g-docweb-display Portlet

II - L'attività svolta dal Garante - par. 17-20 - Relazione 2004 - 9 febbraio 2005

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

II - L´attività svolta dal Garante - par. 17-20 - Relazione 2004 - 9 febbraio 2005



17. Registro dei trattamenti

17.1. La notificazione

La nuova modalità di notificazione del trattamento dei dati personali al Garante (disciplinata dagli artt. 37, 38, 181, comma 1, lett. c), del Codice) presenta profondi cambiamenti sia nei contenuti, sia nelle modalità di compilazione, rispetto alla precedente normativa (artt. 7, 16 e 28, l. n. 675/1996): basti qui ricordare che, mentre quest´ultima prescriveva un obbligo di carattere generale di notificazione per un numero consistente di trattamenti -salve, comunque, le varie eccezioni previste dalla legge-, il Codice reca ora un più ristretto "elenco positivo" di trattamenti soggetti ad obbligo di notificazione, che il Garante può peraltro sviluppare attraverso un proprio provvedimento, il che attesta la conformità della soluzione innovativa ora prescelta dal legislatore italiano alla direttiva europea.

 
Linee normative

Il Garante si è già avvalso del potere di esonerare dal predetto obbligo alcuni trattamenti rientranti nelle generali previsioni di cui all´art. 37, ma in concreto ritenuti non suscettibili di recare specifico pregiudizio ai diritti e alle libertà dell´interessato (art. 37, comma 2). In base a tale disposizione con il provvedimento n. 1 del 31 marzo 2004 (v. Documentazione par. 39), l´Autorità ha individuato diverse ipotesi di trattamento sottratte all´obbligo di notificazione: è stato previsto, ad esempio, un esonero per il trattamento di dati genetici e biometrici trattati in maniera non sistematica da esercenti la professione sanitaria, purché non organizzati in banche dati accessibili da terzi; o, ancora, per il trattamento dei medesimi dati da parte degli avvocati, purché necessario a condurre investigazioni difensive o a far valere o difendere un diritto anche da parte di terzi in sede giudiziaria. é altresì possibile che, all´esito di questa prima fase di applicazione del Codice, si possano individuare, anche in collaborazione con le categorie interessate, ulteriori esoneri dall´obbligo di notificazione.

 
Il provvedimento di esonero

Il Garante ha poi ritenuto, allo stato, di non individuare ulteriori trattamenti di dati personali suscettibili di recare pregiudizio ai diritti e alle libertà dell´interessato in aggiunta alla lista figurante nell´art. 37, comma 1, e pertanto da sottoporre all´obbligo di notificazione.

Dopo il provvedimento che ha espressamente escluso la notificazione per alcuni trattamenti di dati personali, l´Autorità ha fornito numerosi chiarimenti per il settore privato (imprese, banche, assicurazioni, professionisti, enti no-profit) su alcuni trattamenti che devono ritenersi comunque sottratti all´obbligo di notificazione in base ad una corretta interpretazione delle disposizioni del Codice (Nota 23 aprile 2004; v. anche Newsletter n. 209 del 5-25 aprile 2004); ulteriori chiarimenti sono stati forniti in risposta a quesiti presentati dalla FnomCeo, dalla Fimmg e dall´Anisap, circa l´esatta individuazione dei trattamenti da notificare al Garante in ambito sanitario (Nota 26 aprile 2004; v. anche Newsletter n. 210 del 26 aprile-2 maggio 2004, consultabili sul sito web dell´Autorità).

 
Ulteriori chiarimenti

Accanto alla forte riduzione del numero dei trattamenti, è stata operata contemporaneamente, alla luce dell´esperienza, una drastica semplificazione dei contenuti e delle modalità di compilazione del modello informatico. La nuova notificazione può avvenire anzitutto solo in via telematica e accompagnata dalla firma digitale; gli elementi richiesti sono pochi, ma significativi, di immediata comprensione e di facile redazione.

 
La nuova notificazione

Il nuovo sistema ha così prodotto solo un numero limitato di notificazioni (circa 10.000 rispetto alle oltre 330.000 pervenute precedentemente ai sensi della legge n. 675/1996), circoscrivendo l´istituto alle sole ipotesi di trattamento "rischioso" per gli interessati, come prescritto dalla normativa comunitaria, e azzerando i casi di notificazione irregolare che avevano comportato in passato un onere assai rilevante per l´Ufficio del Garante.

Alcune temporanee e iniziali difficoltà tecniche dovute all´enorme traffico telematico registrato a ridosso della scadenza del termine per adempiere all´obbligo di notificazione fissato per il 30 aprile 2004 hanno indotto il Garante, avvalendosi delle facoltà previste dall´art. 38 del Codice, a riconoscere ulteriori quindici giorni a coloro che avevano tempestivamente intrapreso le operazioni di notificazione e che, per impossibilità tecniche a loro non imputabili, non erano riusciti a concludere la procedura. Alcuni interventi sulla stampa di dirigenti dell´Ufficio hanno ricostruito i punti estremamente interessanti di questo primo riuscito esperimento generalizzato nella p.a. di utilizzo della firma digitale per la produzione di un atto a rilevanza giuridica anche penale.

 
Risoluzione di inconvenienti tecnici

Il consistente potenziamento della banda trasmissiva utilizzata anche da molti visitatori interessati ad analizzare la procedura pur non dovendo notificare in concreto, e il breve differimento al 15 maggio 2004 del termine per concludere la notificazione hanno offerto agli utenti idonee opportunità di completare le operazioni di notificazione senza ulteriori problemi.

La procedura per la notificazione in via telematica ha dato ottima prova anche sotto l´aspetto della facilità d´uso. Il fatto che la medesima possa essere avviata e portata a termine nella sua interezza da una qualsiasi postazione, in qualunque momento e con l´assistenza on-line da parte del personale dell´Autorità durante l´orario d´ufficio, costituisce un indubbio vantaggio per l´utente.

 
I vantaggi della procedura telematica

Le procedure telematiche di notificazione si sono rivelate di qualità elevata per celerità nell´effettuare adempimenti e ricerche, affidabilità del programma di gestione, correttezza dei dati inseriti e puntualità nei riscontri.

Permane tra gli obiettivi del Garante quello di mantenere alta la qualità del sistema di notificazione arricchendolo nel tempo di ulteriori elementi e procedure anche al fine di tenerlo al passo con lo sviluppo tecnologico e le prospettive di miglioramento complessivo delle attività dell´Autorità.

 
Ulteriori prospettive

Accanto al perfezionamento dell´attuale versione, non va esclusa nel medio periodo la possibilità che, in conformità a quanto verrà deciso a livello europeo sulla standardizzazione della notificazione nei vari paesi, siano apportate modifiche al registro dei trattamenti e ai contenuti della notificazione. Una delle modifiche potrebbe, ad esempio, riguardare la redazione del modello anche in lingua inglese.

Nel corso dell´anno 2005 il Dipartimento registro dei trattamenti sarà comunque impegnato già nella predisposizione e messa a disposizione del modello di notificazione in lingua tedesca (come già avvenuto per la provincia di Bolzano con il vecchio modello di notificazione su carta).

Nonostante il sistema di notificazione risulti agevole anche a fronte delle istruzioni esaustive e replicate in diversi passaggi della procedura, si sono riscontrati pochi casi (limitati a qualche decina) di doppia notificazione da parte dello stesso titolare o di richiesta di annullamento di quella già inviata in quanto non dovuta.

 
Doppia notificazione

L´orientamento dell´Ufficio è stato quello di restituire l´importo dei diritti di segreteria a coloro che, pur avendo iniziato la notificazione, non avevano ancora proceduto all´invio della medesima al Garante. Nei casi di doppia notificazione, invece, su dichiarazione del titolare, l´Ufficio ha provveduto ad "oscurare" una delle due, restituendo i diritti di segreteria pagati in eccesso.

Non sono state accolte, invece, le richieste di semplice "annullamento" della notificazione da parte di coloro che l´avevano validamente inviata, nonostante fosse a posteriori ritenuta non dovuta secondo il giudizio sopravvenuto del (solo) titolare del trattamento. Questo diverso orientamento si giustifica con il fatto che in tali casi la notificazione è regolarmente inserita nel registro (pubblico) dei trattamenti e ha dispiegato i suoi effetti (tenuto conto, tra l´altro, che l´inserimento nel registro non produce conseguenze negative sul titolare).

 
Annullamento di notificazione inviata

Come già detto, il Garante ha fornito -e continua a fornire- ai soggetti tenuti alla notificazione un´attività di assistenza che si sostanzia in diverse forme: risposta ai numerosi quesiti e dubbi sulla notificazione, comunque formulati; controlli costanti dei messaggi inoltrati via web dagli utenti in caso di sospensione della notificazione e immediato riscontro via posta elettronica; effettuazione di controlli richiesti dai vari dipartimenti del Garante in occasione di istruttorie, attività ispettive e ricorsi.

 
Assistenza agli utenti

 

17.2. Il registro dei trattamenti e futuri sviluppi

Le notificazioni regolarmente presentate sono confluite nel registro dei trattamenti.

Tale registro si rivelato di maggiore utilità ed efficacia rispetto al precedente, non solo al fine di predisporre interventi ispettivi nei confronti di soggetti tenuti alla notificazione. Ulteriori benefici provenienti dal database riguardano, infatti, la possibilità di elaborare pi efficacemente varie statistiche: esse costituiscono un importante strumento di comprensione dei fenomeni che ruotano intorno a trattamenti di dati personali suscettibili di recare pregiudizio ai diritti e alle libertà degli interessati; forniscono, inoltre, al Garante un significativo quadro di insieme in merito ai trattamenti effettuati; danno impulso, infine, alle attività di controllo assistite dal nucleo della Guardia di finanza.

In tale prospettiva, il Garante intende procedere all´affinamento di specifiche statistiche e alla creazione di sistemi che prevedano l´invio di una segnalazione automatica nel caso in cui la notificazione contenga elementi che si ritiene debbano essere sottoposti ad approfondimento.

Particolare cura verrà posta nel riscontro automatico dei pagamenti dei diritti di segreteria effettuati mediante banca e uffici postali, con la collaborazione della banca tesoriera e di Poste S.p.A.

Esaurita la fase di immissione della maggior parte delle notificazioni alla scadenza del 30 aprile 2004, sono stati effettuati diversi controlli a campione sulla congruenza dei dati dichiarati, sul ritardo o l´omissione della notificazione. A richiesta, il notificante viene ammesso ad un´audizione nella quale un funzionario del dipartimento stila una relazione sullo stato della notificazione.

 
Controlli a campione e audizioni in caso di contestazioni ammministrative

Nell´ambito dell´attività del Gruppo dei Garanti europei istituito dall´art. 29 della direttiva 95/46/CE, l´istituto della notificazione si avvia ad una possibile fase di revisione in chiave europea che ne conferma tuttavia l´utilità e la persistente necessità, soprattutto nell´innovativa connotazione che assume quella italiana.

 
Notificazione dei trattamenti e direttiva 95/46/CE

In ragione del margine di discrezionalità che ciascuno Stato membro ha nel dare attuazione alla direttiva, nei diversi paesi sono stati infatti realizzati nel tempo sistemi (in parte) differenti con riferimento a taluni aspetti attinenti ai contenuti, alle modalità, ai provvedimenti di esonero e al diverso utilizzo delle tecnologie. Tali peculiarità non agevolano un pronto confronto tra le applicazioni nei vari Stati e possono comportare qualche difficoltà applicativa nel caso in cui il trattamento sia effettuato da aziende con stabilimenti in più paesi.

Si è pertanto proceduto ad uno studio congiunto con le autorità degli altri 24 paesi per omogeneizzare l´istituto e semplificare gli adempimenti. Ciò dovrebbe portare, per quanto possibile, all´eliminazione di notizie ritenute meno utili e ad elaborare un insieme condiviso di informazioni.

L´Italia, che tra gli ordinamenti europei dispone di una modalità esecutiva della notificazione progredita, ha svolto la funzione di relatore sugli aspetti di semplificazione ed omogeneizzazione dell´istituto e ha assunto un ruolo attivo nella predisposizione di un vademecum illustrativo delle diverse modalità di notificazione da pubblicare sul sito web della Commissione europea.

Il precedente registro generale dei trattamenti viene temporaneamente utilizzato per alcuni riscontri, confrontando quanto il titolare abbia dichiarato all´epoca e quanto contenuto nella nuova notificazione.

 
Il precedente registro generale dei trattamenti

Come evidenziato nella Relazione 2003, gran parte dell´attività del Dipartimento registro dei trattamenti ha riguardato in passato la regolarizzazione delle numerose notificazioni pervenute su modello cartaceo; operazione, questa, risultata piuttosto lunga e faticosa, nonostante l´utilizzo di strumenti a scansione ottica dell´intero archivio.

Il complesso archivio cartaceo stato distrutto e memorizzato in dischi Dvd.

 

17.3. Alcuni dati statistici

Al 31 dicembre 2004 risultano pervenute poco pi di 10.000 notificazioni.

Rinviando, per quanto riguarda la rappresentazione grafica alle tabelle riprodotte al par. 25 -nel quale sono rinvenibili i dati statistici relativi alla tipologia di trattamento notificato (tabella e grafico 14), alla distribuzione delle notificazioni per aree geografiche (grafico 15) o per tipologia di soggetto notificante, pubblico o privato (tabella e grafico 16); da ultimo si rappresentano le modalitˆ di invio della notificazione (grafico 17)- si segnala qui che per il versamento dei diritti di segreteria, gli utenti si sono avvalsi, per il 80% circa dei casi, di forme tradizionali di pagamento (mediante conto corrente postale o bonifico bancario); una percentuale significativa (20%) ha preferito, tuttavia, il pagamento on-line mediante carta di credito.

Oltre il 46% delle notificazioni pervenuto tramite intermediari, il che conferma l´utilità dell´iniziativa di stipulare convenzioni con organismi privati e pubblici per l´invio della notificazione con firma digitale.

 
Notificazioni pervenute tramite intermediari

Dei quattro intermediari con i quali il Garante ha stipulato la convenzione, Poste S.p.A. stato quello più utilizzato dagli utenti privi di dispositivo di firma digitale.

 

18. Esercizio dei diritti e trattazione dei ricorsi

18.1. Considerazioni generali

Il ricorso al Garante come "passepartout". Questa immagine può dar conto in modo efficace del ruolo e del significato che lo strumento di tutela disciplinato negli artt. 145 e ss. del Codice è andato assumendo nel pur ampio spettro di quelli offerti dall´ordinamento.

A sei anni dall´entrata in vigore delle disposizioni applicative contenute nel d.P.R. 31 marzo 1998, n. 501 che, nel febbraio 1999, hanno dato concretezza e piena possibilità di esplicazione a questo meccanismo di tutela (originariamente previsto dall´art. 29 della legge n. 675/1996), il bilancio relativo al suo concreto utilizzo senza dubbio positivo.

Dopo una necessaria fase di "rodaggio", la riflessione sulla portata e sull´estensione della nozione "dato personale", definita ora all´art. 4, comma 1, lett. b), del Codice (e sulle connesse possibilità di tutela) ha fatto sì che venissero pienamente apprezzate le potenzialità contenute nell´elenco di diritti di cui all´art. 7 del Codice (i soli in ordine ai quali può essere proposto un ricorso).

Di conseguenza, al più consueto esercizio del diritto di accesso ai dati personali (che, peraltro, si andato estendendo dalla sfera dei comuni dati oggettivi, ai dati personali contenuti in giudizi ed alle informazioni di tipo valutativo: si vedano i provvedimenti del 19 aprile 2004 e 29 aprile 2004 ), si affiancato l´utilizzo delle altre situazioni giuridiche soggettive contemplate dal medesimo art. 7: in particolare, per menzionare le ipotesi presentatesi pi di frequente, il diritto di conoscere l´origine dei dati, le finalità e le modalità del trattamento come pure la logica applicata alle operazioni effettuate con strumenti elettronici; il diritto di ottenere l´aggiornamento, la rettificazione o l´integrazione dei dati, oltre alla possibilità di ottenere la cancellazione dei dati trattati in violazione di legge o di opporsi per motivi legittimi al loro trattamento, ancorcé pertinenti allo scopo della raccolta.

Ma il vero punto di svolta, del quale la casistica dell´ultimo anno offre ampia prova, è l´utilizzo sempre più esteso dei diritti previsti dal Codice nell´ambito di più ampie e complesse vicende giudiziarie. Il ricorso tende quindi a trasformarsi da isolato (per quanto significativo) meccanismo di tutela, a strumento propedeutico o complementare (a volte anche strumentale) per rafforzarne altri già offerti dall´ordinamento ad ogni interessato. Ecco quindi che sempre più spesso si affaccia, nell´ambito della complessiva strategia processuale, l´utilizzo del ricorso in procedimenti giudiziari di tipo risarcitorio, in controversie di lavoro (volte alla ricostruzione di lunghi periodi di vita professionale) o relative al consapevole utilizzo di strumenti finanziari (v. Provv. 16 settembre 2004).

I dati statistici sono la migliore prova degli assunti precedenti: nell´anno solare 2004, con un incremento ancora più sensibile rispetto agli anni passati, sono stati esaminati e decisi dall´Autorità più di 700 formali ricorsi spesso piuttosto complessi. (cfr. par. 25.2).

Con riferimento all´esercizio dei diritti dell´interessato, non sussistono differenze di fondo rispetto a quanto messo in evidenza in passato, avendo il Codice sostanzialmente riprodotto le previsioni normative in materia già contenute nelle previgente disciplina, pur integrate con alcuni principi fissati dalla "giurisprudenza" del Garante in merito alle modalità di esercizio.

 
Contributo spese

Al riguardo, occorre tuttavia sottolineare che l´Autorità, con il provvedimento del 23 dicembre 2004 (v. Documentazione par. 41), ha determinato i criteri per la fissazione del contributo spese relativo all´esercizio del diritto di accesso dell´interessato ai dati che lo riguardano; ciò, tenendo conto della tendenziale gratuità -confermata dal Codice, (art. 10, comma 8)- dell´esercizio di tale diritto, della normativa e della situazione in ambito comunitario e internazionale.

 

18.2. Profili procedurali

Il 2004 ha visto la prima applicazione delle nuove disposizioni del Codice relative alle modalità di esercizio dei diritti di cui all´art. 7 e alla proposizione dei ricorsi: si tratta, in particolare, della possibilità di proporre ricorso dopo quindici giorni dalla ricezione dell´interpello preventivo da parte del titolare del trattamento; della durata del procedimento per la decisione del ricorso (ora di sessanta giorni); della possibilità di proroga di quaranta giorni di tale termine, anche su decisione dell´Ufficio; della previsione (contenuta nell´art. 150, comma 6, del Codice) secondo cui, in caso di mancata opposizione, il provvedimento, nella parte relativa all´ammontare delle spese e dei diritti, costituisce titolo esecutivo ai sensi degli artt. 474 e 475 del c.p.c.

 
Novità introdotte dal Codice

Tali interventi, sia in ragione della loro limitata portata innovativa, sia in quanto rispondenti ad esigenze di razionalizzazione e di migliore gestione del procedimento, non hanno generato particolari problemi. Al contrario, la maggiore durata del procedimento (pur sempre assai contenuta) ha consentito di seguire in modo più accurato l´istruttoria dei ricorsi: sotto questo profilo, l´Ufficio e, in particolare, l´Unità ricorsi, ha potuto esercitare un ruolo più attivo, con frequenti richieste di integrazione della documentazione, preordinate ad assicurare il corretto svolgersi del contraddittorio, procedendo altresì all´assunzione di informazioni anche presso terzi.

Nei limitati casi in cui è stato segnalato un iniziale ritardo nella corresponsione della somma liquidata dal Garante a titolo di rimborso spese, l´Ufficio si è attivato al fine di accertare che il provvedimento non fosse stato impugnato ai sensi dell´art. 152 del Codice, con il conseguente pagamento da parte del soccombente.

Negli ultimi mesi del 2004 diminuito il numero dei ricorsi che formano oggetto di richiesta di regolarizzazione da parte dell´Ufficio per irregolarità o carenze sotto il profilo formale (con riferimento ai requisiti prescritti dall´art. 147 del Codice). A parte le informazioni quotidianamente fornite dall´Autorità attraverso l´Ufficio relazioni con il pubblico o il sito Internet www.garanteprivacy.it, si riscontra il diffondersi di moduli ed istruzioni (veicolate anche dalle associazioni dei consumatori) che facilitano l´accesso a questo strumento di tutela -e il suo corretto utilizzo- anche da parte dei singoli interessati (che, come noto, possono proporre il ricorso senza l´assistenza di un legale). Un nuovo modello per l´esercizio dei diritti è stato predisposto dall´Ufficio e pubblicato sul sito web, anche al fine di indurre gli interessati a concentrare l´attenzione sulle specifiche richieste di loro concreto interesse, caso per caso, nell´ambito della vasta gamma prevista dall´art. 7, semplificando anche i tempi per il riscontro e per la successiva tutela.

 
Regolarizzazione e profili di inammissibilità

Continuano a pervenire, seppure in numero sempre più limitato, richieste di informazioni in ordine alla necessità di autenticazione della firma del ricorrente in calce al ricorso. In proposito si conferma l´obbligatorietà di tale requisito -ora specificamente previsto dall´art. 147, comma 4, del Codice- che non può essere sostituito dall´autocertificazione dell´interessato. L´Autorità ha recentemente ribadito tale necessità, rispondendo ad una richiesta di parere formulata dal Ministero dell´interno, Dipartimento per gli affari interni e territoriali.

Va infine ricordato che il Garante ha adottato, il 23 dicembre 2004 (e disposto la sua pubblicazione sulla Gazzetta Ufficiale), una nuova deliberazione concernente i casi di regolarizzazione dei ricorsi (art. 148, comma 2, del Codice), in sostituzione della delibera del 1° marzo 1999 adottata in occasione dell´entrata in vigore delle disposizioni del citato d.P.R. n. 501/1998.

In due occasioni, l´Autorità si è pronunciata in ordine a quanto disposto dall´art.145, comma 2, del Codice in base al quale "il ricorso al Garante non può essere proposto se, per il medesimo oggetto e tra le stesse parti, è stata già adita l´autorità giudiziaria". Con decisione del 4 ottobre 2004, è stato dichiarato inammissibile il ricorso proposto da un soggetto che aveva precedentemente prospettato la medesima questione innanzi ad una commissione tributaria provinciale. Al contrario, non si ritenuta sussistente la fattispecie di cui all´art. 145, comma 2, in una decisione adottata il 21 ottobre 2004, ritenendosi ammissibile un ricorso al Garante avanzato a seguito del diniego opposto ad un´istanza di accesso ai dati formulata da un lavoratore già coinvolto in una controversia dinanzi al giudice del lavoro. Nel corso del procedimento giudiziario era stata avanzata una richiesta di esibizione di documenti (sulla quale il giudice si era riservato di decidere) ai sensi dell´art. 210 c.p.c. che, almeno in parte, potevano contenere alcuni dei dati personali poi richiesti con l´istanza ex art. 7. In proposito, l´Autorità ha rilevato l´ammissibilità del ricorso dal momento che -nonostante l´ipotetica coincidenza di alcuni documenti oggetto della domanda giudiziale rivolta al giudice con quelli contenenti le informazioni richieste ai sensi della normativa sulla protezione dei dati personali- i presupposti (petitum, causa petendi) sulla base dei quali il ricorrente aveva agito nel corso del giudizio erano diversi rispetto a quelli fatti valere innanzi al Garante.

A far data dal 15 gennaio 2005 è stata adeguata la misura dei diritti di segreteria che devono essere corrisposti per la presentazione di un ricorso all´Autorità.

I motivi di tale adeguamento, oltre al lungo tempo trascorso dalla prima deliberazione che li prevedeva (Deliberazione n. 1 del 18 febbraio 1999), sono solo in parte legati alla valutazione (ed alla connessa esigenza di parziale recupero) delle spese che l´Ufficio affronta per l´ordinaria gestione di tali procedimenti; procedimenti che comunque, come si è visto, presentano istruttorie maggiormente articolate, determinando oneri economici più elevati per l´Autorità e non compensati da correlativi aumenti di bilancio.

 
Diritti di segreteria e determinazione delle spese del procedimento

Da tale esborso, peraltro, l´interessato può essere tenuto indenne: va infatti ricordato che, su istanza di parte, il provvedimento che definisce il procedimento determina in misura forfettaria l´ammontare delle spese e dei diritti inerenti al ricorso posti a carico della parte soccombente (art. 150, comma 3).

 

18.3. Brevi cenni sulla casistica

Al di là dei riferimenti alle singole decisioni del Garante assunte in sede di ricorso e rinvenibili nell´intera Relazione in ragione della materia sulla quale sono andate ad incidere, si ritiene utile fornire qui un quadro d´insieme delle tematiche affrontate con i provvedimenti resi ex art. 150 del Codice, con particolare riguardo a quelle che sono state oggetto del maggior numero di ricorsi (rinviando, per la sintetica trattazione del loro contenuto, alle diverse sezioni della presente Relazione).

Se gli ambiti interessati dai ricorsi sono stati i più vari -solo a fini esemplificativi, si menzionano qui le materie delle perizie medico-legali in ambito assicurativo, del rapporto di lavoro (pubblico e privato) e della videosorveglianza- non di rado le decisioni che ne sono scaturite hanno delineato un primo quadro di riferimento per provvedimenti più organici o rappresentato il punto di partenza per lo svolgimento di attività ispettive.

Dal punto di vista tipologico, si è registrato un elevato numero di decisioni nel settore bancario e finanziario, specie in riferimento a richieste di accesso riferite a tutti i dati e le informazioni di carattere personale detenute da un istituto di credito. Ad esso deve essere aggiunto il settore dei sistemi di informazione creditizia (Sic), già noti con la locuzione "centrali rischi (private)", che ha registrato nel corso del 2004 una vera e propria esplosione del contenzioso. Ciò, anche a seguito della più ampia conoscenza del provvedimento generale adottato in materia dal Garante il 31 luglio 2002 (che ha costituito il primo tentativo di articolare i principi di protezione dei dati personali in un settore, quello appunto dei sistemi di informazione creditizia, sviluppatosi in Italia in assenza di uno specifico quadro normativo di riferimento) ed in relazione allo sviluppo dei lavori che hanno portato alla redazione ed all´adozione del codice deontologico di settore (pubblicato in G.U. 23 dicembre 2004, n. 300 in merito al quale v. par. 9.2.).

 
Settore bancario

Nei numerosi provvedimenti adottati -oltre a rilevarsi l´esistenza di dati errati, incompleti o non aggiornati, o di constatare l´esistenza di dati comunicati ai Sic in assenza dei requisiti di liceità del trattamento (informativa e consenso espresso dell´interessato)- sono stati messi a fuoco tutti i principali problemi che la prassi operativa delle banche e delle società finanziarie (che consultano quotidianamente i predetti archivi) ha sollevato.

Si sono invece nettamente distinte dai dati trattati in riferimento alle operazioni di credito al consumo (oggetto di specifica tutela nel menzionato codice di deontologia) le informazioni (generalmente riferite a mutui ipotecari) presenti in altri archivi (cd. banche dati "Atti pubblici") che, parimenti, sono rese disponibili dai soggetti che gestiscono i sistemi di informazioni creditizie: si tratta di dati desunti dai pubblici registri immobiliari che i soggetti privati possono trattare anche senza il consenso degli interessati (art. 24, comma 1, lett. c), del Codice). Sono trattamenti, questi ultimi, che allo stato non possono ritenersi illeciti, ma rispetto ai quali (con particolare riguardo alla pertinenza e alla completezza delle informazioni e alla conservazione dei dati stessi) saranno fornite a breve più specifiche indicazioni in sede di adozione dei codici di deontologia di cui agli artt. 61 e 119 del Codice.

Va infine ricordato il provvedimento del 16 settembre 2004 nel quale, per la prima volta, il Garante ha accolto la richiesta di cancellazione dall´archivio di un sistema di informazioni creditizie di dati riferiti ad una richiesta di abbonamento telefonico. Tali trattamenti sono stati infatti ritenuti incompatibili e non pertinenti con le funzioni specifiche delle centrali rischi volte, come detto, alla tutela del credito e al contenimento dei relativi rischi nel solo settore del credito al consumo.

Fra gli altri profili affrontati nel corso dell´anno vanno sinteticamente ricordate, tra le tante, la decisione del 27 settembre 2004 relativa alla possibilità del ricorrente di accedere ai dati personali che lo riguardano contenuti in un esposto presentato a suo carico presso l´ente locale titolare del trattamento (ente presso il quale il ricorrente aveva prestato servizio) ed il provvedimento del 21 ottobre 2004, concernente la rettificazione dei dati di un insegnante detenuti da un istituto scolastico, con particolare riferimento a quelli contenuti nei certificati relativi al servizio prestato nei precedenti anni scolastici.

 
Trattamenti effettuti da pubbliche amministrazioni

Al di là di singoli interventi nel settore delle comunicazioni elettroniche -si pensi, fra le altre, alla decisione del 24 marzo 2004 concernente la divulgazione a mezzo degli elenchi cartacei e on-line dei dati dell´interessato riferiti ad un´utenza telefonica che doveva rimanere "riservata"- merita segnalare la persistenza di un intenso contenzioso in ordine all´invio di comunicazioni pubblicitarie non sollecitate dirette a indirizzi di posta elettronica senza che risulti acquisito il previo consenso dell´interessato.

 
Trattamenti in rete

Va sottolineato anche il provvedimento del 25 maggio 2004 con il quale è stata accolta la richiesta dell´interessato di conoscere i dati personali relativi alle numerose carte telefoniche illecitamente attribuite al ricorrente per la dolosa condotta di un dealer.

 
Trattamenti degli operatori telefonci

 

19. Contenzioso giurisdizionale

19.1. Considerazioni generali

L´entrata in vigore del Codice ha avuto ripercussioni sull´attività dell´Autorità anche riguardo al contenzioso giurisdizionale, sia quello direttamente concernente provvedimenti del Garante, sia, più in generale, quello relativo all´applicazione del Codice stesso.

Quest´ultimo infatti, all´art. 152, da un lato, ha confermato l´originaria impostazione della legge n. 675/1996 relativamente alla procedura per l´impugnazione degli atti del Garante (specificando alcuni aspetti che avevano dato luogo ad incertezze negli anni passati) e, dall´altro, ha previsto un´apposita procedura per il coinvolgimento dell´Autorità in tutte le cause in materia di protezione dei dati personali.

In particolare, sotto il primo profilo, ribadito che tutte le controversie riguardanti l´applicazione del Codice sono devolute all´autorità giudiziaria ordinaria, l´art. 152, comma 2, precisa che l´azione deve proporsi con ricorso da depositarsi "nella cancelleria del tribunale del luogo ove risiede il titolare del trattamento".

Con tale formulazione si è confermata la scelta della giurisdizione e del foro competente, superandosi, fra l´altro, definitivamente il dubbio circa la possibilità di adire il giudice di pace, che risulta ora evidentemente esclusa.

I commi da 7 a 11 dell´art. 152 descrivono poi le fasi processuali, in buona parte mutuate da quelle previste in materia di depenalizzazione dall´art. 23 della legge n. 689/1981.

Nel definire tale procedura, il legislatore delegato ha previsto (art. 152, comma 7) che i ricorsi presentati all´autorità giudiziaria vengano notificati anche al Garante. Tale disposizione non riguarda solo i casi in cui sia proposta opposizione avverso i provvedimenti dell´Autorità, ma tutte le controversie concernenti l´applicazione del Codice.

Per tale secondo aspetto la modifica legislativa è di sicuro rilievo in quanto consente all´Autorità, da un lato, di essere utilmente informata per intervenire anche in quei procedimenti nei quali, pur non essendo essa direttamente coinvolta, sono in discussione profili di carattere generale; dall´altro, di venire a conoscenza, comunque, di controversie concernenti l´applicazione della disciplina in materia di protezione dei dati personali.

Quest´ultima attività d´informazione, di primaria importanza anche in relazione all´adozione di eventuali provvedimenti amministrativi e all´attività di segnalazione al Parlamento ed al Governo degli interventi normativi necessari per la tutela del diritto alla protezione dei dati (art. 154, comma 1, lett. f), formalizzata nell´ultimo comma del citato art. 154, il quale, riproducendo quanto originariamente previsto dall´art. 40 della legge n. 675/1996, stabilisce che copia dei provvedimenti emessi dall´autorità giudiziaria in relazione a quanto previsto dal Codice o in materia di criminalità informatica sia trasmessa, a cura della cancelleria, al Garante.

Le modifiche introdotte, nell´ottica di un maggior coinvolgimento dell´Autorità nel contenzioso giudiziario, hanno indotto il Garante ad istituire, con decorrenza 1° gennaio 2004, un´unità temporanea di primo livello per gli "Affari legali", ai fini di un approccio più strutturato ed organico nell´enucleazione delle linee di difesa e intervento dell´Autorità e nei rapporti con le competenti avvocature dello Stato.

 

19.2. Profili procedurali

Con riferimento al contenzioso giurisdizionale, appare opportuno ricordare almeno i più significativi interventi in materia, sotto il profilo procedurale e di merito, richiamando anche alcuni utili precedenti che, seppur relativi ad anni passati, spiegano ancora rilievo.

Riguardo al primo aspetto, vanno senz´altro segnalate le pronunce in tema di giurisdizione che già la legge n. 675/1996 (art. 29, comma 8) aveva individuato nel giudice ordinario e che ora il Codice -come si detto- indica specificamente nel tribunale.

Sulla base della formulazione del 1996, il Tribunale amministrativo del Lazio ha dovuto dichiarare la propria carenza di giurisdizione in merito ad un ricorso ad esso presentato dalla Congregazione cristiana dei Testimoni di Geova che aveva impugnato l´autorizzazione n. 3/1999 del Garante.

Per analoghe ragioni, nel 2004, nel fornire alla Presidenza del Consiglio dei ministri -Dipartimento per il coordinamento amministrativo- gli elementi necessari a predisporre le valutazioni su due ricorsi straordinari al Capo dello Stato, l´Autorità ha dovuto eccepire il difetto di giurisdizione.

Il Garante ha rivolto ulteriori osservazioni relativamente alla possibilità di adire il giudice di pace anziché il tribunale ordinario; tema, questo, che si posto in particolare evidenza nel 2004 anche a seguito di più decisioni del Giudice di pace di Napoli che, investito di alcune azioni contro lo spamming, ha condannato, nel caso più noto, una società a cancellare i dati dell´interessato dai propri archivi e a pagare allo stesso 1.000,00 euro (oltre interessi legali e spese di giudizio) a titolo di risarcimento del danno.

La decisione da parte di tale giudice si resa possibile solo in quanto la causa era stata instaurata prima dell´entrata in vigore del Codice, sebbene sul piano mediatico sia stata erroneamente commentata da alcuni come sentenza-pilota per (improprie) azioni dinanzi al giudice di pace.

In merito al foro competente, non sono mancate decisioni volte a far valere quanto disposto dall´art. 29, comma 6, della legge n. 675/1996 (prima) e dell´art. 152 del Codice (ora), che individuano nel tribunale del luogo ove risiede il titolare del trattamento la sede presso la quale proporre l´azione per tutte le controversie riguardanti l´applicazione del Codice.

In tal senso, con riguardo all´art. 29 della legge, si era espresso già nel passato il Tribunale di Firenze con decisione depositata in cancelleria il 15 aprile 2003; analogamente, il Tribunale di Napoli, con ordinanza del 29 luglio 2004, ha dichiarato la propria incompetenza su un ricorso proposto contro un titolare del trattamento avente sede legale in Bologna, con la contestuale dichiarazione di manifesta infondatezza della questione di legittimità costituzionale sollevata dal ricorrente sulla scelta effettuata dal legislatore con il citato art. 152.

Sulla stessa linea il Tribunale di Barcellona Pozzo di Gotto, con ordinanza n. 3694 del 31 luglio 2004, ha dichiarato manifestamente infondata la questione di legittimità costituzionale connessa alla mancata previsione della competenza del giudice del luogo di residenza del ricorrente quale foro alternativo a quello del luogo ove ha sede il titolare del trattamento.

Sempre in tema di competenza territoriale, ma sotto un diverso profilo, può essere ricordata la decisione con la quale il Giudice di pace di Amantea, cui un titolare si era rivolto opponendosi ad un´ordinanza di applicazione di sanzione amministrativa comminata dal Garante (ai sensi di quanto previsto dalla l.n. 689/1981), si è dichiarato incompetente, ma qui con riferimento all´ambito territoriale. Nel caso di specie, infatti, si doveva far riferimento al "luogo in cui è stata commessa la violazione" (art. 22, comma 1, l.n. 689/1981), coincidente, secondo quanto affermato della giurisprudenza costituzionale e di legittimità, con quello nel quale la violazione era stata accertata (Roma).

Ancora, con riferimento agli aspetti procedurali, la giurisprudenza ha consentito di chiarire il dubbio relativo alla legittimazione passiva del Garante e, quindi, alla possibilità per esso di costituirsi innanzi ai tribunali o alla Corte di cassazione per difendere le ragioni giuridiche dei provvedimenti oggetto di impugnazione.

Su tale questione il Garante aveva chiesto in passato l´avviso dell´Avvocatura generale dello Stato, la quale, con parere del 29 ottobre 1999, si era espressa in termini favorevoli, ritenendo essenziale che l´Autorità potesse far valere le proprie ragioni, a tutela unicamente dell´interesse pubblico, tenendo conto delle sue specifiche e caratteristiche funzioni.

A questo indirizzo l´Autorità stessa si attenuta costantemente nel corso degli anni, intervenendo a difesa di decisioni il cui rilievo, andando ben oltre il singolo caso di specie, aveva riflessi su un´ampia platea di interessati e coinvolgeva rilevanti profili interpretativi della disciplina sulla protezione dei dati.

Sul punto la giurisprudenza -dopo la sentenza della Corte di cassazione (Sez. I Civ. 30 giugno 2001, n. 8889) che, dichiarando inammissibile un ricorso incidentale proposto dal Garante, non aveva affermato principi contrastanti con la sua prospettata legittimazione passiva- ha registrato un netto chiarimento con la sentenza n. 7341/2002 della prima sezione civile della Corte di cassazione.

Con tale pronuncia la Suprema Corte ha precisato che "il ricorso al giudice ordinario in opposizione al provvedimento del Garante non può essere inteso che come primo rimedio giurisdizionale a disposizione del soggetto che si pretende leso dall´atto del Garante". Pertanto, l´Autorità può partecipare al giudizio di impugnativa di un proprio atto quale che sia stato il procedimento che lo ha preceduto per far valere davanti al giudice lo stesso interesse pubblico a tutela del quale il Garante agisce.

A seguito di tale pronuncia, il Tribunale di Roma, cui erano stati nuovamente trasmessi gli atti per l´esame della controversia, si è dovuto anche esprimere sulla questione di costituzionalità sollevata dal ricorrente in merito alla possibile violazione della regola del "giusto processo". La parte, infatti, sosteneva che la possibilità di impugnare la decisione del giudice di primo grado sull´opposizione al provvedimento del Garante solo tramite ricorso per cassazione sarebbe stata in contrasto con la regola del doppio grado di giudizio. Il Tribunale, con sentenza del 17 luglio 2003, dichiarando la questione manifestamente infondata ha riconosciuto che ragioni di speditezza possono giustificare l´esistenza di procedimenti giurisdizionali semplificati in cui è previsto un unico sindacato di merito, in quanto nella Costituzione non è contenuta alcuna norma che garantisca espressamente il doppio grado di giudizio.

Sempre con riferimento alla legittimazione passiva dell´Autorità, nel corso del 2004, la Suprema Corte (Sez. I Civ., sent. 22 marzo-25 giugno 2004, n. 11864), nel rigettare un´opposizione proposta contro una decisione del Garante, ha ritenuto quest´ultimo (sollevando con ciò qualche perplessità in dottrina) privo di interesse ad impugnare, nel caso di specie, il provvedimento giurisdizionale che, sebbene avesse ingiustamente negato la sua legittimazione processuale, aveva però confermato la decisione adottata dall´Autorità.

 

19.3. Profili di merito

Relativamente agli aspetti di merito, i primi anni di applicazione della disciplina sulla protezione dei dati personali hanno visto un numero assai esiguo di giudizi di impugnazione dei provvedimenti del Garante; giudizi che, comunque, si sono risolti in una generale conferma dei principi di diritto affermati dall´Autorità. L´ingresso ormai consolidato della protezione dei dati personali nel circuito giudiziario rende opportuno compiere, come nei paragrafi precedenti, una sintetica ricognizione di alcune decisioni giurisprudenziali che hanno finora riguardato l´applicazione della normativa sulla tutela dei dati.

Al riguardo (omettendo una panoramica integrale anche di casi particolarmente significativi come quelli all´esame, all´epoca, del Tribunale di Bergamo in materia di investigazione privata), giova ricordare, tra l´altro, le vicende relative alla riconducibilità delle valutazioni alla nozione di "dato personale" fornita dalla legge n. 675/1996 e confermata dal Codice.

In tal senso già il Tribunale di Bologna, con decreto del 2 luglio 2002, concluse nel senso che anche i giudizi valutativi riferiti ai dipendenti contengono di regola dati personali.

Sulla medesima linea e discostandosi da alcuni circoscritti precedenti (Tribunale di Fermo, 26 ottobre 1999), il Tribunale di Roma ha riconosciuto che, anche con riferimento a dati valutativi (e in particolare sulle valutazioni espresse nelle perizie medico-legali), l´interessato può esercitare il diritto di accesso e alcuni altri diritti previsti dalla normativa in materia di protezione dei dati, ad esclusione di quelli di rettificazione o integrazione. Al riguardo, merita di essere sottolineato che della questione della riconducibilità delle valutazioni alla nozione di "dato personale" si è infine fatto carico il legislatore adottando un´equilibrata soluzione nell´art. 8, comma 4, del Codice.

Con riferimento alla possibilità di ottenere l´integrazione dei dati personali, il Tribunale di Padova, con decisione del 26 maggio 2000, aveva confermato il provvedimento con il quale il Garante, respingendo il ricorso dell´interessato che chiedeva la cancellazione dei propri dati personali dal registro dei battesimi di una parrocchia, aveva affermato comunque il suo diritto a veder aggiornato il medesimo dato.

Sempre in materia di esercizio dei diritti ora disciplinati dagli artt. 7 e ss. del Codice, restano attuali i principi affermati dalla già citata sentenza della Corte di cassazione (Sez. I Civ. 30 giugno 2001, n. 8889) che, ribadendo la piena applicazione delle disposizioni della legge n. 675/1996 anche agli archivi ed ai trattamenti svolti in ambito giornalistico, ha riconosciuto la possibilità di esercitare detti diritti (con particolare riguardo al diritto di accesso, integrazione ed eventuale correzione di dati inesatti) anche nei confronti di dati personali trattati a tal fine.

 

19.4. Opposizione ai provvedimenti del Garante

Il 2004 ha registrato dodici opposizioni ad altrettanti provvedimenti del Garante (tutte decisioni adottate su ricorso).

Tale numero può essere considerato in linea con quello degli anni precedenti, sia in relazione all´aumentata attività decisoria dell´Autorità, sia in considerazione del fatto che ben sette di queste opposizioni sono state presentate da un unico titolare (Crif S.p.A.) nelle more dell´approvazione del codice deontologico sui sistemi di informazioni creditizie, successivamente alla quale, per le medesime opposizioni, è stata chiesta la cessazione della materia del contendere.

Per quanto riguarda le ulteriori opposizioni presentate nel corso del 2004 e quelle pendenti degli anni precedenti, si registrata la conferma di due decisioni relative alla produzione in giudizio (rispettivamente, in una causa civile ed in una penale) di documenti contenenti dati personali, con le quali il Garante aveva ricordato i limiti di applicazione della disciplina in materia di tutela della riservatezza nei casi di trattamenti svolti per fini di giustizia.

Hanno avuto invece esito favorevole ai ricorrenti due opposizioni ad altrettante decisioni dell´Autorità relative, rispettivamente, ad una comunicazione di una relazione medica fra uffici periferici della stessa amministrazione ed alla pubblicazione di fotografie di persone arrestate.

Relativamente alla prima, considerato che la diversa valutazione del giudice si basata soprattutto su una documentazione non prodotta dall´interessato in sede di ricorso all´Autorità e che la stessa è apparsa condivisibile nella sostanza, il Garante, su conforme avviso dell´Avvocatura generale, ha deciso di prestare acquiescenza.

Decisione diversa è stata invece stata assunta con riferimento alla seconda decisione, la quale, annullando il provvedimento dell´Autorità che aveva ritenuto illegittima la pubblicazione di fotografie di persone in stato di arresto, è invece apparsa censurabile sotto diversi profili. Relativamente ad essa è stato pertanto proposto ricorso per cassazione.

Sono ancora alle prime fasi del giudizio due ulteriori opposizioni presentate nel corso del 2004 da altrettante amministrazioni locali contro le decisioni con le quali l´Autorità ha censurato, in termini di mancato rispetto del principio di pertinenza, la pubblicazione di notizie relative all´attività istituzionale e coinvolgenti direttamente i ricorrenti.

Allo stesso stadio processuale si trovano anche l´opposizione presentata dalla RCS S.p.A. contro il provvedimento del 26 novembre 2003, con cui il Garante ha vietato l´ulteriore diffusione di fotografie di persone sottoposte a misure restrittive della libertà personale, e quella proposta da un interessato avverso la decisione con cui l´Autorità ha dichiarato infondato il ricorso in materia di rilascio di certificati del casellario giudiziale.

Sono parimenti in attesa di decisione due ricorsi straordinari al Capo dello Stato, relativamente ai quali il Garante ha chiesto di far valere in primo luogo il difetto di giurisdizione; si è conclusa la fase istruttoria e dovrebbe essere imminente la decisione in merito alle opposizioni a suo tempo proposte da RAI S.p.A. e dall´Agenzia per le entrate contro il provvedimento del 5 dicembre 2001 in materia di canone televisivo.

 

19.5. Intervento del Garante in giudizi relativi all´applicazione del Codice

Nel corso del 2004 si è registrata la notifica al Garante, ai sensi di quanto ora prescritto dall´art. 152, comma 7, del Codice, di trentadue ricorsi all´autorità giudiziaria non coinvolgenti direttamente pronunce dell´Autorità.

A tal proposito, occorre evidenziare che il Garante, conformemente agli indirizzi giurisprudenziali ed al già riferito parere dell´Avvocatura generale dello Stato, ha deciso di delimitare la propria attiva presenza ai soli casi in cui sorge, o può sorgere, la necessità di difendere o comunque far valere particolari questioni di diritto, pur continuando a seguire con attenzione tutti questi contenziosi.

In questo quadro, il Garante, laddove non ha ritenuto opportuno intervenire, ha pregato le avvocature distrettuali dello Stato di seguire periodicamente le vicende, provvedendo invece direttamente per le questioni sollevate presso il foro della Capitale.

Per sette dei ricorsi notificatile, l´Autorità ha ritenuto opportuno costituirsi. Si trattato, in particolare, di due casi concernenti l´applicazione delle regole in materia di trattamento dei dati da parte delle cd. "centrali rischi", per i quali l´intervento è stato ritenuto essenziale alla luce dei lavori allora in corso di svolgimento per il codice deontologico.

Due ulteriori costituzioni del Garante si sono avute in cause riguardanti la violazione della riservatezza in ambito condominiale (nella specie, si trattava dell´affissione nella bacheca di un condominio di vari atti relativi al ricorrente) e per una notificazione, senza busta ed in mani di terzi, di atti contenenti dati sensibili, entrambe questioni sulle quali l´Autorità è intervenuta in passato con proprie pronunce di carattere generale.

L´Autorità ha poi ritenuto necessario costituirsi, in ragione della questione di diritto sottostante, in una causa relativa al rifiuto di consegna di una perizia medica per una vicenda giudiziaria in corso, nonché in due ulteriori casi, per far valere l´incompetenza territoriale del foro prescelto dal ricorrente.

In questo primo anno di attività la nuova unità Affari legali ha coordinato gli interventi dell´Autorità alla luce anche del suo aumentato, e probabilmente crescente, coinvolgimento nei procedimenti innanzi all´autorità giudiziaria, anche in relazione alle controversie che un´aumentata attività ispettiva e, soprattutto, sanzionatoria del Garante potrà comportare.

 

20. Attività ispettive e applicazione di sanzioni amministrative

20.1. Profili generali

Al fine di dare concreta attuazione al diritto alla protezione dei dati personali, la legge ha dotato il Garante di veri e propri poteri ispettivi, tramite i quali è possibile richiedere informazioni e documenti al titolare, ai responsabili ed incaricati del trattamento, agli interessati ed a terzi (art. 157 del Codice), anche inviando personale per rilevare le informazioni e i documenti, acquisendole in loco. L´Autorità può, inoltre, accedere a banche dati e archivi ed effettuare ispezioni e verifiche nei luoghi in cui si svolge il trattamento o dove occorre effettuare rilevazioni comunque utili al controllo del rispetto della disciplina in materia di trattamento di dati personali (art. 158). Nel solo caso in cui tali attività debbano svolgersi in abitazioni, in altri luoghi di privata dimora o nelle relative appartenenze, l´accesso subordinato all´autorizzazione dell´autorità giudiziaria o, in alternativa, all´assenso informato del titolare o del responsabile del trattamento dei dati.

In generale, le ispezioni possono originare da segnalazioni o reclami ricevuti dal Garante, nonché da esigenze di approfondimenti ulteriori emerse nell´ambito dell´esame di ricorsi. L´Autorità ha un potere di iniziativa autonomo in relazione, ad esempio, all´esigenza di verificare gli adempimenti di determinate categorie di titolari di trattamenti, ovvero sulla base di notizie comunque direttamente acquisite dal Garante. Talvolta vengono effettuati controlli a campione per verificare lo stato di attuazione della legge in determinati settori, spesso in concomitanza con scadenze imposte dal Codice (quali, per esempio, quelle previste per le notificazioni e per il Documento programmatico di sicurezza).

La scelta dello strumento potestativo da utilizzare per l´esercizio dell´attività di controllo informata a principi di proporzionalità, adeguatezza e gradualità, tenendo presente di volta in volta il contesto operativo di riferimento (rischio di dispersione o alterazione degli elementi di prova), nonché la disponibilità e la collaborazione del soggetto controllato per lo svolgimento delle verifiche.

Nell´ambito degli accertamenti ispettivi, il personale del Dipartimento vigilanza e controllo del Garante riveste la qualifica di ufficiale o di agente di polizia giudiziaria. Ciò comporta che, qualora nel corso dell´ispezione emergano violazioni penalmente rilevanti (artt. 167-171 del Codice), il personale addetto al Dipartimento possa procedere utilizzando i poteri investigativi che il codice di procedura penale attribuisce agli ufficiali ed agenti di polizia giudiziaria (eseguendo per esempio perquisizioni o sequestri, anche di iniziativa).

Al termine del procedimento amministrativo di controllo, del quale le attività ispettive rappresentano una fase, l´Autorità può segnalare ai titolari o responsabili del trattamento dei dati le modificazioni necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti e contestare le violazioni amministrative eventualmente rilevate; nei casi più gravi, previsti dalla legge, il Garante è tenuto ad inviare una comunicazione di notizia di reato all´autorità giudiziaria per l´accertamento delle violazioni costituenti illecito penale.

 

20.2. Procedure

Gli accertamenti di cui all´art. 157 del Codice (richiesta di informazioni ed esibizione di documenti) hanno una valenza marcatamente collaborativa. Il Garante adotta la predetta procedura nei confronti di soggetti e in relazione a materie per le quali ritiene di non dover procedere all´accesso, oppure quando sono necessarie informazioni analitiche che titolare e responsabile potrebbero avere difficoltà a fornire in modo esaustivo, nonché quando devono essere effettuati controlli incrociati rispetto a trattamenti di dati personali che interessano più titolari. Il carattere collaborativo di queste attività evidenziato anche dalla prassi, seguita spesso dall´Autorità, di preannunciare le iniziative. I soggetti interpellati sono comunque tenuti a fornire informazioni non mendaci od omissive e ad esibire documenti genuini, al fine di non incorrere nella sanzione penale prevista dall´art. 168 del Codice (Falsità nelle dichiarazioni al Garante) o in quella amministrativa di cui all´art. 164 (Omessa informazione o esibizione al Garante).

Gli accertamenti previsti dall´art. 158 sono invece disposti quando, per acquisire gli elementi necessari alla compiuta definizione del contesto, non sia ritenuto sufficiente procedere con una mera richiesta di informazioni o di esibizione di documenti, ovvero nei casi in cui le informazioni o i documenti richiesti non siano pervenuti o siano ritenuti incompleti o non veritieri.

A differenza di quanto stabilito dall´art. 157, l´art. 158 conferisce al Garante una potestà di tipo inquisitorio ed "i soggetti interessati agli accertamenti sono tenuti a farli eseguire" (art. 159, comma 2, del Codice). L´accertamento effettuato anche in caso di rifiuto e le eventuali spese sono poste a carico del titolare.

Il Codice prevede che le attività effettuate durante l´ispezione siano verbalizzate, registrando tutti gli elementi rilevanti emersi nell´operazione; agli accertamenti possono eventualmente assistere anche persone indicate dal titolare o dal responsabile (collaboratori interni, consulenti o legali) (art. 159).

 

20.3. I casi più rilevanti

I trattamenti di dati sensibili effettuati da operatori sanitari sono stati oggetto di numerose ispezioni sia per quanto riguarda le modalità di conservazione dei dati e le connesse misure di sicurezza (anche in relazione ad episodi di gravi inadempienze che hanno avuto vasta eco attraverso gli organi di informazione), sia per quel che attiene all´osservanza dell´obbligo di notificazione.

 
Operatori sanitari

In questo settore, i soggetti ispezionati sono stati ventidue, comprendendo Asl, ospedali e laboratori di analisi. Gli accertamenti si sono conclusi con l´invio di quattro notizie di reato per violazione dell´art. 169 (Mancata adozione delle misure minime di sicurezza) del Codice e con la contestazione di tredici sanzioni amministrative.

Uno dei casi più rilevanti ha riguardato un intervento effettuato presso un´azienda sanitaria a seguito della notizia apparsa su alcuni quotidiani che evidenziava la circostanza secondo la quale un´ingente quantità di documentazione sanitaria contenente dati idonei a rivelare lo stato di salute degli interessati (certificati medici, referti di analisi, registri di ricovero ecc.) era stata dispersa in un´area aperta al pubblico e abbandonata per giorni alla portata di chiunque. Durante l´accertamento è emerso che il fatto era da mettere in relazione ad un incendio, occorso circa quindici giorni prima, in un prefabbricato adibito ad archivio dove era conservata documentazione sanitaria relativa ad annualità molto risalenti nel tempo e in attesa di essere distrutta. Le operazioni di spegnimento dell´incendio avevano comportato la parziale demolizione del prefabbricato e lo spostamento all´esterno di tutta la documentazione cartacea in esso contenuta.

Terminata l´emergenza, l´azienda sanitaria, pur avviando le procedure burocratiche per affidare ad una ditta specializzata la distruzione della documentazione, non aveva adottato alcun adempimento volto a ripristinare le misure di sicurezza, doverose in considerazione anche del fatto che i documenti si trovavano su un piazzale dal quale si accedeva peraltro ad una biblioteca comunale assiduamente frequentata (rendendo così accessibili a chiunque dati sensibili di migliaia di cittadini). L´Autorità, attraverso l´attività ispettiva, non solo ha provveduto ad accertare le responsabilità, ma ha anche disposto l´immediata attuazione di alcune misure di sicurezza.

In un altro caso l´Ufficio, raccogliendo la segnalazione di un programma televisivo trasmesso da una rete nazionale, si è recato in una struttura a suo tempo adibita a colonia per la cura delle malattie respiratorie infantili, attualmente dismessa, dove erano state abbandonate cartelle cliniche e altri documenti sanitari relativi ai pazienti della colonia. Anche in questo caso, gli enti che nel tempo avevano avuto in gestione l´immobile avevano dimostrato una totale inosservanza delle misure minime di sicurezza (art. 31 del Codice).

L´Ufficio si è anche occupato di un ulteriore caso di cattiva gestione della documentazione cartacea contenente dati sensibili dei cittadini, questa volta da parte di un´azienda ospedaliera della capitale. Anche in questa circostanza, una consistente quantità di documentazione sanitaria, concernente in particolare risultanze del laboratorio di analisi, era stata rinvenuta nel centro della città in prossimità di cassonetti dell´immondizia collocati su una pubblica via.

I casi sopra citati evidenziano una scarsa consapevolezza della delicatezza dell´attività di gestione della documentazione, anche di natura cartacea, contenente dati sensibili e della necessità che le misure di sicurezza previste per la conservazione di tali informazioni siano mantenute fino alla materiale distruzione della stessa. Appare irragionevole porre in essere complesse e onerose misure di conservazione e sicurezza degli archivi cartacei se poi lo smaltimento dei documenti non  più necessari viene effettuato semplicemente gettandoli integri in un cassonetto dell´immondizia.

Gli episodi dimostrano inoltre, da una parte, la necessità di un "approccio sostanziale" alla legge; dall´altro, l´importanza che la documentazione contenente dati personali sia sempre conservata "in una forma che consenta l´identificazione dell´interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati" (art. 11, comma 1, lettera e), del Codice).

Sempre in ambito sanitario, l´Ufficio ha svolto una serie di accertamenti per verificare la correttezza dei trattamenti di dati personali effettuati da un´associazione senza scopo di lucro nell´ambito di un progetto di ricerca realizzato con un´amministrazione comunale e con la collaborazione di una Asl. Il caso riguardava il rilevamento di dati personali attraverso la compilazione di minuziosi questionari, successivamente smarriti, che rivelavano anche le abitudini sessuali degli interessati. Anche in questo caso, tutte le operazioni di trattamento dei dati erano state effettuate in assenza di misure minime di sicurezza; tale circostanza stata quindi oggetto di una comunicazione di reato alla competente autorità giudiziaria.

Anche le ispezioni effettuate nei confronti di due grosse aziende ospedaliere hanno evidenziato gravi deficienze nell´adozione delle misure di sicurezza per il trattamento dei dati sanitari mediante reti telematiche, debitamente segnalate alle competenti procure della Repubblica.

A fattor comune si evidenzia che nel caso di omessa adozione delle misure minime di sicurezza, il Garante, una volta segnalata la violazione all´Autorità giudiziaria, provvede ad impartire all´autore del reato una prescrizione fissando un termine per la regolarizzazione.

Se allo scadere del termine risulta l´adempimento alla prescrizione, l´autore del reato ammesso dall´Autorità a pagare una somma pari al quarto del massimo dell´ammenda stabilita per la contravvenzione. L´adempimento e il pagamento estinguono il reato.

Un altro dei settori oggetto di attenzione ispettiva è stato quello relativo alla raccolta e al trattamento di dati genetici.

 
Dati genetici

In particolare, in relazione ad un delicato progetto di ricerca genetica, l´Ufficio ha svolto un´intensa attività ispettiva e di verifica nei confronti dei soggetti presso i quali tali dati erano stati raccolti e, pur mettendo in luce la generale correttezza sostanziale e liceità dei trattamenti effettuati, ha evidenziato ancora una volta un´inadeguatezza delle misure di sicurezza adottate che è stata segnalata all´autorità giudiziaria.

In un altro caso, l´ispezione è stata effettuata nei confronti di un´azienda che stava avviando la commercializzazione, via Internet, di un test del Dna "fai-da-te" che avrebbe consentito agli interessati di ottenere un responso mediante l´invio di campioni di materiale organico (saliva). L´intervento dell´Ufficio, avvenuto prima che la vera e propria commercializzazione del test avesse inizio, ha consentito di far emergere tutti i profili estremamente delicati legati alla gestione di un´attività che comporta il trattamento di dati genetici. L´Autorità ha infatti indotto l´azienda a valutare con maggiore attenzione tutte le implicazioni di carattere giuridico connesse con l´operazione prima di avviare materialmente l´iniziativa.

 
Test del Dna

Un´altra questione sottoposta all´attenzione del Garante (e sfociata poi in una verifica ispettiva) ha tratto origine da numerose segnalazioni di cittadini coinvolti in sinistri stradali. Gli stessi lamentavano di essere stati contattati da un´agenzia di pratiche automobilistiche che promuoveva i propri servizi volti a far ottenere il risarcimento dei danni patiti a seguito degli incidenti. Secondo i segnalanti, il contatto sarebbe avvenuto (in alcuni casi tramite lettera, in altri casi tramite visite a domicilio da parte di incaricati, in altri ancora tramite telefono), nei giorni immediatamente successivi l´incidente (in alcuni casi addirittura il giorno successivo) senza che gli interessati avessero mai comunicato i dati personali che li riguardavano all´agenzia segnalata.

 
Informazioni sui sinistri stradali

Gli accertamenti hanno consentito di verificare che l´agenzia aveva organizzato un sistema informativo che le consentiva di conoscere, a distanza di poche ore dal verificarsi dei sinistri, gli elementi identificativi delle persone coinvolte, riuscendo così a proporre i propri servizi con grande anticipo rispetto alle imprese concorrenti.

Il trattamento illecito di dati personali effettuato dall´agenzia è stato segnalato alla competente autorità giudiziaria. Si è ritenuto in particolare che la causa obiettiva di punibilità prevista dall´art. 167 del Codice ("se dal fatto deriva nocumento") si configurasse sia per il modo in cui, immediatamente a ridosso di un evento, in taluni casi anche psicologicamente estremamente traumatico, le persone coinvolte sono state contattate, sia nella sofferenza morale che spesso deriva alle persone che si accorgono che dati personali riguardanti la salute escono dal circuito proprio nell´ambito del quale devono essere trattati.

Decorsi i termini utili per la presentazione della notificazione (30 aprile 2004), è stata avviata una serie di ispezioni nei confronti di trenta soggetti pubblici e privati, tra cui dodici aziende sanitarie locali e dodici società di lavoro interinale. Gli accertamenti, delegati al "Nucleo speciale funzione pubblica e privacy" della Guardia di finanza, hanno portato, in sedici casi, alla contestazione di violazioni per omessa o ritardata notificazione.

 
Notificazione

L´attività di vigilanza in materia di notificazione proseguirà, con modalità analoghe, anche nel 2005, individuando soggetti tenuti all´adempimento anche mediante interconnessione con altre banche dati.

Particolare attenzione è stata data ai controlli dei trattamenti effettuati mediante sistemi di videosorveglianza soprattutto nelle aree pubbliche (porti, aeroporti, metropolitane, enti pubblici). Le ispezioni effettuate hanno evidenziato, in linea di massima, un progressivo recepimento delle indicazioni del Garante (da prima con il Provv. 29 novembre 2000 e, da ultimo, con il Provv. 29 aprile 2004).

 
Videosorveglianza

Non sono tuttavia mancati casi di inosservanza di tali indicazioni, come quello rilevato in un´ispezione presso un ente locale nel corso della quale si è rilevata l´esistenza di un complesso sistema di videosorveglianza -non adeguatamente segnalato agli interessati- collocato presso un obitorio e dotato anche di telecamere nascoste, in grado di riprendere immagini anche all´interno delle camere mortuarie. Le modalità del trattamento dei dati raccolti mediante il sofisticato sistema, la cui istallazione era stata a suo tempo motivata dal verificarsi di alcuni episodi di vilipendio nei confronti di cadaveri, sono apparse immediatamente in contrasto con i principi previsti dall´art. 11 del Codice. Su invito dell´Autorità, l´ente interessato dall´accertamento ha provveduto a sospendere il trattamento, in attesa delle determinazioni sulla complessiva liceità dello stesso.

Sempre in materia di controlli sui trattamenti effettuati mediante sistemi di videosorveglianza, sono state contestate sanzioni amministrative per la mancanza di idonee informative da parte di un´agenzia fiscale, delle società di gestione delle metropolitane di Roma e Milano e della società di gestione dell´aeroporto della Costa Smeralda.

 

20.4. Alcuni riferimenti statistici

L´attività ispettiva effettuata nel 2004 ha avuto anche quest´anno un significativo incremento rispetto a quella svolta l´anno precedente (+45%).

In generale, il volume delle attività ispettive ha continuato a crescere ogni anno a partire dal 2001, rispondendo ad una maggiore "domanda" di controllo da parte dei cittadini come dei soggetti (pubblici e privati) chiamati a dare effettiva attuazione alla disciplina di protezione dati.

Nel 2004 le attività ispettive sono state avviate sulla base di:

  • accertamenti d´ufficio (43%);
  • accertamenti conseguenti a segnalazioni pervenute all´Ufficio (38%);
  • autonomi accertamenti a seguito di ricorsi presentati al Garante (19%).

Come si evince dal confronto con i dati dell´anno precedente, nel 2004 è stato maggiore lo spazio degli accertamenti così detti di iniziativa, avviati cioè motu proprio dall´Autorità, pure in assenza di atti di impulso da parte dei cittadini, a testimonianza di un atteggiamento attivo assunto dal Garante, anche attraverso lo strumento ispettivo.

Gli accertamenti eseguiti hanno riguardato in prevalenza verifiche concernenti:

  • le modalità di acquisizione del consenso, in molti casi connesse ad attività effettuate sulla rete Internet mediante l´invio di sollecitazioni commerciali non richieste via e-mail;
  • il rispetto delle disposizioni di legge in relazione al trattamento di dati mediante sistemi di videosorveglianza;
  • l´accertamento dell´origine dei dati oggetto di trattamento;
  • il rispetto dell´obbligo di notificazione al Garante;
  • l´adozione delle misure di sicurezza.

Le ispezioni sono state effettuate:

  • in novantatre casi mediante richieste di informazioni in loco;
  • in sette casi mediante accessi a banche dati autorizzati dal Presidente del Tribunale.

Con riferimento all´ambito territoriale la ripartizione stata omogenea:

  • Nord (trentaquattro);
  • Centro (trenta);
  • Sud (trentasei).

L´incidenza delle violazioni penali sui procedimenti amministrativi di controllo avviati nel 2004 è pari circa al 13%. Le violazioni segnalate riguardano ipotesi di trattamento illecito di dati personali, omessa adozione di misure di sicurezza, inosservanza dei provvedimenti del Garante e false dichiarazioni al Garante.

Confermando le indicazioni emerse l´anno precedente, le ispezioni hanno in generale consentito di rilevare che nel settore privato le aziende più grandi iniziano ad adottare la legge anche attraverso la costituzione di unità organizzative con deleghe specifiche, veri e propri "uffici privacy", mentre le aziende medio-piccole evidenziano a volte un livello inferiore di adeguamento alla normativa e agli indirizzi del Garante. Non sempre, però, c´è perfetta corrispondenza tra osservanza formale delle disposizioni e reale e diffusa "cultura" del trattamento di dati secondo i principi stabiliti dal Codice.

 
Valutazioni di sintesi

Proprio nella pubblica amministrazione, come dimostrano i casi precedentemente descritti, la cultura della protezione dei dati personali stenta ad affermarsi compiutamente. Nei processi di lavoro e nella gestione delle pratiche di ufficio prevalgono ancora approcci di tipo "burocratico" e, talvolta, ad un assetto formalmente corretto non corrisponde una piena consapevolezza dei doveri e delle responsabilità connesse al trattamento dei dati personali. Sono ancora frequenti fenomeni di noncuranza e superficialità nel trattamento dei dati, soprattutto per quanto attiene la gestione degli archivi e le connesse misure di sicurezza e l´attuazione dei principi di indispensabilità, necessità, pertinenza e non eccedenza cui si è più volte fatto cenno.

 

20.5. L´attività sanzionatoria del Garante

L´attività operativa in materia di sanzioni amministrative, alla luce delle modifiche normative delle quali si è già dato conto (v. Relazione 2003), ha avuto ulteriore impulso a seguito delle attività di accertamento e di controllo poste in essere dal "Nucleo speciale funzione pubblica e privacy" della Guardia di finanza le cui unità di vigilanza, all´esito di capillari controlli svolti presso le sedi dei titolari del trattamento, hanno provveduto in decine di casi ad effettuare direttamente l´obbligatoria contestazione al momento in cui sono state rilevate le specifiche violazioni amministrative.

La linea d´azione scelta dal Garante per gli ambiti di indagine è stata quella di individuare specifici settori verso cui indirizzare le attività sopra indicate, le quali hanno coinvolto, in qualità di titolari, soggetti pubblici e privati. A ciò va aggiunta l´attività di accertamento e controllo svolta d´ufficio ovvero a seguito di segnalazioni e reclami indirizzati al Garante per lamentare un improprio utilizzo dei dati personali, che ha portato in alcuni casi alla contestazione di violazioni amministrative.

Attraverso un´analisi dettagliata dei provvedimenti sanzionatori si possono rinvenire ed individuare le operazioni di trattamento e le modalità che sono state più volte oggetto di contestazione di infrazione. Tra queste, la più significativa ha riguardato l´obbligo di notifica dei trattamenti al Garante (art. 37 del Codice), con particolare riferimento agli adempimenti in materia di notificazione da parte dei titolari di trattamenti di dati sensibili (quali aziende sanitarie pubbliche e laboratori di analisi privati) e, in un caso, del trattamento di dati biometrici da parte di un istituto di credito (rilevazione di impronte digitali).

In tema di omessa o ritardata notificazione, i soggetti pubblici e privati sottoposti agli accertamenti sopra richiamati sono risultati inadempienti e pertanto oggetto di contestazione della violazione amministrativa della omessa o incompleta notificazione (art. 163 del Codice). A seguito di tali contestazioni i titolari del trattamento, in maggioranza, si sono avvalsi della facoltà di essere sentiti dal Garante (ai sensi dell´art. 18, l.n. 689/1981), in ciò confermando la previsione in materia di obbligatoria audizione formulata nella precedente Relazione annuale.

Nelle audizioni tenute nel 2004, è emersa in vari casi una lettura non corretta e non conforme al dettato normativo dell´art. 37, comma 1, lett. a) e b), del Codice, che ha generato nei titolari del trattamento l´erronea convinzione di non essere tenuti all´obbligo di notificazione.

In particolare, è risultata evidente una visione non sistematica delle norme sulla protezione dei dati personali, oltre che una loro non corretta interpretazione. Eppure il Garante era intervenuto sul tema nel corso del 2004 specie in due occasioni: con Deliberazione n. 1 del 31 marzo 2004 e con un provvedimento indirizzato ad alcune associazioni di categoria che hanno fornito le indicazioni e la corretta interpretazione del disposto dell´articolo citato. Ed a quanto riportato in detti provvedimenti che avrebbero potuto agevolmente attenersi le organizzazioni sopra menzionate al fine del corretto adempimento dell´obbligo di notificazione al Garante.

L´attività di monitoraggio interno, prodromica ad ogni trattamento di dati personali che voglia essere conforme alle disposizioni di legge in materia, non sempre viene svolta con l´intento di verificare in modo puntuale e compiuto la natura, le modalità e le finalità del trattamento. Al contrario, si rileva spesso una tendenza a ricercare quanto necessario a far ritenere escluso un determinato adempimento. È di tutta evidenza che un tale atteggiamento comporta, per il titolare, il rischio di effettuare un trattamento non conforme alle norme di legge vigenti e di essere pertanto oggetto di provvedimento sanzionatorio da parte del Garante.

Sempre con riferimento alle risultanze di dette attività di accertamento e controllo, verranno predisposti, ai sensi dell´art. 17 della legge n. 689/1981, i rapporti necessari all´eventuale e successiva adozione dei provvedimenti di ordinanza-ingiunzione al pagamento di somme.

L´informativa all´interessato, ad esempio nelle attività effettuate per mezzo dei nuovi strumenti multimediali di comunicazione, è stata spesso omessa o risultata incompleta al momento del raffronto con le finalità e modalità di fatto esercitate dal titolare. Significativo, in proposito, è il caso nel quale, a seguito del ricorso di un interessato, si accertato che i dati raccolti da un´università al momento dell´iscrizione venivano utilizzati anche per attività ulteriori rispetto a quelle per le quali era stata fornita l´informativa (nel caso di specie, comunicati a terzi che li utilizzavano per inviare comunicazioni commerciali non sollecitate).

Per quanto attiene ai trattamenti di dati personali effettuati per mezzo di strumenti di videosorveglianza, sono state nuovamente accertate e sanzionate violazioni connesse ad informative assenti o incomplete riguardo agli obbligatori riferimenti alle modalità e finalità del trattamento effettuato.

Si sono verificati infine casi di mancato riscontro alle richieste di informazioni ed esibizione di documenti rivolte dal Garante ai titolari del trattamento (art. 157 del Codice) -richieste necessarie per l´assolvimento delle funzioni di controllo rimesse all´Autorità- che hanno portato alla contestazione della relativa infrazione.