Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Servizi postali: Poste Italiane resta titolare del trattamento anche in caso di appalto - 29 aprile 2009 [1617709]

[doc. web n. 1617709]

Servizi postali: Poste Italiane resta titolare del trattamento anche in caso di appalto - 29 aprile 2009

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

IN DATA ODIERNA, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Filippo Patroni Griffi, segretario generale;

ESAMINATE, per i profili di competenza di questa Autorità, le segnalazioni concernenti il trattamento di dati personali effettuato nell'ambito dell'attività di recapito della corrispondenza e le recenti notizie di stampa che hanno evidenziato taluni disservizi nel recapito della corrispondenza, con particolare riferimento a quelli resi da Poste Italiane s.p.a., titolare della concessione per la fornitura del servizio universale;

VISTI gli elementi acquisiti a seguito degli accertamenti effettuati;

VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Giuseppe Chiaravalloti;

PREMESSO

1.1. In numerose segnalazioni sono stati portati all'attenzione del Garante disservizi nell'espletamento dell'attività di recapito della corrispondenza da parte di Poste Italiane s.p.a. (di recente riferiti anche da notizie di stampa), con particolare riguardo ai seguenti profili:

  • consegna della corrispondenza a indirizzi o in cassette domiciliari erronee;
  • abbandono, smarrimento o danneggiamento della posta (con conseguenti pericoli per l'integrità o sottrazione della corrispondenza).

Al fine di verificare la liceità dei trattamenti effettuati sono stati acquisiti, a seguito di richieste di informazioni rivolte alla società (in data 9 aprile 2008 e 29 gennaio 2009), elementi volti ad accertarne la conformità alla disciplina di protezione dei dati personali, con particolare riferimento alla corretta designazione degli incaricati e di eventuali responsabili del trattamento e all'osservanza delle misure di sicurezza (anche nella fase della distruzione della corrispondenza per la quale non risulti possibile il recapito).

1.2. Non formano oggetto del presente provvedimento i profili relativi al puntuale assolvimento degli obblighi di servizio assunti dalla società in qualità di titolare della concessione per la fornitura del servizio universale, profili questi suscettibili di controllo da parte del Ministero delle comunicazioni in qualità di Autorità di regolamentazione del settore postale ai sensi degli artt. 2, 12 e 21, d.lg. 22 luglio 1999, n. 261, Attuazione della direttiva 97/67/CE concernente regole comuni per lo sviluppo del mercato interno dei servizi postali comunitari e per il miglioramento della qualità del servizio; analogamente, il presente provvedimento non si sofferma sui casi nei quali viene segnalata la consegna di corrispondenza con piego aperto o manomesso, dovendo tali fattispecie formare oggetto di valutazione in sede giudiziaria con riguardo ad eventuali illeciti penali configurabili.

2. Dall'esame delle dichiarazioni rese dalla società e dalla documentazione allegata non risultano allo stato profili di violazione della disciplina di protezione dei dati personali in relazione alla designazione degli incaricati del trattamento e alle istruzioni ai medesimi impartite (anche nella forma della consegna individualizzata del "Manuale per l'operatore di recapito"), come pure in relazione alla redazione del documento programmatico della sicurezza (v. nota 13 maggio 2008, rispettivamente all. 1 e 2). Anche in relazione alle procedure per la distruzione della corrispondenza inesitata, dalla documentazione allegata non emergono profili di violazione rispetto alla disciplina di settore vigente (nota 13 maggio 2008, all. 8; art. 49 delle condizioni generali di servizio approvate decreto 9 aprile 2001, Approvazione delle condizioni generali del servizio postale e ora art. 25, decreto 1° ottobre 2008, Approvazione delle condizioni generali per l'espletamento del servizio postale universale).

3.1. Considerazioni diverse (v. punto 3.3.), invece, devono essere svolte in relazione al rapporto intercorrente tra Poste italiane s.p.a. (la società) e distinti operatori ai quali vengono affidati taluni servizi di recapito della corrispondenza ("società appaltatrici") in virtù di contratti di appalto regolati da appositi "accordi quadro" aventi ad oggetto il "servizio di distribuzione e raccolta di corrispondenza e posta non indirizzata ed espletamento dei servizi ausiliari" (v. nota 11 febbraio 2009, punto a) e all.ti 1, 2, 3 e 4).

In base a tali accordi, infatti, l'impresa appaltatrice è tenuta ad eseguire "tutte le attività relative alla fornitura del servizio […] con organizzazione dei mezzi necessari e gestione a proprio rischio [essendo] unica responsabile della gestione delle proprie risorse utilizzate nell'appalto [esercitando in via esclusiva] il relativo potere direttivo, organizzativo, disciplinare" (cfr. art. 8.2 degli accordi quadro cit.); con riguardo ai profili di protezione dei dati personali, l'art. 20 degli accordi quadro prevede che Poste Italiane e le società appaltatrici operano "in qualità di titolari autonomi nel pieno rispetto delle disposizioni di cui al D. Lgs. 196 del 30 giugno 2003".

Tale qualità delle società appaltatrici (oltre che di Poste italiane) è stata confermata dalla società anche nelle dichiarazioni rese al Garante (cfr. punto a) della nota 11 febbraio 2009 cit.).

3.2. Dalle risultanze istruttorie emerge, peraltro, che la società si riserva il potere di effettuare attività di controllo, anche ispettive, nei confronti delle società appaltatrici: in particolare esercitando "il diritto di far accedere proprio personale o propri incaricati nei centri di consolidamento e di recapito e di esaminare i documenti relativi al servizio" e facendo "effettuare controlli sulla regolarità e continuità del servizio, nonché verifiche sugli inconvenienti che emergono nell'esercizio di compiti affidati [alla società appaltatrice] impartendo, sentita [la società appaltatrice] indirizzi e direttive in proposito" (v. art. 5, all. n. 3 e art. 8 all. n. 4 alla nota 11 febbraio 2009).

Tali poteri in capo alla società emergono anche alla luce di ulteriore documentazione acquisita agli atti relativa alla procedura organizzativa interna di Poste italiane (denominata "Controlli e rilevazioni sulle attività affidate alle agenzie esterne": cfr. all. 5 alla nota 11 febbraio 2009), nella quale sono descritti "i controlli giornalieri e a campione da effettuare sulle attività svolte dalle agenzie risultate aggiudicatarie di appalti per la fornitura del servizio di recapito ed espletamento di servizi ausiliari".

L'attività svolta dalle appaltatrici è poi vincolata all'osservanza delle istruzioni impartite dalla società in qualità di titolare del trattamento. Facendo leva sull'assunto che "Poste Italiane in qualità di fornitore del servizio postale universale è tenuta a garantire ai cittadini le prestazioni richieste alla stessa società nell'espletamento del servizio postale, nonché ad assicurare standard di qualità a vantaggio della clientela" (v. all. 6 alla nota 11 febbraio 2009), la società ha infatti risolto, a seguito dell'abbandono della corrispondenza affidata ad un'impresa appaltatrice il contratto che la legava a tale società poiché il comportamento posto in essere ha comportato la violazione "non solo [delle] norme poste a tutela della corrispondenza stessa e [de]gli obblighi di riservatezza a cui la ditta era tenuta ma [anche dei] formali impegni assunti nei confronti di Poste Italiane attraverso la sottoscrizione dell'accordo" (v. all. 6 alla nota 11 febbraio 2009).

3.3. La menzionata qualificazione in termini di distinto e autonomo "titolare del trattamento" delle società appaltatrici –con le conseguenze che ciò comporta anche in termini di eventuale responsabilità civile nei confronti degli interessati ai sensi dell'art. 15 del Codice– non risulta conforme ai sensi degli artt. 4, comma 1, lett. f) e g), 28 e 29 del Codice.

Non può dubitarsi del fatto che, nel rispetto della disciplina di settore (art. 232, d.lg. 12 aprile 2006, n. 163 "Codice dei contratti pubblici relativi a lavori, servizi e forniture in attuazione delle direttive 2004/17/CE e 2004/18/CE"), l'esternalizzazione da parte della società di compiti connessi all'espletamento del servizio postale (e dei connessi trattamenti finalizzati al recapito della corrispondenza) possa costituire una soluzione organizzativa pienamente legittima anche in base alla disciplina di protezione dei dati personali. Ciò, tuttavia, a condizione che la stessa trovi corretta applicazione e più precisamente, con riguardo alla fattispecie qui esaminata, a condizione che le società appaltatrici –da individuarsi, in ogni caso, tra soggetti che "per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza" (art. 29, comma 2, del Codice)– siano previamente designate "responsabili del trattamento" ai sensi dell'art. 29 del Codice (in tal senso, peraltro, proprio con riferimento al trattamento dei dati effettuato nell'ambito del servizio Postel, cfr. già il parere reso dal Garante il 19 dicembre 1998, in www.garanteprivacy.it, doc. web n. 41941; v. pure Provv. 24 gennaio 2003, doc. web n. 1067875; Provv. 16 febbraio 2006, doc. web n. 1242592).

Nel caso in esame, infatti, solo in capo a Poste italiane è corretto fare riferimento alla figura di "titolare del trattamento", atteso che solo detta società ha il potere di:

a. assumere decisioni relative alle finalità del trattamento, consistente nel dare attuazione ai compiti connessi all'esecuzione del servizio postale universale (del quale è unica concessionaria). Ciò risulta chiaramente dal menzionato "accordo quadro" che delimita analiticamente, precisandone i compiti, le attività che legittimamente possono essere effettuate dalle società appaltatrici operanti nell'interesse di Poste italiane, e dalle prescrizioni contrattuali relative sia all'esecuzione del servizio di distribuzione e raccolta della corrispondenza, sia all'espletamento di servizi ausiliari (v., in particolare, art. 1, parte B1 degli allegati tecnici ai relativi accordi quadro);

b. impartire istruzioni e direttive vincolanti nei confronti delle società appaltatrici, come emerge dalle istruzioni impartite per dare attuazione al servizio postale affidato in appalto (art. 4 parte B1 e artt. 6 e 7 parte B2 degli allegati tecnici cit.) e sostanzialmente corrispondenti alle istruzioni che il titolare del trattamento deve impartire al responsabile;

c. svolgere funzioni di controllo rispetto all'operato delle medesime e degli incaricati delle stesse, come risulta dalle analitiche previsione della menzionata "procedura interna" relativa alle attività di controllo (v. all. 5, nota 11 febbraio 2009).

3.4. Peraltro, ove le società appaltatrici dovessero operare quali autentici "titolari del trattamento", Poste italiane potrebbe vedersi costretta ad acquisire (ai sensi dell'art. 23 del Codice, non potendo trovare applicazione i presupposti di liceità indicati all'art. 24 del Codice) il consenso degli interessati per la comunicazione di dati personali relativi ai propri clienti –attività di impossibile attuazione– e l'informativa da rendere in base all'art. 13 del Codice alla clientela dovrebbe anche fare riferimento a tale circostanza: del che non vi sono elementi in atti.

Alla luce di tali considerazioni, al fine di rendere conformi alle disposizioni vigenti in materia di protezione dei dati personali i trattamenti effettuati nell'ambito dell'attività di recapito della corrispondenza, il Garante, ai sensi dell'art. 154, comma 1, lett. c), del Codice, prescrive a Poste italiane s.p.a. di designare le società appaltatrici "responsabili del trattamento" ai sensi degli artt. 4, comma 1, lett. g) e 29, commi 4 e 5 del Codice.

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi dell'art. 154, comma 1, lett. c), del Codice, prescrive a Poste italiane s.p.a. di designare le società appaltatrici "responsabili del trattamento" ai sensi degli artt. 4, comma 1, lett. g) e 29, commi 4 e 5 del Codice.

Roma, 29 aprile 2009

IL PRESIDENTE
Pizzetti

IL RELATORE
Chiaravalloti

IL SEGRETARIO GENERALE
Patroni Griffi