisiche incaricate di trat-tare le dichiarazioni.


Ove il privato, che collabori con il soggetto pubblico e che svolga compiti che comportinoanche attività di trattamento di dati personali, operi nell’ambito di un’attività che ricade nellasfera di titolarità e responsabilità dell’amministrazione, quest’ultima, quale titolare del tratta-mento dei dati, deve indicare, con atto scritto, il soggetto che svolga l’eventuale ruolo del“responsabile” del trattamento svolto per suo conto dal privato (art. 8 della legge n. 675/1996),da individuarsi nella stessa struttura esterna cui è affidata l’attività, o in un dipendente di que-sta, oppure in un ufficio o dipendente dell’amministrazione. In ogni caso, è necessario che idipendenti della struttura privata operino in qualità di “incaricati del trattamento”, sotto ladiretta sorveglianza e secondo le istruzioni del titolare/soggetto pubblico e del responsabile(artt. 8, comma 5, e 19 della legge n. 675/1996) (fattispecie attinente al trattamento dei dati per-sonali svolto da società incaricate da amministrazioni comunali di effettuare misurazioni pressoabitazioni private, con autonomia limitata alla sola concreta disciplina del servizio e ad alcunescelte tecnico-operative, al fine dell’accertamento della tassa di smaltimento dei rifiuti solidiurbani, disciplinata dal d.lg. n. 507/1993).


Nello svolgimento dei propri compiti istituzionali, i soggetti pubblici possono ricorrere allacollaborazione di privati, cui affidare determinate attività anche attraverso concessioni, appalti oconvenzioni. In tali ipotesi, con riferimento alla problematica relativa al trattamento dei dati per-sonali, il privato può assumere il ruolo di collaboratore esterno del soggetto pubblico, checoadiuva l’amministrazione trattando i dati anche al di fuori della relativa struttura, ma nell’am-bito di un’attività che ricade nella sfera di titolarità e responsabilità dell’amministrazione, laquale conserva la qualità di titolare del trattamento, oppure può rivestire una figura del tuttodistinta da questa, che decide autonomamente in ordine al trattamento delle informazioni edassume le relative responsabilità, assumendo esso stesso la veste di titolare del trattamento.Nel primo caso, il privato è parte sostanziale della struttura pubblica e rimane quindi soggettoalla disciplina che la legge n. 675/1996 detta per i soggetti pubblici, nel secondo esso va consi-derato soggetto autonomo che tratta i dati secondo le regole previste dalla stessa legge per i pri-vati (fattispecie attinente al trattamento dei dati personali svolto da società incaricate da ammi-nistrazioni comunali di effettuare misurazioni presso abitazioni private al fine dell’accertamentodella tassa di smaltimento dei rifiuti solidi urbani, disciplinata dal d.lg. n. 507/1993).


TITOLARE, RESPONSABILE, INCARICATO > PROFILI GENERALI 63

Il titolare del trattamento deve informare l’interessato circa il fatto che i dati personali chelo riguardano possono essere comunicati, in conformità della legge n. 675/1996, ad un terzo pre-posto ad elaborazioni finalizzate all’adempimento degli obblighi contabili, fiscali, retributivi,previdenziali ed assistenziali gravanti sul titolare stesso. Con tale informativa, il titolare devespecificare se il terzo svolge le predette elaborazioni nella veste di responsabile del trattamento(art. 8) oppure come autonomo titolare che effettua un distinto trattamento di dati (fattispecieconcernente centri elaborazione dati gestiti da società di consulenza informatica, professionisti,associazioni ed altri organismi che elaborano per conto terzi dati inerenti a clienti, fornitori edipendenti, a fini di gestione amministrativa e contabile).


Rivestono la qualità di “incaricati del trattamento” i privati/persone fisiche che ricevonoda un soggetto pubblico (attraverso un provvedimento amministrativo o una convenzione) l’in-carico del trattamento di dati personali connesso all’espletamento dei compiti istituzionali del-l’amministrazione, da svolgersi sotto la diretta sorveglianza e secondo le istruzioni di questa,che conserva la qualità di “titolare del trattamento”, e che non comporti decisioni di fondo sullefinalità e sulle modalità di utilizzazione dei dati, ma limitati margini di autonomia in ordine alconcreto svolgimento del servizio ed a scelte tecnico-operative. Nell’ambito di tale configura-zione del rapporto, il privato è legittimato ad utilizzare i dati in possesso della struttura pub-blica, rimanendo però vincolato ad usarli per le sole finalità perseguite dall’amministrazione esulla base del particolare regime previsto per quest’ultima (fattispecie relativa al trattamento,operato da laboratori fotografici, di dati personali dei contravventori alle disposizioni in tema dilimiti di velocità, desunti dalla documentazione fotografica ottenuta con apparecchiature deltipo autovelox).


Secondo la legge n. 675/1996, per “titolare” deve intendersi la persona fisica o giuridica,la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono lescelte di fondo sulle finalità e sulle modalità del trattamento dei dati personali, anche sotto ilprofilo della loro sicurezza.


Ai sensi dell’art. 19 della legge n. 675/1996, gli “incaricati del trattamento”, previamenteindividuati per iscritto e che operano sotto la “diretta autorità” del titolare o del responsabile,attuandone le istruzioni, non possono essere considerati quali “terzi” ai fini dell’applicazionedelle disposizioni sulla protezione dei dati personali, sia che operino all’interno dell’ordinariastruttura del titolare, sia che coadiuvino il titolare stesso operando presso un centro esterno.



Possono essere designati quali “incaricati del trattamento” solo ed esclusivamente le per-sone fisiche e non anche le entità personificate che, invece, ai sensi dell’art. 1, comma 2, lett. e)della legge n. 675/1996, possono rivestire la qualità di “responsabile del trattamento” (con taleparere il Garante ha evidenziato la possibilità di nominare quale responsabile del trattamento, enon quale incaricata, una società esterna fornitrice dei servizi concernenti la stampa e l’elabora-zione dei cedolini di stipendio dei dipendenti del titolare).


La società titolare del trattamento, cui l’interessato, in sede di esercizio dei diritti di cuiall’art. 13 della legge n. 675/1996, abbia richiesto di conoscere gli estremi identificativi delresponsabile, non può limitarsi ad indicare la carica ricoperta da questo soggetto – nella specie,l’amministratore delegato pro tempore –, ma deve precisare gli elementi atti ad individuare lapersona fisica o l’organismo che riveste tale ruolo (generalità, residenza o sede).


In assenza di una formale designazione come incaricati del trattamento, i dipendenti dellepubbliche amministrazioni che, per lo svolgimento dei propri compiti, vengono a conoscenza didati personali, devono essere considerati come soggetti terzi rispetto alle amministrazionistesse, con conseguenti rilevanti limiti per la comunicazione e l’utilizzazione dei dati e quindi perla liceità del trattamento. Tale designazione è, infatti, indispensabile, in quanto permette di con-siderare legittimo il flusso delle informazioni personali nell’ambito degli uffici e tra i dipendentidell’amministrazione titolare del trattamento (v. art. 19 della legge n. 675/1996).


Casi particolari

Associazioni professionali

Allorché sussista un’associazione professionale tra medici, i singoli associati possonoregolare in modo vario i rispettivi rapporti in relazione al trattamento dei dati personali deipazienti. In particolare, oltre all’ipotesi della gestione individuale e separata dei dati (in cui cia-scun professionista assume in proprio la qualità di “titolare” del trattamento) ed a quella dellacontitolarità del trattamento da parte di tutti o di alcuni soltanto dei professionisti (che deter-mina la condivisione, a titolo personale, delle prerogative e delle responsabilità del “titolare”),è conforme ai principi di cui all’art. 1, comma 1 della legge n. 675/1996 anche la preordinazionedi un’unica attività di elaborazione dei dati personali, effettuata dagli associati nell’ambito diun’associazione o di un “organismo” che, a prescindere dai limiti posti dalla legge n. 1815/1939

TITOLARE, RESPONSABILE, INCARICATO > CASI PARTICOLARI >ASSOCIAZIONI PROFESSIONALI

65

in materia di prestazione associata di assistenza e consulenza, assuma di per sé la qualità di“titolare” del trattamento.


Attività giornalistica• V.: PRIVATI ED ENTI PUBBLICI ECONOMICI > SETTORI DI ATTIVITÀ > ATTIVITÀ GIORNALISTICA (P. 81)

Il giornalista che, operando in una condizione di completa autonomia dall’editore ed al difuori di quelle particolari modalità di lavoro previste dal contratto collettivo con riferimento allastruttura editoriale, crei una distinta base di dati destinati alla diffusione, assume in prima per-sona la veste di titolare del trattamento, ed è tenuto ad effettuare una notificazione una tantumal Garante


Poiché la disposizione sulla notificazione in forma semplificata da parte dei giornalisti,dei pubblicisti e dei praticanti pone l’accento soprattutto sul piano funzionale anziché suquello soggettivo, ai fini dell’individuazione della figura del titolare in ambito giornalistico, cuispettano le decisioni di fondo sulle finalità e sulle modalità del trattamento, è necessarioappurare se le scelte di ordine generale sulle complessive modalità dei trattamenti competanoai singoli giornalisti ovvero all’editore. All’esito di un’analisi del modo d’esplicazione dell’at-tività giornalistica e del rapporto giornalisti-editori, deve ritenersi corretto identificare nell’e-ditore il titolare del complesso dei dati che ruota attorno all’impresa editoriale e che, pertanto,è tenuto ad effettuare la notificazione semplificata, senza che a ciò possa ritenersi di ostacolola prassi adottata nel settore per effetto del contratto di lavoro giornalistico concluso tra laFederazione italiana editori giornali (F.i.e.g.) e la Federazione nazionale della stampa italiana(F.n.s.i.), che ribadisce soltanto alcuni principi a garanzia della sfera soggettivo-professionaledel giornalista.


L’istanza formulata ai sensi dell’art. 13 della legge n. 675/1996 può essere proposta, oltreche al direttore responsabile della testata giornalistica, nella qualità di responsabile del tratta-mento dei dati personali, anche al titolare del trattamento per il tramite di una articolazione cen-trale o periferica della struttura che fa capo a quest’ultimo (nella specie, una redazione perife-rica del quotidiano). L’istanza, infatti, deve presumersi conosciuta dal titolare ove giunga in unluogo che rientra nella sua sfera di dominio e controllo.



Autore della pubblicazione

I manifesti murali destinati alla pubblica affissione rientrano nella definizione di “stampa”o di “stampato” che, ai sensi dell’art. 1 della legge 8 febbraio 1948, n. 47, riguarda “tutte le ripro-duzioni tipografiche o comunque ottenute con mezzi meccanici o fisico/chimici in qualsiasi mododestinate alla pubblicazione”. In questo ambito, il tipografo tratta i dati personali riportati suimanifesti in una veste (e funzione) meramente strumentale rispetto all’autore della pubblica-zione, unico soggetto realmente legittimato ad intervenire sul contenuto di essa, ad assumeredecisioni sull’esattezza e sulla completezza dei dati in essa riportati, nonché a rendere noti talielementi a coloro ai quali i dati siano stati diffusi. Ne consegue che è soltanto nei confronti del-l’autore della pubblicazione, quale effettivo titolare del trattamento, che può essere rivolta larichiesta diretta a rettificare i dati o a prevenirne l’ulteriore diffusione.


Aziende farmaceutiche

Al fine di individuare i limiti all’accesso da parte delle aziende farmaceutiche, che sponso-rizzano la sperimentazione dei farmaci, alle cartelle cliniche dei pazienti interessati, è essenzialeverificare quale rapporto intercorre tra l’azienda ospedaliera presso cui si svolge la sperimenta-zione e l’azienda farmaceutica stessa. Ove, infatti, quest’ultima svolga unicamente il ruolo di col-laboratore “esterno” del trattamento dei dati, le cui scelte di fondo – e le relative responsabilità– competono all’azienda ospedaliera, quest’ultima costituisce l’esclusivo titolare del tratta-mento, che ha la facoltà di designare l’azienda sponsor quale “responsabile del trattamento”.L’azienda farmaceutica assume, invece, la veste di autonomo titolare o contitolare del tratta-mento, ove ne individui le finalità e le modalità di svolgimento in condizioni di autonomiarispetto alla struttura ospedaliera.


Comuni e province

Nell’ipotesi in cui un comune, ai fini dell’accertamento e della liquidazione dei tributilocali, ritenga di instaurare un rapporto di consulenza con un consorzio privato in cui favore, peril corretto espletamento dell’incarico, debbano essere posti a disposizione numerosi archivi car-tacei ed informatici detenuti dall’autorità comunale, detta relazione può essere utilmente inqua-drata come rapporto tra titolare e responsabile del trattamento; la designazione, ai sensi del-l’art. 8 della legge n. 675/1996, deve avvenire con atto scritto, nel rispetto dei requisiti di espe-rienza, capacità ed affidabilità, e deve essere accompagnata da precise istruzioni da parte deltitolare, finalizzate al miglior svolgimento dei compiti affidati al responsabile, che, nell’eserciziodi tali incombenze, è autorizzato ad accedere ai soli dati concretamente pertinenti ed indispen-

TITOLARE, RESPONSABILE, INCARICATO > CASI PARTICOLARI >AUTORE DELLA PUBBLICAZIONE

67

sabili. Ove detta nomina non venga effettuata, il consorzio viene a porsi come autonomo “tito-lare” del trattamento, con conseguente applicazione della disciplina prevista dall’art. 27,comma 3 della legge n. 675/1996 in tema di comunicazione dei dati da un soggetto pubblico adun soggetto privato.


Allorché l’attività di controllo sulla manutenzione e l’esercizio degli impianti termici, ai sensidell’art. 19 del d.P.R. n. 412/1993, venga espletata dalla provincia, sulla base della preventiva sti-pula di una convenzione, mediante la preposizione di soggetti terzi, si rende necessaria una for-male designazione del responsabile e degli incaricati del trattamento (artt. 8 e 19 della leggen. 675/1996); in tal caso, relativamente al rapporto provincia – soggetto preposto al controllo, lacomunicazione al Garante di cui all’art. 27, comma 2 della legge n. 675/1996 diviene superflua. Alcontrario, detta comunicazione, del tutto distinta dalla notificazione ex art. 7 della legge, dev’es-sere effettuata nel caso in cui non sussista alcuna norma di legge o di regolamento che prevedal’acquisizione, da parte della provincia, dei dati detenuti da altra amministrazione pubblica.


Concessionari di pubblici servizi• V.: SOGGETTI PUBBLICI > SETTORI DI ATTIVITÀ > CONCESSIONARI DI PUBBLICI SERVIZI (P. 121)

Qualora l’amministrazione intenda conservare una posizione “primaria” in ordine allescelte sul trattamento dei dati demandato al concessionario di un pubblico servizio, è necessa-rio precisare chi dovrà svolgere in concreto l’eventuale ruolo di “responsabile del trattamento”.Di conseguenza, l’amministrazione concedente deve decidere se prevedere tale figura ed attri-buirne la responsabilità, a seconda dei casi, alla struttura esterna cui è affidata l’attività in con-cessione, ad un dipendente di quest’ultima oppure ad un proprio ufficio o dipendente.


Il concessionario di un pubblico servizio che, in virtù delle clausole della convenzione chelo lega all’amministrazione, e per la natura stessa del compito che gli viene affidato, non assumaun ruolo effettivamente autonomo rispetto all’amministrazione o non acquisisca particolaripoteri sulle operazioni conferitegli, ma agisca in funzione servente rispetto alle attribuzioni del-l’amministrazione, può rivestire la qualità di responsabile del trattamento dei dati di cui viene inpossesso a causa della sua attività, rimanendo all’amministrazione la titolarità di tale tratta-mento. Il concessionario può espletare i compiti affidatigli solo in riferimento a finalità e a datistrettamente collegati all’esecuzione della convenzione, secondo modalità coerenti con talescopo e con il limite del divieto di divulgazione dei dati fuori dei casi espressamente previsti.



Non può essere considerato titolare del trattamento – e, come tale, non può essere destinatariodi una richiesta ai sensi dell’art. 13 della legge n. 675/1996 – il concessionario di un servizio dipubbliche affissioni che, ai sensi del d.lg. 15 novembre 1993, n. 507 (come modificato dal d.lg. 15dicembre 1997, n. 446), è tenuto soltanto a svolgere il servizio in favore del richiedente, senzaessere obbligato ad esercitare alcun controllo sulla completezza ed esattezza dei dati riportatisui manifesti da affiggere.


Nello svolgimento dei propri compiti istituzionali, ciascun soggetto pubblico può ricorrerea privati cui affidare determinate attività in concessione. In tale ipotesi, l’amministrazione deveprecisare il ruolo assunto dai concessionari i quali, ai sensi della legge n. 675/1996, possonoessere considerati, alternativamente, come collaboratori esterni del soggetto pubblico, qualoracoadiuvino l’amministrazione trattando dati personali anche al di fuori della relativa struttura,ma nell’ambito di un’attività che ricade nella sfera di titolarità e di responsabilità dell’ammini-strazione stessa, oppure come figure soggettive del tutto distinte dall’amministrazione, chedecidono autonomamente in ordine al trattamento delle informazioni e si assumono ogni rela-tiva responsabilità. Nel primo caso, i concessionari costituiscono parte sostanziale della strut-tura pubblica – e agli stessi è quindi applicabile il particolare regime previsto per la pubblicaamministrazione –, mentre, nel secondo, sono privati che devono operare in base alle regole det-tate dalla legge per i soggetti privati e gli enti pubblici economici (principi affermati nell’ambitodel parere reso all’Amministrazione finanziaria sullo schema di decreto ministeriale – previstodall’art. 18 del d.lg. n 112/1999 – attinente all’esercizio della facoltà di accesso agli uffici pubblicida parte dei concessionari della riscossione).


Condominio negli edifici

Per quanto riguarda la normativa sulla protezione dei dati personali, i condòmini devonoessere considerati contitolari di un medesimo trattamento dei dati di cui l’amministratore ha laconcreta gestione; tale contitolarità rende lecita per ciascun condomino la conoscenza dei datiraccolti ed utilizzati correntemente presso il condominio per le finalità riconducibili alla disci-plina dettata dagli artt. 1117 e ss. del c.c..


Ministeri

Il riferimento alla “persona fisica“, che compare nella definizione del “titolare” contenutanell’art. 1 legge n. 675/1996, alla luce del tenore letterale della disposizione, non riguarda coloro

TITOLARE, RESPONSABILE, INCARICATO > CASI PARTICOLARI >CONDOMINIO NEGLI EDIFICI

69

che amministrano o rappresentano la persona giuridica o la pubblica amministrazione, bensì gliindividui che effettuano un trattamento di dati a titolo personale (es.: un libero professionista) eche assumono individualmente la piena responsabilità di un’attività che va distinta nettamenteda quella che singole persone fisiche possono coordinare nell’ambito e nell’interesse di una per-sona giuridica. In quest’ultimo caso, titolare deve essere quindi considerata l’entità nel suo com-plesso (es.: la società, il ministero, ecc.), quale soggetto cui competono le scelte di fondo inordine alla raccolta ed alla utilizzazione dei dati, e non taluna delle persone fisiche che operanonella relativa struttura e che concorrono ad esprimerne la volontà; tali soggetti possono semmai,ricorrendone le condizioni, assumere la qualifica di “responsabile” (art. 8 della leggen. 675/1996). Ciò, peraltro, non esclude che possano essere considerate “titolari” – o contitolari– dei trattamenti complesse unità organizzative (quali direzioni generali o aree), interne allacomplessiva struttura, ove queste esercitino un potere decisionale reale e del tutto autonomosulle finalità e sulle modalità dei trattamenti effettuati nel proprio ambito.


Particolari articolazioni centrali o periferiche di un Ministero possono essere consideratecome distinti ed autonomi titolari del trattamento, diversi dal Ministero come complessiva entità,soltanto nel caso in cui esse esercitino un potere realmente autonomo su particolari sfere di trat-tamenti, non condizionato dalle complessive scelte che interessano l’amministrazione nel suocomplesso pur nella specificità dei compiti rimessi ad ogni amministrazione.


Qualora il trattamento dei dati personali sia effettuato nell’ambito di un Ministero, è l’en-tità nel suo complesso che assume la veste di “titolare” ex art. 1, comma 2, lett. d) della leggen. 675/1996, e non taluna delle persone fisiche che operano nella struttura e che sono legitti-mate ad esprimere la volontà dell’ente.


R.a.i.

Quale responsabile del trattamento, la R.a.i. collabora con l’amministrazione delle Finanze,titolare del trattamento, nello svolgimento dei compiti relativi alla gestione e alla riscossione deicanoni. La società non può, quindi, essere considerata come un soggetto privato che persegueulteriori finalità e che può decidere autonomamente in ordine al trattamento delle informazionipersonali, dovendo la stessa attenersi rigorosamente alle prescrizioni normative e alle istruzioniimpartite dall’amministrazione finanziaria. Limitatamente a questi rapporti, alla società deve,quindi, ritenersi applicabile il particolare regime previsto per le amministrazioni pubbliche che, adifferenza dei privati – i quali, ai sensi degli artt. 12 e 20 della legge n. 675/1996, possono trattareinformazioni personali in presenza del consenso degli interessati o di uno degli altri presupposti


equipollenti –, possono effettuare solo i trattamenti connessi all’esercizio delle proprie funzioniistituzionali, nei limiti stabiliti dalle previsioni di legge o di regolamento (art. 27 della legge).


Servizi informatici di postalizzazione

I soggetti privati che gestiscono per conto dell’I.n.p.s. servizi informatici di postalizzazione(es.: il servizio Postel) per il trattamento di dati personali finalizzato alla liquidazione degli asse-gni per il nucleo familiare e di maternità, debbono essere designati dall’Istituto titolare comeresponsabili del trattamento ai sensi dell’art. 8 della legge n. 675/1996, in quanto viene loro affi-data l’esecuzione, sia pure con un certo grado di autonomia, solo di una parte strumentale delleoperazioni di trattamento necessarie per perseguire le finalità del titolare.


Servizi di posta elettronica ibrida epistolare• V.: TELECOMUNICAZIONI E RETI TELEMATICHE > CASI PARTICOLARI > SERVIZI DI POSTA ELETTRONICA

IBRIDA EPISTOLARE (P. 193)

Titolare di trattamento correlato ed autonomo

La Siteba - Sistemi telematici bancari s.p.a. svolge un’attività di supporto tecnico in favoredegli istituti bancari e degli enti emittenti carte di credito che attivano terminali presso gli eser-cizi commerciali al dettaglio (di regola, di tipo E.F.T./P.O.S. stand-alone) o della c.d. grande dis-tribuzione (di solito concentrati su server); tale servizio, che è reso presso i punti vendita, è fina-lizzato all’accettazione delle carte di pagamento da parte dei terminali E.F.T./P.O.S. e si esplicanell’approntamento, in favore delle banche e degli istituti emittenti, di servizi di installazione,manutenzione e gestione dei terminali, nonché di ulteriori attività propedeutiche o complemen-tari (quali, ad esempio, le richieste di codici identificativi degli esercenti o di attivazione dei ter-minali con le banche acquirers delle carte di credito; i rapporti con i fornitori di rete di teleco-municazione per l’eventuale concessione di terminazioni speciali). Poiché detta complessivaattività è strumentale all’ulteriore rapporto tra esercenti il commercio e banche/enti emittentideve ritenersi che le scelte di fondo sulle finalità e sulle modalità del trattamento spettino a que-sti ultimi (che rivestono la qualità di titolari del complessivo trattamento dei dati), sicché, avutoriguardo alle concrete modalità di gestione del rapporto, è logico interpretare il ruolo dellaSiteba come quello di una società titolare di un trattamento correlato ed autonomo, limitata-mente al centro di assistenza telefonica, esterna alla banca committente del servizio di installa-zione. Ne consegue l’opportunità che la banca committente, in sede di informativa agli eser-

TITOLARE, RESPONSABILE, INCARICATO > CASI PARTICOLARI >SERVIZI INFORMATICI DI POSTALIZZAZIONE

71

centi, indichi anche la Siteba tra i soggetti utilizzati per gli adempimenti contrattuali connessi alservizio di pagamento remoto.


Ufficio per la mediazione penale di Milano

In relazione all’attività di sua pertinenza, l’Ufficio per la mediazione penale di Milano èstato nominato titolare del trattamento dei relativi dati dal Ministero della giustizia - Ufficio cen-trale per la giustizia minorile che, con provvedimento del 13 agosto 1998, ha altresì designato ildirettore del Centro per la giustizia minorile di Milano quale responsabile del trattamento nelrelativo ambito territoriale di competenza, anche per ciò che riguarda i trattamenti gestiti in col-laborazione con amministrazioni locali.


Notificazione

Profili generali

Il giornalista che, operando in una condizione di completa autonomia dall’editore ed al difuori di quelle particolari modalità di lavoro previste dal contratto collettivo con riferimento allastruttura editoriale, crei una distinta base di dati destinati alla diffusione, assume in prima per-sona la veste di titolare del trattamento, ed è tenuto ad effettuare una notificazione una tantumal Garante.


La notificazione costituisce una dichiarazione generale che non si riferisce a singoli archivi,computer o schedari, ma attiene al complesso dell’attività di raccolta, di elaborazione e di diffu-sione delle informazioni, ed è dovuta “una sola volta”, a prescindere dal numero delle operazionida svolgere e dalla durata del trattamento. Pertanto, potendo riguardare più trattamenti aventi fina-lità correlate tra loro, la notificazione in ambito giornalistico può senz’altro comprendere l’insiemedelle basi di dati che ruotano attorno all’impresa editoriale e ai relativi collaboratori, e può quindiriassumere in una sola dichiarazione sia i trattamenti di dati finalizzati direttamente allo scopo gior-nalistico, sia quelli che l’impresa gestisce per finalità amministrative (es.: dati relativi al personaledipendente, all’attività contabile e contrattuale) o commerciali (es.: archivio clienti, marketing).



Qualora l’amministrazione si limiti a sopprimere, in tutto o in parte, un singolo archivio,ovvero elimini taluni dati (o categorie di dati) e, tuttavia, prosegua la complessiva attività di trat-tamento di dati personali, non è necessario procedere ad alcuna notifica al Garante, non verten-dosi in tema di vera e propria “cessazione” di trattamento.



Le ipotesi di cessazione del trattamento dei dati personali previste dall’art. 16 della leggen. 675/1996 riguardano solamente i casi in cui il titolare intenda interrompere in via definitival’intero complesso di operazioni concernenti un determinato trattamento. Non ricorrono tali fat-tispecie ove venga soppresso solo un singolo archivio o una sua parte, ovvero vengano eliminatialcuni dati e tuttavia prosegua la complessiva attività di trattamento; in tali casi, pertanto, nonsi rende necessario procedere ad alcuna notifica al Garante.


In forma semplificata

Poiché la disposizione sulla notificazione in forma semplificata da parte dei giornalisti, deipubblicisti e dei praticanti pone l’accento soprattutto sul piano funzionale anziché su quello sog-gettivo, ai fini dell’individuazione della figura del titolare in ambito giornalistico, cui spettano ledecisioni di fondo sulle finalità e sulle modalità del trattamento, è necessario appurare se lescelte di ordine generale sulle complessive modalità dei trattamenti competano ai singoli gior-nalisti ovvero all’editore. All’esito di un’analisi del modo d’esplicazione dell’attività giornalisticae del rapporto giornalisti-editori, deve ritenersi corretto identificare nell’editore il titolare delcomplesso dei dati che ruota attorno all’impresa editoriale e che, pertanto, è tenuto ad effettuarela notificazione semplificata, senza che a ciò possa ritenersi di ostacolo la prassi adottata nelsettore per effetto del contratto di lavoro giornalistico concluso tra la Federazione italiana editorigiornali (F.i.e.g.) e la Federazione nazionale della stampa italiana (F.n.s.i.), che ribadisce soltantoalcuni principi a garanzia della sfera soggettivo-professionale del giornalista.


La notificazione in forma semplificata che, in ambito giornalistico spetta all’editore, puòessere effettuata con un unico atto (e una tantum) ed ha ad oggetto l’insieme delle banche datiautomatizzate e cartacee di cui l’editore è titolare e che sono utilizzate a scopi giornalistici,anche quando – come accade di regola – le informazioni sono frammentate in più archivi, com-puter o fascicoli posti in uno o più luoghi nella materiale disponibilità dei singoli giornalisti


NOTIFICAZIONE > IN FORMA SEMPLIFICATA 73

La notificazione del trattamento di dati sulla salute da parte di un’azienda ospedalieradev’essere effettuata in forma semplificata, anche a prescindere dal mancato richiamo, da partedell’art. 7, comma 5 bis, lett. a) della legge n. 675/1996, dell’art. 23 della stessa legge.




Esonero

Imprenditori artigiani

L’ipotesi di esonero dall’obbligo di notifica del trattamento dei dati prevista dall’art. 7,comma 5 ter, lett. g) della legge n. 675/1996 si applica anche agli imprenditori artigiani, che rien-trano nel novero dei soggetti indicati dall’art. 2083 c.c..


I.n.p.g.i.

L’I.n.p.g.i., avendo natura di fondazione senza scopo di lucro, può avvalersi del dispo-sto di cui all’art. 7, comma 5 ter, lettera l) della legge n. 675/1996 (così come modificato dald.lg. n. 255/1997), con conseguente esonero dall’obbligo di notificazione per i trattamentidei dati relativi agli iscritti, al personale dipendente (cui è applicabile anche la previsionecontenuta alla lett. e) del medesimo articolo) ed ai soggetti che, sempre per le finalità per-seguite dall’Istituto, intrattengano rapporti regolari con esso.


Notai e Consigli notarili

I Consigli distrettuali notarili possono avvalersi dell’esenzione dall’obbligo di notifica


dei trattamenti dei dati prevista dall’art. 7, comma 5 ter, lett. f ) della legge n. 675/1996, pur-ché essi siano finalizzati alla tenuta del “ruolo” professionale in conformità alle leggi ed airegolamenti.


I notai, quali liberi professionisti iscritti in appositi ruoli, possono avvalersi dell’esenzionedall’obbligo di notifica del trattamento dei dati prevista dall’art. 7, comma 5 ter, lett. f ) dellalegge n. 675/1996, purché esso sia effettuato per le sole finalità strettamente collegate all’a-dempimento di specifiche prestazioni professionali e fermo restando l’obbligo del segreto pro-fessionale.


Obblighi contabili, retributivi, previdenziali, assistenziali e fiscali

Ove un partito politico utilizzi i dati dei dipendenti e degli associati in conformità dell’art. 7,comma 5 ter, lettere e) ed l) della legge n. 675/1996 (rispettivamente per l’adempimento di spe-cifici obblighi contabili, retributivi, previdenziali, assistenziali e fiscali, ovvero per il persegui-mento delle finalità associative), il trattamento non è soggetto a notificazione.




Piccole e medie imprese industriali

Le piccole e medie imprese industriali, che non rientrano nella nozione di piccolo impren-ditore, non possono avvalersi dell’esenzione dall’obbligo di notifica del trattamento dei datiprevista dall’art. 7, comma 5 ter, lett. g) della legge n. 675/1996, che è consentita soltanto aisoggetti individuati dall’art. 2083 c.c.; ciò, comunque, non preclude a dette imprese la possi-bilità di avvalersi delle ulteriori ipotesi di esonero previste dall’art. 7 comma 5 ter della leggen. 675/1996, purché ne ricorrano in concreto i presupposti.


NOTIFICAZIONE > ESONERO >PICCOLE E MEDIE IMPRESE INDUSTRIALI

75


PUBBLICAZIONI OCCASIONALI (P. 84)

Misure per la sicurezza dei dati e dei sistemi

Archivi di reparti ospedalieri

Ai fini della tutela della riservatezza degli ammalati di A.I.D.S., l’accesso agli archivi elet-tronici di una divisione di malattie infettive o di altri reparti ospedalieri, in cui i nominativi deipazienti risultino raccolti e conservati, dev’essere reso possibile soltanto ai dipendenti di dettireparti e sempreché sussistano reali esigenze di accesso connesse a ragioni di assistenza e curadei singoli ammalati.




Banche dati centralizzate

La creazione di una banca dati centralizzata che interessa la generalità dei cittadini,quale quella concernente l’istituzione dell’anagrafe dei rapporti di conto e di deposito di cuiall’art. 20, comma 4 della legge n. 413/1991, presuppone un’attenta regolamentazione chedeve andare oltre l’assetto della sicurezza e dell’integrità dei dati e che deve riguardare lefinalità perseguite, i flussi di dati, l’utilizzazione ulteriore delle informazioni e l’individuazionedi compiti e responsabilità.



La creazione di una banca dati centralizzata attuativa della disciplina del collocamento ordi-nario istituito dalla legge n. 59/1997, che interessa la generalità delle persone aventi l’età stabi-lita per essere ammesse al lavoro e che sono in cerca di lavoro perché inoccupate, disoccupate,nonché occupate in cerca di altra attività, presuppone un’attenta regolamentazione che vada oltrel’assetto della sicurezza e dell’integrità dei dati e che deve riguardare le finalità perseguite, l’in-dividuazione di compiti e responsabilità, i vari flussi di dati e la loro utilizzazione ulteriore.


Conservazione e lettura di immagini

Risulta legittima, in quanto rientrante nelle finalità istituzionali proprie degli organismisanitari pubblici (v. legge n. 833/1978 e successive modifiche ed integrazioni), perché connessaall’attività di assistenza e cura dei pazienti, l’istallazione, presso i locali di un pronto soccorsoe nel reparto di rianimazione di un’azienda ospedaliera, di apparecchiature di videosorve-glianza, al fine rispettivamente del controllo della sicurezza dei corridoi e delle sale di attesa eper consentire il continuo monitoraggio delle condizioni dei pazienti ricoverati. Anche in consi-derazione del fatto che, nella specie, si verte in tema di trattamento di dati sensibili (art. 22della legge n. 675/1996), l’istallazione di tale sistema richiede, peraltro, l’osservanza di specifi-che prescrizioni poste dalla legge n. 675/1996, quali la determinazione della localizzazione delletelecamere e delle modalità di ripresa (in ottemperanza ai principi di pertinenza e non eccedenzadei dati rispetto alle finalità perseguite fissati dall’art. 9, comma 1, lett. d)), la definizione deisoggetti (responsabile, incaricati) legittimati a trattare i dati personali, la individuazione di ido-nee misure di sicurezza ai sensi dell’art. 15 (al fine di evitare che i dati possano entrare nella dis-ponibilità di soggetti non autorizzati), la fissazione di precisi parametri concernenti la eventualeconservazione delle immagini registrate per un periodo di tempo non superiore a quello neces-sario agli scopi per i quali i dati sono stati raccolti e trattati (art. 9, comma 1, lett. e), la previsionedelle forme e delle modalità di informativa agli interessati (art. 10).


Ai fini del contenimento della criminalità in particolari ambiti cittadini, possono essereconcluse, tra forze di polizia ed aziende comunali di trasporto pubblico, intese dirette all’intro-duzione di sistemi di videosorveglianza attraverso l’installazione, in via sperimentale, di tele-camere su alcune linee di autobus e tram e presso le fermate. A tal fine, prima dell’attivazionedei sistemi, la localizzazione delle telecamere e le modalità di ripresa andranno fissate in ade-renza alle finalità che ne hanno suggerito l’installazione, tenendo conto dei principi fissati dal-l’art. 9 della legge n. 675/1996, con particolare riguardo a quelli di pertinenza e di non ecce-denza dei dati raccolti rispetto agli scopi perseguiti; inoltre, l’attività di videocontrollo, oggettodi preventiva informativa agli utenti ex art. 10 della legge n. 675/1996, dovrà permettere dicogliere in modo solo panoramico l’interno delle vetture o l’ambito delle singole fermate, inmaniera da evitare non solo riprese talmente particolareggiate da risultare intrusive della riser-vatezza o da consentire la rilevazione di particolari non rilevanti, ma anche da impedire la viola-

MISURE PER LA SICUREZZA DEI DATI E DEI SISTEMI > CONSERVAZIONE E LETTURA DI IMMAGINI 77

zione delle previsioni di cui all’art. 4 della legge n. 300/1970 (in riferimento alle postazioni diguida degli autisti). Infine, le immagini acquisite, accessibili in chiaro da una “stazione di lettura”sulla scorta di un sistema di “doppia chiave” congiunta (una in possesso del personale dell’a-zienda all’uopo preposto, l’altra in possesso dell’autorità di polizia), dovranno essere custodite– unitamente ai sistemi di lettura – con adeguati sistemi di sicurezza, e potranno essere visionatesoltanto in occasione della commissione di atti criminosi ritualmente denunziati.


Dati in busta paga

I dati personali contenuti nel cedolino dello stipendio dei lavoratori dipendenti, in quantocollegati a persone fisiche individuate o individuabili, rientrano nella nozione di “dato perso-nale” contenuta nell’art. 1 della legge n. 675/1996. Si rende quindi necessario adottare le oppor-tune misure volte a tutelare la riservatezza degli interessati (es.: piegando e spillando il cedo-lino, imbustandolo, apponendovi una copertura delle parti più significative, ovvero introducendouna “distanza di cortesia” agli sportelli), affinché tali dati non siano immediatamente accessibilia terzi, ma rimangano conoscibili dai soli incaricati del trattamento che li devono necessaria-mente utilizzare per la gestione del rapporto di lavoro.


Fondo di solidarietà per le vittime dell’usura

In attuazione delle disposizioni concernenti il Fondo di solidarietà per le vittime dellerichieste estorsive e dell’usura ai sensi dell’art. 21 della legge n. 44/1999, è opportuno adottaremisure organizzative idonee ad assicurare, ove possibile, la conoscibilità delle generalità e deglialtri dati personali dell’interessato solo laddove strettamente necessario e, comunque, da partedi un numero circoscritto di operatori preposti agli uffici.


Misure minime




Il d.P.R. n. 318/1999 non contiene tutte le regole tecniche da adottare in qualunque conte-sto ai fini della sicurezza dei dati personali, ma individua unicamente i soli requisiti minimi il cuimancato rispetto comporta una maggiore esposizione al rischio del bene giuridico tutelato e allacui mancata osservanza è quindi collegata anche una sanzione di carattere penale (v. art. 36della legge n. 675/1996). La legge n. 675/1996 prescrive, infatti, l’adozione non solo delle misureminime di cui al citato regolamento, ma anche di quelle di cui all’art. 15, comma 1, della mede-sima legge, che obbliga a custodire e a controllare i dati sulla base di più ampie ed idonee misuredi protezione, la cui mancata predisposizione è rilevante anche al fine dell’accertamento dellaresponsabilità civile per gli eventuali danni cagionati (v. art. 18 della legge).


Non sussiste alcun obbligo di comunicare al Garante le determinazioni raggiunte in attua-zione del d.P.R. n. 318/1999 in materia di adozione di misura minime di sicurezza per la prote-zione dei dati personali, se non a seguito di un’eventuale e specifica richiesta da partedell’Autorità ai sensi dell’art. 32, comma 1, della legge n. 675/1996.


Le disposizioni normative riguardanti le informazioni idonee a rivelare l’appartenenzaetnica dei cittadini residenti nel territorio della provincia di Bolzano – c.d. “proporzionaleetnica” – debbono rispettare, anche in occasione del censimento generale della popolazione,i principi stabiliti dalla legge n. 675/1996 in materia di dati sensibili (art. 22), nonché quelliposti dal d.lg. n. 135/1999 in tema di trattamento di dati sensibili da parte di soggetti pubblicie del d.P.R. n. 318/1999 emesso, in attuazione dell’art. 15, comma 2, della legge n. 675/1996,in materia di misure minime di sicurezza.


Questionari R.a.i.

Con riferimento alle comunicazioni inviate dalla R.a.i., ai fini del pagamento del canone,alle persone che non risultano presenti negli elenchi degli abbonati al servizio radiotelevisivo, lasocietà, al fine della scrupolosa protezione del diritto alla riservatezza dei destinatari, deve adot-tare misure idonee ad evitare l’inutile divulgazione di dati personali compiuta attraverso la resti-tuzione del questionario, contenente anche dati di terzi (familiari o conviventi già abbonati), inuna cartolina leggibile da chiunque, anziché in una busta chiusa o con modalità che, comunque,non ne rendano possibile una facile ed immediata consultazione da parte di estranei.


MISURE PER LA SICUREZZA DEI DATI E DEI SISTEMI > QUESTIONARI R.A.I. > 79


Riservatezza nelle operazioni bancarie• V.: PRIVATI ED ENTI PUBBLICI ECONOMICI > SETTORI DI ATTIVITÀ > ISTITUTI DI CREDITO > CASI PAR-

TICOLARI > RISERVATEZZA NELLE OPERAZIONI BANCARIE (P. 96)

Cessazione del trattamento

Qualora l’amministrazione si limiti a sopprimere, in tutto o in parte, un singolo archivio,ovvero elimini taluni dati (o categorie di dati) e, tuttavia, prosegua la complessiva attività di trat-tamento di dati personali, non è necessario procedere ad alcuna notifica al Garante, non verten-dosi in tema di vera e propria “cessazione di trattamento”.


Ai sensi dell’art. 16 della legge n. 675/1996, si ha “cessazione del trattamento” quando iltitolare, anche se ente pubblico, intenda, per qualsiasi causa, interrompere in via definitiva l’in-tero complesso di operazioni concernenti un determinato trattamento di dati personali. Ne con-segue che l’effettuazione di uno scarto d’archivio non corrisponde, di per sé, ad un’effettiva ecompleta cessazione del trattamento di dati connesso alle attività istituzionali dell’amministra-zione, integrando soltanto una parziale eliminazione, attraverso la distruzione di documenti ofascicoli, di quelle informazioni personali la cui conservazione sia ormai ritenuta inutile ai finiamministrativi e storici.

Garante 13 maggio 1998, in Bollettino n. 4, pag. 20 (v. anche www.garanteprivacy.it: doc. n. 39288)


Ai sensi dell’art. 16 della legge n. 675/1996, una società che intenda porre fine ad un tratta-mento di dati sensibili, con definitiva ed integrale dismissione degli stessi, è tenuta soltanto aripetere la notificazione mediante l’impiego dell’apposito modello, senza dover richiedere alcunaautorizzazione al Garante che, in ogni caso, ha la facoltà di procedere ad opportune verifiche.

Garante 8 giugno 1998, in Bollettino n. 5, pag. 17 (v. anche www.garanteprivacy.it: doc. n. 40001)


Privati edenti pubblicieconomici

• Settori di attività

• Operazioni di trattamento dei dati

• Trattamento per fini personali

• Trasferimento dei dati all’estero

Le ipotesi di cessazione del trattamento dei dati personali previste dall’art. 16 della leggen. 675/1996 riguardano solamente i casi in cui il titolare intenda interrompere in via definitival’intero complesso di operazioni concernenti un determinato trattamento. Non ricorrono tali fat-tispecie ove venga soppresso solo un singolo archivio o una sua parte, ovvero vengano eliminatialcuni dati e tuttavia prosegua la complessiva attività di trattamento; in tali casi, pertanto, nonsi rende necessario procedere ad alcuna notifica al Garante.

Garante 3 settembre 1998, in Bollettino n. 6, pag. 24 (v. anche www.garanteprivacy.it: doc. n. 41007)

CESSAZIONE DEL TRATTAMENTO 81

Settori di attività

Attività giornalistica

Profili generali

I dati personali concernenti le classi stipendiali, le indennità e gli altri emolumenti corri-sposti ad amministratori e lavoratori dipendenti ed autonomi da concessionari di pubblici ser-vizi sono da ritenersi conoscibili da parte di chiunque vi abbia interesse attraverso la letturadegli atti parlamentari (es.: risposte fornite a interrogazioni e interpellanze parlamentari), l’e-same dei contratti collettivi, l’accesso ai documenti amministrativi (legge n. 241/1990) e, insede di esercizio del diritto di cronaca, da parte degli esercenti la professione giornalistica.Rimane ferma la necessità che tali dati siano esatti, completi ed acquisiti correttamente (art. 9della legge n. 675/1996), e che siano invece mantenuti riservati quelli relativi a circostanze per-sonali e familiari, o che abbiano natura sensibile (es.: ritenute previdenziali e assistenziali; ces-sioni di stipendio; deleghe sindacali).


Il quadro normativo delineato dalla legge n. 675/1996 in tema di diffusione di dati sensibilinell’esercizio dell’attività di giornalista ha lasciato inalterata l’esigenza del rispetto, soprattuttoin ordine all’essenzialità dell’informazione rispetto a fatti di interesse pubblico, di alcuni limitiposti al diritto di cronaca a tutela della riservatezza, suscettibili d’integrazione da parte delcodice deontologico di settore, previsto dall’art. 25 della legge.


Il bilanciamento tra il diritto alla riservatezza e il diritto all’informazione operato dallalegge n. 675/1996 (v., in particolare, l’art. 25, come modificato dal d.lg. n. 171/1998) non giusti-fica alcuna deroga a quanto previsto dalle disposizioni dell’art. 9 della legge, secondo le quali ilgiornalista, al pari di ogni altro soggetto che utilizzi informazioni contenute anche su supportiaudiovisivi, deve raccoglierle senza violenza o inganno e in un quadro di trasparenza.


Il principio di correttezza nell’acquisizione delle informazioni (art. 9 della legge n. 675/1996),che è proprio anche dell’esercizio dell’attività giornalistica, trova applicazione – anche per le fatti-specie antecedenti all’entrata in vigore del codice di deontologia di settore, pubblicato sulla G.U.n. 179 del 3 agosto 1998 – nel caso di registrazioni audiovisive accidentali o che non facciano partedi una prova di trasmissione, e impongono alla rete televisiva che le abbia effettuate di astenersi

SETTORI DI ATTIVITÀ> ATTIVITÀ GIORNALISTICA >PROFILI GENERALI

85

M a s s i m a r i o 1 9 9 7 / 2 0 0 1 • P r i v a t i e d e n t i p u b b l i c i e c o n o m i c i86

dal diffonderle o, quanto meno, di darne tempestiva notizia all’interessato, ponendolo nella con-dizione di esprimere il proprio punto di vista e, se del caso, di opporsi all’ulteriore trattamento(principi affermati dal Garante in una segnalazione ad una rete televisiva a proposito della diffu-sione, da parte di una trasmissione a sfondo satirico, di considerazioni espresse da un esponentepolitico registrate, a sua insaputa, nei momenti immediatamente precedenti l’inizio di un’intervi-sta rilasciata ad un telegiornale della stessa rete).


La richiesta di rettifica formulata nei confronti di un settimanale ai sensi dell’art. 42 dellalegge n. 46/1981 è cosa diversa dall’istanza di cui all’art. 13 della legge n. 675/1996; ne conse-gue che il ricorso ex art. 29, ove non preceduto da una regolare istanza ex art. 13, va dichiaratoinammissibile.


Il diritto all’identità personale, tutelato dall’art. 1 della legge n. 675/1996, può essere lesodall’avvenuta pubblicazione su un quotidiano di vari articoli di stampa che, attraverso un erro-neo riferimento alla persona del ricorrente ed al suo stato coniugale, ovvero mediante un’ine-satta utilizzazione del suo cognome, gli abbiano attribuito comportamenti posti in essere daaltri, con conseguente distorsione della sua immagine. In tal caso, ai sensi dell’art. 29, comma 4della legge, non solo dev’essere fatto ordine, sia all’editore che al direttore del quotidiano, dicessare il trattamento illegittimo, ma, ai fini di un’effettiva tutela dei diritti dell’interessato,dev’essere ordinata la rettifica dei dati personali trattati, con attestazione, in favore del predetto,della circostanza che tale rettifica è stata portata a conoscenza di coloro ai quali erano stati ori-ginariamente diffusi i detti dati, attraverso la pubblicazione, sul medesimo quotidiano, di unapposito comunicato in tal senso.


La mera citazione, in un articolo di giornale, delle generalità di alcuni vigili urbani rimastivittime di comportamenti lesivi dell’integrità fisica o di atti di resistenza, ovvero coinvolti in pro-cedimenti amministrativi o giudiziari nei quali si controverta di un’infrazione contestata o, even-tualmente, imputati per reati riconducibili al servizio prestato, non contrasta con i principi affer-mati negli artt. 12, 20 e 25 della legge n. 675/1996 e nel codice di deontologia in tema di attivitàgiornalistica.


Dalla pronunzia del provvedimento di blocco deriva l’obbligo, per il titolare o per il respon-sabile, di sospendere ogni ulteriore operazione di trattamento diversa dalla mera conservazionedelle informazioni già raccolte e, in particolare, di astenersi dal diffondere ulteriormente i dati

anche in modo indiretto; pertanto, ove il blocco sia stato adottato a seguito dell’avvenuta divul-gazione di alcune informazioni a mezzo di un articolo giornalistico pubblicato su di un quoti-diano, l’obbligo di astensione dall’ulteriore diffusione dei dati può comportare anche il divieto,per il quotidiano e la società editrice, di pubblicare il testo del provvedimento cautelare adottatodal Garante.


Il trattamento dei dati personali effettuato nell’esercizio dell’attività giornalistica deve svol-gersi nel rispetto delle previsioni del Codice di deontologia pubblicato sulla G.U. del 29 luglio1998, che, nel richiamare i fondamentali principi affermati in materia dalla legge n. 675/1996,detta specifiche regole in tema di essenzialità dell’informazione rispetto ai fatti d’interesse pub-blico.




L’istanza formulata ai sensi dell’art. 13 della legge n. 675/1996 può essere proposta, oltreche al direttore responsabile della testata giornalistica, nella qualità di responsabile del tratta-mento dei dati personali, anche al titolare del trattamento per il tramite di una articolazione cen-trale o periferica della struttura che fa capo a quest’ultimo (nella specie, una redazione perife-rica del quotidiano). L’istanza, infatti, deve presumersi conosciuta dal titolare ove giunga in unluogo che rientra nella sua sfera di dominio e controllo.


Informativa semplificata

Il codice di deontologia relativo al trattamento dei dati personali nell’esercizio dell’attivitàgiornalistica, in attuazione dell’art. 25, comma 4 della legge n. 675/1996 (come modificato dal d.lg.n. 123/1997), ha introdotto forme semplificate di informativa applicabili a due distinte situazioniregolate nei commi 1 e 3 dell’art. 10 della legge n. 675/1996. In particolare, l’art. 2, comma 1 delcodice disciplina l’informativa che il giornalista – per un’esigenza di correttezza nei confrontidelle persone “intervistate” – deve fornire al momento in cui raccoglie dati dalla persona alla

SETTORI DI ATTIVITÀ> ATTIVITÀ GIORNALISTICA >INFORMATIVA SEMPLIFICATA

87

quale si riferiscono le informazioni; in questo caso, il dovere d’informativa può essere adempiuto– salvo il caso in cui ciò risulti impossibile o comporti rischi per l’incolumità personale del pro-fessionista – palesando all’interessato la sola circostanza che si sta esercitando un’attività gior-nalistica, nonché le finalità della raccolta, senza che occorra specificare gli altri elementi indicatinell’art. 10, comma 1 della legge n. 675/1996. Al contrario, il secondo comma dell’art. 2 delcodice disciplina il caso in cui il giornalista raccolga informazioni riguardanti l’interessato pressoterzi oppure si avvalga delle varie fonti informative disponibili; soltanto in relazione a questeultime ipotesi – impregiudicata l’esigenza del giornalista di effettuare, ove necessario, l’infor-mativa di cui al comma 1 – trova applicazione l’obbligo degli editori di rendere noti al pubblico,almeno due volte l’anno, mediante annunci, l’esistenza degli archivi e il luogo dove è possibileesercitare i diritti previsti dalla legge n. 675/1996.


Pubblicazioni occasionali

Profili generali

L’art. 7, comma 5 ter, lett. n) della legge n. 675/1996, così come modificato dal d.lg.n. 255/1997, esonera dall’obbligo di notificazione coloro che raccolgono ed elaborano tempora-neamente dati finalizzati alla pubblicazione o alla diffusione occasionale di articoli, saggi edaltre manifestazioni del pensiero. Pertanto, tale ipotesi di esonero – a cui sono estranei i giorna-listi, i pubblicisti ed i praticanti, che sono autorizzati ad effettuare una notificazione in formasemplificata – si applica non solo agli innumerevoli soggetti che collaborano saltuariamente conquotidiani, collane e periodici (pubblicati anche per via telematica) o che sono autori di libri edopere audiovisive, ma anche agli editori ed ai produttori che curano la materiale confezione dellepubblicazioni e delle espressioni letterarie ed artistiche.


Nel disciplinare per regolamento la conoscibilità delle informazioni in suo possesso, l’entelocale (nella specie il comune) può contemplarne la diretta divulgabilità tramite riviste e noti-ziari, anche telematici, curati dall’ente stesso. Poiché la loro pubblicazione ricade nell’ampianozione di trattamento finalizzato “esclusivamente alla pubblicazione occasionale di articoli,saggi o altre manifestazioni del pensiero”, l’ente locale deve tenere conto della disciplina deltrattamento dei dati a fini giornalistici e di divulgazione anche temporanea delle manifestazionidel pensiero prevista dall’art. 25 della legge n. 675/1996.


Le norme della legge n. 675/1996 relative al trattamento dei dati personali per finalità gior-nalistiche (artt. 12, comma 1, lett. e), 20, comma 1, lett. d) e 25), nonché le disposizioni contenute


nel codice deontologico del settore (pubblicato sulla G.U. 3 agosto 1998 n. 179), si applicanoanche ad ogni trattamento temporaneo finalizzato esclusivamente a pubblicazioni occasionali.


Biografie di dirigenti di partiti politici

La pubblicazione, ad opera di un partito politico, delle biografie dei propri dirigenti rientranella previsione di cui all’art. 25, comma 4 bis della legge n. 675/1996, che estende le preroga-tive dei giornalisti ai soggetti che curano la pubblicazione di articoli, saggi e altre manifestazionidel pensiero.


Epistolario

La pubblicazione di un epistolario, comprensiva di note esplicative ed indici, concernenteuna raccolta di corrispondenza indirizzata ad una personalità di spicco della letteratura italiana,può ricadere nell’ampia nozione di trattamento finalizzato “esclusivamente alla pubblicazioneoccasionale di articoli, saggi e altre manifestazioni del pensiero” previsto dall’art. 25, comma 4bis della legge n. 675/1996, norma la cui applicazione esenta dall’acquisizione del consensodegli interessati (cfr. art. 12, lett. e) della legge). L’informativa può essere premessa alla pubbli-cazione in una forma semplificata, che specifichi l’identità del curatore dell’epistolario e l’indi-rizzo al quale fare riferimento per l’eventuale esercizio dei diritti di cui all’art. 13 della legge.


Opuscoli di propaganda politica ed elettorale

La disciplina sulla diffusione di opuscoli di propaganda politica ed elettorale contenentidati sensibili muta a seconda delle caratteristiche dei singoli opuscoli e dei dati raccolti. Infatti,qualora detti opuscoli siano curati da giornalisti o da pubblicisti per l’esclusivo perseguimentodi finalità proprie a tali figure, trovano applicazione le disposizioni della legge n. 675/1996 sul-l’attività giornalistica, le quali non prevedono il previo consenso al trattamento da parte degliinteressati; dette disposizioni, inoltre, ai sensi dell’art. 25, comma 4 bis della legge, trovanoapplicazione anche per i trattamenti temporanei operati da soggetti diversi da quelli che svol-gono la professione di giornalista ma che siano pur sempre finalizzati all’esclusivo fine dellapubblicazione occasionale di articoli, saggi ed altre manifestazioni del pensiero, benché effet-tuata nell’ambito di un’attività politica.


SETTORI DI ATTIVITÀ> ATTIVITÀ GIORNALISTICA >PUBBLICAZIONI OCCASIONALI > BIOGRAFIE DI DIRIGENTI DI PARTITI POLITICI

89

Provvedimenti disciplinari adottati dai Consigli dell’Ordine degliavvocati

È lecita la divulgazione, tramite riviste o notiziari curati dai Consigli dell’Ordine degli avvo-cati, dei provvedimenti disciplinari adottati dai Consigli stessi nei confronti degli iscritti, trattan-dosi di attività di pubblicazione riconducibile all’ampia nozione di trattamento di dati personalifinalizzato alla pubblicazione o diffusione occasionale di articoli, saggi o altre manifestazioni delpensiero, cui è applicabile la disciplina prevista dall’art. 25 della legge n. 675/1996 in tema diattività giornalistica e di informazione.


Rassegne stampa

La predisposizione di una “rassegna stampa” a fini d’informazione endoaziendale costi-tuisce un trattamento di dati che, sostanziandosi nella sola collezione (raccolta, consultazionee conservazione) di articoli di stampa e di estratti di agenzie, può essere annoverato tra quelliche non richiedono il consenso degli interessati, in quanto effettuati da giornalisti professioni-sti o pubblicisti o, comunque, finalizzati alla pubblicazione occasionale di articoli, saggi ed altremanifestazioni del pensiero. Pertanto, trattasi di trattamenti che non necessitano di alcunaautorizzazione da parte del Garante, nei cui confronti trovano applicazione gli artt. 12, comma1, lett. e), 20 comma 1, lett. d) e 25 della legge n. 675/1996, come rispettivamente integrati dald.lg. n. 171/1998.


Casi particolari

Dati reddituali dei contribuenti

In base alla legge n. 675/1996 (art. 27, comma 3) le amministrazioni pubbliche possonodivulgare i nominativi di contribuenti che hanno dichiarato redditi superiori ad una certa soglia,trattandosi di informazioni la cui diffusione è prevista da una norma di legge (art. 69 del d.P.R.n. 600/1973). In base a tale normativa, i dati possono essere poi oggetto di ulteriore circola-zione a cura dei mezzi di informazione, senza che sia necessario acquisire il consenso degliinteressati (artt. 12 e 20 della legge n. 675/1996).


La pubblicazione, a cura del Ministero delle finanze, dei nominativi dei contribuenti noncontrasta con le disposizioni della legge n. 675/1996, in quanto i dati reddituali e gli elenchi cheli contengono sono soggetti a specifiche norme regolamentari (art. 69, commi 1, 2, 3 e 4 deld.P.R. n. 600/1973) che, per rilevanti finalità d’interesse pubblico, ne prevedono la piena cono-


scibilità da parte di chiunque. Pertanto, stante il generale regime di conoscibilità cui tali datisono sottoposti, anche in assenza del consenso degli interessati non sussiste alcuna preclusionealla loro ulteriore circolazione tramite i mezzi d’informazione, i quali non sono neanche tenuti adimostrare la sussistenza del requisito dell’essenzialità dell’informazione rispetto a fatti d’inte-resse pubblico (art. 20, comma 1, lett. d), della legge n. 675/1996).


Dati derivanti da intercettazioni



Interviste e dichiarazioni alla stampa

La legge n. 675/1996, che considera “dato personale” qualunque informazione che con-senta l’identificazione del soggetto interessato, anche se derivante da suoni o immagini (es.: regi-strazioni sonore, filmati, ecc.), riguarda tutte le operazioni di trattamento dei dati, a prescinderedal fatto che le informazioni trattate siano contenute in una banca dati o in un archivio. Ancheun’intervista o un colloquio, quindi, come qualsiasi altra dichiarazione, opinione, o manifesta-zione del pensiero proveniente dall’interessato (uno scritto, un saggio, un articolo, ecc.), costitui-scono informazioni che riguardano la sua persona e come tali “dati personali”, essendo del tuttoirrilevante la forma in cui sono trattate o gli eventuali supporti che le contengono. Ne consegueche l’interessato ha pieno diritto di ottenere dall’editore di un quotidiano e dal giornalista autoredell’articolo la comunicazione, in una forma chiaramente intelligibile (es.: attraverso riproduzionesu supporto sonoro o cartaceo), della registrazione di una propria intervista rilasciata al giornalee poi divenuta oggetto dell’articolo.


Minori

Contrasta con i principi posti dalla legge n. 675/1996 in tema di corretto espletamento del-

SETTORI DI ATTIVITÀ> ATTIVITÀ GIORNALISTICA >CASI PARTICOLARI> DATI DERIVANTI DA INTERCETTAZIONI

91

l’attività giornalistica la pubblicazione su un quotidiano dei dati personali di un minore, idoneiad identificarlo, ove tale pubblicazione non risulti essenziale sia rispetto al fatto di interessepubblico oggetto della notizia, sia ai fini dell’esercizio del diritto di cronaca, tenuto anche contodella previsione dell’art. 13, comma 1 del d.P.R. n. 448/1998, che vieta la pubblicazione e la divul-gazione di notizie idonee a consentire l’identificazione del minorenne coinvolto in un procedi-mento penale (fattispecie relativa ad un minore che, alla guida di un ciclomotore, aveva investitouna persona, causandone il decesso).


Il Codice deontologico dei giornalisti – in particolare, l’art. 7, che richiama anche i principiposti dalla “Carta di Treviso” del 4/5 ottobre 1990 – pone il diritto alla riservatezza di minori“come primario rispetto al diritto di critica e di cronaca”. Nel pubblicare su un quotidiano un arti-colo dedicato alla vicenda di un minore, i responsabili della testata debbono quindi astenersi dalriportare un insieme di informazioni (iniziali del nome e cognome dell’interessato, nome dell’i-stituto scolastico e classe frequentata) che possono portare con facilità alla identificazione delsoggetto, specie in presenza di un limitato contesto territoriale di riferimento (fattispecie rela-tiva alla pubblicazione da parte del quotidiano della notizia del malore di una minorenne, resaidentificabile, associandolo ai contraccolpi psicologici determinati dalla cessazione del funzio-namento di un “pulcino elettronico”).


Non risulta conforme ai principi in materia di trattamento dei dati nell’esercizio della pro-fessione giornalistica posti dalla legge n. 675/1996 – in particolare, artt. 12, comma 1, lett. e), 20,comma 1, lett. d) e 25 – e dal codice deontologico del settore – v. art. 7, che richiama anche i prin-cipi posti dalla “Carta di Treviso” – la pubblicazione, su di un settimanale, di un servizio giorna-listico contenente dati personali (fotografie, didascalie, ecc.) di un minore, persona in certamisura già nota al pubblico, costituito da riprese a distanza di momenti della sua vita scolasticaassociate a fantasiosi commenti sul suo stato d’animo, ove essi possano avere incidenza sullasua identità ed incrementare la spettacolarizzazione del suo caso.


Ai sensi dell’art. 7, comma 3, del codice di deontologia relativo al trattamento dei dati per-sonali nell’esercizio dell’attività giornalistica, il diritto del minore alla riservatezza dev’esseresempre considerato come primario rispetto al diritto di critica e di cronaca anche qualora ilminore sia coinvolto in fatti di cronaca e sussista un motivo di rilevante interesse pubblico allaconoscenza di talune notizie; in tale ipotesi, il giornalista, fermi restando i limiti di legge, puòcomunque decidere di diffondere notizie od immagini riguardanti i minori, facendosi carico dellaresponsabilità di valutare se tale pubblicazione sia davvero nell’interesse oggettivo del minore,secondo i principi ed i limiti stabiliti dalla “Carta di Treviso”.



Ai sensi dell’art. 6, comma 1, del Codice deontologico, la condizione di notorietà che, nel-l’esercizio dell’attività giornalistica, giustifica la raccolta e la diffusione dei dati attinenti alruolo ed alla vita pubblica dell’interessato, non solo non consente di raccogliere o diffondereinformazioni attinenti alla sua sfera privata che non abbiano rilievo sotto tali profili, ma nonpuò neanche comportare un affievolimento della tutela riconosciuta ai suoi congiunti e, segna-tamente, ai minori. Ne consegue che, in assenza di consenso ed in difetto dei presupposti dicui agli artt. 5, 6 e 7 del Codice deontologico, deve ritenersi illecita la pubblicazione di fotoscattate in occasione dell’ingresso di un personaggio famoso e dei suoi figli minori in uno stu-dio pediatrico.


La normativa posta in materia di trattamento dei dati personali nell’ambito dell’attivitàgiornalistica dalla legge n. 675/1996 (in specie, art. 25) e dal codice di deontologia del settore(pubblicato su G.U. 3 agosto 1998, n. 179), secondo la quale il diritto alla riservatezza dei minorideve essere considerato sempre “primario” rispetto al diritto di critica e di cronaca (art. 7,comma 3 del codice), vieta di pubblicare i nomi delle persone di minor età coinvolte in fatti di cro-naca e di fornire particolari in grado di condurre alla loro identificazione (art. 7, comma 1 delcodice). Il giornalista che “per motivi di rilevante interesse pubblico” (art. 7 del codice) decide didiffondere notizie o immagini riguardanti minori deve farsi carico di valutare, sotto la propriaresponsabilità, l’esistenza dell’“oggettivo interesse” del minore alla diffusione delle informa-zioni che lo riguardano, secondo i principi e i limiti stabiliti nella “Carta di Treviso” (5/10/90 –25/11/95). In relazione ai suddetti principi, il Garante ha ritenuto non conformi a diritto, provve-dendo alle relative segnalazioni ai sensi dell’art. 31, comma 1, lett. c), della legge n. 675/1996:

1) la pubblicazione dei dati identificativi della madre della minore, del nome della scuolada questa frequentata, dell’indirizzo della famiglia e di una fotografia della madre che, a suavolta, mostrava una fotografia della figlia, tenuto conto della specifica situazione in cui era coin-volta la minore, relativa a presunte molestie sessuali subite in famiglia;

2) la messa in onda, nel corso di un telegiornale, di un’intervista in cui venivano diffusi inomi e mostrate le fotografie di due minorenni allontanate dalla famiglia e affidate ad un isti-tuto di accoglienza (nella specie, il Garante ha ritenuto violato anche il principio, fissato dal-l’art. 20, comma 1, lett. c), della legge n. 675/1996, di essenzialità dell’informazione rispetto alfatto di pubblico interesse riportato nell’intervista, costituito dall’intento di sensibilizzare l’o-pinione pubblica locale circa l’operato di alcuni assistenti sociali, che veniva fatto oggetto di cri-tiche);

3) la pubblicazione della fotografia di un uomo, imputato di violenza carnale ai danni di ungiovane, ritratto insieme alla nipote minorenne e ad altri congiunti. Riguardo sia a questi ultimi,sia alla minore, il Garante ha ritenuto violata anche la norma, posta dall’art. 5 del Codice deon-tologico, che impone di evitare riferimenti a congiunti o ad altri soggetti estranei ai fatti oggettodella notizia;

4) la pubblicazione non solo degli elementi identificativi di un minore autore dell’omicidiodella fidanzata, anch’essa minorenne, ma anche di dettagli relativi al suo stato di salute rileva-bili dalla pubblicazione di ampi stralci della perizia medico-psichiatrica disposta dal giudiceminorile (e ciò in contrasto anche con l’art. 13 del d.P.R. n. 448/1988, che vieta la pubblicazione

SETTORI DI ATTIVITÀ> ATTIVITÀ GIORNALISTICA >CASI PARTICOLARI> MINORI

93

di notizie ed immagini idonee a consentire l’identificazione dei minorenni coinvolti in procedi-menti penali).





Cronaca giudiziaria

La diffusione, attraverso i mezzi d’informazione, della notizia afferente l’invito a compa-rire innanzi all’autorità giudiziaria penale, prima che di detto provvedimento abbia avuto effet-tiva conoscenza l’interessato, costituisce violazione dei principi di liceità e correttezza fissatidall’art. 9, comma 1, lett. a) della legge n. 675/1996 allorché non siano rinvenibili concreti ele-menti che giustifichino l’immediato esercizio del diritto di cronaca (fattispecie antecedentel’introduzione del codice di deontologia di settore).


La pubblicazione su un quotidiano della notizia della richiesta di rinvio a giudizio dell’inte-ressato – anche quando avvenga prima che questi abbia ricevuto una formale comunicazione – èlegittima perché tale richiesta, non essendo qualificabile come atto d’indagine, non è soggettaall’obbligo del segreto imposto dall’art. 329 c.p.p., purché non vengano oltrepassati i limiti aldiritto di cronaca posti dalla legge n. 675/1996 a tutela del diritto alla riservatezza (art. 20,comma 1, lett. d)).


Risulta aderente ai principi fissati in tema di trattamento dei dati nello svolgimento del-l’attività giornalistica dalla legge n. 675/1996 (artt. 12, comma 1, lett. e), 20, comma 1, lett. d) e25) e dal codice deontologico di settore (pubblicato su G.U. 3 agosto 1998 n. 179), la pubblica-zione su un quotidiano della notizia della richiesta di rinvio a giudizio dell’interessato, anchequando questi è indicato nominativamente, perché tale richiesta, non qualificabile come attod’indagine, non è soggetta all’obbligo del segreto imposto dall’art. 329 c.p.p., e purché la noti-zia sia caratterizzata dalla rilevanza pubblica nell’ambito territoriale di riferimento della testatagiornalistica, dalla sua veridicità e dalla forma civile dell’esposizione.



Non viola la disciplina posta a tutela della riservatezza in materia di trattamento dei datipersonali nell’esercizio dell’attività giornalistica (contenuta negli artt. 12, comma 1, lett. e),20, comma 2, lett. d) e 25 della legge n. 675/1996, nonché nel codice deontologico di settore,


pubblicato su G.U. 3 agosto 1998 n. 179), la pubblicazione su un quotidiano dei dati (nome,età, professione) identificativi dell’interessato maggiorenne, tratti da una sentenza dell’a.g.o.,ove la notizia, esposta in forma civile, si riferisca ad un fatto (nella specie, un tragico sinistrostradale) di cui non è controversa la verità né la rilevanza pubblica nell’ambito locale di diffu-sione della testata giornalistica. Ai sensi dell’art. 20,comma 1, lett. d) della legge n. 675/1996il trattamento dei dati in questione può avvenire senza il consenso dell’interessato.


Risulta aderente ai principi posti dalla legge n. 675/1996 la pubblicazione su un quotidianodella sentenza emessa nei confronti dell’interessato maggiorenne, anche quando vengano resinoti la sua identità, il capo di imputazione e la condanna irrogata, ove risulti la verità dei fatti, laforma civile dell’esposizione e la rilevanza pubblica della notizia nel contesto locale di riferi-mento della testata giornalistica. Il relativo trattamento dei dati personali può avvenire senza ilconsenso dell’interessato (art. 20, comma 1, lett. d) della legge).


Pubblicazioni di matrimonio

Ai sensi degli artt. 12, comma 1, lett. e) e 20, comma 1, lett. d), della legge n. 675/1996, idati contenuti nelle pubblicazioni di matrimonio possono essere divulgati a fini giornalisticianche senza il consenso degli interessati, fermi restando i limiti del diritto di cronaca posti atutela della riservatezza e le specifiche disposizioni poste dal codice deontologico di settore;pertanto, la possibilità di raccogliere e di diffondere i dati estratti dalle pubblicazioni affisseall’albo pretorio, nell’esercizio della professione di giornalista e per il perseguimento delle rela-tive finalità, non lede, di per se stessa, la sfera privata degli interessati che, in caso di eventualeesercizio del diritto di opposizione, sono tenuti ad esplicitare in concreto le ragioni personaliostative alla prosecuzione del trattamento.


Segreto professionale del giornalista

Il diritto di accesso sancito dall’art. 13 della legge n. 675/1996 è riconosciuto anche neiconfronti dei giornalisti e degli editori, i quali devono confermare senza ritardo se detengono omeno dati personali che riguardano l’interessato, comunicandoli in una forma intelligibile e for-nendo riscontro anche alle richieste di blocco e di cancellazione eventualmente presentate.Resta fermo il dovere dei giornalisti e degli editori di rispettare il segreto professionale sullafonte delle notizie, qualora ciò sia richiesto dal relativo carattere fiduciario (art. 2, comma 3 dellalegge n. 69/1963).


SETTORI DI ATTIVITÀ> ATTIVITÀ GIORNALISTICA >CASI PARTICOLARI> PUBBLICAZIONI DI MATRIMONIO

95

La legge n. 675/1996 reca un’esplicita clausola di salvaguardia delle norme sul segretoprofessionale del giornalista, il quale può far valere la tutela della confidenzialità della fontedelle notizie qualora ciò sia richiesto dal relativo carattere fiduciario, in ogni circostanza e sedenella quale la legge n. 675/1996 trovi applicazione, anche nei confronti del Garante e del citta-dino che intenda tutelare i propri diritti.


Biometria

Le impronte dattiloscopiche, che forniscono un preciso elemento identificativo di ogni per-sona fisica, alla luce della definizione fornita dall’art. 1, comma 2, lett. c) della legge n. 675/1996sono senza dubbio dati personali e, pertanto, il loro trattamento rientra nell’ambito di applica-zione della legge.




Deve essere disposto il divieto del trattamento dei dati raccolti con un rilevatore diimpronte digitali (nella specie associato alle immagini riprese da un sistema video) posto all’in-gresso di un istituto di credito, ove non giustificato da elementi che evidenzino una concretasituazione di rischio. Un’attività indifferenziata di raccolta di dati significativi, quali le impronteassociate alle immagini, imposta a tutti coloro che entrano nella banca, non può ritenersi di persé legittimata da un’esigenza generica di sicurezza, traducendosi in un sacrificio sproporzionatodella sfera di libertà di tutte le persone interessate che possono legittimamente lamentare ancheuna considerazione non adeguata e un rilevante pregiudizio della propria dignità personale.


Rientra tra i compiti del Garante l’instaurazione di un procedimento ai sensi dell’art. 31,comma 1, lett. c), della legge n. 675/1996 al fine del controllo della liceità del trattamento dei datipersonali (finalità e modalità del trattamento, consultazione dei dati, comunicazione a terzi, con-servazione e distruzione) operato da un istituto bancario attraverso la raccolta delle improntedigitali e dell’immagine del volto dei clienti all’ingresso dei locali della banca.



Costituiscono dati personali ai sensi dell’art. 1, comma 2, lett. c), della legge n. 675/1996le impronte digitali e l’immagine del volto dei clienti di un istituto di credito raccolti all’entratadella banca attraverso un apposito dispositivo elettronico (chiamato biodigit).


La rilevazione dei dati biometrici (nel caso di specie impronte digitali associate ad imma-gini del volto) di coloro che accedono ai locali di una banca, ove formalmente giustificata dallamera affermazione di una generica ed indimostrata esigenza di sicurezza, non suffragata da spe-cifici elementi di rischio, si pone in contrasto con il principio di proporzionalità di cui all’art. 9della legge n. 675/1996. Ne consegue che il trattamento dei dati raccolti con detto sistema dirilevamento è illecito, traducendosi in un sacrificio sproporzionato della sfera di libertà dei sin-goli interessati.


L’accesso degli interessati, debitamente informati ex art. 10 della legge n. 675/1996, aglisportelli bancari tramite i sistemi di rilevazione biometrica deve avvenire su base volontaria econsensuale, previo abbinamento di detti sistemi ai comuni dispositivi d’ingresso già installati;la possibilità di tale rilevazione – che, con riferimento alle impronte digitali, non deve dar luogoad alcuna “schedatura” da parte degli istituti di credito – non può autorizzare l’adozione dicomportamenti vessatori nei confronti di coloro che non ritengano di acconsentire alla rileva-zione dell’impronta, con la conseguenza che, in caso d’indisponibilità a sottostare alle rileva-zioni dei dati biometrici, all’utente deve essere comunque garantita la facoltà di accesso allabanca, previa adozione di misure di cautela rimesse alla ragionevole valutazione del responsa-bile della filiale.


Le informazioni personali eccezionalmente acquisite dalle banche tramite sistemi di rileva-zione biometrica possono essere decrittate soltanto dall’autorità giudiziaria e dalla polizia giu-diziaria, avuto riguardo a specifiche attività investigative connesse alla commissione di reati;dette informazioni, che debbono essere protette con l’adozione di misure di sicurezza conformialle previsioni di cui all’art. 15, comma 1, della legge n. 675/1996 e del d.P.R. 318/1999 (anche inriferimento alla custodia della c.d. “chiavi di accesso” al sistema ed ai dati), possono essere con-servate in files giornalieri per un periodo non superiore ad una settimana, con successiva lorocancellazione automatica da parte del sistema.


Nella carenza di una base normativa idonea ad operare adeguati bilanciamenti tra i con-trapposti interessi, l’installazione di sistemi di rilevazione biometrica presso gli sportelli ban-

SETTORI DI ATTIVITÀ> BIOMETRIA > 97

cari, normalmente non in linea con il principio di proporzionalità di cui all’art. 9 della leggen. 675/1996, può essere considerata lecita ove effettuata in via assolutamente temporanea edin considerazione di eccezionali circostanze di rischio determinatesi in un particolare momentostorico, da valutarsi da parte degli istituti bancari con particolare cautela, anche sulla base deiprecedenti eventi e delle concordanti valutazioni degli organi locali di pubblica sicurezza (nelcaso di specie, detta installazione è stata consentita in relazione alle straordinarie esigenze disicurezza degli utenti e dei dipendenti delle banche connesse all’imminente introduzione dellamoneta unica ed alla conseguente disponibilità, presso gli sportelli, di ingenti quantitativi didenaro contante).


L’utilizzazione generalizzata ed indiscriminata di sistemi di rilevazione biometrica all’in-gresso degli istituti bancari non è consentita perché contraria al principio di proporzionalità tragli strumenti impiegati e le finalità prospettate (art. 9 della legge n. 675/1996); infatti, in caso dimera affermazione di una generica esigenza di sicurezza, non suffragata da specifici elementi attiad evidenziare concrete situazioni di rischio, l’adozione di detti sistemi di rilevazione, in assenzadi adeguate norme di legge, si tradurrebbe in un sacrificio sproporzionato della sfera di libertà edella dignità degli utenti.


Istituti di credito

Profili generali

Fuori dei casi di operazioni di comunicazione connesse a prestazioni richieste, a servizi ero-gati o all’adempimento di obblighi normativi posti in favore di soggetti pubblici, gli istituti di cre-dito ed il relativo personale devono mantenere il riserbo sulle informazioni relative ai propri clienti,astenendosi dalla divulgazione a terzi. Inoltre, secondo la legge n. 675/1996, il titolare del tratta-mento, ai fini del corretto esercizio della facoltà di cui all’art. 20, comma 1, lett. g) della legge, oltrea valutare l’effettiva necessità della comunicazione dei dati per la difesa di un diritto in sede giu-diziaria, è tenuto a verificare che la natura dei dati, il contesto in cui essi sono trattati e, in parti-colare, il rapporto giuridico intercorrente con l’interessato, per disposto di legge o di contratto nonsiano d’ostacolo all’esercizio di tale facoltà. Pertanto, sussistendo nei rapporti delle banche con laclientela l’obbligo di mantenere il riserbo sulle operazioni, sui conti e sulle posizioni degli utenti(c.d. segreto bancario), in assenza del consenso dell’interessato deve ritenersi illecita la comuni-cazione dei dati personali di un cliente effettuata da un dipendente dell’istituto in favore del difen-sore di un terzo (nel caso di specie il coniuge divorziato del ricorrente), perché contraria non soloai principi di liceità e correttezza del trattamento fissati dall’art. 9 della legge n. 675/1996, maanche agli specifici obblighi nascenti dal rapporto contrattuale (artt. 1175 e 1375 c.c.).



Rapporti con la Banca d’Italia

Ai sensi degli artt. 12, comma 1, lett. a) e 20, comma 1, lett. c), della legge n. 675/1996, nonè necessario acquisire il preventivo consenso dell’interessato per le operazioni di trattamentodei dati effettuate dagli istituti di credito in adempimento di obblighi derivanti da norme di leggeo di regolamento, tra cui quelle previste dal T.U. delle leggi in materia bancaria e finanziaria; inparticolare, ai sensi degli artt. 53, comma 1, lett. b), 67, comma 1, lett. b) e 107, comma 2, dellalegge n. 385/1993, tutte le banche sono tenute a segnalare al servizio di centralizzazione deirischi creditizi gestito dalla Banca d’Italia i crediti di un certo importo o comunque in sofferenza(in conformità alle deliberazioni del C.I.C.R. e alle disposizioni impartite dalla Banca d’Italia nel-l’ambito dei suoi poteri di vigilanza regolamentare), indipendentemente dall’esistenza di even-tuali vincoli derivanti, per l’istituto segnalante e per i relativi dipendenti, da pregressi obblighicontrattuali o relativi al segreto bancario.




Le operazioni di trattamento di dati svolte da una banca e finalizzate all’acquisizionepresso la Centrale rischi della Banca d’Italia ed al successivo utilizzo per finalità aziendali diinformazioni relative alle esposizioni di un cliente, o alle garanzie da questi prestate nei con-fronti di terzi, risultano in via generale legittime, e la loro effettuazione non è necessariamentesubordinata al previo consenso dell’interessato, potendo operare anche i presupposti di cuiagli artt. 12, lett. f ) e 20, comma 1, lett. e), della legge n. 675/1996, secondo cui il trattamentoe la comunicazione dei dati a terzi è ammessa “se i dati sono relativi allo svolgimento di attivitàeconomiche, nel rispetto della vigente normativa in materia di segreto aziendale e industriale”.Quest’ultima espressione va intesa come divieto di divulgare, in taluni casi, notizie attinentiall’organizzazione o a determinati metodi di produzione di un’impresa, ovvero come obbligo dinon divulgare talune conoscenze tecniche, ma non preclude ad una banca di effettuare, in con-formità alle leggi, determinate verifiche sulla solidità economica di un soggetto anche presso lamenzionata Centrale rischi.


SETTORI DI ATTIVITÀ> ISTITUTI DI CREDITO >RAPPORTI CON LA BANCA D’ITALIA

99

Ai sensi dell’art. 20, comma 1, lett. c), della legge n. 675/1996, la comunicazione dei datirelativi all’indebitamento della clientela effettuata dagli intermediari finanziari alla Centralerischi della Banca d’Italia, in quanto dovuta per legge, non è sottoposta all’obbligo della pre-ventiva acquisizione del consenso dei singoli interessati, cui resta preclusa la possibilità di chie-dere la cancellazione dei dati o di opporsi al relativo trattamento.


Casi particolari

Benefondi

La legge n. 675/1996 non ha introdotto alcun divieto nei confronti del c.d. “benefondi”(consistente nell’accertamento, anche informale, attraverso il quale viene garantita l’esistenza,presso una banca o una sede o filiale della stessa, della provvista corrispondente agli assegniemessi). Il benefondi, infatti, è certamente riconducibile alle attività che la banca deve descri-vere, sia pure in termini generali, nei modelli di informativa e di acquisizione del consenso, chedebbono comprendere le operazioni di comunicazione dei dati a terzi ed i trattamenti tempora-nei che questi ultimi sono tenuti ad effettuare per la corretta esecuzione dei servizi richiesti.


Dichiarazione dei redditi dei contribuenti

Ai sensi del d.P.R. n. 600/1973, come modificato dal d.lg. n. 135/1998, e della convenzionestipulata fra il Ministero delle finanze e l’A.B.I., le società specializzate eventualmente incaricatedagli istituti di credito di trattare le informazioni contenute nelle dichiarazioni dei redditi dei con-tribuenti, allo scopo di predisporle in formato elettronico per il successivo inoltro al Ministero,non possono essere considerate quali autonomi titolari del trattamento; gli istituti di creditodebbono quindi procedere alla nomina del responsabile e delle persone fisiche incaricate di trat-tare le dichiarazioni.


Rilevazioni biometriche all’ingresso delle banche• V.: PRIVATI ED ENTI PUBBLICI ECONOMICI > SETTORI DI ATTIVITÀ > BIOMETRIA (P. 92)

Riservatezza nelle operazioni bancarie

La c.d. “distanza di cortesia”, utilizzata da varie banche e in uso presso taluni uffici pub-


blici, risolvendosi in un approntamento di accorgimenti (cartelli, cordoli, ecc.) idonei a garantireche l’utente impegnato in un’operazione allo sportello abbia a disposizione uno spazio fisicoche ne consenta l’esecuzione in forma confidenziale rispetto agli altri utenti presenti, costitui-sce una misura opportuna per prevenire l’accesso non autorizzato ai dati da parte di terzi, ilquale può avvenire anche in modo “passivo” (cioè sulla scorta del mero ascolto del dialogo trail cliente e l’operatore).


L’A.B.I., quale associazione di categoria, ha previsto, nell’ambito dei “Principi generali” delcodice di comportamento del settore bancario e finanziario, adottato con finalità di autodisci-plina, che ciascun istituto di credito debba impegnarsi a “curare le condizioni di accessibilità allestrutture fisiche e la riservatezza nello svolgimento delle operazioni”. Ne consegue che la banca,quale titolare del trattamento, è tenuta non solo a garantire – mediante l’adozione di idonee epreventive misure di sicurezza – che le operazioni di trattamento siano eseguite – e, quindi, sianoconoscibili – soltanto da parte dei soggetti responsabili o incaricati del trattamento stesso, maanche ad impedire l’accesso ai dati da parte di terzi non autorizzati.


Istituti scolastici e università• V.: SOGGETTI PUBBLICI > SETTORI DI ATTIVITÀ > ISTITUTI SCOLASTICI E UNIVERSITÀ (P. 125)


Sanità• V.: SOGGETTI PUBBLICI > SETTORI DI ATTIVITÀ > SANITÀ (P. 140)

Videosorveglianza

La legge n. 675/1996 considera come “dato personale” qualunque informazione che con-senta l’identificazione dei soggetti interessati anche attraverso suoni e immagini, ed anche se invia indiretta, mediante il collegamento con altre informazioni. La legge è applicabile anche ai

SETTORI DI ATTIVITÀ> ISTITUTI SCOLASTICI E UNIVERSITÀ 101

trattamenti di suoni e immagini effettuati attraverso sistemi di videosorveglianza, a prescinderedalla circostanza che tali informazioni, dopo il loro monitoraggio in un circuito di controllo, sianoeventualmente registrate in un archivio elettronico o comunicate a terzi.


Risulta legittima, in quanto rientrante nelle finalità istituzionali proprie degli organismisanitari pubblici (v. legge n. 833/1978 e successive modifiche ed integrazioni), perché connessaall’attività di assistenza e cura dei pazienti, l’istallazione, presso i locali di un pronto soccorsoe nel reparto di rianimazione di un’Azienda ospedaliera, di apparecchiature di videosorve-glianza, al fine rispettivamente del controllo della sicurezza dei corridoi e delle sale di attesa eper consentire il continuo monitoraggio delle condizioni dei pazienti ricoverati. Anche in consi-derazione del fatto che, nella specie, si verte in tema di trattamento di dati sensibili (art. 22della legge n. 675/1996), l’istallazione di tale sistema richiede, peraltro, l’osservanza di speci-fiche prescrizioni poste dalla legge n. 675/1996, quali la determinazione della localizzazionedelle telecamere e delle modalità di ripresa (in ottemperanza ai principi di pertinenza e noneccedenza dei dati rispetto alle finalità perseguite fissati dall’art. 9, comma 1, lett. d)), la defi-nizione dei soggetti (responsabile, incaricati) legittimati a trattare i dati personali, la individua-zione di idonee misure di sicurezza ai sensi dell’art. 15 (al fine di evitare che i dati possanoentrare nella disponibilità di soggetti non autorizzati), la fissazione di precisi parametri concer-nenti la eventuale conservazione delle immagini registrate per un periodo di tempo non supe-riore a quello necessario agli scopi per i quali i dati sono stati raccolti e trattati (art. 9, comma1, lett. e), la previsione delle forme e delle modalità di informativa agli interessati (art. 10).


La Direttiva comunitaria n. 95/46/CE, la convenzione n. 108/1981 del Consiglio d’Europa ela legge n. 675/1996, che ha attuato la convenzione ed ha in buona parte recepito la Direttiva,rendono obbligatoria l’applicazione della disciplina sul trattamento dei dati personali anche aisuoni e alle immagini – quali quelle registrate nei controlli video – che consentano di identificareun soggetto, anche in via indiretta, attraverso il collegamento con altre informazioni.


Secondo i principi condivisi in sede europea – cui le normative nazionali debbono ispirarsi– in tema di installazione e di esercizio di video impianti per la rilevazione degli accessi dei vei-coli all’interno dei centri storici e delle zone a traffico limitato, le singole amministrazioni pos-sono introdurre detti sistemi purché il monitoraggio del traffico avvenga attraverso l’impiego didati anonimi, con possibilità di acquisizione delle immagini soltanto nel caso di effettiva com-missione di infrazioni; inoltre, l’utilizzazione dei dati in tal modo acquisiti può avvenire per lasola finalità dell’applicazione delle norme sugli accessi, salva la possibilità di un loro eventualeuso per fini di giustizia e di messa a disposizione in forma anonima per ragioni di studio o di


ricerca statistica. Infine, la conservazione di tali immagini da parte delle amministrazioni dev’es-sere limitata al periodo strettamente necessario all’applicazione delle sanzioni ed alla defini-zione dell’eventuale contenzioso, con obbligo di tracciamento delle eventuali consultazionieffettuate presso la banca dati (costituita dalle immagini) e con esclusione della possibilità direalizzare interconnessioni con altri archivi o banche dati.


Ai fini del contenimento della criminalità in particolari ambiti cittadini, possono essereconcluse, tra forze di polizia ed aziende comunali di trasporto pubblico, intese dirette all’in-troduzione di sistemi di videosorveglianza attraverso l’installazione, in via sperimentale, ditelecamere su alcune linee di autobus e tram e presso le fermate. A tal fine, prima dell’attiva-zione dei sistemi, la localizzazione delle telecamere e le modalità di ripresa andranno fissatein aderenza alle finalità che ne hanno suggerito l’installazione, tenendo conto dei principi fis-sati dall’art. 9 della legge n. 675/1996, con particolare riguardo a quelli di pertinenza e di noneccedenza dei dati raccolti rispetto agli scopi perseguiti; inoltre, l’attività di videocontrollo,oggetto di preventiva informativa agli utenti ex art. 10 della legge n. 675/1996, dovrà permetteredi cogliere in modo solo panoramico l’interno delle vetture o l’ambito delle singole fermate, inmaniera da evitare non solo riprese talmente particolareggiate da risultare intrusive della riser-vatezza o da consentire la rilevazione di particolari non rilevanti, ma anche da impedire la viola-zione delle previsioni di cui all’art. 4 della legge n. 300/1970 (in riferimento alle postazioni diguida degli autisti). Infine, le immagini acquisite, accessibili in chiaro da una “stazione di lettura”sulla scorta di un sistema di “doppia chiave” congiunta (una in possesso del personale dell’a-zienda all’uopo preposto, l’altra in possesso dell’autorità di polizia), dovranno essere custodite– unitamente ai sistemi di lettura – con adeguati sistemi di sicurezza, e potranno essere visionatesoltanto in occasione della commissione di atti criminosi ritualmente denunziati.


La Direttiva comunitaria n. 95/46/CE e la convenzione n. 108/1981 del Consiglio d’Europarendono obbligatoria l’applicazione della disciplina sul trattamento dei dati personali anche aisuoni e alle immagini (quali quelle registrate nei controlli video), qualora permettano d’iden-tificare un soggetto anche in via indiretta. La legge n. 675/1996, che ha attuato detta conven-zione e, in buona parte, ha recepito la citata Direttiva, considera anch’essa come “dato perso-nale” qualunque informazione – anche cifrata o codificata – che permetta l’identificazione,anche in via indiretta, dei soggetti interessati, ivi compresi i suoni e le immagini. Pertanto, allostato, stante la carenza nel sistema italiano di una disciplina specifica in materia di videosor-veglianza, ai trattamenti di immagini effettuati attraverso sistemi di controllo è senz’altroapplicabile la legge n. 675/1996.


La Direttiva comunitaria n. 95/46/CE e la convenzione n. 108/1981 del Consiglio d’Europa

SETTORI DI ATTIVITÀ> VIDEOSORVEGLIANZA 103

rendono obbligatoria l’applicazione della disciplina sul trattamento dei dati personali anche aisuoni e alle immagini – quali quelle registrate nei controlli video -, qualora permettano di identi-ficare un soggetto anche in via indiretta, attraverso il collegamento con altre informazioni. Lalegge n. 675/1996, che ha attuato la convenzione e ha in buona parte recepito la Direttiva euro-pea, considera anch’essa come “dato personale” qualunque informazione che permetta l’identi-ficazione, anche in via indiretta, dei soggetti interessati, sebbene derivante da suoni o da imma-gini anziché da dati alfanumerici; tale legge è, quindi, senz’altro applicabile anche ai trattamentidi immagini effettuati attraverso i sistemi di videosorveglianza, a prescindere dalla circostanzache le informazioni così ricavate siano eventualmente registrate in un archivio elettronico ocomunicate a terzi, dopo il loro temporaneo monitoraggio in un circuito di controllo.


L’istallazione di un sistema di videosorveglianza da parte di un soggetto pubblico è subor-dinata all’esistenza di una fonte normativa che la legittimi e ne indichi le relative finalità, ovveropermetta di rilevare che tale iniziativa risponde alle funzioni istituzionali demandate all’ente (fat-tispecie relativa al progetto di realizzazione da parte di un comune di un sistema di videosorve-glianza all’interno di una riserva marina, finalizzato al tempestivo intervento in caso di infrazionio di situazioni di emergenza).


La legge n. 675/1996 definisce “dato personale” qualunque informazione relativa a per-sone identificate o identificabili, anche indirettamente, mediante riferimento a qualsiasi altrainformazione. Ne consegue che debbono essere considerati dati di carattere personale anche leregistrazioni effettuate mediante l’uso di telecamere che, per l’ampiezza dell’angolo visuale, laqualità degli strumenti, o altre caratteristiche della ripresa, pur non rendendo direttamente iden-tificabili in maniera chiara ed univoca le persone inquadrate, ne permettano l’identificazioneattraverso il collegamento con altre fonti conoscitive, quali foto segnaletiche, identikit o archividi polizia contenenti immagini.


Le registrazioni effettuate mediante l’uso di telecamere non contengono sempre e neces-sariamente dati di carattere personale, in quanto la distanza, l’ampiezza dell’angolo visuale e laqualità degli strumenti possono non rendere identificabili le persone inquadrate; comunque, ciònon esclude l’applicazione della normativa sulla tutela della riservatezza, in quanto l’art. 1 dellalegge n. 675/1996 definisce “dato personale” qualunque informazione relativa a persone identi-ficate o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione(ad esempio, attraverso il collegamento con altre fonti conoscitive quali foto segnaletiche, iden-tikit o archivi di polizia contenenti immagini).




In caso di realizzazione, da parte di un comune, di impianti di telecontrollo e videosorve-glianza del territorio a fini di monitoraggio del traffico cittadino, per assicurare l’effettivo rispettodei principi posti dall’art. 9 della legge n. 675/1996 è necessario procedere ad una precisa loca-lizzazione delle telecamere e ad una limitazione delle modalità di ripresa delle immagini (memo-rizzazione, conservazione, angolo visuale delle telecamere e limitazione della possibilità diingrandimento dell’immagine); inoltre, occorre un’attenta riflessione sul livello di dettaglio dellaripresa dei tratti somatici e sulla necessità che siano evitate riprese di persone presso gliimpianti volti unicamente a prevenire le violazioni del codice della strada.



La legge n. 675/1996 è applicabile anche ai trattamenti di immagini effettuati attraversosistemi di videosorveglianza, a prescindere dalla circostanza che le informazioni siano registratein un archivio elettronico o comunicate a terzi dopo il temporaneo monitoraggio in un circuito dicontrollo.



Ai sensi dell’art. 27 della legge n. 675/1996, le finalità cui è preordinata l’installazione, daparte di un comune, di impianti di videosorveglianza debbono rispondere alle funzioni istituzio-nali demandate all’ente dalla legge n. 142/1990, dal d.P.R. n. 616/1977, dalla legge n. 65/1986(sull’ordinamento della polizia municipale), nonché dagli statuti e dai regolamenti comunali.



Per i comuni interessati all’installazione ed all’esercizio di impianti per la rilevazione degliaccessi dei veicoli ai centri storici e alle zone a traffico limitato, la disciplina regolamentare intro-dotta con d.P.R. n. 250/1999 prevede, tra l’altro, l’obbligo di munirsi di un’autorizzazione rila-sciata dal Ministero del lavori pubblici - Ispettorato generale per la circolazione e la sicurezzastradale. In particolare, tale regolamento stabilisce che gli impianti debbono essere utilizzati perraccogliere dati riguardanti il luogo, il tempo e l’identificazione dei veicoli che accedono ai cen-tri storici ed alle zone a traffico limitato, rilevando immagini solamente in caso di infrazione; inol-tre, la documentazione contenente tali immagini può essere utilizzata solo ai fini dell’applica-zione del regolamento e dev’essere conservata solo per il periodo necessario alla contestazionedell’infrazione, all’applicazione della sanzione ed alla definizione dell’eventuale contenzioso,salvo l’eventuale ulteriore impiego dei dati per esclusive finalità di polizia giudiziaria o di inda-gine penale.



Le regole della disciplina sul trattamento dei dati personali poste dalla legge n. 675/1996sono applicabili anche alle immagini ed ai suoni, qualora le apparecchiature che li rilevano per-mettano di identificare, in modo diretto o indiretto, i soggetti interessati.


Gli impianti di videosorveglianza finalizzati esclusivamente alla sicurezza individuale (adesempio, il controllo dell’accesso alla propria abitazione) non rientrano nell’ambito di applica-zione della legge n. 675/1996, ricorrendo le condizioni di cui all’art. 3. Occorre, però, che leriprese siano strettamente limitate allo spazio antistante tali accessi, senza forme di videosor-veglianza su aree circostanti e senza limitazioni delle libertà altrui. Occorre, inoltre, che le infor-mazioni raccolte non siano in alcun modo comunicate o diffuse.


Deve essere disposto il divieto del trattamento dei dati raccolti con un rilevatore diimpronte digitali (nella specie associato alle immagini riprese da un sistema video) posto all’in-gresso di un istituto di credito, ove non giustificato da elementi che evidenzino una concretasituazione di rischio. Un’attività indifferenziata di raccolta di dati significativi, quali le impronteassociate alle immagini, imposta a tutti coloro che entrano nella banca, non può ritenersi di persé legittimata da un’esigenza generica di sicurezza, traducendosi in un sacrificio sproporzionatodella sfera di libertà di tutte le persone interessate che possono legittimamente lamentare ancheuna considerazione non adeguata e un rilevante pregiudizio della propria dignità personale.


Attraverso l’informativa prevista dall’art. 10 della legge n. 675/1996 tutte le persone inte-ressate devono essere messe a conoscenza dell’uso di telecamere che riprendono il luogo dovele stesse si trovano o intendono recarsi (fattispecie relativa all’istallazione di un sistema di video-sorveglianza all’ingresso dei locali di una banca).


Rientra tra i compiti del Garante l’instaurazione di un procedimento ai sensi dell’art. 31,comma 1, lett. c), della legge n. 675/1996 al fine del controllo della liceità del trattamento dei datipersonali (finalità e modalità del trattamento, consultazione dei dati, comunicazione a terzi, con-servazione e distruzione) operato da un istituto bancario attraverso la raccolta delle improntedigitali e dell’immagine del volto dei clienti all’ingresso dei locali della banca.



Costituiscono dati personali ai sensi dell’art. 1, comma 2, lett. c), della legge n. 675/1996le impronte digitali e l’immagine del volto dei clienti di un istituto di credito raccolti all’entratadella banca attraverso un apposito dispositivo elettronico (chiamato biodigit).


La rilevazione dei dati biometrici (nel caso di specie impronte digitali associate ad imma-gini del volto) di coloro che accedono ai locali di una banca, ove formalmente giustificata dallamera affermazione di una generica ed indimostrata esigenza di sicurezza, non suffragata daspecifici elementi di rischio, si pone in contrasto con il principio di proporzionalità di cuiall’art. 9 della legge n. 675/1996. Ne consegue che il trattamento dei dati raccolti con dettosistema di rilevamento è illecito, traducendosi in un sacrificio sproporzionato della sfera dilibertà dei singoli interessati.


Non violano le disposizioni sulla protezione dei dati personali (in particolare, le prescri-zioni impartite dal Garante con il Provvedimento generale del 29 novembre 2000) sistemi edapparecchiature di ripresa dislocate su spiagge – a fini promozionali, pubblicitari o di informa-zione agli utenti – che, in ragione della distanza dal luogo ripreso o di altre caratteristiche tecni-che, non consentano di identificare, anche indirettamente, gli interessati.


L’accesso degli interessati, debitamente informati ex art. 10 della legge n. 675/1996, aglisportelli bancari tramite i sistemi di rilevazione biometrica deve avvenire su base volontaria econsensuale, previo abbinamento di detti sistemi ai comuni dispositivi d’ingresso già installati;la possibilità di tale rilevazione – che, con riferimento alle impronte digitali, non deve dar luogoad alcuna “schedatura” da parte degli istituti di credito – non può autorizzare l’adozione dicomportamenti vessatori nei confronti di coloro che non ritengano di acconsentire alla rileva-zione dell’impronta, con la conseguenza che, in caso d’indisponibilità a sottostare alle rileva-zioni dei dati biometrici, all’utente deve essere comunque garantita la facoltà di accesso allabanca, previa adozione di misure di cautela rimesse alla ragionevole valutazione del responsa-bile della filiale.


Le immagini di una persona acquisite con un impianto di videosorveglianza costituisconodati personali ai sensi dell’art. 1, comma 2, lett. c), della legge n. 675/1996, con conseguentepossibilità per l’interessato di proporre l’istanza di cui all’art. 13 della legge nei confronti del tito-lare o del responsabile del trattamento.



Operazioni di trattamento dei dati

AVVERTENZA

• QUANTO AI DATI SENSIBILI, V. : CATEGORIE E REQUISITI DEI DATI PERSONALI > DATI SENSIBILI (P. 12)

• QUANTO AI DATI SANITARI, V. : SOGGETTI PUBBLICI > SETTORI DI ATTIVITÀ > SANITÀ (P. 140)

Comunicazione e diffusione

Profili generali

Ai sensi dell’art. 12, comma 1, lett. b) della legge n. 675/1996, gli studi professionali degliagenti di cambio non sono tenuti a richiedere ai propri clienti il consenso per l’uso professionale deidati personali, trattandosi di trattamento necessario per l’esecuzione di obblighi derivanti da uncontratto di cui, peraltro, sono parte gli stessi interessati. Qualora, invece, detto trattamento si con-cretizzi in una comunicazione o in una diffusione a terzi dei dati personali, l’acquisizione del con-senso dell’interessato è dovuta, sempre che non ricorrano i presupposti di cui all’art. 20, comma 1,lett. e) della legge n. 675/1996. In ogni caso permane l’obbligo di rendere un’idonea informativa.


Ai sensi dell’art. 20, comma 1, lett. c) della legge n. 675/1996, la comunicazione e la diffu-sione dei dati personali da parte di privati alle pubbliche amministrazioni possono essere effet-tuate senza il consenso dell’interessato qualora il trattamento avvenga nell’adempimento di unobbligo previsto da una disposizione di legge, da una norma comunitaria o da un regolamento.


La legge n. 225/1992, istitutiva del Servizio nazionale di protezione civile, all’art. 6,comma 3, prevede, in via generale, l’obbligo per le amministrazioni, gli enti, le istituzioni e leimprese pubbliche e private, che detengano o gestiscano archivi contenenti informazioni utili alServizio stesso, di comunicare tutte le informazioni loro richieste dal Dipartimento della prote-zione civile, con l’unico limite dei dati coperti dal segreto di Stato e delle informazioni attinentiall’ordine pubblico, alla sicurezza pubblica ed alla repressione dei reati. Ne consegue che, aisensi dell’art. 20, comma 1, lett. c) della legge n. 675/1996, la società affidataria della gestionedei velivoli Canadair, utilizzati nella lotta agli incendi boschivi, è obbligata a comunicare alDipartimento della Protezione civile, che ne abbia fatto richiesta a scopo di verifica, i nominatividei piloti impiegati in detto servizio in un determinato periodo di tempo, senza che si rendanecessaria la preventiva acquisizione del consenso degli interessati. L’esistenza di siffattoobbligo di comunicazione per la società affidataria può essere, altresì, desunta dalle disposi-zioni regolamentari del d.P.R. n. 51/1993 (in particolare l’art. 5, commi 3 e 7) che, in attuazione


dell’art. 20 della suddetta legge, disciplina l’esercizio del potere ispettivo presso il Servizionazionale di protezione civile.


Ai sensi dell’art. 20, comma 1, lett. c) della legge n. 675/1996, la comunicazione e la diffu-sione dei dati personali da parte di privati e di enti pubblici economici può prescindere dal pre-ventivo consenso dell’interessato nel caso in cui il trattamento sia effettuato in adempimento diun obbligo previsto dalla legge, da un regolamento o da una norma comunitaria.


Il termine “diffusione”, dopo l’entrata in vigore della legge n. 675/1996, implica il riferi-mento ad un numero indeterminato di persone, non la comunicazione a singoli soggetti.


La richiesta di un consorzio di carattere nazionale alle associazioni di categoria affiliate difornire gli elenchi dei nominativi dei rispettivi iscritti, provenendo da soggetto avente natura pri-vata, comporta una comunicazione di dati personali a terzi che, in difetto di una disposizione nor-mativa che la autorizzi, ai sensi dell’art. 20, comma 1 della legge n. 675/1996 è ammessa solocon il consenso espresso degli interessati (fattispecie relativa alla richiesta indirizzata dalConsorzio nazionale imballaggi alle associazioni di categoria dei produttori).


La legge n. 675/1996 non ha introdotto alcun divieto nei confronti del c.d. “benefondi”(consistente nell’accertamento, anche informale, attraverso il quale viene garantita l’esistenza,presso una banca o una sede o filiale della stessa, della provvista corrispondente agli assegniemessi). Il benefondi, infatti, è certamente riconducibile alle attività che la banca deve descri-vere, sia pure in termini generali, nei modelli di informativa e di acquisizione del consenso, chedebbono comprendere le operazioni di comunicazione dei dati a terzi ed i trattamenti tempora-nei che questi ultimi sono tenuti ad effettuare per la corretta esecuzione dei servizi richiesti.


La predisposizione di una “rassegna stampa” a fini d’informazione endoaziendale costi-tuisce un trattamento di dati che, sostanziandosi nella sola collezione (raccolta, consultazionee conservazione) di articoli di stampa e di estratti di agenzie, può essere annoverato tra quelliche non richiedono il consenso degli interessati, in quanto effettuati da giornalisti professio-nisti o pubblicisti o, comunque, finalizzati alla pubblicazione occasionale di articoli, saggi ed

OPERAZIONI DI TRATTAMENTO DEI DATI > COMUNICAZIONE E DIFFUSIONEPROFILI GENERALI

109

altre manifestazioni del pensiero. Pertanto, trattasi di trattamenti che non necessitano dialcuna autorizzazione da parte del Garante, nei cui confronti trovano applicazione gli artt. 12,comma 1, lett. e), 20 comma 1, lett. d) e 25 della legge n. 675/1996, come rispettivamente inte-grati dal d.lg. n. 171/1998.


Ai sensi dell’art. 19 della legge n. 675/1996, l’acquisizione della conoscenza dei dati daparte del responsabile e degli incaricati del trattamento, laddove ritualmente nominati dal tito-lare, non costituisce “comunicazione” in senso tecnico.


Alle richieste avanzate da pubbliche autorità per finalità istituzionali, ove non riconducibilialle funzioni indicate nell’art. 4 della legge n. 675/1996, si applica la disciplina generale previstaper i flussi informativi fra soggetti pubblici e privati (art. 27 e 20 della legge).




Fuori dei casi di operazioni di comunicazione connesse a prestazioni richieste, a servizierogati o all’adempimento di obblighi normativi posti in favore di soggetti pubblici, gli istituti dicredito ed il relativo personale devono mantenere il riserbo sulle informazioni relative ai propriclienti, astenendosi dalla divulgazione a terzi. Inoltre, secondo la legge n. 675/1996, il titolaredel trattamento, ai fini del corretto esercizio della facoltà di cui all’art. 20, comma 1, lett. g) dellalegge, oltre a valutare l’effettiva necessità della comunicazione dei dati per la difesa di un dirittoin sede giudiziaria, è tenuto a verificare che la natura dei dati, il contesto in cui essi sono trat-tati e, in particolare, il rapporto giuridico intercorrente con l’interessato, per disposto di legge odi contratto non siano d’ostacolo all’esercizio di tale facoltà. Pertanto, sussistendo nei rapportidelle banche con la clientela l’obbligo di mantenere il riserbo sulle operazioni, sui conti e sulleposizioni degli utenti (c.d. segreto bancario), in assenza del consenso dell’interessato deve rite-nersi illecita la comunicazione dei dati personali di un cliente effettuata da un dipendente del-


l’istituto in favore del difensore di un terzo (nel caso di specie il coniuge divorziato del ricor-rente), perché contraria non solo ai principi di liceità e correttezza del trattamento fissati dal-l’art. 9 della legge n. 675/1996, ma anche agli specifici obblighi nascenti dal rapporto contrat-tuale (artt. 1175 e 1375 c.c.).


Casi particolari

Aziende speciali

Le aziende speciali esercenti servizi pubblici, quali enti strumentali del Comune per lagestione dei servizi dell’ente locale (art. 23, comma 6 della legge n. 142/1990), essendo assog-gettate, in quanto enti pubblici economici, al regime che la legge n. 675/1996 prevede per i sog-getti privati che trattano dati personali, sono tenute all’osservanza, fra l’altro, della disposi-zione dell’art. 20, comma 1, lett. c), che esime tali soggetti dall’obbligo di richiedere il consensodell’interessato nel caso in cui il trattamento sia effettuato per adempiere ad una disposizionecontenuta in una legge, in una norma comunitaria o in un regolamento. Si configura, quindi,come obbligo di tali aziende quello di comunicare ai consiglieri comunali i dati che questi richie-dano, al fine dell’espletamento del loro mandato, nell’esercizio del generale diritto di accesso,loro conferito dall’art. 31, comma 5 della legge n. 142/1990, ai dati contenuti negli archivi delcomune e delle aziende ed enti da questo dipendenti (fattispecie relativa alla richiesta di unconsigliere comunale di conoscere i nominativi dei dipendenti dell’azienda preposti alle sediterritoriali della stessa).


Le aziende speciali istituite ai sensi dell’art. 23 della legge n. 142/1990, avendo natura giuri-dica di enti pubblici economici, sono soggette alla disciplina che la legge n. 675/1996 prevede peri soggetti privati, che consente la comunicazione dei dati personali solo in presenza del consensodell’interessato o di uno dei presupposti, ad esso equipollenti, indicati dall’art. 20, comma 1,lett. c) e g) (fattispecie relativa alla comunicazione al proprietario di un immobile dei dati riguar-danti l’intestatario delle utenze ad esso relative).


Cassa italiana di previdenza ed assistenza dei geometri

Poiché la comunicazione e diffusione dei dati personali da parte di un soggetto privato o diun ente pubblico economico possono avvenire, tra l’altro, in adempimento di un obbligo previ-sto dalla legge, da un regolamento o dalla normativa comunitaria (art. 20, comma 1, lett. c) dellalegge n. 675/1996), devono ritenersi conformi a tale disciplina le comunicazioni effettuate dalla

OPERAZIONI DI TRATTAMENTO DEI DATI > COMUNICAZIONE E DIFFUSIONECASI PARTICOLARI > AZIENDE SPECIALI

111

Cassa Italiana di previdenza ed assistenza dei geometri ai singoli Collegi professionali dei datirelativi agli iscritti ai Collegi stessi, in quanto previste dal regolamento di attuazione dell’art. 17,comma 11 della legge n. 773/1982 (legge di riforma della Cassa predetta).


Concessionari di servizi telefoniciv. : TELECOMUNICAZIONI E RETI TELEMATICHE > CASI PARTICOLARI > CONCESSIONARI DI SERVIZI

TELEFONICI (P. 191)

Condominio negli uffici

Gli estremi identificativi delle utenze telefoniche intestate ai singoli condòmini o ai loro fami-liari non possono essere annoverati tra quelli oggetto di necessaria ed obbligatoria comunicazioneall’interno del condominio, in quanto non rappresentano elementi utili a determinare i diritti o glioneri sulla cosa comune, né è rinvenibile alcun obbligo di legge in tal senso. Resta, peraltro, fermala possibilità per l’amministratore di condominio di comunicare i numeri di telefono ai condòminirichiedenti, con il consenso degli interessati (art. 11 della legge n. 675/1996).


E.n.e.l.

Poiché sia la normativa attualmente in vigore sui controlli termici (legge n. 10/1991;d.P.R. n. 412/1993), sia la normativa generale in tema di accertamento delle violazioni ammini-strative (art. 13 della legge n. 689/1981) non prevedono l’insorgenza, a carico dell’E.n.e.l. s.p.a., diun obbligo di comunicazione dei dati degli utenti ove richiesti dalla provincia nell’esercizio deipoteri di controllo ad essa legalmente attribuiti, allo stato non può trovare applicazione il dispostodi cui all’art. 20, comma 1, lett. c) della legge n. 675/1996, che consente ai soggetti privati ed aglienti pubblici economici di comunicare dati soltanto “in adempimento di un obbligo previsto dallalegge, da un regolamento o dalla normativa comunitaria”. Ne consegue che l’E.n.e.l., ove destina-tario di specifiche richieste formulate dalla Provincia o, eventualmente, da società con essa con-venzionate e ritualmente designate quali “responsabili del trattamento”, ai fini della comunica-zione dei dati non può prescindere dal rilascio del consenso da parte dei singoli utenti interessati.


Trattamento per fini personaliGli impianti di videosorveglianza finalizzati esclusivamente alla sicurezza individuale (ad

esempio, il controllo dell’accesso alla propria abitazione) non rientrano nell’ambito di applica-


zione della legge n. 675/1996, ricorrendo le condizioni di cui all’art. 3. Occorre, però, che leriprese siano strettamente limitate allo spazio antistante tali accessi, senza forme di videosor-veglianza su aree circostanti e senza limitazioni delle libertà altrui. Occorre, inoltre, che le infor-mazioni raccolte non siano in alcun modo comunicate o diffuse.


Rientrano tra i trattamenti di dati operati da persone fisiche per fini esclusivamente perso-nali, ai sensi dell’art. 3 della legge n. 675/1996, e non sono quindi soggette all’ambito di appli-cazione della legge, le fotografie (che possono anch’esse contenere dati personali) della parteesterna di una abitazione scattate per essere utilizzate nell’ambito di una controversia condomi-niale, ove non destinate ad una comunicazione sistematica o alla diffusione.


Trasferimento dei dati all’estero

Stati Uniti d’America

Sulla base di quanto previsto dall’art. 25, paragrafi 1, 2 e 6 della Direttiva n. 95/46/CE delParlamento europeo e del Consiglio del 24 ottobre 1995, nonché di quanto già constatato dallaCommissione europea con la decisione del 26 luglio 2000 n. 2000/520/CE (secondo cui gliallegati Principi di approdo sicuro in materia di “riservatezza”, applicati in conformità agliorientamenti forniti da talune “Domande più frequenti” (FAQ), garantiscono un livello ade-guato di protezione dei dati personali trasferiti dalla Comunità ad organizzazioni aventi sedenegli Stati Uniti sulla base della documentazione pubblicata dal Dipartimento del commerciostatunitense), il Garante, in sede di adozione delle misure necessarie per l’applicazione didetta decisione (art. 25, paragrafo 6 della Direttiva 95/46/CE) ed in conformità di quanto giàprevisto nell’ordinamento italiano dall’art. 28 della legge n. 675/1996, ha autorizzato il trasfe-rimento dei dati personali dal territorio dello Stato italiano verso gli Stati Uniti. Il Garante, nel-l’occasione, ai sensi degli artt. 2 e 3 della decisione 2000/520/CE della Commissione Europeaed alla FAQ n. 5 (concernente il ruolo che le autorità di garanzia degli stati membri dovrebberosvolgere con la cooperazione delle organizzazioni statunitensi che ricevono dati personalidall’Unione europea), si è altresì riservato la facoltà di svolgere i necessari controlli sulla liceitàe correttezza dei trasferimenti di dati e sulle connesse operazioni di trattamento e sul rispettodei predetti Principi, nonché di adottare eventuali provvedimenti di blocco o di divieto di tra-sferimento.


TRASFERIMENTO DEI DATI ALL’ESTERO > STATI UNITI D’AMERICA > 113

Svizzera

Sulla base di quanto previsto dall’art. 25, paragrafi 1, 2 e 6 della Direttiva n. 95/46/CE delParlamento europeo e del Consiglio del 24 ottobre 1995, nonché di quanto già constatato dallaCommissione europea con la decisione del 26 luglio 2000 n. 2000/518/CE (secondo cui laSvizzera garantisce un livello adeguato di protezione dei dati personali trasferiti dall’Unioneeuropea), il Garante, in sede di adozione delle misure necessarie per l’applicazione di detta deci-sione (art. 25, paragrafo 6 della Direttiva 95/46/CE) ed in conformità di quanto già previsto nel-l’ordinamento italiano dall’art. 28 della legge n. 675/1996, ha autorizzato il trasferimento deidati personali dal territorio dello Stato italiano verso la Svizzera. Il Garante, nell’occasione, aisensi degli artt. 2 e 3 della decisione 2000/518/CE della Commissione europea, si è altresì riser-vato la facoltà di svolgere i necessari controlli sulla liceità e correttezza dei trasferimenti di datie sulle connesse operazioni di trattamento, nonché di adottare eventuali provvedimenti di bloccoo di divieto di trasferimento.


Ungheria

Sulla base di quanto previsto dall’art. 25, paragrafi 1, 2 e 6 della Direttiva n. 95/46/CE delParlamento europeo e del Consiglio del 24 ottobre 1995, nonché di quanto già constatato dallaCommissione europea con la decisione del 26 luglio 2000 n. 2000/519/CE (secondo cuil’Ungheria garantisce un livello adeguato di protezione dei dati personali trasferiti dall’Unioneeuropea), il Garante, in sede di adozione delle misure necessarie per l’applicazione di detta deci-sione (art. 25, paragr. 6 della Direttiva 95/46/CE) ed in conformità di quanto già previsto nell’or-dinamento italiano dall’art. 28 della legge n. 675/1996, ha autorizzato il trasferimento dei datipersonali dal territorio dello Stato italiano verso l’Ungheria. Il Garante, nell’occasione, ai sensidegli artt. 2 e 3 della decisione 2000/519/CE della Commissione europea, si è altresì riservato lafacoltà di svolgere i necessari controlli sulla liceità e correttezza dei trasferimenti di dati e sulleconnesse operazioni di trattamento, nonché di adottare eventuali provvedimenti di blocco o didivieto di trasferimento.


Paesi che non garantiscono un adeguato livello di protezione

Sulla base di quanto previsto dagli artt. 25 e 26 della Direttiva n. 95/46/CE del Parlamentoeuropeo e del Consiglio del 24 ottobre 1995 (secondo cui uno stato membro può autorizzare tra-sferimenti di dati personali verso un paese terzo anche qualora questi non garantisca un ade-guato livello di protezione, purché il titolare del trattamento (importatore) presenti sufficienti


garanzie, risultanti da appropriate clausole contrattuali), nonché di quanto già affermato dallaCommissione europea con la decisione del 15 giugno 2001 n. 2001/497/CE (che ha riconosciutol’adeguatezza di alcune clausole contrattuali tipo per la tutela dei diritti e delle libertà fonda-mentali delle persone, nonché per l’esercizio dei diritti connessi, in caso di trasferimenti di dativerso paesi terzi), il Garante, in sede di adozione delle misure necessarie per l’applicazione didetta decisione ed in conformità a quanto già previsto nell’ordinamento italiano dall’art. 28 dellalegge n. 675/1996, ha autorizzato, con effetto dal 3 settembre 2001, il trasferimento dei dati per-sonali dal territorio dello Stato italiano verso paesi non appartenenti all’Unione europea, qualorasiano effettuati sulla base e in conformità alle clausole contrattuali tipo allegate alla suindicatadecisione n. 2001/497/CE e purché siano rispettati alcuni presupposti specificamente indicati;inoltre, il Garante, in conformità alla legge n. 675/1996 ed alla normativa comunitaria, si è altresìriservato la facoltà di svolgere i necessari controlli e di adottare eventuali provvedimenti diblocco o di divieto di trasferimento.


TRASFERIMENTO DEI DATI ALL’ESTERO > PAESI CHE NON GARANTISCONO UN ADEGUATO LIVELLO DI PROTEZIONE 115

Soggetti pubblici

• Profili generali

• Settori di attività

• Operazioni di trattamento dei dati

• Trattamenti particolari

• Natura pubblica dei soggetti

• Regimi particolari di pubblicità degli atti

• Consultazione del Garante da partedelle pubbliche amministrazioni

Profili generali

Ai sensi dell’art. 16 della legge n. 675/1996, si ha “cessazione del trattamento” quando iltitolare, anche se ente pubblico, intenda, per qualsiasi causa, interrompere in via definitiva l’in-tero complesso di operazioni concernenti un determinato trattamento di dati personali. Ne con-segue che l’effettuazione di uno scarto d’archivio non corrisponde, di per sé, ad un’effettiva ecompleta cessazione del trattamento di dati connesso alle attività istituzionali dell’amministra-zione, integrando soltanto una parziale eliminazione, attraverso la distruzione di documenti ofascicoli, di quelle informazioni personali la cui conservazione sia ormai ritenuta inutile ai finiamministrativi e storici.


Un soggetto pubblico – nella specie, un comune – può ricorrere ad analisi statistiche, aquestionari e a valutazioni attitudinali dei dipendenti, che presuppongono la raccolta di dati per-sonali, qualora ciò sia necessario per perseguire le proprie finalità istituzionali, nel rispetto,peraltro, dei limiti posti da norme di legge e di regolamento, tra i quali vanno ricompresi quelliprevisti dalla legge n. 675/1996 e dalla legge n. 300/1970.


Nei “test attitudinali” sottoposti da un Comune ai propri dipendenti, al fine dellamigliore utilizzazione del personale, non possono essere contenuti quesiti attraverso i quali ilavoratori esprimano in forma non anonima giudizi di valore riferiti alle complessive finalitàdell’ente comunale, nonché alle linee concrete dell’azione politico-amministrativa dell’ente edei suoi dirigenti. I dati così acquisiti, infatti, risultano in contrasto sia con il principio di per-tinenza rispetto alle finalità della raccolta sancito dall’art. 9, comma 1, lett. c) della leggen. 675/1996, attesa la loro assai dubbia rilevanza ai fini della valutazione dell’attitudine pro-fessionale dei dipendenti, sia con l’art. 27, comma 1 della stessa legge, il quale stabilisce chei soggetti pubblici possono procedere al trattamento dei dati personali solo per lo svolgi-mento delle finalità istituzionali, nei limiti stabiliti dalla legge e dei regolamenti, in quantol’art. 8 della legge n. 300/1970 fa divieto al datore di lavoro di svolgere indagini sulle opinionipolitico-sindacali dei lavoratori.


Ove il privato, che collabori con il soggetto pubblico e che svolga compiti che comportinoanche attività di trattamento di dati personali, operi nell’ambito di un’attività che ricade nellasfera di titolarità e responsabilità dell’amministrazione, quest’ultima, quale titolare del tratta-mento dei dati, deve indicare, con atto scritto, il soggetto che svolga l’eventuale ruolo del“responsabile” del trattamento svolto per suo conto dal privato (art. 8 della legge n. 675/1996),

PROFILI GENERALI 119

M a s s i m a r i o 1 9 9 7 / 2 0 0 1 • S o g g e t t i p u b b l i c i120

da individuarsi nella stessa struttura esterna cui è affidata l’attività, o in un dipendente di que-sta, oppure in un ufficio o dipendente dell’amministrazione. In ogni caso, è necessario che idipendenti della struttura privata operino in qualità di “incaricati del trattamento”, sotto ladiretta sorveglianza e secondo le istruzioni del titolare/soggetto pubblico e del responsabile(artt. 8, comma 5, e 19 della legge n. 675/1996) (fattispecie attinente al trattamento dei dati per-sonali svolto da società incaricate da amministrazioni comunali di effettuare misurazioni pressoabitazioni private, con autonomia limitata alla sola concreta disciplina del servizio e ad alcunescelte tecnico-operative, al fine dell’accertamento della tassa di smaltimento dei rifiuti solidiurbani, disciplinata dal d.lg. n. 507/1993).


Nello svolgimento dei propri compiti istituzionali, i soggetti pubblici possono ricorrerealla collaborazione di privati, cui affidare determinate attività anche attraverso concessioni,appalti o convenzioni. In tali ipotesi, con riferimento alla problematica relativa al trattamentodei dati personali, il privato può assumere il ruolo di collaboratore esterno del soggetto pub-blico, che coadiuva l’amministrazione trattando i dati anche al di fuori della relativa struttura,ma nell’ambito di un’attività che ricade nella sfera di titolarità e responsabilità dell’ammini-strazione, la quale conserva la qualità di titolare del trattamento, oppure può rivestire unafigura del tutto distinta da questa, che decide autonomamente in ordine al trattamento delleinformazioni ed assume le relative responsabilità, assumendo esso stesso la veste di titolaredel trattamento. Nel primo caso, il privato è parte sostanziale della struttura pubblica e rimanequindi soggetto alla disciplina che la legge n. 675/1996 detta per i soggetti pubblici, nelsecondo esso va considerato soggetto autonomo che tratta i dati secondo le regole previstedalla stessa legge per i privati (fattispecie attinente al trattamento dei dati personali svolto dasocietà incaricate da amministrazioni comunali di effettuare misurazioni presso abitazioni pri-vate al fine dell’accertamento della tassa di smaltimento dei rifiuti solidi urbani, disciplinata dald.lg. n. 507/1993).


La disciplina prevista per i trattamenti dei dati da parte dei soggetti pubblici (artt. 27 e 22,comma 3 della legge n. 675/1996) non ha alcun collegamento con la disposizione recante i casidi esclusione del consenso di cui all’art. 12, che si applica all’attività di privati e di enti pubblicieconomici.


La disciplina delle modalità di utilizzo delle banche dati pubbliche da parte delle varieamministrazioni deve essere contenuta in norme di legge o di regolamento, in conformità allecondizioni previste dall’art. 27 della legge n. 675/1996, al fine di realizzare un trasparenteflusso di dati ispirato ad omogenei criteri che garantiscano la protezione dei dati medesimi nel

rispetto dei principi di pertinenza, completezza e non eccedenza sanciti dall’art. 9, lett. d)della legge.




Ai sensi dell’art. 27 della legge n. 675/1996 nonché, per quanto riguarda i dati sensibili,dell’art. 22 della legge e della disciplina introdotta dal d.lg. n. 135/1999, è legittimo il tratta-mento dei dati personali effettuato dal Consiglio della provincia autonoma di Trento in relazionealla nomina o designazione di componenti di altri organismi, di competenza diretta dello stessoConsiglio o mediante indicazione di singoli consiglieri o di gruppi consiliari, fermo restando l’ob-bligo del rispetto dei principi posti dalla legge n. 675/1996, in particolare in tema di informativaall’interessato (art. 10), di misure di sicurezza (art. 15), nonché degli altri requisiti di legittimitàdei dati (art. 9).


L’istallazione di un sistema di videosorveglianza da parte di un soggetto pubblico è subor-dinata all’esistenza di una fonte normativa che la legittimi e ne indichi le relative finalità, ovveropermetta di rilevare che tale iniziativa risponde alle funzioni istituzionali demandate all’ente (fat-tispecie relativa al progetto di realizzazione da parte di un comune di un sistema di videosorve-glianza all’interno di una riserva marina, finalizzato al tempestivo intervento in caso di infrazionio di situazioni di emergenza).


L’inserimento della formula del consenso al trattamento dei dati non è necessaria allorchéla compilazione del coupon sia richiesta da soggetti pubblici ovvero, ai sensi dell’art. 12, comma1, della legge n. 675/1996, sia necessario al solo fine dell’invio di specifico materiale richiesto daparte della società o dell’organismo che lo riceve.


In assenza di una formale designazione come incaricati del trattamento, i dipendenti dellepubbliche amministrazioni che, per lo svolgimento dei propri compiti, vengono a conoscenza di

PROFILI GENERALI 121

dati personali, devono essere considerati come soggetti terzi rispetto alle amministrazionistesse, con conseguenti rilevanti limiti per la comunicazione e l’utilizzazione dei dati e quindi perla liceità del trattamento. Tale designazione è, infatti, indispensabile, in quanto permette di con-siderare legittimo il flusso delle informazioni personali nell’ambito degli uffici e tra i dipendentidell’amministrazione titolare del trattamento (v. art. 19 della legge n. 675/1996).


Come emerge anche dai lavori parlamentari di approvazione della legge n. 675/1996, tra leattribuzioni delle regioni non rientrano compiti di disciplina, anche indiretta, della materia dellaprotezione dei dati personali, neanche in riferimento alle materie di competenza regionale, fermirestando eventuali provvedimenti regionali in funzione attuativa di obblighi normativi fissati alivello statuale, i quali trovano il loro fondamento anche in atti internazionali ratificati dall’Italia(in particolare, nella Convenzione di Strasburgo n. 108/1981, ratificata con la legge n. 98/1989)o nella normativa comunitaria (Direttiva n. 95/46/CE, di cui la legge n. 675/1996 costituisce par-ziale recepimento). La materia della protezione dei dati personali riguarda infatti diritti fonda-mentali ed inalienabili della persona umana, la cui tutela richiede un elevato livello di protezioneche deve essere garantito in conformità alla normativa statale.




Settori di attività

Agenzie regionali per l’impiego

Le Agenzie regionali per l’impiego istituite dalla legge n. 56/1987, in quanto soggettipubblici, soggiacciono alla speciale disciplina prevista dagli artt. 27 e 22, comma 3 della leggen. 675/1996, che consentono il trattamento dei dati solo se previsto da apposite previsioni dilegge. Ne consegue che va esclusa la possibilità di rendere pubbliche le liste di mobilità infavore di aziende o associazioni di categoria che ne facciano richiesta, in quanto la normativadi settore (artt. 6 e ss. della legge n. 223/1991; d.lg. n. 469/1997; decreto del Ministero dellavoro dell’8 maggio 1998, pubblicato sulla G.U. del 6 giugno 1998) prevede un obbligo di con-


nessione e di scambio dei dati solo tra soggetti specificamente individuati (Ministero dellavoro, regioni, enti locali, imprese di fornitura di lavoro temporaneo e soggetti autorizzati allamediazione tra domanda e offerta di lavoro).


Anagrafe dei rapporti di conto e di deposito

La creazione di una banca dati centralizzata che interessa la generalità dei cittadini, qualequella concernente l’istituzione dell’anagrafe dei rapporti di conto e di deposito di cui all’art. 20,comma 4 della legge n. 413/1991, presuppone un’attenta regolamentazione che deve andareoltre l’assetto della sicurezza e dell’integrità dei dati e che deve riguardare le finalità perseguite,i flussi di dati, l’utilizzazione ulteriore delle informazioni e l’individuazione di compiti e respon-sabilità.


Archivi di Stato

La legge n. 675/1996 non ha modificato la disciplina vigente in tema di Archivi di Stato –espressamente fatta salva all’art. 43, comma 2 della legge – e, segnatamente, il d.P.R. n. 1409/1963e succ. modif. e integr., che prevede per gli enti pubblici la possibilità di stabilire quali docu-menti d’archivio siano da scartare, sulla base di un apposito provvedimento da sottoporreall’approvazione dell’autorità vigilante sull’ente, e previo nulla osta del competente sovrinten-dente archivistico.


Comuni e province

La legge n. 675/1996 non ha abrogato il regime di pubblicità delle deliberazioni comu-nali e provinciali contenuto nella legge n. 142/1990 e, per quanto concerne la regione TrentinoAlto-Adige, nella legge regionale n. 1/1993: tali normative permettono la conoscibilità pres-socché indifferenziata di tali delibere attraverso la loro pubblicazione nei rispettivi albi pretori.In ogni caso, rimangono fermi il divieto di diffusione dei dati idonei a rivelare lo stato di salute(art. 23, comma 4 della legge n. 675/1996), nonché i requisiti di pertinenza e non eccedenzadei dati (art. 9), che obbligano le amministrazioni ad operare una selezione delle informazioni– specie sensibili – il cui inserimento sia necessario per la realizzazione delle finalità cui le sin-gole delibere sono preordinate.


SETTORI DI ATTIVITÀ > ANAGRAFE DEI RAPPORTI DI CONTO E DI DEPOSITO 123

I comuni, al pari degli altri soggetti pubblici, non devono richiedere il consenso degli inte-ressati per poter trattare i dati inerenti alle persone fisiche o giuridiche, essendo sufficiente chei singoli trattamenti siano riconducibili – al pari dei dati trattati – alle finalità istituzionali del-l’ente e che siano concretamente rispettate eventuali specifiche limitazioni poste da norme spe-ciali di riferimento.


Non contrasta con i principi di liceità e correttezza nel trattamento dei dati personali postidall’art. 9 della legge n. 675/1996 l’acquisizione da parte di un’amministrazione comunale dellacopia di una sentenza penale emessa nei confronti dell’interessato, dipendente del Comune, alfine di utilizzarne i dati esclusivamente per motivi inerenti allo svolgimento del procedimentodisciplinare instaurato nei confronti dello stesso dipendente.


Alla luce del dettato dell’art. 27 della legge n. 675/1996, che consente il trattamento dei datipersonali da parte dei soggetti pubblici soltanto per lo svolgimento delle funzioni istituzionali, neilimiti stabiliti dalla legge e dai regolamenti, è legittimo il trattamento effettuato da un Comune inrelazione ai dati contenuti nei questionari compilati dai genitori che intendono usufruire degli asilinido comunali, in quanto normativamente previsto dal d.lg. n. 109/1998, contenente “definizionidi criteri unificati di valutazione della situazione economica dei soggetti che richiedono presta-zioni sociali agevolate, a norma dell’art. 59, comma 51 della legge n. 449/1997”; resta fermo , inogni caso, il rispetto delle altre disposizioni della legge n. 675/1996, quali quelle concernenti laqualità dei dati, la loro pertinenza, l’informativa agli interessati e le misure di sicurezza – artt. 9,10 e 15 della legge – (provvedimento assunto dal Garante a seguito dell’instaurazione di un auto-nomo procedimento ai sensi dell’art. 31, comma 1, lett. c).


Nessuna disposizione della legge n. 675/1996 – in specie, l’art. 9, che al comma 1, lett. d),stabilisce il principio di pertinenza in materia di trattamento dei dati personali – impedisce invia generale alla polizia municipale di indicare le generalità degli agenti verbalizzanti nei ver-bali di accertamento di violazioni al Codice della strada, conformi all’originale e redatti consistemi meccanizzati. Tali verbali vanno compilati secondo le norme speciali che regolano i rela-tivi modelli, contenute nel regolamento di attuazione al Codice della strada approvato cond.P.R. n. 495/1992 – e successive modificazioni ed integrazioni –, che disciplinano direttamentei relativi procedimenti sanzionatori amministrativi, e che non sono state abrogate o modificatedalla legge n. 675/1996.



Concessionari di pubblici servizi• V.: PRESUPPOSTI E MODALITÀ DEL TRATTAMENTO > TITOLARE, RESPONSABILE, INCARICATO > CASI

PARTICOLARI > CONCESSIONARI DI PUBBLICI SERVIZI (P. 64)

Nell’ipotesi in cui al concessionario di un pubblico servizio sia garantita piena autonomiadecisionale in ordine al trattamento delle informazioni, con conseguente concreta assunzione asuo carico di ogni responsabilità al riguardo, si è in presenza di una figura soggettiva del tuttodistinta dall’amministrazione concedente, che è tenuta ad operare in base alle regole dettatedalla legge n. 675/1996 per i soggetti privati e gli enti pubblici economici.


Il concessionario di un pubblico servizio è collaboratore esterno del soggetto pubblico qua-lora coadiuvi l’amministrazione, trattando dati personali anche al di fuori della relativa strutturama nell’ambito di un’attività che ricade nella sfera di titolarità e di responsabilità dell’ammini-strazione stessa; in tal caso, il concessionario è parte sostanziale della struttura pubblica e sog-giace al particolare regime previsto per le amministrazioni.


Nello svolgimento dei propri compiti istituzionali, ciascun soggetto pubblico può ricorrerea privati, affidando ad essi determinate attività in concessione. In tal caso, l’amministrazionedeve precisare il ruolo assunto dal concessionario, il quale, ai sensi della legge n. 675/1996, aseconda del concreto atteggiarsi del rapporto, può essere considerato alternativamente comecollaboratore esterno ovvero come figura soggettiva del tutto distinta dall’amministrazione.


Nello svolgimento dei propri compiti istituzionali, ciascun soggetto pubblico può ricorrerea privati cui affidare determinate attività in concessione. In tale ipotesi, l’amministrazione deveprecisare il ruolo assunto dai concessionari i quali, ai sensi della legge n. 675/1996, possonoessere considerati, alternativamente, come collaboratori esterni del soggetto pubblico, qualoracoadiuvino l’amministrazione trattando dati personali anche al di fuori della relativa struttura,ma nell’ambito di un’attività che ricade nella sfera di titolarità e di responsabilità dell’ammini-strazione stessa, oppure come figure soggettive del tutto distinte dall’amministrazione, chedecidono autonomamente in ordine al trattamento delle informazioni e si assumono ogni rela-tiva responsabilità. Nel primo caso, i concessionari costituiscono parte sostanziale della strut-tura pubblica – e agli stessi è quindi applicabile il particolare regime previsto per la pubblicaamministrazione –, mentre, nel secondo, sono privati che devono operare in base alle regole det-tate dalla legge per i soggetti privati e gli enti pubblici economici (principi affermati nell’ambitodel parere reso all’Amministrazione finanziaria sullo schema di decreto ministeriale – previsto

SETTORI DI ATTIVITÀ > CONCESSIONARI DI PUBBLICI SERVIZI 125

dall’art. 18 del d.lg. n. 112/1999 – attinente all’esercizio della facoltà di accesso agli uffici pub-blici da parte dei concessionari della riscossione).


Ministero della difesa

La richiesta del documento matricolare da parte dell’ufficio del Ministero della difesapresso il quale l’interessato, ufficiale della Marina militare, presta servizio, nonché il successivoinvio di tale documento da parte della competente Direzione generale, non danno luogo ad unaoperazione di comunicazione o di diffusione di dati, trattandosi invece di un’attività di utilizzointerno all’amministrazione militare di dati che vengono trattati da parte di organi e uffici in rela-zione alle proprie competenze e per lo svolgimento di funzioni istituzionali.


Ministero delle comunicazioni

Il Ministero delle comunicazioni è legittimato a trattare i dati personali in possesso del con-cessionario del servizio telefonico, nello svolgimento delle funzioni istituzionali di controllo dellaqualità e della regolarità del servizio, nei limiti e per gli scopi individuati dalle leggi e dai rego-lamenti di settore (art. 27, comma 1 della legge n. 675/1996).


Prefetto

La legge n. 2359/1865 sull’espropriazione per pubblica utilità, all’art. 16, ai fini dell’esattadeterminazione dei beni oggetto del provvedimento ablatorio, prevede l’indicazione di una seriedi elementi identificativi, tra cui le generalità dei proprietari dei fondi iscritti nei registri catastali;inoltre, l’art. 72, comma 1, della stessa legge stabilisce che il Prefetto, con lo stesso decreto cheautorizza l’occupazione o con decreto successivo, determini provvisoriamente l’indennità da cor-rispondersi ai proprietari dei beni occupati. Ne consegue che, nell’ipotesi in cui un decreto pre-fettizio d’occupazione rechi l’indicazione di tali doverosi elementi, il correlativo trattamento didati è da considerarsi conforme al dettato di cui all’art. 27 della legge n. 675/1996, in quantoeffettuato da un soggetto pubblico “per lo svolgimento delle funzioni istituzionali, nei limiti sta-biliti dalla legge e dai regolamenti.



Privati incaricati del trattamento

Rivestono la qualità di “incaricati del trattamento” i privati/persone fisiche che ricevonoda un soggetto pubblico (attraverso un provvedimento amministrativo o una convenzione) l’in-carico del trattamento di dati personali connesso all’espletamento dei compiti istituzionali del-l’amministrazione, da svolgersi sotto la diretta sorveglianza e secondo le istruzioni di questa,che conserva la qualità di “titolare del trattamento”, e che non comporti decisioni di fondo sullefinalità e sulle modalità di utilizzazione dei dati, ma limitati margini di autonomia in ordine alconcreto svolgimento del servizio ed a scelte tecnico-operative. Nell’ambito di tale configura-zione del rapporto, il privato è legittimato ad utilizzare i dati in possesso della struttura pub-blica, rimanendo però vincolato ad usarli per le sole finalità perseguite dall’amministrazione esulla base del particolare regime previsto per quest’ultima (fattispecie relativa al trattamento,operato da laboratori fotografici, di dati personali dei contravventori alle disposizioni in tema dilimiti di velocità, desunti dalla documentazione fotografica ottenuta con apparecchiature deltipo autovelox).


R.a.i.

Le attività di trattamento effettuate dalla R.a.i. in qualità di responsabile del Ministero dellefinanze, ai fini della gestione degli abbonamenti al servizio radiotelevisivo, non possono rien-trare nei casi, indicati dall’art. 14 della legge n. 675/1996, di esclusione dall’esercizio dei dirittiattribuiti dall’art. 13 della stessa legge. Sulla società concessionaria e sull’Amministrazionefinanziaria incombe quindi l’obbligo di fornire riscontro senza ritardo alle richieste avanzatedagli interessati in base al citato art. 13.


Quale responsabile del trattamento, la R.a.i. collabora con l’amministrazione delleFinanze, titolare del trattamento, nello svolgimento dei compiti relativi alla gestione e allariscossione dei canoni. La società non può, quindi, essere considerata come un soggetto pri-vato che persegue ulteriori finalità e che può decidere autonomamente in ordine al tratta-mento delle informazioni personali, dovendo la stessa attenersi rigorosamente alle prescri-zioni normative e alle istruzioni impartite dall’amministrazione finanziaria. Limitatamente aquesti rapporti, alla società deve, quindi, ritenersi applicabile il particolare regime previstoper le amministrazioni pubbliche che, a differenza dei privati – i quali, ai sensi degli artt. 12 e20 della legge n. 675/1996, possono trattare informazioni personali in presenza del consensodegli interessati o di uno degli altri presupposti equipollenti –, possono effettuare solo i trat-tamenti connessi all’esercizio delle proprie funzioni istituzionali, nei limiti stabiliti dalle previ-sioni di legge o di regolamento (art. 27 della legge).


SETTORI DI ATTIVITÀ > PRIVATI INCARICATI DEL TRATTAMENTO 127

A seguito dell’abrogazione degli artt. 2, 5 e 7 della legge n. 996/1949 ad opera degli artt. 2e 6, lett. d bis) del d.l. n. 357/1994, convertito dall’art. 1 della legge n. 489/1994, è venuto menoil fondamento normativo che obbligava i rivenditori di apparecchi televisivi alla raccolta e al suc-cessivo invio alla R.a.i. dei dati riguardanti gli acquirenti di tali apparecchi. La rilevata carenza dipresupposti giuridici rende contrari ai principi posti dall’art. 27 della legge n. 675/1996 in mate-ria di trattamento dei dati da parte dei soggetti pubblici – quale deve essere considerata la con-cessionaria del sevizio radiotelevisivo – la raccolta e il trattamento dei dati degli acquirenti ope-rati dalla R.a.i. per conto dell’Amministrazione finanziaria, attraverso accordi con i rivenditori, alloscopo di contrastare l’evasione del canone televisivo. Pertanto, ai sensi della lett. c) dell’art. 31della legge n. 675/1996, va segnalata alla R.a.i. e all’Amministrazione finanziaria la necessità diinterrompere la raccolta e il trattamento dei dati in questione, svolti con le modalità descritte, e diastenersi dal loro ulteriore trattamento. Il provvedimento va comunicato anche al Governo ai sensidella lett. m) dell’art. 31.


Servizi ispettivi delle aziende sanitarie locali

L’art. 1, comma 62 della legge n. 662/1996 stabilisce che le amministrazioni possono effet-tuare ispezioni e verifiche, avvalendosi dei propri servizi ispettivi, per accertare il rispetto da partedei soggetti interessati delle norme in materia di incompatibilità. È quindi legittimo il trattamentodei dati personali che le aziende sanitarie locali effettuano nel compiere ispezioni e controlli,anche mediante accertamenti presso studi medici privati, per verificare l’osservanza delle dispo-sizioni in materia di incompatibilità nell’esercizio dell’attività medica, rientrando tali trattamentitra quelli che le aziende possono svolgere per esercitare le funzioni istituzionali ad esse attri-buite, nei limiti stabiliti dalla legge o dai regolamenti (art. 27, comma 1 della legge n. 675/1996).


Ufficio italiano cambi

All’Ufficio italiano cambi si applica la particolare disciplina prevista, per i soggetti pubblici,dall’art. 27 della legge n. 675/1996 in materia di operazioni di trattamento dei dati personali, ivicomprese quelle inerenti alla loro comunicazione e diffusione (fattispecie relativa alla raccolta,comunicazione e diffusione dei dati relativi all’anagrafe dei valori mobiliari, disciplinate dald.P.R. n. 148/1998).


Ufficio per la mediazione penale di Milano

In relazione all’attività di sua pertinenza, l’Ufficio per la mediazione penale di Milano è


stato nominato titolare del trattamento dei relativi dati dal Ministero della giustizia – Ufficio cen-trale per la giustizia minorile che, con provvedimento del 13 agosto 1998, ha altresì designato ildirettore del Centro per la giustizia minorile di Milano quale responsabile del trattamento nelrelativo ambito territoriale di competenza, anche per ciò che riguarda i trattamenti gestiti in col-laborazione con amministrazioni locali.


Il trattamento dei dati effettuato dall’Ufficio per la mediazione penale di Milano è con-forme alla legge n. 675/1996 in quanto riconducibile all’attuazione degli artt. 9 e 28 del d.P.R.n. 448/1998, che, rispettivamente, permettono agli uffici giudiziari interessati di avvalersidella collaborazione di esperti per accertare la personalità dei minori e di promuovere la con-ciliazione con le persone offese dal reato.


L’Ufficio per la mediazione penale di Milano, costituito su iniziativa di più soggetti pubbliciin base ad un protocollo d’intesa, è strutturalmente dotato di caratteristiche tali da consentirnel’ascrizione alla sfera degli organismi pubblici che, operando per finalità di assistenza sociale,specie in favore di minori, possono trattare dati di carattere personale per il perseguimento delleproprie funzioni istituzionali.


Istituti scolastici e università

Istituti scolastici

Ai sensi dell’art. 27 della legge n. 675/1996, non è possibile la trasmissione ad una societàprivata, da parte di un istituto scolastico pubblico (nella specie, un istituto tecnico industrialestatale), dell’elenco dei diplomati, corredato di informazioni di natura personale (data di nascita,indirizzo, recapito telefonico, voto conseguito e anno di diploma), al fine di agevolarne l’inseri-mento professionale, se non in presenza di specifiche disposizioni di legge o di regolamento cheautorizzino detta comunicazione (come stabilito dal d.lg. n. 204/1998 e dal d.P.R. n. 390/1998 intema di pubblicità di determinati dati relativi a laureati, dottori di ricerca e docenti in ambito uni-versitario).


L’assegnazione, da parte degli insegnanti, di temi in classe, anche se attinenti alla sferapersonale o familiare degli alunni, non contrasta con i principi fissati dalla legge n. 675/1996, in

SETTORI DI ATTIVITÀ > ISTITUTI SCOLASTICI E UNIVERSITÀ >ISTITUTI SCOLASTICI

129

quanto rispondente alle funzioni attribuite all’istituzione scolastica. Poiché gli insegnanti, nellosvolgimento dell’attività didattica, possono venire a conoscenza – anche al di fuori degli elabo-rati relativi ai temi assegnati – di situazioni personali e familiari degli studenti, anche di naturasensibile, debbono comunque essere osservati dal corpo docente gli obblighi di riservatezza(segreto d’ufficio e professionale) previsti dalle disposizioni vigenti in materia d’istruzione sco-lastica, attualmente rafforzati dai principi sanciti dalla legge n. 675/1996 e, tra essi, da quellirelativi alla conservazione dei dati personali (art. 9).


Non è in contrasto con i principi posti dalla legge n. 675/1996 la comunicazione a terzi daparte di istituti scolastici dei dati personali degli alunni, per fini di orientamento, formazione,selezione ed inserimento professionale, sulla base e nei limiti delle richieste provenienti in talsenso dagli alunni stessi o, se minorenni, dagli esercenti la potestà genitoriale.


Ai sensi dell’art. 27, comma 3, della legge n. 675/1996, i soggetti pubblici possonocomunicare dati personali a soggetti privati soltanto ove ciò sia previsto da norme di legge odi regolamento. Il d.lg. 30 luglio 1999, n. 281 che, nell’integrare il d.lg. 16 aprile 1994, n. 297(art. 330 bis), ha disciplinato la divulgazione, da parte degli istituti scolastici di istruzionesecondaria, dei dati relativi agli studenti, può trovare applicazione anche in caso di richiesta,da parte di un docente universitario, di elenchi di diplomati a scopo di ricerca, trattandosi diun’iniziativa che, in quanto volta a favorire – anche con il contributo dell’indagine statistica –la formazione, l’aggiornamento e la riqualificazione degli studenti e dei lavoratori, è ricondu-cibile alle finalità specificamente contemplate dall’art. 17 dello stesso decreto.


Università

Ai sensi dell’art. 27, comma 2 della legge n. 675/1996, deve ritenersi lecita la pubblica-zione, da parte delle università, dei dati dei dipendenti sull’annuario universitario, trattandosi diattività di divulgazione già disciplinata da apposita normativa (r.d. n. 674/1924).


Ai sensi dell’art. 27, comma 3 della legge n. 675/1996, le università possono comunicare ediffondere a soggetti privati i dati relativi agli studenti laureati, purché detto trattamento avvengain base alle normative generali o, eventualmente, alle norme regolamentari dei singoli atenei.



Ove i dati degli iscritti vengano raccolti attraverso il c.d. modulo per l’autocertificazione, leuniversità sono tenute a rispettare le disposizioni della legge n. 675/1996 che riguardano, in par-ticolare, la qualità dei dati, la loro pertinenza, l’informativa agli interessati e le misure di sicu-rezza (artt. 9, 10 e 15 della legge).


Ai sensi dell’art. 27, comma 3 della legge n. 675/1996, le università possono trasmettereelenchi di studenti o di laureati a soggetti privati o ad enti pubblici economici in base alle nor-mative generali o agli ordinamenti dei singoli atenei.


La legge n. 390/1991 (recante norme sul diritto agli studi universitari) ed il connessod.P.C.M. 30 aprile 1997 (emanato ai sensi dell’art. 4 della legge n. 390/1991, recante norme inmateria di uniformità di trattamento sul diritto agli studi universitari), contenenti – tra l’altro –disposizioni relative alla raccolta dei dati personali degli studenti ai fini della valutazione dellacondizione economica del nucleo familiare d’appartenenza per la determinazione della tassa d’i-scrizione e dei contributi, costituiscono, ai sensi dell’art. 27 della legge n. 675/1996, adeguatabase normativa per procedere alla raccolta, alla comunicazione e alla diffusione da parte delleuniversità ad altre amministrazioni pubbliche dei dati afferenti agli iscritti (in particolare con rife-rimento ai servizi ed agli interventi non destinati alla generalità degli studenti), in quanto tratta-menti riconducibili alle funzioni istituzionali delle amministrazioni interessate.


Le università, quali soggetti pubblici dotati di autonoma personalità giuridica (artt. 6 e 7della legge n. 168/1989), nel trattare i dati personali degli iscritti ai corsi di studio debbono atte-nersi al disposto di cui agli artt. 27 (dati comuni) e 22 comma 3 (dati sensibili) della leggen. 675/1996, nonché alla disciplina transitoria di cui all’art. 41, comma 5 della legge (per i tratta-menti iniziati prima dell’8 maggio 1997 e proseguiti sino all’8 maggio 1999); comunque, stante laloro natura, pur essendo tenute a rendere adeguata informativa ai sensi dell’art. 10 della legge, aifini del trattamento non sono tenute ad acquisire il previo consenso degli interessati.


A seguito dell’entrata in vigore del d.lg. n. 204/1988 (art. 6, comma 4), le università, conautonome determinazioni, possono comunicare e diffondere dati relativi ad attività di studio e diricerca – con la sola esclusione dei dati sensibili o attinenti a provvedimenti giudiziari – a laureatie dottori di ricerca per finalità di sostegno della ricerca e della collaborazione in campo scienti-fico e tecnologico.


SETTORI DI ATTIVITÀ > ISTITUTI SCOLASTICI E UNIVERSITÀ >UNIVERSITÀ

131

Lavoro e previdenza

Profili generali

I dati personali concernenti le classi stipendiali, le indennità e gli altri emolumenti corri-sposti ad amministratori e lavoratori dipendenti ed autonomi da concessionari di pubblici ser-vizi sono da ritenersi conoscibili da parte di chiunque vi abbia interesse attraverso la letturadegli atti parlamentari (es.: risposte fornite a interrogazioni e interpellanze parlamentari), l’e-same dei contratti collettivi, l’accesso ai documenti amministrativi (legge n. 241/1990) e, insede di esercizio del diritto di cronaca, da parte degli esercenti la professione giornalistica.Rimane ferma la necessità che tali dati siano esatti, completi ed acquisiti correttamente (art. 9della legge n. 675/1996), e che siano invece mantenuti riservati quelli relativi a circostanze per-sonali e familiari, o che abbiano natura sensibile (es.: ritenute previdenziali e assistenziali; ces-sioni di stipendio; deleghe sindacali).


Nei “test attitudinali” sottoposti da un comune ai propri dipendenti, al fine della miglioreutilizzazione del personale, non possono essere contenuti quesiti attraverso i quali i lavoratoriesprimano in forma non anonima giudizi di valore riferiti alle complessive finalità dell’ente comu-nale, nonché alle linee concrete dell’azione politico-amministrativa dell’ente e dei suoi dirigenti.I dati così acquisiti, infatti, risultano in contrasto sia con il principio di pertinenza rispetto allefinalità della raccolta sancito dall’art. 9, comma 1, lett. c) della legge n. 675/1996, attesa la loroassai dubbia rilevanza ai fini della valutazione dell’attitudine professionale dei dipendenti, siacon l’art. 27, comma 1 della stessa legge, il quale stabilisce che i soggetti pubblici possono pro-cedere al trattamento dei dati personali solo per lo svolgimento delle finalità istituzionali, neilimiti stabiliti dalla legge e dei regolamenti, in quanto l’art. 8 della legge n. 300/1970 fa divietoal datore di lavoro di svolgere indagini sulle opinioni politico-sindacali dei lavoratori.


Il datore di lavoro – nella specie, un comune – che decida di sottoporre i dipendenti ad un“test attitudinale” allo scopo di procedere alla migliore utilizzazione del personale, deve rendereai lavoratori un’adeguata informativa (art. 10 della legge n. 675/96) che precisi, in particolare, laobbligatorietà o meno delle risposte e le conseguenze in caso di mancata risposta, e che indichigli eventuali soggetti esterni (es.: una società di elaborazione dati) che possono avere accessoai dati.


Un soggetto pubblico – nella specie, un comune – può ricorrere ad analisi statistiche, aquestionari e a valutazioni attitudinali dei dipendenti, che presuppongono la raccolta di dati per-


sonali, qualora ciò sia necessario per perseguire le proprie finalità istituzionali, nel rispetto,peraltro, dei limiti posti da norme di legge e di regolamento, tra i quali vanno ricompresi quelliprevisti dalla legge n. 675/1996 e dalla legge n. 300/1970.


Il trattamento dei dati personali contenuti nei curricula vitae inviati spontaneamente daicandidati all’instaurazione di rapporti di lavoro presuppone necessariamente che sia resa unaprevia informativa, fatta eccezione dei soli elementi, fra quelli indicati nell’art. 10, comma 1 dellalegge n. 675/1996, che siano già noti agli interessati (principio espresso in fattispecie concer-nente i curricula inviati a società operanti nel settore del lavoro interinale disciplinato dalla leggen. 196/1997). Ove i dati vengano raccolti telefonicamente, l’informativa può essere data ancheoralmente (e documentata per iscritto dall’addetto che la fornisce).


I dati personali contenuti nel cedolino dello stipendio dei lavoratori dipendenti, in quantocollegati a persone fisiche individuate o individuabili, rientrano nella nozione di “dato perso-nale” contenuta nell’art. 1 della legge n. 675/1996. Si rende quindi necessario adottare le oppor-tune misure volte a tutelare la riservatezza degli interessati (es.: piegando e spillando il cedo-lino, imbustandolo, apponendovi una copertura delle parti più significative, ovvero introducendouna “distanza di cortesia” agli sportelli), affinché tali dati non siano immediatamente accessibilia terzi, ma rimangano conoscibili dai soli incaricati del trattamento che li devono necessaria-mente utilizzare per la gestione del rapporto di lavoro.


Il datore di lavoro deve adottare tutte le misure volte a tutelare la riservatezza dei dati con-tenuti nel cedolino dello stipendio dei dipendenti, affinché tali dati non siano immediatamenteaccessibili ad altre persone, rimanendo conoscibili dai soli incaricati del trattamento che lidevono necessariamente utilizzare per la gestione del rapporto di lavoro.


I soggetti pubblici, a differenza dei privati e degli enti pubblici economici, non devono richie-dere il consenso degli interessati e l’autorizzazione del Garante per poter trattare dati sensibili, ma,ai sensi dell’art. 22, comma 3 della legge n. 675/1996, come modificato dal d.lg. n. 135/1999,devono verificare che tali trattamenti siano conformi a puntuali disposizioni di legge che specifi-chino i tipi dei dati che possono essere trattati, le operazioni eseguibili e le rilevanti finalità di inte-resse pubblico perseguite (principio espresso in risposta a un quesito posto da una pubblica ammi-nistrazione relativo al trattamento dei dati sensibili dei propri dipendenti per la gestione del rap-porto di lavoro).


SETTORI DI ATTIVITÀ > LAVORO E PREVIDENZA >PROFILI GENERALI

133



Non contrasta con i principi di liceità e correttezza nel trattamento dei dati personali postidall’art. 9 della legge n. 675/1996 l’acquisizione da parte di un’amministrazione comunale dellacopia di una sentenza penale emessa nei confronti dell’interessato, dipendente del Comune, alfine di utilizzarne i dati esclusivamente per motivi inerenti allo svolgimento del procedimentodisciplinare instaurato nei confronti dello stesso dipendente.




L’art. 13 della legge n. 675/1996 consente l’accesso ai dati personali da parte dei soggetticui i dati stessi si riferiscono. È quindi inammissibile il ricorso proposto, ai sensi dell’art. 29 dellalegge, da alcuni dipendenti nei confronti del titolare/datore di lavoro, al fine di ottenere l’ac-cesso alle note di qualifica e alle procedura di valutazione concernenti altri lavoratori.




L’annotazione inserita dalla Direzione generale per il personale militare, sul documentomatricolare di un ufficiale della Marina militare, della decisione adottata nei suoi confronti dalgiudice per l’udienza preliminare, come pure la trasmissione del documento all’ufficio pressoil quale il militare presta servizio, al fine dell’espletamento di una pratica stipendiale, non


comportano violazione dell’art. 24 della legge n. 675/1996. Il d.lg. n. 135/99, all’art. 9, rendeinfatti lecito il trattamento dei dati personali relativi ai provvedimenti giudiziari menzionatinell’art. 24 della legge, ove effettuato per finalità di gestione del rapporto di lavoro.


Costituiscono dati personali del dipendente i criteri, gli indici e i fattori algebrici utilizzatidal datore di lavoro al fine di determinare il “parametro di partecipazione al risultato“ del lavo-ratore, nonché il valore numerico finale di detto parametro. È peraltro infondato, e deve quindiessere rigettato, il ricorso del dipendente che non sia basato su elementi che permettano di rite-nere sussistenti altri dati oltre quelli suddetti, ove il datore abbia precisato che il valore mate-matico del parametro sia frutto di un semplice “percorso logico“ interno svolto personalmente ediscrezionalmente dal direttore dell’azienda, non documentato in atti o note formali.






Ai sensi dell’art. 3, comma 5, del d.lg. n. 135/1999, il trattamento dei dati idonei a rivelarelo stato di salute dei dipendenti di un soggetto pubblico è sottoposto a particolari obblighi e cau-tele che impongono, tra l’altro, la conservazione separata di detti dati da ogni altro dato perso-nale dell’interessato; tale principio di tendenziale separazione, peraltro, che si concreta soprat-tutto sul piano della custodia dei dati, deve trovare attuazione anche con riferimento ai fascicolipersonali cartacei dei dipendenti dell’I.n.p.s., con conseguente obbligo dell’Istituto di preporre

SETTORI DI ATTIVITÀ > LAVORO E PREVIDENZA >PROFILI GENERALI

135

alla loro custodia apposito personale, specificamente istruito sulle finalità e sulle cautele indi-cate dal d.lg. n. 135/1999.


Collocamento

Premesso che la legge n. 675/1996 non ha abrogato le disposizioni contenute nella leggen. 135/1990 (recante un programma di interventi urgenti per la prevenzione e la lotta control’A.I.D.S.), ai fini dell’iscrizione nelle liste del collocamento obbligatorio non è richiesta la speci-ficazione della diagnosi risultante dalla visita per il riconoscimento dell’invalidità civile – e, inparticolare, dell’eventuale presenza dell’infezione da H.I.V. –, essendo sufficiente l’indicazionedella percentuale di invalidità riscontrata, fermo restando che la certificazione della specificapatologia può essere richiesta al momento dell’inserimento nel posto di lavoro dell’interessato,il quale è anche tenuto a fornire indicazioni dell’eventuale presenza dell’affezione da H.I.V. invista dello svolgimento di attività che comportino un serio rischio di contagio della malattia aterzi (cfr. Corte Cost., sent. n. 218/1994).


Ai sensi dell’art. 27, comma 3 della legge n. 675/1996, gli uffici di collocamento, in quantosoggetti pubblici, possono comunicare o diffondere dati a privati solo se ciò sia previsto da unanorma di legge o di regolamento. In tale ottica, il d.lg. n. 469/1997, istitutivo del S.I.L. - Sistemainformativo lavoro, prevedendo un obbligo di connessione e di scambio di dati relativi ai lavora-tori tra Ministero del lavoro, regioni, enti locali e soggetti autorizzati alla mediazione tradomanda ed offerta di lavoro, ha reso possibile l’accesso alle banche dati, mediante conven-zione, anche alle imprese di fornitura di lavoro temporaneo ed ai soggetti autorizzati a dettamediazione (art. 11, commi 3, 4 e 5). Al contrario, allo stato attuale, nell’ambito della disciplinasul collocamento al lavoro non sussistono ulteriori norme che permettano di comunicare o dimettere a disposizione le liste degli iscritti in favore di datori di lavoro privati diversi da quelliautorizzati dal citato d.lg. n. 469/1997.


La creazione di una banca dati centralizzata attuativa della disciplina del collocamento ordi-nario istituito dalla legge n. 59/1997, che interessa la generalità delle persone aventi l’età stabi-lita per essere ammesse al lavoro e che sono in cerca di lavoro perché inoccupate, disoccupate,nonché occupate in cerca di altra attività, presuppone un’attenta regolamentazione che vadaoltre l’assetto della sicurezza e dell’integrità dei dati e che deve riguardare le finalità perseguite,l’individuazione di compiti e responsabilità, i vari flussi di dati e la loro utilizzazione ulteriore.



Ferme restando le condivisibili finalità di interesse pubblico connesse al riordino e allasemplificazione delle procedure di collocamento perseguite dalla disciplina del collocamentoordinario adottato ai sensi dell’art. 20 della legge n. 59/1997, è necessario, per rispettare i dirittifondamentali degli interessati previsti dalla legge n. 675/1996, che l’utilizzazione dei dati con-tenuti nell’elenco anagrafico, nonché nella banca dati corrispondente alle schede professionali,avvenga sulla base di un preciso quadro di riferimento, anche per ciò che riguarda l’attivazionedei flussi di dati tra amministrazioni ed altri soggetti (es.: i centri per l’impiego e gli altri organiindividuati dalle regioni ai sensi dell’art. 4 del d.lg. n. 469/1997).


Invalidità civile

Premesso che la legge n. 675/1996 non ha abrogato le disposizioni contenute nella leggen. 135/1990 (recante un programma di interventi urgenti per la prevenzione e la lotta control’A.I.D.S.), ai fini dell’iscrizione nelle liste del collocamento obbligatorio non è richiesta la speci-ficazione della diagnosi risultante dalla visita per il riconoscimento dell’invalidità civile – e, inparticolare, dell’eventuale presenza dell’infezione da H.I.V. –, essendo sufficiente l’indicazionedella percentuale di invalidità riscontrata, fermo restando che la certificazione della specificapatologia può essere richiesta al momento dell’inserimento nel posto di lavoro dell’interessato,il quale è anche tenuto a fornire indicazioni dell’eventuale presenza dell’affezione da H.I.V. invista dello svolgimento di attività che comportino un serio rischio di contagio della malattia aterzi (cfr. Corte Cost., sent. n. 218/1994).


Le disposizioni della legge n. 135/1990 – la cui vigenza è stata confermata dalla leggen. 675/1996 (art. 43, comma 2) – che sanciscono, tra l’altro, l’obbligo per gli operatori sani-tari che vengono a conoscenza di un caso di A.I.D.S. o di infezione da H.I.V. di comunicare irisultati degli accertamenti diagnostici esclusivamente alle persone cui tali esami sono rife-riti (art. 5), prevalgono sulle norme regolamentari contenute nel d.m. n. 187/1997, che (art. 6)prevede che la commissione medica competente ad accertare lo stato di inabilità a svolgereun’attività lavorativa debba redigere un processo verbale, comprensivo del giudizio diagno-stico, da trasmettere all’amministrazione o all’ente che abbia richiesto l’accertamento. Neconsegue che la commissione deve adottare ogni misura necessaria per tutelare la riserva-tezza della persona interessata (es.: indicando la diagnosi relativa all’A.I.D.S. o all’H.I.V. in undocumento riservato anziché nel verbale).


Poiché a seguito dell’entrata in vigore del d.lg. n. 135/1999 sono lecite (art. 4) le sole ope-razioni di trattamento dei dati sensibili – inclusa la comunicazione – da parte dei soggetti pub-

SETTORI DI ATTIVITÀ > LAVORO E PREVIDENZA >INVALIDITÀ CIVILE

137

blici strettamente necessarie al perseguimento delle finalità per le quali il trattamento è con-sentito, non può più ritenersi ammissibile comunicare taluni dati ad associazioni ed enti chetutelano le diverse categorie di invalidi in base ai compiti previsti dal proprio assetto istituzio-nale o statutario, salvo che tale comunicazione non sia ritenuta indispensabile per il raggiungi-mento della rilevante finalità pubblica perseguita dalle competenti amministrazioni.




Note di qualifica e relazioni predisposte dal datore di lavoro

L’esercizio del diritto di accesso da parte dei dipendenti ai giudizi ad alle ricostruzioni deiprofili professionali espressi dal datore di lavoro è subordinato al completamento della proce-dura di valutazione, e quindi non può essere fatto valere nelle fasi di preparazione delle note diqualifica o delle schede di valutazione.


L’espressione “qualunque informazione” contenuta nell’art. 1, comma 2, lett. c) della leggen. 675/1996 vuole attribuire alla definizione di “dato personale” la massima ampiezza, compren-dendo anche ogni notizia, informazione o elemento che abbia un’efficacia informativa tale da for-nire un contributo aggiuntivo di conoscenza rispetto ad un soggetto identificato o identificabile.Ciò in riferimento sia ad informazioni oggettivamente caratterizzate (suscettibili di una verifica edi un sindacato obiettivo), sia a descrizioni, giudizi, analisi o ricostruzioni di profili personali(riguardanti attitudini, qualità, requisiti o comportamenti professionali) che danno origine a stimeed opinioni di natura soggettiva finalizzate anche ad una valutazione complessiva del soggettointeressato (fattispecie relativa alle richieste di alcuni dipendenti di conoscere le argomentazionie le valutazioni poste a base del giudizio espresso sinteticamente nei loro confronti – ottimo,buono, mediocre, insufficiente, ecc. – dal datore di lavoro, reso noto ogni anno a ciascuno di loro).



Nella nozione di dato personale contenuta nell’art. 1, comma 2, lett. c), della leggen. 675/1996 vanno ricomprese le informazioni di natura personale annotate in schede, note diqualifica e documenti dello stesso genere formati dal datore di lavoro, anche se inserite in attirecanti giudizi e valutazioni, contenenti elementi distintivi del dipendente al quale si riferiscono.


Le valutazioni effettuate dal datore di lavoro nei confronti del dipendente, comunque for-mulate o sintetizzate, costituiscono dati personali dell’interessato, suscettibili di richiesta diaccesso ai sensi dell’art. 13 della legge n. 675/1996.


L’inaccessibilità del dipendente ai dati personali può essere riconosciuta soltanto neimomenti puramente prodromici che precedono la definizione dei giudizi da parte del datore dilavoro, e non nel caso in cui quest’ultimo abbia concretizzato la valutazione sul lavoratore, con-servandone traccia attraverso la formulazione di punteggi o giudizi finali.


Nell’ambito dell’esercizio degli specifici diritti tutelati dall’art. 13 della legge n. 675/1996,in particolare del diritto di accesso da parte del dipendente ai dati personali detenuti dal datoree riferiti all’attività lavorativa svolta, non è possibile pretendere di ottenere copia integrale degliatti o dei documenti contenenti i dati, ove questi ultimi siano stati forniti attraverso la loro estra-zione e messa a disposizione, anche se su supporti diversi dagli originali.


Nella nozione di dato personale offerta dall’art. 1, comma 2, della legge n. 675/1996 rien-trano anche i dati contenuti in relazioni predisposte dal datore di lavoro che contengano notizie,informazioni e elementi che abbiano un’efficacia informativa tale da fornire un contributoaggiuntivo di conoscenza rispetto ad un soggetto identificato o identificabile.



Nella nozione di dato personale contenuta nell’art. 1, comma 2, lett. c), della legge n. 675/1996 vanno comprese le informazioni di natura personale, annotate in schede, note diqualifica e documenti dello stesso genere formati dal datore di lavoro, anche se inserite in attirecanti giudizi e valutazioni e che contengano elementi distintivi del dipendente al quale si rife-riscono, nonostante che tali dati, cui il lavoratore ha diritto di accedere, non siano passibili di

SETTORI DI ATTIVITÀ > LAVORO E PREVIDENZA >NOTE DI QUALIFICA E RELAZIONI PREDISPOSTE DAL DATORE DI LAVORO

139

correzione o rettifica, attesa la loro natura di espressioni del libero e soggettivo convincimentodel valutatore.


Nella nozione di dato personale offerta dall’art. 1, comma 2, della legge n. 675/1996, rien-trano non solo i dati contenuti nel fascicolo personale del dipendente, ma in genere tutte le infor-mazioni detenute dal datore di lavoro, purché atte a fornire un contributo aggiuntivo di cono-scenza rispetto al lavoratore.


Nella nozione di dato personale offerta dall’art. 1, comma 2, della legge n. 675/1996 rien-trano anche i dati contenuti nel fascicolo personale del dipendente e nelle relazioni predispostedal datore di lavoro che contengano notizie, informazioni o elementi che abbiano un’efficaciainformativa tale da fornire un contributo aggiuntivo di conoscenza rispetto ad un soggetto iden-tificato o identificabile.


Casi particolari


Le Agenzie regionali per l’impiego istituite dalla legge n. 56/1987, in quanto soggetti pub-blici, soggiacciono alla speciale disciplina prevista dagli artt. 27 e 22, comma 3 della legge n. 675/1996, che consentono il trattamento dei dati solo se previsto da apposite previsioni dilegge. Ne consegue che va esclusa la possibilità di rendere pubbliche le liste di mobilità in favoredi aziende o associazioni di categoria che ne facciano richiesta, in quanto la normativa di settore(artt. 6 e ss. della legge n. 223/1991; d.lg. n. 469/1997; decreto del Ministero del lavoro dell’8maggio 1998, pubblicato sulla G.U. del 6 giugno 1998) prevede un obbligo di connessione e discambio dei dati solo tra soggetti specificamente individuati (Ministero del lavoro, regioni, entilocali, imprese di fornitura di lavoro temporaneo e soggetti autorizzati alla mediazione tradomanda e offerta di lavoro).


Cartellini identificativi dei dipendenti

Le disposizioni degli artt. 20 e 27, commi 3 e 4, della legge n. 675/1996 consentono, rispet-


tivamente nel settore del lavoro privato e in quello pubblico, la diffusione di dati personali solo aprecise condizioni, al di là dell’ipotesi dell’espresso consenso dell’interessato; in particolare, men-tre i soggetti privati possono diffondere i dati personali in adempimento di un obbligo previsto dauna legge, da un regolamento o dalla normativa comunitaria, i soggetti pubblici possono far ciòsolo ove previsto da una norma di legge o di regolamento. Con specifico riferimento ai trattamenticonnessi all’impiego, da parte dei lavoratori, dei cartellini identificativi sul posto di lavoro, il cuiobbligo di utilizzazione trova fondamento, a seconda del settore lavorativo privato o pubblico, inaccordi aziendali, in regolamenti aziendali o in atti amministrativi d’organizzazione adottati alivello nazionale o locale, deve comunque trovare applicazione l’art. 9 della legge n. 675/1996 e,segnatamente, il principio di pertinenza e non eccedenza, sicché, in assenza di specifiche normedi legge o di regolamento che ne prescrivano analiticamente il contenuto, da detti cartellini deb-bono essere espunti tutti quei dati personali dei lavoratori che risultino non pertinenti o inutil-mente eccedenti rispetto alle finalità di responsabilizzare maggiormente il personale o di fornireagli utenti una conoscenza sufficiente degli operatori con cui entrano in rapporto.


Codici identificativi numerici dei dipendenti

L’individuazione di un dipendente con un codice identificativo numerico comporta da partedel datore di lavoro un trattamento dei dati alla luce della definizione di dato personale conte-nuta nell’art. 1, comma 2, lett. c), della legge n. 675/1996. Nei confronti di tali dati possonoessere azionati i diritti previsti dall’art. 13 della legge.


Dipendenti della pubblica amministrazione



Indagini sul luogo di lavoro

La raccolta di informazioni sul luogo di lavoro, effettuata da investigatori privati in occa-

SETTORI DI ATTIVITÀ > LAVORO E PREVIDENZA >CASI PARTICOLARI > CODICI IDENTIFICATIVI NUMERICI DEI DIPENDENTI

141

sione di una specifica attività d’indagine commissionata dal datore di lavoro, non necessita dellapreventiva acquisizione del consenso del dipendente interessato ove venga svolta in ossequioalle disposizioni contenute nella legge n. 300/1970 e per il solo periodo strettamente necessa-rio per far valere, anche in sede giudiziaria, i diritti connessi al rapporto di lavoro.


Le informazioni raccolte da investigatori privati in occasione di una specifica attività d’in-dagine svolta sul luogo di lavoro e commissionata dal datore di lavoro, in quanto associate odassociabili ai singoli lavoratori, possono essere oggetto di istanza d’accesso da parte di ciascundipendente interessato.


Informazioni sul dipendente contenute in e-mail

Le informazioni sul comportamento osservato da un lavoratore, fornite con messaggi diposta elettronica inviati ai superiori gerarchici da dipendenti o da altri collaboratori azien-dali, rientrano nell’ampia nozione di dato personale di cui all’art. 1, comma 2, lett. c), dellalegge n. 675/1996, con conseguente diritto del lavoratore interessato ad accedervi.


I.n.p.g.i.

A seguito della trasformazione dell’I.n.p.g.i. da ente pubblico a fondazione con persona-lità di diritto privato, avvenuta con d.lg. n. 509/1994, i trattamenti di dati personali effettuatidall’Istituto nell’esercizio dei compiti istituzionali sono soggetti alla disciplina prevista dallalegge n. 675/1996 per i soggetti privati e gli enti pubblici economici; pertanto, l’I.n.p.g.i., per leoperazioni inerenti alla raccolta ed all’utilizzazione dei dati relativi agli iscritti, al personale edagli altri soggetti con cui vengano instaurati regolari rapporti, è tenuto ad osservare la specialenormativa concernente i requisiti dei dati, l’informativa ed il consenso, i dati sensibili e lemisure di sicurezza.


I contratti collettivi di lavoro, stante la persistente mancata attuazione della disciplinasull’organizzazione sindacale prevista dall’art. 39 della Costituzione, hanno natura di contrattidi diritto privato, sicché, ai fini dell’applicazione dei principi della legge n. 675/1996 sul trat-tamento dei dati personali, non possono essere considerati alla stregua di vere e proprie dis-posizioni normative. Ne consegue che, in assenza di espresse norme di legge o di regola-


mento, all’I.n.p.g.i., nonostante l’espressa previsione contenuta nella contrattazione collettiva(art. 33), non è consentito di portare autonomamente a conoscenza delle imprese editrici i datirelativi alla posizione pensionistica dei propri iscritti, occorrendo, ai sensi dell’art. 20 dellalegge n. 675/1996, l’acquisizione del preventivo consenso dei giornalisti interessati.


Istituti di patronato e assistenza sociale

Né la normativa in materia di igiene e sicurezza sul lavoro (d.lg. n. 626/1994), ne il testounico recante disposizioni in materia di assicurazione obbligatoria contro gli infortuni sul lavoro(d.P.R. n. 1124/1965 e successive modificazioni ed integrazioni) prevedono che gli istituti dipatronato ed assistenza sociale, che hanno personalità giuridica di diritto privato (art. 1 dellalegge n. 112/1980), possano accedere, anche mediante presa visione, alla globalità degli elenchidelle denunce di infortunio sul lavoro detenuti dalle autorità locali di pubblica sicurezza. Dettiistituti possono, quindi, conoscere esclusivamente i dati riguardanti gli assistiti dai qualiabbiano ricevuto esplicito mandato in tal senso.


Qualifiche lavorative

Con l’istanza di cui all’art. 13 della legge n. 675/1996 non possono essere formulate richie-ste di rettifica di dati personali (in particolare, qualifiche lavorative) che costituiscono espres-sione del livello di inquadramento mansionistico e retributivo del dipendente in azienda, ovesussista controversia tra il datore/titolare dei dati e il lavoratore/interessato in ordine alla cor-retta individuazione di detto inquadramento sulla base delle mansioni svolte dal dipendente edella disciplina dettata dalla contrattazione collettiva. Rimane impregiudicata la facoltà del lavo-ratore di far valere i propri diritti avanti all’a.g.o..



I soggetti privati che gestiscono per conto dell’I.n.p.s. servizi informatici di postalizzazione(es.: il servizio Postel) per il trattamento di dati personali finalizzato alla liquidazione degli asse-gni per il nucleo familiare e di maternità, debbono essere designati dall’Istituto/titolare comeresponsabili del trattamento ai sensi dell’art. 8 della legge n. 675/1996, in quanto viene loro affi-data l’esecuzione, sia pure con un certo grado di autonomia, solo di una parte strumentale delleoperazioni di trattamento necessarie per perseguire le finalità del titolare.


SETTORI DI ATTIVITÀ > LAVORO E PREVIDENZA >CASI PARTICOLARI > ISTITUTI DI PATRONATO E ASSISTENZA SOCIALE

143

Telecamere sui mezzi pubblici

Ai fini del contenimento della criminalità in particolari ambiti cittadini, possono essere con-cluse, tra forze di polizia ed aziende comunali di trasporto pubblico, intese dirette all’introdu-zione di sistemi di videosorveglianza attraverso l’installazione, in via sperimentale, di teleca-mere su alcune linee di autobus e tram e presso le fermate. A tal fine, prima dell’attivazione deisistemi, la localizzazione delle telecamere e le modalità di ripresa andranno fissate in aderenzaalle finalità che ne hanno suggerito l’installazione, tenendo conto dei principi fissati dall’art. 9della legge n. 675/1996, con particolare riguardo a quelli di pertinenza e di non eccedenza deidati raccolti rispetto agli scopi perseguiti; inoltre, l’attività di videocontrollo, oggetto di preven-tiva informativa agli utenti ex art. 10 della legge n. 675/1996, dovrà permettere di cogliere inmodo solo panoramico l’interno delle vetture o l’ambito delle singole fermate, in maniera da evi-tare non solo riprese talmente particolareggiate da risultare intrusive della riservatezza o da con-sentire la rilevazione di particolari non rilevanti, ma anche da impedire la violazione delle previ-sioni di cui all’art. 4 della legge n. 300/1970 (in riferimento alle postazioni di guida degli autisti).Infine, le immagini acquisite, accessibili in chiaro da una “stazione di lettura” sulla scorta di unsistema di “doppia chiave” congiunta (una in possesso del personale dell’azienda all’uopo pre-posto, l’altra in possesso dell’autorità di polizia), dovranno essere custodite – unitamente aisistemi di lettura – con adeguati sistemi di sicurezza, e potranno essere visionate soltanto inoccasione della commissione di atti criminosi ritualmente denunziati.


Sanità

Profili generali

La notificazione del trattamento di dati sulla salute da parte di un’azienda ospedalieradev’essere effettuata in forma semplificata, anche a prescindere dal mancato richiamo, da partedell’art. 7, comma 5 bis, lett. a) della legge n. 675/1996, dell’art. 23 della stessa legge.


La legge n. 675/1996 non ha abrogato il regime di pubblicità delle deliberazioni comunali eprovinciali contenuto nella legge n. 142/1990 e, per quanto concerne la regione Trentino Alto-Adige,nella legge regionale n. 1/1993: tali normative permettono la conoscibilità pressocché indifferen-ziata di tali delibere attraverso la loro pubblicazione nei rispettivi albi pretori. In ogni caso, riman-gono fermi il divieto di diffusione dei dati idonei a rivelare lo stato di salute (art. 23, comma 4 dellalegge n. 675/1996), nonché i requisiti di pertinenza e non eccedenza dei dati (art. 9), che obbliganole amministrazioni ad operare una selezione delle informazioni – specie sensibili – il cui inseri-mento sia necessario per la realizzazione delle finalità cui le singole delibere sono preordinate.



I soggetti pubblici, a differenza dei privati e degli enti pubblici economici, non devonorichiedere il consenso degli interessati e l’autorizzazione del Garante per poter trattare i dati sen-sibili, ma devono verificare che tali trattamenti siano conformi a puntuali disposizioni di legge chespecifichino i tipi dei dati che possono trattati, le operazioni eseguibili e le rilevanti finalità di inte-resse pubblico perseguite (fattispecie anteriore all’entrata in vigore del d.lg. n. 135/1999).




Non risulta conforme al principio di pertinenza nel trattamento dei dati in relazione allefinalità perseguite, posto dall’art. 9, comma 1, lett. a) e d) della legge n. 675/1996, la disposi-zione dell’art. 381 del d.P.R. n. 495/1992 (reg. att. del nuovo codice della strada, introdotto cond.lg. n. 285/1992) che prevede la diffusione, mediante esposizione nei relativi contrassegni, deidati personali (generalità, indirizzo o, alternativamente, fotocopia di un documento di identità)dei titolari di permessi di accesso a zone a traffico limitato, attribuiti a determinate categorie disoggetti, o di autorizzazione alla sosta, concesse in favore dei portatori di handicap motorio. Adassicurare l’esercizio della funzione amministrativa di controllo sulla liceità e sul corretto utilizzodi detti permessi è, infatti, sufficiente l’esposizione sui contrassegni, nel primo caso, del numerodi targa e di quello del permesso, nel secondo, dell’indicazione del Comune competente e delnumero di autorizzazione, mentre le generalità del titolare, al fine della immediata conoscibilitàda parte di un pubblico ufficiale che le richieda, possono essere riportate sul retro del contras-segno, celate alla immediata visibilità dall’esterno del veicolo.

Garante 7 giugno 1999, in Bollettino n. 9, pag. 14 (v. anche www.garanteprivacy.it: doc. n. 40983)

Ai sensi dell’art. 23, comma 4 della legge n. 675/1996, “la diffusione dei dati idonei a rive-lare lo stato di salute è vietata”. Pertanto, la divulgazione di dati personali ad organi di stampa,in ordine allo stato di salute di una persona, in assenza di un consenso dell’interessato o dei suoilegittimi rappresentanti, è illegittima a prescindere dalla loro esattezza.


Il trattamento dei dati sensibili costituiti dalle informazioni contenute nelle schede didimissione ospedaliera – disciplinate dal d.m. del 26/7/93 – e dai relativi sistemi di codifica deve

SETTORI DI ATTIVITÀ > SANITÀ >PROFILI GENERALI

145

ritenersi compreso tra le attività di rilevante interesse pubblico rientranti nei compiti del Serviziosanitario nazionale individuate dall’art. 17, comma 1, lett. b) del d.lg. n. 135/1999 e, in partico-lare, nelle attività concernenti “la programmazione, la gestione, il controllo e la valutazione del-l’assistenza sanitaria”.


La diffusione e la pubblicazione delle informazioni rilevate attraverso le schede di dimis-sione ospedaliera può essere effettuata esclusivamente in forma anonima (art. 23, comma 4della legge n. 675/1996).


L’indicazione, all’interno di una memoria difensiva depositata da una compagnia d’assicu-razione in un procedimento ex art. 29 della legge n. 675/1996, della patologia sofferta dall’inte-ressato, si risolve in una mera comunicazione di dati effettuata nei confronti del Garante e delricorrente; tale trattamento, secondo quanto previsto dall’art. 22, comma 4, della legge e dal-l’autorizzazione generale rilasciata dal Garante, costituendo espressione del diritto di difesa,non è soggetto a consenso dell’interessato.


Il d.lg. n. 135/1999 ha stabilito che i dati anagrafici devono essere conservati separata-mente da quelli sanitari che, invece, se contenuti in elenchi, registri o banche dati devono esseretrattati con “tecniche di cifratura o codici identificativi che consentano di identificare gli interes-sati solo in caso di necessità” (art. 3, commi 4 e 5).



Il trattamento dei dati sensibili costituiti dalle informazioni finalizzate all’esenzionedalla partecipazione al costo delle malattie rare deve ritenersi compreso tra le attività di rile-vante interesse pubblico rientranti nei compiti del Servizio sanitario nazionale individuate dal-l’art. 17, comma 1, lett. b) e h) del d.lg. n. 135/1999 e, in particolare, nelle attività concernenti“la programmazione, la gestione, il controllo e la valutazione dell’assistenza sanitaria” e “l’in-staurazione, la gestione, la pianificazione ed il controllo dei rapporti tra l’amministrazione edi soggetti accreditati o convenzionati del Servizio sanitario nazionale”.


Il trattamento dei dati sensibili costituiti dalle informazioni relative alla istituzione pressol’I.s.p.e.l.s. del registro nazionale dei casi di mesotelioma-asbesto correlati deve ritenersi com-preso tra le attività di rilevante interesse pubblico rientranti nei compiti del Servizio sanitario


nazionale individuate dall’art. 17 , comma 1, lett. e) ed f ) del d.lg. n. 135/1999 e, in particolare,nelle attività concernenti “il monitoraggio epidemiologico, ivi compresi la sorveglianza dellaemergenza o riemergenza delle malattie, e degli eventi avversi nelle vaccinazioni, i registri dipatologia e la gestione della profilassi internazionale”, nonché tra quelle concernenti “l’applica-zione della normativa in materia di igiene e sicurezza nei luoghi di lavoro e di sicurezza e salutedella popolazione”.


Poiché a seguito dell’entrata in vigore del d.lg. n. 135/1999 sono lecite (art. 4) le sole ope-razioni di trattamento dei dati sensibili – inclusa la comunicazione – da parte di soggetti pubblicistrettamente necessarie al perseguimento delle finalità per le quali il trattamento è consentito,non può più ritenersi ammissibile comunicare taluni dati ad associazioni ed enti che tutelano lediverse categorie di invalidi in base ai compiti previsti dal proprio assetto istituzionale o statu-tario, salvo che tale comunicazione non sia ritenuta indispensabile per il raggiungimento dellarilevante finalità pubblica perseguita dalle competenti amministrazioni.


In base alle disposizioni introdotte dal d.lg. n. 135/1999, i soggetti pubblici possono com-piere sui dati sensibili soltanto le operazioni di trattamento – incluse la raccolta e la comunica-zione – strettamente necessarie per perseguire i singoli scopi, verificando anche periodicamentela pertinenza e non eccedenza delle informazioni utilizzate, nonché la loro necessità rispetto allefinalità perseguite nei singoli casi (artt. 3 e 4); inoltre, i dati idonei a rivelare lo stato di salute ola vita sessuale devono essere conservati separatamente da ogni altro dato personale trattatoper finalità che non richiedono il loro utilizzo e, ove contenuti in banche dati, elenchi o registrinon cartacei, al pari degli altri dati sensibili debbono essere trattati con tecniche di cifratura omediante l’utilizzazione di codici identificativi o di altri sistemi che, tenuto conto del numero edella natura dei dati trattati, permettono di identificare gli interessati solo in caso di necessità.




DIRITTI DELL’INTERESSATO > SANITÀ >PROFILI GENERALI

147



Ai sensi dell’art. 23, comma 2, della legge n. 675/1996, spetta al titolare del trattamento lanomina del medico tramite il quale comunicare i dati relativi allo stato di salute all’interessatoche glieli abbia richiesti attraverso l’istanza di cui all’art. 13 della legge, qualora l’interessatostesso dichiari di non volervi provvedere.






Ai sensi dell’art. 3, comma 5, del d.lg. n. 135/1999, il trattamento dei dati idonei a rivelarelo stato di salute dei dipendenti di un soggetto pubblico è sottoposto a particolari obblighi e cau-tele che impongono, tra l’altro, la conservazione separata di detti dati da ogni altro dato perso-


nale dell’interessato; tale principio di tendenziale separazione, peraltro, che si concreta soprat-tutto sul piano della custodia dei dati, deve trovare attuazione anche con riferimento ai fascicolipersonali cartacei dei dipendenti dell’I.n.p.s., con conseguente obbligo dell’Istituto di preporrealla loro custodia apposito personale, specificamente istruito sulle finalità e sulle cautele indi-cate dal d.lg. n. 135/1999.


Casi particolari

Acquisizione di documentazione sanitaria da parte di società diassicurazioni

È improponibile l’istanza al Garante volta ad ottenere la caducazione o la disapplicazionedi una clausola contrattuale relativa all’acquisizione, da parte di una società assicuratrice, dellecartelle cliniche inerenti ai sinistri denunziati; infatti, ove adìto, il Garante, ricorrendone i pre-supposti, ha soltanto il potere di disporre il blocco o il divieto di trattare i dati, ma non anche diincidere direttamente sul rapporto contrattuale e sugli obblighi reciprocamente assunti dalleparti, la cui invalidità o esigenza di riformulazione può essere fatta valere soltanto attraverso gliappositi strumenti civilistici.


È conforme ai principi fissati dalla legge n. 675/1996 la prassi assicurativa di prenderevisione e di chiedere copia dei documenti sanitari inerenti ai sinistri documentati, risolvendosiessa in operazioni di trattamento che, oltre ad essere normalmente previste nelle condizionigenerali di contratto, sono necessarie per l’esecuzione delle polizze di malattia e, come tali, giàconsiderate dalle autorizzazioni generali rilasciate dal Garante.


A.I.D.S.

Premesso che la legge n. 675/1996 non ha abrogato le disposizioni contenute nella leggen. 135/1990 (recante un programma di interventi urgenti per la prevenzione e la lotta control’A.I.D.S.), ai fini dell’iscrizione nelle liste del collocamento obbligatorio non è richiesta la speci-ficazione della diagnosi risultante dalla visita per il riconoscimento dell’invalidità civile e, in par-ticolare, dell’eventuale presenza dell’infezione da H.I.V., essendo sufficiente l’indicazione dellapercentuale di invalidità riscontrata, fermo restando che la certificazione della specifica patolo-gia può essere richiesta al momento dell’inserimento nel posto di lavoro dell’interessato, il qualeè anche tenuto a fornire indicazioni dell’eventuale presenza dell’affezione da H.I.V. in vista dello

SETTORI DI ATTIVITÀ > SANITÀ >CASI PARTICOLARI > ACQUISIZIONE DI DOCUMENTAZIONE SANITARIA DA PARTE DI SOCIETÀ DI ASSICURAZIONI

149

svolgimento di attività che comportino un serio rischio di contagio della malattia a terzi (cfr.Corte Cost., sent. n. 218/1994).


Le disposizioni della legge n. 135/1990 – la cui vigenza è stata confermata dalla leggen. 675/1996 (art. 43, comma 2) – che sanciscono, tra l’altro, l’obbligo per gli operatori sanitariche vengono a conoscenza di un caso di A.I.D.S. o di infezione da H.I.V. di comunicare i risultatidegli accertamenti diagnostici esclusivamente alle persone cui tali esami sono riferiti (art. 5),prevalgono sulle norme regolamentari contenute nel d.m. n. 187/1997, che (art. 6) prevede chela commissione medica competente ad accertare lo stato di inabilità a svolgere un’attività lavo-rativa debba redigere un processo verbale, comprensivo del giudizio diagnostico, da trasmettereall’amministrazione o all’ente che abbia richiesto l’accertamento. Ne consegue che la commis-sione deve adottare ogni misura necessaria per tutelare la riservatezza della persona interessata(es.: indicando la diagnosi relativa all’A.I.D.S. o all’H.I.V. in un documento riservato anziché nelverbale).


Ai fini della tutela della riservatezza degli ammalati di A.I.D.S., l’accesso agli archivi elet-tronici di una divisione di malattie infettive o di altri reparti ospedalieri, in cui i nominativi deipazienti risultino raccolti e conservati, dev’essere reso possibile soltanto ai dipendenti di dettireparti e sempreché sussistano reali esigenze di accesso connesse a ragioni di assistenza e curadei singoli ammalati.


La legge n . 675/1996 (art. 43, comma 2), all’atto della sua entrata in vigore, ha fatto salvealcune specifiche disposizioni di legge, tra cui la legge n. 135/1990 in materia di A.I.D.S.. In par-ticolare, detta legge, non solo obbliga “gli operatori sanitari che, nell’esercizio della loro profes-sione, vengano a conoscenza di un caso di A.I.D.S., ovvero di un caso di H.I.V.” ad adottare “tuttele misure occorrenti per la tutela della riservatezza della persona assistita” (art. 5, comma 1) e acomunicare i risultati degli accertamenti diagnostici, diretti o indiretti, “esclusivamente alla per-sona cui tali esami sono riferiti (art. 5, comma 4), ma altresì vieta “ai datori di lavoro, pubblici oprivati, lo svolgimento di indagini volte ad accertare nei dipendenti o in persone prese in consi-derazione per l’instaurazione di un rapporto di lavoro l’esistenza di uno stato di sieropositività”.Ne consegue che la richiesta di una U.L.S.S., volta ad ottenere, dal primario ospedaliero di unadivisione malattie infettive, la trasmissione di dati nominali e di indicazioni terapeutiche relativeai singoli pazienti affetti da A.I.D.S., ove giustificata da mere esigenze di rilevamento di dati sulconsumo dei farmaci, si pone in contrasto con lo spirito della legge n. 135/1990, essendo direttaesclusivamente a soddisfare finalità di tipo statistico-contabile, non pertinenti con le esigenze dicura di tale categoria di ammalati.



I principi di pertinenza e non eccedenza nel trattamento dei dati personali sanciti dall’art. 9della legge n. 675/1996 obbligano anche gli organi di polizia e l’autorità giudiziaria a svolgerel’attività di raccolta, utilizzazione e divulgazione dei dati con modalità tali da non recare agli inte-ressati un pregiudizio ingiustificato rispetto alle finalità perseguite. Non appare rispettosa didetti principi la divulgazione, da parte della polizia giudiziaria, attraverso organi di informazione,di alcuni dati personali (fotografie e generalità) di una prostituta, che sia stato accertato essereaffetta dal virus dell’H.I.V., al fine di informare le persone che avevano avuto con la stessa rap-porti a rischio, potendo la finalità informativa essere raggiunta, tenuto conto anche delle specifi-che garanzie di riservatezza approntate per i soggetti sieropositivi dalla legge n. 135/1990, attra-verso procedure più selettive, basate, ad esempio, sulla notizia della sieropositività di una per-sona che pratichi abitualmente la prostituzione in una determinata zona, accompagnata dall’isti-tuzione di un servizio di informazione ed assistenza (es.: un numero verde) cui gli interessatipotessero rivolgersi.


Premesso che la legge n. 675/1996 non ha abrogato le disposizioni della legge n. 135/1990in materia di A.I.D.S. ma, anzi, ne ha confermato la vigenza, purché con essa compatibili (art. 43,comma 2), la trasmissione del giudizio diagnostico relativo all’accertamento dell’infezione daH.I.V. al tribunale per i minorenni da parte delle A.S.L., incaricate dal tribunale di sottoporre adindagini mediche le persone che hanno presentato domanda di adozione, non appare conformeal dettato normativo della legge n. 135/1990, che impone il mantenimento di un rigoroso rispettodella riservatezza delle persone affette da A.I.D.S. (v. art. 5, secondo il quale i risultati degliaccertamenti vanno comunicati “esclusivamente alla persona cui tali esami sono riferiti”). Unadeguato bilanciamento tra l’interesse dei minori ad un ambiente familiare stabile ed armonioso,cui è preordinata la procedura descritta, e il diritto degli adottanti al rispetto della propria riser-vatezza, può essere costituito dalla instaurazione di una prassi secondo la quale ciascunconiuge, informato dal medico delle proprie condizioni di salute, provveda personalmente a pro-durre la documentazione al tribunale per i minorenni, decidendo se rimettere il giudizio diagno-stico di A.I.D.S. al giudice che è tenuto a valutare l’idoneità dell’adozione, ovvero se ritirare ladomanda, evitando l’ulteriore corso del procedimento.


Il particolare regime di tutela previsto dal nostro ordinamento per le informazioni rela-tive all’A.I.D.S. e all’infezione H.I.V. si inserisce nel più generale quadro di garanzie stabilitedalla legge n. 675/1996 per il trattamento dei dati idonei a rivelare lo stato di salute e dald.P.R. 318/1999 in tema di misure di sicurezza.


DIRITTI DELL’INTERESSATO> SANITÀ >CASI PARTICOLARI > ACQUISIZIONE DI DOCUMENTAZIONE SANITARIA DA PARTE DI SOCIETÀ DI ASSICURAZIONI

151

La normativa in materia di protezione dei dati personali, perseguendo finalità analoghe aquelle cui sono preordinate alcune disposizioni della legge n. 135/1990 in materia di A.I.D.S.,non ha abrogato tali norme, confermandone piuttosto, ai sensi dell’art. 43, comma 2, della leggen. 675/1996, la vigenza laddove non incompatibili; tale principio non è stato modificato dal d.lg. n. 282/1999, che reca disposizioni di modifica ed integrazione della legge n. 675/1996 inrelazione al trattamento dei dati personali in ambito sanitario, pur sempre nel rispetto di nor-mative più restrittive, quale quella in tema di A.I.D.S..


La circostanza che non tutti i principi posti dalla legge n. 675/1996 siano stati ulterior-mente sviluppati sul piano normativo in relazione alle attività di giustizia non deve far ritenereinoperanti detti principi, che dovrebbero essere attualmente tradotti in concrete misure attuativeanche di carattere organizzativo, opportunamente modulate in rapporto alle diverse vicende pro-cessuali. In questa prospettiva, si pone una recente tendenza dell’ordinamento a tutelare in ognisede, in modo particolarmente rigoroso, la dignità e la riservatezza di persone sieropositive omalate di A.I.D.S. o emotrasfusi, come dimostrato, oltre che dall’art. 286 bis del c.p.p. in tema dicustodia cautelare in caso di infezione da H.I.V. o di A.I.D.S., anche da specifiche disposizioni disettore che, pur non individuando specifiche cautele processuali, impongono, a seconda deicasi, agli operatori sanitari o a “chiunque” venga a conoscenza di particolari infezioni nell’eser-cizio delle proprie funzioni, di adottare, nell’ambito delle proprie competenze, tutte le misureoccorrenti per la tutela della riservatezza della persona assistita (art. 5 della legge n. 135/1990e art. 3, comma 1 bis, della legge n. 210/1992).


La legge n. 675/1996 non ha abrogato le disposizioni della normativa in materia di A.I.D.S.(legge n. 135/1990) ma, anzi, ne ha confermato la vigenza (v. art. 43, comma 2).


Premesso che la normativa in materia di protezione dei dati personali posta dalla leggen. 675/1996 non ha abrogato ma, anzi, ha confermato (art. 43, comma 2) le disposizioni conte-nute nella legge n. 135/1990 in materia di A.I.D.S., va rilevato che il d.lg. 135/1999 sul tratta-mento di dati sensibili effettuato da soggetti pubblici considera di rilevante interesse pubblico iltrattamento dei dati strettamente necessario allo svolgimento delle funzioni di controllo, di indi-rizzo politico e di sindacato ispettivo atte a consentire l’espletamento di un mandato elettivo,quale quello dei consiglieri comunali. Peraltro, il diritto di accesso ai dati da parte dei predettiincontra un limite nel rispetto dei principi di pertinenza, essenzialità e compatibilità con la fun-zione perseguita, ribaditi, anche in materia di dati sensibili, dagli artt. 1 - 5 del citato d.lg..



Attività sportiva agonistica

I dati personali relativi a fenomeni di doping nello svolgimento dell’attività sportiva pos-sono assumere la natura di dati sensibili – pur non essendo espressamente considerati tali dal-l’art. 22, comma 1 della legge n. 675/1996 – quando il loro trattamento comprenda o faccia emer-gere informazioni riguardanti, sotto qualunque profilo, lo stato di salute degli interessati.


Benché la legge n. 675/1996 e le autorizzazioni del Garante vietino la diffusione dei datiidonei a rivelare lo stato di salute dell’interessato (con l’eccezione rappresentata dalla fattispe-cie contenuta nell’art. 24, comma 4 della legge), tuttavia l’interessato conserva il diritto di ren-dere pubbliche o meno, anche per interposta persona, le proprie condizioni di salute. Pertanto,considerata la tendenza invalsa a rendere note talune circostanze relative alla forma degli atletiimpegnati nelle attività agonistiche, le società sportive, oltre ad acquisire il consenso degli atletia trattare i dati relativi al loro stato di salute, possono ottenere, a parte, la “delega” a renderepubbliche talune circostanze rilevanti per l’interesse pubblico sotteso alle attività stesse, daindividuarsi una tantum ma con precisione, anche con riferimento a determinate categorie diinformazioni.


Il giudizio di idoneità all’esercizio dell’attività sportiva agonistica, in quanto dato deno-tante la normalità psicofisica del soggetto, può ritenersi compreso fra i dati personali “comuni”.Al contrario, il referto di inidoneità all’esercizio dell’attività sportiva agonistica, che presupponenell’interessato la presenza di patologie o, comunque, la necessità di evitare potenziali rischiindotti dalla pratica agonistica, assume invece la connotazione di “dato sensibile”, ai sensi del-l’art. 22, comma 1 della legge n. 675/1996.


A.V.I.S.

Ai sensi dell’art. 22 della legge n. 675/1996, il trattamento dei dati sensibili da parte di pri-vati o di enti pubblici economici può avvenire soltanto con il consenso scritto e l’autorizzazionedel Garante (art. 22, comma 1), mentre qualora ad effettuare detto trattamento siano dei soggettipubblici è sufficiente l’esistenza di una puntuale disposizione di legge che specifichi i dati chepossono essere trattati, le operazioni eseguibili e le rilevanti finalità di interesse pubblico per-seguite (art. 22, comma 3); ne consegue che l’A.V.I.S., quale soggetto privato, ai fini del tratta-mento dei dati idonei a rivelare lo stato di salute rilevabili dalle schede relative ai donatori di san-gue, è tenuta ad acquisire – previa informativa ai sensi dell’art. 10 della legge – il consensoscritto di ciascun interessato e la preventiva autorizzazione del Garante, peraltro già rilasciata

SETTORI DI ATTIVITÀ > SANITÀ >CASI PARTICOLARI > ATTIVITÀ SPORTIVA AGONISTICA

153

con apposito provvedimento generale.


Cartelle cliniche

Le cartelle cliniche e, in genere, le certificazioni rilasciate dai laboratori di analisi o da altriorganismi sanitari possono essere ritirate anche da persone diverse dagli interessati, purchéprovviste di adeguata delega scritta rilasciata dall’interessato e sempre che tali documenti sianoinseriti in busta chiusa.


I dati personali oggetto d’istanza d’accesso debbono essere comunicati in forma intelligi-bile dal titolare del trattamento che, ai fini di una più efficace applicazione dell’art. 13 della leggen. 675/1996, ai sensi dell’art. 17, comma 9, del d.P.R. n. 501/1998 è tenuto ad adottare le oppor-tune misure volte ad agevolare l’accesso dell’interessato. Ne consegue che dev’essere accolto ilricorso diretto a conoscere il significato di alcuni codici utilizzati nella formulazione di una dia-gnosi e ad ottenere una trascrizione dattiloscritta di alcune parti della documentazione conser-vata nella cartella clinica dell’interessato, riportanti con grafia illeggibile elementi e dati perso-nali del ricorrente stesso.


Comunicazione dei dati all’interessato

Ai sensi dell’art. 23, comma 2, della legge n. 675/1996, spetta al titolare del trattamento lanomina del medico tramite il quale comunicare all’interessato i dati relativi allo stato di salute,qualora questi dichiari di non volervi provvedere.


Nell’ipotesi in cui l’interessato, nella richiesta d’accesso inoltrata ai sensi dell’art. 13 dellalegge n. 675/1996, abbia specificamente indicato il nominativo di un medico fiduciario, la comu-nicazione dei dati attinenti allo stato di salute dev’essere effettuata dal titolare del trattamentosolo per il tramite di detto medico.


Ai sensi dell’art. 23, comma 2, della legge n. 675/1996, la comunicazione dei dati personaliidonei a rivelare lo stato di salute può avvenire solo per il tramite di un medico designato dallo


stesso interessato o dal titolare del trattamento. Ne consegue che non è conforme alla legge lacomunicazione di detti dati ove effettuata direttamente all’interessato presso il domicilio eletto.


Consulenze e perizie medico legali

Le perizie svolte dai consulenti tecnici nominati dall’autorità giudiziaria rientrano fra i trat-tamenti di dati personali effettuati nell’ambito di uffici giudiziari “per ragioni di giustizia” che, aisensi dell’art. 4 della legge n. 675/1996, sono sottratti all’applicazione delle disposizioni chel’art. 22 della legge detta in tema di trattamento di dati sensibili; per l’effettuazione di tali trat-tamenti non occorre quindi acquisire previamente il consenso dell’interessato.


Ai sensi dell’art. 23, comma 2 della legge n. 675/1996, i dati personali riferiti allo stato disalute contenuti in una perizia medico legale possono essere comunicati solo per il tramite di unmedico fiduciario nominato dall’interessato o, in difetto, dal titolare del trattamento.


Dati genetici

Qualora il benessere psico-fisico di una persona possa trovare adeguata tutela soltantoattraverso l’accesso a dati sanitari di un terzo, contenuti in cartelle cliniche custodite da un orga-nismo sanitario pubblico, il diritto alla riservatezza dell’interessato, nell’ambito di un’indispen-sabile attività di bilanciamento dei contrapposti interessi, può essere oggetto di un ragionevolesacrificio. Inoltre, in siffatta ipotesi, l’accesso ai dati non può subire preclusioni basate sulle dis-posizioni in tema di segreto professionale, giacché la ragione della tutela della salute di colui cheaspira a conoscere dette informazioni integra gli estremi della “giusta causa” di cui all’art. 622c.p., che legittima i sanitari ad effettuare comunicazioni normalmente coperte da segreto pro-fessionale. In ogni caso, l’accesso ai dati resta soggetto ai principi di correttezza, pertinenza edessenzialità fissati dall’art. 9 della legge n. 675/1996, nonché a tutte le cautele necessarie sottoil profilo della sicurezza del trattamento (fattispecie relativa alla richiesta di una donna, affettada gravissima patologia, di conoscere i dati genetici del padre, affetto da identica malattia, alfine della valutazione del rischio procreativo).


Nell’ordinamento giuridico italiano manca una definizione di dato genetico. Pertanto, allostato, può tenersi conto della nozione di dato genetico contenuta nella raccomandazione

SETTORI DI ATTIVITÀ > SANITÀ >CASI PARTICOLARI > DATI GENETICI

155

N.R. (97) 5 adottata dal Consiglio d’Europa, alla quale fa esplicito riferimento anche la leggedelega n. 676/1996, che ricomprende “tutti i dati, indipendentemente dalla tipologia, che riguar-dano i caratteri ereditari di un individuo o le modalità di trasmissione di tali caratteri nell’ambitodi un gruppo di individui legati da vincoli di parentela”.


Esercenti le professioni sanitarie

Il medico generico che, nell’esercizio della sua professione, sia chiamato a sostituire unaltro medico generico, ha la facoltà di utilizzare lo schedario dei pazienti formato dal collegasostituito, purché il paziente abbia espresso sin dall’inizio uno specifico consenso al trattamentodei dati personali sia nei confronti del medico di fiducia che in favore di eventuali suoi sostituti.


Il medico di base deve ottenere il consenso dell’interessato quando il trattamento dei datiè rivolto alla cura dell’interessato stesso; il consenso non deve essere necessariamente acqui-sito caso per caso, ma può essere richiesto dal medico una tantum, in relazione al complessodelle attività poste in essere nei confronti dell’assistito.


Gli esercenti le professioni sanitarie, in conformità alle disposizioni contenute nell’auto-rizzazione del Garante, e previa acquisizione del consenso scritto dell’interessato, sono tenutia trattare i dati idonei a rivelare lo stato di salute dei pazienti, al fine di ottemperare agli spe-cifici obblighi imposti dalla normativa in materia di adempimenti documentali e contabili (v. d.P.R. n. 633/1972 e d.P.R. n. 600/1973, così come modificati dalla legge n. 662/1996), cheprevede la specificazione degli elementi attinenti alla prestazione professionale, con partico-lare riferimento alla natura e alla quantità dei beni e servizi forniti.


L’ampia nozione di “trattamento” contenuta nell’art. 1, comma 2, lett. b) della leggen. 675/1996 comprende qualunque operazione o complesso di operazioni, svolte con mezzi siaautomatizzati sia cartacei, che concernono la raccolta, la registrazione, l’organizzazione, la con-servazione e l’elaborazione dei dati, anche ove non registrati in archivi; pertanto, l’esercizio, daparte di un medico, di attività diagnostica comporta necessariamente un trattamento di dati, siacomuni che sensibili, con la conseguenza che questi, ai sensi degli artt. 10, 22 comma 1 e 23 dellalegge, è tenuto ad informare i propri pazienti sul trattamento stesso e ad acquisire dai medesimiil consenso scritto.



Il consenso scritto che legittima il medico di base a comunicare a terzi i dati relativi allostato di salute del singolo assistito non dev’essere necessariamente acquisito con un atto adhoc, essendo sufficiente anche una sua acquisizione una tantum, purché riferita al complessodelle ordinarie attività concernenti il rapporto professionale in essere con l’assistito.


Ai sensi dell’art. 22, comma 1 della legge n. 675/1996, il medico di base può comunicare aterzi i dati relativi alla salute dei propri assistiti soltanto sulla base del consenso scritto dei sin-goli interessati.


Istituti di patronato ed assistenza sociale

Né la normativa in materia di igiene e sicurezza sul lavoro (d.lg. n. 626/1994), né il testounico recante disposizioni in materia di assicurazione obbligatoria contro gli infortuni sul lavoro(d.P.R. n. 1124/1965 e successive modificazioni ed integrazioni) prevedono che gli istituti dipatronato ed assistenza sociale, che hanno personalità giuridica di diritto privato (art. 1 dellalegge n. 112/1980), possano accedere, anche mediante presa visione, alla globalità degli elenchidelle denunce di infortunio sul lavoro detenuti dalle autorità locali di pubblica sicurezza. Dettiistituti possono, quindi, conoscere esclusivamente i dati riguardanti gli assistiti dai qualiabbiano ricevuto esplicito mandato in tal senso.


Pubblicazioni scientifiche

La diffusione su una rivista scientifica della riproduzione fotografica delle radiografie e dialtri dati clinici di una persona, benché non riferita a soggetto identificato con le sue completegeneralità, può essere considerata conforme alla previsione di cui all’art. 23, comma 4 dellalegge n. 675/1996 (che vieta la diffusione dei dati idonei a rivelare lo stato di salute) soltanto nelcaso in cui l’interessato abbia rilasciato al medico apposita “delega” all’uopo.


La legge n. 675/1996, lungi dal pregiudicare l’informazione a contenuto medico-scientificosu casi d’interesse degli specialisti di settore e del pubblico, tende soltanto ad evitare il rischioche le informazioni diffuse rendano possibile risalire agli interessati che intendano mantenerel’anonimato, i quali, peraltro, debbono essere completamente informati dal medico circa le carat-

SETTORI DI ATTIVITÀ> SANITÀ >CASI PARTICOLARI > ISTITUTI DI PATRONATO ED ASSISTENZA SOCIALE

157

teristiche dell’eventuale pubblicazione scientifica che li riguardi. Ne consegue che, in tali casi, ilcontemperamento delle esigenze della ricerca medica e scientifica con il diritto alla riservatezzapuò essere raggiunto anche attraverso il richiamo, nell’ambito del testo oggetto di pubblica-zione, delle sole iniziali delle generalità degli interessati, nonché attraverso l’eventuale ricorso anomi di fantasia o a codici numerici.


Servizio sanitario delle Ferrovie dello Stato

Ai sensi dell’art. 22 della legge n. 675/1996, il trattamento dei dati sensibili da parte di pri-vati o di enti pubblici economici può avvenire soltanto con il consenso scritto e l’autorizzazionedel Garante (art. 22, comma 1), mentre qualora ad effettuare detto trattamento siano dei soggettipubblici è sufficiente l’esistenza di una puntuale disposizione di legge che specifichi i dati chepossono essere trattati, le operazioni eseguibili e le rilevanti finalità di interesse pubblico per-seguite (art. 22, comma 3); ne consegue che le Ferrovie dello Stato s.p.a., quale soggetto privato,ai fini del trattamento dei dati idonei a rivelare lo stato di salute rilevabili da parte del serviziosanitario interno, sono tenute ad acquisire – previa informativa ai sensi dell’art. 10 della legge –il consenso scritto di ciascun interessato (sia esso un dipendente della società oppure un terzo)e la preventiva autorizzazione del Garante (ove il trattamento non rientri nelle ipotesi già consi-derate dalle autorizzazioni generali per il trattamento dei dati sensibili nei rapporti di lavoro eper il trattamento dei dati idonei a rivelare lo stato di salute).


Sperimentazione dei farmaci

Al fine di individuare i limiti all’accesso da parte delle aziende farmaceutiche, che sponso-rizzano la sperimentazione dei farmaci, alle cartelle cliniche dei pazienti interessati, è essenzialeverificare quale rapporto intercorre tra l’azienda ospedaliera presso cui si svolge la sperimenta-zione e l’azienda farmaceutica stessa. Ove, infatti, quest’ultima svolga unicamente il ruolo di col-laboratore “esterno” del trattamento dei dati, le cui scelte di fondo – e le relative responsabilità– competono all’azienda ospedaliera, quest’ultima costituisce l’esclusivo titolare del tratta-mento, che ha la facoltà di designare l’azienda sponsor quale “responsabile del trattamento”.L’azienda farmaceutica assume, invece, la veste di autonomo titolare o contitolare del tratta-mento, ove ne individui le finalità e le modalità di svolgimento in condizioni di autonomiarispetto alla struttura ospedaliera.



Operazioni di trattamento dei dati

AVVERTENZA:

QUANTO AI DATI SENSIBILI, V. : CATEGORIE E REQUISITI DEI DATI PERSONALI > DATI SENSIBILI (P. 12)

QUANTO AI DATI SANITARI, V. : SOGGETTI PUBBLICI > SETTORI DI ATTIVITÀ > SANITÀ (P. 140)

Comunicazione e diffusione

Profili generali

L’informazione originariamente non associabile ad uno specifico interessato (c.d. dato ano-nimo) può divenire “dato personale” ex art. 1 della legge n. 675/1996 allorché, attraverso unasuccessiva operazione di collegamento ad informazioni di diversa natura, risulti comunque ido-nea a rendere identificabile un soggetto. Ne consegue che, ai sensi dell’art. 27, comma 3 dellalegge n. 675/1996, in mancanza di specifiche norme di legge o di regolamento, non può ritenersiconsentita la comunicazione a privati, da parte di un soggetto pubblico, di dati statistici appa-rentemente anonimi, qualora il campione dei dati da analizzare, benché richiesto per scopi scien-tifici e di ricerca, per genere e consistenza numerica consenta di risalire ai diretti interessati.


Ai sensi dell’art. 27, comma 3 della legge n. 675/1996, la divulgazione al pubblico, da partedei soggetti pubblici, delle informazioni a carattere personale, può essere effettuata solo oveprevista da disposizioni di legge o di regolamento (o anche da norme statutarie, da considerarsi,sul piano della gerarchia delle fonti, equipollenti a quelle regolamentari).


Ai sensi dell’art. 27, comma 1 della legge n. 675/1996, i soggetti pubblici non devonorichiedere il consenso degli interessati per poter trattare i relativi dati personali, ma devono sol-tanto verificare che i singoli trattamenti e le categorie di dati siano riconducibili alle proprie fina-lità istituzionali e siano effettuati nel rispetto di eventuali limiti previsti dalle normative di riferi-mento o da disposizioni speciali; inoltre, il consenso non dev’essere richiesto neanche per lacomunicazione e diffusione dei dati, allorché tali operazioni siano espressamente previste dauna norma di legge o di regolamento ovvero, in via residuale, quando si rendano necessarie perlo svolgimento delle funzioni istituzionali delle amministrazioni interessate. Resta fermo, in ognicaso, l’obbligo d’informativa di cui all’art. 10 della legge n. 675/1996.


OPERAZIONI DI TRATTAMENTO DEI DATI > COMUNICAZIONE E DIFFUSIONE >PROFILI GENERALI

159

In via generale, non sussiste incompatibilità di fondo fra la legge n. 675/1996 e le disposi-zioni a tutela della trasparenza della pubblica amministrazione. A tale regola non si sottrae lalegge della regione Sicilia n. 15/1993 che, all’art. 1, comma 8, obbliga le amministrazioni regio-nali e gli enti del settore pubblico regionale a comunicare alla Presidenza della Regione gli inca-richi attribuiti ed i compensi corrisposti nell’anno precedente a ciascun componente pubblico oprivato di commissioni, comitati, consigli e collegi comunque denominati, trattandosi di unaforma di raccolta di dati che rientra fra le funzioni istituzionali di tale organo e che è validamentedisciplinata dalla citata legge regionale.


Il termine “diffusione”, dopo l’entrata in vigore della legge n. 675/1996, implica il riferi-mento ad un numero indeterminato di persone, non la comunicazione a singoli soggetti.


Ai sensi dell’art. 27, comma 3 della legge n. 675/1996, le università possono trasmettereelenchi di studenti o di laureati a soggetti privati o ad enti pubblici economici in base alle nor-mative generali o agli ordinamenti dei singoli atenei.


A seguito dell’entrata in vigore del d.lg. n. 204/1988 (art. 6, comma 4), le università, conautonome determinazioni, possono comunicare e diffondere dati relativi ad attività di studio e diricerca – con la sola esclusione dei dati sensibili o attinenti a provvedimenti giudiziari – a laureatie dottori di ricerca per finalità di sostegno della ricerca e della collaborazione in campo scienti-fico e tecnologico.


La legge n. 390/1991 (recante norme sul diritto agli studi universitari) ed il connessod.P.C.M. 30 aprile 1997 (emanato ai sensi dell’art. 4 della legge n. 390/1991, recante normein materia di uniformità di trattamento sul diritto agli studi universitari), contenenti – tra l’al-tro – disposizioni relative alla raccolta dei dati personali degli studenti ai fini della valuta-zione della condizione economica del nucleo familiare d’appartenenza per la determinazionedella tassa d’iscrizione e dei contributi, costituiscono, ai sensi dell’art. 27 della leggen. 675/1996, adeguata base normativa per procedere alla raccolta, alla comunicazione e alladiffusione da parte delle università ad altre amministrazioni pubbliche dei dati afferenti agliiscritti (in particolare con riferimento ai servizi ed agli interventi non destinati alla generalitàdegli studenti), in quanto trattamenti riconducibili alle funzioni istituzionali delle ammini-strazioni interessate.



Ai sensi dell’art. 19 della legge n. 675/1996, l’acquisizione della conoscenza dei dati daparte del responsabile e degli incaricati del trattamento, laddove ritualmente nominati dal tito-lare, non costituisce “comunicazione” in senso tecnico.


Alle richieste avanzate da pubbliche autorità per finalità istituzionali, ove non riconducibilialle funzioni indicate nell’art. 4 della legge n. 675/1996, si applica la disciplina generale previstaper i flussi informativi fra soggetti pubblici e privati (art. 27 e 20 della legge).


Ai sensi dell’art. 27, comma 3, della legge n. 675/1996, i soggetti pubblici possonocomunicare dati personali a soggetti privati soltanto ove ciò sia previsto da norme di legge odi regolamento. Il d.lg. n. 281/1999 che, nell’integrare il d.lg. n. 297/1994 (art. 330 bis), hadisciplinato la divulgazione, da parte degli istituti scolastici di istruzione secondaria, dei datirelativi agli studenti, può trovare applicazione anche in caso di richiesta, da parte di undocente universitario, di elenchi di diplomati a scopo di ricerca, trattandosi di un’iniziativache, in quanto volta a favorire – anche con il contributo dell’indagine statistica – la formazione,l’aggiornamento e la riqualificazione degli studenti e dei lavoratori, è riconducibile alle finalitàspecificamente contemplate dall’art. 17 dello stesso decreto.




In base alla legge n. 675/1996 (art. 27, comma 3) le amministrazioni pubbliche possonodivulgare i nominativi di contribuenti che hanno dichiarato redditi superiori ad una certasoglia, trattandosi di informazioni la cui diffusione è prevista da una norma di legge (art. 69del d.P.R. n. 600/1973). In base a tale normativa, i dati possono essere poi oggetto di ulteriorecircolazione a cura dei mezzi di informazione, senza che sia necessario acquisire il consensodegli interessati (artt. 12 e 20 della legge n. 675/1996).


OPERAZIONI DI TRATTAMENTO DEI DATI > COMUNICAZIONE E DIFFUSIONE >PROFILI GENERALI

161



Casi particolari

A.c.i.

La legge n. 675/1996 non ha introdotto il divieto per le amministrazioni e gli enti pubblicidi dare conoscibilità ai dati in loro possesso ma, all’art. 27, comma 3, stabilisce che questi sog-getti possono diffondere i dati personali a privati o a enti pubblici economici quando ciò sia pre-visto da norme di legge o di regolamento (nella specie, il Garante ha ritenuto che, in difetto diun’apposita disposizione di rango primario o secondario, l’A.c.i. non possa procedere alla pub-blicazione dell’elenco dei soggetti e dei centri autorizzati a svolgere l’attività di demolizione diveicoli e di rimorchi).


Anagrafe delle prestazioni dei dipendenti pubblici

L’anagrafe delle prestazioni dei dipendenti pubblici deve essere considerato archivio dete-nuto da soggetto pubblico. Ai dati personali in essa contenuti si applicano quindi le disposizionidell’art. 27 della legge n. 675/1996; essi possono essere pertanto oggetto sia di accesso ai docu-menti amministrativi in base alla legge n. 241/1990, sia di comunicazione ad altre amministra-zioni pubbliche per lo svolgimento di funzioni istituzionali, sia di comunicazione a soggetti pri-vati, ove previsto da precise norme di legge o di regolamento. In difetto di specifiche disposizioniche lo consentano (cfr. art. 24, comma 1 della legge n. 412/1991), deve invece essere esclusa lapossibilità di un accesso indiscriminato da parte di chiunque.


Anagrafe e stato civile

La legge n. 675/1996 non ha modificato né la normativa concernente la tenuta dei registridello stato civile, né quella relativa alle anagrafi della popolazione, così come rispettivamentedelineate dal r.d. n. 1238/1939, dal codice civile, dalla legge n. 1228/1954, dal d.P.R. n. 223/1989


e dalla legge n. 127/1997. Pertanto, ai sensi dell’art. 27, commi 2 e 3 della legge n. 675/1996, èlecito il rilascio a terzi, da parte del Comune, di certificazioni anagrafiche, purché risultino osser-vati i limiti stabiliti in materia dagli artt. 33, 34 e 35 del d.P.R. n. 223/1989; al contrario, deve rite-nersi illegittima la prassi di un Comune di fornire dati ed elenchi a terzi (nel caso di specie i nomi-nativi dei nati e dei deceduti nel territorio comunale alle redazioni dei giornali locali) al di fuoridelle modalità previste dalla disciplina dei registri dello stato civile, degli atti anagrafici o di altranormativa.


Ai sensi dell’art. 27, comma 3 della legge n. 675/1996, è illegittima la prassi degli ufficicomunali di fornire dati ed elenchi a terzi al di fuori delle modalità previste dalla disciplina deiregistri dello stato civile e degli atti anagrafici o da altra normativa.


Le pubblicazioni di matrimonio di cui agli artt. 93 e ss. del codice civile, consistendo uni-camente in affissioni all’albo pretorio dei comuni di residenza dei nubendi, sono pubbliche e,come tali, possono essere visionate da chiunque e riferite sugli organi di stampa, ma non pos-sono essere comunicate o diffuse da parte dell’ufficiale di stato civile al di fuori dei modi espres-samente previsti dalla normativa in materia. A fortiori, tale divieto di comunicazione e diffusionevale per le richieste di pubblicazione che, non solo possono non sfociare nella pubblicazione(art. 98 c.c.), ma sono annotate nell’apposito registro per il quale valgono, in via generale, lenorme stabilite dal codice civile e dal r.d. n. 1238/1939 per i registri di cittadinanza, di nascita,di matrimonio e di morte, che non prevedono una loro libera consultabilità da parte dei privati.È irrilevante, in ogni caso, qualsiasi consenso fornito dagli interessati alla diffusione di tali elen-chi, vertendosi in tema di trattamento di dati operato da soggetti pubblici.


Mentre è possibile, ai sensi del d.P.R. n. 352/1992, la diffusione a terzi – che ne faccianorichiesta – di singole notizie relative a nascite, morti o matrimoni acquisite caso per caso dal-l’ufficiale di stato civile, è contraria ai principi fissati dalla legge n. 675/1996 la prassi di richie-dere al medesimo la redazione quotidiana di interi elenchi di nati, deceduti o nubendi da pub-blicare con assiduità sugli organi di stampa.


Ai sensi del combinato disposto dell’art. 27 della legge n. 675/1996 e dell’art. 34 deld.P.R. n. 223/1989, l’ufficiale dell’anagrafe può rilasciare – anche periodicamente – elenchi diiscritti all’anagrafe della popolazione residente solo alle amministrazioni pubbliche, che nefacciano motivata richiesta per esclusivo uso di pubblica utilità (art. 34, comma 1); al contra-

OPERAZIONI DI TRATTAMENTO DEI DATI > COMUNICAZIONE E DIFFUSIONE >CASI PARTICOLARI > ANAGRAFE E STATO CIVILE

163

rio, tali elenchi non possono essere rilasciati in favore di privati, ai quali i dati anagrafici pos-sono essere comunicati in forma anonima ed aggregata, qualora ne sia fatta richiesta per finistatistici e di ricerca e il Comune disponga di idonee apparecchiature (art. 34, comma 2).


Secondo la normativa sugli atti anagrafici, l’ufficiale di anagrafe deve rilasciare, a chiun-que ne faccia richiesta, fatte salve le limitazioni di legge, soltanto i “certificati concernenti laresidenza e lo stato di famiglia” degli iscritti (art. 33 del d.P.R. n. 223/1989), e può comunicarei dati, in forma aggregata ed anonima, agli interessati che ne facciano richiesta per fini stati-stici e di ricerca; può, infine, rilasciare elenchi degli iscritti alle amministrazioni pubbliche chene facciano motivata richiesta, per esclusivo uso di pubblica utilità (art. 34, commi 1 e 2 deld.P.R. n. 223/1989). Considerato che, ai sensi dell’art. 27, comma 3 della legge n. 675/1996, isoggetti pubblici possono comunicare dati personali a privati solo quando tale operazione èprevista da puntuali norme di legge o di regolamento, risulta legittimo il diniego opposto daun Comune alla richiesta di un partito politico di ottenere l’elenco dei “capi famiglia” residentinel territorio comunale, corredato dei relativi indirizzi.


La normativa sugli atti anagrafici prevede la possibilità per l’ufficiale di anagrafe di rila-sciare, anche periodicamente, elenchi di iscritti nell’anagrafe della popolazione residente alleamministrazioni pubbliche che ne facciano motivata richiesta, “per esclusivo uso di pubblica uti-lità” (art. 34, comma 1 del d.P.R. n. 223/1989). Ne consegue che, in conformità con la specialedisciplina prevista per i soggetti pubblici dall’art. 27, comma 2 della legge n. 675/1996, i comunipossono comunicare alla A.S.L. tali elenchi al fine di effettuare uno screening dei tumori, prove-nendo la richiesta da un soggetto pubblico per un fine di pubblica utilità.


Con riferimento alla c.d. “anagrafe consolare”, la disciplina anagrafica di cui al d.P.R.n. 223/1989 è applicabile – in quanto compatibile – soltanto in relazione ai dati relativi all’i-scrizione nello schedario dei cittadini residenti nella circoscrizione consolare (dati anagrafici eprofessionali) e non anche per altri dati ivi contenuti (atti o fatti relativi allo status di cittadino,al godimento dei diritti civili e politici, ecc.) che, per espressa disposizione di legge, possonoessere utilizzati dall’ufficio consolare per “finalità di tutela degli interessi del connazionale”(art. 67, u.c.). Pertanto, questi ultimi dati sono divulgabili a terzi nei limiti in cui ciò sia even-tualmente previsto da specifiche disposizioni normative diverse da quelle relative al rilasciodegli atti anagrafici, ferma restando, in ogni caso, l’eventuale loro comunicabilità ove ricorranoi presupposti di cui all’art. 27, commi 2 e 3 della legge n. 675/1996.



La circostanza che l’iscrizione nell’elenco degli elettori dei Comites, di per sé soggettaa pubblicità, venga effettuata d’ufficio sulla base degli schedari istituiti a norma dell’art. 67del d.P.R. n. 200/1967 (c.d. anagrafe consolare), non consente un’estensione del medesimoregime di conoscibilità in favore di detti schedari, ostandovi non solo il dettato normativo dicui alla legge n. 205/1985, ma anche la disciplina fissata dall’art. 27, comma 3 della leggen. 675/1996 che, in relazione al trattamento dei dati in ambito pubblico, consente la comuni-cazione a terzi solo in presenza di una puntuale disposizione di legge o di regolamento.


La legge n. 675/1996 non modifica espressamente la normativa relativa ai registri dellostato civile e alla disciplina degli atti anagrafici, ne innova in materia di pubblicazioni di matri-monio, stabilendo, però, all’art. 27, comma 3, che la comunicazione e la diffusione da parte disoggetti pubblici a privati o a enti pubblici economici sono ammesse solo se previste da normedi legge o di regolamento.


La diffusione, da parte degli uffici comunali, dei dati mediante affissione all’albo pretoriodelle pubblicazioni matrimoniali è lecita anche dopo l’entrata in vigore della legge n. 675/1996,in quanto l’art. 93 c.c., che fissa un obbligo in tal senso a carico dell’ufficiale di stato civile, rap-presenta una delle disposizioni che, ai sensi dell’art. 27, comma 3 della legge, rende legittima lapubblicazione diretta a rendere nota la volontà dei nubendi di contrarre matrimonio e a consen-tire agli interessati di manifestare eventuali opposizioni. Dette pubblicazioni, comunque, visio-nabili da chiunque e, eventualmente, anche riferibili da parte degli organi di stampa, non pos-sono essere comunicate o diffuse da parte dell’ufficiale di stato civile al di fuori dei modi previ-sti dalla normativa in materia.


Fatta salva la particolare disciplina in materia di accesso ai documenti amministrativi postadalla legge n. 241/1990, la cui perdurante applicabilità non è pregiudicata dalle disposizioni con-tenute nella legge n. 675/1996 e nel d.lg. n. 135/1999, non è possibile comunicare o diffonderea privati i dati personali provenienti dagli archivi anagrafici al di fuori delle ipotesi specificamentepreviste dalla normativa di settore (v. artt. 32 e 34, commi 1 e 2, del d.P.R. n. 223/1989).


La legge n. 675/1996, recante norme in materia di protezione dei dati personali, non hamodificato direttamente la normativa relativa ai registri dello stato civile e alla disciplina degliatti anagrafici, né ha introdotto ulteriori divieti di rendere conoscibili le informazioni in que-

OPERAZIONI DI TRATTAMENTO DEI DATI > COMUNICAZIONE E DIFFUSIONE >CASI PARTICOLARI > ANAGRAFE E STATO CIVILE

165

stione, ma ha previsto che le amministrazioni e gli enti pubblici, in un quadro di maggiore tra-sparenza, possono diffondere i dati personali da essi detenuti quando ciò sia previsto da normedi legge o di regolamento rispettando, peraltro, il limite e le modalità previste dalla specificadisciplina di settore (art. 27, comma 3).


Gli archivi anagrafici non permettono un prelevamento diretto dei dati, fuori dai casiespressamente consentiti; inoltre, i dati anagrafici, a parte le certificazioni rilasciabili a chiunquene faccia richiesta, possono essere comunicati all’esterno solo a pubbliche amministrazioni e per“esclusivo uso di pubblica utilità” (art. 34, comma 1, del d.P.R. n. 223/1989).


L’accesso, costante e indiscriminato, da parte dei privati a tutte le informazioni non sensi-bili contenute nella banca dati anagrafica di un Comune è precluso in radice e non può esseredisposto dall’ente locale chiedendo il consenso degli interessati alla comunicazione dei propridati personali. Le disposizioni del regolamento anagrafico prevedono, infatti, la comunicazione(e non la diffusione) dei dati anagrafici solo ad amministrazioni pubbliche, e non anche ai privati,e per soli fini di pubblica utilità (art. 34 del d.P.R. n. 223/1989).



Le Agenzie regionali per l’impiego istituite dalla legge n. 56/1987, in quanto soggettipubblici, soggiacciono alla speciale disciplina prevista dagli artt. 27 e 22, comma 3 della leggen. 675/1996, che consentono il trattamento dei dati solo se previsto da apposite previsioni dilegge. Ne consegue che va esclusa la possibilità di rendere pubbliche le liste di mobilità infavore di aziende o associazioni di categoria che ne facciano richiesta, in quanto la normativadi settore (artt. 6 e ss. della legge n. 223/1991; d.lg. n. 469/1997; decreto del Ministero dellavoro dell’8 maggio 1998, pubblicato sulla G.U. del 6 giugno 1998) prevede un obbligo di con-nessione e di scambio dei dati solo tra soggetti specificamente individuati (Ministero dellavoro, regioni, enti locali, imprese di fornitura di lavoro temporaneo e soggetti autorizzati allamediazione tra domanda e offerta di lavoro).



Appalti pubblici

Il d.lg. 24 luglio 1992, n. 358, recante il “Testo unico delle disposizioni in materia diappalti pubblici di forniture”, prevede che le imprese partecipanti alle gare d’appalto possanocomprovare i propri requisiti tecnici anche attraverso la produzione di appositi documenti, tracui l’elenco attestante le principali forniture effettuate negli ultimi tre anni, corredato dall’in-dicazione degli importi corrispondenti, della data e del destinatario della fornitura. Ne conse-gue che, qualora dalla suddetta documentazione emergano informazioni afferenti a distintesocietà con cui in precedenza l’attuale concorrente abbia instaurato rapporti negoziali, la con-nessa comunicazione di dati non solo è conforme alle specifiche disposizioni del d.lg.358/1992, ma è comunque rispettosa dei principi di cui alla legge n. 675/1996, trattandosi didati relativi allo svolgimento di attività economiche del titolare del trattamento che, ai sensidell’art. 20, comma 1, lett. e), non sono soggetti alla preventiva acquisizione del consenso del-l’interessato.


Camere di commercio

Le richieste di accesso presentate alle Camere di commercio dalle parti interessate alleprocedure di gara per appalti d’opera o di fornitura (in specie, alle singole offerte) debbonoessere valutate con riferimento alla legge n. 241/1990 (che riconosce il diritto di accesso aidocumenti amministrativi a chi è titolare di un interesse personale e concreto in relazione allatutela di situazioni giuridicamente rilevanti) e alla specifica normativa vigente in materia diappalti (d.lg. n. 358/1992 e d.lg. n. 157/1995), che contempera il principio di trasparenza delprocedimento con il principio di pertinenza e non eccedenza affermato dalla legge n. 675/1996(art. 9).


Collocamento

Ai sensi dell’art. 27, comma 3 della legge n. 675/1996, gli uffici di collocamento, inquanto soggetti pubblici, possono comunicare o diffondere dati a privati solo se ciò sia previ-sto da una norma di legge o di regolamento. In tale ottica, il d.lg. n. 469/1997, istitutivo delSIL - Sistema informativo lavoro, prevedendo un obbligo di connessione e di scambio di datirelativi ai lavoratori tra Ministero del lavoro, regioni, enti locali e soggetti autorizzati allamediazione tra domanda ed offerta di lavoro, ha reso possibile l’accesso alle banche dati,mediante convenzione, anche alle imprese di fornitura di lavoro temporaneo ed ai soggettiautorizzati a detta mediazione (art. 11, commi 3, 4 e 5). Al contrario, allo stato attuale, nel-l’ambito della disciplina sul collocamento al lavoro non sussistono ulteriori norme che per-

OPERAZIONI DI TRATTAMENTO DEI DATI > COMUNICAZIONE E DIFFUSIONE >CASI PARTICOLARI > APPALTI PUBBLICI

167

mettano di comunicare o di mettere a disposizione le liste degli iscritti in favore di datori dilavoro privati diversi da quelli autorizzati dal citato d.lg. n. 469/1997.


Ferme restando le condivisibili finalità di interesse pubblico connesse al riordino e allasemplificazione delle procedure di collocamento perseguite dalla disciplina del collocamentoordinario adottato ai sensi dell’art. 20 della legge n. 59/1997, è necessario, per rispettare i dirittifondamentali degli interessati previsti dalla legge n. 675/1996, che l’utilizzazione dei dati con-tenuti nell’elenco anagrafico, nonché nella banca dati corrispondente alle schede professionali,avvenga sulla base di un preciso quadro di riferimento, anche per ciò che riguarda l’attivazionedei flussi di dati tra amministrazioni ed altri soggetti (es.: i centri per l’impiego e gli altri organiindividuati dalle regioni ai sensi dell’art. 4 del d.lg. n. 469/1997).


Comuni e province

Nell’ipotesi in cui un comune, ai fini dell’accertamento e della liquidazione dei tributilocali, ritenga di instaurare un rapporto di consulenza con un consorzio privato in cui favore,per il corretto espletamento dell’incarico, debbano essere posti a disposizione numerosiarchivi cartacei ed informatici detenuti dall’autorità comunale, detta relazione può essere util-mente inquadrata come rapporto tra titolare e responsabile del trattamento; la designazione,ai sensi dell’art. 8 della legge n. 675/1996, deve avvenire con atto scritto, nel rispetto deirequisiti di esperienza, capacità ed affidabilità, e deve essere accompagnata da precise istru-zioni da parte del titolare, finalizzate al miglior svolgimento dei compiti affidati al responsa-bile, che, nell’esercizio di tali incombenze, è autorizzato ad accedere ai soli dati concreta-mente pertinenti ed indispensabili. Ove detta nomina non venga effettuata, il consorzio vienea porsi come autonomo “titolare” di trattamento, con conseguente applicazione della disci-plina prevista dall’art. 27, comma 3 della legge n. 675/1996 in tema di comunicazione dei datida un soggetto pubblico ad un soggetto privato.


Ai sensi dell’art. 27, comma 2 della legge n. 675/1996, il centro sociale, quale strutturafacente capo direttamente all’amministrazione comunale, è legittimato ad acquisire informazionipresso gli uffici finanziari, gli enti previdenziali ed i singoli comuni di provenienza per verificarela posizione reddituale e patrimoniale degli ospiti.



La legge n. 675/1996 non ha abrogato il regime di pubblicità delle deliberazioni comunali eprovinciali contenuto nella legge n. 142/1990 e, per quanto concerne la Regione Trentino Alto-Adige, nella legge regionale n. 1/1993: tali normative permettono la conoscibilità pressocché indif-ferenziata di tali delibere attraverso la loro pubblicazione nei rispettivi albi pretori. In ogni caso,rimangono fermi il divieto di diffusione dei dati idonei a rivelare lo stato di salute (art. 23, comma 4della legge n. 675/1996), nonché i requisiti di pertinenza e non eccedenza dei dati (art. 9), che obbli-gano le amministrazioni ad operare una selezione delle informazioni – specie sensibili – il cui inse-rimento sia necessario per la realizzazione delle finalità cui le singole delibere sono preordinate.


La legge n. 675/1996 consente la comunicazione e la diffusione di dati personali da parte disoggetti pubblici a privati solo se previste da norme di legge o di regolamento (art. 27, comma 3).Conseguentemente, non può trovare accoglimento la richiesta avanzata da un’impresa ad unComune di predisporre elenchi nominativi dei soggetti che, in un certo periodo, hanno propostoistanza per il rilascio di concessione edilizia o che hanno presentato la dichiarazione di inizio e finelavori, in quanto la normativa urbanistica non prevede una tale modalità di comunicazione, checomporterebbe da parte dell’amministrazione un facere non previsto dall’ordinamento. Peraltro,poiché l’art. 7 della legge n. 142/1990 sull’ordinamento delle autonomie locali stabilisce che – salvele eccezioni ivi espressamente previste – tutti gli atti delle amministrazioni comunali e provincialisono pubblici, resta salva la possibilità per chiunque di ottenere la visione o il rilascio di copia deidocumenti delle medesime amministrazioni.


Considerato che la legge n. 675/1996 autorizza la comunicazione di dati personali fra sog-getti pubblici, fra l’altro, quando ciò sia necessario per lo svolgimento delle relative funzioni isti-tuzionali (art. 27, comma 2), deve ritenersi legittima, perché rispondente alle funzioni istituzio-nali sia del Comune, sia del soggetto pubblico destinatario, la comunicazione dei dati personalicontenuti nell’archivio I.C.I. di un comune al Comando della locale Guardia di finanza, che neabbia fatto richiesta per lo svolgimento delle indagini di polizia tributaria relative alle dichiara-zioni presentate ai fini dell’imposta comunale sugli immobili.


Allorché l’attività di controllo sulla manutenzione e l’esercizio degli impianti termici, aisensi dell’art. 19 del d.P.R. n. 412/1993, venga espletata dalla provincia, sulla base della pre-ventiva stipula di una convenzione, mediante la preposizione di soggetti terzi, si rende neces-saria una formale designazione del responsabile e degli incaricati del trattamento (artt. 8 e 19della legge n. 675/1996); in tal caso, relativamente al rapporto provincia – soggetto preposto alcontrollo, la comunicazione al Garante di cui all’art. 27, comma 2 della L. 675/1996 divienesuperflua. Al contrario, detta comunicazione, del tutto distinta dalla notificazione ex art. 7 della

OPERAZIONI DI TRATTAMENTO DEI DATI > COMUNICAZIONE E DIFFUSIONE >CASI PARTICOLARI > COMUNI E PROVINCE

169

legge, dev’essere effettuata nel caso in cui non sussista alcuna norma di legge o di regolamentoche preveda l’acquisizione, da parte della Provincia, dei dati detenuti da altra amministrazionepubblica.


La legge n. 675/1996 non ha modificato la disciplina legislativa relativa al regime di pub-blicità degli albi e alla conoscibilità degli atti ad essi connessi (cfr. artt. 12, comma 1, lett .c), 20,comma 1, lett. b), 28, comma 4, lett. f ) e 43, comma 2); in particolare, il r.d. n. 274/1929, recanteil “regolamento per la professione di geometra”, all’art. 8 individua i soggetti cui i Collegi deigeometri devono comunicare l’albo e i provvedimenti di sospensione dall’esercizio della profes-sione. Tali dati possono, peraltro, essere comunicati anche ad altri soggetti pubblici, sempre checiò risulti necessario per lo svolgimento di precise funzioni istituzionali di almeno una delleamministrazioni interessate – collegio o ente ricevente – (v. art. 27, comma 2 della leggen. 675/1996). Ai sensi della legge n. 675/1996 (art. 27, comma 3), non è, invece, possibile dif-fondere i medesimi dati a soggetti privati, se non in presenza di una precisa previsione norma-tiva (quale quella contenuta nell’art. 22 della legge n.. 241/1990).


Ai sensi dell’art. 27, comma 1 della legge n. 675/96, la provincia può acquisire dai comunie da altre amministrazioni pubbliche (es.: il Corpo dei Vigili del fuoco e l’I.s.p.e.s.l.) le informa-zioni necessarie per espletare l’attività di controllo sulla manutenzione e l’esercizio degliimpianti termici, purché ciò avvenga nel rispetto della specifica disciplina applicabile alle singoleamministrazioni (es.: per gli atti anagrafici, l’art. 34 del regolamento anagrafico della popola-zione residente, approvato con d.P.R. n. 223/1989).


Nel disciplinare per regolamento la conoscibilità delle informazioni in suo possesso, l’entelocale (nella specie il comune) può contemplarne la diretta divulgabilità tramite riviste e noti-ziari, anche telematici, curati dall’ente stesso. Poiché la loro pubblicazione ricade nell’ampianozione di trattamento finalizzato “esclusivamente alla pubblicazione occasionale di articoli,saggi o altre manifestazioni del pensiero”, l’ente locale deve tenere conto della disciplina deltrattamento dei dati a fini giornalistici e di divulgazione anche temporanea delle manifestazionidel pensiero prevista dall’art. 25 della legge n. 675/1996.


Consigli dell’Ordine e provvedimenti disciplinari

La legge n. 675/1996 non ha modificato la disciplina legislativa sulla pubblicità degli albi


professionali, i quali, anche in ragione della tutela dei diritti di coloro che, a vario titolo, intrat-tengono rapporti con gli iscritti, sono funzionalmente soggetti ad un regime di piena pubbli-cità, che si estende anche ai provvedimenti di carattere disciplinare. Detto regime di conosci-bilità dei provvedimenti disciplinari, che si fonda su rilevanti motivi di interesse pubblico, deveritenersi prevalente rispetto all’interesse alla riservatezza del singolo professionista destina-tario della sanzione disciplinare, purché la menzione del relativo provvedimento applicativoavvenga in modo corretto e in termini esatti e completi. Ne consegue la liceità della divulga-zione di detti provvedimenti tramite riviste o notiziari curati dai Consigli dell’Ordine, la cui pub-blicazione è riconducibile all’ampia nozione di trattamento di dati personali finalizzato allapubblicazione o diffusione occasionale di articoli, saggi o altre manifestazioni del pensiero, cuiè applicabile la disciplina prevista dall’art. 25 delle legge n. 675/1996 in tema di attività gior-nalistica e di informazione.


Dati reddituali dei contribuenti

V.: PRIVATI ED ENTI PUBBLICI ECONOMICI > SETTORI DI ATTIVITÀ > ATTIVITÀ GIORNALISTICA > CASI

PARTICOLARI > DATI REDDITUALI DEI CONTRIBUENTI (P. 86)

Dipartimento di pubblica sicurezza e provvedimenti disciplinari

Il trattamento effettuato dagli organi interni di un Dipartimento di pubblica sicurezza al finedi verificare, nell’ambito di un procedimento disciplinare, l’osservanza dei doveri inerenti allafunzione di pertinenza dei dipendenti (art. 68 della legge n. 121/1981), non solo non integra unaipotesi di “comunicazione” o di “diffusione” dei dati personali (nel caso di specie anche sensi-bili), ma è una operazione conforme alla disciplina dettata dalla legge n. 675/1996 (art. 27comma 1 e 22 commi 3 e 3 bis) e dal d.lg. 135/1999 (art. 9 ,comma 1, lett. g ).


Enti locali siciliani e commissione antimafia regionale

La legge n. 675/1996 non ostacola la comunicazione alla commissione parlamentare d’in-chiesta e vigilanza sul fenomeno della mafia in Sicilia dei dati riguardanti i procedimenti giudi-ziari a carico di dirigenti regionali – ed equiparati – per i reati contro l’amministrazione o checomportano pene accessorie, quale l’interdizione dai pubblici uffici. Infatti, l’art. 6 della leggeregionale n. 4/1991 demanda precisi compiti a detta commissione e determina nei confronti degliorgani dell’amministrazione regionale e degli enti locali siciliani – o sottoposti alla vigilanza

OPERAZIONI DI TRATTAMENTO DEI DATI > COMUNICAZIONE E DIFFUSIONE >CASI PARTICOLARI > DATI REDDITUALI DEI CONTRIBUENTI

171

della regione – il dovere di collaborare con la commissione e di ottemperare alle sue richieste,ponendo altresì a carico degli amministratori pubblici e dei suddetti enti il dovere di “ottempe-rare alle richieste della commissione e di fornire alla stessa ogni necessaria collaborazione ai finidell’espletamento dei compiti a questa attribuiti”. Pertanto, dettando la legge regionale unaspecifica disciplina in materia, ai sensi dell’art. 27, comma 2 della legge n. 675/1996 risultalecito lo scambio dei dati tra i soggetti pubblici in questione.


Forze di polizia



Ordini professionali e conoscibilità dei dati contenuti negli albi

La legge n. 675/1996 non ha modificato la disciplina legislativa relativa al regime di pubbli-cità degli albi professionali, ma ha soltanto ribadito l’obbligo del rispetto delle norme (di legge o diregolamento) che disciplinano la conoscibilità e la pubblicità di detti atti (artt. 12, comma 1, lett. c);20, comma 1, lett. b); 28, comma 4, lett. f ); 43, comma 2).






Alla luce delle disposizioni del d.P.R. n. 1068/1953 sull’ordinamento della professione diragioniere e perito commerciale (in specie l’art. 29), e tenuto conto che gli albi dei liberi profes-sionisti sono ispirati per loro stessa natura e funzione ad un regime di piena pubblicità, anche infunzione della tutela dei diritti di coloro che a vario titolo hanno rapporti con gli iscritti, deve rite-nersi consentito al Consiglio dell’Ordine di comunicare e di diffondere a privati i dati personalicontenuti nell’albo (art. 29 del d.P.R. cit.; art. 27, comma 3 della legge n. 675/1996).



Ai sensi della legge n. 675/1996, i Consigli dell’Ordine possono raccogliere e fornire aterzi elenchi di liberi professionisti e di altri operatori del settore di riferimento qualora i datioggetto di trattamento provengano da pubblici registri, elenchi, atti o documenti conoscibilida chiunque, oppure riguardino lo svolgimento di attività economiche da parte degli interes-sati (art. 12, comma 1, lett. c) ed f ); art. 20, comma 1, lett. b) ed e)). In caso contrario, il trat-tamento dei dati non può prescindere dal preventivo consenso degli interessati (es.: soggettiche, pur non essendo liberi professionisti, siano comunque inseriti in detti elenchi).


La legge n. 675/1996 non ha modificato la disciplina relativa alla tenuta ed alla conoscibi-lità degli albi professionali, i quali sono ispirati per loro stessa natura e funzione ad un regime dipubblicità, anche in ragione della tutela dei diritti di coloro che, a vario titolo, hanno rapporti congli iscritti all’albo.


La legge n. 675/1996 non ha modificato la disciplina legislativa relativa al regime di pub-blicità degli albi e alla conoscibilità degli atti ad essi connessi (cfr. artt. 12, comma 1, lett .c),20, comma 1, lett. b), 28, comma 4, lett. f ) e 43, comma 2); in particolare, il r.d. n. 274/1929,recante il “regolamento per la professione di geometra”, all’art. 8 individua i soggetti cui iCollegi dei geometri devono comunicare l’albo e i provvedimenti di sospensione dall’eserciziodella professione. Tali dati possono, peraltro, essere comunicati anche ad altri soggetti pub-blici, sempre che ciò risulti necessario per lo svolgimento di precise funzioni istituzionali dialmeno una delle amministrazioni interessate – Collegio o ente ricevente – (v. art. 27, comma2 della legge n. 675/1996). Ai sensi della legge n. 675/1996 (art. 27, comma 3), non è, invece,possibile diffondere i medesimi dati a soggetti privati, se non in presenza di una precisa pre-visione normativa (quale quella contenuta nell’art. 22 della legge n. 241/1990).


Questionari R.a.i.

Con riferimento alle comunicazioni inviate dalla R.a.i., ai fini del pagamento del canone,alle persone che non risultano presenti negli elenchi degli abbonati al servizio radiotelevisivo, lasocietà, al fine della scrupolosa protezione del diritto alla riservatezza dei destinatari, deve adot-tare misure idonee ad evitare l’inutile divulgazione di dati personali compiuta attraverso la resti-tuzione del questionario, contenente anche dati di terzi (familiari o conviventi già abbonati), inuna cartolina leggibile da chiunque, anziché in una busta chiusa o con modalità che, comunque,non ne rendano possibile una facile ed immediata consultazione da parte di estranei.


OPERAZIONI DI TRATTAMENTO DEI DATI > COMUNICAZIONE E DIFFUSIONE >CASI PARTICOLARI > QUESTIONARI R.A.I.

173

Regioni e federazioni sportive

Ai fini dell’istruttoria delle istanze dirette ad ottenere il riconoscimento del titolo di mae-stro di sci in Italia da parte di coloro che lo abbiano conseguito all’estero, i dati personali deirichiedenti possono essere comunicati alla Federazione Italiana Sport Invernali ed al Collegionazionale maestri di sci; infatti, la legge n. 81/1991, dispone che le regioni disciplinano l’eserci-zio non saltuario, nel proprio territorio, dell’attività dei maestri di sci stranieri non iscritti in albiregionali italiani, mentre l’autorizzazione all’esercizio della professione è subordinata al ricono-scimento, demandato alla Federazione Italiana Sport Invernali, d’intesa con il Collegio nazionaledei maestri di sci, dell’equivalenza dei titoli e della reciprocità. Pertanto, stante la natura preva-lente di soggetti privati delle federazioni sportive, e costituendo la legge n. 81/1991 una ade-guata base normativa in materia, la comunicazione dei dati in questione risulta lecita ai sensidell’art. 27, comma 3, della legge n. 675/1996.


Sistema statistico nazionale

Tenuto conto che la legge n. 675/1996, all’art. 43, comma 2, ha fatto salve, in quanto com-patibili, le disposizioni del d.lg. n. 322/1989 (recante norme sul Sistema statistico nazionale),che fa obbligo alle pubbliche amministrazioni di fornire all’Istat ogni informazione che vengarichiesta, devono ritenersi assolte le condizioni poste dall’art. 27, comma 2 della stessa leggen. 675/1996 – che autorizza la comunicazione di dati fra soggetti pubblici quando, fra l’altro, ciòsia previsto da una norma di legge o di regolamento – in caso di trasmissione all’Istat, da partedi una università statale, degli elenchi dei laureati, finalizzata al compimento di una indagine sta-tistica sul loro inserimento professionale.


Sistemi di interconnessione telematica tra banche dati

La disciplina delle modalità di utilizzo delle banche dati pubbliche da parte delle varieamministrazioni deve essere contenuta in norme di legge o di regolamento, in conformità allecondizioni previste dall’art. 27 della legge n. 675/1996, al fine di realizzare un trasparente flussodi dati ispirato ad omogenei criteri che garantiscano la protezione dei dati medesimi nel rispettodei principi di pertinenza, completezza e non eccedenza sanciti dall’art. 9, lett. d) della legge.



Titolari di cariche elettive e di incarichi dirigenziali

Il regime di pubblicità delle dichiarazioni dei redditi presentate dai componenti delConsiglio e della Giunta comunale, ove previsto da norme statutarie, è conforme ai principi sta-biliti dall’art. 27, comma 3 della legge n. 675/1996.


La legge n. 675/1996 non ha modificato le disposizioni della legge n. 441/1982 sulla pub-blicità della situazione patrimoniale dei titolari di alcune cariche elettive o direttive che, pereffetto della legge n. 127/1997, trovano applicazione anche nei confronti del personale dirigen-ziale – o equiparato – delle amministrazioni pubbliche.


Uffici giudiziari• V.: SOGGETTI PUBBLICI > TRATTAMENTI PARTICOLARI > TRATTAMENTI PER RAGIONI DI GIUSTIZIA >

UFFICI GIUDIZIARI (P. 173)

Trattamenti particolari

Centro elaborazione dati del Dipartimento di pubblicasicurezza

L’art. 10 della legge n. 121/1981, così come sostituito dall’art. 42 della legge n. 675/1996,consente all’interessato di accedere direttamente ai dati che lo riguardano contenuti nel Centroelaborazione dati del Dipartimento di pubblica sicurezza, a prescindere dalla conoscenza cheegli abbia avuto nel corso di un procedimento amministrativo o giurisdizionale circa l’erroneità,l’incompletezza o l’illecito trattamento dei dati stessi, come invece richiesto dalla norma nellasua precedente formulazione.


Ai sensi dell’art. 10 della legge n. 121/1981, come riformulato dall’art. 42 della leggen. 675/1996, gli interessati possono esercitare direttamente il diritto di accesso ai dati che liriguardano detenuti dal Centro elaborazione dati del Dipartimento di pubblica sicurezza, anche

TRATTAMENTI PARTICOLARI > CENTRO ELABORAZIONE DATI DEL DIPARTIMENTO DI PUBBLICA SICUREZZA 175

al fine di chiedere la correzione o la cancellazione dei dati che risultassero inesatti o incompleti,oppure trattati in violazione di legge o di regolamento.


Allo stato della normativa, ai sensi dell’art. 4, comma 1, lett. a), della legge n. 675/1996, aitrattamenti di dati effettuati dal Centro elaborazione dati del Dipartimento di pubblica sicurezzasi applicano soltanto alcune disposizioni della legge sulla privacy, fra le quali non sono ricom-presi l’art. 13 e l’art. 29; ne consegue che l’interessato, con riferimento a detti trattamenti, hasoltanto la facoltà alternativa di sollecitare – a mezzo di segnalazione o reclamo – una verificadel Garante sulla rispondenza degli stessi ai requisiti stabiliti dalla legge o dai regolamenti,ovvero di rivolgersi al Tribunale ai sensi dell’art. 10, comma 5, della legge n. 121/1981 per otte-nere l’eventuale rettifica, integrazione e cancellazione dei dati o la loro trasformazione in formaanonima. Pertanto, l’eventuale ricorso proposto ai sensi dell’art. 29 della legge n. 675/1996 èinammissibile.


È inammissibile il ricorso diretto ad ottenere l’accesso a dati personali trattati dallaQuestura, qualora il tenore della precedente istanza di cui all’art. 13 della legge n. 675/1996,per l’ampiezza della sua formulazione, sia tale da riguardare anche dati destinati a confluirenel Centro elaborazione dati del Dipartimento di pubblica sicurezza (per i quali il diritto diaccesso è specificamente disciplinato dall’art. 10 della legge n. 121/1981), ovvero dati trattatiper finalità di prevenzione, accertamento e repressione di reati; questi ultimi, in particolare, aisensi dell’art. 4, comma 1, lett. e) della legge n. 675/1996, non possono formare oggetto del-l’istanza di cui all’art. 13 della legge e del successivo ricorso di cui all’art. 29, bensì di sem-plice segnalazione o reclamo ai fini dell’esercizio, da parte del Garante, dei poteri previstidagli artt. 31, comma 1, lett. d) e 32 della legge.


Organismi di sicurezza

La legge n. 675/1996 ha demandato al Garante il compito di verificare la conformità deitrattamenti dei dati svolti dagli organismi di sicurezza di cui alla legge n. 801/1977 alle dispo-sizioni di legge e di regolamento (art. 31, comma 1, lett. p) e 32, commi 6 e 7, in relazioneall’art. 4, comma 1, lett. b)).



Casellario giudiziario e carichi pendenti

L’ordinanza del Giudice istruttore diretta all’acquisizione del certificato penale e dei cari-chi pendenti di una delle parti, in quanto volta ad acquisire elementi di giudizio rispetto ad unacontroversia in essere, rientra tra i trattamenti svolti “per ragioni di giustizia nell’ambito diuffici giudiziari”, i quali, stante il disposto dell’art. 4, comma 1, della legge n. 675/1996, nonsono soggetti alle disposizioni di cui agli artt. 13 e 29 della medesima legge; analogamente,non soggiace a tali disposizioni il connesso trattamento effettuato dal casellario giudizialeche, oltre a costituire adempimento dell’ordinanza del giudice, è soggetto alla speciale disci-plina prevista dall’art. 4, comma 1, lett. c) della legge.

• Garante 28 settembre 2001, inedito (v. anche www.garanteprivacy.it: doc. n. 39089)

Trattamenti per ragioni di giustizia

Uffici giudiziari

La legislazione sulla protezione dei dati personali non ha innovato la disciplina sullaconoscibilità degli esiti dei procedimenti, sul calendario dei processi e sulla pubblicità delleudienze, trattandosi di materia specificamente regolata dalle norme processuali preesistenti.


La legge n. 675/1996 non disciplina direttamente la formazione e la comunicazione degliatti del processo civile che, allo stato, ai sensi dell’art. 4 della legge, restano sottoposti allaspeciale disciplina del codice di procedura civile, che consente, alla persona che riceve l’atto,di verificarne la conformità all’originale su cui l’ufficiale giudiziario annota l’eventuale notifi-cazione. Poiché la notificazione, in determinati casi espressamente indicati dal codice di pro-cedura civile, può essere effettuata anche a persona estranea alla cura degli interessi deldestinatario, cui spetta comunque la facoltà di verificare la conformità dell’atto all’originale,sorge l’esigenza di tutelare adeguatamente la riservatezza della persona cui si riferisce l’attonotificato, sicché si suggerisce, in occasione di una auspicabile modifica della normativa, l’op-portunità di prevedere, per l’espletamento dell’incombenza, l’impiego di una busta o di unplico chiuso in tutti i casi in cui la notifica non sia effettuata nelle mani del destinatario o,eventualmente, di una persona da lui indicata (es. un collaboratore di uno studio professio-nale).


TRATTAMENTI PARTICOLARI > CASELLARIO GIUDIZIARIO E CARICHI PENDENTI 177

Il rilascio di copie di atti giudiziari ai sensi dell’art. 116 del codice di procedura penale,come pure delle corrispondenti norme del codice di procedura civile, integra certamente un’at-tività “per ragioni di giustizia” che è soggetta alle sole disposizioni della legge n. 675/1996indicate nel comma 2 dell’art. 4.


Tra i trattamenti di dati personali effettuati dagli uffici giudiziari si possono distinguerequelli per scopi “amministrativi” e quelli svolti, ai sensi dell’art 4, comma 1, lett. d) della leggen. 675/1996, “per ragioni di giustizia”. Ai primi si applica compiutamente la disciplina previstadalla legge n. 675/1996 per i trattamenti effettuati dai soggetti pubblici; i secondi, invece,sono assoggettati alle sole norme richiamate al comma 2 dell’art. 4 della legge. Anche i trat-tamenti attinenti all’attività amministrativa concernente il personale di magistratura (consi-stenti, ad esempio, nella raccolta e nella conservazione dei dati contenuti nei fascicoli perso-nali dei magistrati) vanno quindi considerati, alla stregua di quelli che riguardano ogni altrodipendente pubblico, soggetti alla normale disciplina della legge n. 675/1996.


Nei confronti dei trattamenti dei dati effettuati per “ragioni di giustizia” nell’ambitodegli uffici giudiziari trovano applicazione solamente le disposizioni enumerate nel comma 2dell’art. 4 della legge n. 675/1996, fra le quali non figurano l’art. 13 e l’art. 29 della leggestessa; pertanto, il ricorso eventualmente proposto ai sensi dell’art. 29 è inammissibile (fat-tispecie relativa al trattamento dei dati effettuato da parte dell’autorità giudiziaria inquirentein sede di indagini preliminari).


Le perizie svolte dai consulenti tecnici nominati dall’autorità giudiziaria rientrano fra i trat-tamenti di dati personali effettuati nell’ambito di uffici giudiziari “per ragioni di giustizia” che, aisensi dell’art. 4 della legge n. 675/1996, sono sottratti all’applicazione delle disposizioni chel’art. 22 della legge detta in tema di trattamento di dati sensibili; per l’effettuazione di tali trat-tamenti non occorre quindi acquisire previamente il consenso dell’interessato.


Le richieste di dati personali per esigenze di polizia giudiziaria sono riconducibili ai trat-tamenti disciplinati dall’art. 4 della legge n. 675/1996 (“Particolari trattamenti in ambito pub-blico”), sia quando sono formulate nell’ambito di attività delegate dall’autorità giudiziaria(art. 4, comma 1, lett. d)), sia quando derivano da un’attività investigativa o d’indagine di ini-ziativa degli organi di polizia (art. 4, comma 1, lett. e) e artt. 347 e ss. c.p.p.); ad esse, pertanto,deve darsi corso in base alle relative norme del codice di procedura penale.



Il rilascio di copie di atti o la consultazione dei registri relativi ai procedimenti giudiziaririentrano fra le attività svolte dagli uffici giudiziari “per ragioni di giustizia”, che sono soggettesolo ad alcune disposizioni della legge n. 675/1996 (art. 4, comma 1, lett. d) e comma 2). Agliuffici giudiziari, nella comunicazione di dati personali ad altri soggetti pubblici, non si applicano,quindi, le particolari cautele previste dal comma 2 dell’art. 27 della legge, ferma restando l’ap-plicabilità, anche ai trattamenti svolti da questi uffici, del principio di pertinenza dei dati previ-sto dall’art. 9, lett. b) e d), in base al quale è consentita la comunicazione dei soli dati non ecce-denti la finalità istituzionale perseguita.


L’applicabilità della legge n. 675/1996 non comporta necessariamente un regime di asso-luta riservatezza dei dati, dovendosi verificare di volta in volta se sussistono altri interessi meri-tevoli di tutela disciplinati da norme di legge o di regolamento; in tal senso, fra le disposizioni nonabrogate dalla legge n. 675/1996 devono considerarsi ricomprese anche le norme che riguardanola conoscibilità del calendario dei processi, della pubblicità delle udienze e degli esiti dei giudizi,nonché quelle concernenti l’accesso ai registri giudiziari e l’estrazione di copia di atti processuali,trattandosi di materia che resta prevalentemente regolata dalle norme processuali vigenti.




La circostanza che non tutti i principi posti dalla legge n. 675/1996 siano stati ulterior-mente sviluppati sul piano normativo in relazione alle attività di giustizia non deve far ritenereinoperanti detti principi, che dovrebbero essere attualmente tradotti in concrete misure attua-tive anche di carattere organizzativo, opportunamente modulate in rapporto alle diversevicende processuali. In questa prospettiva, si pone una recente tendenza dell’ordinamento atutelare in ogni sede, in modo particolarmente rigoroso, la dignità e la riservatezza di personesieropositive o malate di A.I.D.S. o emotrasfusi, come dimostrato, oltre che dall’art. 286 bis delc.p.p. in tema di custodia cautelare in caso di infezione da H.I.V. o di A.I.D.S., anche da specifi-che disposizioni di settore che, pur non individuando specifiche cautele processuali, impon-gono, a seconda dei casi, agli operatori sanitari o a “chiunque” venga a conoscenza di partico-lari infezioni nell’esercizio delle proprie funzioni, di adottare, nell’ambito delle proprie compe-tenze, tutte le misure occorrenti per la tutela della riservatezza della persona assistita (art. 5

TRATTAMENTI PARTICOLARI > TRATTAMENTI PER RAGIONI DI GIUSTIZIA >UFFICI GIUDIZIARI

179

della legge n. 135/1990 e art. 3, comma 1 bis, della legge n. 210/1992).


L’art. 270, comma 1, c.p.p., concernente l’inutilizzabilità dei risultati delle intercettazionitelefoniche in determinati procedimenti penali, prevede una limitazione all’uso di tali elementidi prova solo in altri procedimenti penali. La stessa disposizione, invece, non preclude in lineagenerale l’utilizzazione dei medesimi risultati – se lecitamente acquisiti in base al codice – inprocedimenti diversi da quello penale, come quello di tipo disciplinare. Tale comunicazione didati personali da parte dell’autorità giudiziaria non viola l’art. 27, comma 2, della leggen. 675/1996, considerato che ai trattamenti svolti da parte degli uffici giudiziari si applicanosolo alcune disposizioni in materia di protezione dei dati personali, specificamente enumeratenell’art. 4, comma 2, della medesima legge, tra cui non figura l’art. 27.


Al trattamento di dati personali operato, per ragioni di giustizia, da una Procura dellaRepubblica, non si applicano, ai sensi dell’art. 4, comma 1, lett. d), della legge n. 675/1996, gliartt. 13 e 29 della legge. Il ricorso presentato ai sensi dell’art. 29 è, quindi, inammissibile, salvala possibilità per l’interessato di inviare al Garante una segnalazione o un reclamo per chiederela verifica della rispondenza del trattamento ai requisiti stabiliti dalla legge o dai regolamenti(artt. 31, comma 1, lett. d) e p) e 32 della legge n. 675/1996, in relazione all’art. 4, comma 1 dellalegge).


Consiglio superiore della magistratura

Anche in relazione ai trattamenti di dati personali effettuati dal Consiglio Superiore dellaMagistratura deve essere operata una puntuale distinzione fra trattamenti operati per scopi“amministrativi“ e quelli che, avendo riflessi diretti sul piano giudiziario, debbono essere consi-derati svolti “per ragioni di giustizia“ (art. 4, comma 1 della legge n. 675/1996). Questi ultimisono assoggettati alle sole disposizioni della legge n. 675/1996 indicate nell’art. 4, comma 2,mentre i primi sono inclusi per intero nell’ambito applicativo della legge.


Nella nozione di trattamento di dati personali dell’interessato svolto per ragioni di giustizia(art. 4, comma 1, lett. d),della legge n. 675/1996) rientra anche quello effettuato dagli uffici giu-diziari e dal Consiglio superiore della magistratura attinente alla responsabilità disciplinare di unmagistrato in relazione ad una vicenda giudiziaria che coinvolga l’interessato stesso. Pertanto,


nei confronti di tale trattamento non possono essere esercitati i diritti previsti dall’art. 13 dellalegge n. 675/1996, né può essere proposto il ricorso di cui all’art. 29, ferma restando la possibi-lità per l’interessato di inviare al Garante una segnalazione o un reclamo per chiedere la verificadella rispondenza del trattamento ai requisiti stabiliti dalla legge o dai regolamenti (artt. 31,comma 1, lett. d) e p) e 32 della legge n. 675/1996, in relazione all’art. 4, comma 2 della legge).


Prevenzione, accertamento e repressione dei reati

Fermo restando l’obbligo del rispetto delle disposizioni già applicabili ex art. 4, comma 2,della legge n. 675/1996 (in particolare gli artt. 7, 9, 15, 17, 18, 31, 32 commi 6 e 7, 34 e 36 dellalegge), i trattamenti di dati per finalità giudiziarie o, comunque, di prevenzione dei reati non sonoancora disciplinati con sufficiente chiarezza da norme di legge che abbiano il livello di dettaglioprevisto anche dall’art. 1, comma 1, lett. i) della legge n. 676/1996, sicché, al momento, restandoesclusi tali trattamenti dall’applicazione delle altre disposizioni della legge sulla protezione deidati personali, non è possibile formulare una domanda di accesso o di cancellazione ai sensi del-l’art. 13 nei confronti di organi o uffici di polizia (quali, ad esempio, un comando perifericodell’Arma dei CC); in ogni caso, resta impregiudicata la facoltà per l’interessato di segnalare alGarante eventuali inosservanze di legge o di regolamento relative ai trattamenti in questione.


L’acquisizione, da parte di una Procura della Repubblica, delle cartelle cliniche di alcunigiocatori di calcio a mezzo di personale ispettivo di un’A.S.L. è conforme ai principi sanciti dallalegge n. 675/1996, in quanto effettuato, anche per le specifiche modalità con cui si sono svolti icontrolli, nell’ambito di un’attività comunque riconducibile alle ipotesi delineate dall’art. 4,comma 1, lett. e) della legge.


I principi di pertinenza e non eccedenza nel trattamento dei dati personali sanciti dal-l’art. 9 della legge n. 675/1996 obbligano anche gli organi di polizia e l’autorità giudiziaria a svol-gere l’attività di raccolta, utilizzazione e divulgazione dei dati con modalità tali da non recare agliinteressati un pregiudizio ingiustificato rispetto alle finalità perseguite. Non appare rispettosa didetti principi la divulgazione, da parte della polizia giudiziaria, attraverso organi di informazione,di alcuni dati personali (fotografie e generalità) di una prostituta, che sia stato accertato essereaffetta dal virus dell’H.I.V., al fine di informare le persone che avevano avuto con la stessa rap-porti a rischio, potendo la finalità informativa essere raggiunta, tenuto conto anche delle speci-fiche garanzie di riservatezza approntate per i soggetti sieropositivi dalla legge n. 135/1990,attraverso procedure più selettive, basate, ad esempio, sulla notizia della sieropositività di una

TRATTAMENTI PARTICOLARI > PREVENZIONE, ACCERTAMENTO E REPRESSIONE DEI REATI 181

persona che pratichi abitualmente la prostituzione in una determinata zona, accompagnata dal-l’istituzione di un servizio di informazione ed assistenza (es.: un numero verde) cui gli interes-sati potessero rivolgersi.


Le richieste di dati personali per esigenze di polizia giudiziaria sono riconducibili ai tratta-menti disciplinati dall’art. 4 della legge n. 675/1996 (“Particolari trattamenti in ambito pub-blico”), sia quando sono formulate nell’ambito di attività delegate dall’Autorità giudiziaria (art. 4,comma 1, lett. d)), sia quando derivano da un’attività investigativa o d’indagine di iniziativa degliorgani di polizia (art. 4, comma 1, lett. e) e artt. 347 e ss. c.p.p.); ad esse, pertanto, deve darsicorso in base alle relative norme del codice di procedura penale.


Natura pubblica dei soggetti

Ai sensi dell’art. 27, comma 2 della legge n. 675/1996, il centro sociale, quale strutturafacente capo direttamente all’amministrazione comunale, è legittimato ad acquisire informazionipresso gli uffici finanziari, gli enti previdenziali ed i singoli comuni di provenienza per verificare laposizione reddituale e patrimoniale degli ospiti.


Le Agenzie regionali per l’impiego istituite dalla legge n. 56/1987, in quanto soggetti pubblici,soggiacciono alla speciale disciplina prevista dagli artt. 27 e 22, comma 3 della legge n. 675/1996,che consentono il trattamento dei dati solo se previsto da apposite previsioni di legge. Ne conse-gue che va esclusa la possibilità di rendere pubbliche le liste di mobilità in favore di aziende o asso-ciazioni di categoria che ne facciano richiesta, in quanto la normativa di settore (artt. 6 e ss. dellalegge n. 223/1991; d.lg. n. 469/1997; decreto del Ministero del lavoro dell’8 maggio 1998, pubbli-cato sulla G.U. del 6 giugno 1998) prevede un obbligo di connessione e di scambio dei dati solo trasoggetti specificamente individuati (Ministero del lavoro, regioni, enti locali, imprese di fornitura dilavoro temporaneo e soggetti autorizzati alla mediazione tra domanda e offerta di lavoro).


Ai fini dell’applicazione della legge n. 675/1996, la società che gestisce il servizio telefoniconon può essere considerata come un soggetto pubblico (principio affermato in fattispecie di richie-sta da parte del Ministero delle telecomunicazioni alla T.I.M. s.p.a. di comunicare dati anagrafici,


numero telefonico e data di cessazione del contratto di un campione di abbonati ed utenti, al finedella verifica dei tempi di restituzione dell’anticipo per le conversazioni interurbane).


All’Ufficio italiano cambi si applica la particolare disciplina prevista, per i soggetti pubblici,dall’art. 27 della legge n. 675/1996 in materia di operazioni di trattamento dei dati personali, ivicomprese quelle inerenti alla loro comunicazione e diffusione (fattispecie relativa alla raccolta,comunicazione e diffusione dei dati relativi all’anagrafe dei valori mobiliari, disciplinate dal d.P.R.n. 148/1998).


L’Ufficio per la mediazione penale di Milano, costituito su iniziativa di più soggetti pubblici inbase ad un protocollo d’intesa, è strutturalmente dotato di caratteristiche tali da consentirnel’ascrizione alla sfera degli organismi pubblici che, operando per finalità di assistenza sociale, spe-cie in favore di minori, possono trattare dati di carattere personale per il perseguimento delle pro-prie funzioni istituzionali.


Regimi particolari di pubblicità degli atti

Casi particolari


La legge n. 675/1996 non ha modificato la normativa concernente la tenuta dei registri dellostato civile e quella relativa alle anagrafi della popolazione, così come rispettivamente delineatedal r.d. n. 1238/1939, dal codice civile, dalla legge 24 dicembre 1954 n. 1228, dal d.P.R. n. 223/1989e dalla legge n. 127/1997. Pertanto, ai sensi dell’art. 27, commi 2 e 3 della legge n. 675/1996, èlecito il rilascio a terzi, da parte del Comune, di certificazioni anagrafiche, purché risultino osservatii limiti stabiliti in materia dagli artt. 33, 34 e 35 del d.P.R. n. 223/1989; al contrario, deve ritenersiillegittima la prassi di un Comune di fornire dati ed elenchi a terzi (nel caso di specie i nominatividei nati e dei deceduti nel territorio comunale alle redazioni dei giornali locali) al di fuori dellemodalità previste dalla disciplina dei registri dello stato civile, degli atti anagrafici o di altra nor-mativa.


REGIMI PARTICOLARI DI PUBBLICITÀ DEGLI ATTI > CASI PARTICOLARI >ANAGRAFE E STATO CIVILE

183

Ai sensi dell’art. 27, comma 3 della legge n. 675/1996, è illegittima la prassi degli ufficicomunali di fornire dati ed elenchi a terzi al di fuori delle modalità previste dalla disciplina deiregistri dello stato civile e degli atti anagrafici o da altra normativa.


Mentre è possibile, ai sensi del d.P.R. n. 352/1992, la diffusione a terzi – che ne faccianorichiesta – di singole notizie relative a nascite, morti o matrimoni acquisite caso per caso dal-l’ufficiale di stato civile, è contraria ai principi fissati dalla legge n. 675/1996 la prassi di richie-dere al medesimo la redazione quotidiana di interi elenchi di nati, deceduti o nubendi da pub-blicare con assiduità sugli organi di stampa.




Ai sensi del combinato disposto dell’art. 27 della legge n. 675/1996 e dell’art. 34 del d.P.R.n. 223/1989, l’ufficiale dell’anagrafe può rilasciare – anche periodicamente – elenchi di iscrittiall’anagrafe della popolazione residente solo alle amministrazioni pubbliche, che ne faccianomotivata richiesta per esclusivo uso di pubblica utilità (art. 34, comma 1); al contrario, tali elen-chi non possono essere rilasciati in favore di privati, ai quali i dati anagrafici possono esserecomunicati in forma anonima ed aggregata, qualora ne sia fatta richiesta per fini statistici e diricerca e il Comune disponga di idonee apparecchiature (art. 34, comma 2).


La circostanza che l’iscrizione nell’elenco degli elettori dei Comites, di per sé soggetta apubblicità, venga effettuata d’ufficio sulla base degli schedari istituiti a norma dell’art. 67 deld.P.R. n. 200/1967 (c.d. anagrafe consolare), non consente un’estensione del medesimo regimedi conoscibilità in favore di detti schedari, ostandovi non solo il dettato normativo di cui alla


legge n. 205/1985, ma anche la disciplina fissata dall’art. 27, comma 3 della legge n. 675/1996che, in relazione al trattamento dei dati in ambito pubblico, consente la comunicazione a terzisolo in presenza di una puntuale disposizione di legge o di regolamento.


Con riferimento alla c.d. “anagrafe consolare”, la disciplina anagrafica di cui al d.P.R.n. 223/1989 è applicabile – in quanto compatibile – soltanto in relazione ai dati relativi all’i-scrizione nello schedario dei cittadini residenti nella circoscrizione consolare (dati anagrafici eprofessionali) e non anche per altri dati ivi contenuti (atti o fatti relativi allo status di cittadino,al godimento dei diritti civili e politici, ecc.) che, per espressa disposizione di legge, possonoessere utilizzati dall’ufficio consolare per “finalità di tutela degli interessi del connazionale”(art. 67, u.c.). Pertanto, questi ultimi dati sono divulgabili a terzi nei limiti in cui ciò sia even-tualmente previsto da specifiche disposizioni normative diverse da quelle relative al rilasciodegli atti anagrafici, ferma restando, in ogni caso, l’eventuale loro comunicabilità ove ricorranoi presupposti di cui all’art. 27, commi 2 e 3 della legge n. 675/1996.


Gli schedari istituiti a norma dell’art. 67 del d.P.R. n. 200/1967 (c.d. “anagrafe conso-lare”) debbono ritenersi pubblici in quanto contenenti notizie che, essendo acquisite dai sin-goli uffici consolari per il tramite delle dichiarazioni rese dai cittadini che trasferiscono la resi-denza all’estero, vanno considerate anch’esse pubbliche alla stregua di quanto previsto dal-l’art. 1, comma 12 della legge n. 470/1988. Inoltre, poiché tali schedari costituiscono, ai sensidell’art. 1 del d.P.R. n. 323/1989, parti delle anagrafi della popolazione di cui alla legge 24dicembre 1954 n. 1228, si deve ritenere che i dati anagrafici in essi contenuti siano conoscibili,oltre che dietro apposita richiesta di certificazione avanzata ex art. 67, comma 2 del d.P.R.n. 200/1967, anche in base agli artt. 33 e 34 del d.P.R. n. 223/1989.


La legge n. 675/1996, recante norme in materia di protezione dei dati personali, non hamodificato direttamente la normativa relativa ai registri dello stato civile e alla disciplina degliatti anagrafici, né ha introdotto ulteriori divieti di rendere conoscibili le informazioni in que-stione, ma ha previsto che le amministrazioni e gli enti pubblici, in un quadro di maggiore tra-sparenza, possono diffondere i dati personali da essi detenuti quando ciò sia previsto da normedi legge o di regolamento rispettando, peraltro, il limite e le modalità previste dalla specificadisciplina di settore (art. 27, comma 3).


REGIMI PARTICOLARI DI PUBBLICITÀ DEGLI ATTI > CASI PARTICOLARI >ANAGRAFE E STATO CIVILE

185

Fatta salva la particolare disciplina in materia di accesso ai documenti amministrativi postadalla legge n. 241/1990, la cui perdurante applicabilità non è pregiudicata dalle disposizioni con-tenute nella legge n. 675/1996 e nel d.lg. n. 135/1999, non è possibile comunicare o diffondere aprivati i dati personali provenienti dagli archivi anagrafici al di fuori delle ipotesi specificamentepreviste dalla normativa di settore (v. artt. 32 e 34, commi 1 e 2, del d.P.R. n. 223/1989).


Non risultano compatibili con la disciplina anagrafica vigente e, conseguentemente, con iprincipi posti dall’art. 27 della legge n. 675/1996, sia la libera consultazione diretta delle anagrafi(attraverso, ad esempio, l’interrogazione individuale o di massa di qualsiasi dato contenuto negliarchivi), sia una loro indifferenziata interconnessione con le banche dati del soggetto che richiedele informazioni.


Gli archivi anagrafici non permettono un prelevamento diretto dei dati, fuori dai casi espres-samente consentiti; inoltre, i dati anagrafici, a parte le certificazioni rilasciabili a chiunque ne fac-cia richiesta, possono essere comunicati all’esterno solo a pubbliche amministrazioni e per “esclu-sivo uso di pubblica utilità” (art. 34, comma 1, del d.P.R. n. 223/1989).


L’accesso, costante e indiscriminato, da parte dei privati a tutte le informazioni non sensibilicontenute nella banca dati anagrafica di un Comune è precluso in radice e non può essere dispostodall’ente locale chiedendo il consenso degli interessati alla comunicazione dei propri dati perso-nali. Le disposizioni del regolamento anagrafico prevedono, infatti, la comunicazione (e non la dif-fusione) dei dati anagrafici solo ad amministrazioni pubbliche, e non anche ai privati, e per soli finidi pubblica utilità (art. 34 del d.P.R. n. 223/1989).


Consiglio dell’Ordine degli avvocati

Alla luce dei principi evincibili dalla normativa di settore (r.d.l. n. 1578/1933 e r.d.n. 37/1934), i provvedimenti disciplinari adottati dal Consiglio dell’Ordine degli avvocati e dalConsiglio nazionale forense, pur in assenza di ulteriori e più analitiche disposizioni di legge o diregolamento che prevedano particolari modalità di diffusione dei dati o, comunque, la loro divul-gazione in favore di soggetti diversi da quelli indicati dall’art. 46 r.d.l. n. 1578/1933, sono atti pub-blici sottoposti ad un generale regime di conoscibilità posto a favore sia degli iscritti (anche diversidai destinatari della sanzione irrogata) che dei terzi.



Ordini professionali

Architetti

Poiché gli albi professionali degli architetti sono soggetti ad un regime di pubblicità (art. 5 della legge n. 1395/1923; artt. 3 e 23 del r.d. n. 2537/1925) che, di fatto, ne consente laconoscibilità da parte di chiunque, ai sensi dell’art. 27, commi 2 e 3 della legge n. 675/1996,gli ordini professionali possono sia consegnare copia di detti albi ad altri enti pubblici o adordini provinciali, sia comunicare e diffondere a privati od enti pubblici economici i dati per-sonali in essi contenuti.


Ai sensi della legge n. 675/1996, i Consigli dell’Ordine possono raccogliere e fornire aterzi elenchi di liberi professionisti e di altri operatori del settore di riferimento qualora i datioggetto di trattamento provengano da pubblici registri, elenchi, atti o documenti conoscibilida chiunque, oppure riguardino lo svolgimento di attività economiche da parte degli interes-sati (art. 12, comma 1, lett. c) ed f ); art. 20, comma 1, lett. b) ed e)). In caso contrario, il trat-tamento dei dati non può prescindere dal preventivo consenso degli interessati (es.: soggettiche, pur non essendo liberi professionisti, siano comunque inseriti in detti elenchi).


Assistenti sociali

La disciplina di settore degli assistenti sociali, contrariamente a quanto avviene di normaper i vari settori professionali, non prevede alcun genere di pubblicità per il relativo albo profes-sionale. Infatti, né la legge n. 84/1993 (istitutiva dell’albo), né il d.m. n. 615/1994 disciplinanoespressamente la pubblicità e la consultazione dell’albo o la sua conoscibilità da parte di altrisoggetti pubblici o privati (ad esempio, attraverso la trasmissione di copie ad altre istituzioni),con la conseguenza che, sebbene non sussistano ostacoli alla consegna di un esemplare del-l’albo ad altri soggetti pubblici laddove ciò risulti necessario per lo svolgimento delle funzioniistituzionali (essendo sufficiente, ex art. 27, comma 2 della legge n. 675/1996, una mera comu-nicazione al Garante), allo stato non risulta invece possibile la comunicazione dei dati contenutinell’albo a soggetti privati (in mancanza di una puntuale disposizione di legge o di regolamentoche lo consenta).


REGIMI PARTICOLARI DI PUBBLICITÀ DEGLI ATTI > CASI PARTICOLARI >ORDINI PROFESSIONALI > ASSISTENTI SOCIALI

187

Dottori commercialisti

Poiché l’albo professionale dei dottori commercialisti è soggetto ad un regime di comu-nicazione ad altre amministrazioni (art. 29 del d.P.R. n. 1067/1953) che, di fatto, ne consenteuna diffusa conoscibilità da parte di chiunque, ai sensi dell’art. 27, comma 3 della leggen. 675/1996 l’Ordine professionale può comunicare e diffondere a privati e ad enti pubblicieconomici i dati personali in esso contenuti.


Geometri

La legge n. 675/1996 non ha modificato la disciplina legislativa relativa al regime di pub-blicità degli albi e alla conoscibilità degli atti ad essi connessi (cfr. artt. 12, comma 1, lett .c), 20,comma 1, lett. b), 28, comma 4, lett. f ) e 43, comma 2); in particolare, il r.d. n. 274/1929, recanteil “regolamento per la professione di geometra”, all’art. 8 individua i soggetti cui i Collegi deigeometri devono comunicare l’albo e i provvedimenti di sospensione dall’esercizio della profes-sione. Tali dati possono, peraltro, essere comunicati anche ad altri soggetti pubblici, sempre checiò risulti necessario per lo svolgimento di precise funzioni istituzionali di almeno una delleamministrazioni interessate – Collegio o ente ricevente – (v. art. 27, comma 2 della leggen. 675/1996). Ai sensi della legge n. 675/1996 (art. 27, comma 3), non è, invece, possibile dif-fondere i medesimi dati a soggetti privati, se non in presenza di una precisa previsione norma-tiva (quale quella contenuta nell’art. 22 della legge n. 241/1990).


Medici

Poiché gli albi dei medici chirurghi sono soggetti ad un regime di pubblicità (art. 3 deld.lg. C.p.S. n. 238/1946; artt. 2 e 3 del d.P.R. n. 221/1950) che, di fatto, ne consente la cono-scibilità da parte di chiunque, ai sensi dell’art. 27, commi 2 e 3 della legge n. 675/1996, gliordini professionali possono sia consegnare copia di detti albi ad altri enti pubblici, AA.SS.LL.o ordini provinciali, sia comunicare e diffondere a privati od enti pubblici economici i dati per-sonali in essi contenuti.


Tecnici radiologi

Il d.P.R. n. 221/1950, nel disporre annualmente la stampa e la pubblicazione degli albidegli ordini delle professioni sanitarie – tra cui quello dei tecnici sanitari di radiologia medica


– e il loro invio a vari soggetti ed amministrazioni pubbliche, ne determina, di fatto, una dif-fusa conoscibilità presso le amministrazioni destinatarie. Per quanto concerne tale diffusione,la legge n. 675/1996 esclude che debba essere acquisito il consenso degli interessati quandoil trattamento riguarda dati provenienti da pubblici registri, elenchi, atti o documenti conosci-bili da chiunque (artt. 12, comma 1, lett. c) e 20, comma 1, lett. b)).


Ragionieri e periti commerciali

La legge n. 675/1996 non ha modificato la disciplina legislativa relativa al regime di pub-blicità degli albi professionali e alla conoscibilità degli atti ad essi connessi (artt. 12, comma 1,lett. c); 20, comma 1, lett. b); 28, comma 4, lett. f ); 43, comma 2).


Alla luce delle disposizioni del d.P.R. n. 1068/1953 sull’ordinamento della professione diragioniere e perito commerciale (in specie l’art. 29), e tenuto conto che gli albi dei liberi profes-sionisti sono ispirati per loro stessa natura e funzione ad un regime di piena pubblicità, anche infunzione della tutela dei diritti di coloro che a vario titolo hanno rapporti con gli iscritti, deve rite-nersi consentito al Consiglio dell’Ordine di comunicare e di diffondere a privati i dati personalicontenuti nell’albo (art. 29 del d.P.R. cit.; art. 27, comma 3 della legge n. 675/1996).


Titolari di cariche elettive e di incarichi dirigenziali

La legge n. 675/1996 non ha modificato le disposizioni della legge n. 441/1982 sulla pub-blicità della situazione patrimoniale dei titolari di alcune cariche elettive o direttive che, pereffetto della legge n. 127/1997, trovano applicazione anche nei confronti del personale dirigen-ziale – o equiparato – delle amministrazioni pubbliche.


Il regime di pubblicità della situazione patrimoniale relativa al personale dirigenzialedelle amministrazioni pubbliche – come stabilito dal combinato degli artt. 17, comma 22 dellalegge n. 127/1997 e 12 della legge n. 441/1992 – non fa sorgere l’obbligo di pubblicare i datipatrimoniali relativi a tali soggetti, né il diritto di conoscere il contenuto dei loro cedolini dellostipendio, nei quali possono essere contenute informazioni di vario genere (multe disciplinari,pignoramenti, cessioni di stipendio, ecc.), alcune delle quali aventi anche natura “sensibile”(sussidi di cura, iscrizione sindacale, ecc.). Ne consegue che il diritto attribuito al consigliere

REGIMI PARTICOLARI DI PUBBLICITÀ DEGLI ATTI > CASI PARTICOLARI >ORDINI PROFESSIONALI > TITOLARI DI CARICHE ELETTIVE E DI INCARICHI DIRIGENZIALI

189

Telecomunicazionie reti telematiche

• Profili generali


comunale dall’art. 31, comma 5 della legge n. 142/1990 di accedere ai documenti formati dallapubblica amministrazione di appartenenza e a qualsiasi notizia od informazione utili ai fini del-l’esercizio delle funzioni consiliari può, con riferimento alla materia in esame, essere altrimentisoddisfatto attraverso la pubblicità della situazione patrimoniale dei dirigenti (v. leggin. 142/1990 e n. 127/1997 citate), l’esame dei contratti collettivi e l’accesso alle deliberazioni ealle determinazioni, concernenti indennità e altri emolumenti corrisposti, adottatedall’Amministrazione a favore dei dipendenti.


Consultazione del Garante da parte dellepubbliche amministrazioni

La mancata attivazione della procedura di consultazione del Garante, prevista dall’art. 31,comma 2 della legge n. 675/1996 per gli atti regolamentari e amministrativi suscettibili di inci-dere sulla materia dei dati personali, determina un vizio del provvedimento emanato.


Ai sensi dell’art. 31, comma 2, della legge n. 675/1996, i regolamenti e gli atti amministra-tivi adottati senza la consultazione del Garante sono annullabili per violazione della legge nazio-nale e del diritto comunitario in materia.


Ai sensi dell’art. 31, comma 2, della legge n. 675/1996, il Presidente del Consiglio dei mini-stri e ciascun ministro debbono consultare il Garante all’atto di emanare norme regolamentari eatti amministrativi suscettibili di incidere sulle materie disciplinate dalla legge. Tali atti, oveemessi senza il preventivo parere del Garante, sono quindi illegittimi ed annullabili per viola-zione della legge n. 675/1996 e del diritto comunitario in materia.



Profili generali

In caso di offerta, da parte di un provider, di un accesso gratuito ad Internet, l’interessatoha la facoltà di acconsentire a servizi che subordinino il suo accesso alla cessione di dati identi-ficativi o attinenti a gusti, preferenze ed interessi, sempre che ciò avvenga in conformità alleleggi, soprattutto in riferimento al rilascio di un consenso effettivamente libero, specifico edinformato ed al concreto rispetto del principio di correttezza del trattamento; a tal fine, occorreche l’interessato riceva previamente tutte le informazioni necessarie per comprendere appienole finalità e le modalità del trattamento dei suoi dati, non solo di quelli forniti direttamente, maanche di quelli che vengano acquisiti successivamente (nel caso di specie, a seguito di un moni-toraggio delle attività svolte dall’utente via Internet).


Casi particolari

Concessionari di servizi telefonici

Ai fini dell’applicazione della legge n. 675/1996, la società che gestisce il servizio telefoniconon può essere considerata come un soggetto pubblico (principio affermato in fattispecie dirichiesta da parte del Ministero delle telecomunicazioni alla T.I.M. s.p.a. di comunicare dati ana-grafici, numero telefonico e data di cessazione del contratto di un campione di abbonati ed utenti,al fine della verifica dei tempi di restituzione dell’anticipo per le conversazioni interurbane).


In linea di principio, le disposizioni della legge n. 675/1996 non incidono, né pongono osta-coli nei confronti di specifici obblighi contrattuali in base ai quali deve essere effettuata unacomunicazione di dati personali, salva l’adozione di particolari accorgimenti che la legge pone atutela degli interessati. Ne consegue che quando l’obbligo, per un gestore del servizio telefo-nico, di rendere disponibili, nei confronti dell’amministrazione vigilante, talune informazionisugli abbonati, ai fini del controllo sul corretto esercizio della concessione, discende dall’adem-pimento di clausole contrattuali, il gestore ha l’onere di informare gli interessati e di richiedereloro il consenso, ove questo non sia già stato manifestato.


In linea di principio, le disposizioni della legge n. 675/1996 non incidono, né pongono osta-coli nei confronti di precise disposizioni normative in base alle quali deve essere effettuata una

TELECOMUNICAZIONI E RETI TELEMATICHE> PROFILI GENERALI > 195

M a s s i m a r i o 1 9 9 7 / 2 0 0 1 • T e l e c o m u n i c a z i o n i e r e t i t e l e m a t i c h e196

comunicazione di dati personali. Ne consegue che quando una norma di legge o di regolamento pre-vede l’obbligo per un gestore del servizio telefonico di rendere disponibili, nei confronti dell’ammi-nistrazione vigilante, talune informazioni sugli abbonati, ai fini del controllo sul corretto eserciziodella concessione, la comunicazione dei dati è ammessa anche senza il consenso degli abbonatiinteressati, in conformità alla condizione individuata dall’art. 20, comma 1, lett. c), della legge.


E-mail e spamming

Viola la privacy chi utilizza a fini di comunicazione politica, senza il consenso degli interes-sati, indirizzi e-mail reperiti in rete. La mera conoscibilità degli indirizzi di posta elettronica nonconsente, infatti, di per sé, l’invio generalizzato di e-mail (c.d. spamming), quale che sia il con-tenuto dei messaggi, compreso quello politico-elettorale. Né può invocarsi la previsione, conte-nuta nella legge, relativa a “pubblici registri, elenchi, atti o documenti conoscibili da chiunque”,che non può essere riferita a qualunque dato personale che sia di fatto consultabile, ma ai solidati che siano sottoposti ad un regime giuridico di piena conoscibilità da parte di chiunque,come può ritenersi, ad esempio, per gli elenchi telefonici.


La conoscenza degli indirizzi e-mail che si realizza attraverso la partecipazione degli utentia forum e newsgroup è legata alle finalità per le quali essa avviene. Non è quindi corretto racco-gliere tali indirizzi e generalità ed utilizzarli, senza preventivo consenso degli interessati, perscopi diversi quali, ad esempio, lo spamming.

Garante 11 gennaio 2001, in Bollettino n. 16, pag. 39 (v. anche www.garanteprivacy.it: doc. n. 40823)

Informazioni sul dipendente contenute in e-mail

Le informazioni sul comportamento osservato da un lavoratore, fornite con messaggi diposta elettronica inviati ai superiori gerarchici da dipendenti o da altri collaboratori azien-dali, rientrano nell’ampia nozione di dato personale di cui all’art. 1,comma 2, lett. c), dellalegge n. 675/1996, con conseguente diritto del lavoratore interessato ad accedervi.


Pubblicità telefonica

Nell’ambito del servizio “GratisTel”, che offre la possibilità di effettuare telefonate gratuite

interrotte da messaggi pubblicitari, anche i dati relativi alle utenze chiamate sono oggetto di trat-tamento da parte della società che gestisce il servizio “GratisT S.r.l.”. Pertanto, gli abbonati chia-mati tramite “GratisTel” devono essere informati e messi in grado di esprimere consapevolmentele loro scelte in ordine ai trattamenti dei dati a scopo pubblicitario, nel rispetto di quanto previ-sto dagli artt. 10, 11 e 12 della legge n. 675/1996 e dall’art. 10 del d.lg. n. 171/1998. La natura pri-vata della conversazione, infatti, non preclude l’applicazione delle garanzie previste in materiadi trattamento dei dati personali e di sistemi pubblicitari di chiamata.


Con riferimento al servizio “Gratis Tel”, che offre la possibilità di effettuare telefonate gratuiteinterrotte da messaggi pubblicitari, la società che fornisce il servizio – GratisT S.r.l. – deve renderefacilmente accessibile agli interessati/sottoscrittori un elenco costantemente aggiornato degliinserzionisti, recante gli estremi identificativi dei titolari e dei responsabili del trattamento, al finedi consentire un agevole esercizio dei diritti riconosciuti dall’art. 13 della legge n. 675/1996.



I soggetti privati che gestiscono per conto dell’I.n.p.s. servizi informatici di postalizzazione(es.: il servizio Postel) per il trattamento di dati personali finalizzato alla liquidazione degli asse-gni per il nucleo familiare e di maternità, debbono essere designati dall’Istituto/titolare comeresponsabili del trattamento ai sensi dell’art. 8 della legge n. 675/1996, in quanto viene loro affi-data l’esecuzione, sia pure con un certo grado di autonomia, solo di una parte strumentale delleoperazioni di trattamento necessarie per perseguire le finalità del titolare.


Servizi di posta elettronica ibrida epistolare

L’utilizzatore/abbonato al servizio di posta elettronica ibrida epistolare (p.e.i.e.) si confi-gura come il “titolare” del trattamento, cui spettano i poteri e le responsabilità concernenti latrattazione dei dati personali contenuti nelle comunicazioni. Ciascun organismo che opera in talesettore (quale la Poste Italiane s.p.a. od altre società) può invece svolgere – ciascuno singolar-mente, o anche congiuntamente, in caso di suddivisione dei compiti (v. art. 8, comma 4 dellalegge n. 675/1996) – il ruolo del “responsabile” del trattamento, ove con atto scritto venga desi-gnato a sovrintendere ai trattamenti connessi alla ricezione dei messaggi inviati dal titolare, allaloro conversione su supporto cartaceo ed al successivo imbustamento.


CASI PARTICOLARI > SERVIZI INFORMATICI DI POSTALIZZAZIONE 197

Ricade nel campo di applicazione della legge n. 675/1996 il trattamento dei dati personalieffettuato dagli operatori del servizio di posta elettronica ibrida epistolare (p.e.i.e.), che prevedel’invio da parte del cliente di un messaggio di posta elettronica all’operatore p.e.i.e., il quale lotrasmette ai propri centri, collegati in rete per via telematica, dove il messaggio viene convertitosu supporto cartaceo ed imbustato per il successivo inoltro. Tali operazioni, infatti, sebbeneeffettuate in via temporanea e mediante ricorso a tecniche di cifratura, comportano trattamentodi dati personali, secondo la definizione offerta dall’art. 1, comma 2, lett.. c), della legge.


Sistemi di interconnessione telematica tra banche dati

La disciplina delle modalità di utilizzo delle banche dati pubbliche da parte delle varieamministrazioni deve essere contenuta in norme di legge o di regolamento, in conformità allecondizioni previste dall’art. 27 della legge n. 675/1996, al fine di realizzare un trasparente flussodi dati ispirato ad omogenei criteri che garantiscano la protezione dei dati medesimi nel rispettodei principi di pertinenza, completezza e non eccedenza sanciti dall’art. 9, lett. d) della legge.


Utenze e traffico telefonico

La misura, messa in atto da alcuni fornitori di servizi telefonici, del “mascheramento”, insede di fatturazione dettagliata, delle ultime cifre delle utenze telefoniche chiamate, è prevista dald.lg. n. 171/1998 (attuativo della Direttiva n. 97/66/CE, e pubblicato sulla G.U. n. 127 del 1998) alfine di conciliare il diritto dell’abbonato di controllare l’esattezza degli addebiti con i diritti di altrisoggetti la cui sfera privata è interessata dalla fatturazione stessa (es.: componenti del nucleofamiliare dell’abbonato, dipendenti del datore di lavoro titolare dell’utenza, destinatari delle tele-fonate, ecc.); detta misura, peraltro, può essere superata laddove emergano concrete esigenze dicontrollo sulle somme addebitate, ispirate da un motivato reclamo propedeutico ad un’azione giu-diziaria, ovvero direttamente collegate ad un’azione legale, come consentito dalla leggen. 675/1996, che rende ammissibile per il titolare del trattamento la comunicazione dei dati per-sonali ove tale operazione risulti necessaria per far valere o difendere un diritto in sede giudiziaria(art. 20, comma 1, lett. g)).


La legge n. 675/1996, nonostante il “mascheramento” nella fatturazione dettagliata intro-dotto dal d.lg. n. 171/1998 con riferimento alle chiamate telefoniche in uscita, permette agliabbonati, che intendano esercitare i propri diritti in relazione ad addebiti da essi contestati oritenuti controversi, di conoscere comunque la composizione integrale dei numeri chiamati.



Gli estremi identificativi delle utenze telefoniche intestate ai singoli condòmini o ai loro fami-liari non possono essere annoverati tra quelli oggetto di necessaria ed obbligatoria comunicazioneall’interno del condominio, in quanto non rappresentano elementi utili a determinare i diritti o glioneri sulla cosa comune, ne è rinvenibile alcun obbligo di legge in tal senso. Resta, peraltro, fermala possibilità per l’amministratore di condominio di comunicare i numeri di telefono ai condòminirichiedenti, con il consenso degli interessati (art. 11 della legge n. 675/1996).


Con riferimento alla particolare categoria di dati rappresentata dal traffico telefonico “inentrata” in una determinata utenza, la legge n. 675/1996 garantisce il diritto di accedere ancheai dati personali non ancora registrati (art. 13, comma 1, lett. c), n. 1)), oltreché a quelli dissemi-nati in più luoghi o archivi, ovvero conservati in modo disorganico. L’accesso non può, invece,riguardare dati non raccolti o che divengono materialmente esistenti solo a seguito di una spe-cifica attività creativa complessa o che potrebbe essere realizzata solo con la collaborazione dialtri soggetti. Le relative valutazioni vanno condotte caso per caso, nel quadro delle condizionitecniche del settore (fattispecie anteriore all’entrata in vigore del d.lg. n. 467/2001).


I numeri delle utenze telefoniche mobili sono dati personali ai sensi dell’art. 1 della leggen. 675/1996 .


In via di principio, nell’ambito dei “dati personali” suscettibili di accesso ai sensi del-l’art. 13 della legge n. 675/1996, rientrano sia le telefonate effettuate dall’utenza telefonicadell’interessato (c.d. “in uscita”), sia quelle “in entrata” sull’utenza stessa. Con specifico rife-rimento a quelle “in entrata”, il diritto di accesso si estende anche ai dati non ancora registrati(art. 13, comma 1, lett. c), n. 1 della legge n. 675/1996), a quelli disseminati in più luoghi edarchivi ed a quelli conservati in modo disorganico (casi per i quali l’art. 17, comma 9, del d.P.R.n. 501/1998 impone al titolare del trattamento l’adozione di opportune misure per agevolarel’accesso, tenendo presente la definizione di “dato personale” di cui all’art. 1 della leggen. 675/1996); restano invece esclusi, secondo una valutazione da effettuare caso per caso nelquadro delle condizioni tecniche di settore, i dati personali non raccolti o che divengono mate-rialmente esistenti solo a seguito di una specifica e complessa attività creativa, eventualmenterealizzabile soltanto in virtù della collaborazione resa da altri soggetti (fattispecie anterioreall’entrata in vigore del d.lg. n. 467/2001).


CASI PARTICOLARI > UTENZE E TRAFFICO TELEFONICO 199

La mera offerta da parte del gestore telefonico della disponibilità a fornire in dettaglio iltraffico telefonico “in uscita” dall’utenza dell’interessato, non seguita dalla concreta messa adisposizione dell’elenco delle singole chiamate, non vale a costituire adempimento dell’obbligoconnesso all’esercizio del diritto d’accesso di cui all’art. 13 della legge n. 675/1996; ne conseguel’accoglimento del ricorso proposto al Garante ai sensi dell’art. 29 della legge.


In via di principio, nell’ambito dei “dati personali”, suscettibili di accesso ai sensi dell’art. 13della legge n. 675/1996, rientrano sia le telefonate effettuate dall’utenza telefonica dell’interes-sato (c.d. “in uscita”), sia quelle “in entrata” sull’utenza stessa. Con specifico riferimento a quelle“in entrata”, il diritto di accesso si estende anche ai dati non ancora registrati, a quelli disseminatiin più luoghi ed archivi ed a quelli conservati in modo disorganico; restano invece esclusi, secondouna valutazione da effettuare caso per caso, nel quadro delle condizioni tecniche di settore, i datipersonali non raccolti o che divengono materialmente esistenti solo a seguito di una specifica ecomplessa attività creativa, eventualmente realizzabile soltanto in virtù della collaborazione resada altri soggetti (fattispecie anteriore all’entrata in vigore del d.lg. n. 467/2001).


Sia le chiamate in uscita che quelle in entrata relative alla utenza telefonica dell’interes-sato debbono essere considerate suoi dati personali ai sensi dell’art. 1, comma 1, lett. c), dellalegge n. 675/1996, contenendo informazioni ad esso collegabili relative ai contatti intrapresinella sfera personale o nella vita di relazione, nell’attivare o ricevere comunicazioni (fattispecieanteriore all’entrata in vigore del d.lg. n. 467/2001).


Il gestore del servizio telefonico deve fornire all’abbonato, che ne faccia espressa richiestaai sensi dell’art. 13 della legge n. 675/1996, il dettaglio integrale del traffico telefonico “inuscita” dall’utenza, senza il mascheramento delle ultime tre cifre dei numeri chiamati previstodall’art. 5 d.lg. n. 171/1998.


La richiesta dell’abbonato di conoscere i dati personali relativi alle telefonate “in entrata”sull’utenza a lui intestata costituisce espressione del diritto di accesso ai dati garantito dal-l’art. 13 della legge n. 675/1996. L’accesso si estende ai dati, già esistenti nella concreta dispo-nibilità del gestore del servizio telefonico, non ancora registrati (art. 13, comma 1, lett. c), n. 1), aquelli disseminati in più luoghi ed archivi ed a quelli conservati in modo disorganico (fattispecieanteriore all’entrata in vigore del d.lg. n. 467/2001).



Dirittidell’interessato

• Modalità di esercizio

• Diritto di accesso

• Blocco del trattamento

• Cancellazione, aggiornamento, rettificao integrazione dei dati

• Opposizione al trattamento

• Origine dei dati

• Limiti all’esercizio dei diritti

Modalità di esercizio

Dimostrazione dell’identità personale da parte dell’inte-ressato

Il titolare del trattamento deve avanzare tempestivamente all’interessato la richiesta di esi-bire, o allegare, la copia di un documento d’identità all’istanza formulata ai sensi dell’art. 13 dellalegge n. 675/1996; in difetto, la relativa eccezione non può essere accolta (fattispecie nella qualeil Garante non ha accolto, perché ritenuta tardiva, l’eccezione proposta dal titolare solo a seguitodella proposizione da parte dell’interessato del ricorso ex art. 29 della legge).


La formulazione dell’art. 17 del d.P.R. n. 501/1998 indica chiaramente che l’allegazione dellacopia di un documento d’identità all’istanza proposta ai sensi dell’art. 13 della legge n. 675/1996non rappresenta per l’interessato un obbligo, ma solo una possibile soluzione al fine di dimo-strare la propria identità, essendo idonea anche una individuazione dell’istante realizzataattraverso altre modalità di identificazione, quali la conoscenza personale o l’attestazione daparte di terzi.


Ai sensi dell’art. 17, comma 2, del d.P.R. n. 501/1998, l’esibizione al titolare del trattamentodi un documento di riconoscimento costituisce soltanto una delle possibili modalità – né esclu-siva né obbligatoria – di essa, alla quale debbono ritenersi equipollenti anche la conoscenza per-sonale o l’accertamento dell’identità personale attraverso altri atti o elementi già in possessodel titolare del trattamento (nel caso di specie, il pregresso accertamento dell’identità personaledell’interessato è stato ravvisato nei precedenti contatti intercorsi tra la società assicuratrice el’interessato, cui era stata addirittura già formulata una proposta d’indennizzo).


Ai sensi dell’art. 17, comma 2, del d.P.R. n. 501/1998, l’esibizione al titolare del trattamentodi un documento di riconoscimento costituisce soltanto una delle possibili modalità – né esclu-siva né obbligatoria – di essa, alla quale debbono ritenersi equipollenti anche la conoscenza per-sonale o l’accertamento dell’identità personale attraverso altri atti o elementi già in possessodel titolare del trattamento.



MODALITÀ DI ESERCIZIO > DIMOSTRAZIONE DELL’IDENTITÀ PERSONALE DA PARTE DELL’INTERESSATO 205

M a s s i m a r i o 1 9 9 7 / 2 0 0 1 • D i r i t t i d e l l ’ i n t e r e s s a t o206

La legge n. 675/1996 e il d.P.R. n. 501/1998 hanno configurato in modo agevole l’eserciziodei diritti di cui all’art. 13 della legge, senza imporre particolari formalità per l’interessato e pre-scrivendo al titolare del trattamento l’obbligo di adottare misure atte a semplificare l’accesso eda ridurre i tempi delle risposte. Pertanto, ai sensi dell’art. 17, comma 2, del d.P.R. n. 501/1998,l’esibizione al titolare di un documento di riconoscimento costituisce soltanto una delle moda-lità – né esclusiva né obbligatoria – di dimostrazione, da parte dell’interessato, della propriaidentità personale, alla quale debbono ritenersi equipollenti anche la conoscenza personale del-l’interessato o l’accertamento della sua identità personale attraverso altri atti o elementi già inpossesso del titolare del trattamento.


Pluralità di titolari del trattamento

L’accertata infondatezza del ricorso proposto ai sensi dell’art. 29 della legge n. 675/1996nei confronti del titolare del trattamento, non pregiudica la facoltà per il ricorrente di esercitarei diritti di cui all’art. 13 della legge presso altri titolari o responsabili di trattamenti dei dati chelo riguardano.



Non possono essere accolte richieste di cancellazione dei dati nei confronti di titolari, cheeventualmente li detengano, nei cui confronti l’interessato non abbia direttamente proposto ilricorso di cui all’art. 29 della legge n. 675/1996, e che comunque non abbiano preso parte alrelativo procedimento; il titolare, nei cui confronti è presentato il ricorso, non ha infatti un poterediretto di far cancellare dati contenuti in archivi gestiti da distinti ed autonomi titolari (nella spe-cie, l’interessato ha proposto il ricorso nei confronti della società dalla quale ha ottenuto unfinanziamento, chiedendo però la cancellazione dei dati trasmessi da tale società ad altro sog-getto, gestore di una “centrale rischi” privata, nei cui confronti il ricorrente non ha inoltratoalcuna richiesta diretta).



Nel caso in cui una pluralità di titolari effettui contestualmente distinti trattamenti di datipersonali, l’interessato, ai fini del valido esercizio del diritto di accesso, è tenuto ad identificarein modo inequivoco i singoli titolari, ciascuno dei quali deve essere destinatario di appositaistanza ai sensi dell’art. 13 della legge n. 675/1996.


Proposizione immediata del ricorso• V.: TUTELA AMMINISTRATIVO-GIURISDIZIONALE E SANZIONI > RICORSO AL GARANTE >

INAMMISSIBILITÀ > PROPOSIZIONE IMMEDIATA DEL RICORSO (P. 249)

Diritto di accesso

Profili generali

I diritti di accesso ai dati personali previsti dall’art. 13 della legge n. 675/1996 possonoessere esercitati anche nei confronti dei dati raccolti ed utilizzati dai servizi sociali dei Comuni.


L’art. 13 della legge n. 675/1996 non prevede il necessario rilascio di copie di atti, bensìobbliga il titolare o il responsabile del trattamento ad estrarre dai propri archivi e documentitutte le informazioni su supporto cartaceo o informatico che riguardano l’interessato e a riferir-gliele con modalità idonee a rendere i dati facilmente comprensibili. Non può escludersi, peral-tro, la necessità di esibire o consegnare copia di interi atti o documenti, o parte di essi, cheriguardino anche terze persone, nel solo caso in cui i dati relativi all’interessato e ai terzi sianointrecciati a tal punto da essere incomprensibili, o snaturati nel loro contenuto, se privati dialcuni elementi, o scomposti rispetto alla loro originaria collocazione.


Secondo quanto stabilito dall’art. 17, comma 9 del d.P.R. n. 501/1998, il titolare del tratta-mento deve adottare, ai fini di una efficace applicazione dell’art. 13 della legge n. 675/1996,opportune misure volte a facilitare l’esercizio dei diritti di accesso dell’interessato ai dati che loriguardano, anche attraverso l’impiego di apposite procedura informatiche di gestione e di con-sultazione della propria banca dati, nonché a semplificare le modalità per il riscontro al richie-dente e a ridurre i relativi tempi.


Come previsto dall’art. 41 della legge n. 675/1996, i diritti attribuiti all’interessato dagliartt. 13 e 29 della legge possono essere esercitati anche nei confronti dei titolari di banche daticostituite prima dell’entrata in vigore della legge n. 675/1996, o che effettuino trattamenti ini-ziati precedentemente a tale data.


MODALITÀ DI ESERCIZIO > PROPOSIZIONE IMMEDIATA DEL RICORSO 207

L’art. 17, comma 9 del d.P.R. n. 501/1998 prevede che, ai fini di un’efficace applicazione del-l’art. 13 della legge n. 675/1996, i titolari del trattamento devono adottare, anche attraverso l’u-tilizzo di apposite procedure informatiche, opportune misure volte a facilitare l’esercizio deidiritti contemplati da detta disposizione, nonché a semplificare le modalità per fornire un riscon-tro ai richiedenti nei termini di legge.


La società titolare del trattamento, cui l’interessato, in sede di esercizio dei diritti di cuiall’art. 13 della legge n. 675/1996, abbia richiesto di conoscere gli estremi identificativi delresponsabile, non può limitarsi ad indicare la carica ricoperta da questo soggetto – nella specie,l’amministratore delegato pro tempore –, ma deve precisare gli elementi atti ad individuare lapersona fisica o l’organismo che riveste tale ruolo (generalità, residenza o sede).

Garante 9 dicembre 1999, in Bollettino n. 10, pag. 48 (v. anche www.garanteprivacy.it: doc. n. 42300)

Ai sensi dell’art. 13 della legge n. 675/1996, l’interessato può ottenere l’accesso alle soleinformazioni che lo riguardano attraverso estrazione delle stesse dagli archivi, atti e documentiin possesso dell’amministrazione e loro trasposizione, in forma agevolmente comprensibile, sudi un supporto cartaceo od informatico (v. art. 17 del d.P.R. n. 501/1998).


L’istanza avanzata dall’interessato al titolare del trattamento (nella specie, un istituto dicredito) intesa a conoscere il nominativo del soggetto che ha commissionato la richiesta di infor-mazioni commerciali sull’attività economica svolta dall’interessato stesso (intestatario di un c/cbancario), nonché degli altri soggetti cui tali dati sarebbero stati comunicati, non rientra traquelle azionabili in forza dell’art. 13 della legge n. 675/1996. Il relativo ricorso, proposto ai sensidell’art. 29 della legge, deve essere quindi dichiarato inammissibile.


Il titolare è tenuto a fornire riscontro, anche negativo, all’interessato che gli rivolga istanzaex art. 13 della legge n. 675/1996 al fine di conoscere dell’esistenza o meno di dati personali chelo riguardano (comma 1 , lett. c) , n. 1).


I dati personali oggetto d’istanza d’accesso debbono essere comunicati in forma intel-ligibile dal titolare del trattamento che, ai fini di una più efficace applicazione dell’art. 13della legge n. 675/1996, ai sensi dell’art. 17, comma 9, del d.P.R. n. 501/1998 è tenuto ad


adottare le opportune misure volte ad agevolare l’accesso dell’interessato. Ne consegue chedev’essere accolto il ricorso diretto a conoscere il significato di alcuni codici utilizzati nellaformulazione di una diagnosi e ad ottenere una trascrizione dattiloscritta di alcune parti delladocumentazione conservata nella cartella clinica dell’interessato, riportanti con grafia illeg-gibile elementi e dati personali del ricorrente stesso.


Il ricorso di cui all’art. 29 della legge n. 675/1996 può avere ad oggetto solo i diritti tassa-tivamente indicati dall’art. 13 della legge, tra i quali non rientra la richiesta volta a conoscere inominativi di terzi cui il titolare del trattamento abbia comunicato o diffuso dati personali del-l’interessato. Ne consegue che il ricorso, ove diretto a far valere tale pretesa, è inammissibile.


Ai fini dell’esercizio del diritto d’accesso ai dati personali, l’interessato non è tenuto adesplicitare al titolare del trattamento le ragioni della richiesta avanzata ai sensi dell’art. 13 dellalegge n. 675/1996.


Ai sensi degli artt. 13 e 29 della legge n. 675/1996, il titolare o il responsabile del tratta-mento debbono fornire senza ritardo un riscontro compiuto ed analitico all’interessato in ordinea tutte le informazioni di carattere personale che lo riguardano, comunicando i dati richiesti,senza limitarsi ad una mera elencazione delle tipologie di dati detenuti.


Ai sensi degli artt. 13 della legge n. 675/1996 e 17 del d.P.R. n. 501/1998, il titolare del trat-tamento deve comunicare, in modo compiuto ed analitico, le informazioni personali che riguar-dano l’interessato, senza limitarsi ad una mera elencazione delle tipologie di dati detenuti.



Le informazioni personali detenute in modo cifrato o, comunque, in forma non immedia-tamente leggibile da parte dell’incaricato del trattamento, purché ricollegabili ad una determi-nata persona identificata o identificabile, costituiscono “dati personali” ai sensi dell’art. 1,comma 2, lett. c), della legge n. 675/1996; ne consegue che, a seguito di rituale richiesta d’ac-cesso, il titolare del trattamento deve provvedere alla loro “messa in chiaro” al fine di consen-tirne un’agevole comprensione da parte dell’interessato.


DIRITTO DI ACCESSO > PROFILI GENERALI 209

Un giocatore di calcio ha diritto di accedere, ai sensi degli artt. 13 e 29 della leggen. 675/1996, ai propri dati personali detenuti dalla F.I.G.C., nonché di conoscere la loro origine,le finalità e le modalità del trattamento.


Anche le informazioni di carattere personale relative ad una minore e i disegni da questaredatti, raccolti da un medico neuropsichiatra negli appunti presi nel corso di una visita specia-listica, costituiscono oggetto del diritto di accesso da parte dell’interessato (nella specie, ungenitore della minore) azionabile ai sensi degli artt. 13 e 29 della legge n. 675/1996.


Richiesta di accesso ai documenti amministrativi

La legge n. 675/1996 non ha modificato la disciplina vigente in materia di accesso ai docu-menti amministrativi posta dalla legge n. 241/1990 (che permette l’esercizio del diritto diaccesso a chiunque sia titolare di un interesse personale e concreto in relazione alla tutela disituazioni giuridicamente rilevanti), né pone alcun ostacolo alla facoltà del giudice di acquisiremezzi di prova in conformità alle norme processuali civili e penali (principio espresso nellarisposta ad un quesito posto da una amministrazione pubblica in ordine al rilascio di copia delmodello della dichiarazione dei redditi di un dipendente in favore di persona che intendevafarne uso dinanzi all’Autorità giudiziaria al fine della richiesta di maggiorazione di un assegnodi mantenimento).


Le richieste di accesso presentate alle Camere di commercio dalle parti interessate alleprocedure di gara per appalti d’opera o di fornitura (in specie, alle singole offerte) debbonoessere valutate con riferimento alla legge n. 241/1990 (che riconosce il diritto di accesso ai docu-menti amministrativi a chi è titolare di un interesse personale e concreto in relazione alla tuteladi situazioni giuridicamente rilevanti) e alla specifica normativa vigente in materia di appalti(d.lg. n. 358/1992 e d.lg. n. 157/1995), che contempera il principio di trasparenza del procedi-mento con il principio di pertinenza e non eccedenza affermato dalla legge n. 675/1996 (art. 9).


La legge n. 675/1996, che ha introdotto la disciplina del diritto di accesso da parte dell’in-teressato ai dati che lo riguardano, non incide negativamente sulla normativa, posta a salva-guardia della trasparenza dell’azione amministrativa, contenuta nella legge n. 241/1990 (e neld.P.R. n. 352/1992), che ha attribuito al cittadino che vi abbia interesse il diritto di accedere alla


documentazione amministrativa per la tutela di situazioni giuridicamente rilevanti; la disciplinasulla tutela dei dati personali non può, quindi, essere invocata per negare l’accesso ai documentiesercitato in conformità alla richiamata normativa, dovendosi, peraltro, tenere conto, nelmomento di consentire l’accesso, del nuovo livello di tutela della riservatezza vigente nel nostroordinamento (quale, ad esempio, quello assicurato ai dati sensibili).


L’accesso ai documenti amministrativi, riconosciuto a chiunque vi abbia un interesse per-sonale e concreto per la tutela di situazioni giuridicamente rilevanti (legge n. 241/1990; d.P.R.n. 352/1992), non è pregiudicato dall’entrata in vigore della legge n. 675/1996, che ha fattosalve, in quanto compatibili, le norme vigenti in materia. Pertanto, deve ritenersi che possaessere esercitato, nei casi e nei limiti previsti dalla legge n. 241/1990 e dalle relative norme disettore (v. d.P.R. n. 487/1994), l’accesso ai documenti inerenti allo svolgimento di un concorsopubblico da parte di alcuni candidati che abbiano richiesto di accedere agli elaborati redatti daaltri candidati e ad ulteriori atti relativi alla procedura. Resta, peraltro, ferma l’esigenza che leinformazioni così acquisite siano utilizzate esclusivamente per la tutela delle situazioni giuridi-camente rilevanti che hanno giustificato l’accesso.


La legge n. 675/1996 consente la comunicazione e la diffusione di dati personali da partedi soggetti pubblici a privati solo se previste da norme di legge o di regolamento (art. 27,comma 3). Conseguentemente, non può trovare accoglimento la richiesta avanzata da un’im-presa ad un Comune di predisporre elenchi nominativi dei soggetti che, in un certo periodo,hanno proposto istanza per il rilascio di concessione edilizia o che hanno presentato la dichia-razione di inizio e fine lavori, in quanto la normativa urbanistica non prevede una tale modalitàdi comunicazione, che comporterebbe da parte dell’amministrazione un facere non previstodall’ordinamento. Peraltro, poiché l’art. 7 della legge n. 142/1990 sull’ordinamento delle auto-nomie locali stabilisce che – salve le eccezioni ivi espressamente previste – tutti gli atti delleamministrazioni comunali e provinciali sono pubblici, resta salva la possibilità per chiunque diottenere la visione o il rilascio di copia dei documenti delle medesime amministrazioni.


Tra le disposizioni in materia di protezione dei dati personali e quelle – anche previgenti allalegge n. 675/1996 – sulla trasparenza dell’attività della pubblica amministrazione, sull’accesso aidocumenti amministrativi e sulla pubblicità di taluni atti non sussiste alcuna incompatibilità difondo, in quanto la legge n. 675/1996 non ha introdotto un regime di assoluta riservatezza dei datipersonali; ne consegue che, di volta in volta, è necessario accertare se sussistano diritti o interessimeritevoli di una tutela equivalente o superiore rispetto a quella fornita da tale legge.


DIRITTO DI ACCESSO >RICHIESTA DI ACCESSO AI DOCUMENTI AMMINISTRATIVI 211

Il diritto di accesso di cui alla legge n. 241/1990, che si riferisce alla documentazione ammi-nistrativa e può essere esercitato dal portatore di un interesse personale e qualificato per latutela di situazioni giuridicamente rilevanti, salvi i casi di esclusione previsti, differisce in terminidi oggetto e di presupposti dai diritti introdotti dalla legge n. 675/1996. Questi ultimi riguardano,infatti, i dati personali e possono essere esercitati dalle persone cui si riferiscono senza partico-lari formalità e limitazioni, ad eccezione di taluni diritti che richiedono una specifica situazione(ad esempio, rettificazione di dati inesatti, cancellazione di dati utilizzati in violazione di legge,opposizione ad un trattamento per motivi legittimi) e dei casi di esclusione tassativamente indi-cati dalla legge (art. 14).


Non costituisce valido esercizio dei diritti di cui all’art. 13 della legge n. 675/1996, con con-seguente inammissibilità del successivo ricorso proposto ai sensi dell’art. 29 della legge, larichiesta d’accesso ai documenti amministrativi, che attiene ad un distinto diritto tutelato dallalegge n. 241/1990.



Il diritto tutelato dall’art. 13, comma 1, della legge n. 675/1996 ha ad oggetto l’accesso del-l’interessato ai soli dati personali, e non dev’essere confuso con il distinto diritto di accesso aidocumenti amministrativi, specificamente tutelato dalla legge n. 241/1990; comunque, ove l’e-strazione dei dati oggetto dell’istanza ex art. 13 della legge risulti particolarmente difficoltosa,l’adempimento del titolare del trattamento può avvenire anche tramite la modalità dell’esibi-zione e/o della consegna in copia della documentazione che li contiene.


Il principio di alternatività di cui all’art. 29, comma 1, della legge n. 675/1996, opera sol-tanto tra il Garante e l’a.g.o., unica autorità avente giurisdizione sulle controversie concernentil’applicazione della legge n. 675/1996 e, segnatamente, sui diritti di cui all’art. 13; pertanto, ovel’interessato abbia preventivamente esercitato il diritto di accesso ai documenti amministrativiinnanzi al Giudice amministrativo (legge n. 241/1990), non sussistono preclusioni in relazionealla possibilità di esercitare il distinto diritto di accesso ai dati innanzi al Garante – con conse-guente ammissibilità del relativo ricorso – o, in via alternativa, all’a.g.o.


Accesso ai dati e accesso ai documenti

Poiché l’entrata in vigore della legge n. 675/1996 non ha pregiudicato le disposizioni inmateria di accesso ai documenti amministrativi che, anzi, ai sensi dell’art. 43, comma 2, vengono


fatte espressamente salve, l’accesso può essere esercitato nei casi e nei limiti previsti dallalegge n. 241/1990 e dal d.P.R. n. 352/1992 – che lo riconoscono a chiunque vi abbia un interessepersonale e concreto per la tutela di situazioni giuridicamente rilevanti – nonché nelle ipotesidelineate da eventuali norme speciali vigenti in specifici settori (principio espresso in relazioneall’esercizio del diritto di accesso agli atti delle procedure di concorso – art. 12, comma 3 deld.P.R. n. 487/1994).


L’art. 13 della legge n. 675/1996 non prevede il necessario rilascio di copie di atti, bensìobbliga il titolare o il responsabile del trattamento ad estrarre dai propri archivi e documentitutte le informazioni su supporto cartaceo o informatico che riguardano l’interessato e a riferir-gliele con modalità idonee a rendere i dati facilmente comprensibili. Non può escludersi, peral-tro, la necessità di esibire o consegnare copia di interi atti o documenti, o parte di essi, cheriguardino anche terze persone, nel solo caso in cui i dati relativi all’interessato e ai terzi sianointrecciati a tal punto da essere incomprensibili, o snaturati nel loro contenuto, se privati dialcuni elementi, o scomposti rispetto alla loro originaria collocazione.


Benché l’art. 13 della legge n. 675/1996 preveda soltanto un obbligo, a carico del titolare edel responsabile del trattamento, di estrapolare i dati personali dell’interessato, non può esclu-dersi, in casi particolari, la necessità di esibire o consegnare copia non tanto di singoli dati,quanto di interi atti o documenti (o parte di essi) che riguardino anche terzi; ciò nella sola ipo-tesi in cui i dati relativi al richiedente e ai terzi siano intrecciati al punto tale da essere incom-prensibili o snaturati nel loro contenuto, se privati di alcuni elementi o scomposti rispetto allaloro originaria collocazione.


Il titolare e il responsabile del trattamento, al fine di rendere possibile l’esercizio dei dirittidi cui all’art. 13 della legge n. 675/1996, debbono fornire senza ritardo all’interessato un riscon-tro compiuto ed analitico in ordine a tutte le informazioni di carattere personale che lo riguar-dano, presenti in archivi o in atti detenuti dal medesimo titolare o responsabile; a tal fine, non èprevisto il necessario rilascio di copie di atti, bensì l’obbligo del titolare o del responsabile deltrattamento di estrapolare dagli archivi e dai documenti, senza esclusioni di sorta, tutte le infor-mazioni – contenute su supporto cartaceo o informatico – che riguardano il richiedente e a rife-rirle a quest’ultimo con modalità idonee a rendere i dati facilmente comprensibili.


La richiesta di accesso ai dati personali formulata ai sensi dell’art. 13 della leggen. 675/1996 non obbliga il titolare ad esibire ogni singolo documento dal quale possano essere

DIRITTO DI ACCESSO > ACCESSO AI DATI E ACCESSO AI DOCUMENTI 213

estrapolati i dati, ma può eventualmente rendere necessario stralciare e comunicare all’interes-sato le parti del documento contenenti le informazioni che lo riguardano.


L’esibizione e/o la consegna in copia della documentazione estratta a seguito della richie-sta di accesso ai dati personali presentata ai sensi dell’art. 13 della legge n. 675/1996 possonocostituire adeguate modalità di adempimento da parte del titolare del trattamento, qualora laconsultazione dei documenti consenta ugualmente un’agevole comprensione dei dati personalirichiesti, considerata anche la qualità e la quantità delle informazioni, e risulti invece particolar-mente difficoltosa l’estrazione dei dati stessi dai documenti e la loro trasposizione su appositosupporto cartaceo od informatico, come previsto dall’art. 17, comma 6 del d.P.R. n. 501/1998.


Benché l’art. 13 della legge n. 675/1996 non preveda, a fronte di un’istanza d’accesso, lanecessaria consegna della documentazione o dei supporti sui quali i dati sono conservati, per iltitolare del trattamento sussiste la necessità di esibire o consegnare copia di interi atti o docu-menti, anche su supporto diverso da quello cartaceo, qualora le informazioni relative all’interes-sato possano risultare incomprensibili o snaturate nel loro contenuto se private di alcuni ele-menti essenziali.

• Garante 11 aprile 2000, in Bollettino n. 11/12, pag. 58 (v. anche www.garanteprivacy.it: doc. n. 40313)

L’esibizione e/o la consegna in copia della documentazione ai sensi dell’art. 13 della leggen. 675/1996 possono costituire modalità d’adempimento adeguata per corrispondere alle richie-ste di accesso ai dati personali dell’interessato, qualora la consultazione dei documenti, avutoriguardo alla qualità e quantità delle informazioni ed alla difficoltà d’estrazione delle stesse,consenta ugualmente un’agevole conoscenza dei dati richiesti.





Ai sensi dell’art. 13 della legge n. 675/1996, l’interessato ha diritto di accedere ai propridati personali, che possono anche essere contenuti in fotografie, ma non può chiedere, invo-cando il medesimo art. 13, di ottenere copia integrale dei negativi o delle pellicole fotografiche.



Ai sensi dell’art. 13 della legge n. 675/1996, l’interessato ha diritto di accedere ai propridati personali, ma non può chiedere, invocando il medesimo art. 13, di ottenere copia integraledegli atti o di altri documenti contenenti tali dati.


Nell’ambito dell’esercizio degli specifici diritti tutelati dall’art. 13 della legge n. 675/1996,in particolare del diritto di accesso da parte dell’assicurato ai dati personali contenuti in unaperizia medico legale redatta su incarico della società di assicurazione, non è possibile preten-dere di ottenere copia integrale degli atti o dei documenti contenenti i dati.


Nell’ambito dell’esercizio degli specifici diritti tutelati dall’art. 13 della legge n. 675/1996,in particolare del diritto di accesso da parte del dipendente ai dati personali detenuti dal datoree riferiti all’attività lavorativa svolta, non è possibile pretendere di ottenere copia integrale degliatti o dei documenti contenenti i dati, ove questi ultimi siano stati forniti attraverso la loro estra-zione e messa a disposizione, anche se su supporti diversi dagli originali.


L’esercizio del diritto di cui all’art. 12-ter della legge n. 990/1969 (così come modificatadalla legge n. 57/2001), che consente ai contraenti e ai danneggiati di accedere agli atti delleimprese assicuratrici alla conclusione dei procedimenti di valutazione, constatazione e liquida-zione dei danni che li riguardano, non preclude l’esercizio del diverso e concorrente diritto d’ac-cesso ai dati personali riconosciuto dall’art. 13 della legge n. 675/1996.


Al fine di fornire riscontro all’istanza di accesso ai dati personali, formulata dall’interessatoai sensi degli artt. 13 e 29 della legge n. 675/1996, il titolare, ove l’estrazione dei dati risulti par-ticolarmente difficoltosa, può evadere la richiesta anche con l’esibizione o la consegna in copiadella documentazione nella quale i dati stessi siano contenuti.


Registri, elenchi, atti o documenti conoscibili da chiunque

Albi dei tecnici radiologi

Il d.P.R. n. 221/1950, nel disporre annualmente la stampa e la pubblicazione degli albi degliordini delle professioni sanitarie – tra cui quello dei tecnici sanitari di radiologia medica – e il loro

DIRITTO DI ACCESSO > REGISTRI, ELENCHI, ATTI O DOCUMENTI CONOSCIBILI DA CHIUNQUEALBI DEI TECNICI RADIOLOGI

215

invio a vari soggetti ed amministrazioni pubbliche, ne determina, di fatto, una diffusa conoscibi-lità presso le amministrazioni destinatarie. Per quanto concerne tale diffusione, la legge n.675/1996 esclude che debba essere acquisito il consenso degli interessati quando il trattamentoriguarda dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque(artt. 12, comma 1, lett. c) e 20, comma 1, lett. b)).


Dati reddituali dei contribuenti• V.: PRIVATI ED ENTI PUBBLICI ECONOMICI > SETTORI DI ATTIVITÀ > ATTIVITÀ GIORNALISTICA > CASI

PARTICOLARI > DATI REDDITUALI DEI CONTRIBUENTI (P. 86)

Elenchi degli elettori dei comitati degli italiani all’estero

Anche gli elenchi degli elettori italiani residenti all’estero per le votazioni relative alParlamento europeo sono soggetti alla normativa posta dal d.P.R. n. 223/1967 (art. 51), concer-nente la tenuta e la pubblicità delle liste elettorali; infatti, tali elenchi sono formati dal Ministerodell’interno (e trasmessi al Ministero degli affari esteri, che li inoltra agli uffici consolari) sullabase dei dati contenuti nelle liste elettorali, la cui piena conoscibilità non viene meno per effettodella loro inclusione in detti elenchi.


Ai sensi dell’art. 14, comma 3 della legge n. 205/1985, gli elenchi degli elettori dei comitatidegli italiani all’estero (Comites) sono pubblici, sicché essi, analogamente a quanto previstodalla disciplina sulla tenuta delle liste elettorali, sono ampiamente conoscibili da parte dei terzi,sia pubblici che privati.


Elenchi telefonici

Nell’ambito del procedimento instaurato a seguito di ricorso presentato ai sensi del-l’art. 29 della legge n. 675/1996, va dichiarato non luogo a provvedere sull’istanza dell’inte-ressato volta a conoscere l’origine dei dati personali utilizzati per l’invio di comunicazioni poli-tiche a fine di propaganda elettorale e sulla opposizione all’ulteriore inoltro di analoghi mes-saggi, ove il titolare del trattamento (nella specie, un candidato alle elezioni politiche) diariscontro alle richieste, precisando di avere estratto il nominativo del destinatario della comu-


nicazione da elenchi pubblici (in particolare, dall’elenco telefonico) e si impegni a depennarloda ogni indirizzario in suo possesso.


Liste elettorali

Ai sensi del combinato disposto degli artt. 27 della legge n. 675/1996 e 51 del d.P.R. n. 223/1967, è lecita la comunicazione e la diffusione a terzi, da parte del Comune, dei datiriportati nelle liste elettorali, in quanto da chiunque liberamente accessibili e cedibili.


L’art. 51 del d.P.R. n. 223/1967 sancisce un regime di piena conoscibilità e di pubblicitàdelle liste elettorali, che prescinde da una valutazione delle specifiche finalità perseguite dalsoggetto richiedente, con la conseguenza che, allo stato della normativa, il diritto d’accesso allemedesime non può essere limitato a seconda delle finalità o delle motivazioni sottese alle richie-ste di accesso.


Secondo le disposizioni introdotte dal d.lg. n. 135/1999 che, in materia di trattamento didati sensibili da parte di soggetti pubblici, ha integrato le disposizioni poste dall’art. 22 dellalegge n. 675/1996, nell’ambito delle attività in materia di elettorato e altri diritti politici sonoconsentiti solo i trattamenti finalizzati all’esecuzione di specifici compiti previsti da leggi oregolamenti (art. 8, comma 1 e 3); tra tali compiti, può essere ricompresa la comunicazione asoggetti determinati dei dati e delle informazioni in possesso delle amministrazioni pubblicheai sensi della normativa sul diritto di accesso, nei limiti e alle condizioni ivi previsti (art. 22della legge n. 241/1990). I trattamenti in questione devono, peraltro, essere effettuati nelrispetto dei principi fissati dalla legge n. 675/1996 e dallo stesso d.lg. n. 135/1999 e, in parti-colare, di quelli di pertinenza ed essenzialità dei dati trattati e del rispetto della finalità per-seguita (art. 9 della legge n. 675/1996 e artt. 1 - 4 del d.lg n. 135/1999); in tal senso, apparelegittimo il rilascio dell’elenco dei sottoscrittori di una lista elettorale esclusivamente a sog-getti che intendano servirsene per l’esercizio dei diritti politici (es.: nel caso che la richiestapervenga da candidati appartenenti a liste concorrenti).


Alla luce dell’esplicita previsione normativa contenuta nell’art. 51 del d.P.R. n. 227/1997,chiunque può ottenere copia delle liste elettorali tenute presso il Comune.


DIRITTO DI ACCESSO > REGISTRI, ELENCHI, ATTI O DOCUMENTI CONOSCIBILI DA CHIUNQUELISTE ELETTORALI

217

Il diritto di accesso alle liste elettorali di sezione utilizzate presso i seggi elettorali, nellequali sono contenuti dati idonei a rivelare anche l’effettiva partecipazione dei cittadini alle vota-zioni, è esercitabile da ogni elettore, ivi compresi i titolari di cariche elettive, esclusivamenteentro il termine di 15 giorni dal deposito nella cancelleria, al solo fine del controllo sulla regola-rità delle operazioni elettorali (cfr. art. 62 del d.P.R. n. 570/1960). Resta ferma, invece, ai sensidell’art. 51 del d.P.R. n. 223/1967, la libera consultabilità da parte di chiunque, con possibilità dicopia, di stampa e di messa in vendita, delle liste elettorali generali, nelle quali sono riportati idati dei cittadini iscritti nel Comune aventi diritto al voto.


Pubblicazioni di matrimonio



La diffusione, da parte degli uffici comunali, dei dati mediante affissione all’albo pretoriodelle pubblicazioni matrimoniali è lecita anche dopo l’entrata in vigore della legge n. 675/1996,in quanto l’art. 93 c.c., che fissa un obbligo in tal senso a carico dell’ufficiale di stato civile, rap-presenta una delle disposizioni che, ai sensi dell’art. 27, comma 3 della legge, rende legittima lapubblicazione diretta a rendere nota la volontà dei nubendi di contrarre matrimonio e a consen-tire agli interessati di manifestare eventuali opposizioni. Dette pubblicazioni, comunque, visio-nabili da chiunque e, eventualmente, anche riferibili da parte degli organi di stampa, non pos-sono essere comunicate o diffuse da parte dell’ufficiale di stato civile al di fuori dei modi previ-sti dalla normativa in materia.


Registro generale dei trattamenti

Attraverso la consultazione del “Registro generale dei trattamenti” di cui all’art. 31, comma 1,


lett. a) della legge n. 675/1996, istituito dal Garante, l’interessato può apprendere l’esistenza ditrattamenti che possono riguardarlo, anche al fine dell’esercizio dei diritti menzionati all’art. 13della legge nei confronti del “titolare” del trattamento.


Casi particolari

Anagrafe delle prestazioni dei dipendenti pubblici

L’anagrafe delle prestazioni dei dipendenti pubblici deve essere considerato archivio dete-nuto da soggetto pubblico. Ai dati personali in essa contenuti si applicano quindi le disposizionidell’art. 27 della legge n. 675/1996; essi possono essere pertanto oggetto sia di accesso ai docu-menti amministrativi in base alla legge n. 241/1990, sia di comunicazione ad altre amministra-zioni pubbliche per lo svolgimento di funzioni istituzionali, sia di comunicazione a soggetti pri-vati, ove previsto da precise norme di legge o di regolamento. In difetto di specifiche disposizioniche lo consentano (cfr. art. 24, comma 1 della legge n. 412/1991), deve invece essere esclusa lapossibilità di un accesso indiscriminato da parte di chiunque.



Ai sensi del combinato disposto dell’art. 27 della legge n. 675/1996 e dell’art. 34 deld.P.R. n. 223/1989, l’ufficiale dell’anagrafe può rilasciare – anche periodicamente – elenchi diiscritti all’anagrafe della popolazione residente solo alle amministrazioni pubbliche, che ne fac-ciano motivata richiesta per esclusivo uso di pubblica utilità (art. 34, comma 1); al contrario, talielenchi non possono essere rilasciati in favore di privati, ai quali i dati anagrafici possonoessere comunicati in forma anonima ed aggregata, qualora ne sia fatta richiesta per fini stati-stici e di ricerca e il Comune disponga di idonee apparecchiature (art. 34, comma 2).


Secondo la normativa sugli atti anagrafici, l’ufficiale di anagrafe deve rilasciare, a chiun-que ne faccia richiesta, fatte salve le limitazioni di legge, soltanto i “certificati concernenti laresidenza e lo stato di famiglia” degli iscritti (art. 33 del d.P.R. n. 223/1989), e può comunicarei dati, in forma aggregata ed anonima, agli interessati che ne facciano richiesta per fini stati-stici e di ricerca; può, infine, rilasciare elenchi degli iscritti alle amministrazioni pubbliche chene facciano motivata richiesta, per esclusivo uso di pubblica utilità (art. 34, commi 1 e 2 deld.P.R. n. 223/1989). Considerato che, ai sensi dell’art. 27, comma 3 della legge n. 675/1996, isoggetti pubblici possono comunicare dati personali a privati solo quando tale operazione è

DIRITTO DI ACCESSO > CASI PARTICOLARIANAGRAFE DELLE PRESTAZIONI DEI DIPENDENTI PUBBLICI

219

prevista da puntuali norme di legge o di regolamento, risulta legittimo il diniego opposto daun Comune alla richiesta di un partito politico di ottenere l’elenco dei “capi famiglia” residentinel territorio comunale, corredato dei relativi indirizzi.


Gli schedari istituiti a norma dell’art. 67 del d.P.R. n. 200/1967 (c.d. “anagrafe conso-lare”) debbono ritenersi pubblici in quanto contenenti notizie che, essendo acquisite dai sin-goli uffici consolari per il tramite delle dichiarazioni rese dai cittadini che trasferiscono la resi-denza all’estero, vanno considerate anch’esse pubbliche alla stregua di quanto previsto dal-l’art. 1, comma 12 della legge n. 470/1988. Inoltre, poiché tali schedari costituiscono, ai sensidell’art. 1 del d.P.R. n. 323/1989, parti delle anagrafi della popolazione di cui alla legge n. 1228/1954,si deve ritenere che i dati anagrafici in essi contenuti siano conoscibili, oltre che dietro appositarichiesta di certificazione avanzata ex art. 67, comma 2 del d.P.R. n. 200/1967, anche in base agli artt.33 e 34 del d.P.R. n. 223/1989.


Fatta salva la particolare disciplina in materia di accesso ai documenti amministrativi postadalla legge n. 241/1990, la cui perdurante applicabilità non è pregiudicata dalle disposizioni con-tenute nella legge n. 675/1996 e nel d.lg. n. 135/1999, non è possibile comunicare o diffonderea privati i dati personali provenienti dagli archivi anagrafici al di fuori delle ipotesi specificamentepreviste dalla normativa di settore (v. artt. 32 e 34, commi 1 e 2, del d.P.R. n. 223/1989).


La legge n. 675/1996, recante norme in materia di protezione dei dati personali, non hamodificato direttamente la normativa relativa ai registri dello stato civile e alla disciplina degliatti anagrafici, ne ha introdotto ulteriori divieti di rendere conoscibili le informazioni in que-stione, ma ha previsto che le amministrazioni e gli enti pubblici, in un quadro di maggiore tra-sparenza, possono diffondere i dati personali da essi detenuti quando ciò sia previsto da normedi legge o di regolamento rispettando, peraltro, il limite e le modalità previste dalla specificadisciplina di settore (art. 27, comma 3).


Non risultano compatibili con la disciplina anagrafica vigente e, conseguentemente, con iprincipi posti dall’art. 27 della legge n. 675/1996, sia la libera consultazione diretta delle ana-grafi (attraverso, ad esempio, l’interrogazione individuale o di massa di qualsiasi dato contenutonegli archivi), sia una loro indifferenziata interconnessione con le banche dati del soggetto cherichiede le informazioni.



Gli archivi anagrafici non permettono un prelevamento diretto dei dati, fuori dai casiespressamente consentiti; inoltre, i dati anagrafici, a parte le certificazioni rilasciabili a chiunquene faccia richiesta, possono essere comunicati all’esterno solo a pubbliche amministrazioni e per“esclusivo uso di pubblica utilità” (art. 34, comma 1, del d.P.R. n. 223/1989).


Centrali rischi private

Nei confronti delle c.d. “centrali rischi” private, che offrono un servizio d’informazione indi-rizzato principalmente verso gruppi bancari o creditizi, è consentito agli interessati di esercitarei diritti contemplati dall’art. 13 della legge n. 675/1996.


I dati personali dell’interessato detenuti da una c.d. “centrale rischi“ privata attestantiomissioni o ritardi nei pagamenti, ove si rivelino errati o inesatti, possono essere oggetto dell’i-stanza formulata al titolare ai sensi dell’art. 13 della legge n. 675/1996 e del successivo ricorsodi cui all’art. 29 della legge al fine della loro cancellazione, aggiornamento o rettifica.


Nell’ipotesi di estinzione di un contratto di finanziamento, con conseguente totale soddi-sfacimento dei diritti del creditore, la conservazione, da parte di una “centrale rischi” privata, deidati personali del debitore e, eventualmente, del fideiussore, ove protrattasi per un quinquenniodalla data di estinzione del rapporto, deve essere ritenuta – anche ove assistita da originario con-senso dell’interessato – sproporzionata ed eccedente rispetto alla finalità perseguita all’atto deltrattamento. Di conseguenza, deve trovare accoglimento l’istanza di cancellazione dei dati avan-zata dall’interessato.


L’art. 13 della legge n. 675/1996 riconosce all’interessato il diritto di ottenere solamente lacancellazione dei dati trattati in violazione di legge. È quindi infondato, e deve essere conse-guentemente respinto, il ricorso proposto ai sensi dell’art. 29 per ottenere la cancellazione deidati relativi ai ritardi verificatisi nei pagamenti delle rate di un finanziamento, ove risulti che l’in-teressato abbia manifestato il consenso al loro trattamento anche in relazione al trasferimento –e successivo trattamento – presso le banche dati di “centrali rischi” private, e i dati stessi risul-tino corrispondenti a verità.


DIRITTO DI ACCESSO > CASI PARTICOLARICENTRALI RISCHI PRIVATE

221

Certificato di assistenza al parto

La materia delle adozioni è regolata da specifiche disposizioni normative, non modifi-cate dalla legge n. 675/1996 (art. 42, comma 2), che non consentono il rilascio dell’unico cer-tificato comprovante la maternità, ossia il certificato di assistenza al parto (art. 2 dellalegge n. 127/1997, come modificata dalla legge n. 191/1998).


Concorsi pubblici

L’accesso ai documenti amministrativi, riconosciuto a chiunque vi abbia un interesse per-sonale e concreto per la tutela di situazioni giuridicamente rilevanti (legge n. 241/1990; d.P.R.n. 352/1992), non è pregiudicato dall’entrata in vigore della legge n. 675/1996, che ha fattosalve, in quanto compatibili, le norme vigenti in materia. Pertanto, deve ritenersi che possaessere esercitato, nei casi e nei limiti previsti dalla legge n. 241/1990 e dalle relative norme disettore (v. d.P.R. n. 487/1994), l’accesso ai documenti inerenti allo svolgimento di un concorsopubblico da parte di alcuni candidati che abbiano richiesto di accedere agli elaborati redatti daaltri candidati e ad ulteriori atti relativi alla procedura. Resta, peraltro, ferma l’esigenza che leinformazioni così acquisite siano utilizzate esclusivamente per la tutela delle situazioni giuridi-camente rilevanti che hanno giustificato l’accesso.


Consiglieri comunali e provinciali

Il diritto previsto dall’art. 31, comma 5 della legge 8 giugno 1942, n. 142, in quanto corre-lato alla funzione di rappresentanza connessa al mandato elettorale, consente ai consigliericomunali e provinciali di ottenere dagli uffici, rispettivamente, del Comune e della Provincia, non-ché dalle loro aziende ed enti dipendenti, tutte le notizie e le informazioni utili per l’espleta-mento dell’incarico assunto; tale norma, pertanto, ha una ratio diversa da quella dell’art. 7 dellastessa legge, che concerne il diritto di accesso ai documenti amministrativi detenuti dagli entilocali, genericamente riconosciuto in favore di tutti i cittadini, singoli e associati, nonché daquella posta a base dell’art. 22 della legge n. 241/1990 che, ai fini della trasparenza dell’azioneamministrativa, consente a chiunque sia portatore di un interesse per la tutela di situazioni giu-ridicamente rilevanti di accedere ai documenti amministrativi detenuti da amministrazionidiverse dai comuni e dalle province.


La legge n. 675/1996 non ha modificato l’art. 31 della legge n. 142/1990 – che consenteai consiglieri comunali e provinciali di ottenere dagli uffici, rispettivamente, del Comune e


della provincia, nonché dalle loro aziende ed enti dipendenti, tutte le notizie e le informazioniutili per l’espletamento del mandato elettorale – in quanto, tale norma, non solo enuncia unprincipio di trasparenza compatibile con la nuova disciplina in materia di protezione dei datipersonali (art. 43, comma 2 della legge n. 675/1996), ma rappresenta una delle disposizioniche, secondo l’art. 27 della legge n. 675/1996, permettono di trattare dati e informazioni peril perseguimento di finalità istituzionali.


Il diritto previsto dall’art. 31, comma 5 della legge n. 142/1942, consente ai consigliericomunali di ottenere dagli uffici del Comune, nonché dalle loro aziende ed enti dipendenti, tuttele notizie e le informazioni utili per l’espletamento del mandato elettorale; ne consegue chel’Azienda municipale ambiente (A.M.A.), in quanto ente strumentale del comune per la gestionedi servizi pubblici (art. 23, comma 6 della legge n. 142/1990), ove espressamente richiesta daun consigliere comunale nell’esercizio dell’incarico elettorale assunto, ai sensi dell’art. 20,comma 1, lett. c) della legge n. 675/1996 è obbligata a comunicare i nominativi dei dipendentipreposti alle proprie sedi territoriali, senza dover previamente acquisire il consenso dei singoliinteressati.


Le aziende speciali esercenti servizi pubblici, quali enti strumentali del comune per lagestione dei servizi dell’ente locale (art. 23, comma 6 della legge n. 142/1990), essendo assog-gettate, in quanto enti pubblici economici, al regime che la legge n. 675/1996 prevede per i sog-getti privati che trattano dati personali, sono tenute all’osservanza, fra l’altro, della disposizionedell’art. 20, comma 1, lett. c), che esime tali soggetti dall’obbligo di richiedere il consenso dell’in-teressato nel caso in cui il trattamento sia effettuato per adempiere ad una disposizione conte-nuta in una legge, in una norma comunitaria o in un regolamento. Si configura, quindi, comeobbligo di tali aziende quello di comunicare ai consiglieri comunali i dati che questi richiedano, alfine dell’espletamento del loro mandato, nell’esercizio del generale diritto di accesso, loro confe-rito dall’art. 31, comma 5 della legge n. 142/1990, ai dati contenuti negli archivi del comune e delleaziende ed enti da questo dipendenti (fattispecie relativa alla richiesta di un consigliere comunaledi conoscere i nominativi dei dipendenti dell’azienda preposti alle sedi territoriali della stessa).


Il regime di pubblicità della situazione patrimoniale relativa al personale dirigenziale delleamministrazioni pubbliche – come stabilito dal combinato degli artt. 17, comma 22 della leggen. 127/1997 e 12 della legge n. 441/1992 – non fa sorgere l’obbligo di pubblicare i dati patrimo-niali relativi a tali soggetti, né il diritto di conoscere il contenuto dei loro cedolini dello stipendio,nei quali possono essere contenute informazioni di vario genere (multe disciplinari, pignora-menti, cessioni di stipendio, ecc.), alcune delle quali aventi anche natura “sensibile” (sussidi dicura, iscrizione sindacale, ecc.). Ne consegue che il diritto attribuito al consigliere comunale dal-

DIRITTO DI ACCESSO > CASI PARTICOLARICONSIGLIERI COMUNALI E PROVINCIALI

223

l’art. 31, comma 5 della legge n. 142/1990 di accedere ai documenti formati dalla pubblica ammi-nistrazione di appartenenza e a qualsiasi notizia od informazione utili ai fini dell’esercizio dellefunzioni consiliari può, con riferimento alla materia in esame, essere altrimenti soddisfatto attra-verso la pubblicità della situazione patrimoniale dei dirigenti (v. leggi n. 142/1990 e n. 127/1997citate), l’esame dei contratti collettivi e l’accesso alle deliberazioni e alle determinazioni, con-cernenti indennità e altri emolumenti corrisposti, adottate dall’Amministrazione a favore deidipendenti.


Premesso che la normativa in materia di protezione dei dati personali posta dalla leggen. 675/1996 non ha abrogato ma, anzi, ha confermato (art. 43, comma 2) le disposizioni conte-nute nella legge n. 135/1990 in materia di A.I.D.S., va rilevato che il d.lg. 135/1999 sul tratta-mento di dati sensibili effettuato da soggetti pubblici considera di rilevante interesse pubblico iltrattamento dei dati strettamente necessario allo svolgimento delle funzioni di controllo, di indi-rizzo politico e di sindacato ispettivo atte a consentire l’espletamento di un mandato elettivo,quale quello dei consiglieri comunali. Peraltro, il diritto di accesso ai dati da parte dei predettiincontra un limite nel rispetto dei principi di pertinenza, essenzialità e compatibilità con la fun-zione perseguita, ribaditi, anche in materia di dati sensibili, dagli artt. 1 - 5 del citato d.lg..


Giornalisti ed editori• V.: PRIVATI ED ENTI PUBBLICI ECONOMICI > SETTORI DI ATTIVITÀ > ATTIVITÀ GIORNALISTICA > CASI

PARTICOLARI > SEGRETO PROFESSIONALE DEL GIORNALISTA (P. 91)

Interviste e dichiarazioni alla stampa

La legge n. 675/1996, che considera “dato personale” qualunque informazione che con-senta l’identificazione del soggetto interessato, anche se derivante da suoni o immagini (es.: regi-strazioni sonore, filmati, ecc.), riguarda tutte le operazioni di trattamento dei dati, a prescinderedal fatto che le informazioni trattate siano contenute in una banca dati o in un archivio. Ancheun’intervista o un colloquio, quindi, come qualsiasi altra dichiarazione, opinione, o manifesta-zione del pensiero proveniente dall’interessato (uno scritto, un saggio, un articolo, ecc.), costitui-scono informazioni che riguardano la sua persona e come tali “dati personali”, essendo del tuttoirrilevante la forma in cui sono trattate o gli eventuali supporti che le contengono. Ne consegueche l’interessato ha pieno diritto di ottenere dall’editore di un quotidiano e dal giornalista autoredell’articolo la comunicazione, in una forma chiaramente intelligibile (es.: attraverso riproduzionesu supporto sonoro o cartaceo), della registrazione di una propria intervista rilasciata al giornalee poi divenuta oggetto dell’articolo.



Istituti di patronato ed assistenza sociale

Né la normativa in materia di igiene e sicurezza sul lavoro (d.lg. n. 626/1994), né il testounico recante disposizioni in materia di assicurazione obbligatoria contro gli infortuni sul lavoro(d.P.R. n. 1124/1965 e successive modificazioni ed integrazioni) prevedono che gli istituti dipatronato ed assistenza sociale, che hanno personalità giuridica di diritto privato (art. 1 dellalegge n. 112/1980), possano accedere, anche mediante presa visione, alla globalità degli elenchidelle denunce di infortunio sul lavoro detenuti dalle autorità locali di pubblica sicurezza. Dettiistituti possono, quindi, conoscere esclusivamente i dati riguardanti gli assistiti dai qualiabbiano ricevuto esplicito mandato in tal senso.



Operazioni di finanziamento

Ai sensi dell’art. 13 della legge n. 675/1996, l’interessato ha il diritto di chiedere diretta-mente alle società finanziarie e agli istituti di credito quali informazioni che lo riguardanosiano state raccolte in relazione al trattamento dei dati connesso a richieste o concessioni difinanziamenti. Nel caso di mancata risposta nel termine di cinque giorni (v. art. 29, comma 2della legge n. 675/1996), o di rifiuto all’accesso o all’esercizio di uno degli altri diritti elencatinel citato art. 13, l’interessato può ricorrere alla magistratura ordinaria o, alternativamente, alGarante, con le modalità previste dall’art. 29 della legge.


Ai sensi della legge n. 675/1996, costituiscono dati personali del soggetto che chiede unfinanziamento le valutazioni sulla sua affidabilità economica che una società finanziaria pone abase della decisione di rigetto della domanda. Tali motivazioni, quindi, possono essere oggettodell’istanza di accesso prevista dall’art. 13 della legge e del successivo ricorso al Garante pro-posto ai sensi dell’art. 29.


Perizie medico legali• V. : CATEGORIE E REQUISITI DEI DATI PERSONALI > DATO PERSONALE > NOZIONE > PERIZIE MEDICO

LEGALI (P. 7)

DIRITTO DI ACCESSO > CASI PARTICOLARIISTITUTI DI PATRONATO ED ASSISTENZA SOCIALE

225


R.a.i.

Le attività di trattamento effettuate dalla R.a.i. in qualità di responsabile del Ministero dellefinanze, ai fini della gestione degli abbonamenti al servizio radiotelevisivo, non possono rien-trare nei casi, indicati dall’art. 14 della legge n. 675/1996, di esclusione dall’esercizio dei dirittiattribuiti dall’art. 13 della stessa legge. Sulla società concessionaria e sull’amministrazionefinanziaria incombe quindi l’obbligo di fornire riscontro senza ritardo alle richieste avanzatedagli interessati in base al citato art. 13.


Utenze e traffico telefonico• V.: TELECOMUNICAZIONI E RETI TELEMATICHE > CASI PARTICOLARI > UTENZE E TRAFFICO TELEFONICO (P. 194)

Blocco del trattamento



Nell’avviare l’autonomo procedimento previsto dall’art. 31 della legge n. 675/1996 al finedell’accertamento di eventuali violazioni della normativa in materia di privacy, il Garante, ricor-rendo le condizioni indicate al comma 1, lett. l) di detto articolo, può disporre il temporaneoblocco del trattamento effettuato dal titolare o dal responsabile (fattispecie relativa alla sospen-sione ordinata dall’Autorità della diffusione da parte di una A.S.L. di dati sensibili relativi ad undirigente medico della stessa azienda).



Dalla pronunzia del provvedimento di blocco deriva l’obbligo, per il titolare o per il respon-sabile, di sospendere ogni ulteriore operazione di trattamento diversa dalla mera conservazionedelle informazioni già raccolte e, in particolare, di astenersi dal diffondere ulteriormente i datianche in modo indiretto; pertanto, ove il blocco sia stato adottato a seguito dell’avvenuta divul-gazione di alcune informazioni a mezzo di un articolo giornalistico pubblicato su di un quoti-diano, l’obbligo di astensione dall’ulteriore diffusione dei dati può comportare anche il divieto,per il quotidiano e la società editrice, di pubblicare il testo del provvedimento cautelare adottatodal Garante.


Cancellazione, aggiornamento, rettificao integrazione dei dati

Il titolare o il responsabile del trattamento dei dati personali devono comunicare, all’inte-ressato che ne faccia richiesta, non solo le categorie e i tipi di dati detenuti che lo riguardino, mai singoli dati, mettendo in chiaro tutte le informazioni di carattere personale oggetto di tratta-mento, al fine di consentire all’interessato di valutare le informazioni presenti negli archivi edeventualmente esercitare la facoltà di aggiornare, correggere o integrare i dati che si rivelasseroinesatti o incompleti (art. 13, comma 1, lett. c) della legge n. 675/1996).


La cancellazione o la trasformazione in forma anonima dei dati personali sono dovutesolo nel caso in cui i dati siano trattati in violazione di legge (art. 13, comma 1, lett. c), n. 2,della legge n. 675/1996).


In caso di esercizio da parte dell’interessato del diritto di accesso ai dati personali ai sensidell’art. 13 della legge n. 675/1996, il titolare o il responsabile del trattamento debbono comu-nicare non solo le categorie e i tipi di dati, ma i singoli dati detenuti, specificando tutte le infor-mazioni oggetto di trattamento, al fine di consentire all’interessato di valutarle ed eventual-mente esercitare la facoltà di aggiornare, integrare o correggere i dati che si rivelassero inesattio incompleti.


CANCELLAZIONE, AGGIORNAMENTO, RETTIFICA O INTEGRAZIONE DEI DATI 227

I manifesti murali destinati alla pubblica affissione rientrano nella definizione di “stampa”o di “stampato” che, ai sensi dell’art. 1 della legge n. 47/1948, riguarda “tutte le riproduzionitipografiche o comunque ottenute con mezzi meccanici o fisico/chimici in qualsiasi modo desti-nate alla pubblicazione”. In questo ambito, il tipografo tratta i dati personali riportati sui mani-festi in una veste (e funzione) meramente strumentale rispetto all’autore della pubblicazione,unico soggetto realmente legittimato ad intervenire sul contenuto di essa, ad assumere decisionisull’esattezza e sulla completezza dei dati in essa riportati, nonché a rendere noti tali elementia coloro ai quali i dati siano stati diffusi. Ne consegue che è soltanto nei confronti dell’autoredella pubblicazione, quale effettivo titolare del trattamento, che può essere rivolta la richiestadiretta a rettificare i dati o a prevenirne l’ulteriore diffusione.


Il diritto all’identità personale, tutelato dall’art. 1 della legge n. 675/1996, può essere lesodall’avvenuta pubblicazione su un quotidiano di vari articoli di stampa che, attraverso un erro-neo riferimento alla persona del ricorrente ed al suo stato coniugale, ovvero mediante un’ine-satta utilizzazione del suo cognome, gli abbiano attribuito comportamenti posti in essere daaltri, con conseguente distorsione della sua immagine. In tal caso, ai sensi dell’art. 29, comma 4della legge, non solo dev’essere fatto ordine, sia all’editore che al direttore del quotidiano, dicessare il trattamento illegittimo, ma, ai fini di un’effettiva tutela dei diritti dell’interessato,dev’essere ordinata la rettifica dei dati personali trattati, con attestazione, in favore del predetto,della circostanza che tale rettifica è stata portata a conoscenza di coloro ai quali erano stati ori-ginariamente diffusi i detti dati, attraverso la pubblicazione, sul medesimo quotidiano, di unapposito comunicato in tal senso.


Il registro di battesimo che riporta i dati di una persona che si professa atea non contienedati trattati illecitamente, né notizie inesatte o incomplete, in quanto documenta correttamenteun evento – il battesimo – realmente avvenuto. La registrazione del battesimo, inoltre, non costi-tuisce solo un dato relativo all’aderente, ma rappresenta un aspetto della vita – ed anche un dato– dell’organismo che lo detiene, il quale non può cancellare la traccia di un avvenimento che sto-ricamente l’ha riguardato, se non a costo di modificare la stessa rappresentazione della propriarealtà. Ne consegue che è infondata, e non può pertanto essere accolta, la richiesta dell’interes-sato, contenuta nel ricorso proposto al Garante ai sensi dell’art. 29 della legge n. 675/1996, divedere cancellati il proprio nominativo e la data del battesimo ricevuto dai registri parrocchialidei battezzati.


La persona che si professa atea può ottenere, anche attraverso il ricorso al Garante, di ren-dere palese tale sua convinzione attraverso la rettificazione o aggiornamento dei dati personali


conservati nei registri parrocchiali dei battezzati, realizzati per mezzo di un’annotazione a mar-gine del dato da rettificare o con la allegazione all’atto stesso della richiesta di rettifica.




Ai sensi dell’art. 20, comma 1, lett. c), della legge n. 675/1996, la comunicazione dei datirelativi all’indebitamento della clientela effettuata dagli intermediari finanziari alla Centralerischi della Banca d’Italia, in quanto dovuta per legge, non è sottoposta all’obbligo della pre-ventiva acquisizione del consenso dei singoli interessati, cui resta preclusa la possibilità di chie-dere la cancellazione dei dati o di opporsi al relativo trattamento.


I dati personali dell’interessato detenuti da una c.d. “centrale rischi“ privata attestantiomissioni o ritardi nei pagamenti, ove si rivelino errati o inesatti, possono essere oggetto dell’i-stanza formulata al titolare ai sensi dell’art. 13 della legge n. 675/1996 e del successivo ricorsodi cui all’art. 29 della legge al fine della loro cancellazione, aggiornamento o rettifica.


Viola i principi di pertinenza e non eccedenza nella diffusione dei dati personali, fissati dal-l’art. 9 della legge n. 675/1996, l’esposizione nella bacheca condominiale, posta in luogo acces-sibile anche ad estranei al condominio, dell’ordine del giorno di una assemblea che riporti anchela situazione debitoria di singoli condomini. Ai sensi degli artt. 13 e 29 della legge, quindi, il con-domino interessato può agire per ottenere la rimozione dalla bacheca dei dati relativi alla pro-pria morosità.


CANCELLAZIONE, AGGIORNAMENTO, RETTIFICA O INTEGRAZIONE DEI DATI 229

Nell’ipotesi di estinzione di un contratto di finanziamento, con conseguente totale soddi-sfacimento dei diritti del creditore, la conservazione, da parte di una “centrale rischi” privata, deidati personali del debitore e, eventualmente, del fideiussore, ove protrattasi per un quinquenniodalla data di estinzione del rapporto, deve essere ritenuta – anche ove assistita da originario con-senso dell’interessato – sproporzionata ed eccedente rispetto alla finalità perseguita all’atto deltrattamento. Di conseguenza, deve trovare accoglimento l’istanza di cancellazione dei dati avan-zata dall’interessato.


L’art. 13 della legge n. 675/1996 riconosce all’interessato il diritto di ottenere solamente lacancellazione dei dati trattati in violazione di legge. È quindi infondato, e deve essere conse-guentemente respinto, il ricorso proposto ai sensi dell’art. 29 per ottenere la cancellazione deidati relativi ai ritardi verificatisi nei pagamenti delle rate di un finanziamento, ove risulti che l’in-teressato abbia manifestato il consenso al loro trattamento anche in relazione al trasferimento –e successivo trattamento – presso le banche dati di “centrali rischi” private, e i dati stessi risul-tino corrispondenti a verità.


Opposizione al trattamento

In caso di violazione del diritto di opposizione, non possono trovare applicazione le san-zioni previste dagli artt. 34 e ss. della legge n. 675/1996, in quanto non espressamente richia-mati dall’art. 13 della medesima legge.


A differenza di quanto stabilito in tema di esercizio del diritto alla cancellazione dei datiprevisto dall’art. 13, comma 1, lett. c), n. 2 della legge n. 675/1996, il diritto di opposizione al trat-tamento, di cui alla successiva lett.e), può essere esercitato dall’interessato senza che sia neces-sario addurre alcuna motivazione.


L’opposizione per motivi legittimi al trattamento dei dati personali operato da un quoti-diano (art. 13, comma 1, lett. d), della legge n. 675/1996) è infondata quando l’articolo traespunto da atti e documenti accessibili al pubblico, di cui sono riportati brevi stralci, e la vicendariguarda un fatto che riveste interesse pubblico perché relativa al corretto svolgimento dell’atti-


vità amministrativa comunale e non risulta descritta con particolari e dettagli non pertinenti olesivi della dignità dell’interessato (fattispecie relativa alla pubblicazione della notizia dellasegnalazione da parte di consiglieri comunali alla Corte dei Conti di una transazione avvenuta trail Comune e l’interessato).


L’opposizione al trattamento dei dati personali, anche se si riferisce ad operazioni di trat-tamento già effettuate, in particolare con l’avvenuta diffusione dei dati mediante pubblicazionesu di un quotidiano, deve essere ugualmente presa in considerazione dal Garante, adito dall’in-teressato con il ricorso proposto ai sensi dell’art. 29 della legge n. 675/1996, in relazione allapossibilità di una ulteriore, successiva divulgazione dei dati da parte del quotidiano.


Va considerato rispondente alle prescrizioni formali poste dall’art. 29 della leggen. 675/1996 e dall’art. 18 del d.P.R. n. 501/1998 il ricorso preceduto da una lettera inviata al tito-lare del trattamento nella quale l’interessato, pur senza citare espressamente l’art. 13, comma 1,lett. d), della legge n. 675/1996, manifesti chiaramente la volontà di opporsi al trattamento deidati personali operato dal titolare.


Va dichiarato infondato il ricorso, proposto ai sensi dell’art. 29 della legge n. 675/1996, conil quale l’interessato eserciti il diritto, attribuito dall’art. 13, comma 1, lett. d) della legge, diopporsi al trattamento dei dati operato dal titolare, ove l’interessato stesso non specifichi inmaniera chiara né comprovi sufficientemente i motivi legittimi posti a base della sua richiesta.


Ove l’interessato con il ricorso ex art. 29 della legge n. 675/1996 eserciti il diritto di oppo-sizione attribuito dal comma 1, lett. d), dell’art. 13 della legge in relazione ad operazioni di trat-tamento già effettuate dal titolare, in particolare attraverso la già avvenuta diffusione dei dati, larichiesta deve essere presa in esame dal Garante in considerazione della possibilità di una even-tuale, successiva divulgazione dei dati da parte del titolare.


Ai sensi dell’art. 20, comma 1, lett. c), della legge n. 675/1996, la comunicazione dei datirelativi all’indebitamento della clientela effettuata dagli intermediari finanziari alla Centralerischi della Banca d’Italia, in quanto dovuta per legge, non è sottoposta all’obbligo della pre-

OPPOSIZIONE AL TRATTAMENTO 231

ventiva acquisizione del consenso dei singoli interessati, cui resta preclusa la possibilità di chie-dere la cancellazione dei dati o di opporsi al relativo trattamento.


Origine dei dati

Ove con il ricorso proposto ai sensi dell’art. 29 della legge n. 675/1996 l’interessato chiedadi conoscere l’origine dei dati personali che lo riguardano, il titolare del trattamento non puòlimitarsi ad evidenziare che le informazioni utilizzate provengono da una banca dati costituitaprima dell’entrata in vigore della legge n. 675/1996, in quanto in tal modo indica all’interessatosolo la fonte più immediata di provenienza dei dati, senza specificare la loro reale provenienza,come richiesto dall’art. 13, comma 1, lett. c), n. 1 (nella specie, il titolare non ha chiarito in chemodo è stata acquisita o formata la banca dati contenente le informazioni utilizzate per l’invioall’interessato di materiale pubblicitario non richiesto).


Va dichiarato non luogo a provvedere sul ricorso formulato ai sensi dell’art. 29 della leggen. 675/1996 teso a conoscere l’origine dei dati personali in possesso del titolare, ove questi for-nisca idoneo riscontro, chiarendo, attraverso una dettagliata ricostruzione temporale dellavicenda, accompagnata dall’allegazione di una scheda, le modalità di acquisizione dei dati, acui l’interessato, che le contesta, non opponga che generiche ed indimostrate affermazioni con-trarie.



Limiti all’esercizio dei diritti

Differimento

La valutazione del pregiudizio che, ai sensi dell’art. 14, comma 1, lett. e) dellalegge n. 675/1996, consente il differimento dell’esercizio dei diritti previsti dall’art. 13, dev’essereeffettuata caso per caso, con onere probatorio a carico del titolare del trattamento; in ogni caso,tale differimento può riguardare soltanto i dati valutativi e non quelli aventi carattere oggettivo o,comunque, non incidenti sulle specifiche ragioni di tutela prospettate dal titolare del trattamento.


La legge n. 675/1996 bilancia la tutela dei diritti della personalità con altri diritti qualequello di difesa in quanto, se da un lato pone specifici limiti al diritto d’accesso, dall’altro evitache l’eccezione basata sul diritto di difesa possa vanificare la tutela dei diritti riconosciuti nel-l’art. 1 della legge. Pertanto, cessate le esigenze di tutela cui l’art. 14 fa riferimento, il diritto diaccesso può riespandersi, con conseguente obbligo d’integrale comunicazione all’interessatodei dati richiesti.


La legge n. 675/1996 bilancia la tutela dei diritti della personalità con altri diritti qualequello di difesa in quanto, se da un lato pone specifici limiti al diritto d’accesso, dall’altro evitache l’eccezione basata sul diritto di difesa possa vanificare la tutela dei diritti riconosciuti nel-l’art. 1 della legge. Pertanto, ove venga accolta l’istanza di differimento di cui all’art. 14, il dirittodi accesso può riespandersi, con conseguente obbligo d’integrale comunicazione all’interessatodei dati richiesti.


La norma di cui all’art. 14, comma 1, lett. e) della legge n. 675/1996, che prevede il tempo-raneo differimento dell’esercizio dei diritti previsti dall’art. 13, è di carattere eccezionale e, anchese di potenziale ampio spettro applicativo, può essere invocata solo in presenza di comprovateesigenze difensive del titolare del trattamento. Di conseguenza, la valutazione del pregiudiziopaventato dev’essere effettuata caso per caso, con onere di dimostrazione a carico del titolaredel trattamento; in ogni caso, tale differimento può riguardare soltanto i dati valutativi e nonquelli aventi carattere oggettivo o, comunque, non incidenti sulle specifiche ragioni di tutela pro-spettate dal titolare del trattamento.


LIMITI ALL’ESERCIZIO DEI DIRITTI> DIFFERIMENTO 233

La disposizione di cui all’art. 14, comma 1, lett. e) della legge n. 675/1996, che prevede iltemporaneo differimento dell’esercizio dei diritti previsti dall’art. 13, trova applicazione con rife-rimento a tutti i procedimenti giudiziari, sia civili che penali.


Il pregiudizio previsto dall’art. 14, comma 1, lett. e), della legge n. 675/1996 per far valereo difendere un diritto in sede giudiziaria, che comporta il temporaneo differimento dell’eserciziodei diritti previsti dall’art. 13 della legge, la cui valutazione il Garante deve effettuare caso percaso, e sulla base di concreti elementi forniti dal titolare del trattamento, è ravvisabile nel casodi una specifica fase precontenziosa suscettibile di sfociare a breve in una controversia giudizia-ria (fattispecie relativa alla richiesta di accesso ai dati contenuti in una perizia medico legaleredatta dal consulente della società assicurativa ed alla necessità di non pregiudicare la posi-zione delle parti in ordine alle deduzioni istruttorie concernenti la data effettiva dell’infortunio ela preesistenza di una patologia rispetto alla stipula della polizza).


Il differimento dell’accesso ai dati previsto dall’art. 14, comma 1, lett. e), della leggen. 675/1996 attiene solo ai profili di tipo valutativo contenuti nella relazione medico legaleredatta dal consulente della società assicurativa, non anche ai dati di tipo identificativo o aventicarattere obiettivo o comunque non incidenti sulle specifiche ragioni di tutela prospettate daltitolare del trattamento.



L’esercizio del diritto di accesso, come ogni altro diritto tutelato dall’art. 13 della leggen. 675/1996, può essere temporaneamente differito al fine di non pregiudicare il diritto di difesadel titolare del trattamento (principio applicato in relazione a fattispecie di accesso ai dati con-tenuti in una perizia medico legale). Il differimento può concernere solamente i dati di tipo valu-tativo, non quelli di tipo identificativo od oggettivo; l’indagine sull’esistenza del pregiudizio giu-stificativo va effettuata da parte del Garante caso per caso, anche sulla base di concreti elementiforniti dal titolare del trattamento (principio applicato in relazione ad una specifica situazioneprecontenziosa ed ai tempi necessari per l’espletamento della perizia contrattuale rimessa alcollegio medico previsto dalle condizioni generali di polizza).


Il pregiudizio previsto dall’art. 14, comma 1, lett. e), della legge n. 675/1996 per far valereo difendere un diritto in sede giudiziaria, che comporta il temporaneo differimento dell’eserciziodei diritti previsti dall’art. 13 della legge, la cui valutazione il Garante deve effettuare caso per


caso, sulla base di concreti elementi forniti dal titolare del trattamento, è ravvisabile nel caso incui vi sia tra la compagnia di assicurazione e il danneggiato una vertenza giudiziaria in corso perl’accertamento del danno conseguente ad un incidente stradale e nell’atto di citazione l’interes-sato abbia chiesto l’espletamento di una consulenza tecnica di ufficio per la determinazionedelle conseguenze dell’infortunio. In tale delicata fase processuale, la comunicazione da partedella società dei dati contenuti nella perizia arrecherebbe concreto pregiudizio alle modalità diesibizione delle prove da parte della compagnia assicuratrice, ledendo il suo diritto di difesa.


Secondo quanto prescritto dall’art. 14, comma 1, lett. e), della legge n. 675/1996, l’eserci-zio del diritto di accesso (nella specie, ai dati contenuti in una perizia medico legale), come diogni altro diritto tutelato dall’art. 13, può essere temporaneamente differito al fine di non pre-giudicare il diritto di difesa del titolare del trattamento. Il differimento può concernere solamentei dati di tipo valutativo, non quelli di tipo identificativo o oggettivo; l’indagine sull’esistenza delpregiudizio giustificativo va effettuata da parte del Garante caso per caso, anche sulla base diconcreti elementi forniti dal titolare del trattamento (fattispecie relativa alla richiesta di consu-lenza tecnica di ufficio avanti al giudice di pace).


Secondo quanto prescritto dall’art. 14, comma 1, lett. e), della legge n. 675/1996, l’eserci-zio del diritto di accesso (nella specie, ai dati contenuti in una perizia medico legale), come diogni altro diritto tutelato dall’art. 13, può essere temporaneamente differito al fine di non pre-giudicare il diritto di difesa del titolare del trattamento. Il differimento può concernere i soli datidi tipo valutativo, non quelli di tipo identificativo o oggettivo; l’indagine sull’esistenza del pre-giudizio giustificativo va effettuata da parte del Garante caso per caso, anche sulla base di con-creti elementi forniti dal titolare del trattamento (fattispecie relativa ad una fase precontenziosaatta a preludere, a causa del contrasto creatosi fra le parti in ordine all’esistenza delle conse-guenze fisiche derivate dal sinistro, ad un accertamento in sede giudiziaria).


L’esercizio del diritto di accesso, come ogni altro diritto tutelato dall’art. 13 della leggen. 675/1996, può essere temporaneamente differito al fine di non pregiudicare il diritto di difesadel titolare del trattamento (principio applicato in relazione a fattispecie di accesso ai dati con-tenuti in una perizia medico legale). Il differimento può concernere solamente i dati di tipo valu-tativo, non quelli di tipo identificativo od oggettivo; l’indagine sull’esistenza del pregiudizio giu-stificativo va effettuata da parte del Garante caso per caso, anche sulla base di concreti elementiforniti dal titolare del trattamento, con conseguente sua esclusione laddove quest’ultimo, in viameramente ipotetica, si limiti ad allegare soltanto l’eventualità di una futura controversia.



LIMITI ALL’ESERCIZIO DEI DIRITTI> DIFFERIMENTO 235

L’esercizio del diritto di accesso, come ogni altro diritto tutelato dall’art. 13 dellalegge n. 675/1996, può essere temporaneamente differito al fine di non pregiudicare il dirittodi difesa del titolare del trattamento (principio applicato in relazione a fattispecie di accessoai dati contenuti in una perizia medico legale). Il differimento può concernere solamente idati di tipo valutativo, non quelli di tipo identificativo od oggettivo; l’indagine sull’esistenzadel pregiudizio giustificativo va effettuata da parte del Garante caso per caso, anche sullabase di concreti elementi forniti dal titolare del trattamento.


L’esercizio del diritto di accesso, come ogni altro diritto tutelato dall’art. 13 dellalegge n. 675/1996, può essere temporaneamente differito al fine di non pregiudicare il diritto didifesa del titolare del trattamento (principio applicato in relazione a fattispecie di accesso ai daticontenuti in una perizia medico legale). Il differimento può concernere solamente i dati di tipovalutativo, non quelli di tipo identificativo od oggettivo; l’indagine sull’esistenza del pregiudiziogiustificativo va effettuata da parte del Garante caso per caso, anche sulla base di concreti ele-menti forniti dal titolare del trattamento (nella specie, l’imminente deposito di una consulenzatecnica d’ufficio nel procedimento civile pendente).


L’indagine sull’esistenza del pregiudizio giustificativo richiesto dall’art. 14, comma 1, lett. e),della legge n. 675/1996, per il differimento dell’esercizio dei diritti tutelati dall’art. 13 della legge,va effettuata da parte del Garante caso per caso, sulla base di concreti elementi forniti dal titolaredel trattamento o comunque emergenti dagli atti. Non può essere accolta la richiesta, avanzata daltitolare del trattamento, di differimento del diritto di accesso da parte dell’interessato ai dati di tipovalutativo contenuti in una perizia medico legale, ove emerga che tra le parti non è in atto alcun con-tenzioso, neppure in fase preliminare, e il titolare si limiti ad ipotizzare la possibilità di una futuracontroversia, senza prospettare alcuna circostanza o elemento preciso che permettano di ravvisareun concreto pregiudizio al diritto di difesa.


Intermediari e mercati creditizi e finanziari

Rispetto ai trattamenti di dati effettuati da un soggetto pubblico in base ad espressa dis-posizione di legge, per finalità inerenti al controllo dei mercati e degli intermediari finanziari edella loro stabilità previsti dall’art. 14, lett. d) della legge n. 675/1996, i diritti di cui all’art. 13della legge possono essere esercitati solo in maniera indiretta, attraverso verifiche disposte dalGarante anche su segnalazione dell’interessato.



L’art. 14, comma 1, lett. d) della legge n. 675/1996, concernente i limiti all’esercizio deidiritti di cui all’art. 13 della legge, può trovare applicazione anche nei confronti dell’I.s.v.a.p.,allorché la funzione di vigilanza attribuita dalla legge n. 576/1982 sia esercitata dall’Istitutonei confronti di imprese assicuratrici inequivocabilmente operanti nel settore dell’intermedia-zione finanziaria. Tale assunto trova fondamento, oltre che nel contenuto della funzione divigilanza attribuita dalla legge all’I.s.v.a.p., anche nelle direttive comunitarie n. 91/318/CEEdel 10 giugno 1991 (in materia di riciclaggio di proventi da attività illecite, attuata cond.l. n. 143/1991) e n. 95/26/CEE del 29 giugno 1995 (in materia creditizia ed assicurativa), non-ché nel Regolamento CEE n. 3604/1993 del 13 dicembre 1993, che considerano le impresed’assicurazione quali enti finanziari.


LIMITI ALL’ESERCIZIO DEI DIRITTI> INTERMEDIARI E MERCATI CREDITIZI E FINANZIARI 237

Tutelaamministrativo -giurisdizionalee sanzioni

• Ricorso al Garante

• Alternatività della tutela dinanzi alGarante

• Instaurazione di un autonomoprocedimento

• Segnalazioni e reclami

Ricorso al Garante

Inammissibilità

Dati trattati dal C.e.d. del Dipartimento di pubblica sicurezza

Allo stato della normativa, ai sensi dell’art. 4, comma 1, lett. a), della legge n. 675/1996,ai trattamenti di dati effettuati dal Centro elaborazione dati del Dipartimento di pubblicasicurezza si applicano soltanto alcune disposizioni della legge sulla privacy, fra le quali nonsono ricompresi l’art. 13 e l’art. 29; ne consegue che l’interessato, con riferimento a detti trat-tamenti, ha soltanto la facoltà alternativa di sollecitare – a mezzo di segnalazione o reclamo– una verifica del Garante sulla rispondenza degli stessi ai requisiti stabiliti dalla legge o dairegolamenti, ovvero di rivolgersi al Tribunale ai sensi dell’art. 10, comma 5, della legge n.121/1981 per ottenere l’eventuale rettifica, integrazione e cancellazione dei dati o la loro trasfor-mazione in forma anonima. Pertanto, l’eventuale ricorso proposto ai sensi dell’art. 29 della leggen. 675/1996 è inammissibile.


Diritti non azionabili con l’istanza di accesso ai dati

È inammissibile il ricorso al Garante nella parte contenente la richiesta volta ad ottenere l’or-dine di pubblicazione, su un quotidiano edito da una testata giornalistica, di una decisione emessadal Garante nei confronti della stessa testata, in quanto l’art. 29, comma 4 della legge n. 675/1996non fa cenno a detta pubblicazione, che è invece prevista dall’art. 38 della legge come pena acces-soria in caso di condanna penale.


La richiesta di esplicitazione di una sigla utilizzata da un Consiglio dell’Ordine (nella spe-cie, un Consiglio provinciale dell’ordine dei consulenti del lavoro) nella tessera di riconosci-mento degli iscritti o nell’ambito delle comunicazioni postali con i medesimi costituisce unasemplice istanza di chiarificazione di un’informazione sostanzialmente corretta, ma effettuata,in un determinato documento o contesto, in forma abbreviata. Ne consegue che il ricorso aisensi dell’art. 29 della legge n. 675/1996 volto ad ottenere detta chiarificazione è inammissi-bile, non potendo tale richiesta essere ricondotta nell’ambito dell’esercizio del diritto diaggiornamento o di rettifica dei dati, espressamente riconosciuto all’interessato dall’art. 13della legge.


RICORSO AL GARANTE > INAMMISSIBILITÀ >DATI TRATTATI DAL C.E.D. DEL DIPARTIMENTO DI PUBBLICA SICUREZZA

241

M a s s i m a r i o 1 9 9 7 / 2 0 0 1 • T u t e l a a m m i n i s t r a t i v o - g i u r i s d i z i o n a l e e s a n z i o n i242

La richiesta volta ad ottenere l’elenco di coloro cui il titolare del trattamento abbia comu-nicato i dati non può essere proposta dall’interessato, non rientrando tra i diritti tassativamenteindicati dall’art. 13 della legge n. 675/1996; tale norma, invece, consente all’interessato di otte-nere la sola attestazione che le operazioni di cui ai numeri 2) e 3) del comma 1 sono state por-tate a conoscenza di coloro ai quali i dati siano stati comunicati o diffusi.


Il procedimento previsto dall’art. 29 della legge n. 675/1996 ha caratteri particolari, inquanto con il ricorso che lo introduce non si può lamentare qualsiasi violazione della normativain tema di dati personali, come può avvenire invece in caso di segnalazioni o reclami rivoltianch’essi al Garante, ma solo di uno o più diritti riconosciuto dall’art. 13 della legge; in difetto,il ricorso va dichiarato inammissibile.



Con il procedimento previsto dall’art. 29 della legge n. 675/1996 non si può lamentarequalsiasi violazione delle disposizioni in tema di protezione dei dati personali, essendo il ricorsoazionabile solo per la tutela dei diritti tassativamente indicati dall’art. 13 della legge. Ne conse-gue che è inammissibile la richiesta diretta ad ottenere, da parte del titolare o del responsabiledel trattamento, una risposta circa la manifestazione del proprio consenso al trattamento deidati od alla sottoscrizione del relativo modulo, trattandosi di istanza che non solo non è espres-samente prevista dall’art. 13 della legge n. 675/1996, ma che non può essere fatta corrispon-dere, neanche in via interpretativa, ad alcuno dei diritti in esso previsti.


Il ricorso al Garante previsto dall’art. 29 della legge n. 675/1996 non può essere presen-tato per qualsiasi violazione delle disposizioni sulla tutela dei dati personali (che può inveceessere oggetto di una segnalazione o di un reclamo all’Autorità), ma solo in relazione ad una pre-cisa richiesta previamente rivolta al titolare o al responsabile del trattamento per la tutela di unoo più diritti riconosciuti dall’art. 13 della legge; in difetto, il ricorso è inammissibile.


Una richiesta inoltrata al titolare o al responsabile del trattamento al fine di raccogliere ele-menti di prova ai fini investigativi ai sensi dell’art. 38 delle disp. att. al c.p.p., è inidonea a costi-tuire valido esercizio del diritto di accesso previsto dall’art. 13 della legge n. 675/1996 e non è,quindi, utile a consentire la successiva proposizione al Garante del ricorso ex art. 29 della legge,che pertanto è inammissibile.

• Garante 8 giugno 2000, in Bollettino n. 13, pag. 35 (v. anche www.garanteprivacy.it:doc.nr.40473)

Non possono essere prese in considerazione nell’ambito del procedimento attivato con ilricorso di cui all’art. 29 della legge n. 675/1996, che deve essere quindi dichiarato inammissi-bile, le richieste del ricorrente dirette non a far valere i diritti previsti dall’art. 13 della legge,quanto a sollecitare l’esercizio dei poteri di accertamento e di controllo del Garante in relazionealla presunta illiceità del trattamento dei dati e al mancato rispetto dell’obbligo di notificazioneall’Autorità. Tali richieste possono, peraltro, essere esaminate dal Garante in un distinto proce-dimento instaurato ai sensi degli artt. 31 e 32 della legge, ove l’interessato esponga una pun-tuale e documentata rappresentazione di specifici fatti e comportamenti.


La domanda dell’interessato volta a sollecitare l’esercizio dei poteri di accertamento e con-trollo del Garante (nella specie, in relazione alla presunta illiceità del trattamento dei dati ed allaviolazione dell’obbligo di notificazione), ove formulata nell’ambito del procedimento di cuiall’art. 29 della legge n. 675/1996, è inammissibile, trattandosi di richiesta valutabiledall’Autorità soltanto in un distinto procedimento instaurato ai sensi degli artt. 31 (segnalazioneo reclamo) e 32 della legge, che richiede una puntuale e documentata rappresentazione di spe-cifici comportamenti o fatti.


Il ricorso formulato ai sensi dell’art. 29 della legge n. 675/1996 non può essere propostoper lamentare qualsiasi violazione di un diritto della personalità, come può avvenire invece incaso di segnalazioni o reclami che possono essere rivolti anch’essi al Garante, ma solo per latutela delle specifiche situazioni soggettive tassativamente indicate dall’art. 13 della legge.


L’art. 13 della legge n. 675/1996 consente l’accesso ai dati personali da parte dei soggetticui i dati stessi si riferiscono. È quindi inammissibile il ricorso proposto, ai sensi dell’art. 29 dellalegge, da alcuni dipendenti nei confronti del titolare/datore di lavoro, al fine di ottenere l’ac-cesso alle note di qualifica e alle procedura di valutazione concernenti altri lavoratori.


L’istanza avanzata dall’interessato al titolare del trattamento (nella specie, un istituto dicredito) intesa a conoscere il nominativo del soggetto che ha commissionato la richiesta di infor-mazioni commerciali sull’attività economica svolta dall’interessato stesso (intestatario di un c/cbancario), nonché degli altri soggetti cui tali dati sarebbero stati comunicati, non rientra traquelle azionabili in forza dell’art. 13 della legge n. 675/1996. Il relativo ricorso, proposto ai sensidell’art. 29 della legge, deve essere quindi dichiarato inammissibile.


RICORSO AL GARANTE > INAMMISSIBILITÀ >DATI TRATTATI DAL C.E.D. DEL DIPARTIMENTO DI PUBBLICA SICUREZZA

243

Il ricorso di cui all’art. 29 della legge n. 675/1996 può avere ad oggetto solo i diritti tassati-vamente indicati dall’art. 13 della legge, tra i quali non rientra la richiesta volta a conoscere i nomi-nativi di terzi cui il titolare del trattamento abbia comunicato o diffuso dati personali dell’interes-sato. Ne consegue che il ricorso, ove diretto a far valere tale pretesa, è inammissibile.


Non costituisce valido esercizio dei diritti di cui all’art. 13 della legge n. 675/1996, con con-seguente inammissibilità del successivo ricorso proposto ai sensi dell’art. 29 della legge, la richie-sta d’accesso ai documenti amministrativi, che attiene ad un distinto diritto tutelato dalla leggen. 241/1990.


E’ inammissibile ai sensi dell’art. 29, comma 2, della legge n. 675/1996, e non può quindiessere proposta per la prima volta in sede di ricorso, la richiesta volta ad ottenere l’indicazione delresponsabile del trattamento dei dati eventualmente designato ai sensi dell’art. 8 della legge, ovenon oggetto della previa istanza al titolare prevista dall’art. 13.

• Garante 3 settembre 2001, in Bollettino n. 22, pag. 63 (v. anche www.garanteprivacy.it: doc. nr. 41195)

Non è azionabile ai sensi dell’art. 13 della legge n. 675/1996, e deve essere quindi dichiaratainammissibile, la richiesta rivolta la Garante di pubblicazione su un quotidiano del provvedimentoemesso all’esito del procedimento instaurato ai sensi dell’art. 29 della legge.


Con il procedimento disciplinato dall’art. 29 della legge n. 675/1996 l’interessato non puòlamentare ogni presunta violazione di principi contenuti nella legge, come può invece avvenireattraverso segnalazioni o reclami, ma solo le violazioni dei diritti riconosciuti dall’art. 13, oggettodella relativa istanza preventivamente rivolta al titolare o al responsabile del trattamento. È quindiinammissibile il ricorso con cui si chieda di accertare l’adempimento dell’obbligo di informativaimposto dall’art. 10 della legge n. 675/1996.


Inammissibilità del ricorso e instaurazione di autonomo procedimento

Al di fuori dell’ipotesi del ricorso disciplinato dall’art. 29, la legge n. 675/1996 ha previsto lapossibilità di accertare le eventuali violazioni delle prescrizioni in tema di protezione dei dati per-sonali anche attraverso autonome determinazioni assunte d’ufficio dal Garante, oltre che per


impulso degli interessati mediante gli strumenti della “segnalazione” e del “reclamo” ai sensi del-l’art. 31, comma 1, lett. d) della legge (nella specie il Garante, pur dichiarando inammissibile ilricorso presentato ai sensi dell’art. 29, ha instaurato un autonomo procedimento con riferimentoalla distribuzione, da parte di un Comune, agli utenti degli asili nido, di un questionario finalizzatoall’acquisizione di dati personali di varia natura).


La declaratoria di inammissibilità del ricorso presentato ai sensi dell’art. 29 della leggen. 675/1996 non preclude al Garante la facoltà di avviare, sulla base delle circostanze descritte

dall’interessato e della documentazione acquisita, un autonomo procedimento, previsto dal-l’art. 31, comma 1, della legge, al fine di accertare l’eventuale violazione da parte del titolare odel responsabile del trattamento della normativa in materia di dati personali (nella specie,l’Autorità ha avviato un procedimento per accertare le modalità con le quali sono stati diffusi dauna A.S.L. dati idonei a rivelare lo stato di salute di un dirigente medico della stessa azienda).


La declaratoria di inammissibilità del ricorso presentato ai sensi dell’art. 29 della leggen. 675/1996 non preclude al Garante la facoltà di avviare, sulla base delle circostanze descritte dal-l’interessato e della documentazione acquisita, un autonomo procedimento, previsto dall’art. 31,comma 1, della legge, al fine di accertare l’eventuale violazione da parte del titolare o del respon-sabile del trattamento della normativa in materia di dati personali (nella specie, l’Autorità haavviato un procedimento per accertare le modalità con le quali i dati dell’interessato, acquisiti dauna terza persona, sono stati divulgati mediante produzione nel giudizio civile di separazione pen-dente tra l’interessato stesso e la moglie).


Non possono essere prese in considerazione nell’ambito del procedimento attivato con ilricorso di cui all’art. 29 della legge n. 675/1996, che deve essere quindi dichiarato inammissibile,le richieste del ricorrente dirette non a far valere i diritti previsti dall’art. 13 della legge, quanto asollecitare l’esercizio dei poteri di accertamento e di controllo del Garante in relazione alla pre-sunta illiceità del trattamento dei dati e al mancato rispetto dell’obbligo di notificazioneall’Autorità. Tali richieste possono, peraltro, essere esaminate dal Garante in un distinto procedi-mento instaurato ai sensi degli artt. 31 e 32 della legge, ove l’interessato esponga una puntuale edocumentata rappresentazione di specifici fatti e comportamenti.


Anche nell’ipotesi in cui il procedimento instaurato ai sensi dell’art. 29 della leggen. 675/1996 si concluda con dichiarazione d’inammissibilità per mancata preventiva formulazione

RICORSO AL GARANTE > INAMMISSIBILITÀ >INAMMISSIBILITÀ DEL RICORSO E INSTAURAZIONE DI AUTONOMO PROCEDIMENTO

245

dell’istanza di cui all’art. 13, resta integra la facoltà del Garante di instaurare un autonomo proce-dimento ai sensi dell’art. 31, comma 1, della legge, al fine della verifica di particolari aspetti con-cernenti il trattamento dei dati operato dal titolare.


Anche nell’ipotesi in cui il procedimento instaurato ai sensi dell’art. 29 della leggen. 675/1996 si concluda con dichiarazione di non luogo a provvedere, per avere il titolare datoriscontro alle richieste dell’interessato, resta integra la facoltà del Garante di instaurare un auto-nomo procedimento ai sensi dell’art. 31, comma 1, della legge n. 675/1996 al fine della verificadi particolari aspetti concernenti il trattamento dei dati operato dal titolare.


Incompetenza del Garante

Risarcimento danni

Il Garante non è competente in ordine alle richieste di risarcimento dei danni, anche nonpatrimoniali, causati dal trattamento dei dati personali, per i quali l’interessato deve rivolgersiall’autorità giudiziaria.


L’accertata inammissibilità del ricorso proposto al Garante ai sensi dell’art. 29 della leggen. 675/1996 non pregiudica la possibilità per l’interessato di rivolgersi all’autorità giudiziaria perfar valere diritti rispetto ai quali detta legge non attribuisce competenza al Garante quale, adesempio, quello all’eventuale risarcimento del danno.


L’accertata inammissibilità del ricorso proposto al Garante ai sensi dell’art. 29 dellalegge n. 675/1996 non pregiudica la possibilità per l’interessato di rivolgersi al giudice ordi-nario per far accertare eventuali reati e per chiedere il risarcimento dei danni, anche morali,derivanti dal trattamento dei dati, non avendo la legge attribuito al Garante alcuna compe-tenza in materia.






Il Garante non è competente in ordine a richieste di risarcimento danni in relazione a vio-lazioni della legge n. 675/1996; tali richieste devono essere fatte valere avanti all’Autorità giudi-ziaria ordinaria.


È inammissibile il ricorso di cui all’art. 29 della legge n. 675/1996 contenente la richiestadi risarcimento dei danni derivanti dall’illegittimo trattamento dei dati operato dal titolare,atteso che la legge non attribuisce in materia alcuna competenza al Garante. La domanda puòessere fatta valere avanti l’A.g.o..


È inammissibile il ricorso proposto ai sensi dell’art. 29 della legge n. 675/1996 avente adoggetto la richiesta di risarcimento dei danni derivanti dall’illecito trattamento dei dati personali,in quanto la legge non attribuisce al Garante alcuna competenza al riguardo.



Questioni di validità di un contratto

Non rientra nella competenza del Garante l’esame di questioni attinenti alla validità di uncontratto o di alcune clausole ritenute vessatorie dall’interessato. Il ricorso proposto ai sensi del-l’art. 29 della legge n. 675/1996 che abbia ad oggetto tali questioni è inammissibile.




Legittimazione a ricorrere

I diritti previsti dall’art. 13 della legge n. 675/1996 possono essere esercitati solo dagli

RICORSO AL GARANTE > INAMMISSIBILITÀ >INCOMPETENZA DEL GARANTE> QUESTIONI DI VALIDITÀ DI UN CONTRATTO

247

“interessati”, cioè dalle persone cui si riferiscono i dati personali oggetto di trattamento. Ilricorso presentato al Garante ai sensi dell’art. 29 della legge da parte di soggetti diversi dagliinteressati, non muniti di una delega di questi, è quindi inammissibile (fattispecie nella quale èstato dichiarato inammissibile il ricorso presentato da alcuni consiglieri comunali in qualità di“rappresentanti dei cittadini”).


Ove la tutela dei diritti di cui all’art. 13 della legge n. 675/1996 venga invocata in favore diun minore, ai fini dell’ammissibilità della domanda è sufficiente che il ricorso ex art. 29 dellalegge sia proposto da uno solo dei genitori esercenti la potestà, trattandosi di atto di ordinariaamministrazione che, ai sensi dell’art. 320, comma 1, c.c., può essere compiuto disgiuntamenteda ciascun genitore.


È inammissibile il ricorso ex art. 29 della legge n. 675/96 presentato a mezzo di procura-tore speciale (nel caso di specie il segretario di un sindacato) qualora la procura a questi confe-rita, seppur ritualmente allegata al ricorso, non rechi la sottoscrizione autenticata dell’interes-sato conferente.


Mancata autenticazione della sottoscrizione in calce alla procuraspeciale

È inammissibile il ricorso ex art. 29 della legge n. 675/1996 presentato a mezzo di procu-ratore speciale (nel caso di specie il segretario di un sindacato) qualora la procura a questi con-ferita, seppur ritualmente allegata al ricorso, non rechi la sottoscrizione autenticata dell’interes-sato conferente.


Mancata indicazione del provvedimento richiesto

Come richiesto dall’art. 18, comma 1, lett. c) del d.P.R. n. 501/1998, il ricorso al Garantedeve contenere, a pena di inammissibilità, l’indicazione del provvedimento richiesto all’Autorità.È quindi inammissibile il ricorso nel quale l’interessato si limiti a domandare genericamente alGarante di accertare se siano ravvisabili violazioni alla legge n. 675/1996 nel trattamento dei datioperato dal titolare.



Il ricorso è inammissibile quando non indica il preciso provvedimento che viene domandatoal Garante, come richiesto dall’art. 18, comma 1, lett. c) del d.P.R. n. 501/1998 (nel caso di spe-cie, il ricorrente si è limitato a formulare una generica istanza di verifica della legittimità dell’in-vio di una sollecitazione elettorale).


Mancato esperimento dell’istanza di accesso ai dati

È inammissibile il ricorso proposto al Garante ai sensi dell’art. 29 della legge n. 675/1996,ove non preceduto dall’istanza presentata direttamente al titolare o al responsabile del tratta-mento ai sensi dell’art. 13 della legge.




Il ricorso proposto ai sensi dell’art. 29 della legge n. 675/1996, ove non preceduto dall’i-stanza di cui all’art. 13 della legge, è inammissibile.






È inammissibile il ricorso proposto ai sensi dell’art. 29 della legge n. 675/1996 ove lerichieste in esso contenute non siano state preventivamente azionate con l’istanza ex art. 13della legge.


La richiesta di rettifica formulata nei confronti di un settimanale ai sensi dell’art. 42 dellalegge n. 46/1981 è cosa diversa dall’istanza di cui all’art. 13 della legge n. 675/1996; ne conse-gue che il ricorso ex art. 29, ove non preceduto da una regolare istanza ex art. 13, va dichiaratoinammissibile.


RICORSO AL GARANTE > INAMMISSIBILITÀ >MANCATO ESPERIMENTO DELL’ISTANZA DI ACCESSO AI DATI

249

Non può essere considerata valida forma di esercizio dei diritti previsti dall’art. 13 della leggen. 675/1996 un’interpellanza rivolta da alcuni consiglieri comunali al sindaco contenente segnala-zioni di violazioni della privacy, asseritamene sussistenti nella distribuzione da parte del Comuneagli utenti degli asili nido di un questionario finalizzato all’acquisizione di dati personali di varianatura. Il conseguente ricorso presentato al Garante ex art. 29 della legge è, quindi, inammissibile.


Il ricorso al Garante previsto dall’art. 29 della legge n. 675/1996 deve essere sempre prece-duto, a pena di inammissibilità, dalla presentazione dell’istanza al titolare o al responsabile deltrattamento ai sensi dell’art. 13, comma 2, della legge. La proposizione immediata del ricorso èinvece possibile solo nell’ipotesi in cui il decorso del tempo necessario per interpellare il titolare oil responsabile “esporrebbe taluno a pregiudizio imminente e irreparabile” (comma 2 citato).


Non costituisce valida proposizione dell’istanza prevista dall’art. 13 della leggen. 675/1996 l’invio al titolare del trattamento, da parte dell’interessato, di una lettera conte-nente una generica denuncia di violazione della legge, senza alcun riferimento, anche indiretto,agli specifici diritti tutelati dal citato art. 13; il conseguente ricorso al Garante, proposto ai sensidell’art. 29, è quindi inammissibile.


Una richiesta inoltrata al titolare o al responsabile del trattamento al fine di raccogliere ele-menti di prova ai fini investigativi ai sensi dell’art. 38 delle disp. att. al c.p.p., è inidonea a costi-tuire valido esercizio del diritto di accesso previsto dall’art. 13 della legge n. 675/1996 e non è,quindi, utile a consentire la successiva proposizione al Garante del ricorso ex art. 29 della legge,che pertanto è inammissibile.


La mancata preventiva proposizione dell’istanza di cui all’art. 13 della legge n. 675/1996 nonpuò essere ovviata dalla diretta comunicazione al titolare del trattamento del ricorso proposto aisensi dell’art. 29 della legge.


Ai sensi dell’art. 29, comma 2, della legge n. 675/1996, sono inammissibili, e non possonoquindi essere proposte per la prima volta in sede di ricorso, richieste di accesso ai dati, di cono-scenza della loro origine, nonché della logica e delle finalità del trattamento, che non siano stateoggetto della previa istanza al titolare o al responsabile prevista dell’art. 13 della legge.



Il ricorso inoltrato al Garante dall’interessato ai sensi all’art. 29 della legge n. 675/1996,ove non preceduto dalla proposizione al titolare o al responsabile del trattamento dell’istanza dicui all’art. 13 della legge, è inammissibile.


È inammissibile ai sensi dell’art. 29, comma 2, della legge n.. 675/1996, e non può quindiessere proposta per la prima volta in sede di ricorso, la richiesta volta ad ottenere l’indicazionedel responsabile del trattamento dei dati eventualmente designato ai sensi dell’art. 8 dellalegge, ove non oggetto della previa istanza al titolare prevista dall’art. 13.


È inammissibile ai sensi dell’art. 29, comma 2, della legge n. 675/1996, e non può quindiessere proposta per la prima volta in sede di ricorso, la richiesta volta ad ottenere l’inserimentodi una “precisazione” in relazione ai dati oggetto di trattamento, ove non contenuta nella pre-ventiva istanza prevista dall’art. 13 della legge.


Omessa allegazione dell’istanza di accesso ai dati

In caso di mancata allegazione dell’istanza di cui all’art. 13 della legge n. 675/1996 agli attidel procedimento promosso ex art. 29 della legge (anche a seguito dell’invito del Garante allaregolarizzazione del medesimo), il ricorso va dichiarato inammissibile.


Omessa regolarizzazione del ricorso

La mancata regolarizzazione, nei termini stabiliti dall’art. 19, comma 1, lett. c), deld.P.R. n. 501/1998, del ricorso presentato ai sensi dell’art. 29 della legge n. 675/1996, com-porta la declaratoria di inammissibilità del ricorso stesso.


• Garante 24 aprile 2001, inedito (v. anche www.garanteprivacy.it: doc. n. 39196)





RICORSO AL GARANTE > INAMMISSIBILITÀ >OMESSA ALLEGAZIONE DELL’ISTANZA DI ACCESSO AI DATI

251

Il ricorso proposto ai sensi dell’art. 29 della legge n. 675/1996, ove non regolarizzato neitermini di cui all’art. 19, comma 1, lett. c), del d.P.R. n. 501/1998, è inammissibile.


Pluralità di titolari del trattamento

Non possono essere accolte richieste di cancellazione dei dati nei confronti di titolari, cheeventualmente li detengano, nei cui confronti l’interessato non abbia direttamente proposto ilricorso di cui all’art. 29 della legge n. 675/1996, e che comunque non abbiano preso parte alrelativo procedimento; il titolare, nei cui confronti è presentato il ricorso, non ha infatti un poterediretto di far cancellare dati contenuti in archivi gestiti da distinti ed autonomi titolari (nella spe-cie, l’interessato ha proposto il ricorso nei confronti della società dalla quale ha ottenuto unfinanziamento, chiedendo però la cancellazione dei dati trasmessi da tale società ad altro sog-getto, gestore di una “centrale rischi” privata, nei cui confronti il ricorrente non ha inoltratoalcuna richiesta diretta).



L’istanza rivolta ai sensi dell’art. 13 della legge n. 675/1996 al titolare del trattamento deidati personali non può essere considerata validamente proposta anche nei confronti di un altrosoggetto al quale venga indirizzata “per conoscenza”; tale dizione, infatti, non consente la ine-quivoca identificazione di quest’ultimo quale effettivo destinatario della richiesta contenuta nel-l’istanza. Il conseguente ricorso presentato nei suoi confronti ai sensi dell’art. 29 della legge èquindi inammissibile.


Preventiva adizione dell’a.g.o.

Ai sensi dell’art. 29, comma 1, della legge n. 675/1996, che fissa il principio dell’alternati-vità tra la giurisdizione dell’A.g.o. ed il procedimento dinanzi al Garante, il ricorso al Garante nonpuò essere proposto qualora, per il medesimo oggetto e tra le stesse parti, sia stata già adital’autorità giudiziaria; in tal caso, il ricorso dev’essere dichiarato inammissibile.


Preventiva adizione del giudice amministrativo

Il principio di alternatività di cui all’art. 29, comma 1, della legge n. 675/1996, opera sol-


tanto tra il Garante e l’A.g.o., unica autorità avente giurisdizione sulle controversie concernentil’applicazione della legge n. 675/1996 e, segnatamente, sui diritti di cui all’art. 13; pertanto, ovel’interessato abbia preventivamente esercitato il diritto di accesso ai documenti amministrativiinnanzi al Giudice amministrativo (legge n. 241/1990), non sussistono preclusioni in relazionealla possibilità di esercitare il distinto diritto di accesso ai dati innanzi al Garante – con conse-guente ammissibilità del relativo ricorso – o, in via alternativa, all’A.g.o..


Proposizione immediata del ricorso

La proposizione immediata al Garante del ricorso previsto dall’art. 29 della leggen. 675/1996 è possibile soltanto nell’ipotesi in cui il decorso del tempo necessario per interpel-lare il titolare o il responsabile con l’istanza di cui all’art. 13 della legge, o per attendere il riscon-tro a tale richiesta, esporrebbe l’interessato ad un pregiudizio imminente ed irreparabile. A penad’inammissibilità del ricorso, spetta al ricorrente fornire la prova dell’esistenza dei presuppostidi tale pregiudizio.








Il ricorso al Garante previsto dall’art. 29 della legge n. 675/1996 deve essere sempre prece-duto, a pena di inammissibilità, dalla presentazione dell’istanza al titolare o al responsabile deltrattamento ai sensi dell’art. 13, comma 2, della legge. La proposizione immediata del ricorso èinvece possibile solo nell’ipotesi in cui il decorso del tempo necessario per interpellare il titolareo il responsabile “esporrebbe taluno a pregiudizio imminente e irreparabile” (comma 2 citato).


La presentazione immediata del ricorso al Garante – senza la preventiva proposizione altitolare o al responsabile del trattamento dell’istanza prevista dall’art. 13 della leggen. 675/1996 – è possibile solo nell’ipotesi in cui il decorso del tempo necessario per interpel-lare il titolare o il responsabile “esporrebbe taluno a pregiudizio imminente e irreparabile”(art. 29, comma 2); in difetto, il ricorso va dichiarato inammissibile.



RICORSO AL GARANTE > INAMMISSIBILITÀ >PROPOSIZIONE IMMEDIATA DEL RICORSO

253

Non luogo a provvedere

Profili generali

Nel caso di accoglimento, da parte del titolare del trattamento, dell’invito ad aderire for-mulato dal Garante ai sensi dell’art. 20, comma 1 del d.P.R. 501/1998, va dichiarato non luogo aprovvedere sul ricorso presentato ai sensi dell’art. 29 della legge n. 675/1996.


Deve essere dichiarato non luogo a provvedere sul ricorso presentato al Garante ai sensidell’art. 29 della legge n. 675/1996 ove il titolare del trattamento aderisca spontaneamente allerichieste avanzate dall’interessato.


Nel caso di adempimento, da parte del titolare del trattamento, all’istanza inoltrata dal-l’interessato, ai sensi dell’art. 13 della legge n. 675/1996, con contestuale comunicazione deidati richiesti, va dichiarato non luogo a provvedere sul ricorso presentato al Garante ai sensi del-l’art. 29 della legge.








Secondo il disposto dell’art. 20, comma 2, del d.P.R. n. 501/1998, in caso di adempimentoalle richieste del ricorrente con contestuale comunicazione dei dati richiesti, va dichiarato nonluogo a provvedere sul ricorso proposto ai sensi dell’art. 29 della legge n. 675/1996.





Nell’ambito del procedimento instaurato a seguito di ricorso presentato ai sensi dell’art. 29della legge n. 675/1996, va dichiarato non luogo a provvedere sull’istanza dell’interessato volta


a conoscere l’origine dei dati personali utilizzati per l’invio di comunicazioni politiche a fine dipropaganda elettorale e sulla opposizione all’ulteriore inoltro di analoghi messaggi, ove il tito-lare del trattamento (nella specie, un candidato alle elezioni politiche) dia riscontro alle richie-ste, precisando di avere estratto il nominativo del destinatario della comunicazione da elenchipubblici (in particolare, dall’elenco telefonico) e si impegni a depennarlo da ogni indirizzario insuo possesso.


Nel caso di adempimento, da parte del titolare del trattamento, all’istanza di cui all’art. 13della legge n. 675/1996, con conseguente riscontro alle richieste dell’interessato, va dichiaratonon luogo a provvedere sul ricorso presentato ai sensi dell’art. 29 della legge.


Non luogo a provvedere e instaurazione di autonomo procedimento

Anche nell’ipotesi in cui il procedimento instaurato ai sensi dell’art. 29 della leggen. 675/1996 si concluda con dichiarazione di non luogo a provvedere, per avere il titolare datoriscontro alle richieste dell’interessato, resta integra la facoltà del Garante di instaurare un auto-nomo procedimento ai sensi dell’art. 31, comma 1, della legge n. 675/1996 al fine della verificadi particolari aspetti concernenti il trattamento dei dati operato dal titolare.



Tardivo riscontro all’istanza di accesso ai dati

Il riscontro alle richieste dell’interessato effettuato oltre la scadenza del quinto giornodalla presentazione dell’istanza di cui all’art. 13 della legge n. 675/1996 costituisce adempi-mento – seppur tardivo – dell’obbligo di comunicazione dei dati gravante sul titolare del tratta-mento, con la conseguenza che dev’essere dichiarato non luogo a provvedere sul ricorso suc-cessivamente proposto ai sensi dell’art. 29 della legge.


Tutela di ulteriori diritti avanti l’A.g.o.

Anche in caso di pronunzia, da parte del Garante, di declaratoria di non luogo a provvedereconseguente all’adempimento del titolare alle istanze dell’interessato (nel caso di specie con-cernenti l’immediata cancellazione di alcuni dati personali da specifiche pagine web), è fatta

RICORSO AL GARANTE > NON LUOGO A PROVVEDERE >NON LUOGO A PROVVEDERE E INSTAURAZIONE DI AUTONOMO PROCEDIMENTO

255

salva la facoltà di quest’ultimo di adire l’Autorità giudiziaria per la tutela di ulteriori suoi interessi(quali il diritto all’onore ed al risarcimento del danno).


Formalità del procedimento

Ai sensi dell’art. 13 della legge n. 675/1996, l’interessato ha il diritto di chiedere direttamentealle società finanziarie e agli istituti di credito quali informazioni che lo riguardano siano state rac-colte in relazione al trattamento dei dati connesso a richieste o concessioni di finanziamenti. Nelcaso di mancata risposta nel termine di cinque giorni (v. art. 29, comma 2 della legge n. 675/1996),o di rifiuto all’accesso o all’esercizio di uno degli altri diritti elencati nel citato art. 13, l’interessatopuò ricorrere alla magistratura ordinaria o, alternativamente, al Garante, con le modalità previstedall’art. 29 della legge.


Le richieste di cui all’art. 13, comma 1, lett. c), n. 1 della legge n. 675/1996, dirette a cono-scere i dati, la loro origine nonché le finalità e la logica del loro trattamento, possono essere avan-zate dagli interessati senza particolari formalità, ed anche verbalmente (cfr. art. 17, comma 1 deld.P.R. n. 501/1998). Risulta, pertanto, illegittima la richiesta rivolta all’interessato di indicare, nel-l’istanza di accesso ai dati presentata ai sensi dell’art. 13, eventuali codici identificativi ad essoattribuiti dal titolare del trattamento (nella specie, la società titolare, che ha inviato all’interessatouna pubblicità non richiesta, ha asserito di non poter rispondere all’istanza di accesso nella qualenon era stato indicato il “codice cliente” assegnato all’interessato nel materiale pubblicitario).


Il ricorso di cui all’art. 29 della legge n. 675/1996 può essere presentato solo in riferimentoall’esercizio dei diritti di cui all’art. 13, comma 1, della legge. In tali ipotesi, il ricorrente deveavanzare le proprie richieste direttamente nei confronti del titolare o del responsabile del tratta-mento, ed attendere poi, prima di presentare il ricorso, almeno cinque giorni dalla data di pre-sentazione di tali richieste, tranne che nell’ipotesi particolare di cui al comma 2 del citato art. 29.


Prima di presentare ricorso al Garante previsto dall’art. 29 della legge n. 675/1996, l’inte-ressato deve esercitare direttamente nei confronti del titolare o del responsabile del tratta-mento, ai sensi dell’art. 13 della legge, il diritto di accesso ai dati che lo riguardano, proponendopoi il ricorso, in caso di inerzia o di rigetto dell’istanza, non prima che siano trascorsi almeno cin-que giorni dal suo inoltro (art. 29, comma 2).



Va considerato rispondente alle prescrizioni formali poste dall’art. 29 della leggen. 675/1996 e dall’art. 18 del d.P.R. n. 501/1998 il ricorso preceduto da una lettera inviata al tito-lare del trattamento nella quale l’interessato, pur senza citare espressamente l’art. 13, comma 1,lett. d), della legge n. 675/1996, manifesti chiaramente la volontà di opporsi al trattamento deidati personali operato dal titolare.


In considerazione dei criteri di semplicità e speditezza cui è ispirato il procedimento perla trattazione dei ricorsi disciplinato dagli artt. 29 della legge n. 675/1996 e 18 e ss. deld.P.R. n. 501/1998, non è preclusa alle parti la facoltà di presentare memorie – o di riportarsia memorie – nel corso della loro eventuale audizione, anche in aggiunta ad altri documenti ememorie depositati entro il termine ordinatorio fissato dal Garante.

Garante 25 luglio 2001, in Bollettino n. 22, pag. 70 (v. anche www.garanteprivacy.it: doc. n. 42180)

L’interessato che, nell’esercizio dei diritti di cui all’art. 13 della legge n. 675/1996, richiedaal titolare del trattamento (nella specie una società assicurativa) il rilascio di copia delle fotogra-fie scattate a seguito di un sinistro e riproducenti lo stato dei luoghi, è gravato dall’onere di dimo-strare che nella documentazione fotografica siano riportate informazioni che possano essere con-siderate alla stregua di suoi dati personali ai sensi dell’art. 1, comma 2, lett. c) della legge.


Accoglimento o rigetto

Profili generali

L’art. 13 della legge n. 675/1996 obbliga il titolare o il responsabile del trattamento dei datia fornire senza ritardo un riscontro compiuto ed analitico all’interessato in ordine a tutte le infor-mazioni di carattere personale che lo riguardano, presenti in archivi o in atti detenuti dal mede-simo titolare o responsabile.


Le richieste di cui all’art. 13, comma 1, lett. c), n. 1 della legge n. 675/1996, dirette a cono-scere i dati, la loro origine nonché le finalità e la logica del loro trattamento, possono essereavanzate dagli interessati senza particolari formalità, ed anche verbalmente (cfr. art. 17, comma1 del d.P.R. n. 501/1998). Risulta, pertanto, illegittima la richiesta rivolta all’interessato di indi-care, nell’istanza di accesso ai dati presentata ai sensi dell’art. 13, eventuali codici identificativi

RICORSO AL GARANTE > ACCOGLIMENTO O RIGETTO >PROFILI GENERALI

257

ad esso attribuiti dal titolare del trattamento (nella specie, la società titolare, che ha inviatoall’interessato una pubblicità non richiesta, ha asserito di non poter rispondere all’istanza diaccesso nella quale non era stato indicato il “codice cliente” assegnato all’interessato nel mate-riale pubblicitario).


Deve essere rigettato, perché infondato, il ricorso proposto ai sensi dell’art. 29 della leggen. 675/1996, ove il titolare risponda in maniera esauriente alla richiesta dell’interessato diaccesso ai propri dati personali, ripetutamente ribadendo di non detenere i dati in questione, el’interessato non fornisca specifiche circostanze che possano far ritenere l’esistenza degli stessi,anche al fine di provocare l’autonoma attivazione del Garante sulla base dei poteri conferitiall’Autorità dall’art. 31 della legge.

• Garante 27 febbraio 2001, inedito (v. anche www.garanteprivacy.it: doc. n. 38921)

Va dichiarato infondato il ricorso, proposto ai sensi dell’art. 29 della legge n. 675/1996, conil quale l’interessato eserciti il diritto, attribuito dall’art. 13, comma 1, lett. d) della legge, diopporsi al trattamento dei dati operato dal titolare, ove l’interessato stesso non specifichi inmaniera chiara né comprovi sufficientemente i motivi legittimi posti a base della sua richiesta.


Il titolare è tenuto a fornire riscontro, anche negativo, all’interessato che gli rivolga istanzaex art. 13 della legge n. 675/1996 al fine di conoscere dell’esistenza o meno di dati personali chelo riguardano (comma 1 , lett. c) , n. 1).


Mera disponibilità del titolare a fornire i dati

La mera offerta da parte del gestore telefonico della disponibilità a fornire in dettaglio iltraffico telefonico “in uscita” dall’utenza dell’interessato, non seguita dalla concreta messa adisposizione dell’elenco delle singole chiamate, non vale a costituire adempimento dell’obbligoconnesso all’esercizio del diritto d’accesso di cui all’art. 13 della legge n. 675/1996; ne conseguel’accoglimento del ricorso proposto al Garante ai sensi dell’art. 29 della legge.


Riscontro incompleto

Il titolare o il responsabile del trattamento dei dati personali devono comunicare, all’inte-


ressato che ne faccia richiesta, non solo le categorie e i tipi di dati detenuti che lo riguardino, mai singoli dati, mettendo in chiaro tutte le informazioni di carattere personale oggetto di tratta-mento, al fine di consentire all’interessato di valutare le informazioni presenti negli archivi edeventualmente esercitare la facoltà di aggiornare, correggere o integrare i dati che si rivelasseroinesatti o incompleti (art. 13, comma 1, lett. c) della legge n. 675/1996).


In caso di esercizio da parte dell’interessato del diritto di accesso ai dati personali ai sensidell’art. 13 della legge n. 675/1996, il titolare o il responsabile del trattamento debbono comu-nicare non solo le categorie e i tipi di dati, ma i singoli dati detenuti, specificando tutte le infor-mazioni oggetto di trattamento, al fine di consentire all’interessato di valutarle ed eventual-mente esercitare la facoltà di aggiornare, integrare o correggere i dati che si rivelassero inesattio incompleti.


Il riscontro del titolare o del responsabile del trattamento all’istanza ex art. 13 della leggen. 675/1996 dev’essere completo, cosicché l’interessato possa ottenere tutte le informazionirichieste; ne consegue che, qualora con l’istanza d’accesso l’interessato abbia richiesto non solola cancellazione dei dati oggetto di trattamento, ma anche ulteriori informazioni (es.: i fini e lemodalità dell’intrapreso trattamento), il titolare, al fine di corrispondere compiutamente e neitermini di legge a detta richiesta, non può limitarsi a dare immediato corso all’istanza di cancel-lazione senza avere prima comunicato in forma intelligibile tutte le informazioni desiderate.


Il riscontro del titolare o del responsabile del trattamento all’istanza ex art. 13 della leggen. 675/1996 dev’essere completo, di talché l’interessato possa ottenere tutte le informazionirichieste; ne consegue che dev’essere accolto il ricorso di cui all’art. 29 della legge nel caso incui il titolare, anziché fornire al ricorrente tutti i dati contenuti nei propri archivi e documenti, sisia limitato ad una mera indicazione delle relative tipologie d’appartenenza.


Ove con il ricorso proposto ai sensi dell’art. 29 della legge n. 675/1996 l’interessato chiedadi conoscere l’origine dei dati personali che lo riguardano, il titolare del trattamento non puòlimitarsi ad evidenziare che le informazioni utilizzate provengono da una banca dati costituitaprima dell’entrata in vigore della legge n. 675/1996, in quanto in tal modo indica all’interessatosolo la fonte più immediata di provenienza dei dati, senza specificare la loro reale provenienza,come richiesto dall’art. 13, comma 1, lett. c), n. 1 (nella specie, il titolare non ha chiarito in che

RICORSO AL GARANTE > ACCOGLIMENTO O RIGETTO >RISCONTRO INCOMPLETO

259

modo è stata acquisita o formata la banca dati contenente le informazioni utilizzate per l’invioall’interessato di materiale pubblicitario non richiesto).


Ai sensi degli artt. 13 della legge n. 675/1996 e 17 del d.P.R. n. 501/1998, il titolare del trat-tamento deve comunicare, in modo compiuto ed analitico, le informazioni personali che riguar-dano l’interessato, senza limitarsi ad una mera elencazione delle tipologie di dati detenuti.



Il riscontro incompleto, da parte del titolare del trattamento, all’invito ad aderire formulatodal Garante ai sensi dell’art. 20 del d.P.R. n. 501/1998, determina l’accoglimento parziale delricorso proposto ai sensi dell’art. 29 della legge n. 675/1996.


Spese del procedimento

Accoglimento del ricorso e compensazione delle spese

Il Garante può disporre la compensazione delle spese del procedimento di cui all’art. 29della legge n. 675/1996 qualora, pur accogliendo il ricorso dell’interessato avente ad oggetto larichiesta di accesso ai dati personali, rilevi l’avvenuto erroneo richiamo di normative diversedalla legge n. 675/1996 (in particolare della legge n. 241/1990), suscettibile di ingenerare neltitolare del trattamento equivoci sull’effettivo contenuto dell’istanza.




Non luogo a provvedere sul ricorso e compensazione delle spese

Il Garante, anche qualora ritenga di definire un ricorso ai sensi dell’art. 29 della leggen. 675/1996 con una pronunzia di mero rito (nel caso di specie una declaratoria di non luogo a

provvedere), conserva comunque il potere discrezionale di compensare, in tutto o in parte, lespese del procedimento.



Non luogo a provvedere sul ricorso e condanna alle spese

Nell’ipotesi in cui il riscontro alle richieste dell’interessato sia successivo all’invito ad ade-rire formulato dal Garante ai sensi dell’art. 20, comma 1, del d.P.R. n. 501/1998, il titolare del trat-tamento è tenuto al rimborso al ricorrente delle spese del procedimento definito con declarato-ria di non luogo a provvedere.
















L’adesione intervenuta solo dopo l’invito ad aderire formulato dal Garante ai sensi del-l’art. 20, comma 1 del d.P.R. n. 501/1998 alle richieste avanzate dall’interessato con il ricorsoproposto ex art. 29 della legge n. 675/1996, comporta per il titolare del trattamento il paga-mento delle spese del procedimento definito con declaratoria di non luogo a provvedere.


Nell’ipotesi in cui il riscontro alle richieste dell’interessato sia successivo all’invito ad ade-rire formulato dal Garante ai sensi dell’art. 20, comma 1, d.P.R. n. 501/1998, il titolare del tratta-mento è tenuto al rimborso delle spese del procedimento definito con declaratoria di non luogoa provvedere (fattispecie relativa all’accoglimento della richiesta dell’interessato diretta ad otte-nere la rettifica, da parte della società con la quale egli aveva stipulato un contratto per regi-strare alcuni nomi a dominio, dei dati relativi all’assegnazione di un dominio Internet, a causadell’erronea indicazione, come registrant, della società e non del ricorrente).


RICORSO AL GARANTE > SPESE DEL PROCEDIMENTO >NON LUOGO A PROVVEDERE SUL RICORSO E CONDANNA ALLE SPESE

261

Nell’ipotesi di riscontro non tempestivo alle richieste dell’interessato formulate con l’i-stanza proposta ai sensi dell’art. 13 della legge n. 675/1996, il titolare del trattamento è tenutoal rimborso al ricorrente delle spese del procedimento definito con declaratoria di non luogo aprovvedere.

• Garante 10 aprile 2001, iinedito (v. anche www.garanteprivacy.it: doc. n. 41818)

Nell’ipotesi in cui il riscontro alle richieste dell’interessato sia successivo alla presenta-zione del ricorso proposto ai sensi dell’art. 29 della legge n. 675/1996, il titolare del trattamentoè tenuto al rimborso al ricorrente delle spese del procedimento definito con declaratoria di nonluogo a provvedere.






Estinzione del procedimento

Rinunzia agli atti

La rinunzia agli atti formulata dal ricorrente determina l’estinzione del procedimento intro-dotto ai sensi dell’art. 29 della legge n. 675/1996.


Alternatività della tutela dinanzi alGarante

Ai sensi dell’art. 13 della legge n. 675/1996, l’interessato ha il diritto di chiedere diretta-mente alle società finanziarie e agli istituti di credito quali informazioni che lo riguardanosiano state raccolte in relazione al trattamento dei dati connesso a richieste o concessioni difinanziamenti. Nel caso di mancata risposta nel termine di cinque giorni (v. art. 29, comma 2della legge n. 675/1996), o di rifiuto all’accesso o all’esercizio di uno degli altri diritti elencatinel citato art. 13, l’interessato può ricorrere alla magistratura ordinaria o, alternativamente, alGarante, con le modalità previste dall’art. 29 della legge.



L’interessato può esercitare nei confronti del titolare o del responsabile del trattamento deidati i diritti previsti dall’art. 13 della legge n. 675/1996, rivolgendosi poi al Garante o, alternati-vamente, all’Autorità giudiziaria, nel caso in cui non ottenga risposta nel termine di cinque giornifissato dall’art. 29, comma 2 della legge, oppure nel caso in cui gli venga precluso l’esercizio deisuddetti diritti.


Il principio di alternatività di cui all’art. 29, comma 1, della legge n. 675/1996 opera sol-tanto tra il Garante e l’A.g.o., unica autorità avente giurisdizione sulle controversie concernentil’applicazione della legge n. 675/1996 e, segnatamente, sui diritti di cui all’art. 13; pertanto, ovel’interessato abbia preventivamente esercitato il diritto d’accesso ai documenti amministrativiinnanzi al giudice amministrativo (legge n. 241/1990), non sussistono preclusioni in relazionealla possibilità di esercitare il distinto diritto di accesso ai dati personali dinanzi al Garante o, invia alternativa, all’A.g.o.


Instaurazione di un autonomo procedimento

Le pronunce emesse dal Garante ai sensi dell’art. 31, comma 1, lett. b) e c) della leggen. 675/1996 non costituiscono atti di natura consultiva, ma provvedimenti adottati nell’eserciziodi un’attività amministrativa in virtù della quale l’Autorità, nel quadro dei poteri di vigilanza esulla corretta applicazione della legge, ha il compito di “controllare se i trattamenti sono effet-tuati nel rispetto delle norme di legge e di regolamento …”, nonché la potestà di segnalare al tito-lare o al responsabile del trattamento dei dati personali le modificazioni opportune al fine di ren-dere quest’ultimo conforme alle disposizioni vigenti.


La legge n. 675/1996 ha demandato al Garante il compito di verificare la conformità deitrattamenti dei dati svolti dagli organismi di sicurezza di cui alla legge n. 801/1977 alle disposi-zioni di legge e di regolamento (art. 31, comma 1, lett. p) e 32, commi 6 e 7, in relazione all’art.4,comma 1, lett. b)).


La declaratoria di inammissibilità del ricorso presentato ai sensi dell’art. 29 della leggen. 675/1996 non preclude al Garante la facoltà di avviare, sulla base delle circostanze descritte

INSTAURAZIONE DI UN AUTONOMO PROCEDIMENTO 263

dall’interessato e della documentazione acquisita, un autonomo procedimento, previsto dal-l’art. 31, comma 1, della legge, al fine di accertare l’eventuale violazione da parte del titolare odel responsabile del trattamento della normativa in materia di dati personali (nella specie,l’Autorità ha avviato un procedimento per accertare le modalità con le quali sono stati diffusi dauna A.S.L. dati idonei a rivelare lo stato di salute di un dirigente medico della stessa azienda).


La declaratoria di inammissibilità del ricorso presentato ai sensi dell’art. 29 della leggen. 675/1996 non preclude al Garante la facoltà di avviare, sulla base delle circostanze descrittedall’interessato e della documentazione acquisita, un autonomo procedimento, previsto dal-l’art. 31, comma 1, della legge, al fine di accertare l’eventuale violazione da parte del titolare odel responsabile del trattamento della normativa in materia di dati personali (nella specie,l’Autorità ha avviato un procedimento per accertare le modalità con le quali i dati dell’interes-sato, acquisiti da una terza persona, sono stati divulgati mediante produzione nel giudizio civiledi separazione pendente tra l’interessato stesso e la moglie).


Il Garante può in ogni caso instaurare d’ufficio un autonomo procedimento per valutare lafondatezza dei rilievi e delle segnalazioni che rinvenga in un qualunque atto comunque perve-nuto all’Ufficio, quale che sia la sua natura.


La dichiarata inammissibilità del ricorso proposto ex art. 29 della legge n. 675/1996 nonimpedisce al Garante di instaurare un autonomo procedimento, ai sensi dell’art. 31, comma 1,lett. d), al fine di verificare la conformità alle disposizioni della legge del trattamento effettuatodal titolare.


Rientra tra i compiti del Garante l’instaurazione di un procedimento ai sensi dell’art. 31,comma 1, lett. c), della legge n. 675/1996 al fine del controllo della liceità del trattamento deidati personali (finalità e modalità del trattamento, consultazione dei dati, comunicazione aterzi, conservazione e distruzione) operato da un istituto bancario attraverso la raccolta delleimpronte digitali e dell’immagine del volto dei clienti all’ingresso dei locali della banca.


Anche nell’ipotesi in cui il procedimento instaurato ai sensi dell’art. 29 della legge


n. 675/1996 si concluda con dichiarazione di non luogo a provvedere, per avere il titolare datoriscontro alle richieste dell’interessato, resta integra la facoltà del Garante di instaurare un auto-nomo procedimento ai sensi dell’art. 31, comma 1, della legge n. 675/1996 al fine della verificadi particolari aspetti concernenti il trattamento dei dati operato dal titolare.


Segnalazioni e reclami

Al di fuori dell’ipotesi del ricorso disciplinato dall’art. 29, la legge n. 675/1996 ha previstola possibilità di accertare le eventuali violazioni delle prescrizioni in tema di protezione dei datipersonali anche attraverso autonome determinazioni assunte d’ufficio dal Garante, oltre che perimpulso degli interessati mediante gli strumenti della “ segnalazione” e del “reclamo” ai sensidell’art. 31, comma 1, lett. d) della legge (nella specie il Garante, pur dichiarando inammissibileil ricorso presentato ai sensi dell’art. 29, ha instaurato un autonomo procedimento con riferi-mento alla distribuzione, da parte di un Comune, agli utenti degli asili nido, di un questionariofinalizzato all’acquisizione di dati personali di varia natura).


La mancanza di speciali regole per la trattazione in contraddittorio delle segnalazioni e deireclami (regole che sono previste invece per i ricorsi dall’art. 29 della legge n. 675/1996 e dald.P.R. n. 501/1998) non pregiudica le parti, le quali, per qualsiasi ipotesi di possibile violazionedella normativa a tutela dei dati personali, hanno la possibilità di introdurre, senza particolariformalità, i necessari elementi di valutazione attraverso memorie, documenti, eventuali audi-zioni, ecc..


Al di là della specifica ipotesi del ricorso ex art. 29, è possibile rivolgersi al Garante, inordine a presunte violazioni della legge n. 675/1996, anche attraverso gli strumenti della segna-lazione e del reclamo previsti dall’art. 31, comma 1, lett. d) della legge.


La domanda dell’interessato volta a sollecitare l’esercizio dei poteri di accertamento e con-trollo del Garante (nella specie, in relazione alla presunta illiceità del trattamento dei dati ed allaviolazione dell’obbligo di notificazione), ove formulata nell’ambito del procedimento di cuiall’art. 29 della legge n. 675/1996, è inammissibile, trattandosi di richiesta valutabile

SEGNALAZIONI E RECLAMI 265

dall’Autorità soltanto in un distinto procedimento instaurato ai sensi degli artt. 31 (segnalazioneo reclamo) e 32 della legge, che richiede una puntuale e documentata rappresentazione di spe-cifici comportamenti o fatti.


Le richieste dirette a sollecitare l’esercizio dei poteri di accertamento e di controllo delGarante, in relazione alla presunta illiceità del comportamento tenuto dal titolare o dal respon-sabile del trattamento rispetto ai principi posti a tutela del diritto alla riservatezza, possonoessere esaminati nel procedimento previsto dagli artt. 31 e 32 della legge n. 675/1996 solo sullabase di una puntuale e documentata rappresentazione di specifici fatti e comportamenti.


Allo stato della normativa, ai sensi dell’art. 4, comma 1, lett. a), della legge n. 675/1996, aitrattamenti di dati effettuati dal Centro elaborazione dati del Dipartimento di pubblica sicurezzasi applicano soltanto alcune disposizioni della legge sulla privacy, fra le quali non sono ricompresil’art. 13 e l’art. 29; ne consegue che l’interessato, con riferimento a detti trattamenti, ha soltantola facoltà alternativa di sollecitare – a mezzo di segnalazione o reclamo – una verifica del Garantesulla rispondenza degli stessi ai requisiti stabiliti dalla legge o dai regolamenti, ovvero di rivol-gersi al Tribunale ai sensi dell’art. 10, comma 5, della legge n. 121/1981 per ottenere l’eventualerettifica, integrazione e cancellazione dei dati o la loro trasformazione in forma anonima. Pertanto,l’eventuale ricorso proposto ai sensi dell’art. 29 della legge n. 675/1996 è inammissibile.


È inammissibile il ricorso diretto ad ottenere l’accesso a dati personali trattati dallaQuestura, qualora il tenore della precedente istanza di cui all’art. 13 della legge n. 675/1996,per l’ampiezza della sua formulazione, sia tale da riguardare anche dati destinati a confluire nelCentro elaborazione dati del Dipartimento di pubblica sicurezza (per i quali il diritto di accessoè specificamente disciplinato dall’art. 10 della legge n. 121/1981), ovvero dati trattati per fina-lità di prevenzione, accertamento e repressione di reati ; questi ultimi, in particolare, ai sensidell’art. 4, comma 1, lett. e) della legge n. 675/1996, non possono formare oggetto dell’istanzadi cui all’art. 13 della legge e del successivo ricorso di cui all’art. 29, bensì di semplice segna-lazione o reclamo ai fini dell’esercizio, da parte del Garante, dei poteri previsti dagli artt. 31,comma 1, lett. d) e 32 della legge.


Al trattamento di dati personali operato, per ragioni di giustizia, da una Procura dellaRepubblica, non si applicano, ai sensi dell’art. 4, comma 1, lett. d), della legge n. 675/1996, gliartt. 13 e 29 della legge. Il ricorso presentato ai sensi dell’art. 29 è, quindi, inammissibile, salva


la possibilità per l’interessato di inviare al Garante una segnalazione o un reclamo per chiederela verifica della rispondenza del trattamento ai requisiti stabiliti dalla legge o dai regolamenti(artt. 31, comma 1, lett. d) e p) e 32 della legge n. 675/1996, in relazione all’art. 4, comma 1 dellalegge).


Nella nozione di trattamento di dati personali dell’interessato svolto per ragioni di giusti-zia (art. 4, comma 1, lett. d),della legge n. 675/1996) rientra anche quello effettuato dagli ufficigiudiziari e dal Consiglio superiore della magistratura attinente alla responsabilità disciplinaredi un magistrato in relazione ad una vicenda giudiziaria che coinvolga l’interessato stesso.Pertanto, nei confronti di tale trattamento non possono essere esercitati i diritti previsti dal-l’art. 13 della legge n. 675/1996, né può essere proposto il ricorso di cui all’art. 29, fermarestando la possibilità per l’interessato di inviare al Garante una segnalazione o un reclamo perchiedere la verifica della rispondenza del trattamento ai requisiti stabiliti dalla legge o dai rego-lamenti (artt. 31, comma 1, lett. d) e p) e 32 della legge n. 675/1996, in relazione all’art. 4,comma 2 della legge).


SEGNALAZIONI E RECLAMI 267

Tavola sinottica

• Tavola di corrispondenza deiriferimenti previgenti al codice inmateria di protezione dei datipersonali

ARTICOLATO DEL CODICE RIFERIMENTO PREVIGENTE

Parte I - Disposizioni generali

Titolo I - Principi generaliAArrtt.. 11 ((DDiirriittttoo aallllaa pprrootteezziioonnee ddeeii ddaattii ppeerrssoonnaallii)) ------

AArrtt.. 22 ((FFiinnaalliittàà))

comma 1 • cfr. art. 1, direttiva 95/46/CE;

art. 1, comma 1, legge n. 675/1996

comma 2 ---

AArrtt.. 33 ((PPrriinncciippiioo ddii nneecceessssiittàà ddeell ttrraattttaammeennttoo ddeeii ddaattii))

comma 1 ---

AArrtt.. 44 ((DDeeffiinniizziioonnii))

comma 1, lett. a) • cfr. art. 2, direttiva 95/46 CE;

art. 1, comma 2, lett. b), legge n. 675/1996

lett. b) • art. 1, comma 2, lett. c), legge n. 675/1996

lett. c) • art. 10, comma 5, d.lg. n. 281/1999

lett. d) • cfr. art. 22, comma 1, legge n. 675/1996

lett. e) • cfr. art. 24, comma 1, legge n. 675/1996

lett. f ) • art. 1, comma 2, lett. d), legge n. 675/1996

lett. g) • art. 1, comma 2, lett. e), legge n. 675/1996

lett. h) • cfr. art. 19 legge n. 675/1996

lett. i) • art. 1, comma 2, lett. f ), legge n. 675/1996

lett. l) • art. 1, comma 2, lett. g), legge n. 675/1996

lett. m) • art. 1, comma 2, lett. h), legge n. 675/1996

lett. n) • art. 1, comma 2, lett. i), legge n. 675/1996

lett. o) • art. 1, comma 2, lett. l), legge n. 675/1996

lett. p) • art. 1, comma 2, lett. a), legge n. 675/1996

lett. q) • art. 1, comma 2, lett. m), legge n. 675/1996

comma 2, lett. a) • cfr. art. 2, par. 2, lett. d), direttiva del Parlamento

europeo e del Consiglio n. 2002/58/Ce

lett. b) • cfr. art. 2, lett. e), direttiva n. 2002/58/Ce

lett. c) • cfr. art. 2, par. 1, lett. a, direttiva del Parlamento

europeo e del Consiglio n. 2002/21/Ce

lett. d) • cfr. art. 2, par. 1, lett. d), direttiva n. 2002/21/CE

lett. e) • cfr. art. 2, par. 1, lett. c), direttiva n. 2002/21/CE

lett. f ) • cfr. art. 2, par. 1, lett. k), direttiva n. 2002/21/CE

lett. g) • cfr. art. 2,par. 2, lett. a), direttiva n. 2002/58/CE

TAVOLA SINOTTICA 271

lett. h) • cfr. art. 2, par. 2,lett. b), direttiva n. 2002/58/CE

lett. i) • cfr. art. 2, par. 2, lett. c), direttiva n. 2002/58/CE

lett. l) • cfr. art. 2, par. 2, lett. g), direttiva n. 2002/58/CE

lett. m) • cfr. art. 2, par. 2, lett. h), direttiva n. 2002/58/CE

comma 3, lett. a) • art. 1, comma 1, lett. a), d.P.R. n. 318/1999

lett. b) • art. 1, lett. b, d.P.R. n. 318/1999

lett. c) ---

lett. d) ---

lett. e) ---

lett. f ) ---

lett. g) ---

comma 4, lett. a) • art. 1, comma 2, lett. a), d.lg. n. 281/1999

lett. b) • art. 1, comma 2, lett. c), d.lg. n. 281/1999

lett. c) • art. 1, comma 2, lett. b), d.lg. n. 281/1999

AArrtt.. 55 ((OOggggeettttoo eedd aammbbiittoo ddii aapppplliiccaazziioonnee))


artt. 2, comma 1, e 6, comma 1, legge n. 675/1996

comma 2 • art. 2, commi 1 bis, e 1 ter, legge n. 675/1996

comma 3 • cfr.art. 3, par. 2 (secondo periodo), direttiva 95/46/CE;

art. 3, legge n. 675/1996

AArrtt.. 66 ((DDiisscciipplliinnaa ddeell ttrraattttaammeennttoo)) ------

Titolo II - Diritti dell’interessatoAArrtt.. 77 ((DDiirriittttoo ddii aacccceessssoo aaii ddaattii ppeerrssoonnaallii eedd aallttrrii ddiirriittttii))

comma 1 • cfr. art. 12, direttiva 95/46;

art. 13, comma 1, lett. c), punto 1 (prima parte)

legge n. 675/1996

comma 2 • art. 13, comma 1, lett. b) e c), punto 1 (seconda parte)

legge n. 675/1996

comma 3 • art. 13, comma 1, lett. c), punt1 2, 3 e 4 legge

n. 675/1996

comma 4 • art. 13, comma 1, lett. d) ed e), legge n. 675/1996

AArrtt.. 88 ((EEsseerrcciizziioo ddeeii ddiirriittttii))

comma 1 • cfr. art. 13, dir. 95/46;

art. 17, comma 1, d.P.R. n. 501/1998.

comma 2 • art. 14, comma 1, lett. a), b), c), d), e) ed e- bis) legge

n. 675/1996

comma 3 • art. 14, comma 2, n. 675/1996

comma 4 ---

M a s s i m a r i o 1 9 9 7 / 2 0 0 1272

AArrtt.. 99 ((MMooddaalliittàà ddii eesseerrcciizziioo))

comma 1 • art. 17, comma 3, d.P.R. n. 501/1998

comma 2 • art. 13, comma 4, legge n. 675/1996;

art. 17, comma 4, d.P.R. n. 501/1998

comma 3 • art. 13, comma 3 , legge n. 675/1996


comma 5 • art. 13, comma 1, c), punto 1 (secondo periodo), legge

n. 675/1996

AArrtt.. 1100 ((RRiissccoonnttrroo aallll’’iinntteerreessssaattoo))

comma 1 • art. 17, comma 9, d.P.R. 31 marzo 1998, n. 501.


comma 3 • art. 17, commi, 5 d.P.R. n. 501/1998

comma 4 ---

comma 5 ---

comma 6 ---


art. 17, comma 7, d.P.R. n. 501/1998



Titolo III - Regole generali per il trattamento dei datiCapo I - Regole per tutti i trattamenti

AArrtt.. 1111 ((MMooddaalliittàà ddeell ttrraattttaammeennttoo ee rreeqquuiissiittii ddeeii ddaattii))



comma 2 ---

AArrtt.. 1122 ((CCooddiiccii ddii ddeeoonnttoollooggiiaa ee ddii bbuuoonnaa ccoonnddoottttaa))


art. 31, comma 1, lett. h), legge n. 675/1996;

comma 2 • art. 20, comma 4, d.lg. n. 467/2001


comma 4 ---

AArrtt.. 1133 ((IInnffoorrmmaattiivvaa))

comma 1 • cfr. art. 10, direttiva 95/46/CE ;


comma 2 • art. 10, comma 2, legge n. 675/1996

comma 3 ---




AArrtt.. 1144 ((DDeeffiinniizziioonnee ddii pprrooffiillii ee ddeellllaa ppeerrssoonnaalliittàà ddeellll’’iinntteerreessssaattoo))

comma 1 • cfr. art. 15, direttiva 95/46/CE ;



AArrtt.. 1155 ((DDaannnnii ccaaggiioonnaattii ppeerr eeffffeettttoo ddeell ttrraattttaammeennttoo))


art. 18, legge n. 675/1996


AArrtt.. 1166 ((CCeessssaazziioonnee ddeell ttrraattttaammeennttoo))

comma 1 • cfr. art. 19, par. 2, direttiva 95/46/CE;



AArrtt.. 1177 ((TTrraattttaammeennttoo cchhee pprreesseennttaa rriisscchhii ssppeecciiffiiccii))

comma 1 • cfr. art. 2o, direttiva 95/46/CE;

art. 24 bis, comma 1, legge n. 675/1996

comma 2 • art. 24 bis, comma 2, legge n. 675/1996

Capo II - Regole ulteriori per i soggetti pubblici

AArrtt.. 1188 ((PPrriinncciippii aapppplliiccaabbiillii aa ttuuttttii ii ttrraattttaammeennttii eeffffeettttuuaattii ddaa ssooggggeettttii ppuubbbblliiccii))

comma 1 ---

comma 2 • cfr. art. 27, comma 1, legge n. 675/1996


comma 4 ---

comma 5 ---

AArrtt.. 1199 ((PPrriinncciippii aapppplliiccaabbiillii aall ttrraattttaammeennttoo ddii ddaattii ddiivveerrssii ddaa qquueellllii sseennssiibbiillii ee ggiiuuddiizziiaarrii))

comma 1 • art. 7, par. 1, lett. E), direttiva 95/46/CE ;




AArrtt.. 2200 ((PPrriinncciippii aapppplliiccaabbiillii aall ttrraattttaammeennttoo ddii ddaattii sseennssiibbiillii))


art. 22, comma 3, primo periodo, legge n. 675/1996

comma 2 • art.22, comma 3 bis, legge n. 675/1996;

• art. 5, comma 5, d.lg. n. 135/1999

comma 3 • art. 22, comma 3, secondo periodo, legge n. 675/1996

comma 4 • art. 22, comma 3 bis, legge n.675/1996

M a s s i m a r i o 1 9 9 7 / 2 0 0 1274

AArrtt.. 2211 ((PPrriinncciippii aapppplliiccaabbiillii aall ttrraattttaammeennttoo ddii ddaattii ggiiuuddiizziiaarrii))

comma 1 • cfr. art. 8, par. 5, direttiva 95/46/CE ;

art. 24, comma 1, legge n. 675/1996;

comma 2 • art. 5, comma 5 bis, d.lg. n. 135/1999

AArrtt.. 2222 ((PPrriinncciippii aapppplliiccaabbiillii aall ttrraattttaammeennttoo ddii ddaattii sseennssiibbiillii ee ggiiuuddiizziiaarrii))

comma 1 ---

comma 2 art. 2, comma 2, d.lg. n. 135/1999






comma 8 art. 23, comma 4, legge n. 675/1996


comma 10 art. 4, comma 2, d.lg. n. 135/1999;

art. 3, comma 6, d.lg. n. 135/1999


comma 12 art. 1, comma 2, lett. c), d.lg. n. 135/1999

Capo III - Regole ulteriori per i privati ed enti pubblici economici

AArrtt.. 2233 ((CCoonnsseennssoo))

comma 1 • cfr.art. 7, par. 1, lett. A), direttiva 95/46/CE;

art. 11, comma 1 e 20, comma 1, lett. a)

legge n. 675/1996




AArrtt.. 2244 ((CCaassii nneeii qquuaallii ppuuòò eesssseerree eeffffeettttuuaattoo iill ttrraattttaammeennttoo sseennzzaa iill ccoonnsseennssoo))

comma 1, lett. a) • cfr. art. 7, direttiva 95/46/CE;

artt. 12, comma 1, lett. a) e 20, comma 1, lett. c),

legge n. 675/1996

lett. b) • artt. 12, comma 1, lett. b) e 20, comma 1, lett. a bis),

legge n. 675/1996

lett. c) • artt. 12, comma 1, lett. c) e 20, comma 1, lett. b),legge

n. 675/1996

lett. d) • artt. 12, comma 1, lett. f ) e 20, comma 1, lett. e),legge

n. 675/1996

lett. e) • art. 7, par. 1, lett. d), direttiva 95/46; artt. 12, comma 1,

lett. g) e 20 comma 1, lett. f ), legge n. 675/1996

lett. f ) • artt. 12, comma 1, lett. h) e 20, comma 1, lett. g), legge

n. 675/1996


lett. g) • artt. 12, comma 1, lett. h bis) e 20, comma 1, lett. h ed

h bis), legge n. 675/1996

lett. h) ---

lett. i) • artt. 12, comma 1, lett. d) e 21, comma 4, lett. a), legge

n. 675/1996; art. 7, comma 4 d.lg. n. 281/1999

AArrtt.. 2255 ((DDiivviieettii ddii ccoommuunniiccaazziioonnee ee ddiiffffuussiioonnee))

comma 1 • art. 21 commi 1 e 2, legge n. 675/1996

comma 2 • art. 21, comma 4, lett. b), legge n. 675/1996

AArrtt.. 2266 ((GGaarraannzziiee ppeerr ii ddaattii sseennssiibbiillii))




comma 3, lett. a) • art. 22, comma 1 bis, legge n. 675/1996

comma 3, lett. b) • art. 22, comma 1 ter, legge n. 675/1996



AArrtt.. 2277 ((GGaarraannzziiee ppeerr ii ddaattii ggiiuuddiizziiaarrii))

comma 1 • cfr. art. 8, par. 5, direttiva 95/46/CE;


Titolo IV - I soggetti che effettuano il trattamentoAArrtt.. 2288 ((TTiittoollaarree ddeell ttrraattttaammeennttoo))

comma 1 ---

AArrtt.. 2299 ((RReessppoonnssaabbiillee ddeell ttrraattttaammeennttoo))







AArrtt.. 3300 ((IInnccaarriiccaattii ddeell ttrraattttaammeennttoo))

comma 1 • cfr. art. 17, par. 3, direttiva 95/46/CE ;

artt. 8, comma 5, e 19, legge n. 675/1996

comma 2 • art. 19, legge n. 675/1996

M a s s i m a r i o 1 9 9 7 / 2 0 0 1276

Titolo V - Sicurezza dei dati e dei sistemiCapo I - Misure di sicurezza • cfr. art. 17, direttiva 95/46/CE

AArrtt.. 3311 ((OObbbblliigghhii ddii ssiiccuurreezzzzaa)) • art. 15, comma 1, legge n. 675/1996

AArrtt.. 3322 ((PPaarrttiiccoollaarrii ttiittoollaarrii))

comma 1 • art. 2, comma 1, d.lg. 13 maggio 1998, n. 171



Capo II - Misure minime

AArrtt.. 3333 ((MMiissuurree mmiinniimmee)) • cfr. art. 15, comma 2, legge n. 675/1996

AArrtt.. 3344 ((TTrraattttaammeennttii ccoonn ssttrruummeennttii eelleettttrroonniiccii)) ---

AArrtt.. 3355 ((TTrraattttaammeennttii sseennzzaa ll’’aauussiilliioo ddii ssttrruummeennttii eelleettttrroonniiccii)) ------

AArrtt.. 3366 ((AAddeegguuaammeennttoo)) • cfr. art. 15, comma 3, legge n. 675/1996

Titolo VI - AdempimentiAArrtt.. 3377 ((NNoottiiffiiccaazziioonnee ddeell ttrraattttaammeennttoo))

comma 1 • art. 18, direttiva 95/46/CE;

cfr. art. 7, comma 1, legge n. 675/1996

comma 2 ---


comma 4 • art. 13, commi 1, 2, 3, 4, d.P.R. n. 501/1998

AArrtt.. 3388 ((MMooddaalliittàà ddii nnoottiiffiiccaazziioonnee))

comma 1 • art. 19, direttiva 95/46/CE;

art. 7, comma 2, primo periodo, legge n. 675/1996

comma 2 • art. 12, comma 1, primo periodo, d.P.R. n. 501/1998

comma 3 • art. 12, comma 1, secondo periodo, d.P.R. n. 501/1998

comma 4 • art. 7, comma 2, secondo periodo e art. 16, comma 1,

legge n. 675/1996


comma 6 ---

AArrtt.. 3399 ((OObbbblliigghhii ddii ccoommuunniiccaazziioonnee))

comma 1, lett. a) • art. 7, par. 1, lett. E), direttiva 95/46/CE

• art. 27, comma 2, legge n. 675/1996

lett. b) ---

comma 2 ---

comma 3 ---


AArrtt.. 4400 ((AAuuttoorriizzzzaazziioonnii ggeenneerraallii))


art. 14, comma 1, d.P.R. n. 501/1998

AArrtt.. 4411 ((RRiicchhiieessttee ddii aauuttoorriizzzzaazziioonnee))

comma 1 ---





Titolo VII - Trasferimento dei dati all’estero • cfr. artt. 25 e 26, direttiva 95/46/CE

AArrtt.. 4422 ((TTrraassffeerriimmeennttii aallll’’iinntteerrnnoo ddeellll’’UUnniioonnee eeuurrooppeeaa))

comma 1 ---

AArrtt.. 4433 ((TTrraassffeerriimmeennttii ccoonnsseennttiittii iinn PPaaeessii tteerrzzii))

alinea del comma 1 • art. 28, comma 1, legge n. 675/1996

comma 1 • artt. 28, comma 4, eccetto la lett. g), e 26,

comma 2, legge n. 675/1996;

• art. 7, comma 4, d.lg n. 281/1999

AArrtt.. 4444 ((AAllttrrii ttrraassffeerriimmeennttii ccoonnsseennttiittii)) • art. 28, comma 4, lett. g), legge n. 675/1996

AArrtt.. 4455 ((TTrraassffeerriimmeennttii vviieettaattii)) • art. 28, comma 3, legge n. 675/1996

Parte II - Disposizioni relative a specifici settori

Titolo I - Trattamenti in ambito giudiziarioCapo I - Profili generali • cfr. art. 3, direttiva 95/46/CE

AArrtt.. 4466 ((TTiittoollaarrii ddeeii ttrraattttaammeennttii)) ---

AArrtt.. 4477 ((TTrraattttaammeennttii ppeerr rraaggiioonnii ddii ggiiuussttiizziiaa)) • art. 3, par. 2, (primo periodo) direttiva 95/46/CE;

art. 4, comma 1, lett. c) e d) e comma 2, legge

n. 675/1996

AArrtt.. 4488 ((BBaanncchhee ddii ddaattii ddii uuffffiiccii ggiiuuddiizziiaarrii)) ---

AArrtt.. 4499 ((DDiissppoossiizziioonnii ddii aattttuuaazziioonnee)) ---

M a s s i m a r i o 1 9 9 7 / 2 0 0 1278

Capo II - Minori

AArrtt.. 5500 ((NNoottiizziiee oo iimmmmaaggiinnii rreellaattiivvee aaii mmiinnoorrii)) ---

Capo III - Informatica giuridica

AArrtt.. 5511 ((PPrriinncciippii ggeenneerraallii)) ---

AArrtt.. 5522 ((DDaattii iiddeennttiiffiiccaattiivvii ddeeggllii iinntteerreessssaattii)) ---

Titolo II - Trattamenti da parte di forze di poliziaCapo I - Profili generali • cfr. art. 3, direttiva 95/46/CE

AArrtt.. 5533 ((AAmmbbiittoo aapppplliiccaattiivvoo ee ttiittoollaarrii ddeeii ttrraattttaammeennttii)) • art. 3, par. 2, (primo periodo) direttiva 95/46/CE;

art. 4, comma 1, lett. a) ed e) e comma 2, legge

n. 675/1996

AArrtt.. 5544 ((MMooddaalliittàà ddii ttrraattttaammeennttoo ee fflluussssii ddii ddaattii)) ---

AArrtt.. 5555 ((PPaarrttiiccoollaarrii tteeccnnoollooggiiee)) ---

AArrtt.. 5566 ((TTuutteellaa ddeellll’’iinntteerreessssaattoo)) ---

AArrtt.. 5577 ((DDiissppoossiizziioonnii ddii aattttuuaazziioonnee)) ---

Titolo III - Difesa e sicurezza dello StatoCapo I - Profili generali • art. 3, direttiva 95/46/CE

AArrtt.. 5588 ((DDiissppoossiizziioonnii aapppplliiccaabbiillii))

comma 1 • art. 4, commi 1, lett. b) e 2, legge n. 675/1996

comma 2 • art. 4, commi 1, lett. e) e 2, legge n. 675/1996


comma 4 ---

Titolo IV - Trattamenti in ambito pubblicoCapo I - Accesso a documenti amministrativi

AArrtt.. 5599 ((AAcccceessssoo aa ddooccuummeennttii aammmmiinniissttrraattiivvii)) • art. 43, comma 2, legge 675/1996;

art. 16, comma 1, lett. c), d.lg. n. 135/1999

AArrtt.. 6600 ((DDaattii iiddoonneeii aa rriivveellaarree lloo ssttaattoo ddii ssaalluuttee

ee llaa vviittaa sseessssuuaallee)) • art. 16, comma 2, d.lg. n. 135/1999


Capo II - Registri pubblici e albi professionali

AArrtt.. 6611 ((UUttiilliizzzzaazziioonnee ddii ddaattii ppuubbbblliiccii))

comma 1 • art. 20, comma 1, lett. f ), d.lg. n. 467/2001

comma 2 ---

comma 3 ---

comma 4 ---

Capo III - Stato civile, anagrafi e liste elettorali

AArrtt.. 6622 ((DDaattii sseennssiibbiillii ee ggiiuuddiizziiaarrii)) • art. 6 d.lg. n. 135/1999

AArrtt.. 6633 ((CCoonnssuullttaazziioonnee ddii aattttii)) ---

Capo IV- Finalità di rilevante interesse pubblico

AArrtt.. 6644 ((CCiittttaaddiinnaannzzaa,, iimmmmiiggrraazziioonnee ee ccoonnddiizziioonnee ddeelllloo ssttrraanniieerroo))




AArrtt.. 6655 ((DDiirriittttii ppoolliittiiccii ee ppuubbbblliicciittàà ddeellll’’aattttiivviittàà ddii oorrggaannii))

comma 1 • art. 8, commi 1 e 2, d.lg. n. 135/1999





AArrtt.. 6666 ((MMaatteerriiaa ttrriibbuuttaarriiaa ee ddooggaannaallee))



AArrtt.. 6677 ((AAttttiivviittàà ddii ccoonnttrroolllloo ee iissppeettttiivvee))

comma 1, lett. a) • art. 11, comma 1, d.lg. n. 135/1999

lett. b) • art. 11, comma 3, d.lg. n. 135/1999

AArrtt.. 6688 ((BBeenneeffiiccii eeccoonnoommiiccii eedd aabbiilliittaazziioonnii))




AArrtt.. 6699 ((OOnnoorriiffiicceennzzee,, rriiccoommppeennssee ee rriiccoonnoosscciimmeennttii)) • art. 14, d.lg. n. 135/1999

M a s s i m a r i o 1 9 9 7 / 2 0 0 1280

AArrtt.. 7700 ((VVoolloonnttaarriiaattoo ee oobbiieezziioonnee ddii ccoosscciieennzzaa))



AArrtt.. 7711 ((AAttttiivviittàà ssaannzziioonnaattoorriiee ee ddii ttuutteellaa))

comma 1 • art. 16, comma 1, lett. a) e b), d.lg. n. 135/1999


AArrtt.. 7722 ((RRaappppoorrttii ccoonn eennttii ddii ccuullttoo)) • art. 21, d.lg. n. 135/1999

AArrtt.. 7733 ((AAllttrree ffiinnaalliittàà iinn aammbbiittoo aammmmiinniissttrraattiivvoo ee ssoocciiaallee)) • Provvedimento del Garante n. 1/P/2000

del 30 dicembre 1999 - 13 gennaio 2000

Capo V - Particolari contrassegni

AArrtt.. 7744 ((CCoonnttrraasssseeggnnii ssuu vveeiiccoollii ee aacccceessssii aa cceennttrrii ssttoorriiccii)) ---

Titolo V - Trattamento di dati personali in ambito sanitarioCapo I - Principi generali • cfr. art. 8, direttiva 95/46/CE

AArrtt.. 7755 ((AAmmbbiittoo aapppplliiccaattiivvoo)) • art. 1. d.lg. n. 282/1999

AArrtt.. 7766 ((EEsseerrcceennttii pprrooffeessssiioonnii ssaanniittaarriiee ee oorrggaanniissmmii ssaanniittaarrii ppuubbbblliiccii))


comma 2 ---

comma 3 • art. 23, comma 3, (primo periodo), legge n. 675/1996

Capo II - Modalità semplificate per informativa e consenso

AArrtt.. 7777 ((CCaassii ddii sseemmpplliiffiiccaazziioonnee)) ---

AArrtt.. 7788 ((IInnffoorrmmaattiivvaa ddeell mmeeddiiccoo ddii mmeeddiicciinnaa ggeenneerraallee oo ddeell ppeeddiiaattrraa)) ---

AArrtt.. 7799 ((IInnffoorrmmaattiivvaa ddaa ppaarrttee ddii oorrggaanniissmmii ssaanniittaarrii)) ---

AArrtt.. 8800 ((IInnffoorrmmaattiivvaa ddaa ppaarrttee ddii aallttrrii ssooggggeettttii ppuubbbblliiccii)) ---

AArrtt.. 8811 ((PPrreessttaazziioonnee ddeell ccoonnsseennssoo)) ---

AArrtt.. 8822 ((EEmmeerrggeennzzee ee ttuutteellaa ddeellllaa ssaalluuttee ee ddeellll’’iinnccoolluummiittàà ffiissiiccaa))

comma 1 ---

comma 2 • art. 23, comma 1-quater, legge n. 675/1996


comma 3 ---

comma 4 ---

AArrtt.. 8833 ((AAllttrree mmiissuurree ppeerr iill rriissppeettttoo ddeeii ddiirriittttii ddeeggllii iinntteerreessssaattii)) ---

AArrtt.. 8844 ((CCoommuunniiccaazziioonnee ddii ddaattii aallll’’iinntteerreessssaattoo))


comma 2 ---

Capo III - Finalità di rilevante interesse pubblico

AArrtt.. 8855 ((CCoommppiittii ddeell SSeerrvviizziioo ssaanniittaarriioo nnaazziioonnaallee))


comma 2 ---

comma 3 ---


AArrtt.. 8866 ((AAllttrree ffiinnaalliittàà ddii rriilleevvaannttee iinntteerreessssee ppuubbbblliiccoo))

comma 1

lett. a) • art. 18, d.lg. n. 135/1999

lett. b) • art. 19, d.lg. n. 135/1999

lett. c) • art. 20, d.lg. n. 135/1999

Capo IV - Prescrizioni mediche

AArrtt.. 8877 ((MMeeddiicciinnaallii aa ccaarriiccoo

ddeell SSeerrvviizziioo ssaanniittaarriioo nnaazziioonnaallee)) • art. 4, comma 2, d.lg. n. 282/1999

AArrtt.. 8888 ((MMeeddiicciinnaallii nnoonn aa ccaarriiccoo

ddeell SSeerrvviizziioo ssaanniittaarriioo nnaazziioonnaallee)) • art. 4, comma 1, d.lg. n. 282/1999

AArrtt.. 8899 ((CCaassii ppaarrttiiccoollaarrii))

comma 1 ---


Capo V - Dati genetici

AArrtt.. 9900 ((TTrraattttaammeennttoo ddeeii ddaattii ggeenneettiiccii ee ddoonnaattoorrii ddii mmiiddoolllloo oosssseeoo))


comma 2 ---


M a s s i m a r i o 1 9 9 7 / 2 0 0 1282

Capo VI - Disposizioni varie

AArrtt.. 9911 ((DDaattii ttrraattttaattii mmeeddiiaannttee ccaarrttee)) ---

AArrtt.. 9922 ((CCaarrtteellllee cclliinniicchhee)) ---

AArrtt.. 9933 ((CCeerrttiiffiiccaattoo ddii aassssiisstteennzzaa aall ppaarrttoo))


comma 2 ---

comma 3 ---

AArrtt.. 9944 ((BBaanncchhee ddii ddaattii,, rreeggiissttrrii ee sscchheeddaarrii iinn aammbbiittoo ssaanniittaarriioo)) ---

Titolo VI - IstruzioneCapo I - Profili generali

AArrtt.. 9955 ((DDaattii sseennssiibbiillii ee ggiiuuddiizziiaarrii)) • art. 12, d.lg. n. 135/1999

AArrtt.. 9966 ((TTrraattttaammeennttoo ddii ddaattii rreellaattiivvii aa ssttuuddeennttii))

comma 1 • art. 330 bis, (primo e secondo periodo)

d.lg. n. 297/1994

comma 2 • art. 330 bis, (terzo periodo), d.lg. n. 297/1994

Titolo VII - Trattamento per scopi storici, statistici o scientificiCapo I - Profili generali • cfr. artt. 6, 11, par. 2, 13, par. 2, direttiva 95/46/CE

AArrtt.. 9977 ((AAmmbbiittoo aapppplliiccaattiivvoo)) ---

AArrtt.. 9988 ((FFiinnaalliittàà ddii rriilleevvaannttee iinntteerreessssee ppuubbbblliiccoo)) • artt. 22 e 23, d.lg. n. 135/1999

AArrtt.. 9999 ((CCoommppaattiibbiilliittàà ttrraa ssccooppii ee dduurraattaa ddeell ttrraattttaammeennttoo))

Comma 1 • art. 9, comma 1 bis, legge 675/1996

comma 2 • art. 9, comma 1 bis, legge 675/1996

comma 3 • art. 16, comma 2, lett. c bis), legge 675/1996

AArrtt.. 110000 ((DDaattii rreellaattiivvii aadd aattttiivviittàà ddii ssttuuddiioo ee ddii rriicceerrccaa)) • art. 6, comma 4, d.lg. n. 204/1998

Capo II - Trattamento per scopi storici

AArrtt.. 110011 ((MMooddaalliittàà ddii ttrraattttaammeennttoo))

comma 1 • art. 7, comma 1, d.lg.n. 281/1999


comma 3 • art. 7, comma 3, d.lg.n. 281/1999

AArrtt.. 110022 ((CCooddiiccee ddii ddeeoonnttoollooggiiaa ee ddii bbuuoonnaa ccoonnddoottttaa))




AArrtt.. 110033 ((CCoonnssuullttaazziioonnee ddii ddooccuummeennttii ccoonnsseerrvvaattii iinn aarrcchhiivvii)) ---

Capo III - Trattamento per scopi statistici o scientifici

AArrtt.. 110044 ((AAmmbbiittoo aapppplliiccaattiivvoo ee ddaattii iiddeennttiiffiiccaattiivvii ppeerr ssccooppii ssttaattiissttiiccii oo sscciieennttiiffiiccii))



AArrtt.. 110055 ((MMooddaalliittàà ddii ttrraattttaammeennttoo))



comma 3 ---

comma 4 ---

AArrtt.. 110066 ((CCooddiiccii ddii ddeeoonnttoollooggiiaa ee ddii bbuuoonnaa ccoonnddoottttaa))



AArrtt.. 110077 ((TTrraattttaammeennttoo ddii ddaattii sseennssiibbiillii))


AArrtt.. 110088 ((SSiisstteemmaa ssttaattiissttiiccoo nnaazziioonnaallee)) ---

AArrtt.. 110099 ((DDaattii ssttaattiissttiiccii rreellaattiivvii aallll’’eevveennttoo ddeellllaa nnaasscciittaa)) ---

AArrtt.. 111100 ((RRiicceerrccaa mmeeddiiccaa,, bbiioommeeddiiccaa eedd eeppiiddeemmiioollooggiiccaa))



Titolo VIII - Lavoro e previdenza socialeCapo I - Profili generali

AArrtt.. 111111 ((CCooddiiccee ddii ddeeoonnttoollooggiiaa ee ddii bbuuoonnaa ccoonnddoottttaa))

comma 1 • art. 20, comma 2, lett. b), d.lg., n. 467/2001

AArrtt.. 111122 ((FFiinnaalliittàà ddii rriilleevvaannttee iinntteerreessssee ppuubbbblliiccoo))




M a s s i m a r i o 1 9 9 7 / 2 0 0 1284

Capo II - Annunci di lavoro e dati riguardanti prestatori di lavoro

AArrtt.. 111133 ((RRaaccccoollttaa ddii ddaattii ee ppeerrttiinneennzzaa)) • cfr. art. 8, legge n. 300/1970

Capo III - Divieto di controllo a distanza e telelavoro

AArrtt.. 111144 ((CCoonnttrroolllloo aa ddiissttaannzzaa)) • cfr. art. 4, comma 1, legge n. 300/1970

AArrtt.. 111155 ((TTeelleellaavvoorroo ee llaavvoorroo aa ddoommiicciilliioo))

comma 1 e 2 • art. 6, legge n. 339/1958

Capo IV - Istituti di patronato e di assistenza sociale

AArrtt.. 111166 ((CCoonnoosscciibbiilliittàà ddii ddaattii ssuu mmaannddaattoo ddeellll’’iinntteerreessssaattoo))

commi 1 e 2 • art. 12, legge n. 152/2001

Titolo IX - Sistema bancario, finanziario ed assicurativoCapo I - Sistemi informativi

AArrtt.. 111177 ((AAffffiiddaabbiilliittàà ee ppuunnttuuaalliittàà nneeii ppaaggaammeennttii))

comma 1 • art. 20, comma 1, lett. e), d.lg. n. 467/2001

AArrtt.. 111188 ((IInnffoorrmmaazziioonnii ccoommmmeerrcciiaallii))

comma 1 • art. 20, comma 1, lett. d), d.lg. n. 467/2001

AArrtt.. 111199 ((DDaattii rreellaattiivvii aall ccoommppoorrttaammeennttoo ddeebbiittoorriioo)) ------

AArrtt.. 112200 ((SSiinniissttrrii)) • art. 2, comma 5 quater 1, d.l. n. 70/2000, convertito

dalla legge n. 137/2000

Titolo X - Comunicazioni elettronicheCapo I - Servizi di comunicazione elettronica

AArrtt.. 112211 ((SSeerrvviizzii iinntteerreessssaattii)) • cfr. art. 3, direttiva n. 2002/58/CE

AArrtt.. 112222 ((IInnffoorrmmaazziioonnii rraaccccoollttee nneeii rriigguuaarrddii

ddeellll’’aabbbboonnaattoo ee ddeellll’’uutteennttee)) • cfr. art. 5, par. 3, direttiva n. 2002/58/CE

AArrtt.. 112233 ((DDaattii rreellaattiivvii aall ttrraaffffiiccoo))

comma 1 • cfr. art. 6, direttiva n. 2002/58/CE;

art. 4, comma 1, d.lg. 13 maggio 1998, n. 171;



comma 4 ---




AArrtt.. 112244 ((FFaattttuurraazziioonnee ddeettttaagglliiaattaa))


art. 5, comma 3 (primo periodo), d.lg. n. 171/1998



comma 4 • art. 5, comma 3 (secondo periodo), d.lg. n. 171/1998

comma 5 ---

AArrtt.. 112255 ((IIddeennttiiffiiccaazziioonnee ddeellllaa lliinneeaa))


art. 6, comma 1, d.lg. n. 171/1998






AArrtt.. 112266 ((DDaattii rreellaattiivvii aallll’’uubbiiccaazziioonnee)) • cfr. art. 9, direttiva n. 2002/58/CE

AArrtt.. 112277 ((CChhiiaammaattee ddii ddiissttuurrbboo ee ddii eemmeerrggeennzzaa))


art. 7, comma 1, d.lg. n. 171/1998


comma 3 ---

comma 4 • art. 7, comma 2 bis, d.lg. n. 171/1998

AArrtt.. 112288 ((TTrraassffeerriimmeennttoo aauuttoommaattiiccoo ddeellllaa cchhiiaammaattaa))


art. 8, comma 1, d.lg. n. 171/1998

AArrtt.. 112299 ((EElleenncchhii ddii aabbbboonnaattii)) • cfr. art. 12, direttiva n. 2002/58/CE;

art. 9, d.lg. n. 171/1998

AArrtt.. 113300 ((CCoommuunniiccaazziioonnii iinnddeessiiddeerraattee)) • cfr. art. 13, direttiva n. 2002/58/CE;

art. 10, d.lg. n. 171/1998

AArrtt.. 113311 ((IInnffoorrmmaazziioonnii aadd aabbbboonnaattii ee uutteennttii)) • art. 3, d.lg. n. 171/1998

AArrtt.. 113322 ((CCoonnsseerrvvaazziioonnee ddii ddaattii ddii ttrraaffffiiccoo

ppeerr aallttrree ffiinnaalliittàà)) • cfr. art. 15, direttiva n. 2002/58/CE

M a s s i m a r i o 1 9 9 7 / 2 0 0 1286

Capo II - Internet e reti telematiche

AArrtt.. 113333 ((CCooddiiccee ddii ddeeoonnttoollooggiiaa ee ddii bbuuoonnaa ccoonnddoottttaa)) • art. 20, comma 2, lett. a), d.lg. n. 467/2001

Capo III - Videosorveglianza

AArrtt.. 113344 ((CCooddiiccee ddii ddeeoonnttoollooggiiaa ee ddii bbuuoonnaa ccoonnddoottttaa)) • art. 20, comma 2, lett. g), d.lg. n. 467/2001

Titolo XI - Libere professioni e investigazione privataCapo I - Profili generali

AArrtt.. 113355 ((CCooddiiccee ddii ddeeoonnttoollooggiiaa ee ddii bbuuoonnaa ccoonnddoottttaa)) • art. 22, comma 4, lett. c), secondo periodo,

legge n. 675/1996

Titolo XII - Giornalismo ed espressione letteraria ed artisticaCapo I - Profili generali • cfr. art. 9, direttiva 95/46/CE

AArrtt.. 113366 ((FFiinnaalliittàà ggiioorrnnaalliissttiicchhee eedd aallttrree mmaanniiffeessttaazziioonnii ddeell ppeennssiieerroo))

comma 1, lett. a) • art. 25, comma 1, legge n. 675/1996

lett. b) e c) • art. 25, comma 4 bis, legge n. 675/1996

AArrtt.. 113377 ((DDiissppoossiizziioonnii aapppplliiccaabbiillii))

comma 1, lett. a) • art. 25, comma 1, legge n. 675/1996

lett. b) • art. 25, comma 1, legge n. 675/1996

lett. c) • art. 28, comma 6, legge n. 675/1996

comma 2 • art. 12, comma 1, lett. e), legge n. 675/1996;


comma 3 • art. 20, comma 1, lett. d), e art. 25, comma 1,

legge n. 675/1996

AArrtt.. 113388 ((SSeeggrreettoo pprrooffeessssiioonnaallee)) • art. 13, comma 5, legge n. 675/1996

Capo II - Codice di deontologia

AArrtt.. 113399 ((CCooddiiccee ddii ddeeoonnttoollooggiiaa

rreellaattiivvoo aadd aattttiivviittàà ggiioorrnnaalliissttiicchhee)) • art. 25, commi 2 , 3 e 4, legge n. 675/1996

Titolo XIII - Marketing direttoCapo I - Profili generali

AArrtt.. 114400 ((CCooddiiccee ddii ddeeoonnttoollooggiiaa ee ddii bbuuoonnaa ccoonnddoottttaa)) • art. 20, comma 2, lett. c), d.lg. n. 467/2001


Parte III - Tutela dell’interessato e sanzioni

Titolo I - Tutela amministrativa e giurisdizionaleCapo I - Tutela dinanzi al Garante

Sezione I - Principi generali • cfr. art. 22, direttiva 95/46/CE

AArrtt.. 114411 ((FFoorrmmee ddii ttuutteellaa)) ---

Sezione II - Tutela amministrativa

AArrtt.. 114422 ((PPrrooppoossiizziioonnee ddeeii rreeccllaammii)) ---

AArrtt.. 114433 ((PPrroocceeddiimmeennttoo ppeerr ii rreeccllaammii)) • art. 21, comma 3, legge n. 675/1996;

art. 31, comma 1, lett. c) e l), legge n. 675/1996

AArrtt.. 114444 ((SSeeggnnaallaazziioonnii)) ---

Sezione III - Tutela alternativa a quella giurisdizionale

AArrtt.. 114455 ((RRiiccoorrssii))

comma 1 • art. 29, comma 1, primo periodo, legge n. 675/1996

comma 2 • art. 29, comma 1, secondo periodo, legge n.

675/1996


AArrtt.. 114466 ((IInntteerrppeelllloo pprreevveennttiivvoo))



comma 3 ---

AArrtt.. 114477 ((PPrreesseennttaazziioonnee ddeell rriiccoorrssoo))

comma 1, lett. a) • art. 18, comma 1, lett. a), d.P.R. n. 501/1998

lett. b) • art. 18, comma 1, lett. c), (seconda parte)

d.P.R. n. 501/1998

lett. c) • art. 18, comma 1, lett. d), d.P.R. n. 501/1998

lett. d) • art. 18, comma 1, lett. c), (prima parte)

d.P.R. n. 501/1998

lett. e) • art. 18, comma 1, lett. b), d.P.R. n. 501/1998

alinea del comma 2 • art. 18, comma 1, lett. e), d.P.R. n. 501/1998

lett. a), b) e c) • art. 18, comma 3, d.P.R. n. 501/1998



comma 5 • art. 18, alinea del comma 1, d.P.R. n. 501/1998

M a s s i m a r i o 1 9 9 7 / 2 0 0 1288

AArrtt.. 114488 ((IInnaammmmiissssiibbiilliittàà ddeell rriiccoorrssoo))



AArrtt.. 114499 ((PPrroocceeddiimmeennttoo rreellaattiivvoo aall rriiccoorrssoo))




art. 20, comma 3, d.P.R. n. 501/1998

comma 4 ---




comma 8 • art. 29, comma 6 bis, legge n. 675/1996

AArrtt.. 115500 ((PPrroovvvveeddiimmeennttii aa sseegguuiittoo ddeell rriiccoorrssoo))



comma 3 ---



comma 6 ---

AArrtt.. 115511 ((OOppppoossiizziioonnee))


comma 2 ---

Capo II - Tutela giurisdizionale

AArrtt.. 115522 ((AAuuttoorriittàà ggiiuuddiizziiaarriiaa oorrddiinnaarriiaa))


comma 2 ---

comma 3 ---

comma 4 ---

comma 5 ---

comma 6 ---

comma 7 ---

comma 8 ---

comma 9 ---

comma 10 ---

comma 11 ---



Comma 14 ---


Titolo II - L’AutoritàCapo I - Il Garante per la protezione dei dati personali • cfr. art. 28, direttiva 95/45/CE

AArrtt.. 115533 ((IIll GGaarraannttee))


comma 2 • art. 30, comma 3, primo e terzo periodo,

legge n. 675/1996





comma 7 • art. 33, (prima frase), legge n. 675/1996

AArrtt.. 115544 ((CCoommppiittii))

alinea del comma 1 • art. 31, alinea, legge n. 675/1996

lett. a) • art. 31, comma 1, lett. b), legge n. 675/1996

lett. b) • art. 31, comma 1, lett. d), legge n. 675/1996

lett. C) • art. 31, comma 1, lett. c), legge n. 675/1996

lett. D) • art. 31, comma 1, lett. e ed l), legge n. 675/1996

lett. e) • art. 31, comma 1, lett. h), legge n. 675/1996

lett. f ) • art. 31, comma 1, lett. m), legge n. 675/1996

lett. G) ---

lett. H) • art. 31, comma 1, lett. i), legge n. 675/1996

lett. i) • art. 31, comma 1, lett. g), legge n. 675/1996

lett. l) • art. 31, comma 1, lett. a), legge n. 675/1996

lett. m) • art. 31, comma 1, lett. n), legge n. 675/1996

comma 2 • art. 31, comma 1, lett. o), legge n. 675/1996

comma 3 • art. 31, commi 5 e 6, legge n. 675/1996


comma 5 ---

comma 6 • art. 40 legge n. 675/1996

Capo II - L’Ufficio del Garante

AArrtt.. 115555 ((PPrriinncciippii aapppplliiccaabbiillii))

comma 1 • art. 33, comma 1-sexies, legge n. 675/1996

AArrtt.. 115566 ((RRuuoolloo oorrggaanniiccoo ee ppeerrssoonnaallee))

comma 1 • art. 33, comma 1, ultimo periodo, legge n. 675/1996

comma 2 ---

comma 3 • art. 33, commi 1 bis e 1 quater, legge n. 675/1996

comma 4 • art. 33, comma 1 ter, legge n. 675/1996

comma 5 • art. 33, comma 1 quinquies, legge n. 675/1996

comma 6 ---

M a s s i m a r i o 1 9 9 7 / 2 0 0 1290



comma 9 • art. 33, comma 6 bis, legge n. 675/1996


Capo III - Accertamenti e controlli

AArrtt.. 115577 ((RRiicchhiieessttaa ddii iinnffoorrmmaazziioonnii ee ddii eessiibbiizziioonnee ddii ddooccuummeennttii))


AArrtt.. 115588 ((AAcccceerrttaammeennttii))




art. 15, comma 1, d.P.R. n. 501/1998

AArrtt.. 115599 ((MMooddaalliittàà))

comma 1 • art. 15, commi 6 e 7, secondo periodo, d.P.R. n. 501/1998


art. 15, comma 5, d.P.R. n. 501/1998

comma 3 • art. 15, commi 2 e 7, primo periodo, d.P.R. n. 501/1998




AArrtt.. 116600 ((PPaarrttiiccoollaarrii aacccceerrttaammeennttii))



comma 3 • art. 32, comma 7, primo e secondo periodo,

legge n. 675/1996

comma 4 • art. 32, comma 7, terzo periodo, legge n. 675/1996

comma 5 ---

comma 6 ---

Titolo III - SanzioniCapo I - Violazioni amministrative • cfr. art. 24, direttiva 95/46/CE

AArrtt.. 116611 ((OOmmeessssaa oo iinniiddoonneeaa iinnffoorrmmaattiivvaa aallll’’iinntteerreessssaattoo))


AArrtt.. 116622 ((AAllttrree ffaattttiissppeecciiee))




AArrtt.. 116633 ((OOmmeessssaa oo iinnccoommpplleettaa nnoottiiffiiccaazziioonnee))


AArrtt.. 116644 ((OOmmeessssaa iinnffoorrmmaazziioonnee oo eessiibbiizziioonnee aall GGaarraannttee))


AArrtt.. 116655 ((PPuubbbblliiccaazziioonnee ddeell pprroovvvveeddiimmeennttoo ddeell GGaarraannttee))

comma 1 ---

AArrtt.. 116666 ((PPrroocceeddiimmeennttoo ddii aapppplliiccaazziioonnee))


Capo II - Illeciti penali

AArrtt.. 116677 ((TTrraattttaammeennttoo iilllleecciittoo ddii ddaattii))


art. 11, d.lg. 171/1998


AArrtt.. 116688 ((FFaallssiittàà nneellllee ddiicchhiiaarraazziioonnii ee nnoottiiffiiccaazziioonnii aall GGaarraannttee))

comma 1 • art. 37 bis, comma 1,legge n. 675/1996

AArrtt.. 116699 ((MMiissuurree ddii ssiiccuurreezzzzaa))



AArrtt.. 117700 ((IInnoosssseerrvvaannzzaa ddii pprroovvvveeddiimmeennttii ddeell GGaarraannttee))


AArrtt.. 117711 ((AAllttrree ffaattttiissppeecciiee)) ---

AArrtt.. 117722 ((PPeennee aacccceessssoorriiee))


Titolo IV - Disposizioni modificative, abrogative, transitorie e finaliCapo I - Disposizioni di modifica

AArrtt.. 117733 ((CCoonnvveennzziioonnee ddii aapppplliiccaazziioonnee ddeellll’’AAccccoorrddoo ddii SScchheennggeenn)) ---

AArrtt.. 117744 ((NNoottiiffiicchhee ddii aattttii ee vveennddiittee ggiiuuddiizziiaarriiee)) ---

AArrtt.. 117755 ((FFoorrzzee ddii PPoolliizziiaa)) ------

M a s s i m a r i o 1 9 9 7 / 2 0 0 1292

AArrtt.. 117766 ((SSooggggeettttii ppuubbbblliiccii)) ---

AArrtt.. 117777 ((DDiisscciipplliinnaa aannaaggrraaffiiccaa,, ddeelllloo ssttaattoo cciivviillee ee ddeellllee lliissttee eelleettttoorraallii)) ---

AArrtt.. 117788 ((DDiissppoossiizziioonnii iinn mmaatteerriiaa ssaanniittaarriiaa))

comma 1 ---

comma 2 ---


comma 4 ---

comma 5 ---

AArrtt.. 117799 ((AAllttrree mmooddiiffiicchhee)) ---

Capo II - Disposizioni transitorie

AArrtt.. 118800 ((MMiissuurree ddii ssiiccuurreezzzzaa)) ---

AArrtt.. 118811 ((AAllttrree ddiissppoossiizziioonnii ttrraannssiittoorriiee))

comma 1 ---

comma 2 ---

comma 3 ---


comma 5 ---

comma 6 ---

AArrtt.. 118822 ((UUffffiicciioo ddeell GGaarraannttee)) ---

Capo III - Abrogazioni

AArrtt.. 118833 ((NNoorrmmee aabbrrooggaattee)) ---

Capo IV - Norme finali

AArrtt.. 118844 ((AAttttuuaazziioonnee ddii ddiirreettttiivvee eeuurrooppeeee))

comma 1 ---

comma 2 ---


AArrtt.. 118855 ((AAlllleeggaazziioonnee ddeeii ccooddiiccii ddii ddeeoonnttoollooggiiaa ee ddii bbuuoonnaa ccoonnddoottttaa)) ---

AArrtt.. 118866 ((EEnnttrraattaa iinn vviiggoorree)) ---


AVVISO PER I LETTORI(art. 10 legge n. 675/1996; art. 13 Codice in materia di prote-zione dei dati personali)

I nominativi e gli indirizzi utilizzati per inviare questapubblicazione sono trattati con strumenti ancheinformatici (senza una loro particolare elaborazione),non verranno comunicati a terzi e saranno utilizzatisolo ai fini dell’ invio. L’interessato potrà rivolgersi inogni momento al Garante per la protezione dei datipersonali (Roma, Piazza di Monte Citorio n. 121, fax: 06 69677785, e-mail: [email protected])per verificarli o farli integrare, aggiornare o rettifica-re e/o per esercitare gli altri diritti previsti dalla nor-mativa in materia di protezione dei dati personali(art. 13, legge n. 675/1996; art. 8 del Codice in mate-ria di protezione dei dati personali).

RedazioneGarante per la protezione dei dati personali

Piazza di Monte Citorio, 12100186 Romafax 06 69677785www.garanteprivacy.itwww.dataprotection.orge-mail: [email protected]

Pubblicazione della Presidenza del Consiglio dei MinistriDipartimento per l’informazione e l’editoria

Direttore: Mauro Masi

Via Po, 14 - 00198 Roma - tel. 06 85981

Vita italiana - Schede

Coordinamento editoriale: Augusta Busico

Stampa e distribuzione:Ufficio grafico dell’Istituto Poligrafico e Zecca dello Stato presso il Dipartimento per l’informazione e l’editoria

Progetto grafico:Vertigo Design

Stefano Rodotà, PresidenteGiuseppe Santaniello, Vice PresidenteGaetano Rasi, ComponenteMauro Paissan, Componente

Giovanni Buttarelli, Segretario generale

Piazza di Monte Citorio, 12100186 Romafax 06 69677785www.garanteprivacy.itwww.dataprotection.org



ANNI DI ATTIVITÀ

1997-2001

Massimario


Questo volume contiene una sintesi dei principi af-

fermati dal Garante nel corso del primo quinquennio

di attività, ordinati secondo uno schema di classifica-

zione e completati dei riferimenti necessari per repe-

rire i singoli provvedimenti. L’attività di massimazio-

ne proseguirà con continuità e i risultati saranno

consultabili anche attraverso altre fonti documentali

(sito web e bollettini del Garante). Si tratta quindi di

un work in progress che si propone di coniugare la

definizione dei principi istituzionali della materia con

la realtà economico-sociale in continua evoluzione.

Mas

sim

ario

199

7-20

01

CO

NT

RI

BU

TI


massimario 1

Documents

Transcript of massimario 1