Diritti interna

Doveri interna

ricerca avanzata

19. La trattazione dei ricorsi.Relazione 2006 - Parte II - L'attività svolta dal Garante - 12 luglio 2007 [1426109]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
1426109
Data:
12/07/07
Tipologia:
Relazione annuale

DOCUMENTI CITATI


[doc. web n. 1426109]

Indice generale

Paragrafo precedente

Paragrafo successivo

 

 

Relazione 2006 - Parte II - L´attività svolta dal Garante - 12 luglio 2007

 

19. La trattazione dei ricorsi

19.1. Considerazioni generali

Il 2006 ha fatto registrare per il secondo anno consecutivo una diminuzione del numero dei ricorsi, passati da seicentotrentaquattro (nel 2005) a quattrocentotrentacinque ricorsi (numero di decisioni adottate nell’anno solare trascorso): un numero elevato che testimonia il costante e diffuso ricorso a questo strumento di tutela, che resta percepito come un presidio dei diritti della persona alla cui salvaguardia è volta la disciplina sulla protezione dei dati.

Il dato statistico merita un approfondimento anche alla luce degli elementi che si ricavano guardando al complesso dell’attività svolta dal Garante (in particolare attraverso l’Ufficio per le relazioni con il pubblico), oltre che dagli echi nelle notizie di stampa.

Da questo punto di vista l’impressione è che la linea di tutela del cittadino in ordine alla protezione dei dati si stia effettivamente collocando, in modo sempre più diffuso, a livello di base, secondo lo schema normativo del Codice (già previsto dalla legge n. 675/1996) il quale prevede che l’interessato debba prima rivolgersi, mediante interpello preventivo, al titolare o al responsabile del trattamento per vedere soddisfatte le proprie richieste e possa poi, in caso di mancato o insoddisfacente riscontro, presentare ricorso al Garante. La tendenza che è andata consolidandosi sembra mostrare, cioè, che i diritti tutelati dall’articolo 7 del Codice vengono esercitati e trovano soddisfazione in larga e crescente misura nel rapporto immediato e diretto fra interessato e titolare del trattamento.

Mentre fino a pochi anni fa, di fronte alla novità della normativa e alla scarsa conoscenza delle nuove posizioni giuridiche che la stessa proteggeva, i ricorsi erano costruiti come semplici richieste di tutela di fronte al silenzio e alla chiusura dei titolari del trattamento, oggi, specie in riferimento agli operatori di maggiore dimensione (pubbliche amministrazioni, banche, società di assicurazione, ecc.), un gran numero di istanze sono correttamente evase già a seguito della semplice presentazione delle richieste ex art. 7 del Codice, senza che ne derivi l’instaurazione di un contenzioso di fronte al Garante o all’autorità giudiziaria ordinaria.

La diminuzione dei ricorsi decisi dall’Autorità non è dunque indice di scarsa conoscenza, disapplicazione o inutilità degli strumenti di tutela, ma presa d’atto del corretto funzionamento del procedimento previsto dagli articoli 145 ss. del Codice, che è destinato a portare all’esame del Garante essenzialmente casi in cui vi sia un contrasto delle posizioni tra interessato e titolare del trattamento, che non trovi soluzione immediata nel rapporto diretto fra le parti, in un contesto nel quale i diritti tutelati dal Codice sono entrati sempre più nel comune sentire e non sono più riserva di caccia di pochi specialisti.

Va altresì notato che l’intensa attività dell’Autorità, estrinsecatasi negli ultimi anni attraverso l’elaborazione di provvedimenti di carattere generale, decisioni su ricorsi e segnalazioni, promozione di codici deontologici di settore, ecc., ha contribuito a delineare il corretto assetto del trattamento dei dati in numerosi ambiti applicativi. Ciò ha permesso a molti titolari del trattamento di affinare la capacità di risposta agli interessati, in termini sia di celerità, sia di completezza dei riscontri forniti alle istanze ex art. 7.

Basti pensare alle numerosissime richieste di accesso alle informazioni conservate dai sistemi di informazioni creditizie o alle opposizioni al trattamento di dati per fini promozionali effettuato sia attraverso l’invio di comunicazioni postali tradizionali, sia tramite posta elettronica. Nonostante si tratti di ambiti rispetto ai quali pervengono tuttora numerosi ricorsi, è indubbia l’utilità che hanno rivestito l’adozione del codice deontologico relativo all’attività dei citati sistemi di informazioni creditizie e i molti provvedimenti aventi ad oggetto il corretto utilizzo delle informazioni reperite in Internet. Sono quindi correlativamente diminuiti i ricorsi seriali, presentati in queste materie negli anni passati spesso anche con l’intervento di associazioni di consumatori o di studi legali specializzati sulla materia; ricorsi che avevano appunto evidenziato l’assenza di tutela dei dati personali in tali ambiti, inducendo così l’Autorità ad intervenire organicamente.

La maggior parte dei ricorsi che pervengono ora al Garante (dopo l’iniziale, insoddisfacente interlocuzione con il titolare del trattamento) sono atti articolati, spesso contenenti una pluralità di richieste con le quali l’interessato attiva le diverse posizioni giuridiche tutelate dall’art. 7 del Codice. Sempre più frequentemente il ricorso è strumento consapevole (anche se non sempre adeguato) di una strategia processuale più ampia, nella quale l’utilizzo delle disposizioni relative alla protezione dei dati è funzionale allo sviluppo di un’azione civile e penale: ora per acquisire (attraverso l’esercizio del diritto di accesso) dati e informazioni indispensabili per sostenere le proprie ragioni, ora per contrastare e paralizzare (attraverso l’opposizione al trattamento per motivi legittimi o la richiesta di cancellazione dei dati) le istanze di controparte.

In ordine a quest’ultimo profilo, va ricordato che nell’anno trascorso sono stati esaminati alcuni ricorsi nei quali per la prima volta si è affacciato (e proprio in relazione a operazioni di trattamento che incidevano nell’ambito di autonomi procedimenti giudiziari) il profilo legato all’inutilizzabilità dei dati trattati in violazione della disciplina rilevante in materia di dati personali (art. 11, comma 2, del Codice; Provv. 7 giugno 2006 [doc. web n. 1322812]); nonché il rapporto tra il predetto art. 11 e l’art. 160, comma 6, del Codice che lascia alle pertinenti disposizioni processuali nella materia civile e penale la disciplina circa la validità, l’efficacia e l’utilizzabilità di atti, documenti e provvedimenti prodotti in un procedimento giudiziario e basati sul trattamento di dati personali non conforme a disposizioni di legge o di regolamento.

19.2. I profili procedurali

L’esame dei molti ricorsi pervenuti ha permesso all’Autorità di precisare o di ribadire, in sede di decisione o in occasione dell’invio delle note contenenti l’invito a regolarizzare un ricorso (previsto dall’art. 148, comma 1, lett. c), del Codice), alcuni aspetti procedurali legati al corretto adempimento di quanto disposto negli artt. 147-150 del Codice che disciplinano le modalità di presentazione del ricorso, il procedimento ad esso relativo e i casi di inammissibilità.

La presentazione del ricorso in via d’urgenza è un’ipotesi esplicitamente prevista dal legislatore (art. 146, comma 1) che ha però limitato tale possibilità ai soli casi nei quali l’attesa del decorso del termine di quindici giorni (previsto per il riscontro da parte del titolare del trattamento alle richieste dell’interessato presentate ai sensi degli artt. 7 e 8) esporrebbe il ricorrente a pregiudizio imminente e irreparabile. Di tale pregiudizio, come il Garante ha avuto più volte modo di precisare, il ricorrente deve fornire prova esplicitando i motivi che impediscono effettivamente di seguire la procedura ordinaria nel caso di specie. Talvolta si abusa invece di tale ipotesi (chiaramente configurata come eccezionale dal legislatore), presentando ricorsi nei quali l’urgenza viene giustificata sulla base della semplice prospettazione di una generica situazione di difficoltà (di solito economica) che condizionerebbe l’attività del ricorrente. Ne sono scaturite diverse pronunce che hanno ribadito il corretto iter procedurale da seguire (da ultimo Provv. 8 febbraio 2007 [doc. web n. 1391786]).


Presentazione
in via
d’urgenza
 

L’impianto normativo posto a tutela dei diritti di cui all’art. 7 riconosce la possibilità di azionare e tutelare tali posizioni giuridiche all’interessato, ovvero al soggetto cui si riferiscono i dati personali. Ciò costituisce lo specifico di questo strumento di tutela, ma anche il suo limite.

È peraltro ancora diffusa la tendenza a confondere il diritto di accesso ai dati personali con il distinto diritto di ottenere copia di atti e documenti (azionabile, ad es., nei confronti di pubbliche amministrazioni ai sensi della l. n. 241/ 1990). È poi frequente la richiesta (inammissibile) di conoscere dati riferiti a terzi, che spesso viene presentata quando l’interessato vuole ricostruire complesse vicende contrattuali o ereditarie, nelle quali i dati del richiedente sono però presenti unitamente ad informazioni relative ad altri soggetti. Si è ribadito in proposito che l’unica possibilità (di utilizzo sempre più frequente) prevista dalla legge in merito è quella di cui all’art. 9, comma 3, del Codice, per il quale i diritti dell’art. 7 riferiti a dati di persone decedute possono essere esercitati da chi ha un interesse proprio o agisce a tutela dell’interessato o per ragioni familiari meritevoli di protezione. Naturalmente, di tale possibilità possono avvalersi gli eredi anche rispetto ai diritti già esercitati da un interessato poi deceduto nel corso dell’istruttoria del procedimento (Provv. 21 dicembre 2006 [doc. web n. 1381606]).


Soggetti legittimati
a proporre ricorso

Il ricorso non richiede la necessaria assistenza di un legale (cui, in tal caso, va essere conferita procura ai sensi dell’art. 83 c.p.c.), ma può essere proposto direttamente e personalmente dall’interessato. Va infine ricordato che, in caso di atto proposto per il tramite di un legale, questi deve essere iscritto al relativo albo professionale, non essendo ammissibile, per il chiaro disposto dell’art. 147, comma 4, del Codice, la presentazione del ricorso da parte di un soggetto iscritto solamente allo speciale elenco dei praticanti avvocati (v. già Provv. 4 luglio 2002 [doc. web n. 1065876]).

Rimane diffusa una tendenza a vedere nel ricorso uno strumento di tutela con il quale far valere qualsiasi violazione della disciplina sulla protezione dei dati personali, anche al di là delle specifiche posizioni giuridiche tutelate dall’art. 7 del Codice. Nelle sue decisioni l’Autorità ha sempre evidenziato questo specifico limite, sottolineando come le richieste formulate con il ricorso debbano invece trovare (a pena di inammissibilità) corrispondenza con le analoghe istanze precedentemente avanzate nell’interpello preventivo rivolto al titolare o al responsabile del trattamento, ferma restando la potestà del Garante di avviare autonomi accertamenti d’ufficio su profili ulteriori rispetto a quelli oggetto della decisione del ricorso.


Posizioni giuridiche tutelabili

Quanto al catalogo dei diritti di cui all’art. 7, va sottolineato come il frequente utilizzo di moduli prestampati, se da un lato facilita l’esercizio dei diritti stessi, dall’altro induce spesso l’interessato a non riflettere sul significato di ogni singola richiesta, formulando istanze ridondanti, a volte contraddittorie (ad es., richieste di integrazione e aggiornamento dei dati e di loro contestuale cancellazione), spesso prive delle ragioni giustificatrici a volte in concreto richieste. In particolare, non è infrequente che le richieste di cancellazione dei dati siano prive di qualsiasi indicazione utile a desumere le violazioni di legge che giustificherebbero tale richiesta o che l’opposizione ad un trattamento non specifichi, neppure indirettamente, i motivi legittimi che, ad avviso del ricorrente, la determinerebbero.

Come ricordato, solo l’assenza di una risposta o l’inidoneità del riscontro può giustificare la presentazione del ricorso. In questo senso va anche posta attenzione ai casi in cui, legittimamente, il titolare del trattamento verifichi l’identità dell’interessato ai sensi dell’art. 9, comma 4, del Codice (ad es., chiedendo l’allegazione di un documento di identità). Tale verifica deve essere riscontrata dall’interessato e preclude, nelle more, la presentazione del ricorso che, ove proposto, sarebbe esposto al rischio di una declaratoria di inammissibilità (Provv. 11 gennaio 2007 [doc. web n. 1380997]).

Qualora il ricorso sia privo dei requisiti formali minimi previsti dall’art. 147 del Codice, è possibile regolarizzarlo. Si tratta di ipotesi prevista dal Codice (art. 148, comma 2) cui ha fatto seguito, da parte del Garante, l’apposita deliberazione del 23 dicembre 2004 [doc. web n. 1107682] (in G. U. 21 marzo 2005, n. 66). In proposito va segnalato che il ricorso può essere regolarizzato entro sette giorni dalla ricezione del relativo invito e che tale termine è perentorio (da ultimo Provv. 25 gennaio 2007 [doc. web n. 1386873]). Se tra la documentazione mancante (di cui viene richiesta l’integrazione) vi è l’istanza ex art. 7, deve essere inoltrata al Garante copia dell’istanza inviata al titolare o al responsabile in data antecedente a quella di presentazione del ricorso cui la stessa si riferisce, anziché copia di un’istanza proposta in data successiva.


Casi
di regolarizza-zione
del ricorso

In più occasioni, e con specifico riferimento alle richieste di accesso ai dati, il Garante ha ricordato che il titolare è tenuto a comunicare in modo intelligibile all’interessato i dati che lo riguardano e che l’esercizio di tale diritto è in termini generali gratuito. Unica eccezione può essere rappresentata dall’ipotesi in cui i dati vengano riprodotti e comunicati su un supporto speciale. In tal caso il titolare del trattamento può infatti chiedere un contributo spese nella misura massima di venti euro (art. 10, comma 8, del Codice e deliberazione del Garante n. 14 del 23 dicembre 2004 [doc. web n. 1104892], in G.U. 8 marzo 2005, n. 55). Sul punto il Garante si è pronunciato recentemente con il provvedimento del 20 settembre 2006 [doc. web n. 1349723] relativo ad una richiesta di dati personali sensibili contenuti in una videocassetta sulla quale erano registrate le immagini relative ad un intervento chirurgico.


Gratuità
dell’esercizio
dei diritti
di cui all’art. 7
del Codice

19.3. La casistica

In questo paragrafo viene richiamata l’attenzione sui temi più significativi che sono stati affrontati con le decisioni sui ricorsi sottolineando, in particolare, i profili innovativi e gli spunti di interpretazione del Codice offerti dal Garante in sede di decisione del contenzioso sottoposto al suo esame.

Il settore delle informazioni creditizie è quello che, anche nel corso del 2006, ha fatto registrare il maggior numero di ricorsi (circa centottanta). Ciò testimonia un’attenzione nei confronti di un ambito (quello appunto dei Sic) che vede il trattamento dei dati di milioni di persone censite in relazione ad alcune delle più comuni operazioni di finanziamento (prestiti personali e finalizzati, carte di pagamento, ecc.).

L’esame del merito delle decisioni e quello del flusso di questo tipo di ricorsi (in diminuzione negli ultimi mesi) evidenzia che nel corso dell’anno si sono pienamente dispiegati gli effetti del codice deontologico di settore entrato in vigore il 1° gennaio 2005. La realtà dei Sic è ora meglio conosciuta dai consumatori, così come il tipo di trattamenti svolto. Le disposizioni specifiche del codice deontologico relative all’informativa, all’aggiornamento dei dati e, soprattutto, ai tempi di conservazione delle informazioni (unitamente alle disposizioni contenute nel provvedimento di bilanciamento di interessi emanato contestualmente al medesimo codice di deontologia) offrono un assetto di riferimento che appare conosciuto e sostanzialmente rispettato dagli operatori. I ricorsi negli ultimi mesi hanno perciò essenzialmente messo a fuoco aspetti più specifici rispetto ai quali il Garante ha potuto offrire, in sede di decisione, utili spunti interpretativi.


Trattamenti svolti presso
i Sic (sistemi di informazioni creditizie)

Fra questi, va segnalato il valore della disposizione di cui all’art. 4, comma 7, del codice di deontologia che, a far data dal 1° maggio 2005 (termine fissato dall’art. 13, comma 1, del medesimo codice) impone agli enti partecipanti ai Sic (banche, società finanziarie, ecc.) di dare avviso all’interessato, al verificarsi di ritardi nei pagamenti non ancora censiti negli archivi dei citati sistemi di informazioni creditizie, dell’imminente registrazione dei dati in questione. Ciò in relazione sia a contratti di finanziamento che abbiano avuto inizio prima del 1° maggio 2005, sia a finanziamenti erogati in data successiva. Si tratta di una disposizione della quale è stata riscontrata, in alcuni casi, la mancata applicazione da parte degli enti partecipanti, determinandosi di conseguenza l’illiceità del relativo trattamento (inter alia, Provv. 21 dicembre 2006 [doc. web n. 1378189.it ]).

Oltre ai tradizionali casi aventi ad oggetto l’esercizio del diritto di accesso (anche con riferimento all’intera carriera professionale), sono state esaminate alcune vicende che hanno permesso al Garante di soffermarsi su aspetti delicati e problematici del rapporto di lavoro. In particolare, sono state respinte le richieste di blocco e cancellazione dei dati avanzate da due ricorrenti sottoposti a procedimento disciplinare (cui, in un caso, ha fatto seguito il licenziamento) per aver svolto, durante un periodo di assenza dal servizio, attività lavorative non compatibili con lo stato di malattia certificato (Provv. 9 novembre 2006 [doc. web n. 1366180] e 21 dicembre 2006 [doc. web n. 1378111]).


Trattamento
di dati
di lavoratori

In entrambi i casi, i datori di lavoro avevano fatto ricorso ad agenzie di investigazioni private che avevano effettuato controlli sui comportamenti tenuti dai lavoratori nel periodo in contestazione. Tale attività non è stata ritenuta dal Garante contrastante con la disciplina in materia di protezione dei dati personali (né con le norme del cd. Statuto dei lavoratori, di cui pure veniva lamentata la violazione), in quanto l’investigazione è risultata essersi svolta in modo lecito. La stessa non era stata infatti finalizzata ad accertare l’infermità per malattia o infortunio del lavoratore, limitandosi alla sola osservazione di comportamenti esteriori potenzialmente e apparentemente incompatibili con lo stato di malattia, nel rispetto di principi che sono stati affermati anche dalla giurisprudenza di legittimità (cfr. al riguardo Cass. 3 maggio 2001, n. 6236).

In un altro caso, sempre connesso all’esercizio di attività investigative (Provv. 7 giugno 2006 [doc. web n. 1322812]), le richieste dell’interessato sono state invece accolte, in quanto la contestazione disciplinare e il successivo licenziamento per giusta causa erano stati basati su una comunicazione illecita di dati personali alla società presso cui il ricorrente prestava servizio, effettuata dalla sua ex-capogruppo. Quest’ultima, obbligata contrattualmente a sostenere gli oneri economici del rapporto di lavoro del ricorrente (anche successivamente alla cessione della società, per la quale lo stesso lavorava, ad altro gruppo finanziario), dopo aver acquisito alcune informazioni sul ricorrente medesimo per il tramite di un investigatore privato, le aveva poi comunicate in assenza di un idoneo presupposto che legittimasse il trattamento. Da ciò, la dichiarazione di inutilizzabilità dei dati in questione ai sensi dell’art. 11, comma 2, del Codice, pronunciata dal Garante.

In un’altra vicenda è stato, di contro, ritenuto pertinente e non eccedente il trattamento svolto da un istituto di credito che aveva utilizzato dati acquisiti nel corso di un’ispezione interna per una successiva contestazione disciplinare ad un proprio dipendente (Provv. 5 ottobre 2006 [doc. web n. 1357375]). La contestazione degli addebiti disciplinari deve infatti rispettare il principio della specificità; anche l’accertamento della lesione dell’elemento fiduciario ai fini del licenziamento per giusta causa (che aveva fatto seguito alla predetta contestazione disciplinare) deve essere effettuato con riferimento a profili concreti e specifici attinenti, ad esempio, alla natura e alla qualità del singolo rapporto di lavoro. Proprio a tale scopo erano state impiegate le informazioni personali assunte dall’istituto di credito; finalità che il Garante ha riconosciuto lecite.

Particolarmente innovative sono poi risultate due decisioni con le quali l’Autorità, sostanzialmente, si è pronunciata per la prima volta in termini specifici sul trattamento di dati personali relativi alla navigazione in Internet svolta da un dipendente, nonché (in un secondo caso) sulla presenza di file di carattere personale conservati nel disco fisso del computer portatile assegnato al ricorrente dalla società presso la quale lo stesso lavorava (Provv. 2 febbraio 2006 [doc. web n. 1229854] e 18 maggio 2006 [doc. web n. 1299082]). In entrambi i casi, i ricorsi sono stati accolti con conseguente divieto dell’ulteriore utilizzo di tali dati da parte del datore di lavoro. È emerso infatti che, per dimostrare un comportamento illecito nel quadro del rapporto di lavoro, i titolari del trattamento avevano esperito accertamenti e controlli in assenza di una previa informativa all’interessato, nonché in difformità dall’art. 11 del Codice nella parte in cui questo prevede che i dati siano trattati in modo lecito e secondo correttezza, nel rispetto dei principi di pertinenza e non eccedenza rispetto alle finalità perseguite. Tale attività aveva avuto luogo in situazioni nelle quali, tra l’altro, il titolare del trattamento (in ragione della qualifica professionale del lavoratore e dell’esclusivo utilizzo a fini aziendali dello strumento informatico messo a disposizione) avrebbe potuto dimostrare la non conformità del comportamento del ricorrente agli obblighi contrattuali limitandosi, in un caso, a provare esclusivamente l’esistenza di accessi indebiti alla rete (senza operare un trattamento diffuso di informazioni indicative anche degli specifici contenuti dei siti visitati) e, nell’altro, limitandosi a constatare l’esistenza sul computer portatile di cartelle aventi dichiaratamente un contenuto personale e non afferenti quindi allo svolgimento dell’attività lavorativa, anche in ragione delle caratteristiche informatiche di alcuni dei file in questione (file musicali).

I principi affermati nei due ricorsi predetti hanno poi trovato più organica trattazione e sviluppo nell’ambito del provvedimento generale del 1° marzo 2007 [doc. web n. 1387522] relativo all’utilizzo della posta elettronica e della rete Internet da parte dei lavoratori (v. par. 10.3.2).

I dati sulla salute sono le informazioni più delicate, rispetto alle quali emergono con maggiore forza l’esigenza di assicurare la pienezza del diritto di accesso dell’interessato e, soprattutto, la necessità di verificare in modo puntuale la liceità di ogni singola operazione di comunicazione dei dati, al fine di delimitare il più possibile i passaggi dei dati stessi e le occasioni (non indispensabili) di loro conoscenza. Per quanto concerne l’esercizio del diritto di accesso possono essere richiamati i provvedimenti del 4 maggio 2006 [doc. web n. 1289856] e del 21 giugno 2006 [doc. web n. 1312474] relativi entrambi a richieste formulate da genitori nei confronti di aziende sanitarie locali in riferimento, in un caso, agli esami ed alle visite (anche di tipo psicologico) cui i figli minori erano stati sottoposti e, nell’altro, alla richiesta di conoscere in modo intelligibile tutte le informazioni relative ad un procedimento amministrativo concernente la contestata elusione dell’obbligo di vaccinazione.


Dati personali sensibili concernenti
lo stato
di salute

Particolarmente delicata la vicenda di cui al provvedimento del 28 giugno 2006 [doc. web n. 1322833] nella quale è stata ritenuta fondata l’opposizione per motivi legittimi proposta da un ricorrente affetto da infezione da Hiv. I dati relativi al suo stato di salute, acquisiti lecitamente da una struttura ospedaliera in occasione di un ricovero, erano stati poi trasmessi a un differente ufficio (l’unità operativa di medicina legale) per perseguire la diversa finalità di accertamento dei requisiti psichici e fisici per la conservazione della patente di guida, in assenza di uno specifico quadro normativo di riferimento in proposito. Si è tenuto conto, nella fattispecie, delle particolari cautele apprestate dalla legge n. 135/1990 in ordine alla riservatezza delle informazioni concernente le persone affette da Hiv e Aids.

In relazione ai trattamenti in rete attraverso motori di ricerca si profilano spesso questioni nuove anche in sede di esame dei ricorsi. Le opportunità offerte dalle tecnologie moltiplicano infatti la possibilità che determinate informazioni fuoriescano dal limitato bacino di diffusione iniziale di un evento o di una notizia (i lettori di un giornale o di un documento oggetto di pubblica affissione, i fruitori di una trasmissione radiofonica e televisiva, ecc.) per entrare nel contesto di divulgazione tendenzialmente globalizzata della rete Internet. Ulteriori profili di preoccupazione sono legati alle possibilità offerte oggi dai motori di ricerca che, attraverso l’indicizzazione massiva di tutte le pagine disponibili in rete, permettono di reperire costantemente dati e informazioni rendendo labile l’affermazione del cd. diritto all’oblìo.


Trattamenti
in rete
e motori
di ricerca

Sull’azione dei motori di ricerca l’Autorità ha avuto modo di soffermarsi agli inizi del 2006 con provvedimenti che hanno avuto al centro l’operato del noto motore di ricerca Google. In tali decisioni è stato evidenziato come la titolarità del trattamento debba rinvenirsi non nella società Google Italy S.r.l. quanto in un diverso soggetto (Google Inc.) avente sede negli Stati uniti d’America. Le predette decisioni sono state peraltro l’occasione per portare questi temi all’attenzione delle competenti sedi comunitarie e per intavolare a partire dalla primavera del 2006 un dialogo diretto con i rappresentanti della società allo scopo di assicurare comunque la tutela degli interessati, specie in relazione alle ipotesi di aggiornamento o di cancellazione di informazioni non più presenti sui cd. siti sorgente e riportate ancora, però, nelle copie cache consultabili tramite il motore di ricerca Google (v. par. 8.6.1).

Con riferimento al più generale problema della diffusione di dati tramite siti Internet, possono essere ricordati i provvedimenti del 28 giugno 2006 [doc. web n. 1318607] e del 26 ottobre 2006 [doc. web n. 1366162]. Nel primo caso veniva contestata la diffusione di valutazioni e inchieste relative ad un istituto scolastico, nonché la presenza di commenti sul medesimo argomento riportati in un forum di discussione. Il Garante, nel ritenere infondato il ricorso, ha precisato che anche questo tipo di pubblicazioni rientra nei trattamenti di dati effettuati per fini giornalistici ai sensi degli artt. 136 e ss. del Codice. Tale fattispecie si estende infatti anche ai trattamenti temporanei, effettuati da chiunque (ovvero anche da chi non esercita professionalmente l’attività giornalistica) e finalizzati alla pubblicazione occasionale di articoli, saggi e altre manifestazioni del pensiero. Nel caso in esame tale trattamento non aveva violato i limiti del corretto esercizio del diritto di cronaca e, in particolare, quello dell’essenzialità dell’informazione riguardo a fatti di interesse pubblico.

Nel secondo caso era stata invece contestata la diffusione in rete, per estratto, di una decisione adottata dal Giurì dell’Istituto di autodisciplina pubblicitaria. Dalla documentazione prodotta era però risultato che le condizioni generali di contratto in uso presso le società concessionarie della pubblicità contengono una clausola di accettazione del codice di autodisciplina, con la quale i committenti si impegnano a conformarsi alle decisioni dei relativi organi giudicanti anche in ordine alla pubblicazione di tali decisioni.

Merita segnalazione anche il caso deciso con provvedimento del 28 settembre 2006 [doc. web n. 1361916] e relativo alla richiesta di trasformazione in forma anonima dei dati di una persona che, alcuni anni fa, era stata coinvolta in una vicenda giudiziaria conclusasi con la sua assoluzione.

Tali dati (trattati unitamente a quelli di alcuni noti personaggi dell’economia e della politica coinvolti nella medesima vicenda) comparivano sul sito Internet di una fondazione che, fra i propri scopi statutari, ha quello di curare (e diffondere al pubblico) una dettagliata ricostruzione delle vicende italiane dal dopoguerra ad oggi. Al riguardo l’Autorità, nel ritenere infondata la richiesta della ricorrente, ha sottolineato come il trattamento in esame rientrasse tra quelli volti a concretizzare la libera manifestazione del pensiero e, in particolare, la libertà di ricerca, cronaca e critica storica che, per propria natura, prescinde dall’attualità delle informazioni utilizzate.

Ciò, in un contesto nel quale le informazioni, peraltro aggiornate, risultavano trattate nel rispetto della dignità della persona interessata ed esposte in modo essenziale e pertinente rispetto allo scopo della ricerca, tenendo anche conto della necessità di preservare l’integrità e la completezza della ricerca stessa.

La crescita delle opportunità tecnologiche e dei servizi offerti in relazione al settore della telefonia fissa e mobile ha moltiplicato il trattamento dei dati personali di coloro che usufruiscono di tali servizi, con il conseguente rischio di dispersione e di utilizzo illecito di tali informazioni.

Per quanto concerne la casistica dei ricorsi, la maggior parte delle vicende affrontate ha riguardato profili legati al corretto dispiegarsi del rapporto contrattuale (richieste di accesso in chiaro ai dati telefonici in uscita, contestazioni su servizi non richiesti, opposizione al trattamento a fini promozionali, controversie relative all’inserimento dei dati identificativi negli elenchi telefonici, ecc.).


Trattamenti svolti
da operatori telefonici

Merita di essere menzionato anche in questa sezione il provvedimento del 1° giugno 2006 [doc. web n. 1296533] relativo ad un illecito trattamento di dati di traffico telefonico in entrata e in uscita riportati su un tabulato illecitamente acquisito e fatto pervenire in forma anonima ai familiari dell’interessato. Il ricorso in questione è stato una sorta di caso pilota che ha permesso all’Autorità di approfondire le tematiche connesse alle modalità di gestione e conservazione dei dati di traffico, con particolare riferimento all’adozione di misure di sicurezza adeguate. Le prescrizioni impartite con il citato provvedimento al maggiore operatore italiano di telefonia costituiscono peraltro solo una delle molteplici iniziative poste in essere per mettere in sicurezza l’intero ambito degli archivi delle società di telefonia (v. par. 16.1).

Rispetto agli ambiti del trattamento per ragioni di giustizia o di polizia, sulla base di quanto espressamente stabilito dall’art. 8, comma 2, del Codice, i diritti tutelati dall’art. 7 del Codice non possono essere esercitati con richiesta rivolta direttamente al titolare o al responsabile o con ricorso proposto ai sensi dell’art. 145. L’Autorità ha avuto modo di riaffermare tale principio nel provvedimento del 26 ottobre 2006 [doc. web n. 1366277].

Merita, invece, particolare attenzione il provvedimento del 30 novembre 2006 [doc. web n. 1370442] con il quale il Garante ha avuto modo, per la prima volta, di esaminare un trattamento di dati personali relativi al profilo genetico del ricorrente, effettuato presso il Reparto investigazioni scientifiche di Parma dell’Arma dei carabinieri. All’esito dell’istruttoria è emerso che il trattamento in questione è stato effettuato nell’ambito di un’attività di polizia giudiziaria delegata dal pubblico ministero, che stava indagando in relazione ad un procedimento penale nel quale il ricorrente risultava imputato. Si trattava quindi, anche in questo caso, di un trattamento di dati svolto per ragioni di giustizia, con conseguente declaratoria di inammissibilità del relativo ricorso. La vicenda in esame ha comunque permesso all’Autorità di acquisire utili elementi conoscitivi in ordine alla raccolta ed all’utilizzo a fini investigativi di profili genetici di individui a vario titolo coinvolti in indagini penali.


Trattamenti svolti
per ragioni
di giustizia
o di polizia

Ciò ha indotto il Garante a compiere ulteriori approfondimenti, anche attraverso appositi accertamenti ispettivi, al fine di poter esaminare compiutamente questo particolare e delicatissimo ambito di trattamento in relazione ad una contestuale segnalazione pervenuta.