Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

10 - Le attività economiche e i rapporti di lavoro

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
1637984
Tipologia:
Relazione annuale

DOCUMENTI CITATI


[doc. web n. 1637984]

Relazione 2008

Relazione 2008 - 2 luglio 2009
Parte II - L'attività svolta dal Garante

   
 

Indice generale 

Paragrafo precedente

Paragrafo successivo

10. Le attività economiche e i rapporti di lavoro  [Relazione 2008 - Parte II - par. 10 (p. 121 - 163).pdfRelazione 2008 - Parte II - par. 10 (p. 121 - 163).pdf  158 Kb.]

10.1. Settore bancario
Anche nel 2008 sono pervenuti numerosi reclami e segnalazioni relativi all'attività bancaria, molti su aspetti già trattati nelle "Linee-guida in materia di trattamento di dati personali della clientela in ambito bancario" (Provv. 25 ottobre 2007, G.U. 23 novembre 2007 n. 273 [doc. web n. 1457247]).

 

Si è riferito nella Relazione 2007 (p. 88) degli accertamenti eseguiti nel 2008 per verificare il rispetto delle prescrizioni impartite nel provvedimento del 27 ottobre 2005 [doc. web n. 1246675] sul trattamento di dati personali dei clienti (immagini del volto e delle impronte digitali) per accedere all'interno delle filiali.

 

 

 


Banche, videosorveglianza
e registrazione
delle impronte digitali

 

Il cliente di un istituto di credito ha segnalato che, recatosi presso la propria banca per negoziare un assegno, dopo essere stato identificato, gli veniva comunicato dall'operatore di sportello, e confermato anche dal direttore, che l'operazione non poteva essere eseguita, poiché il suo nome e cognome risultavano inseriti "nell'elenco dei latitanti terroristi". All'esito dell'attività istruttoria, il Garante ha precisato che nel caso di specie la banca non aveva utilizzato tutte le informazioni pertinenti, complete e non eccedenti in concreto disponibili nel conseguimento della legittima finalità perseguita (come prescritto dall'art. 11, comma 1, lett. d), del Codice). Tali informazioni, contenute nella lista formata e aggiornata periodicamente anche a cura dell'Ufficio italiano dei cambi, non si limitano infatti al solo nome e cognome del sospetto terrorista, ma includono dati ulteriori, quali data, luogo di nascita e codice fiscale. Secondo le indicazioni dell'Uic (provvedimento Uic, 9 novembre 2001, in http://uif.bancaditalia.it/UICFEWebroot/) tra i dati identificativi sono comprese le cariche, le qualifiche e ogni altro dato riferito nelle liste ai soggetti venuti in rilievo. A quest'ultimo riguardo, la coincidenza non sussiste qualora l'intermediario, sulla base di informazioni certe e secondo valutazioni di ragionevolezza, possa escludere che tali cariche e qualifiche siano attribuibili al cliente in quanto incompatibili con il tenore di vita ed ogni sua altra caratteristica oggettiva e soggettiva (cfr. cit. provvedimento Uic punto 2.4).

 

 

 


Attività bancaria
ed elenchi
di sospetti
terroristi

Il Garante ha pertanto prescritto alla banca di adottare tutte le misure necessarie ad assicurare il rispetto dei princìpi di qualità dei dati e correttezza del trattamento (art. 11 del Codice), adattando i sistemi operativi in modo da trattare nella stessa unità di tempo tutte le informazioni pertinenti e non eccedenti, in concreto disponibili, nel conseguimento della legittima finalità perseguita (Provv. 7 febbraio 2008 [doc. web n. 1523046]).

 

In una segnalazione, un correntista ha lamentato che la password per l'accesso on-line ai conti correnti, di cinque caratteri numerici, sarebbe in contrasto con la regola 5 del "Disciplinare tecnico in materia di misure minime di sicurezza" Allegato B. al Codice, che prevede come misura minima di sicurezza l'utilizzo di una password di otto caratteri.

 

 

 


Home banking

Dagli accertamenti, effettuati anche in loco, è emerso che la clientela del servizio di home banking riceve una tessera (Password card) contenente quaranta codici numerici composti da sei cifre decimali, ciascuno dei quali può essere utilizzato una sola volta in occasione di ciascuna operazione dispositiva; una volta esauriti i codici a disposizione, viene inviata al cliente una nuova scheda. Le modalità adottate dall'istituto di credito non sono state comunque ritenute in contrasto con la disciplina di protezione dei dati personali anche in considerazione della circostanza che l'Allegato B. al Codice riguarda le modalità tecniche che devono essere adottate dal titolare del trattamento e, quindi, la menzionata regola 5 si riferisce alle credenziali di autenticazione assegnate agli incaricati del trattamento e non ad altri soggetti, quali la clientela della banca che accede on-line ai servizi bancari (Nota 27 febbraio 2008).

 

Nel 2008 due istituti di credito hanno chiesto di essere esonerati dall'obbligo di rendere l'informativa agli interessati (clienti, fornitori e dipendenti) in relazione ai trattamenti di dati personali conseguenti alle operazioni di ristrutturazione societaria.

 

 

 


Fusioni bancarie

 

Al riguardo, il Garante non ha ritenuto necessaria l'adozione di provvedimenti ai sensi dell'art. 13, comma 5 del Codice, ma con due provvedimenti (11 dicembre 2008 [doc. web n. 1584328] e 19 dicembre 2008 [doc. web n. 1584272]), ha prescritto alle banche interessate dalle operazioni societarie di fornire agli interessati – sia attraverso il sito web delle banche, sia con comunicazione individualizzata in occasione della prima circostanza utile di contatto – la nuova denominazione del titolare del trattamento e gli estremi identificativi dell'eventuale nuovo responsabile presso il quale esercitare il diritto di accesso ai dati personali.

Tale soluzione (peraltro coerente con l'orientamento della Cass. Sez. un., 8 febbraio 2006, n. 2637) deriva dalla considerazione che per effetto della fusione per incorporazione, la banca incorporante assume i diritti e gli obblighi della banca incorporata, e diviene (unico) titolare del trattamento senza che si configuri alcuna (nuova) raccolta di dati. La continuità nei rapporti in corrispondenza di tali operazioni societarie posti in essere dalle banche, risulta conforme anche alla disciplina di settore contenuta nell'art. 57, comma 4, del d.lg. 1° settembre 1993, n. 385 (Testo unico delle leggi in materia bancaria e creditizia).

Nel 2008 alcune associazioni di consumatori e privati cittadini si sono rivolti all'Autorità in merito alla raccolta di dati personali dei clienti effettuata, attraverso questionari prestampati, da parte di operatori bancari e finanziari che, per dare esecuzione a servizi di consulenza, raccolgono presso la clientela informazioni volte a valutare l'adeguatezza e l'appropriatezza delle operazioni o dei servizi di investimento raccomandati agli stessi clienti. In tal modo, gli operatori danno attuazione alla normativa di settore, che ha recepito le direttive comunitarie (2004/39/Ce del 21 aprile 2004, relativa ai princìpi quadro e 2006/73/Ce del 10 agosto 2006, recante le modalità di esecuzione della precedente) attraverso il Regolamento Consob di cui alla delibera n. 16190 del 29 ottobre 2007 in conformità alla previsione contenuta nell'art. 6, comma 2, lett. b), punto 1, d.lg. n. 59/1998 (come modificato dall'art. 2, d.lg. 17 settembre 2007, n. 164).

 

 

 


Trattamenti
di dati personali
e valutazione
di adeguatezza
e appropriatezza
delle operazioni
o dei servizi
di investimento

Al riguardo, l'Autorità ha precisato che le imprese di investimento devono rispettare la disciplina di protezione dei dati personali, in particolare, i princìpi di pertinenza e non eccedenza rispetto alla finalità legittimamente perseguita, in linea anche con le direttive comunitarie e la stessa disciplina nazionale di recepimento (art. 35, parr. 3 e 4, Direttiva 2006/73/Ce; art. 39, commi 2, 3 e 4, Reg. Consob) ed i dati raccolti non possono essere utilizzati dalle imprese di investimento per finalità incompatibili rispetto a quelle che ne hanno determinato la raccolta (art. 11, comma 1, lett. d), del Codice). È pertanto necessaria un'approfondita previa valutazione in ordine alla pertinenza e non eccedenza dei dati personali trattati nell'ambito del servizio di consulenza e di gestione del portafoglio, anzitutto da parte dell'impresa di investimento, tenuto conto delle circostanze concrete relative a ciascuna delle operazioni effettuate o dei servizi resi. Per la mera esecuzione di ordini impartiti dal cliente (cd. "execution only") la normativa vigente non prevede, ricorrendo le indicate condizioni, la raccolta delle menzionate informazioni (art. 43 Reg. Consob; art. 19, par. 6 , Direttiva 2004/39/Ce) (Nota 26 marzo 2009).

 

Alcuni casi (taluni dei quali in corso di approfondimento) hanno riguardato l'asserita comunicazione a terzi da parte della banca di dati personali dei clienti, anche con riferimento al successivo utilizzo di tali informazioni nell'ambito di procedimenti giudiziari.

 

 

 


Comunicazione
a terzi
di dati riferiti
alla clientela

In particolare in un reclamo è stata lamentata la comunicazione da parte di una banca, attraverso la produzione documentale e gli atti depositati in un procedimento giudiziario promosso dal cliente contro la stessa banca, di dati personali relativi non solo all'attore (che comunque lamentava l'eccedenza e non pertinenza di dati allo stesso riferiti), ma anche a soggetti estranei al procedimento giudiziario, quali il figlio (cointestatario con il padre del conto corrente oggetto del giudizio) e la nuora.

In via preliminare, l'Autorità ha rilevato che il giudizio sulla rilevanza e ammissibilità delle prove in giudizio (ivi compresi i profili derivanti dall'applicazione della disciplina sulla protezione dei dati personali) spetta all'autorità giudiziaria (art. 160, comma 6 del Codice, in conformità, dal punto di vista sistematico, con l'art. 116, primo comma c.p.c.). Nel caso in esame, il trattamento dei dati effettuato dalla banca convenuta nei riguardi del proprio cliente risultava essere avvenuto per fare "valere o difendere un diritto in sede giudiziaria" e, pertanto, non richiedeva il consenso degli interessati (art. 24, comma 1, lett. f), del Codice). Infatti, le informazioni trattate erano funzionali a valutare l'esperienza in materia di investimenti in strumenti finanziari, la situazione finanziaria, gli obiettivi di investimento, nonché la propensione al rischio del cliente. Analoghe considerazioni sono stata fatte in relazione ai confronti dei dati del figlio dell'attore, che era, comunque, cointestatario del conto oggetto del procedimento. Una diversa valutazione ha riguardato, invece, il trattamento di dati personali relativi alla nuora dell'attore, che risulta in contrasto con il principio di pertinenza e non eccedenza (oltre che con quello di finalità) dal momento che la stessa non è risultata ad alcun titolo parte del contratto di investimento, né destinataria degli effetti economici dell'operazione (Nota 23 ottobre 2008).

 

In una segnalazione il socio di maggioranza di una società in nome collettivo – divenuto erede anche della quota di minoranza – ha contestato le modalità con le quali una banca, in esecuzione di una pronuncia dell'autorità giudiziaria, aveva fornito al notaio procedente alla formazione dell'inventario di beni ereditari dati in suo possesso riferibili al de cuius e relativi a prelievi e versamenti a qualunque titolo effettuati entro determinati limiti temporali. In particolare, la segnalante ha lamentato la comunicazione da parte della banca di dati inerenti operazioni riferite ad un conto corrente non intestato personalmente al defunto.

 

 

 

 


Produzione
ed esibizione
di documentazione
contenente
informazioni

bancarie
in giudizio

Dagli atti, tuttavia, è emerso che, ancorché nel momento in cui la banca ha dato esecuzione all'ordine impartitole dal giudice, il conto fosse già intestato all'impresa individuale di cui era titolare la segnalante (subentrata nel relativo contratto di conto corrente per effetto dell'intervenuto scioglimento della società), i dati personali comunicati si riferivano solo alle operazioni effettuate sul conto corrente bancario finché era stato intestato alla società di cui era socio il de cuius, senza riguardare l'impresa individuale. Considerato, inoltre, che la banca era tenuta a fornire i dati relativi a movimenti bancari "a qualunque titolo" riferibili al defunto e tenuto altresì conto della peculiare ragione sociale adottata dalla società, della quale il de cuius era socio, l'Autorità ha escluso che nel caso di specie la comunicazione da parte della banca sia avvenuta in violazione del Codice (cfr. le "Linee-guida in materia di trattamento dei dati personali della clientela in ambito bancario" per il caso in cui la comunicazione avvenga, nelle forme previste dalla legge, nei confronti dell'autorità giudiziaria - punto 3.3. del provvedimento) (Nota 12 novembre 2008).

In un altro caso, la segnalante ha chiesto l'intervento del Garante in relazione all'inottemperanza da parte di due istituti di credito ad un ordine di esibizione emesso dal giudice ai sensi dell'art. 201 c.p.c.. L'Autorità, nel richiamarsi al punto 3.3. delle menzionate "Linee-guida" ha invitato la segnalante ad attivare, ogni rimedio riconosciuto dall'ordinamento giuridico nei confronti dell'inottemperanza del terzo al provvedimento esibitorio, non essendo riconosciuta al riguardo alcuna competenza al Garante (Nota 6 novembre 2008).

Un'ulteriore segnalazione ha riguardato la produzione da parte di una banca, nel corso di un procedimento giudiziario contro la banca medesima, delle movimentazioni del conto corrente intestato alla segnalante, contenente informazioni relative ad operazioni bancarie non inerenti il giudizio.

Al riguardo, l'Autorità ha richiamato i princìpi contenuti nelle "Linee-guida" in materia, con specifico riferimento al fatto che in giudizio possono essere prodotti solo i dati pertinenti all'esigenza di far valere o difendere un diritto dell'istituto di credito, evitando proprio l'ingiustificata produzione di interi tabulati (ad es., interi estratti conto) contenenti dati personali (a volte anche riferiti a terzi) non rilevanti per le citate finalità di difesa (punto 4, anche in relazione al contenuto dell'art. 160, comma 6, del Codice). Nel caso di specie si è quindi ritenuto che la banca avrebbe dovuto oscurare, in tutto o in parte, le informazioni bancarie non pertinenti rispetto alla controversia pendente, restando in ogni caso impregiudicato il potere del giudice di richiedere (specie in caso di contestazione) la produzione integrale della documentazione (Nota del 17 ottobre 2008).

In un reclamo è stata lamentata la diffusione di dati personali di due clienti di una banca conseguente all'abbandono, in occasione del rilascio dei locali ove operava uno sportello dell'istituto di credito, di alcuni documenti prodotti in occasione dell'istruzione di una richiesta di mutuo alla quale i reclamanti avevano successivamente rinunciato. Da una complessa attività istruttoria (anche con accertamenti ispettivi) è emerso che i menzionati documenti, contenenti dati personali non sensibili né giudiziari, erano stati rinvenuti dal responsabile della sicurezza dello "store" dove era ubicato lo sportello bancario in un armadio che la banca si era impegnata a cedere con altre suppellettili ad un istituto di credito subentrato nell'utilizzo dello sportello. Gli accertamenti espletati hanno consentito di appurare che la banca aveva adottato, all'epoca dell'episodio segnalato, misure di sicurezza organizzative "minime" a protezione dei dati dei clienti trattati senza l'ausilio di strumenti elettronici già conformi a quanto attualmente prescritto dall'art. 35 del Codice e dalla regola 27 dell'Allegato B. al Codice, impartendo istruzioni scritte ai lavoratori incaricati del trattamento. Poiché tali istruzioni non avevano formato oggetto di rivisitazione dopo il 2000, si è rappresentato alla banca la necessità di aggiornarle alla luce della maggiore articolazione della disciplina in materia contenuta nel Codice e del punto 2.1. delle "Linee-guida". La banca è stata poi invitata ad adottare, ai sensi dell'art. 31 del Codice, misure di sicurezza idonee per il trattamento di dati personali diversi da quelli sensibili e/o giudiziari effettuato senza l'ausilio di strumenti elettronici, con specifico riferimento alla predisposizione di specifiche procedure atte a garantire un'adeguata vigilanza da parte del titolare del trattamento sull'operato del personale incaricato del trattamento dei dati personali dei clienti, con particolare riguardo all'ipotesi di cessazione dell'attività bancaria presso sportelli periferici detenuti in locazione (Note del 18 dicembre 2008 e 2 marzo 2009).

 

 

 


Abbandono
di documentazione
bancaria
e misure
di sicurezza

Un'altra segnalazione ha riguardato la diffusione di dati personali riferiti a taluni correntisti, contenuti in documenti rinvenuti accidentalmente da un passante sulla via ove ha sede la banca. Dagli elementi acquisiti in loco è emerso che la banca aveva adottato misure di sicurezza conformi al Codice e che per un disguido la documentazione era stata inserita nei contenitori per la raccolta della spazzatura ordinaria anziché in quelli destinati al macero. La banca è stata invitata ad assicurare (tramite l'attenta vigilanza sull'operato degli incaricati e in occasione delle iniziative formative prescritte dalla regola 19.6 dell'Allegato B. al Codice) la scrupolosa attuazione delle istruzioni impartite (con specifico riguardo a quelle riguardanti la custodia, la conservazione, nonché la restituzione dei documenti contenenti dati personali al termine del relativo trattamento) da parte degli incaricati del trattamento (Nota 2 marzo 2009).

 

In una segnalazione si è contestata l'avvenuta inclusione, tra i dati contenuti nella fattura recapitata da una società per la fruizione del servizio di telefonia, del numero di conto corrente riferito alla segnalante, ritenuto eccedente rispetto alla finalità perseguita (ai fini della fatturazione del servizio, infatti, sarebbe stato sufficiente, a detta della medesima segnalante, la mera indicazione dell'istituto creditizio presso il quale effettuare il prelievo). Al riguardo, è stato precisato che l'indicazione di detto numero in sede di fatturazione del servizio appare eccedente, poiché il corretto addebito della somma fatturata può essere riscontrato già dall'estratto conto inviato al cliente dalla banca domiciliataria. A conferma di quanto evidenziato, tra gli elementi che per legge deve contenere la fattura non figura il numero di conto corrente del beneficiario della prestazione (art. 21, comma 2, d.P.R. n. 633/1972 e successive modifiche e integrazioni) (cfr. Nota del 21 ottobre 2008).

 

 

 


Coordinate bancarie
in fatturazione
e principio
di pertinenza
e non eccedenza

 

Anche nel 2008 sono diminuiti i reclami e le segnalazioni in materia di trattamento dei dati da parte dei Sistemi di informazione creditizia. La tendenza è riconducibile all'adozione del codice di deontologia di settore (G.U. 23 dicembre 2004, n. 300 [doc. web n. 1556693]), che risulta sostanzialmente rispettato da parte dei titolari del trattamento.

 

 

 


Sistemi
di informazione
creditizia
e dati pubblici

Sono pervenuti, tuttavia, alcuni reclami e segnalazioni al trattamento, da parte di un sistema di informazione creditizia, di dati personali tratti da pubblici registri e riferiti a pignoramenti e ipoteche nei cui confronti è intervenuta, nelle forme di legge, la cancellazione o altra annotazione, che nei report della società che gestisce il sistema risultavano con la sola locuzione sintetica "atto colpito da annotamento".

Il Garante, al riguardo, ha stabilito che la locuzione sintetica "atto colpito da annotamento", non risulta conforme ai princìpi di esattezza e completezza dei dati personali (art. 11, comma 1, lett. c) e d), del Codice), per il suo contenuto generico e i riflessi negativi sull'interessato (derivanti dal termine "colpito"), frutto di elaborazione propria della società che non rappresenta fedelmente e immediatamente quanto contenuto nei registri pubblici. L'art. 10, comma 3, del Codice stabilisce, inoltre, che "il riscontro all'interessato comprende tutti i dati personali che riguardano l'interessato comunque trattati dal titolare" (cfr. anche Provv. 4 maggio 2006, punto 7 [doc. web n. 1302311]). Pertanto la società, disponendo di informazioni di dettaglio riguardanti le vicende relative all'"atto colpito da annotamento", deve comunicarle nella loro completezza anche nei riscontri forniti agli interessati, in caso di esercizio del diritto di accesso ai sensi dell'art. 7 del Codice. Per tali motivi è stato ordinato alla società di sostituire la dizione sintetica "atto colpito da annotamento" con informazioni il cui contenuto sia completo e aggiornato rispetto a quello desumibile dai pubblici registri (Provv. 5 giugno 2008 [doc. web n. 1535726]).

10.2. Informazioni commerciali 

 

 

A seguito di numerose istanze, e delle conseguenti verifiche (con accertamenti anche in loco), l'Autorità ha prescritto ad una società che fornisce informazioni commerciali le misure necessarie per rendere il trattamento conforme ai princìpi della disciplina sulla protezione dei dati personali (con particolare riferimento a quelli di correttezza, pertinenza e non eccedenza), fermi restando gli eventuali adeguamenti in applicazione dei codici deontologici previsti dagli artt. 61, 118 e 119 del Codice.

 

 

 


Trattamento
di dati personali
e informazioni
commerciali

 

La società gestisce alcune banche dati contenenti informazioni estratte da altri archivi (detenuti per lo più da formati da soggetti pubblici) per fornire alla propria clientela servizi aventi contenuto informativo nell'ambito della cd. "business information".

I servizi vengono commercializzati mediante dossier informativi individualizzati, riferiti sia a persone fisiche che a persone giuridiche, differenziati in base alla tipologia e al grado di approfondimento delle informazioni ivi contenute ("dossier impresa"; "dossier persona"; "report"; "quick report" e "quick report plus"; "prospetto"). In sostanza, si tratta di servizi a contenuto sia informativo che valutativo, realizzati mediante l'aggregazione di dati (generalmente disponibili al pubblico) riguardanti, tra l'altro, profili organizzativi, produttivi, patrimoniali, il corretto adempimento di obbligazioni e la loro elaborazione in forma di giudizi sintetici relativi all'affidabilità commerciale di un assai elevato numero di soggetti (circa cinque milioni di imprese e otto milioni di persone fisiche).

L'Autorità ha evidenziato che la società può effettuare lecitamente il trattamento dei dati personali contenuti nei dossier informativi (e nel caso di informazioni ricavate da pubblici registri senza il consenso degli interessati art. 24, comma 1, lett. c), del Codice, nel rispetto però dei princìpi di cui all'art. 11 del Codice)

Dagli accertamenti è, tuttavia, emerso che la società associa ad un individuo (persona fisica o giuridica), per stimarne l'affidabilità commerciale, informazioni riferibili a un soggetto diverso, come tali non "relative" ai soggetti cui il prodotto informativo si riferisce (al riguardo infra, par. 17.2.4, decisione su ricorso del 12 giugno 2008 [doc. web n. 1537684] relativa all'arbitrario accostamento fra l'interessato ed il fallimento di una società di cui lo stesso era stato socio accomandante, artt. 2314 e 2320 c.c.).

In proposito, l'Autorità ha ritenuto la menzionata associazione suscettibile di mettere in cattiva luce il soggetto cui l'informazione viene a riferirsi, ascrivendogli eventi anche pregiudizievoli non direttamente a lui imputabili o, comunque, riferibili, e pregiudicandone così la relativa affidabilità commerciale (fatta salva l'eventuale sussistenza di elementi che consentano di addebitare l'evento al comportamento dei soggetti cui il dossier si riferisce). L'associazione degli elementi è stata perciò ritenuta non corretta, né pertinente, attesa anche la possibile alterazione della proiezione sociale e professionale che può derivarne al soggetto censito (avuto altresì riguardo alla lesione del diritto all'identità personale dell'interessato: art. 2 del Codice).

È stata perciò prescritta alla società l'adozione di ogni misura necessaria e idonea ad evitare l'associazione in un unico contesto a un soggetto di informazioni al medesimo non direttamente riconducibili (fatte comunque salve le eccezioni sopra richiamate).

Con specifico riferimento ai dossier contenenti indici sull'affidabilità commerciale dei soggetti censiti, le risultanze istruttorie hanno evidenziato trattarsi non – come prospettato dalla società – di mere sintesi delle informazioni provenienti da pubblici registri, bensì di autonome valutazioni, sulla base di un peso ponderato attribuito (secondo criteri di stima non disponibili pubblicamente) alle diverse informazioni. Come tali, essi devono considerarsi dati personali autonomi, distinti dalle informazioni originarie ricavate dalle fonti pubbliche, il cui trattamento – a differenza di quello relativo a dati pubblicamente disponibili – necessita del consenso degli interessati (art. 23 del Codice) o di altro presupposto equipollente previsto dall'art. 24 del Codice (circostanze, queste, non desumibili alla luce della documentazione acquisita agli atti).

Anche gli elementi utilizzati per le valutazioni sintetiche sull'affidabilità commerciale degli interessati sono risultati riconducibili anche a soggetti diversi (ad es., riferiti anche a eventi – talora negativi – riconducibili a "imprese connesse"). Anche tali operazioni sono state ritenute in contrasto con i princìpi di correttezza, pertinenza e non eccedenza, oltre che in violazione del diritto all'identità personale (artt. 2 e 11 del Codice). Ciò, peraltro, in assenza di prove circa l'effettivo contributo fornito dal soggetto censito (persona fisica) all'evento pregiudizievole riferito al soggetto diverso (persona giuridica), con una sorta di "responsabilità di posizione" in alcun modo riconosciuta dall'ordinamento.

Similmente nella formazione dei "dossier impresa", sono stati tenuti in considerazione elementi riconducibili a terzi (quali esponenti in carica o soci – con considerazione anche di eventi di natura personale, in alcun modo ricollegabili alle attività esercitate presso l'impresa censita).

È stato perciò vietato alla società l'ulteriore utilizzo, per l'elaborazione dei menzionati indici sintetici, di informazioni non direttamente riconducibili agli interessati, in quanto relative ad accadimenti riferiti a soggetti diversi e tali da ledere il diritto all'identità personale dei soggetti censiti.

È stato inoltre prescritto alla società di distinguere i casi nei quali non fossero risultati elementi pregiudizievoli riferiti ai soggetti censiti (ipotesi in cui l'indice è "nullo") rispetto a quelli nei quali gli indici ne avessero segnalato una misura stimata "bassa". Ciò, perché la stessa società, con un'unica locuzione "bassa/nulla", era solita attribuire un giudizio sintetico che, vagliato nell'ambito di un contesto unitario, è risultato inidoneo a fornire una chiara e univoca contezza del quadro degli eventi pubblici ritenuti rilevanti in ordine al soggetto censito.

Sotto altro profilo, è risultato che nei dossier venivano inseriti, limitatamente agli ultimi sei mesi rispetto alla loro consultazione da parte dei clienti, il numero delle interrogazioni effettuate e la tipologia dei soggetti che hanno richiesto le informazioni. Rispetto a tale tipologia di operazioni non è risultato comprovato che la società avesse acquisito il consenso degli interessati (non potendo trovare applicazione, nel caso di specie, le esimenti del consenso previste dall'art. 24, comma 1, lett. c) e d), del Codice, trattandosi di informazioni non di pubblico dominio, né concernenti in alcun modo l'attività economica dei soggetti censiti). In ogni caso, si trattava di informazioni per le quali non è risultata comprovata la pertinenza rispetto alla finalità perseguita dalla società, anche in quanto idonee a rendere note, sia pure indirettamente, strategie commerciali del soggetto censito o il ricorso dello stesso ai canali creditizi.

È stata perciò vietata l'ulteriore comunicazione alla clientela dei dati relativi al numero delle richieste di dossier informativi relativi ai soggetti censiti. Ancora, è stato vietato alla società l'utilizzo delle liste elettorali per verificare la congruità delle informazioni detenute nei database mediante controlli incrociati di dati, risultato in violazione quindi del principio di liceità del trattamento (art. 11, comma 1, lett. a), del Codice) in quanto non consentito, per tale finalità, dalla normativa in materia, (art. 51, comma 5 del d.P.R. 20/03/1967, n. 223).

Infine, la società aveva avviato l'acquisizione dei dati relativi ai redditi degli italiani nel 2005, all'atto della loro pubblicazione sul sito Internet dell'Agenzia delle entrate, senza tuttavia portarla a compimento a seguito del Provv. 6 maggio 2008 [doc. web n. 1512255] (cfr. par. 3.7). Tenuto conto che l'Autorità, con il citato provvedimento, aveva prescritto ai soggetti che ne avessero avuto la disponibilità di non mettere ulteriormente in circolazione tali dati, ne è stato vietato l'ulteriore trattamento, prescrivendone altresì la cancellazione (Provv. 30 ottobre 2008 [doc. web n. 1570327]).

 

In un caso particolare è stata lamentata l'erronea attribuzione, in tempi diversi, di alcuni protesti in dossier informativi relativi alla persona del segnalante o a società delle quali egli rivestiva le cariche di amministratore unico e di socio. In particolare è risultato che i protesti contestati riportavano codici fiscali parzialmente diversi rispetto a quello dell'istante; inoltre, ulteriori protesti riferiti ad omonimi del segnalante, privi di codici fiscali, indicavano indirizzi diversi da quello del medesimo segnalante.

 

 

 


Tutela
dell'interessato
in caso
di omonimia

È stata inoltre evidenziata l'attribuzione diretta al medesimo segnalante di protesti originariamente collocati tra i casi di possibile omonimia, anch'essi peraltro recanti indirizzi e codice fiscale diversi da quello a lui riferito.

La società ha affermato di aver "oscurato" tutti i prodotti riguardanti il segnalante, anche alla luce del contenzioso al riguardo in atto.

Da accertamenti effettuati in loco è stato invece verificato che i dati relativi al segnalante risultavano ancora essere censiti (fatta eccezione per il "dossier persona" – nel quale erano contenuti anche i protesti a lui addebitati – volontariamente oscurato dalla società). È altresì emerso che la società attribuisce a persone fisiche o giuridiche determinate informazioni (nel caso di specie relative ai protesti) anche quando i dati personali non sono pienamente coincidenti con quelli del soggetto censito (ad es., in caso di codici fiscali diversi o di diversi indirizzi).

La Camera di commercio chiamata a rendere informazioni sulla vicenda ha dichiarato che nessun protesto risulta essere in concreto riconducibile al segnalante.

Il Garante ha, pertanto, prescritto alla società di ripristinare la visibilità del "dossier persona" riferito al segnalante, vietandole l'attribuzione al medesimo di protesti levati nei confronti di omonimi (ferme restando eventuali determinazioni dell'autorità giudiziaria in ordine alla corretta attribuzione dei protesti medesimi). È così risultato violato il principio di qualità, secondo cui i dati trattati devono essere esatti, aggiornati e completi rispetto a quelli tratti dagli archivi camerali (art. 11, comma 1, lett. c) e d) del Codice).

Il Garante inoltre ha ritenuto contrario al principio di correttezza nel trattamento dei dati (art. 11, comma 1, lett. a) del Codice) l'"oscuramento", unilateralmente disposto dalla società nelle more della decisione giudiziaria, di ogni informazione relativa al segnalante (anziché dei soli dati riferiti ai protesti per i quali è controversa l'attribuzione), reputando tale comportamento lesivo del diritto all'identità personale dell'interessato (in quanto insuscettibile di fornire ai potenziali fruitori del servizio un'informazione commerciale completa in ordine al medesimo segnalante) (Provv. 13 ottobre 2008 [doc. web n. 1571459]).

10.3. Settore assicurativo
Su richiesta dell'Isvap, e a seguito di proficua collaborazione tra le due Autorità, il Garante ha espresso il proprio parere su uno schema di regolamento volto a incrementare l'efficacia della banca dati sinistri (già disciplinata dal Provvedimento Isvap n. 2179 del 10 marzo 2003, Banca dati sinistri r.c. auto: modalità operative per l'accesso e prevista dall'articolo 135 del Codice delle assicurazioni private e dall'art. 120 del Codice), con particolare riferimento alle modalità di funzionamento e accesso alla stessa (Nota del Presidente del 12 febbraio 2009).

Le considerazioni svolte, in parte già formulate in occasione di recenti audizioni parlamentari, sono state finalizzate ad assecondare la ricerca di una maggiore funzionalità dell'archivio esistente, per un più efficace contrasto della frode nel settore dell'assicurazione obbligatoria della r.c. auto, preservando tuttavia un livello elevato di garanzie per gli interessati.

Il Garante ha valutato con favore le modifiche e le innovazioni che si intendono inserire con lo schema trasmesso dall'Isvap (che non presenta innovazioni in relazione alla tipologia di dati trattati) nella parte in cui snelliscono le operazioni di consultazione della banca dati. Sono state comunque formulate indicazioni, centrate in particolare sui princìpi di finalità (art. 11 del Codice), di cd. "economicità" (art. 3 del Codice), di pertinenza e non eccedenza (art. 11), e di correttezza e trasparenza nelle operazioni di trattamento (art. 11-13 e ss. del Codice) – recepite dall'Isvap – per salvaguardare comunque i diritti degli interessati pur in presenza di un possibile significativo incremento della "visibilità" delle informazioni connesse ai sinistri memorizzati nell'archivio a vantaggio di una platea più ampia di soggetti (segnatamente di incaricati delle imprese assicuratrici operanti a livello periferico).

Nello spirito di collaborazione che ha caratterizzato l'operato delle due Autorità, il Garante si è riservato di formulare ulteriori indicazioni sul testo di regolamento che potrà essere trasmesso dall'Isvap, conclusa la consultazione pubblica aperta sullo schema relativo al funzionamento della banca dati sinistri.

 

Con un reclamo è stato rappresentato un illecito trattamento di dati personali da parte di due società – una deputata alla stipula di polizze fideiussorie e di cauzioni (presso la quale la reclamante ha collaborato in qualità di agente) e l'altra addetta, per conto della prima, alla riscossione e al controllo delle polizze fideiussorie (comprese quelle stipulate dalla reclamante) – le quali avrebbero a più riprese comunicato ad alcuni collaboratori "esterni" di cui la reclamante era solita avvalersi nell'esercizio della propria attività lavorativa, dopo l'interruzione del rapporto di collaborazione, alcuni dati personali alla medesima riferiti (nel dettaglio, alcune denunce presentate a suo carico da parte delle predette società per appropriazione indebita e per emissione di fideiussioni false, nonché la conseguente pendenza di un procedimento penale nei suoi confronti); ciò, in assenza della prescritta informativa e in violazione dei princìpi di necessità e finalità (artt. 3 e 11, comma 1, lett. b), del Codice).

 

 

 


Comunicazione
a terzi
di dati relativi
a procedimenti
penali pendenti

Dall'istruttoria è emerso il coinvolgimento di entrambe le società nei fatti contestati, risultando comprovati i profili di violazione della disciplina di protezione dei dati personali lamentati dalla reclamante. L'Autorità ha, dunque, provveduto a disporre il divieto dell'ulteriore comunicazione a terzi dei dati personali riferiti alla reclamante (limitatamente al procedimento penale pendente e alle denunce penali presentate a suo carico) (Provv. 2 aprile 2008 [doc. web n. 1519711]).

10.4. Rapporti di lavoro e previdenza
10.4.1. Rapporto di lavoro in ambito pubblico
Anche nel 2008 l'attività dedicata al trattamento di dati personali dei dipendenti da parte dei datori di lavoro pubblici è stata particolarmente intensa.

Il richiamo alle indicazioni e agli orientamenti espressi dall'Autorità con le "Linee-guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico" adottate l'anno precedente (Provv. 14 giugno 2007 [doc. web n. 1417809] ha innanzitutto consentito di dare risposta a molteplici istanze specifiche di amministrazioni pubbliche, dipendenti e organizzazioni sindacali.

 

In una segnalazione un appartenente al Corpo di polizia municipale lamentava che, durante un'intervista rilasciata ad un quotidiano locale concernente l'avvenuto decesso di un ambulante al termine di un'operazione di controllo contro il commercio abusivo, erano state indebitamente rese conoscibili le generalità del segnalante e dei colleghi intervenuti con lui nell'operazione. In risposta alla richiesta di elementi formulata dall'Ufficio, il Comune ha rappresentato che l'identità dell'interessato era stata diffusa durante un'intervista rilasciata, in conformità al regolamento comunale del Corpo, su autorizzazione del Comandante per fare chiarezza sull'accaduto e smentire le accuse sull'operato della polizia municipale sollevate dalla stampa e dalla comunità locale. Inoltre, al fine di chiarire l'estraneità dell'interessato all'accaduto, insieme all'informazione relativa alla sua partecipazione al controllo, era stato precisato che questi aveva svolto le mansioni di autista.

 

 

 


Casistica individuale

Attese le specifiche circostanze in cui erano avvenuti i fatti, la diffusione delle generalità dell'interessato non è stata ritenuta in contrasto con i princìpi della disciplina sulla protezione dei dati personali, in considerazione del particolare risalto che la vicenda aveva assunto nella comunità locale, nonché delle precisazioni fornite circa la diversa posizione dell'interessato rispetto all'accaduto. Ciò, in relazione alle esigenze connesse alla tutela, nella vicenda, non solo del Corpo di polizia municipale, ma anche dei colleghi che avevano partecipato al controllo e delle persone nei cui confronti questo era diretto (artt. 11 e 19 del Codice; v. anche Provv. 16 febbraio 2000 [doc. web 42280] e Provv. 6 febbraio 2001 [doc. web n. 41067]) (Nota 2 febbraio 2009).

In un altro caso, l'Ufficio, pur non ravvisando i presupposti per l'adozione di un provvedimento collegiale, ha accertato l'inutilizzabilità delle informazioni sanitarie contenute in una perizia medico-legale e riguardanti le lesioni riportate da un vigile urbano in un sinistro stradale avvenuto al di fuori del servizio.

L'Ufficio non disponeva di elementi sufficienti a determinare se la perizia fosse stata acquisita lecitamente al protocollo del Comune. Tuttavia ha riscontrato profili di illiceità del trattamento effettuato dal datore di lavoro, in relazione alla rilevanza delle informazioni sanitarie riportate nella perizia, in quanto il documento anonimo, conteneva elementi da verificare nella loro veridicità e faceva riferimento a una vicenda risalente nel tempo a seguito della quale l'interessato aveva ripreso servizio essendo stato nel frattempo giudicato idoneo allo svolgimento delle proprie mansioni.

In proposito, la disciplina di settore prevede che il datore di lavoro pubblico, nel disporre gli accertamenti relativi all'idoneità al servizio dei dipendenti, sia tenuto a trasmettere all'organo verificatore una relazione contenente "tutti gli elementi informativi disponibili" (art. 15 d.P.R. 29 ottobre 2001, n. 461). Tuttavia trattandosi di dati personali relativi allo stato di salute, il loro trattamento per una finalità di per sé lecita avrebbe dovuto essere attentamente e specificatamente valutata alla luce del principio di indispensabilità, pertinenza e non eccedenza dei dati trattati (artt. 11, 22 e 112 del Codice) (Nota 9 luglio 2008).

 

Nell'ambito dell'istruttoria preliminare su una segnalazione riguardante la produzione in giudizio di registrazioni di conversazioni telefoniche, l'Ufficio ha precisato che la registrazione di conversazioni tra persone presenti da parte di uno degli interlocutori rientra tra i trattamenti effettuati da persone fisiche per fini personali e pertanto non è soggetta all'ambito di applicazione del Codice se i dati non sono destinati ad una comunicazione sistematica o alla diffusione (art. 5, comma 3). In termini più generali, si è poi rilevato che la giurisprudenza ritiene ammissibile la registrazione di conversazioni tra presenti, anche senza il consenso degli interessati e a loro insaputa, in quanto tale attività può costituire una legittima forma di memorizzazione di un fatto storico eventualmente utilizzabile anche in sede processuale per l'esercizio del diritto di difesa costituzionalmente riconosciuto (v. Cons. Stato 28 giugno 2007, n. 3796; Cass. pen., S.u., 28 maggio 2003, n. 36747) (Nota 24 luglio 2008).

 

 

 


Registrazioni
di conversazioni
telefoniche
tra presenti

In relazione ad alcuni quesiti l'Ufficio ha ribadito che le amministrazioni appaltanti, come tutti i soggetti pubblici, possono legittimamente trattare dati personali, diversi da quelli sensibili, quando ciò sia necessario allo svolgimento dei loro compiti istituzionali in materia di appalti pubblici di lavori, servizi e forniture. Le amministrazioni appaltanti possono, in particolare, utilizzare i dati contenuti nella documentazione richiesta per comprovare il possesso dei requisiti necessari per la partecipazione alle gare, anche se riferiti a persone fisiche che operano presso le imprese partecipanti, senza richiedere il consenso degli interessati (art. 18 del Codice; artt. 42 e 197 d.lg. 12 aprile 2006, n. 163; v. anche Provv. 27 giugno 2001 e Nota 16 febbraio 1999 [doc. web nn. 40667 e 42320]).

 

 

 


Curricula
degli operatori
di imprese
partecipanti
a gare d'appalto

Dal canto loro le imprese concorrenti possono comunicare tali dati alle amministrazioni appaltanti, anche in mancanza del consenso degli interessati, per eseguire gli obblighi previsti dalla normativa di settore o derivanti dal contratto di lavoro con gli operatori interessati, oppure, per adempiere prima della sua conclusione, a specifiche richieste dei medesimi interessati (artt. 23 e 24, comma 1, lett. a) e b), del Codice; v. anche Provv. 10 gennaio 2002 [doc. web n. 1064553]). Resta ferma, però, per le imprese la necessità di informare i propri operatori, sull'eventualità che alcuni dati siano forniti, su richiesta, ad amministrazioni appaltanti (Nota 19 dicembre 2008).

 

In corrispondenza dell'avvio dell'"operazione trasparenza" nella pubblica amministrazione da parte del Ministro per la pubblica amministrazione e l'innovazione, l'Autorità è stata investita di vari quesiti riguardanti la pubblicazione on-line di dati riferiti al personale e, in particolare, ai dirigenti pubblici, nonché riguardanti le collaborazioni esterne e gli incarichi conferiti o autorizzati da amministrazioni pubbliche.

Nel fornire un preliminare riscontro alle amministrazioni interessate, in attesa di opportuni ulteriori approfondimenti in merito, considerate le modifiche normative attualmente all'esame del Parlamento (Atto Senato n. 1082 "Disposizioni per lo sviluppo economico, la semplificazione, la competitività nonché in materia di processo civile"), si è fatto in termini generali richiamo alle disposizioni del Codice che consentono di diffondere dati personali riferiti a singoli interessati in quanto ciò trovi fondamento in specifiche disposizioni legislative o regolamentari (art. 19, comma 3). Al riguardo, nel ricordare che la pubblicazione di taluni dati personali riguardanti il personale dirigenziale è già prevista in alcune disposizioni di legge (nominativi, incarichi conferiti, numero telefonico dell'ufficio, casella istituzionale di posta elettronica, ecc.; v. art. 2, comma 3, d.P.R. 23 aprile 2004, n. 108; art. 54 d.lg. 7 marzo 2005, n. 82), non sono stati ravvisati ostacoli in ordine alla pubblicazione sul sito Internet dell'amministrazione interessata di dati non riconducibili a persone identificate o identificabili (ad es., dati quantitativi aggregati per uffici riguardanti le assenze o livelli retributivi ed accessori risultanti dai contratti collettivi o da atti interni di organizzazione), ovvero, a richiesta dell'interessato, ulteriori informazioni personali di ordine professionale pertinenti e non eccedenti (tra le altre, Note 20 maggio 2008, 5 novembre 2008 e 26 gennaio 2009).

 

 

 


Pubblicazione
on-line
di dati riferiti
al personale
delle pubbliche
amministrazioni

Riguardo agli incarichi conferiti o autorizzati da amministrazioni pubbliche, uno specifico regime di pubblicità è previsto come obbligatorio per le singole amministrazioni limitatamente agli elenchi dei rispettivi collaboratori esterni e consulenti (art. 53, commi 12 e ss., d.lg. 30 marzo 2001, n. 165; art. 1, comma 127, l. n. 662/1996). Infatti, la legge finanziaria 2008 ha individuato quale modalità di pubblicazione quella per via telematica sul sito istituzionale delle amministrazioni interessate (art. 3, comma 54, l. 24 dicembre 2007, n. 244).

In proposito, il Dipartimento della funzione pubblica ha informato l'Autorità di volere pubblicare sul proprio sito Internet alcuni tra i dati relativi agli incarichi di collaborazione e consulenza che le amministrazioni pubbliche sono tenute a comunicargli (amministrazione erogante, oggetto degli incarichi conferiti o autorizzati e ammontare dei relativi compensi). L'Autorità, nel prendere atto dell'individuazione, da parte del Dipartimento, delle "misure di pubblicità e trasparenza" che la legge gli impone di adottare rispetto ai dati raccolti, ha sottolineato la necessità di individuare idonei accorgimenti volti a consentire forme proporzionate di consultabilità dei dati, prevedendo in particolare elenchi relativi a singole amministrazioni, consultabili distintamente (anche sulla base di eventuali link a siti web delle amministrazioni medesime), senza che per gli utenti sia possibile modificarli agevolmente o reperire direttamente dati mediante motori di ricerca (Nota 12 giugno 2008).

Con riferimento ad una segnalazione sull'avvenuta pubblicazione, su un periodico informativo di un comune, di alcuni dati personali riferiti ai singoli dipendenti dell'ente e riguardanti anche il loro stato di salute (trattamento economico, trattenute previdenziali, giorni di ferie, di malattia, permessi usufruiti ai sensi della legge n. 104/1992, assenze retribuite per maternità, congedo parentale e malattia figli, ecc.), l'Ufficio ha curato l'acquisizione di specifici elementi di valutazione, evidenziando che la disciplina sulla protezione dei dati personali impone il rispetto di particolari cautele per la divulgazione di tali informazioni e, segnatamente, vieta la diffusione dei dati idonei a rivelare lo stato di salute degli interessati (Note 5 novembre 2008 e 10 febbraio 2009).

 

L'Autorità è tempestivamente intervenuta in un caso segnalatole da un cittadino riguardante la diffusione su tre siti web, tra cui quello istituzionale del Comune di Roma, della graduatoria finale di un concorso di istruttore di polizia municipale che riportava, accanto ai nomi di alcuni idonei, diciture indicative dei titoli di preferenza previsti per legge (ad es., "invalido" o "figlio di invalido per servizio"), in grado di rivelare lo stato di salute dei partecipanti o dei loro familiari.
Tali dati risultavano immediatamente accessibili a chiunque, attraverso una semplice ricerca nominativa effettuata in rete, anche tramite i motori di ricerca. In considerazione del divieto previsto per legge di diffondere dati idonei a rivelare lo stato di salute (art. 22, comma 8, del Codice), è stato disposto, in via d'urgenza, il "blocco" dei dati personali, imponendo al comune e alle due società che gestiscono i siti coinvolti di oscurare le informazioni riferite ai concorrenti, limitandosi alla sola conservazione delle medesime informazioni, in attesa di ulteriori accertamenti avviati anche per valutare la conformità al Codice delle modalità di diffusione della graduatoria. Il Comune di Roma e le altre società coinvolte hanno immediatamente adempiuto al provvedimento inibitorio del Garante (Provv. 8 maggio 2008 [doc. web n. 1521716]).

 

 

 


Diffusione
di dati sanitari
tramite
la pubblicazione
on-line
di una graduatoria
di un concorso

 

Un ente comunale ha informato l'Autorità, ai sensi dell'art. 39 del Codice, di voler trasmettere i dati personali contenuti in una graduatoria formata per l'assunzione di educatori di asilo nido al fine di consentire ad un comune limitrofo, che ne aveva fatto richiesta, di reperire personale supplente anche per il proprio servizio comunale. In questo caso, l'operazione di comunicazione, non prevista da alcuna norma di legge o regolamento, è stata ritenuta praticabile in quanto necessaria all'amministrazione ricevente per la gestione dei servizi sociali e l'instaurazione di rapporti di lavoro. Tuttavia il comune che intende effettuare la comunicazione deve rendere un'idonea informativa alle persone incluse nella graduatoria, ponendo in evidenza, in particolare, il diritto di opporsi per motivi legittimi al trattamento dei dati che li riguardano (Nota 9 maggio 2008).

 

 

 


Comunicazioni
ex art. 39
del Codice

 

Con riferimento ad una segnalazione inoltrata da alcune organizzazioni sindacali, l'Ufficio ha sollecitato l'Amministrazione dell'interno-Dipartimento della pubblica sicurezza a adottare opportune cautele nelle modalità di predisposizione e consegna ai dipendenti dei cd. "cedolini" dello stipendio (Nota 7 novembre 2008). Andrebbero infatti predisposte modalità di consegna dei cedolini idonee a limitare l'immediata accessibilità delle informazioni ivi contenute al solo interessato e agli incaricati del trattamento (v. Parere 31 dicembre 1998 [doc. web n. 39324], Provv. 31 ottobre 2007 [doc. web n. 1459297]).

 

 

 


Cedolini
dello stipendio

L'amministrazione ha assicurato di essere determinata ad adottare nell'imminente futuro le modalità di recapito della busta paga in formato elettronico ai singoli dipendenti in conformità a quanto previsto dalla legge 30 dicembre 2004, n. 311 (art. 1, comma 197). L'Ufficio si è riservato di verificare la conformità ai princìpi del Codice della prassi adottata dall'amministrazione di riportare sulla busta paga l'indicazione della sigla del sindacato (art. 11 del Codice).

 

Muovendo da un ricorso e da una segnalazione riguardanti la trascrizione sul foglio matricolare degli appartenenti alla Polizia di Stato dei dati relativi a diagnosi e a prognosi contenuti nei certificati medici prodotti dagli interessati per giustificare le assenze dal servizio per malattia, l'Ufficio è intervenuto presso il Ministero dell'interno-Dipartimento della pubblica sicurezza richiamando quanto già affermato dal Garante circa la non conformità ai princìpi di proporzionalità e indispensabilità della prassi di trascrivere sul foglio matricolare i dati relativi alle patologie "sofferte durante il servizio" (il cd. quadro "M"), benché lecitamente raccolti ai sensi dell'art. 61 del d.P.R. 28 ottobre 1985, n. 782 (v. da ultimo il Provv. del 14 giugno 2007, recante "Linee-guida" in materia di pubblico impiego, punto 8.2 pubblicato in G.U. 13 luglio 2007 [doc. web n. 1417809]; v. anche Provv. 24 maggio 2007 [doc. web n. 1426782] e, con riferimento al servizio matricolare del Corpo della Guardia di finanza, Provv. 19 ottobre 2005 [doc. web n. 1185148]) (Nota 4 settembre 2008).

 

 

 


Forze armate
e di polizia.
Foglio matricolare

In proposito, l'Amministrazione dell'interno ha rappresentato all'Ufficio di voler adeguare ai princìpi del Codice e alle pronunce del Garante il trattamento dei dati sanitari del personale finalizzato alla tenuta del foglio matricolare. Sul punto l'Ufficio, nel valutare positivamente le determinazioni assunte dall'amministrazione, ha chiesto alla medesima di valutare la possibilità di diramare opportune istruzioni transitorie agli organi interessati, volte ad assicurare prontamente il rispetto dei diritti e della dignità degli interessati in attesa dell'elaborazione di nuove indicazioni sul tema (Nota 21 ottobre 2008).

 

Con provvedimento del 30 ottobre 2008 [doc. web n. 1569552], adottato a seguito della segnalazione di un sindacato, il Garante ha vietato al Ministero della giustizia-Dipartimento dell'amministrazione penitenziaria il trattamento dei dati personali idonei a rilevare lo stato di salute del personale del Corpo della polizia penitenziaria relativi all'indicazione della diagnosi sui certificati di malattia.

 

 

 


Diagnosi
sui certificati medici

Nella decisione il Garante ha ribadito che, in assenza – come nel caso di specie – di specifiche disposizioni, il lavoratore assente per malattia è tenuto a fornire un certificato contenente esclusivamente la prognosi con la sola indicazione dell'inizio e della durata dell'infermità.

Contestualmente al divieto di trattamento dei dati, il Garante ha prescritto al Ministero della giustizia-Dipartimento dell'amministrazione penitenziaria di impartire le disposizioni opportune al fine di conformare il trattamento dei dati alle vigenti disposizioni in materia di protezione dei dati personali.

 

Il trattamento dei dati personali effettuato mediante la Carta multiservizi della difesa è stato sottoposto all'attenzione dell'Ufficio che ha avviato i necessari approfondimenti presso lo Stato maggiore della difesa aderendo ad un tavolo di lavoro per l'esame preliminare delle specifiche questioni connesse alla protezione dei dati personali (Note 7 maggio 2008 e 10 febbraio 2009). Tali profili di interesse attengono, in particolare, ai presupposti di liceità del trattamento, anche con riferimento al rispetto dei princìpi di necessità, proporzionalità, finalità e alle modalità di funzionamento della carta, nonché all'adempimento dell'obbligo di informativa e alle misure di sicurezza applicate (v. anche Provv. del Garante del 27 ottobre 2005 sul progetto di carta multiservizi della giustizia [doc. web n. 1185160] e Provv. 17 giugno 2007, in particolare punto 7 [doc. web n. 1417809]).

 

 

 


Carta
multiservizi
della difesa

 

Un militare affetto da Hiv ha lamentato che presso il luogo di lavoro presso cui presta servizio non verrebbero adottate adeguate cautele nel trattamento delle informazioni riguardanti le persone sieropositive o affette da Hiv, specie nell'ambito delle verifiche sull'idoneità al servizio degli interessati ad opera delle commissioni medico legali. Considerato il particolare regime di protezione previsto dalla legge n. 135/1990 e dal Codice per i dati sulla salute, e, in particolare, per quelli riguardanti l'Hiv, gli elementi acquisti dall'Ufficio hanno riguardato l'informativa agli interessati, specie in relazione all'indicazione circa la natura obbligatoria o facoltativa del conferimento delle informazioni sullo stato di salute da parte degli interessati, le modalità utilizzate per la trasmissione dell'esito delle visite medico-legali ad altri organi o uffici dell'amministrazione della difesa per i necessari adempimenti in materia di sanità pubblica o di stato giuridico del personale, nonché le misure di sicurezza adottate (Nota 19 dicembre 2008).

 

 

 


Trattamento
di dati relativi
all'infezione
da Hiv

10.4.2. Rapporto di lavoro in ambito privato

 

Con una segnalazione sono stati chiesti chiarimenti sulla conformità alla disciplina di protezione dei dati personali delle modalità "telematiche" con le quali una società comunicava il prospetto paga ai dipendenti. Dagli approfondimenti svolti non sono emersi specifici profili di violazione della disciplina, avuto particolare riguardo alle misure di sicurezza adottate dalla società per prevenire indebiti accessi da parte di terzi ai dati contenuti nel "cedolino elettronico" (strong authentication basata su certificati digitali).

 

 

 


Cedolino elettronico

Nondimeno, si è rilevato, da un lato, che la legge n. 4/1953 pone in capo ai datori di lavoro privati l'"obbligo di consegna" del prospetto paga ai propri dipendenti onde consentire loro, all'atto della corresponsione della retribuzione, una puntuale verifica in ordine alla correttezza dell'importo erogato; dall'altro, che le modalità telematiche adottate dalla società non fornivano garanzie in tal senso. Pertanto, è stata interessata della questione (anche alla luce della risposta del Ministero del lavoro, della salute e delle politiche sociali ad una recente istanza di interpello) la Direzione provinciale del lavoro territorialmente competente, anche in considerazione dell'ampia utilizzazione dello strumento telematico nel rapporto di lavoro (cfr. Nota del 9 aprile 2009).

 

Una segnalazione ha evidenziato l'indicazione, sui documenti "buoni pasto" forniti da una banca, di alcune informazioni (in particolare, nome e cognome) riferite ai dipendenti che ne fruivano.

 

 

 


"Buoni pasto"

La vigente disciplina in materia individua gli specifici requisiti da riportare sui "buoni pasto", ma non include tra questi il nome e il cognome dell'utente (art. 5, d.P.C.M. 18 novembre 2005, attuativo dell'art. 14 vicies-ter della legge n. 168/2005). Si è, pertanto, rilevato che tale indicazione risulta idonea a fornire a soggetti terzi (tra i quali la società di emissione del titolo, gli esercizi convenzionati ed eventuali ulteriori possessori del "buono pasto") informazioni attinenti all'attività lavorativa dell'utente medesimo attraverso l'associazione del nominativo dell'interessato alla ragione sociale del datore di lavoro, in violazione del principio di non eccedenza dei dati trattati, sancito dall'art. 11, comma 1, lett. d), del Codice. Ciò, tenuto anche conto che le esigenze di correttezza nell'utilizzo del documento di legittimazione previste dalla normativa sopra richiamata possono essere perseguite anche senza indicare il nominativo dell'utente (ad es., attraverso la sottoscrizione dell'utilizzatore già prevista dalla disciplina vigente, eventualmente associata al numero progressivo di identificazione del buono pasto e/o alla ragione sociale o al codice fiscale del datore di lavoro).

Peraltro, in considerazione della disponibilità mostrata dalla società a modificare le proprie metodologie di predisposizione del documento di fatturazione, non è stata promossa l'adozione di un provvedimento da parte del Garante (Nota del 27 agosto 2008).

 

Da alcune segnalazioni concernenti l'utilizzo – in attuazione di specifiche normative di settore – di tesserini identificativi contenenti le generalità dei lavoratori, sono emerse preoccupazioni per alcune categorie professionali (segnatamente, le "guardie particolari giurate") esposte, per la natura dell'attività espletata, a pericoli per la propria incolumità personale. All'esito degli approfondimenti svolti e alla luce di alcune recenti pronunce in materia, non sono emersi specifici profili di violazione della disciplina in materia di protezione dei dati personali, considerato che il trattamento può essere lecitamente svolto in difetto del consenso degli interessati se effettuato dal titolare in esecuzione di specifici obblighi di legge (cfr. art. 24, comma 1, lett. a), del Codice). Nondimeno, nel ritenere comunque condivisibili le preoccupazioni espresse in merito all'applicazione delle richiamata normativa di settore a talune categorie di lavoratori "a rischio", l'Autorità ha interessato della questione, per i profili di propria competenza, anche il Ministero del lavoro, della salute e delle politiche sociali (peraltro, in parte, già pronunciatosi con la risposta ad istanza di interpello del 3 ottobre 2008, prot. 25/I/0013426 in riferimento ad un caso similare) (cfr., a titolo esemplificativo, Nota del 13 marzo 2009).

 

 

 


Tesserini identificativi

 

Un segnalante ha lamentato che un'organizzazione sindacale, nell'esercizio delle proprie prerogative sindacali, avesse comunicato alcuni dati personali (segnatamente, la qualifica di agente di pubblica sicurezza rivestita e il quantitativo di ore di straordinario accordatogli dall'amministrazione di appartenenza), mediante posta elettronica (il cui utilizzo era stato regolarmente autorizzato dall'amministrazione per finalità di comunicazione con i dipendenti), a tutto il personale.

 

 

 


Comunicazione
dati personali
da parte
di OO. SS.

Al riguardo, premettendo che, contrariamente a quanto richiesto dall'interessato, non rientra tra i compiti dell'Autorità "ordinare" all'organizzazione sindacale di diffondere comunicazioni di rettifica sull'asserita divulgazione di dati personali, si è precisato che il "diritto di affissione" riconosciuto alle rappresentanze sindacali dall'art. 25 della legge n. 300/1970 può essere esercitato anche a mezzo di "comunicati inerenti a materie di interesse sindacale e del lavoro" (circostanza, questa, ritenuta ricorrente nel caso di specie, anche alla luce dell'assai ampia accezione al riguardo recepita dalla giurisprudenza). Infine, è stato chiarito che ai sensi del combinato disposto di cui agli artt. 136, comma 1, lett. c), e 137, comma 3, del Codice, i trattamenti temporanei effettuati per finalità di pubblicazione o diffusione occasionale di "articoli, saggi e altre manifestazioni del pensiero" (tra i quali è stata ritenuta annoverabile anche la comunicazione sindacale) non sono soggette a talune disposizioni del Codice (nel caso di specie, per quanto di interesse, al consenso dell'interessato) (Nota 11 dicembre 2008).

 

Un padre ha segnalato un trattamento illecito di dati della figlia minore, portatrice di disabilità grave, da parte della società presso la quale lavora la madre della medesima. In particolare, la struttura di amministrazione del personale, nell'ambito della procedura interna di riconoscimento alla dipendente di un periodo di congedo straordinario per disabilità grave, avrebbe posto illecitamente a conoscenza del superiore gerarchico della madre alcuni dati personali, quali nome, cognome, data di nascita e stato di disabilità dell'interessata.

In base alla documentazione acquisita, non è risultata comprovata l'"indispensabilità" del trattamento, richiesta dall'autorizzazione generale n. 1/2007 [doc. web n. 1429762], anche in rapporto alle funzioni che il superiore gerarchico poteva svolgere nel caso concreto. Comunque quest'ultimo avrebbe potuto essere coinvolto con modalità meno invasive e parimenti efficaci (ad es., rendendolo edotto solo dell'assenza della dipendente e del relativo intervallo temporale, e non anche della ragione della stessa).

 

 

 


Comunicazione
a terzi di dati
relativi
alle condizioni
di salute
di un minore

Alla luce di tali considerazioni – e tenuto conto che dalle ragioni dell'assenza possono risultare desumibili informazioni e circostanze afferenti alla sfera privata del lavoratore non rilevanti ai fini della valutazione dell'attitudine professionale del medesimo (art. 8, l. n. 300/1970) – il trattamento di dati personali della minore è stato ritenuto in violazione del principio di pertinenza e di non eccedenza (art. 11, comma 1, lett. d), del Codice), oltre che del principio di indispensabilità di cui all'autorizzazione generale n. 1/2007, sicché è stato vietato alla società l'ulteriore messa a disposizione dei dati relativi alla figlia minore del segnalante (Provv. 6 novembre 2008, doc. web n. 1571485).

 

In un'altra segnalazione, una ex dipendente di una società ha lamentato l'avvenuta comunicazione a terzi (nel caso rappresentato, la sorella) di dati relativi alla propria condizione di salute da parte della società, in assenza del proprio consenso.

In proposito, questa Autorità ha ricordato che il trattamento di dati sensibili può avvenire senza il consenso dell'interessato quando questi, per impossibilità fisica, incapacità di agire o incapacità di intendere e di volere non sia in grado di prestarlo e il trattamento risulti necessario per la salvaguardia della sua incolumità personale (art. 26, comma 4, lett. b), del Codice) o per specifici obblighi di legge in materia di sicurezza sul lavoro (art. 26, comma 1, lett. d), del Codice). Non risultando la ricorrenza di tali circostanze, l'Autorità ha vietato l'ulteriore comunicazione a terzi dei dati relativi alle condizioni di salute della segnalante (Provv. 2 aprile 2008 [doc. web n. 1519902]).

 

 

 


Dati relativi
alle condizioni
di salute
e loro conoscibilità
all'interno
di una società

 

Due dipendenti di due distinte società (che gestiscono, alcuni esercizi commerciali) hanno contestato l'utilizzo, da parte dei rispettivi datori di lavoro, di propri dati personali (raccolti per finalità di marketing, fidelizzazione e fini statistici) per promuovere un procedimento disciplinare nei loro confronti culminato nel licenziamento (in quanto gli interessati, nella veste di dipendenti dei menzionati esercizi commerciali, "caricavano" sulla propria carta di fidelizzazione gli acquisti effettuati dalla clientela).

Dall'istruttoria è emerso che le società, nel perseguire una pur legittima finalità (ovvero l'accertamento di un comportamento ritenuto illegittimo di un lavoratore relativo all'uso indebito di una carta), hanno violato la disciplina di protezione dei dati personali che prevede una preventiva informativa agli interessati sulle concrete modalità di utilizzo dei dati che li riguardano. I dati acquisiti, anziché essere stati trattati nel solo ambito del programma di fidelizzazione (come dichiarato nell'informativa fornita agli interessati), sono stati infatti utilizzati anche per assumere decisioni relative alla gestione del rapporto di lavoro. L'Autorità, non risultando agli atti che in sede di adesione al programma di fidelizzazione gli interessati fossero stati informati sull'utilizzo dei dati raccolti anche per controllare l'esecuzione della prestazione lavorativa e l'osservanza dell'obbligo di fedeltà dei dipendenti, ha vietato alle due società di effettuare, nel contesto del rapporto di lavoro, ulteriori operazioni di trattamento dei dati connessi all'utilizzo della carta di fidelizzazione in violazione dei princìpi di liceità e finalità (art. 11, comma 1, lett. a) e b), del Codice) (Provv. 2 aprile 2008 [doc. web n. 1519679] e Provv. 6 novembre 2008 [doc. web n. 1573780]).

 

 

 


Trattamento
di dati personali
raccolti
in occasione
di programmi
di fidelizzazione
e loro utlizzo
per fini disciplinari
nell'ambito
del rapporto
di lavoro

 

 

Con un reclamo un'organizzazione sindacale ha contestato l'avvenuta fornitura ai dipendenti, da parte della compagnia aerea di appartenenza, di computer portatili (denominati "e-flight bags") idonei non solo all'invio di comunicazioni aziendali in formato elettronico, ma anche a svolgere funzioni ulteriori, tra cui la formazione tecnico-specialistica del personale. In particolare, tale fornitura sarebbe avvenuta, stanti le potenzialità di controllo a distanza dell'attività dei lavoratori insite nello strumento, senza l'osservanza delle procedure a tal fine richieste dall'art. 4 della l. n. 300/1970, oltre che in assenza dell'informativa agli interessati e del loro consenso in ordine al trattamento di dati personali connesso all'utilizzo dello strumento.

 

 

 


Trattamento
di dati personali
connesso
all'utilizzo
di strumenti
elettronici

Dalla documentazione è emersa l'idoneità dello strumento a controllare a distanza l'attività lavorativa dei dipendenti, in ragione delle funzioni di tracciamento e registrazione degli accessi al corso di formazione (oltre che della relativa durata) utili al monitoraggio dell'andamento del processo formativo degli interessati. Rispetto a tale funzionalità, ritenuta compatibile con le esigenze organizzative dell'azienda, la società non ha comprovato l'avvenuto espletamento delle procedure di cui all'art. 4 della l. n. 300/1970, presupposto indefettibile per la liceità e correttezza del trattamento dei dati (artt. 11, comma 1, lett. a) e 114 del Codice). L'Autorità ha quindi disposto, nelle more dell'eventuale espletamento di tali procedure, il blocco dell'ulteriore trattamento dei dati personali riferiti ai dipendenti, limitatamente alle informazioni connesse all'utilizzo dello strumento per finalità formative (Provv. 2 aprile 2008 [doc. web n. 1519695]).

 

Con altro reclamo è stata contestata una procedura interna volta a verificare il corretto operato del reclamante, all'epoca dei fatti amministratore delegato di detta società. L'attività di verifica, avviata a seguito di una denuncia anonima pervenuta al chief executive officer della capogruppo estera – che avanzava sospetti di comportamenti illeciti nei confronti del management italiano dell'azienda – sarebbe stata condotta dalla società e da un apposito team investigativo esterno e avrebbe determinato, all'esito della stessa (peraltro infruttuoso), le dimissioni del reclamante. Tra le operazioni contestate dall'interessato figura, in particolare, l'acquisizione della corrispondenza a lui indirizzata, estratta dall'account di posta elettronica dal medesimo utilizzato e contenente (a detta del reclamante) anche informazioni comuni e sensibili a lui relative. Il reclamante ha pertanto chiesto all'Autorità la cancellazione e/o distruzione dei messaggi di posta elettronica e il divieto di trattare ulteriormente tali dati.

La società resistente, all'esito di articolate deduzioni, ha invece chiesto la sospensione del procedimento amministrativo sul reclamo innanzi all'Autorità, previa valutazione del rapporto di connessione e pregiudizialità con il giudizio contestualmente pendente presso l'Autorità giudiziaria ordinaria, e ha chiesto in via riconvenzionale il blocco del trattamento delle informazioni riconducibili a terzi e alla medesima società prodotte davanti al giudice ordinario.

 

 

 


Trattamento
di dati personali
svolto nell'ambito
di attività
investigative
interne
alla società

L'Autorità ha chiarito che il principio di alternatività tra azione giudiziaria e tutela amministrativa innanzi al Garante è contemplato dal Codice nella sola ipotesi della presentazione di ricorsi, che il reclamo in via riconvenzionale non è previsto e che al Garante non competono valutazioni sulla rilevanza e l'ammissibilità di atti e documenti prodotti in giudizio (neppure per i profili inerenti il trattamento di dati personali) (art. 160, comma 6, del Codice).

Nel merito lo scambio di corrispondenza elettronica con soggetti esterni (siano o meno essi estranei) all'attività lavorativa configura, già di per sé, un'operazione idonea a rendere conoscibili talune informazioni personali relative all'interessato (ad es., i nominativi dei mittenti e/o dei destinatari delle e-mail, che possono per sé sole fornire, come i dati di traffico telefonico, indicazioni rilevanti in ordine ai contatti in essere degli interessati e, quindi, essere considerati dati personali ai medesimi relativi). Le operazioni effettuate dalla società sulla corrispondenza elettronica del reclamante, comprovate in atti, integrano quindi un trattamento di dati personali ai sensi dell'art. 4, comma 1, lett. a), del Codice, peraltro avvenuto in difformità dalla vigente disciplina di protezione dei dati.

Alla luce della documentazione acquisita, il trattamento effettuato dalla società non è rispettoso dei princìpi di liceità e correttezza (art. 11, comma 1, lett. a), del Codice), non essendo stato comprovato che il reclamante fosse stato reso edotto della possibilità di controlli sulla casella di posta elettronica da lui utilizzata, né delle procedure prescritte per il controllo a distanza dell'attività lavorativa (art. 4, legge n. 300/1970).

Inoltre, nel richiamare quanto previsto dal Codice (art. 23, comma 3) e da alcuni recenti provvedimenti in materia (da ultimo Provv. 1° marzo 2007 [doc. web n. 1387522]), l'Autorità ha ribadito che il consenso dell'interessato si considera validamente prestato solo se manifestato in relazione a un trattamento "chiaramente" individuato: circostanza, questa, non desumibile in relazione al caso di specie, non risultando in atti documentata la puntuale conoscenza, da parte del reclamante, delle finalità e delle modalità della raccolta della corrispondenza a sé riferita.

Le risultanze istruttorie hanno poi evidenziato che la società ha comunicato al project manager della società incaricata dell'attività investigativa i dati personali del reclamante senza la prescritta informativa e l'eventuale designazione di questi quale responsabile del trattamento (né è risultata provata l'esistenza di altro presupposto di liceità del trattamento per la comunicazione dei dati personali riferiti al reclamante).

Per tali ragioni, è stato vietato alla società l'ulteriore trattamento dei dati personali riferiti all'interessato contenuti nella corrispondenza estratta dall'account di posta elettronica (fatta comunque salva la loro conservazione per la tutela di diritti in sede giudiziaria nei limiti di cui all'art. 160, comma 6, del Codice) (Provv. 2 aprile 2008 [doc. web n. 1519703]).

 

In un quesito, una società specializzata nell'elaborazione e stampa di cedolini paga dei dipendenti per conto terzi (attività che può comportare il trattamento di dati sensibili dei dipendenti medesimi) ha chiesto chiarimenti sull'effettiva necessità di essere designata, da parte delle società "clienti", solitamente in forza di contratti di servizio, quale responsabile del trattamento.

 

 

 


Titolare-
responsabile

Al riguardo, è stato ribadito che la designazione del responsabile del trattamento, ancorché non obbligatoria (art. 29, comma 1, del Codice), può divenire una soluzione obbligata quando una parte – sia pure strumentale – dei trattamenti necessari per perseguire le finalità del titolare è curata da un soggetto esterno (Parere 19 dicembre 1998 [doc. web n. 41941]) ad esempio, nell'ambito di un contratto di servizio sottoscritto dal titolare-utilizzatore con la società fornitrice del servizio stesso.

La disciplina vigente riconosce comunque in capo al solo "titolare" del trattamento le decisioni in ordine alle finalità e alle modalità dello stesso (art. 4, comma 1, lett. f), del Codice), finalità e modalità che, nel caso di specie, non sono state ritenute riconducibili a preventive determinazioni da parte della società richiedente (Nota del 20 giugno 2008).

 

Una società di trasporto pubblico locale ha presentato un'istanza di verifica preliminare (ai sensi dell'art. 17 del Codice) relativa al trattamento di dati personali dei conducenti dei veicoli in dotazione – nonché di quelli a disposizione delle società controllate – conseguente all'utilizzo di un sistema satellitare di localizzazione basato su tecnologia Gps (Global positioning system). Il sistema (comprensivo della gestione di una banca dati e del relativo portale di accesso, messi a disposizione della società di trasporto dal fornitore del servizio) risulterebbe idoneo a raccogliere un elevato numero di informazioni, tra cui la localizzazione, la velocità e la direzione dei veicoli, l'osservanza da parte dei conducenti della normativa in tema di circolazione stradale e delle relative prescrizioni aziendali, le condotte di guida degli autisti, il consumo di carburante, la dinamica di eventuali sinistri (mediante dispositivo di registrazione e trasmissione dei dati: cd. "event data recorder"), eventuali anomalie tecnico-meccaniche dei veicoli.

 

 

 


Geolocalizzazione
ed event
data recorder

Una delle finalità del trattamento sarebbe quella di garantire la sicurezza dei passeggeri e del mezzo. Le informazioni, acquisite automaticamente dal sistema di bordo secondo criteri previamente concordati con il fornitore del servizio (all'accensione e allo spegnimento del veicolo; ogni cinque minuti con veicolo fermo o in movimento; ogni cinque km con veicolo in movimento; all'inizio e al termine di ogni fermata), confluirebbero in una banca dati gestita dal fornitore medesimo. Gli stessi dati, unitamente al servizio per la loro elaborazione (ad es., il tracciato del percorso effettuato), sarebbero resi fruibili all'azienda dal fornitore attraverso un portale ad accesso riservato.

La società ha inoltre dichiarato che le informazioni ottenute e relative alla "condotta di guida", per finalità connesse al rispetto delle prescrizioni normative di marcia in strada e al fine di riconoscere trattamenti economici premianti in favore dei lavoratori sarebbero acquisite solo in forma di indici medi e non sulla base di dati analitici.

L'Autorità ha precisato che i dati che consentono di identificare, anche indirettamente, i conducenti e quelli relativi allo "stile di guida" o registrati mediante l'"event data recorder" (in quanto riconducibili, anche in un secondo momento, ad azioni poste in essere dai medesimi) devono ritenersi informazioni personali (art. 4, comma 1, lett. b), del Codice). I trattamenti devono comunque avvenire con modalità rispettose, in concreto, dei diritti e delle libertà fondamentali, nonché della dignità degli interessati (art. 2, comma 1, del Codice) e in conformità all'art. 11, comma 1, lett. a) del medesimo Codice, con le garanzie e procedure espressamente previste a tutela dei lavoratori dall'art. 4 della legge n. 300/1970.

L'Autorità ha inoltre invitato la società a designare il fornitore (esterno) del servizio di geolocalizzazione quale responsabile del trattamento ai sensi dell'art. 29 del Codice, tenuto conto che la decisione sulle finalità perseguibili nel caso di specie risulta in capo alla sola società di trasporto.

La finalità del trattamento con il sistema Gps delle informazioni relative alla localizzazione dei veicoli è stata ritenuta lecita dall'Autorità anche nella prospettiva di potenziale incremento della sicurezza del conducente e delle persone trasportate e della maggiore efficienza del servizio di trasporto pubblico locale. L'Autorità ha poi valutato conforme al principio di necessità (art. 3 del Codice) l'adozione di specifici accorgimenti, come i codici cifrati, funzionali a non rendere conoscibile al fornitore del servizio i dati identificativi dei conducenti.

Parimenti lecito è risultato il trattamento relativo alla "condotta di guida" osservata (sintetizzata in forma di indici medi) per finalità connesse al rispetto delle prescrizioni normative di marcia su strada. Tali informazioni possono essere trattate nel rispetto delle specifiche disposizioni di legge in materia (cfr. il d.lg. n. 285/1992 "Nuovo codice della strada" e successive modifiche e integrazioni), anche per riconoscere premi in favore dei lavoratori che conformino il proprio stile di guida agli standard fissati dalla stessa società. Quest'ultima deve tuttavia selezionare le informazioni pertinenti e non eccedenti ai fini del calcolo degli indici medi da utilizzare per gli anzidetti premi, tenendo presenti i limiti posti dalla normativa di settore (in particolare, il divieto per le imprese di trasporto di "concedere premi o maggiorazioni di salario in base alle distanze percorse […], di natura tale da mettere in pericolo la sicurezza stradale" (art. 10, reg. Ce n. 561/2006 del 15 marzo 2006).

Anche la cd. "black box" (dispositivo di registrazione e trasmissione dei dati) è stata ritenuta lecita dall'Autorità, a condizione che la società espliciti in modo più dettagliato negli atti attuativi le finalità che intende perseguire. Infatti, l'acquisizione di elementi volti alla ricostruzione di un sinistro, può rivelarsi utile anche per accertare condotte non conformi alla disciplina in materia di sicurezza stradale ed eventuali responsabilità in capo ai conducenti.

Per tutte le finalità indicate nel provvedimento, il Garante ha comunque prescritto alla società: di fornire ai lavoratori gli elementi previsti dall'art. 13 del Codice in tema di informativa, unitamente a compiuti ragguagli sulla natura dei dati trattati e sulle caratteristiche del sistema, tenuto conto delle diverse finalità perseguite; di consentire l'accesso ai dati riferiti ai conducenti, concernenti la localizzazione o inerenti alle "condotte di guida", ai soli incaricati della società che possono prenderne legittimamente conoscenza in ragione delle mansioni svolte (ad es., in relazione alla circolazione dei veicoli, al personale incaricato di coordinare il servizio di trasporto pubblico nei diversi turni di lavoro; nel caso degli indici medi utili a misurare la "condotta di guida", agli incaricati operanti nella gestione delle risorse umane); di non conservare i dati personali per un tempo superiore a quello necessario al conseguimento delle finalità indicate (avuto particolare riguardo alle informazioni relative alla localizzazione – opportunamente anonimizzate – che potranno essere trattate per le attività di monitoraggio e pianificazione del servizio di trasporto pubblico solo se in forma aggregata); di notificare il trattamento al Garante, con specifico riferimento ai dati relativi alla localizzazione dei lavoratori (Provv. 5 giugno 2008 [doc. web n. 1531604]).

 

A seguito di una richiesta presentata, ai sensi dell'art. 41 del Codice, da una società di rating (controllata da altra società con sede negli Stati uniti d'America) riguardante il trattamento dei dati giudiziari relativi ai propri dipendenti (per adempiere così all'obbligo di registrazione previsto dal Credit Rating Agency Reform Act of 2006 e ottenere lo status di "Nationally Recognized Statistical Rating Organisation"-Nsro), il Garante ha autorizzato la società a trattare i dati giudiziari richiesti limitatamente al solo personale operante nel relativo dipartimento e per la sola finalità dichiarata, nel rispetto, per quanto non diversamente stabilito con l'autorizzazione ad hoc, delle prescrizioni di cui all'autorizzazione n. 7/2007 (Provv. 31 gennaio 2008 [doc. web n. 1488729]).

 

 

 


Trattamento
di dati giudiziari
dei dipendenti
e attività
di rating

In sede di rinnovo delle autorizzazioni generali si sono inseriti specifici riferimenti al trattamento di dati giudiziari di lavoratori effettuati da società di rating nell'ambito delle previsioni di cui all'autorizzazione generale n. 7/2008 (Provv. 19 giugno 2008, in G.U. 21 luglio 2008, n. 169 [doc. web n. 1529557]).

10.4.3. Previdenza

 

 

Anche a seguito degli approfondimenti sollecitati dall'Ufficio alla luce dei princìpi di pertinenza, non eccedenza e indispensabilità, come già anticipato nella Relazione 2007, l'Inps ha fornito nuove istruzioni (cfr. Circolare 29 aprile 2008, n. 53) alle proprie articolazioni organizzative circa la documentazione da presentare per richiedere i permessi per l'assistenza ai familiari disabili in situazione di gravità da parte di dipendenti che lavorano o risiedono in luoghi distanti da quello della persona da assistere (art. 33 legge 5 febbraio 1992, n. 104). Le nuove istruzioni, adottate anche in considerazione delle difficoltà riscontrate nell'attuazione delle precedenti indicazioni, stabiliscono che le sedi dell'istituto si astengano dall'acquisire il cd. "Programma di assistenza" a firma congiunta del lavoratore e del disabile, che doveva contenere una pianificazione motivata delle modalità con cui il lavoratore intendeva assistere il familiare.

 

 

 


Permessi
per l'assistenza
a familiari disabili

10.5. Attività di marketing e fidelizzazione
Con provvedimento adottato il 19 giugno 2008 [doc. web n. 1526724], recante misure di semplificazione in relazione alle attività amministrative e contabili (più ampiamente illustrato infra, al n. 10.8), in applicazione dell'istituto del bilanciamento degli interessi (art. 24, comma 1, lett. g), è stata individuata, in tema di marketing, un'ipotesi nella quale non va richiesto il consenso dell'interessato.

Il titolare del trattamento che abbia già venduto un prodotto o prestato un servizio, nel quadro dello svolgimento di ordinarie finalità amministrative e contabili, potrà utilizzare i recapiti di posta cartacea forniti dall'interessato medesimo, per inviare ulteriore materiale pubblicitario, promuovere una vendita diretta, compiere ricerche di mercato o per comunicazioni commerciali.

Tale soluzione considera le difficoltà rappresentate da alcuni operatori economici nel conservare un proprio diretto "canale comunicativo" con i soggetti con i quali abbiano già instaurato un rapporto contrattuale; tiene al tempo stesso conto del diritto dell'interessato a non essere disturbato mediante comunicazioni promozionali, in base a garanzie analoghe a quelle previste dalla legge per l'uso della posta elettronica (art. 130, comma 4; v. anche, con riguardo alle comunicazioni postali, l'art. 58, comma 2, d.lg. n. 206/2005).

 

Sono stati effettuati accertamenti presso la sede legale di una società che effettua vendite a domicilio, per verificare l'osservanza della disciplina di protezione dei dati sia nella fornitura di beni e servizi attraverso vendite a distanza previste dalla legge, sia in eventuali operazioni di trattamento volte a verificare l'affidabilità e solvibilità economica della clientela.

È risultato che la società in questione – che commercializza oggetti per la casa – raccoglie le informazioni personali riferite all'utenza e rende l'informativa alla clientela sia con contatti telefonici, sia mediante compilazione di modelli resi disponibili on-line, nonché in occasione degli incontri dimostrativi e dell'eventuale stipula del contratto. In quest'ultima circostanza, viene altresì acquisito il consenso al trattamento dei dati personali per le diverse finalità perseguite dalla società. È inoltre risultato che i dati riferiti alla clientela (che ha effettuato acquisti) vengono conservati a tempo indeterminato (attesa la garanzia a vita, contrattualmente prevista, gravante sui beni commercializzati) e vengono utilizzati dalla società anche per finalità di telemarketing. Non sono risultati prefissati, invece, i tempi di conservazione dei dati relativi ai clienti che non hanno provveduto ad effettuare acquisti (dati comunque utilizzati dalla società per contatti volti a comprendere le ragioni del mancato acquisto).

 

 

 


Vendita
a domicilio
e trattamento
di dati
per attività
di marketing

Valutati gli elementi in atti, il Garante ha vietato alla società l'ulteriore trattamento dei dati relativi alla clientela utilizzati per finalità di telemarketing, atteso che la modulistica impiegata dalla società prevede il rilascio di un unico consenso, manifestato nell'ambito di un più ampio contesto (comprensivo tanto delle attività di marketing che di quelle relative alla gestione del rapporto precontrattuale ed, eventualmente, contrattuale), volto ad autorizzare una pluralità di trattamenti invero ben distinti. La formulazione presente nella modulistica utilizzata dalla società non è risultata dunque idonea a soddisfare i requisiti previsti (posto che il consenso informato deve essere manifestato specificamente in riferimento ad un trattamento chiaramente individuato: art. 23, comma 1, del Codice), ragion per cui il trattamento per finalità di marketing è risultato essere stato svolto dalla società in violazione di legge.

L'Autorità ha altresì prescritto alla società l'adozione di alcune misure volte a conformare i trattamenti dei dati riferiti alla clientela alla disciplina di protezione dei dati. Al riguardo, non è infatti risultata idonea l'informativa resa on-line – nella sua duplice versione presente sul sito – in quanto carente di alcuni elementi previsti dall'art. 13 del Codice e, quindi, tale da non rappresentare, in modo agevole e trasparente, le varie fasi del trattamento posto in essere dalla società. In proposito, l'Autorità già in passato aveva dettagliatamente evidenziato l'esigenza di rendere in modo chiaro e trasparente l'informativa agli interessati (Provv. 13 gennaio 2000 [doc. web n. 42276]) anche prescrivendo che l'informativa inserita all'interno di moduli sia adeguatamente evidenziata e collocata in modo autonomo e unitario in un apposito riquadro che la renda agevolmente individuabile (Provv. 24 febbraio 2005 [doc. web n. 1103045]).

Parimenti, è risultata carente anche l'informativa resa in occasione del contatto telefonico mediante call center (contenente l'indicazione di una sola delle finalità del trattamento e priva della menzione dei diritti degli interessati). L'Autorità ha dunque prescritto alla società di integrare le informative (sia quella fornita on-line sia quella resa tramite call center), con gli elementi mancanti. Ha inoltre prescritto alla società di adottare misure necessarie all'individuazione di tempi massimi certi per la conservazione dei dati personali riferiti alla clientela (salva l'osservanza di espresse disposizioni di legge), nonché la cancellazione o anonimizzazione dei dati la cui conservazione non risulti giustificata (art. 11, comma 1, lett. e), del Codice) (Provv. 19 maggio 2008 [doc. web n. 1526956]).

 

Con un reclamo presentato nei confronti di una concessionaria automobilistica è stata lamentata l'indebita utilizzazione di dati personali per finalità di marketing, in assenza di adeguata informativa e di consenso dell'interessato per tale finalità (al quale la modulistica predisposta riconosceva la sola facoltà di negare il consenso all'uso dei dati). Su tali basi, pertanto, il reclamante ha ricevuto da parte della concessionaria, una volta acquistato il veicolo, alcuni messaggi pubblicitari sia presso il proprio domicilio, con comunicazioni postali, sia mediante Sms, sul proprio telefono cellulare.

 

 

 


Consenso
dell'interessato

Gli elementi acquisiti hanno confermato che l'informativa resa al reclamante era carente di taluni elementi prescritti dall'art. 13 del Codice e che non era stato acquisito il consenso espresso dell'interessato ai sensi dell'art. 23, comma 1, del Codice per le finalità di marketing. L'Autorità ha quindi disposto che i dati del reclamante non potevano più essere utilizzati per il perseguimento di detta finalità (art. 11, comma 2, del Codice), dando prescrizioni volte a rendere l'informativa conforme all'art. 13 del Codice (Provv. 31 gennaio 2008 [doc. web n. 1500829]).

10.6. Altre attività imprenditoriali 

 

Alitalia/Cai hanno rivolto congiuntamente all'Autorità un'istanza, in relazione all'intervenuta cessione di beni e contratti perfezionatisi tra le parti, per chiedere l'esonero dall'obbligo di rendere individualmente l'informativa agli interessati (in quanto comportante un impiego di mezzi sproporzionato rispetto ai diritti tutelati) e la contestuale indicazione di eventuali misure appropriate ai sensi dell'art. 13, comma 5, lett. c), del Codice. Le società Cai si sono rese cessionarie, oltre che di complessi di beni e contratti, di interi database organizzati in ragione delle diverse categorie di soggetti censiti (equipaggi, soggetti manutentori e certificatori della flotta di aeromobili, oltre quattromila fornitori e alcuni milioni di clienti) facenti capo alle società cedenti, con conseguente mutamento della titolarità in ordine ai trattamenti derivanti dalla cessione.

 

 

 


Vicenda
Alitalia/Cai:
cessione
in blocco
di beni
e contratti

Il trattamento dei dati (secondo quanto dichiarato dalle società istanti, di regola anagrafici o relativi a transazioni di natura economica) riferito alle menzionate tipologie di interessati sarebbe proseguito in termini sostanzialmente invariati quanto a finalità e modalità; le informazioni rese disponibili dalle società Alitalia alle società Cai per effetto dell'intervenuta cessione, infatti, sarebbero destinate a trattamenti compatibili con gli scopi per i quali le stesse sono state in precedenza raccolte e trattate.

Le società istanti hanno altresì richiesto a questa Autorità, in assenza di altri presupposti di liceità del trattamento (art. 24 del Codice), di trattare i dati personali degli interessati senza il loro consenso; ciò, tenuto conto dell'asserita impossibilità – derivante, oltre che dalla complessità delle citate operazioni di cessione, dal ridotto periodo di tempo a disposizione e dall'elevato numero di soggetti coinvolti nei diversi trattamenti – di richiedere e acquisire il consenso di ciascuno degli interessati, nonché delle immutate finalità e modalità dei trattamenti rientranti nella complessa operazione economica.

Con specifico riferimento all'informativa da rendere agli interessati, l'Autorità, anche in considerazione dell'immutata finalità dei trattamenti dei dati oggetto di cessione e della già ampia notorietà acquisita dalla vicenda, ha accolto la richiesta formulata dalle società, autorizzandole a rendere l'informativa (avente per contenuto gli elementi previsti all'art. 13 del Codice e non già noti agli interessati) mediante la pubblicazione di un annuncio sui siti web delle società coinvolte nella cessione e, anche in un unico contesto, su quattro quotidiani previamente individuati, nonché dandone comunicazione agli interessati in occasione della prima circostanza utile di contatto successiva alla cessione.

Per quanto concerne la richiesta di trattare i dati personali degli interessati in assenza del loro consenso, l'Autorità ha ritenuto opportuno distinguere i profili in funzione dei soggetti censiti.

Relativamente alle operazioni di cessione in blocco dei rapporti in essere riferiti sia a clienti creditori di prestazioni derivanti dalla partecipazione a programmi di fidelizzazione delle società Alitalia (quale il programma "Millemiglia"), sia a clienti creditori di prestazioni di trasporto successive alle operazioni di cessione (che hanno per lo più già pagato il corrispettivo dovuto), l'Autorità ha ritenuto giustificato il bilanciamento di interessi (art. 24, comma 1, lett. g), del Codice), prevedendo la facoltà di prescindere dall'acquisizione del consenso di ciascuno dei "clienti non volati" interessati ai fini della comunicazione (e del successivo trattamento) dei dati personali necessari all'esecuzione delle prestazioni destinate ad essere eseguite dalle società Cai, atteso che queste ultime si sono contrattualmente accollate dette obbligazioni (per la cui efficacia, peraltro, l'ordinamento prescinde dal consenso del creditore). Ciò, anche in ragione dell'immutata finalità del trattamento dei dati oggetto delle operazioni di cessione, del vantaggio derivante in capo agli aderenti a programmi di fidelizzazione (che vedono preservate eventuali pretese maturate o maturande) e, in relazione ai clienti che abbiano già acquistato un titolo di viaggio, considerate le esigenze di speditezza e continuità del servizio pubblico essenziale di trasporto aereo.

Per quanto attiene ai dati personali coinvolti nella cessione e riferiti a contratti intercorrenti tra le società Alitalia e Cai (indicati analiticamente nel contratto di cessione), l'Autorità ha ritenuto integrata la fattispecie prevista nell'art. 24, comma 1, lett. b), del Codice, sì che il trattamento dei dati personali riferibili ai contraenti ceduti che abbiano prestato il consenso alla cessione del contratto che li legava alle società Alitalia (cedenti) deve ritenersi lecito (in relazione alle medesime finalità originariamente perseguite) anche in assenza del loro consenso.

Con riferimento, ancora, alla comunicazione di informazioni personali relative a contratti di trasporto già eseguiti (cd. "clienti volati"), come pure relativi a fornitori che hanno prestato i propri servizi nei confronti delle società Alitalia, l'Autorità ha ritenuto integrati gli estremi di cui all'art. 24, comma 1, lett. a), del Codice. Infatti, tali informazioni (organizzate in distinti database) sono state oggetto di apposita pattuizione tra le parti, concorrendo alla complessiva valutazione dell'operazione dal punto di vista economico. Al riguardo, in considerazione del fatto che il commissario straordinario è tenuto, a liquidare le poste attive e a trasferire le utilità suscettibili di essere annoverate, secondo la valutazione delle parti, nell'ambito della "cessione di beni e contratti" (alla luce dell'articolato quadro normativo vigente), l'Autorità ha ritenuto lecita la comunicazione delle informazioni contenute nei predetti database in assenza del consenso degli interessati, stante la citata previsione normativa di cui all'art. 24, comma 1, lett. a), del Codice. Peraltro l'Autorità ha comunque atto del fatto che il trattamento sarà limitato unicamente all'esecuzione, in forma aggregata, di indagini di mercato e per eseguire proiezioni di tipo statistico e di ricerca (come da dichiarazioni delle società istanti).

Anche in relazione ai dati personali riferiti agli equipaggi, ai soggetti manutentori e ai certificatori della flotta di aeromobili, il trattamento è stato ritenuto lecito dall'Autorità in assenza del consenso degli interessati (purché nel rispetto del principio di finalità); ciò, in base alla previsione contenuta nel citato art. 24, comma 1, lett. a) del Codice. Infatti, tali informazioni corrispondono sostanzialmente a quelle previste per la regolare tenuta dei registri di aeronavigabilità di cui al Regolamento (Ce) 2042/2003 della Commissione europea del 20 novembre 2003 e le medesime sono oggetto, altresì, di apposita previsione (in relazione alla tenuta e conservazione del quaderno tecnico di bordo) nel Regolamento tecnico adottato dall'Ente nazionale per l'aviazione civile-Enac, adottato ai sensi dell'art. 687 del r.d. 30 marzo 1942, n. 327 (codice della navigazione).

L'Autorità si è comunque riservata di svolgere eventuali verifiche in relazione agli altri trattamenti di dati personali effettuati dalle società Cai (Provv. 8 gennaio 2009 [doc. web n. 1580603]).

10.7. Attività di impresa e controlli

 

Una segnalazione ha lamentato che le procedure previste da una compagnia aerea per il rimborso dei biglietti acquistati via Internet mediante carta di credito richiedevano, tra i documenti da allegare, anche copia dell'estratto conto della carta di credito dell'acquirente.

Al riguardo, la società ha precisato che le informazioni richieste (peraltro non riferite all'intera movimentazione bancaria del cliente, ma solo ed esclusivamente all'operazione di acquisto del biglietto da rimborsare) risultavano necessarie per identificare l'effettivo titolare della carta di credito, unico soggetto deputato a ricevere l'accredito dell'importo versato per l'acquisto del titolo di viaggio. La medesima società ha inoltre attestato la presenza, all'interno del proprio sito web, di una privacy policy aziendale, nella quale sono enunciate e spiegate in maniera chiara e puntuale le finalità della raccolta e del trattamento dei dati personali dell'interessato (cliente/passeggero), ivi compresi i profili di trattamento correlati alle procedure di rimborso dei biglietti. Le dichiarazioni e la documentazione prodotte – unitamente al fatto che il modulo disponibile sul sito della compagnia aerea reca espressamente l'informativa fornita agli interessati in ordine al trattamento dei propri dati personali connesso alle procedure di rimborso – non hanno reso opportuna l'adozione di un provvedimento da parte dell'Autorità (artt. 14, comma 2, e 11, comma 1, lett. d), regolamento del Garante n. 1/2007) (Nota del 30 ottobre 2008).

 

 

 


Trattamento
di dati personali
nell'ambito
di una procedura
di rimborso
di biglietti
aerei

 

Nonostante il provvedimento generale del 30 novembre 2005 [doc. web n. 1213644] continuano a pervenire numerose segnalazioni che, al di là del relativo esito, evidenziano la necessità per l'Autorità e per gli operatori del settore di mantenere alta la soglia di attenzione di questa delicata tematica.

 

 

 


"Recupero crediti"

Anche per queste ragioni e alla luce delle recenti modifiche apportate all'art. 115 del r.d. n. 773/1931 (Tulps) – che abilitano le società di recupero dei crediti allo svolgimento delle proprie attività "senza limiti territoriali" (art. 4 l. 6 giugno 2008 n. 101; Circ. Ministero interno n. 557/pas/11858.12015 dell'8 gennaio 2008) – l'Autorità, con nota del 27 novembre 2008, ha richiamato l'attenzione del Ministero dell'interno sul fenomeno in oggetto (comunicando allo stesso il provvedimento generale) anche in vista dell'adozione di eventuali iniziative di sua competenza, con riserva di inoltrare alle singole questure territorialmente interessate le specifiche segnalazioni, per consentire opportune verifiche anche in relazione all'applicazione della disciplina contenuta nel Tulps. A seguito di tale comunicazione vi sono stati proficui contatti tra l'Ufficio del Garante e rappresentanti del Ministero dell'interno volti ad identificare le aree di possibile interferenza tra le discipline di rispettiva competenza e di possibile collaborazione.

10.8. Semplificazioni negli adempimenti contabili e amministrativi

 

Nel 2008, nel solco di iniziative adottate in passato, il Garante è nuovamente intervenuto in materia di semplificazione, snellendo gli adempimenti nei trattamenti per finalità amministrative e contabili, le procedure relative alle misure minime di sicurezza, nonché introducendo ulteriori semplificazioni al modello utilizzato per effettuare la notificazione al Garante.

 

 

 

 


Finalità
amministrative
e contabili

Il primo provvedimento, adottato il 19 giugno 2008 [doc. web n. 1526724], reca misure di semplificazione per l'intero settore pubblico e privato in relazione alle attività amministrative e contabili, in particolare nei riguardi di piccole e medie imprese, liberi professionisti e artigiani.

In esso vengono individuate soluzioni concrete per agevolare ulteriormente l'ordinaria attività di gestione amministrativa e contabile, in modo particolare nei casi in cui non sono trattati dati di carattere sensibile o giudiziario, per rendere più snelle le procedure burocratiche e più semplici i moduli dell'informativa, favorendo una più agevole comprensione dei cittadini sulle modalità e finalità del trattamento dei dati personali.

Il Garante ha inoltre fornito indicazioni specifiche per la redazione di un'informativa unica per il complesso dei trattamenti di dati personali a fini esclusivamente amministrativi e contabili. Gli operatori potranno anche redigere una prima informativa breve rinviando ad un testo più articolato disponibile su siti Internet, reti Intranet, in bacheche o presso gli sportelli al pubblico del titolare del trattamento.

Le associazioni di categoria sono state invitate a predisporre informative-tipo per determinati settori o categorie di trattamenti, prevedendo la messa a disposizione, gratuitamente, di un kit di istruzioni concrete e fac-simili per facilitare l'opera di semplificazione degli adempimenti previsti.

Alle indicazioni relative all'informativa si aggiungono quelle relative al consenso, che deve essere acquisito solo nei casi veramente necessari.

Il Garante, considerati i princìpi di efficacia e proporzionalità e in relazione agli artt. 2, 18, comma 4, 24, comma 1, e 154, comma 1, lett. c), del Codice, ha chiarito che il consenso non deve essere richiesto in particolare, quando:

- il trattamento dei dati in ambito privato è svolto per adempiere a obblighi contrattuali o normativi o, comunque, per ordinarie finalità amministrative e contabili;

- i dati trattati provengono da pubblici registri ed elenchi pubblici conoscibili da chiunque o sono relativi allo svolgimento di attività economiche dell'interessato.

 

L'art. 29 del decreto-legge 25 giugno 2008, n. 112 (convertito in legge il 6 agosto 2008, n. 133) ha modificato gli artt. 34 e 38 del Codice.

 

 

 


Misure
di sicurezza

In particolare, nell'art. 34 è stato aggiunto il comma 1-bis, in base al quale per tutte le imprese che trattano soltanto dati personali non sensibili e che trattano solo i dati sensibili relativi allo stato di salute dei dipendenti e collaboratori (certificati medici senza indicazione della relativa diagnosi) ovvero all'adesione ad organizzazioni sindacali, la tenuta di un aggiornato documento programmatico sulla sicurezza è sostituita dall'obbligo di autocertificazione, resa dal titolare del trattamento ai sensi dell'art. 47 del t.u. di cui al d.P.R. 28 dicembre 2000, n. 445.

Inoltre, il citato comma 1-bis ha demandato al Garante la semplificazione del Disciplinare tecnico in materia di misure minime di sicurezza.

In attuazione di tale previsione, gli adempimenti a carico dei titolari del trattamento sono stati rimodulati in funzione delle effettive caratteristiche dimensionali o di struttura delle imprese, della natura dei trattamenti, nonché in considerazione di esigenze di riduzione dei costi (Provv. 27 novembre 2008 [doc. web n. 1571218]. Le nuove garanzie, adottate sentito il Ministro per la semplificazione normativa, interessano:

a) amministrazioni pubbliche e società private che utilizzano dati personali non sensibili (nome, cognome, indirizzo, codice fiscale, numero di telefono) o che trattano come unici dati sensibili dei dipendenti quelli relativi allo stato di salute o all'adesione a organizzazioni sindacali;

b) piccole e medie imprese, liberi professionisti o artigiani che trattano dati solo per fini amministrativi e contabili.

In base al provvedimento del Garante, le categorie interessate:

- possono impartire anche oralmente le istruzioni agli incaricati in materia di misure minime;

- possono utilizzare per l'accesso ai sistemi informatici un qualsiasi sistema di autenticazione basato su un username e una password; lo username deve essere disattivato quando viene meno il diritto di accesso ai dati;

- in caso di assenze prolungate o di impedimenti del dipendente possono mettere in atto procedure che consentano comunque l'operatività e la sicurezza del sistema (ad es., l'invio automatico delle e-mail ad un altro recapito accessibile);

- devono aggiornare i programmi di sicurezza (antivirus) almeno una volta l'anno ed effettuare backup dei dati almeno una volta al mese.

Con il provvedimento, inoltre, il Garante ha fornito a piccole e medie imprese, artigiani, liberi professioni, soggetti pubblici e privati che trattano dati solo a fini amministrativi e contabili, alcune indicazioni per la redazione di un documento programmatico per la sicurezza semplificato.

Procedure semplificate sono state indicate anche per chi tratta dati senza l'impiego di sistemi informatici.

 

Nel nuovo testo dell'art. 38 del Codice è stato sostituito il comma 2, precisando e circoscrivendo il contenuto del modello che deve essere utilizzato per effettuare la notificazione.

 

 

 


Notificazione

Insieme con quello sulle misure minime di sicurezza, il Garante ha adottato in data 22 ottobre 2008 [doc. web n. 1571196] un provvedimento che, in linea con le semplificazioni già adottate in precedenza snellisce ulteriormente il modello utilizzato per effettuare le notificazioni, e che non comporta l'obbligo di modificare le notificazioni già presentate.