II - Il Garante - Relazione 2002

La trattazione dei ricorsi

62. Principali problemi esaminati
Il primo dato caratterizzante la trattazione dei ricorsi nel corso del 2002 e nei primi mesi del corrente anno è un dato statistico: l´aumento consistente di tali atti proposti ai sensi dell´art. 29 della legge n. 675. Nell´anno solare 2002 sono stati infatti esaminati dal Collegio del Garante 390 ricorsi, un numero più che doppio rispetto all´anno precedente (erano stati, infatti, 169 i ricorsi decisi nel corso del 2001). Nel periodo del 1 gennaio -15 aprile 2003 sono stati decisi 110 ricorsi.

L´impressione è che il ricorso al Garante per la tutela delle posizioni giuridiche di cui all´art. 13, comma 1, della legge n. 675 sia uno strumento ormai entrato nella diffusa conoscenza non solo di professionisti, ma anche di un ampio numero di persone che dimostrano di saperlo utilizzare con efficacia.

Velocità della procedura, economicità dello strumento, facilità di utilizzo dello stesso giustificano il rapido diffondersi di questo meccanismo di tutela.

La ragione vera dell´affermarsi dei ricorsi consiste però, probabilmente, nell´estrema duttilità di questo strumento di tutela e nella vastità del suo campo d´azione a tutela dei diritti previsti dal citato art. 13.

L´ampia nozione di "dato personale" accolta dalla legge n. 675, oggetto in questi anni di precisazioni sempre più puntuali da parte del Garante, amplia infatti la latitudine del diritto di accesso ai dati personali previsto dal predetto art. 13 e, di conseguenza, estende l´applicabilità anche delle altre posizioni giuridiche tutelate dal medesimo articolo (diritto di integrazione e/o di correzione dei dati, opposizione al trattamento per motivi legittimi…). L´esperienza di questi mesi dimostra, anzi, come in molteplici settori della vita economica e sociale si affaccino sempre nuove situazioni rispetto alle quali i diritti tutelati dalla legge sulla protezione dei dati personali possono aprire prospettive innovative di tutela. Naturalmente ciò comporta un rilevante e continuo sforzo interpretativo da parte dell´Autorità per individuare correttamente l´ambito di applicazione della legge, difendere le legittime aspirazioni dei cittadini che se ne avvalgono, e prevenire, al tempo stesso, un uso strumentale e improprio della legge medesima.

Indubbiamente l´accesso ai dati personali ha reso più concreta quell´autodeterminazione informativa del singolo individuo tante volte segnalata come uno degli obiettivi della legge n. 675. Qualche volta, però, non è mancato da parte dei ricorrenti il tentativo di passare da richieste volte ad accedere ad informazioni relative all´interessato medesimo (così come richiesto dalle norme citate) ad istanze riferite in realtà a terzi. Né sono mancati tentativi di utilizzare certi strumenti (cancellazione dei dati, blocco degli stessi, opposizione al trattamento) non per motivi legittimi, o come reazione a dimostrate violazioni della legge, ma come tentativi di impedire legittimi utilizzi di informazioni da parte di soggetti pubblici e privati.

A dimostrazione della varietà di situazioni che sono state sottoposte all´attenzione del Garante sono qui tratteggiati una serie di settori in riferimento ai quali è stata proposta una pluralità di ricorsi, rinviando l´approfondimento delle specifiche questioni alle singole parti della presente Relazione.

"Centrali rischi" private

Il trattamento di dati personali (essenzialmente riferito ad operazioni di finanziamento, con particolare riguardo al credito al consumo) svolto dalle cd. "centrali rischi" ha da sempre costituito oggetto di numerose pronunce del Garante in riferimento a ricorsi proposti ai sensi dell´art. 29. Nel corso del 2002 la casistica si è moltiplicata e l´Autorità ha adottato numerose decisioni con le quali ha focalizzato l´attenzione su questi particolari tipi di trattamenti, fissando alcuni significativi principi di riferimento.

L´importanza dei diritti e degli interessi coinvolti ed il rilevante numero di ricorsi e segnalazioni pervenute ha indotto il Garante a svolgere un´approfondita istruttoria e ad adottare in data 31 luglio 2002 anche un  provvedimento di carattere generale su tale tema (sul punto vedi il  paragrafo 33).

Modalità del rilascio del consenso informato da parte dell´interessato, tempi di conservazione dei dati riferiti allo svolgimento dei rapporti di finanziamento negli archivi delle "centrali rischi", posizione dei soggetti che rivestono il ruolo di garanti di finanziamenti erogati a terzi sono solo alcuni degli aspetti in ordine ai quali il Garante, nelle motivazioni delle decisioni sui ricorsi, è più volte intervenuto in riferimento ai fondamentali principi di esattezza, aggiornamento, completezza e proporzionalità nel trattamento dei dati di cui all´art. 9 della legge n. 675. Tutti principi che nel  citato provvedimento del 31 luglio 2002 hanno trovato un più sistematico tracciamento.

Dati relativi allo stato di salute e dati conservati nelle perizie medico legali redatte in campo assicurativo

In diverse occasioni il Garante si è pronunciato su richieste di accesso a dati di questo tipo, normalmente con riferimento a informazioni contenute in cartelle cliniche o riferite ad accertamenti diagnostici. In qualche caso (vedi ad esempio decisione del  30 settembre 2002) è stato nuovamente precisato che i dati, oltre che in modo esatto e completo, devono essere anche messi a disposizione in forma intelligibile. In tali ipotesi il titolare del trattamento deve trascrivere il contenuto dei referti diagnostici non comprensibili e rendere intelligibili i risultati di esami ed altri accertamenti eventualmente espressi attraverso codici o altri riferimenti di non immediata comprensibilità. Si tratta, anche in questo caso, di prescrizioni che mirano a rendere effettiva la piena conoscenza dei dati personali dell´interessato che, nel campo dei dati riferiti allo stato di salute, trova un´ulteriore tutela nella disposizione dell´art. 23, comma 2, della citata legge n. 675/1996 (per il quale, come si è detto, tali dati possono essere resi noti all´interessato stesso solo per il tramite di un medico).

Fra i dati relativi allo stato di salute rientrano anche quelli contenuti nelle perizie medico legali redatte in ambito assicurativo. È questo un tema sempre vivo e per alcuni aspetti controverso, anche se i principi più volte fissati al riguardo dal Garante (vedi  Relazioni degli anni precedenti) sembrano ora meglio conosciuti dagli interessati e dagli operatori del settore. Ciò sia in riferimento alla possibilità di esercitare al riguardo il diritto di accesso previsto dall´art. 13 della legge n. 675, sia in ordine alla possibilità per i titolari del trattamento di eccepire, in caso di pregiudizio, il differimento del diritto stesso ai sensi dell´art. 14, comma 1, lettera e), della legge n. 675.

Trattamento di dati da parte di operatori telefonici e problematiche relative ai trattamenti in rete

È il settore che ha registrato nel corso del 2002 il più alto numero di ricorsi pervenuti, a dimostrazione di una sensibilità diffusa fra gli interessati, ma anche della necessità di un chiarimento da parte dell´Autorità in ordine al quadro normativo di riferimento.

Si inseriscono in quest´ambito i molti provvedimenti di accoglimento di ricorsi proposti con riguardo all´invio di messaggi di posta elettronica aventi contenuto promozionale e pubblicitario, senza che risultasse acquisito il previo consenso dell´interessato od operante uno dei presupposti del trattamento di cui all´art. 12 della legge n. 675/1996, all´art. 10 del d.lg. 13 maggio 1998 n. 171 (in materia di tutela della vita privata nel settore delle telecomunicazioni) all´art. 10 del d.lg. 22 maggio 1999, n. 185 in materia di contratti a distanza.

Con tali provvedimenti il Garante ha in particolare ribadito l´illiceità della raccolta (a volte effettuata anche con l´ausilio di particolari software) di indirizzi di posta elettronica reperiti in rete in assenza dei requisiti di legge sopra citati.

Ugualmente illecito è  risultato poi il trattamento svolto anche da singoli utenti della rete che inviano a terzi messaggi e-mail contenenti l´invito ad inserirsi in un meccanismo per l´invio sistematico di messaggi di posta elettronica al fine di conseguire benefici economici.

In tale ipotesi (il caso più diffuso ha riguardato l´invio di e-mail collegate al sistema "Mlm") il trattamento ricade nell´ambito di applicazione della legge n. 675. Infatti lo stesso attiva, per sua natura, una comunicazione sistematica di dati personali a scopo di possibile lucro e, pur vedendo coinvolte persone fisiche, anziché imprese, non può essere qualificato alla stregua di un trattamento a "fini esclusivamente personali" ai sensi dell´art. 3 della legge n. 675/1996 (vedi, fra gli altri, provvedimento del  21 novembre 2002).

Per quanto concerne poi il trattamento di dati svolto da società telefoniche, vanno segnalati alcuni ricorsi che hanno portato all´attenzione dell´Autorità illeciti trattamenti di dati svolti da rivenditori autorizzati attraverso l´attivazione di schede telefoniche o di altri servizi, associati al nome di interessati ignari ed estranei al reale utilizzo del servizio in questione o, addirittura, defunti. Sul grave fenomeno è stata richiamata l´attenzione dei gestori dei servizi e si è proceduto anche ad ulteriori accertamenti attraverso interventi ispettivi e successive denunce di reato all´autorità giudiziaria.

Alcuni ricorsi hanno riguardato poi il problema del diritto di accesso ai dati personali relativi al traffico telefonico "in entrata". Al riguardo il Garante ha richiamato il disposto dell´art. 14, comma 1, lettera e) bis, della legge n. 675, che esclude l´esercizio del diritto di accesso a tali particolari tipi di dati "salvo che possa derivarne pregiudizio per lo svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000 n. 397". Nell´esame delle singole fattispecie (vedi ad esempio provvedimento del  16 ottobre 2002) l´Autorità ha verificato in concreto l´effettiva esistenza degli specifici presupposti richiesti dalla norma citata, per consentire, in via di eccezione, l´accesso da parte dell´interessato. Nei casi finora esaminati tali presupposti non ricorrevano e pertanto le richieste di accesso a tali dati sono state rigettate.

Dati relativi ai dipendenti

Si tratta di una problematica ricorrente in quanto logicamente connessa allo svolgimento del rapporto di lavoro, spesso propedeutica o contestuale alla proposizione di ulteriori istanze dinanzi al giudice ordinario. I casi sottoposti all´esame del Garante hanno generalmente riguardato problemi relativi al completo accesso dell´interessato ai dati personali relativi alla propria esperienza professionale, anche con riguardo alla eventuale formulazione di schede di valutazione, note caratteristiche, ecc. In due significativi provvedimenti del 30 settembre 2002 [doc. web n.  1066171 e n.  1066203] è stata sottolineata la possibilità di accedere altresì a informazioni personali conservate in documenti sottratti al diritto di accesso agli atti e documenti amministrativi tutelato dalla legge n. 241/1990 (nel caso di specie si trattava di procedimenti di tipo disciplinare), rimarcando l´autonoma disciplina che regola diversamente il diritto di accesso ai dati personali dell´interessato rispetto al diritto tutelato dalla citata legge n. 241.

Trattamenti svolti da pubbliche amministrazioni

Sono numerosi i casi di richieste rivolte ai sensi dell´art. 13 nei confronti di pubbliche amministrazioni. Quasi sempre gli interessati chiedono di accedere a complessi più o meno ampi di dati, spesso accompagnando tale richiesta con ulteriori istanze volte ad ottenere l´integrazione o l´aggiornamento dei dati o ad opporsi all´ulteriore utilizzo dei dati stessi sulla base di asserite violazioni di legge compiute dal titolare del trattamento (vedi ad esempio provvedimento del  25 novembre 2002 relativo ad istanze formulate nei confronti dell´INPS).

Un caso significativo ha riguardato una richiesta di aggiornamento dei dati personali di un interessato proposta ai sensi dell´art. 13 nei confronti dell´Automobile Club d´Italia in qualità di conservatore del Pubblico registro automobilistico (PRA). In tale occasione il Garante ha ritenuto infondato il ricorso (vedi provvedimento dell´ 8 novembre 2002), in quanto l´operazione di trattamento richiesta risulta specificamente disciplinata da apposita disposizione normativa non abrogata dalla legge n. 675. Tale disposizione subordina la modifica dei dati personali in questione (nel caso di specie il cambio del nome dell´interessato) ad una specifica procedura (che prevede altresì il versamento di somme a titolo di imposte e diritti di segreteria) la quale non può essere aggirata invocando in altra sede, ovvero sul piano del trattamento dei dati, la gratuità di alcuni diritti previsti dall´art. 13 della legge n. 675/1996.

Con tre provvedimenti adottati in data  30 dicembre 2002 e 9 gennaio 2003 [doc. web n.  1067775 e n.  1067813] il Garante ha poi esaminato, in relazione ad altrettante istanze di opposizione al trattamento, il sistema di videosorveglianza recentemente attivato nel centro storico della città di Brescia. Al riguardo, dai pochi atti acquisiti, non risultava accertato che i trattamenti in questione eccedessero i limiti richiamati dal provvedimento di carattere generale in materia di videosorveglianza del  29 novembre 2000. L´Autorità ha pertanto deciso di verificare nell´ambito di un autonomo procedimento l´idoneità e la completezza dell´informativa rilasciata ai sensi dell´art. 10 e le più specifiche modalità di funzionamento del sistema di videosorveglianza in questione, con particolare riguardo al rispetto del principio di proporzionalità e alla non eccedenza dei tempi di conservazione dei dati personali raccolti.

In altro ambito, con provvedimento del  6 settembre 2002, il Garante ha poi ritenuto infondata la richiesta degli interessati volta ad ottenere la cancellazione totale dai registri immobiliari di iscrizioni ipotecarie a suo tempo apposte. Al riguardo, l´Autorità ha confermato la legittimità dei trattamenti svolti da un ufficio provinciale dell´Agenzia del territorio che aveva negato la cancellazione dei dati richiesti dagli interessati ai sensi dell´art. 13 della legge n. 675 rilevando, nel caso di specie, le specifiche disposizioni del codice civile che regolano le modalità di tenuta dei registri immobiliari e le formalità per la cancellazione delle ipoteche.

Trattamenti svolti in ambito bancario

È un settore dove la legge sulla protezione dei dati personali ha trovato ampia applicazione. Nel periodo più recente l´Autorità ha avuto modo di affrontare, decidendo su alcuni ricorsi profili specifici di particolare rilievo. Con la decisione del  3 aprile 2002 è stato affermato il diritto di un erede testamentario ad accedere ad informazioni relative ai rapporti bancari precedentemente intrattenuti dal defunto, anche con riferimento ad alcuni dati, sempre relativi a rapporti bancari, riferiti a terzi. Ciò in quanto, nel caso di specie, alcune informazioni relative ai contestatari che avevano effettuato operazioni rilevanti nel comune rapporto erano indispensabili per rendere intelligibili i dati del richiedente.

In un altro caso, deciso in data  8 novembre 2002, è stato accolto un ricorso in riferimento alla richiesta di rettifica dei dati personali dell´interessato comunicati da un istituto di credito ad una società di emissione di carte di credito. Ciò in relazione ad una complessa controversia in atto fra l´interessato e la banca, vicenda che non legittimava, però, quest´ultima a comunicare a terzi la posizione dell´interessato indicando lo stesso come "insolvente" senza dare correttamente conto del contenzioso in essere.

Trattamenti svolti da professionisti e da investigatori privati

I trattamenti svolti da avvocati nell´esercizio del mandato difensivo o da investigatori privati sono stati al centro di alcune significative pronunce che hanno messo in luce il complesso rapporto fra legittimo esercizio del diritto di difesa e tutela della riservatezza. Vanno in particolare ricordate due pronunce (entrambe del 17 settembre 2002 - doc. web n.  1066162 e n.  1066240) che hanno in parte accolto due ricorsi con i quali gli interessati avevano chiesto di conoscere l´origine dei dati personali che li riguardano, oggetto di trattamento da parte dei legali di controparte nell´ambito dei complessi contenziosi in essere. In entrambe le situazioni (diverse fra loro) non sono stati rappresentati elementi idonei volti a far ritenere che dalla rivelazione dell´origine dei dati potesse derivarne un concreto pregiudizio per l´esercizio di un diritto in sede giudiziaria. Per quanto concerne gli investigatori privati, gli spazi per l´esercizio della relativa attività e i limiti che la stessa incontra sono stati precisati in alcuni provvedimenti (vedi, ad esempio, quello del  30 settembre 2002) che hanno ribadito le specifiche prescrizioni fissate al riguardo dall´ autorizzazione generale n. 6/2000.

Trattamenti in ambito giornalistico

La diffusa sensibilità degli interessati fatti oggetto di cronache giornalistiche ha portato all´attenzione dell´Autorità diverse vicende nelle quali, attraverso gli strumenti di tutela propri della legge n. 675, gli stessi hanno proposto istanze volte a conoscere l´origine dei dati che li riguardano, ad opporsi al loro ulteriore trattamento e, più in generale, a denunciare l´asserita violazione dei limiti posti al diritto di cronaca in relazione alla tutela della riservatezza personale (limiti enunciati nell´art. 25 della legge n. 675 e specificati nel relativo codice deontologico pubblicato sulla Gazzetta Ufficiale del 3 agosto 1998). Come in passato, le vicende portate all´attenzione dell´Autorità hanno riguardato sia trattamenti svolti a mezzo di pubblicazioni a stampa, sia trasmissioni radio-televisive.

Quanto agli specifici diritti fatti valere si segnala in particolare la pronuncia dell´ 11 luglio 2002 con la quale il Garante -nell´accogliere parzialmente un ricorso proposto nei confronti di alcune testate giornalistiche in relazione ad alcuni articoli di cronaca che fornivano numerosi dettagli sugli interessati- ha messo in luce il mancato rispetto dei principi dell´essenzialità rispetto a fatti di interesse pubblico, con particolare riferimento alla pubblicazione delle generalità complete dei ricorrenti e del loro domicilio che, nel caso di specie, non erano indispensabili ai fini dell´intelligibilità e dell´efficacia informativa della notizia.

Significativa è stata anche la decisione del  19 dicembre 2002 con la quale il Garante, accogliendo un ricorso proposto in via d´urgenza da un´associazione costituita per tutelare i diritti delle vittime del terremoto verificatosi il 31 ottobre 2002 a San Giuliano di Puglia, ha riconosciuto l´illiceità dell´acquisizione e della successiva pubblicazione delle immagini dei bambini deceduti nel crollo della scuola del paese, immagini che risultavano raccolte, senza il consenso dei genitori, presso le tombe ove le quali le famiglie le avevano esposte, tra l´altro in modo ancora provvisorio.

Con decisione del  31 luglio 2002 è stato poi precisato che anche il trattamento di dati personali svolto tramite un sito Internet rientra nella sfera di applicazione della legge n. 675/1996 e ricade nella fattispecie disciplinata dall´art. 25, comma 4 bis, della medesima legge.

63. Profili procedurali, impugnazione dei provvedimenti dell´Autorità
Messi a fuoco negli anni scorsi i principali problemi interpretativi connessi alle disposizioni procedurali in materia di ricorsi di cui al d.P.R. n. 501/1998, sono emersi nel periodo più recente profili nuovi e specifici sui quali il Garante nel corso del 2002 ha preso posizione con interventi significativi.

Con decisione del  4 luglio 2002 l´Autorità ha dichiarato inammissibile un ricorso munito di sottoscrizione non autenticata apposta da una persona che risultava iscritta nel registro speciale dei laureati in giurisprudenza che svolgono pratica nei termini previsti dal r.d.l. n. 1578 del 1933.

Al riguardo è stata sottolineata la necessità, ai sensi dell´art. 18, comma 1, del citato d.P.R. n. 501/1998, che il ricorso rechi la sottoscrizione del ricorrente o del procuratore speciale autenticata nelle forma di legge o che, ai sensi del comma 2 del medesimo articolo, la sottoscrizione sia apposta presso l´Ufficio "da un procuratore speciale iscritto all´albo degli avvocati e al quale la procura sia stata conferita ai sensi dell´art. 83 del codice di procedura civile".

Con la decisione adottata il  22 ottobre 2002 è stato poi ricordato che, ai sensi dell´art. 17 del d.P.R. n. 501/1998 la persona che agisce su incarico dell´interessato -in sede di esercizio dei diritti di cui all´art. 13 della legge n. 675- deve esibire o allegare copia della procura o della delega recante sottoscrizione autenticata nelle forme di legge.

Nel caso di specie non risultava che, all´epoca della proposizione dell´istanza ex art. 13, tali atti fossero stati allegati, né, pur in presenza di specifica istanza del resistente, tale delega o procura anteriore all´istanza medesima era stata prodotta in atti con il ricorso o durante il procedimento.

Anche nel corso del 2002 è stato molto contenuto il numero delle decisioni dell´Autorità che sono state oggetto di opposizione in tribunale secondo la procedura delineata dai commi 6 e 7 dell´art. 29 della legge n. 675. In proposito va ricordata la sentenza n. 7341/2002 della prima sezione civile della Corte di cassazione. Con tale pronuncia la Suprema Corte -sciogliendo autorevolmente un dubbio che aveva dato luogo a contrastanti decisioni a livello di merito- ha precisato che "il ricorso al giudice ordinario in opposizione al provvedimento del Garante non può essere inteso che come primo rimedio giurisdizionale a disposizione del soggetto che si pretende leso dall´atto del Garante". Pertanto l´Autorità può partecipare al giudizio di impugnativa di un proprio atto quale che sia stato il procedimento che lo ha preceduto per far valere davanti al giudice lo stesso interesse pubblico a tutela del quale l´Autorità agisce. Coerentemente con questa impostazione l´Autorità si è costituita in giudizio a difesa dei provvedimenti oggetto di opposizione in tribunale mirando sempre alla corretta interpretazione della legge sulla protezione dei dati personali e sottolineando altresì la valenza generale di molti dei problemi oggetto dei giudizi in questione.

Vanno altresì rimarcate due decisioni, adottate a seguito di opposizioni in tribunale, con le quali sono stati confermati precedenti provvedimenti del Garante adottati in relazione a ricorsi proposti ai sensi dell´art. 29 della legge n. 675/1996.

In particolare con decreto del 2 luglio 2002 il Tribunale di Bologna -in relazione alla richiesta di accesso al complesso dei dati personali proposta da un dipendente nei confronti del proprio datore di lavoro- ha confermato la precedente decisione del Garante specificando che i dati devono essere messi a disposizione in modo completo e intelligibile mediante estrapolazione degli stessi dai supporti sia cartacei sia informatizzati nei quali gli stessi sono conservati, "o mediante consegna di copia integrale dei dati stessi". Nella stessa decisione il tribunale ha poi concluso nel senso che anche i giudizi valutativi riferiti ai dipendenti costituiscono dati personali agli stessi riferiti.

Con decisione del 31 luglio 2002 il Tribunale di Bergamo ha invece confermato tre decisioni del Garante del 19 febbraio 2002 [doc. web n.  1063652, n.  1064177 e n.  1064225]  che avevano affrontato ambiti e limiti dell´attività svolta dagli investigatori privati (sul punto v. Relazione 2001, pp.  58 e 101 e il  paragrafo 30 della presente Relazione).

Attività ispettive e applicazione di sanzioni amministrative

64. Tipologia degli accertamenti ispettivi e criteri adottati
Tra i compiti del Garante previsti dall´art. 31 della legge 31 dicembre 1996, n. 675, vi è anche quello di controllare se i trattamenti sono effettuati nel rispetto delle norme di legge e di regolamento e in conformità alla notificazione.

A questa attività provvede in particolare il Dipartimento vigilanza e controllo il cui personale riveste, nell´esercizio dei poteri di accertamento previsti dalla legge, la qualifica di ufficiale/agente di polizia giudiziaria.

Le attività ispettive sono costituite da accertamenti effettuati, direttamente dall´Ufficio ovvero, su suo incarico da altri organi dello Stato, nei luoghi dove si svolgono i trattamenti utilizzando i poteri previsti dall´art. 32 della legge 31 dicembre 1996, n. 675.

La scelta dello strumento potestativo da utilizzare per l´esercizio dell´attività di controllo, continua ad essere informata a principi di proporzionalità, adeguatezza e gradualità, tenendo presente, di volta in volta, il contesto operativo di riferimento (rischio di dispersione o alterazione degli elementi di prova) ed il profilo soggettivo del controllato in termini di collaboratività.

I controlli possono essere pertanto effettuati mediante: richieste, anche in loco, di informazioni ed esibizioni di documenti; accessi alle banche di dati o altre ispezioni e verifiche nei luoghi ove si svolge il trattamento o nei quali occorre effettuare rilevazioni comunque utili al medesimo controllo.

Le richieste di informazioni in loco vengono effettuate sulla base del disposto dell´art. 32, comma 1, della legge, hanno natura collaborativa e si svolgono con la presenza di funzionari nei luoghi dove si svolge il trattamento per procedere, di concerto con il titolare o il responsabile, all´acquisizione diretta di informazioni e di documenti. Si tratta di una procedura utilizzata sia quando sono necessarie descrizioni analitiche alle quali titolare e responsabile potrebbero avere difficoltà a rispondere in modo esaustivo, sia quando è  necessario effettuare controlli incrociati rispetto a trattamenti di dati personali cui siano interessati più titolari. Considerata la natura "collaborativa" di queste attività esse vengono di regola effettuate mediante preavviso.

Gli accessi alle banche dati sono effettuati in base ai poteri dell´art. 32, comma 2, della legge. La norma fa riferimento anche ad "altre ispezioni e verifiche nei luoghi ove si svolge il trattamento o nei quali occorre effettuare rilevazioni comunque utili al medesimo controllo". I funzionari incaricati possono pertanto procedere a rilievi e ad operazioni tecniche e possono estrarre copia di ogni atto, dato e documento, anche a campione e su supporto informatico o per via telematica. Questi tipi di controlli sono di regola disposti quando, per acquisire gli elementi necessari per la compiuta definizione del contesto, non è ritenuto opportuno procedere alla richiesta di informazioni o di esibizione di documenti, ovvero nei casi in cui non sono pervenute le informazioni o i documenti richiesti o, se pervenuti, sono ritenuti incompleti o non veritieri. A differenza del potere di cui al comma 1 dell´art. 32 della legge, quella prevista dal comma 2 del medesimo articolo è una potestà di tipo marcatamente inquisitoria ed "i soggetti interessati agli accertamenti sono tenuti a farli eseguire" (art. 32, comma 4 della legge 31 dicembre 1996, n. 675). L´accertamento, come previsto dall´art. 15, comma 5 del d.P.R. 31 marzo 1998, n. 501, è eseguito anche in caso di rifiuto e le spese in tal caso occorrenti sono poste a carico del titolare. Durante l´accertamento il titolare o il responsabile possono farsi assistere da persone di loro fiducia. Dell´accesso è redatto sommario processo verbale nel quale sono annotate anche le eventuali dichiarazioni dei presenti.

L´esercizio del potere di accesso di cui all´art. 32, comma 2, è subordinato dalla legge alla previa autorizzazione del presidente del tribunale territorialmente competente (art. 32, comma 3, della legge), ma è esercitato anche in assenza di tale autorizzazione, qualora sia acquisito il preventivo assenso scritto e informato dei titolari o dei responsabili dei trattamenti (art. 15, comma 1, d.P.R. n. 501/1998).

Le ispezioni sono collegate a procedimenti amministrativi di controllo al termine dei quali l´Autorità:

• segnala, ai titolari o responsabili del trattamento dei dati, le modificazioni necessarie o opportune al fine di rendere il trattamento conforme alle disposizioni vigenti;
• contesta le sanzioni amministrative eventualmente rilevate;
• invia, nei casi più gravi previsti dalla legge, una comunicazione di notizia di reato all´autorità giudiziaria per l´accertamento delle violazioni costituenti reato.

65. La collaborazione con organi dello Stato. Il protocollo d´intesa con la Guardia di finanza
Nello svolgimento dell´attività ispettiva il Garante può avvalersi, ove necessario, della collaborazione di altri organi dello Stato e di fatto già da tempo si sono avute molteplici occasioni di collaborazione con le forze di polizia ed in particolare con la Guardia di finanza, (in ragione delle peculiari competenze nel campo delle attività di controllo in campo amministrativo proprie del Corpo) e con la con la Polizia postale e delle comunicazioni, (per quanto riguarda attività in ambito telematico).

Nell´ottica del potenziamento dell´attività di vigilanza e controllo pertanto, il 26 ottobre 2002 il Garante e la Guardia di finanza hanno siglato un protocollo d´intesa attraverso il quale è stata potenziata l´attività di collaborazione tra le due istituzioni.

Il protocollo prevede che la Guardia di finanza collabori alle attività ispettive del Garante in particolare attraverso:

• il reperimento di dati e informazioni sui soggetti da controllare;
• la partecipazione di proprio personale agli accessi alle banche dati, ispezioni, verifiche e alle altre rilevazioni nei luoghi ove si svolge il trattamento;
• l´assistenza nei rapporti con l´autorità giudiziaria;
• lo sviluppo di attività delegate o sub-delegate per l´accertamento delle violazioni di natura penale e amministrativa;
• l´esecuzione di indagini conoscitive sullo stato di attuazione della legge in determinati settori.

Il reparto competente a ricevere le richieste di collaborazione è il Comando unità speciali con sede a Roma il quale, in ragione della natura della richiesta, può procedere direttamente o interessare i reparti del Corpo territorialmente competenti.

Successivamente al perfezionamento del protocollo di intesa, nel mese di gennaio del 2003, è stata effettuata un´intensa attività di formazione del personale del Corpo destinato a svolgere in via continuativa l´attività di collaborazione (venti unità circa tra ufficiali, ispettori e sovrintendenti). La formazione ha riguardato tutti i principali campi di applicazione della legge ed è stata concepita per consentire, sin da subito, nonostante l´elevato grado di tecnicismo che caratterizza la materia della tutela dei dati personali, il più efficace impiego delle risorse nelle attività ispettive ed agevolare le sinergie informative tra il Garante ed il Corpo.

La collaborazione con la Guardia di finanza si è dimostrata immediatamente proficua sia nella fase preparatoria degli interventi più delicati, grazie alle capacità investigative proprie del Corpo, sia nella fase esecutiva con l´esecuzione, pure in un arco limitato di tempo, di 8 interventi di cui 4 in collaborazione.

Proficua è stata anche la collaborazione avviata con la Polizia postale, per quanto riguarda gli accertamenti effettuati nei confronti di titolari di trattamenti di dati personali che utilizzano Internet come dimostra la prima operazione, effettuata nel mese di luglio del 2002, in cui si è proceduto alla notifica di provvedimenti di blocco del trattamento dei dati personali contenuti nei data-base di sette società responsabili di "spamming" (pratica di inviare via e-mail informazioni pubblicitarie e commerciali indesiderate utilizzando indirizzi di posta elettronica senza il consenso degli interessati).

Assai significative sono risultate anche le collaborazioni e i flussi informativi ricevuti dall´Arma dei carabinieri.

La collaborazione con le forze di polizia, che sarà ulteriormente intensificata nel prossimo anno, ha così costituito un importante elemento di rafforzamento dell´efficacia dell´azione di tutela dei diritti dei cittadini che passa anche attraverso una più intensa attività di vigilanza e controllo.

66. La programmazione delle ispezioni e i risultati
L´attività ispettiva effettuata nel periodo di riferimento è stata pari a 40 controlli effettuati nei confronti di soggetti pubblici (9) e privati (31) ed è stata effettuata con i poteri previsti dall´art. 32, comma 2, in 5 casi e con quelli di cui al 32, comma 1, nei restanti 35 casi.

Le ispezioni hanno riguardato:

• il riscontro di segnalazioni pervenute all´Ufficio (17 controlli);
• autonomi accertamenti a seguito di ricorsi presentati al Garante sulla base dell´art. 29 della legge (12 controlli);
• il riscontro dell´avvenuto adempimento di deliberazioni del Garante in seguito a ricorsi ex art. 29 della legge (1 controllo);
• l´esecuzione di due indagini conoscitive, per verificare lo stato di attuazione della legge, con riferimento all´utilizzazione di impianti di video sorveglianza (5 controlli) e ai trattamenti di dati personali sensibili da parte dei comuni (5 controlli). Per quanto riguarda i controlli effettuati nell´ambito di queste indagini i soggetti controllati sono stati individuati tramite segnalazioni ricevute dall´Ufficio oppure, come nel caso dei comuni, con metodo casuale, attraverso un sorteggio che ha tenuto conto della collocazione geografica (comuni del centro-nord e comuni del centro-sud) e del numero di abitanti (fino a 20.000 abitanti, fino a 200.000, sopra i 200.000).

Il complesso di attività sopra descritto ha comportato l´avvio di diversi procedimenti amministrativi di controllo, alcuni dei quali ancora in corso, nei confronti dei soggetti ispezionati, con l´applicazione di numerose sanzioni amministrative, di due provvedimenti di blocco del trattamento di dati personali, nonché, in cinque casi, l´invio di segnalazioni all´autorità giudiziaria per le valutazioni in ordine alla sussistenza di violazioni costituenti reato relativamente alle ipotesi previste dall´art. 35, trattamento illecito di dati personali, dall´art. 36, omessa adozione di misure di sicurezza e dall´art. 37, inosservanza dei provvedimenti del Garante.

Tra le attività più significative realizzate si evidenzia quella che ha consentito di accertare l´illecito trattamento di dati personali effettuato da una società concessionaria del marchio relativo ai servizi di una "veggente" che adottava il sistema dell´acquisizione di dati personali attraverso la pubblicazione di coupon, privi di qualsiasi informativa e di richiesta di consenso, su giornali a grande diffusione.

L´ingente quantità di dati personali illegittimamente acquisita era stata poi oggetto di cessione all´estero nei confronti di società operanti anche al di fuori dell´Unione europea. Al riguardo il Garante oltre a disporre il blocco dei trattamenti dei dati illecitamente acquisiti, ha trasmesso copia del provvedimento anche all´omologa autorità australiana e tedesca, oltre che alla Federal trade commission degli Stati Uniti, per le iniziative di competenza nei confronti delle società cessionarie.

67. L´attività sanzionatoria del Garante
Nella precedente Relazione erano state evidenziate, per quanto attiene alla potestà sanzionatoria del Garante, le principali modifiche apportate all´impianto della normativa sulla protezione dei dati personali dal decreto legislativo del 28 dicembre 2001, n. 467 (v. Relazione 2001, p. 107).

L´attività operativa effettuata in materia di sanzioni amministrative nel corso del 2002 è stata caratterizzata da un utilizzo di tale strumento più incisivo ed esteso.

Le attività di controllo e le indagini conoscitive effettuate d´ufficio, le segnalazioni inviate dagli interessati, i riscontri effettuati nell´ambito delle procedure attinenti ai ricorsi ex art. 29 della legge, hanno portato all´applicazione di alcune decine di sanzioni amministrative (per le quali per completezza si rimanda al prospetto analitico contenuto nel paragrafo "Dati statistici" della presente Relazione) nei confronti di altrettanti titolari del trattamento.

Esaminando nel dettaglio gli articoli di legge assistiti dalla previsione di una sanzione amministrativa -e per i quali è stata predisposta la preliminare contestazione- il più ricorrente è stato sicuramente quello che riguarda l´obbligo di fornire le preventive, necessarie, idonee informazioni all´interessato (art. 10, l. n. 675/1996) in ordine al quale sono stati emessi e notificate ventotto contestazioni a seguito di procedimenti di controllo avviati nei confronti di titolari del trattamento a seguito sia di segnalazioni inviate da interessati, sia all´esito di attività ispettive o indagini conoscitive promosse d´ufficio dal Garante.

A seguire, l´inadempimento a richieste di informazioni formulate dall´Ufficio (art. 32, comma 1, della medesima legge) è stato oggetto di tredici contestazioni mentre, per quanto concerne la comunicazione di dati attinenti allo stato di salute (art. 23, comma 2, l. cit.), a seguito della conclusione di due procedimenti ex art. 29 della legge, è stato accertato un trattamento effettuato in modo difforme dalla previsione normativa e, di conseguenza, si è proceduto alla contestazione della violazione medesima.

Infine, a seguito di due procedimenti amministrativi di controllo effettuati in conseguenza di una segnalazione e di un accertamento ispettivo, in materia di videosorveglianza, sono stati redatti due verbali di contestazione per notificazione incompleta (art. 34, l. cit) essendosi accertato, all´esito della verifica presso il registro generale dei trattamenti sulla notificazione inviata all´Ufficio ai sensi dell´art. 7 della legge, che il titolare aveva omesso di indicare tra le modalità di trattamento quella realizzata per mezzo appunto di sistemi di videosorveglianza.

Più contenuto rispetto alle contestazioni è stato il numero dei provvedimenti motivati di ordinanza-ingiunzione pagamento adottati (ai sensi dell´art. 18 della legge n. 689/1981), con deliberazione dell´Autorità. Anche questo dato può essere considerato particolarmente indicativo dell´atteggiamento dei titolari che, nella stragrande maggioranza dei casi, una volta fatti oggetto di preliminare accertamento e contestazione da parte dell´Ufficio, hanno preferito avvalersi della facoltà di effettuare il pagamento in misura ridotta e conseguentemente rendere conforme alle disposizioni di legge e di regolamento il trattamento di dati personali effettuato nell´ambito delle loro attività istituzionali.

Al riguardo, in occasione di controlli amministrativi effettuati nell´ambito di proprie attività istituzionali, altri organi dello Stato (Carabinieri, Guardia di finanza e Polizia di Stato), hanno preliminarmente rilevato e provveduto a contestare ai trasgressori violazioni della normativa sulla protezione dei dati personali, inviando all´Autorità il rapporto (ai sensi dell´art. 17 della legge n. 689/1981) necessario all´adozione del provvedimento di ordinanza-ingiunzione. In ordine a ciò preme sottolineare il maggiore livello qualitativo delle attività poste in essere in materia dagli organi sopra citati, che testimonia l´attenzione e la sensibilità istituzionale posta riguardo alla normativa sulla protezione dei dati personali.

Con riguardo alle risultanze di detta attività, a prescindere dai procedimenti che sono in corso a quelli attivati nei primi mesi del 2003, si rileva che i trasgressori destinatari delle contestazioni, in oltre il settanta per cento dei casi, si sono avvalsi della facoltà di effettuare il pagamento in misura ridotta (art. 16 della legge n. 689/1981). L´ammontare delle somme pagate a titolo di contestazioni di sanzioni amministrative nell´anno 2002 è pari a € 73.336,94.

Per quanto riguarda i provvedimenti di ordinanza-ingiunzione adottati, si rileva che in un solo caso è stata proposta un´infondata impugnazione (ai sensi dell´art. 22-bis della legge n. 689/1981) innanzi ad un giudice di pace che si è all´esito dichiarato incompetente per territorio. L´Autorità, presentando memoria di costituzione ha esercitato la facoltà di stare in giudizio personalmente ai sensi dell´art. 23 della citata legge.

Per quanto attiene invece gli altri provvedimenti di ordinanza-ingiunzione, che non sono stati impugnati, si sta predisponendo quanto necessario per il recupero forzato delle somme ai sensi dell´art. 27 della legge n. 689/1981.

Attività di informazione e comunicazione

68. Profili generali
In linea con l´obiettivo di promuovere una sempre più estesa cultura del rispetto e di rendere, al contempo, quanto più trasparente l´attività svolta, l´Autorità ha mantenuto un elevato livello di produzione di informazione, fornendo a cittadini, imprese, istituzioni un costante flusso di informazioni riguardo alle tematiche sulle quali si incentra l´azione del Garante (prime fra tutte, la salvaguardia della libertà e della dignità della persona, la gestione trasparente delle banche dati, l´uso non discriminatorio delle informazioni personali, specie di quelle più delicate) e gli strumenti attuativi delle norme.

Particolare significato ha assunto l´impegno costante dell´Autorità volto alla definizione di regole e cautele per l´utilizzo sempre più diffuso delle tecnologie di sorveglianza e dei nuovi sistemi di comunicazione, sia da parte di privati cittadini, sia da parte di imprese e pubbliche amministrazioni, così come l´attenzione posta ai rischi che possono derivare per la liberà delle persone dalle indagini genetiche, dalla raccolta dei dati on line, dalla localizzazione.

La ricerca di un corretto ed equilibrato rapporto tra sicurezza collettiva e tutela della riservatezza dell´individuo, anzitutto alla luce dei cambiamenti sociali intervenuti dopo l´11 settembre, ha connotato anche nel 2002 l´azione dell´Autorità, sia in ambito nazionale, sia in sede internazionale.

Con l´obiettivo di "comunicare" la privacy, l´Autorità ha mantenuto la scelta di affidare la sua informazione ad un linguaggio rigoroso ed insieme attento ad una funzione divulgativa, teso a ricordare a pubbliche amministrazioni e mondo dell´impresa, da una parte gli obblighi imposti dalla legge n.675/1996 e, dall´altra, la necessità di considerare la privacy più una risorsa che un ostacolo allo sviluppo di un più proficuo e corretto rapporto con cittadini, utenti, consumatori.

Gli aspetti ai quali i mass media hanno dedicato più spazio sono stati quelli relativi alle violazioni della privacy in rete e nel settore delle telecomunicazioni (in particolare lo spamming) e alle tutele messe in campo dalla disciplina sulla protezione dei dati personali, ai rapporti tra diritto di cronaca e dignità delle persone, alla protezione dei minori sia on line che off-line, alla tutela dei consumatori (specie per il credito al consumo), ai test genetici, alla videosorveglianza, ai previsti codici deontologici (primo fra tutti quello per Internet).

Nel periodo dal gennaio 2002 al marzo 2003, sulla base della rassegna stampa prodotta dall´Ufficio, le pagine dedicate alle tematiche della privacy dai maggiori quotidiani e periodici nazionali sono state circa 5000, delle quali oltre 1900 (compresi quotidiani internazionali) dedicate specificamente all´attività del Garante. Le prime pagine dedicate ai temi della privacy sono state circa 750. Numerose sono state le interviste pubblicate sulla carta stampata, su tv e radio, nazionali e locali, e diverse su pubblicazioni on line.

La tipologia dei prodotti informativi è stata ampia e differenziata.

La Newsletter settimanale è al suo quarto anno di pubblicazione. Affiancando la comunicazione tradizionale, realizzata attraverso comunicati stampa, con un´informazione di tipo più ampio e approfondito, la Newsletter si è rivelata, oltre che uno strumento di comunicazione, una sorta di "archivio" di consultazione relativamente ai diversi ambiti di applicazione della legge n. 675 e ai variegati aspetti connessi con la tutela della riservatezza sui quali l´Autorità è intervenuta. La possibilità di consultare la Newsletter on-line ha facilitato la diffusione delle informazioni.

Le Newsletter diffuse tra il 1° gennaio 2002 e il 30 aprile 2003 sono state 60, mentre i comunicati stampa 46.

Nel 2002, è giunto alla sua settima edizione l´archivio digitale ipertestuale "Cittadini e Società dell´informazione", che contiene in forma integrale e nell´originale veste editoriale, la documentazione relativa all´attività del Garante, alla normativa nazionale ed internazionale di riferimento, alle pubblicazioni realizzate. Il CD-Rom, che consente una consultazione con funzioni di ricerca "full-text", è stato inviato gratuitamente in questa prima fase e rappresenta uno strumento ormai conosciuto e costantemente richiesto da parte di amministrazioni pubbliche, imprese, liberi professionisti e semplici cittadini. Le copie pubblicate sono state 8000. Le recenti edizioni presentano, oltre che una nuova impostazione grafica in linea con la corporate identity studiata appositamente per il Garante, anche miglioramenti tecnici che ne rendono ancora più funzionale l´uso e un "glossario" esplicativo delle voci principali e delle definizioni presenti nella l. n. 675/1996.

Tra le attività di comunicazione il Bollettinoche ha raggiunto il numero 28 e raccoglie i provvedimenti del Garante, la normativa emanata in materia, i comunicati stampa ed altra documentazione.

La necessità di sviluppare una quanto più diffusa conoscenza delle norme sulla privacy e dei diritti oggi riconosciuti ai cittadini, ha spinto l´Autorità a sviluppare sempre nuove modalità di informazione: oltre all´uso degli strumenti di comunicazione già realizzati -da quelle tradizionali (comunicati stampa, newsletter, conferenze stampa) a quelle multimediali ed interattive- l´Autorità ha dato vita ad un bimestrale, "Garanteprivacy.it", destinato a personalità del mondo imprenditoriale ed istituzionale, caratterizzato da una comunicazione agile ed essenziale, in grado di sottolineare l´attività dell´Autorità nei diversi settori di intervento.

Inoltre, allo scopo di contribuire in maniera fattiva all´approfondimento dei temi legati alla privacy e ai principi posti dalla normativa nazionale e comunitaria, il Garante ha deciso di dar vita ad una collana di pubblicazioni che ospiteranno contributi dedicati di volta in volta ad un argomento legato alla propria attività. Sono in preparazione già alcuni volumi, tra i quali quello dedicato ai rapporti tra diritto di cronaca e tutela della riservatezza, ed un massimario relativo ai provvedimenti adottati dal Garante nel primo quadriennio di attività.

Un´attività di massimazione è stata avviata ed esplicata, in chiave tecnico-giuridica sebbene in forma non ufficiale, per i molti provvedimenti emessi nel corso degli anni, preordinata alla formazione di una rassegna di giurisprudenza che, attraverso un´articolazione in voci e sottovoci, permetta la rapida e corretta individuazione degli argomenti trattati e delle decisioni assunte. L´opera, che arricchirà il panorama delle pubblicazioni e la cui edizione, anche su supporto informatico, è imminente, si indirizza in particolar modo ad una platea di utenti costituita da giuristi, operatori del diritto, ordini professionali, imprese, istituzioni pubbliche e private, fornendo un punto di riferimento anche per la consultazione del testo ufficiale e integrale delle decisioni.

Il rapporto diretto con la società riveste un´importanza fondamentale per l´Autorità che, fin dall´inizio della sua attività, ha inteso presentarsi come un´istituzione vicina ai cittadini, presidio dei nuovi diritti della persona, ed attenta alle nuove frontiere della protezione dei dati personali. La messa a disposizione sul sito di una notevole quantità di documentazione, con continui aggiornamenti in tempo reale, ha avuto, comunque, un parziale effetto deflattivo sul numero dei contatti telefonici giornalieri. In questo senso, il recente avvio dell´Urp ha consentito di offrire al pubblico, in collegamento con un call center, non solo un contributo di chiarificazione e supporto, ma anche di favorire ulteriormente modalità di interazione ancora più funzionali e dirette con tutti i cittadini che avranno bisogno di informazioni, strumenti illustrativi e divulgativi, così sviluppando un flusso costante di informazione verso l´esterno e consentendo, nello stesso tempo, l´acquisizione di problematiche ed esigenze provenienti dalla società civile, dal mondo delle imprese, dalla ricerca, dalle pubbliche amministrazioni.

L´impegno per una comunicazione efficace e quanto più capillare ha trovato concreta attuazione nella realizzazione della campagna di informazione istituzionale, attraverso la produzione di uno spot televisivo e radiofonico, trasmesso dalle tre reti Rai nel marzo 2003, e da altre emittenti televisivi nei mesi successivi, incentrato sul concetto di dato personale in quanto "valore" da proteggere e sul diritto attribuito al cittadino di decidere liberamente e consapevolmente la circolazione delle informazioni che lo riguardano.

Il progetto di comunicazione istituzionale, realizzato in proprio dall´Autorità, nasce dall´esigenza di realizzare una campagna di comunicazione istituzionale allo scopo di promuovere presso i cittadini la conoscenza dei nuovi diritti riconosciuti dalla normativa sulla privacy. Questo obiettivo rientra specificamente tra i compiti affidati al Garante dalla stessa l. n. 675/1996. La scelta del mezzo televisivo, in particolare, accoglie l´indicazione fornita da un´indagine, a suo tempo svolta dal Garante in collaborazione con una società specializzata, dalla quale era emerso che il grande pubblico privilegia nell´approccio alle problematiche della privacy il mezzo televisivo.

L´iniziativa pone le sue basi su una duplice esigenza: a) raggiungere, senza mediazione giornalistica e con un messaggio diretto, semplice ed incisivo, l´opinione pubblica; b) rendere chiare le novità, in termini di diritti e crescita sociale, della legge sulla protezione dei dati personali.

69. Seminari, convegni ed altre iniziative
L´attività dell´Autorità collegata ai seminari, convegni e altre iniziative ha visto, nel corso del 2002 e nei primi mesi del 2003, una serie di importanti occasioni di confronto e approfondimento. In linea con l´obiettivo di promuovere la conoscenza della legge e di diffonderla presso cittadini ed operatori pubblici e privati, il Garante ha confermato la sua presenza in importanti manifestazioni con il proprio stand e con la partecipazione dei rappresentanti a dibattiti e convegni.

Il Forum P.A. edizione 2002, svoltosi a Roma dal 6 al 10 maggio, ha visto la partecipazione del vicepresidente Giuseppe Santaniello al convegno su "Lo sviluppo della società dell´informazione in Italia" e del Segretario generale, Giovanni Buttarelli, a quello dedicato a sicurezza e tutela della privacy. Lo stesso Buttarelli ha tenuto un corso di formazione per amministratori pubblici dedicato a protezione dei dati personali e pubblica amministrazione.

L´Autorità è stata anche presente al Com-P.A., Salone della comunicazione pubblica, svoltosi a Bologna dal 18 al 20 settembre 2002. Gaetano Rasi ha preso parte al dibattito su "E-government: la nuova frontiera della P.A.", mentre Mauro Paissan è intervenuto al convegno su "Innovazione tecnologia e innovazione culturale nei new media:verso la e-society". Giovanni Buttarelli ha preso parte alla tavola rotonda su "Carta di identità elettronica e firma digitale: dalla sperimentazione ai servizi".

Il Com–P.A. 2002 ha offerto l´occasione per illustrare l´attività del Garante ed il suo ruolo nella realizzazione dell´e-society. Ha permesso, inoltre, di fare il punto sullo stato di attuazione della legge sulla protezione dei dati personali dopo introduzione del decreto legislativo 467/2001 e di affrontare alcune tematiche legate ai settori delle telecomunicazioni e di Internet a pochi mesi dall´entrata in vigore, il 31 luglio, della nuova direttiva 2002/58/CE sulla privacy nelle comunicazioni elettroniche.

Da sottolineare che al Garante per la protezione dei dati personali è stato assegnato dalla giuria del premio Diritto all´informazione, il Premio Qualità Com–P.A. 2002 "per gli interventi di promozione e diffusione del valore privacy". Il riconoscimento viene assegnato alle amministrazioni e alle aziende che nell´ambito del Salone di Bologna si distinguono per progetti e presentazioni di qualità nel campo dell´innovazione e della comunicazione pubblica. La cerimonia di premiazione si è svolta venerdì 20 settembre a conclusione dell´evento.

Nell´ambito di Smau 2002, svoltosi a Milano dal 24 al 28 ottobre, Mauro Paissan ha partecipato al convegno su "Internet e il cittadino". La partecipazione a Smau ha consentito di affrontare le problematiche connesse alla protezione dei dati personali e ai nuovi diritti nella e-society.

Per quanto riguarda l´attività internazionale, va ricordata innanzitutto la partecipazione alla Conferenza di primavera delle Autorità europee per la privacy, svoltasi a Bonn il 25 e 26 aprile (v. par. 89). Per il Garante italiano erano presenti il presidente Stefano Rodotà, i componenti Gaetano Rasi e Mauro Paissan e il segretario generale Giovanni Buttarelli. La sessione d´apertura è stata dedicata alle conseguenze dei tragici eventi dell´11 settembre 2001: nuove norme sulla sicurezza e diritti dei cittadini alla protezione dei dati personali, un rapporto delicato. Altri temi trattati, le procedure di identificazione biometrica, la collaborazione con i paesi dell´Est: i programmi di informatizzazione della pubblica amministrazione, i processi di certificazione della politica della privacy di imprese e altri soggetti.

Sempre ad aprile si è svolta a S.Francisco la XII Conferenza internazionale su "Computers, Freedom & Privacy". La CFP Conference rappresenta da tempo un appuntamento importante per la comunità degli studiosi e degli operatori della privacy di tutto il mondo. Per l´Autorità italiana ha partecipato quest´anno alla CFP Conference Gaetano Rasi. Riallacciandosi ai temi riguardanti i nuovi diritti e le nuove libertà nella rete, il ruolo dei consumatori, lo sviluppo del commercio elettronico, e il ritardo da parte di imprese e organizzazioni in generale nel costruire programmi di protezione dei dati personali, Rasi ha affermato come la privacy si caratterizza sempre di più come criterio di qualità per le imprese.

Dal 9 all´11 settembre del 2002 l´Autorità ha partecipato alla XXIV Conferenza internazionale delle Autorità garanti, svoltasi a Cardiff con oltre 25 Paesi provenienti dai diversi continenti per discutere su temi cruciali quali l´uso delle nuove tecnologie, l´e-government le misure per bilanciare la sicurezza sociale e privacy. Aprendo la sessione finale, Rodotà ha posto l´accento sul ruolo imprescindibile svolto dalle autorità indipendenti nell´assicurare la tutela dei diritti fondamentali in una realtà dominata dai rischi derivanti dal massiccio uso delle tecnologie dell´informazione e della comunicazione e dalla costruzione di grandi banche dati. L´Autorità era rappresentata dal presidente Stefano Rodotà, dai componenti Gaetano Rasi e Mauro Paissan e dal segretario generale, Giovanni Buttarelli.

Il vice presidente dell´Autorità, Giuseppe Santaniello, ha tenuto il 7 ottobre all´Istituto italiano di cultura di Berlino una conferenza dedicata al sistema di garanzie a tutela della privacy introdotto nel nostro Paese dalla legge n. 675 del 1996. L´iniziativa si inserisce nel ciclo di conferenze sulla tutela della riservatezza dei dati personali presso i più importanti istituti di cultura italiani all´estero (la precedente conferenza si era svolta a Madrid) e rientra nei compiti di promozione della conoscenza, presso i cittadini, delle norme sulla privacy che il Garante è chiamato a svolgere, ma che assume, come in questo caso, un particolare rilievo per i suoi aspetti culturali e sociali.

Nel marzo 2002, Stefano Rodotà ha guidato una delegazione formata da rappresentanti delle autorità di protezione dati europee in visita ufficiale a Washington. Scopo della visita era quello di favorire la cooperazione fra USA ed Europa anche alla luce dell´accordo di Safe Harbor ("porto sicuro"), raggiunto nel 2000, e di raccogliere informazioni e spunti per l´attività futura del Gruppo che riunisce tutte le autorità per la protezione dei dati personali nell´Ue ed è presieduto dallo stesso Rodotà. Della delegazione italiana hanno fatto parte anche il componente dell´Autorità, Mauro Paissan, e il segretario generale, Giovanni Buttarelli.

Tra i diversi convegni nazionali ai quali l´Autorità ha preso parte vanno ricordati il convegno su "Etica in Internet" (Roma, 28 febbraio 2003, al quale ha partecipato il Presidente Stefano Rodotà; il convegno organizzato dal Ministro dell´innovazione e le tecnologie "Chi ha paura della rete? Per un uso consapevole di Internet" (Roma, 29 maggio 2002) al quale ha partecipato Gaetano Rasi; il convegno organizzato dalla Federazione Nazionale della Stampa (Gubbio, 18 al 20 ottobre 2002), dedicato a "Il riassetto del sistema radiotelevisivo italiano. Pluralismo, concorrenza, incroci editoriali. Quale garanzia per l´informazione?", al quale ha partecipato Mauro Paissan.

Nel quadro dell´attenzione rivolta al mondo dei media, il Garante ha organizzato il 30 ottobre un incontro con tutti direttori della maggiori testate nazionali, della carta stampata della radio e delle televisioni, allo scopo di un confronto costruttivo sulle esigenze di rispetto delle persone poste al mondo dell´informazione dalle norme sulla tutela della riservatezza.

Il 5 e 6 dicembre 2002 si è tenuta, poi, a Roma, organizzata dal Garante, la Conferenza internazionale "Privacy, Cost to Resource – Privacy, da costo a risorsa". La Conferenza ha rappresentato un´occasione di proficuo confronto relativamente all´impatto che le norme sulla privacy hanno avuto sul mondo delle imprese. Oltre 40 relazioni e più di 200 partecipanti (fra i quali molti esponenti del mondo imprenditoriale) hanno esaminato le opportunità che la tutela della privacy offre al settore economico. La Conferenza ha sottolineato che la protezione dei dati personali costituisce la chiave di volta per coniugare rispetto di diritti fondamentali e sviluppo economico attraverso un rapporto corretto fra imprese e cittadini.

70. Il nuovo sito Internet dell´Autorità
Il 24 marzo 2003 è stato messo on line il nuovo sito dell´Autorità all´indirizzo www.garanteprivacy.it o www.dataprotection.org. La precedente versione, essendo in corso il trasferimento della base dati documentale, è ancora consultabile all´indirizzo www2.garanteprivacy.it.

La presentazione del sito è coincisa con la messa in onda della prima campagna informativa istituzionale del Garante: lo spot televisivo e radiofonico "la nostra firma, non è una firmetta!".

La filosofia progettuale del sito si fonda sulla radicale modifica dell´attuale modalità di navigazione e si caratterizza per la presenza di un diverso motore di ricerca e per i criteri di usabilità (anche in modalità "solo testo", con browser diversi anche non recenti e multi-piattaforma), non utilizzando immagini in movimento e frame­.

L´uso di tali accorgimenti rende fruibili le informazioni del sito agli utenti ipovedenti e non vedenti.

Sino a ieri i provvedimenti erano suddivisi per tipologia di atto; oggi, grazie ad una più ampia marcatura tecnico-giuridica del documento ed all´adozione di uno schema di classificazione per materia, la navigazione "a vista" è intuitiva ed efficace. I provvedimenti sono presentati in ordine cronologico e visualizzati in una nuova finestra, accompagnati dalla consueta massima giornalistica, dal collegamento ipertestuale con documenti correlati, dall´indicazione bibliografica di pubblicazione nel Bollettino e dall´eventuale richiamo al comunicato stampa o Newsletter.

Il reperimento dei documenti è affidato ad una funzione di "ricerca semplice" per parole in modalità full text, attivabile direttamente dalla Home Page, mentre la ricerca avanzata presenta una maschera articolata che consente la ricerca attraverso l´incrocio di più canali che disegnano le caratteristiche specifiche della base dati: full text in and/or/not –anche circoscritta al solo titolo o alla massima–, per estremi di pubblicazione, secondo lo schema di classificazione per materia, per tipologia di atto, per range di data, oppure per numero di documento (ID).

Un´altra importante novità è rappresentata dall´assegnazione a ciascun documento di un ID numerico, univoco e permanente che ne renderà più agevole il reperimento e consentirà una piena adesione al progetto NormeinRete (www.normeinrete.it), punto di accesso unitario alla normativa italiana ed europea pubblicata nei siti web istituzionali.

Le funzionalità del motore di ricerca sono esaltate dalla presenza del Thesaurus giuridico che –sempre attivo nei canali full text– valuterà il testo inserito dall´utente secondo la catena sintagmatica e la relazione logica tra le parole (sinonimi, termini collegati ecc.), proponendo come risultato della ricerca tutti i provvedimenti collegati (ad esempio, digitando la parola "telefonino" si possono ottenere le informazioni in tema di Sms (Short message service) e Mms (Multimedia messaging service). La costruzione ed implementazione del Thesaurus, sarà curata giorno per giorno dalla redazione del sito seguendo l´evoluzione linguistica, dei costumi, della tecnologia, della tecnica di normazione, mantenendo costante il rigore tecnico-giuridico proprio della base documentale.

Tra i principali servizi che sono già disponibili nel nuovo sito, spicca la possibilità di utilizzare un protocollo di transazione sicura con carta di credito. Il Garante, prima amministrazione ad aver sottoscritto tale accordo, attiverà fra breve la riscossione dei diritti di segreteria per ricorsi e notificazioni e l´iscrizione a congressi o convegni.

Le altre novità del nuovo progetto sono la costruzione di una specifica area "Pubblicazioni" dove troveranno posto anche contributi giuridico-divulgativi in formato audio/video sulle principali tematiche affrontate dal Garante, distribuiti attraverso uno specifico video server; il servizio di inoltro della Newsletter settimanale via e-mail che consentirà una tempestiva informazione sulle attività e decisione dell´Autorità.

Di particolare rilievo è la pagina relativa alla "Privacy policy" del sito (ID=36573), in cui si rende l´informativa generale sulle modalità, logica e finalità del trattamento dei dati di navigazione, dei dati conferiti volontariamente dagli utenti, specificando e sulle modalità di uso dei "cookies". Specifiche informative vengono, poi, rese in ogni pagina di avvio dei distinti servizi o "form" di registrazione.

L´infrastruttura tecnologica sottostante al sito è altresì utilizzata come Intranet aziendale. La piattaforma di amministrazione è il punto di gestione di varie basi di dati strutturate. Ogni dipartimento/servizio, attraverso un sofisticato sistema di privilegi di accesso e l´applicazione di specifici workflow, può contribuire direttamente al "popolamento" di tali banche dati inserendo i contenuti attraverso una semplice interfaccia web oriented, ovvero rendendo disponibili i files grazie ad una veloce ed efficiente rete locale.

La redazione del sito -che verrà a breve potenziata- cura l´intero ciclo di lavorazione tecnico-giuridica sino alla messa on line nell´Intranet aziendale e alla pubblicazione nel sito Internet; provvede inoltre ad allestire le pubblicazioni istituzionali dell´Ufficio licenziando la versione tipografica del Bollettino e delle relazioni annuali.

La gestione amministrativa dell´Ufficio

71. I regolamenti del Garante e la nuova organizzazione dell´Ufficio

L´attuazione del disegno organizzativo delineato dal regolamento n. 1/2000 sul funzionamento e l´organizzazione dell´Ufficio del Garante ha permesso una più efficiente ed efficace azione istituzionale ed il raggiungimento di positivi risultati. Il processo di consolidamento della struttura organizzativa dell´Autorità, avviato negli anni precedenti, è proseguito nel 2002 con il miglioramento delle condizioni di operatività delle unità organizzative di primo livello (dipartimenti e servizi) e la progressiva assegnazione ad esse delle risorse umane che via via si sono rese disponibili all´esito delle diverse procedure concorsuali e selettive indette dall´Autorità.

Parallelamente a tale processo è emersa l´esigenza di una riflessione finalizzata al potenziamento della struttura organizzativa dell´Ufficio, che ha tratto spunto anche dai documentati studi di due società di consulenza le quali hanno offerto un valido contributo conoscitivo oggetto di attenta analisi da parte dell´Autorità.

Ha preso così forma un disegno di consolidamento che, sulla base dell´esperienza maturata in sede di prima applicazione del regolamento n. 1/2000, ridelinea in termini innovativi alcuni aspetti dell´organizzazione dell´Ufficio del Garante, anche in vista dei nuovi compiti demandati all´Autorità dal d.lg. n. 467/2001.

Il progetto di reengineering si articola in due interventi: a) completamento di un ampio processo di ricognizione e di delega di funzioni e poteri amministrativi ai dirigenti in servizio e definizione delle rispettive sfere di autonomia e responsabilità, anche sulla base di una direttiva del segretario generale per la gestione amministrativa e contabile intesa ad indirizzare ed uniformare i comportamenti amministrativi; ciò in conformità alle disposizioni regolamentari contenute nei regolamenti n. 1/2000 (concernente il funzionamento e l´organizzazione) e n. 3/2000 (sull´amministrazione e la contabilità); b) individuazione di un nucleo funzionale di coordinamento amministrativo presso la segreteria generale al quale saranno assegnate due nuove figure dirigenziali ("direttore di gestione" e "direttore del supporto") cui saranno delegati compiti di coordinamento di individuati settori di attività e l´attuazione di progetti di particolare interesse per l´Autorità.

Con tali limitati, ma significativi interventi organizzativi l´Autorità si propone di sperimentare una più equilibrata articolazione e distribuzione delle competenze operative e decisionali e un più incisivo coordinamento, lasciando inalterata la peculiarità di un modulo organizzativo caratterizzato da elevata flessibilità, come evidenziato nella Relazione 2001.

L´attuazione delle scelte organizzative prima illustrate è in via di completamento. In particolare sono stati conferiti i previsti poteri decisionali alle unità organizzative esistenti ed è stata definita la menzionata direttiva sull´amministrazione e la gestione delle spese; si è inoltre conclusa la selezione pubblica (indetta con avviso pubblico pubblicato sulla G.U. – 4a serie speciale – n. 91 del 19 novembre 2002) per il reclutamento del direttore di gestione con l´individuazione del candidato a tale incarico.

L´individuazione della figura di direttore del supporto all´attività giuridica è stata, invece, preceduta da un interpello dei dirigenti in servizio presso l´Ufficio e le relative procedure sono in corso di svolgimento.

Nel quadro delle iniziative per migliorare efficienza, efficacia ed economicità dell´azione amministrativa, contestualmente all´approvazione del bilancio di previsione il Garante ha definito, avvalendosi dei contributi delle unità organizzative, i principali obiettivi e risultati che esse saranno chiamate a realizzare, i progetti di miglioramento e le priorità per il 2003, in conformità alle disposizioni regolamentari.

La direttiva del Garante è seguita da ulteriori atti di indirizzo del segretario generale per specificare tempi e modalità di attuazione dei programmi di lavoro di ciascun dipartimento e servizio.

Per un efficace monitoraggio del raggiungimento dei risultati e per la definizione di parametri di valutazione e di indicatori per la verifica dei risultati dell´attività dell´Ufficio, oltre che per un controllo di regolarità della gestione contabile, è stato istituito un servizio di controllo interno del quale sono stati chiamati a farne parte un magistrato contabile e due dirigenti di provata esperienza e competenza.

È stato inoltre rafforzato, mediante l´assegnazione di nuovo e qualificato personale, l´ufficio relazioni con il pubblico (Urp) ed è stato potenziato il servizio di centralino, dando avvio nel contempo ad una sperimentazione per la creazione di un call center che, nel rispetto di rigorose misure di riservatezza, fornisca un più efficiente servizio di accoglienza e prima informazione agli utenti.

72. Il bilancio, gli impegni di spesa e l´attività contrattuale
Il bilancio di previsione del 2002, come quello del 2001, è stato elaborato secondo le direttive del regolamento del Garante n. 3/2000, concernente la gestione amministrativa e la contabilità. Esso è riferito al sesto anno di attività dell´Autorità ed è stato elaborato sulla base delle esigenze funzionali delle unità organizzative (dipartimenti e servizi) e degli obiettivi e dei programmi definiti dal Garante.

Il bilancio di previsione del 2002 è stato predisposto tenendo conto anche dei maggiori oneri derivanti da nuove immissioni di personale con diverse tipologie lavorative (fuori ruolo, contratto di specializzazione a tempo determinato, stage), delle più generali esigenze di rafforzamento dell´Ufficio, nonché delle spese derivanti dall´organizzazione della conferenza internazionale su: "Privacy: da costo a risorsa", tenutasi nella sala conferenze presso la sede dell´Autorità il 5 e 6 dicembre 2002.

Il 23 dicembre 2002 si sono conclusi i concorsi pubblici a complessivi ventuno posti di varie qualifiche banditi dall´Autorità e la selezione, bandita nell´agosto del 2002, per il reclutamento di quattro giovani laureati con contratto di specializzazione a tempo determinato.

L´intensa attività del 2002 trova riscontro nelle spese liquidate e pagate -sia in conto competenza, sia in conto residui- che si sono mantenute superiori a b 11.500.000,00 in linea con il precedente esercizio, e soprattutto nelle spese per il personale, comprese le indennità spettanti ai componenti il collegio, che sono passate da b 6.068.500,00 a € 6.674.500,00.

Le risorse a disposizione del Garante per il 2002 sono state pari a € 12.187.000,00, provenienti dal contributo dello Stato per € 10.849.996,00. Le restanti risorse finanziarie accertate e riscosse dall´Autorità si riferiscono ai diritti di segreteria per le notificazioni, per i ricorsi e le autorizzazioni, ai rimborsi spese provenienti dal Consiglio d´Europa e dalle istituzioni comunitarie per la partecipazioni di rappresentanti del Garante a riunioni da esse indette, agli interessi maturati sui fondi relativi agli avanzi pregressi, alle entrate derivanti dalla sublocazione di parte dei locali della sede dell´Autorità, alle quote di iscrizione alla suddetta conferenza internazionale.

Da segnalare che il contributo dello Stato per il 2002 è stato ridotto rispetto al 2001 di oltre € 500.000.  Inoltre, a fine anno, in attuazione delle disposizioni del d.m. 29 novembre 2002 (con il quale il Ministro dell´economia e delle finanze ha disposto la riduzione del 15 per cento delle spese di funzionamento per acquisti di beni e servizi degli enti ed organismi pubblici non territoriali), il Garante, pur ritenendo di non essere destinatario della citata norma, con apposita delibera ha apportato una riduzione degli stanziamenti del 2002 per le spese di funzionamento per € 125.400,00, in considerazione degli obiettivi di contenimento della spesa pubblica.

Tali riduzioni comporteranno un ridimensionamento dei programmi di attività del 2003, tenuto conto dell´esiguità dell´avanzo di amministrazione e dell´ulteriore riduzione del contributo dello Stato, fissato in € 10.252.000,00. Di contro, le spese lieviteranno per effetto della immissione in servizio dei nuovi assunti, sia per gli oneri retributivi, sia per le spese di funzionamento connesse alla maggiore attività dell´ufficio.

La spesa per il personale, contenuta nel 2002 al di sotto del 60 per cento delle risorse disponibili, nel 2003 si avvicinerà al 70 per cento comprimendo le risorse disponibili.

Nel documento programmatico del 2002 era indicato come prioritario il potenziamento delle strutture informatiche. Nel corso dell´anno per il raggiungimento di tale obiettivo sono state impegnate risorse per oltre € 1.100.000,00 (di cui € 800.000,00 per contratti conclusi con la liquidazione e il pagamento ai fornitori, e € 300.000,00 per obbligazioni contrattuali giuridicamente perfezionate, che risultano impegnati sui fondi di competenza dell´esercizio 2002). Parte delle risorse per l´informatizzazione dell´Ufficio sono state finalizzate a dotare la biblioteca del Garante della tecnologia indispensabile per la gestione della stessa da parte del personale addetto e per la migliore fruizione da parte degli studiosi che vi accederanno. Inoltre la biblioteca è stata arricchita, nel corso del 2002, di acquisizioni librarie per oltre € 106.000,00.

L´Autorità si è avvalsa delle convenzioni stipulate dalla CONSIP s.p.a., con risultati soddisfacenti e con sensibili risparmi, per l´acquisto di beni di facile consumo, computer anche portatili, nonché per la locazione di fotocopiatrici e computer.

La fornitura di beni e servizi occorrenti per realizzare gli ambiziosi obiettivi posti dal documento programmatico e per assicurare il funzionamento dell´Autorità ha comportato una intensa attività contrattuale concretizzatasi in circa 40 procedure.

L´importo complessivo dei contratti stipulati ammonta a circa € 2.500.000,00, la maggior parte dei quali destinati al potenziamento delle strutture tecnologiche.

L´Autorità ha infatti dato priorità al progetto di sviluppo del sistema informativo dell´Autorità previa l´acquisizione, anche tramite la convenzione CONSIP, di ulteriori sistemi server e postazioni di lavoro.

Sono stati acquisiti alcuni software, tra i quali quello per la di gestione della biblioteca idoneo a consentire anche il collegamento alla rete sbm (sistema bibliotecario nazionale), ed è stata affidata ad una società specializzata la realizzazione di un sistema amministrativo-contabile finalizzato alla gestione automatizzata del bilancio, del relativo software di base e dei servizi di setup, installazione, manutenzione ed assistenza. Sono stati, altresì, attivati appositi corsi di istruzione sull´utilizzo dei nuovi strumenti per i funzionari dei dipartimenti interessati alle innovazioni.

Su richiesta del dipartimento risorse tecnologiche e della redazione del sito web sono state avviate, in conseguenza dell´accresciuta utilizzazione del sito web del Garante, le procedure per il suo potenziamento tramite l´aggiornamento software, l´espansione del server, la migliore organizzazione del data-base, l´innovazione della parte grafica e del sistema di ricerca ipertestuale.

La sala delle conferenze è stata dotata di un moderno impianto audio ed è stata implementata la rete per i servizi di videoconferenza; sono state avviate le procedure negoziali per dotare il dipartimento registro generale dei trattamenti, nel quadro delle iniziative tese ad automatizzare le lavorazioni e rendere più veloce l´accesso alle notificazioni da parte degli utenti, del servizio di scansione ottica delle notificazioni (circa 5.000.000 di fogli) e di memorizzazione dei file contenuti nei floppy disk (circa 64.000). Il bando di gara della licitazione privata (ai sensi del d.lg. 17 marzo 1995, n. 157, come modificato dal d.lg. 25 febbraio 2000, n. 65), con importo a base d´asta di € 270.000 i.v.a. esclusa, è stato pubblicato sulla G.U.C.E. n. S231 del 28 novembre 2002 e sulla G.U.R.I. n. 280 del 29 novembre 2002.

L´attività contrattuale relativa al servizio relazioni con i mezzi d´informazione ha riguardato l´affidamento della realizzazione di uno spot pubblicitario radio-televisivo –in onda sulla reti pubbliche dal 24 marzo 2003- e la stipula di un accordo con una delle maggiori agenzie di stampa italiane per la produzione e la trasmissione di servizi radiofonici e televisivi informativi sull´attività del Garante.

Tra le attività contrattuali ulteriori si può citare quella che ha riguardato l´allestimento di uno stand fieristico e dei relativi servizi presso il Forum.P.A. di Roma, il Com-P.A. di Bologna e lo Smau di Milano. Sono stati, inoltre, curati gli atti amministrativi per la realizzazione di una nuova iniziativa editoriale curata dal servizio relazioni con i mezzi d´informazione: la pubblicazione bimestrale "Garanteprivacy.it".

73. Lo sviluppo del sistema informativo
Nel 2002 è proseguita l´attività di sviluppo avviata nel 2001, caratterizzata dall´implementazione delle principali procedure componenti il sistema informativo dell´Autorità, sulla base dell´infrastruttura di supporto tecnologico realizzata lo scorso anno.

Tra i progetti più significativi portati a compimento e messi in produzione si citano qui di seguito i principali componenti del sistema informativo e alcune realizzazioni sistemistiche:

• sistema informatico amministrativo-contabile: il sistema, sviluppato sulla base di un´attenta analisi delle esigenze dell´Ufficio, in collaborazione con il dipartimento di amministrazione e contabilità, è basato su un avanzato software di gestione delle risorse (Oracle E-Business Suite) che, opportunamente configurato, consentirà al personale del dipartimento di amministrazione e contabilità il controllo dei capitoli di spesa e delle funzioni, e permetterà ai dirigenti dell´Ufficio l´accesso alle posizioni di propria competenza. L´accesso alle funzionalità del sistema avviene, previa autenticazione, tramite un comune browser, rendendo interscambiabili le postazioni di lavoro;
• sistema di gestione del contenzioso amministrativo: è un´applicazione web-oriented sviluppata interamente nell´ambito del dipartimento risorse tecnologiche, programmata in linguaggio PHP in ambiente Linux e basata su un database relazionale di tipo MySQL. Offre funzionalità di creazione, di consultazione, di aggiornamento, di generazione di rapporti, di ricerca e di statistica relative alle pratiche di contenzioso amministrativo;
• sistema di consultazione web del registro generale dei trattamenti: è costituito da una serie di pagine html con codice programmativo PHP che consentono di interrogare la base di dati del registro generale dei trattamenti, connettendosi al database Oracle che la ospita. La consultazione avviene al momento in modalità Intranet, ma il sistema è predisposto per la consultazione da parte di utenti esterni tramite Internet;
• sistema di notificazione on line del trattamento dei dati personali: è sviluppato come evoluzione del sistema di consultazione precedentemente descritto, di cui condivide gli strumenti programmativi, e consente ai titolari di trattamenti di dati personali di effettuare la compilazione on line della notificazione al Garante, evitando il ricorso al supporto magnetico, il cui uso negli anni passati ha causato inconvenienti dovuti alla sua fragilità magnetica e alla frequente perdita di dati. Con il nuovo sistema, sviluppato in collaborazione con il dipartimento registro generale dei trattamenti, viene superata la complessa ed onerosa fase di data entry manuale basato sulla documentazione cartacea e sui floppy-disk, avvicinando così ulteriormente l´Autorità ai cittadini;
• nuovo sito web ufficiale del Garante: di particolare rilievo lo sviluppo del nuovo sito web dell´Autorità, che consente una più efficiente gestione dei contenuti e facilita il processo redazionale, permettendo la gestione coordinata e partecipativa del processo di pubblicazione. Il dipartimento risorse tecnologiche ha curato gli aspetti sistemistici del progetto e la sua implementazione nelle varie fasi, effettuata utilizzando il sistema Oracle Internet Application Server in ambiente operativo Linux. Tali componenti software di base e l´architettura sistemistica prescelta garantiscono una buona tolleranza ai guasti e un notevole livello di continuità del servizio, con notevole incremento delle prestazioni effettive e di quelle percepite dai visitatori, pur con un modesto investimento iniziale sull´hardware. Oltre agli aspetti tecnici sistemistici, sono state privilegiate le caratteristiche di usabilità del sito, con capacità di presentare i contenuti su tre diversi livelli di dettaglio grafico (alta risoluzione, alta leggibilità, solo testo) e con il supporto per la consultazione da parte dei non vedenti. Lo sviluppo del sito è stato condotto in collaborazione con la redazione del sito, che ha partecipato all´analisi delle esigenze, alla formulazione delle specifiche funzionali e ha seguito la fase di realizzazione;
• sistema di videoconferenza in rete: è stato realizzato un impianto professionale per videoconferenza che consente l´interazione tra postazioni di sala, postazioni individuali e interlocutori esterni. I collegamenti possono avvenire secondo gli standard ITU H.320 (tramite linee ISDN dedicate) o ITU H.323 (tramite protocolli IP). L´impianto consente di effettuare connessioni punto-punto e multipunto, con un sofisticato sistema di regia integrato. Gli stessi apparati consentono al personale dell´Ufficio di approntare postazioni esterne di videoconferenza per venire incontro alle esigenze di collegamenti esterni;
• sistema di unified messaging integrato con funzioni di call center: è stato introdotto, nell´ambito del nuovo servizio di gestione delle chiamate entranti, un sistema di unified messaging che consente il trattamento uniforme dei messaggi vocali (segreteria telefonica), dei fax in entrata e uscita, degli sms e della posta elettronica. Il sistema consente di centralizzare i flussi di comunicazione, garantendo una migliore efficienza ed economia. Inoltre, l´uso della posta elettronica come strumento di unificazione consente di pervenire a un notevole risparmio nei costi telefonici e aumenta considerevolmente l´efficienza del lavoro, laddove sia necessario mantenere, anche da postazioni remote, il contatto informativo con l´Ufficio;
• sistema di protezione della rete e di rilevamento di intrusioni: sono stati introdotti a protezione della rete dei sistemi firewall aggiuntivi a tecnologia diversa da quelli precedentemente installati. È stato inoltre installato nella rete un sistema avanzato di rilevamento di intrusioni, nell´ambito di un più generale intervento volto ad accrescere l´affidabilità dell´infrastruttura LAN interna.

Tra le altre attività svolte, va ricordato il complemento della migrazione verso la piattaforma Oracle dei principali sistemi di database precedentemente utilizzanti diverse tecnologie, nonché l´ampliamento della dotazione informatica con l´introduzione di nuovi server Windows e Linux, l´espansione dei server Sun Solaris utilizzati per applicazioni gestionali e l´incremento delle postazioni di lavoro individuali per far fronte alla crescita numerica del personale in servizio.

È stato inoltre sviluppato, il sito web del convegno "Privacy: from cost to resource", tenutosi nel dicembre dello scorso anno, con il contributo grafico dei consulenti dell´Ufficio e la collaborazione della redazione del sito.

Tra i numerosi progetti in corso, si evidenzia quello riguardante l´acquisizione del nuovo sistema di gestione del protocollo, a tecnologia web, con funzioni di firma digitale, di protocollo federato, di protocollazione automatica della posta elettronica con segnature conformi alle normative italiane e comunitarie, di archiviazione ottica, di instradamento della corrispondenza

È stata, inoltre, progettata un´infrastruttura di storage area network a tecnologia fiber channel, che integrerà un moderno sistema di gestione condivisa di file systems multi standard dinamicamente ridimensionabili e allocabili alle diverse piattaforme in dotazione e un sistema robotizzato di gestione dei backup su supporto magnetico. La tecnologia fiber channel, unita alla disponibilità in Ufficio di una moderna rete di cablaggio strutturato con tratte dorsali in fibra ottica multimodale, consentirà di installare le unità di backup in posizioni remote rispetto al locale tecnico informatico, aumentando le capacità di sopravvivenza in caso di disastro.

È stato progettato, ed è in corso di realizzazione, il sistema di gestione delle risorse umane, che integrerà funzionalità di rilevamento presenze, di gestione delle missioni del personale, di controllo degli accessi. Il sistema si avvale della rete locale per l´interconnessione delle unità di lettura, dei concentratori e dei sistemi server e delle postazioni di controllo.

È stato perfezionato il sistema di gestione delle rassegne stampa, dotato di interfaccia web e con avanzate funzioni di indicizzazione e di ricerca, che consente una più efficiente selezione delle notizie e degli articoli e la produzione dei ritagli elettronici.

È stato ulteriormente sviluppato, con l´attivazione di nuove funzionalità, il sistema software Sebina per la gestione bibliotecaria, che consente la gestione del catalogo da parte del personale bibliotecario, la consultazione sul web dell´OPAC, la generazione di rapporti e ricerche bibliografiche.

È stato altresì delineato il sistema di management integrato Unicenter TNG, che consente al personale tecnico del Dipartimento risorse tecnologiche di effettuare il monitoraggio degli apparati di rete, dei server e dei personal computer.

È stato progettato un autonomous system IP che consentirà la gestione paritaria di flussi di traffico Internet senza dipendenza da un particolare provider. Il progetto prevede una fase di formazione, una di acquisizione delle tecnologie necessarie e di contemporanea gestione delle procedure tecniche di assegnazione e di registrazione dell´AS presso gli enti europei di coordinamento. La transizione verso un autonomous systems della rete IP del Garante consentirà di stipulare contratti indipendenti con diversi provider Internet, allo scopo di accrescere l´affidabilità dei servizi extranet dell´Ufficio, di assicurare ancora migliori prestazioni alla rete, e consentirà di utilizzare indirizzi di rete IP indipendenti dal provider, facendo venir meno la dipendenza tecnica da un solo provider introdotta dall´assenza del concetto di number portability ormai consolidato nell´ambito delle reti telefoniche.

74. Il personale e i collaboratori esterni
Il 2002 si è caratterizzato per una intensa attività finalizzata al rafforzamento dell´organico dell´Autorità.

Sono stati, infatti, espletati i quattro concorsi pubblici per titoli ed esami (pubblicati nella G.U. -4a serie speciale- n. 47 del 15 giugno 2001) banditi dal Garante per la copertura di complessivi 21 posti, di cui n. 2 per dirigente, n. 1 per dirigente informatico, n. 10 per funzionario e n. 8 per impiegato operativo.

Le commissioni esaminatrici, ciascuna presieduta da un magistrato amministrativo designato dal Consiglio di presidenza della giustizia amministrativa, composte da tre docenti universitari e dal segretario generale del Garante, si sono insediate nel mese di ottobre 2002 (ad eccezione di quella del concorso per funzionario insediatasi nel mese di settembre).

I lavori, nonostante la complessità delle procedure e la difficoltà della valutazione prevista dai bandi di concorso, si sono conclusi in appena due mesi.

Il 30 dicembre sono stati sottoscritti i contratti individuali di lavoro con i vincitori di concorso i quali il 15 gennaio 2003 sono stati immessi in servizio presso l´Autorità. I posti complessivamente assegnati sono stati 19, due in meno rispetto a quelli banditi.

I concorsi si sono svolti con la massima regolarità ed i candidati, considerate la difficoltà delle prove e la severità della valutazione, sono stati sottoposti ad una rigorosa selezione. Si può, quindi, affermare che i concorsi espletati dal Garante costituiscono una concreta attuazione dei principi di imparzialità, celerità ed economicità delle procedure concorsuali previsti dall´art. 35 del d.lg. n. 165/2001 ("Norme generali sull´ordinamento del lavoro alle dipendenze delle amministrazioni pubbliche").

Con l´immissione dei vincitori di concorso si è determinato un rafforzamento dell´organico dell´Ufficio il quale può ora contare su 91 unità per il contemporaneo inserimento di altre 4 unità con contratto di specializzazione a tempo determinato, selezionate con una procedura che si è svolta parallelamente a quelle concorsuali, bandita nell´agosto del 2002 (G.U. - 4a serie speciale – n. 66 del 20 agosto 2002).

Un´analoga selezione si era conclusa nell´aprile del 2002 con l´assunzione di 6 unità. Complessivamente sono 10 i giovani che, all´esito di una rigorosa selezione effettuata mediamente su circa 450 domande in ciascuna delle due selezioni, hanno avuto l´opportunità di un inserimento nell´Ufficio del Garante per specializzarsi in materia di trattamento dei dati personali o perfezionare la propria preparazione nella medesima materia.

Il 5 luglio del 2002 si è conclusa anche la selezione, rivolta a giovani laureati di età non superiore a 28 anni, per l´effettuazione di periodi di tirocinio presso l´Autorità. Sulla base della graduatoria formata da una qualificata commissione di selezione agli inizi di settembre 2002 un primo gruppo di 5 stagiare ha iniziato presso l´Ufficio un periodo di tirocinio della durata di sei mesi, prorogabile sino ad anno, e nel maggio del 2003 analoga opportunità è stata offerta ad un altro gruppo di 6 giovani laureati.

Nel corso del 2002 sono proseguite le iniziative di formazione e perfezionamento nelle lingue straniere di uso corrente nell´attività d´ufficio e sono state promossi alcuni momenti di aggiornamento di carattere seminariale su tematiche ed ambiti disciplinari di immediato interesse per le attività istituzionali dell´Autorità.

Come accennato, l´organico a disposizione dell´Ufficio è di 91 unità, di cui n. 15 con contratto a tempo determinato e n. 17 in posizioni di fuori ruolo o comando da altre amministrazioni ed enti pubblici, come da prospetto allegato:

L´Autorità, allo stato, si avvale della collaborazione di cinque consulenti per i necessari approfondimenti nelle tematiche giuridiche e della comunicazione istituzionale. Si è altresì reso necessario acquisire, nel corso dell´anno, occasionali consulenze qualificate in materia informatica per le problematiche concernenti il sistema informativo interno, il sito web del Garante e la sicurezza dei dati, nonché per la preparazione della conferenza internazionale promossa dal Garante "Privacy: da costo a risorsa" e per la redazione del bilancio di previsione e consuntivo.

Le commissioni di selezione dei contratti di specializzazione e per il tirocinio e le commissioni esaminatrici dei concorsi pubblici hanno esaurito i loro compiti nel 2002.

Il registro dei trattamenti

75. Organizzazione e sviluppi futuri
L´istituto della notificazione del trattamento dei dati personali, previsto dagli artt. 7, 16 e 28, legge n. 675/1996 è stato rivisitato a fondo dal d.lg. 28 dicembre 2001, n. 467. Alcune modifiche sono già entrate in vigore e riguardano:

• l´obbligo di designazione (e di indicazione nella notificazione) del rappresentante nel territorio dello Stato da parte del titolare stabilito in un Paese extraeuropeo, in caso di trattamento mediante mezzi situati nel territorio dello Stato (artt. 1, comma 2, e 3, comma 3);
• l´indicazione nella notificazione di almeno un responsabile (art. 3, comma 3);
• la sostituzione delle sanzioni penali con sanzioni amministrative in caso di omessa o incompleta notificazione (art. 12, comma 1).

Le novità più consistenti riguardano però l´individuazione dei casi e dei contenuti della notificazione -che attualmente sono stabiliti direttamente dalla legge n. 675/1996- mediante norme da inserire nell´emanando testo unico delle disposizioni in materia di protezione dei dati personali.

L´obbligo di notificazione sarà limitato alle sole ipotesi in cui il trattamento, "in ragione delle relative modalità o della natura dei dati personali, sia suscettibile di recare pregiudizio ai diritti e alle libertà dell´interessato" (art. 3 d.lg. n. 467/2001). Un gruppo di lavoro interno ha già effettuato alcuni primi approfondimenti sui casi di notificazione, ponendo particolare attenzione a due aspetti fondamentali: rendere l´adempimento della notificazione pienamente rispondente alle finalità dell´istituto e circoscrivere le notizie che il titolare deve fornire agli elementi significativi.

In attesa del testo unico, la disciplina della notificazione, salvo quanto detto circa le novità entrate già in vigore, rimane sostanzialmente immutata.

Le notificazioni confluiscono nel registro generale dei trattamenti previsto dall´art. 31, comma 1, lett. a) della l. n. 675/1996 e sono consultabili tramite la Intranet del Garante. Nel 2002 sono state definitivamente superate le difficoltà evidenziate nella relazione precedente in ordine allo sviluppo del software per l´accesso ai dati, mediante l´affidamento del servizio ad un´altra ditta che ha operato efficacemente e con tempestività. Il programma, molto complesso, oltre alla possibilità di effettuare ricerche e produrre report statistici, permette di rilevare automaticamente le incompletezze e gli errori (purtroppo frequenti) contenuti nelle notificazioni. È cura poi dell´Ufficio, con procedure automatizzate, invitare i notificanti a regolarizzare le irregolarità.

Le notificazioni tuttora vengono redatte su un modello standard o, in alternativa su floppy disk. Il modello e il programma attualmente possono essere prelevati dal sito Internet del Garante o richiesti direttamente all´Ufficio e comunque per tutto l´anno 2002 è stata assicurata la distribuzione capillare e gratuita presso tutti gli uffici postali. Essendo nel frattempo cessata la convenzione con Poste italiane s.p.a. si è preferito non rinnovarla sia a motivo della sua onerosità, sia per la constatazione che gli utenti ritengono più comodo scaricare direttamente da Internet il modello di notificazione. Esiste comunque la possibilità di reperire il modello tramite negozi specializzati per uffici o di utilizzare fotocopie.

L´Ufficio ha bandito una gara europea per la scansione ottica di tutte le notificazioni e connessa documentazione pervenuta in questi anni, finanziando in parte il progetto con i risparmi derivanti dalla cessata convenzione con Poste italiane. Allo stato attuale, la commissione appositamente nominata sta concludendo l´esame delle numerose offerte pervenute. con la previsione di stipulare il contratto entro breve termine.

In tale maniera sarà possibile procedere a controlli più accurati sul contenuto delle notificazioni, verificare l´esatta corrispondenza dei dati immessi ed eliminare l´enorme massa di documentazione cartacea e su floppy disk che occupa ampi spazi.

Permane l´orientamento di ridurre sensibilmente i costi, migliorando e ottimizzando il servizio. In tale ottica è stata riposta attenzione sulla modalità di trasmissione telematica della notificazione con utilizzo della firma elettronica e pagamento on line dei diritti di segreteria (attualmente fissati in € 7,75 per le notificazioni su floppy disk e € 12,91 per quelle su modello cartaceo) stipulando convenzioni con organismi pubblici e privati per agevolare le operazioni di notificazione da parte di utenti eventualmente sforniti di firma elettronica.

È stata incrementata, anche rispetto all´anno precedente, l´attività di assistenza diretta e telefonica svolta dal dipartimento registro generale dei trattamenti, che cura tutti gli adempimenti relativi alla notificazione, e dall´ufficio relazioni con il pubblico. Risposte ai quesiti più frequenti (FAQ) sono consultabili direttamente dall´utente sul sito del Garante.

A seguito di varie lettere di regolarizzazione delle notificazioni che presentano errori od incompletezze inviate dall´Ufficio (destinate a ridursi drasticamente con l´introduzione del nuovo modello telematico di notificazione, più "leggero", comprensibile e con controlli automatizzati già nella fase di immissione dei dati), le richieste di accesso al registro e di copia delle notificazioni già presentate si sono incrementate sensibilmente.

Accanto all´attività di regolarizzazione di cui si è già detto, sono inoltre proseguite le attività consistenti essenzialmente nella memorizzazione delle notificazioni pervenute tramite il personale messo a disposizione dalla società che ha curato il programma di gestione del registro. Inoltre il dipartimento registro generale dei trattamenti collabora attivamente con l´attività ispettiva fornendo notizie, materiali e dati utili per il controllo.

La novità introdotta dal d.lg. n. 467/2001 circa l´obbligo di comunicare al Garante almeno un responsabile del trattamento ha ridotto sensibilmente il numero di notificazioni pervenute nell´anno, anche se in seguito a controlli e richieste di regolarizzazione si è registrata nei mesi scorsi una nuova impennata nell´invio dei modelli.

Un notevole impegno è stato profuso nell´attività di recupero dei diritti di segreteria non versati con risultati decisamente positivi.

L´anno in corso impegnerà l´Ufficio nella predisposizione del "nuovo registro dei trattamenti", nello sviluppo software e nella stipula di convenzioni per effettuare la notificazione per via telematica.

Dati statistici

76. Prospetto analitico

Dipartimento Registro Generale dei Trattamenti